Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

מידע על OS Login

בדף הזה מוסבר על שירות OS Login ואיך הוא פועל. הוראות להגדרת OS Login מפורטות במאמר הגדרת OS Login.

שימוש ב-OS Login כדי לנהל גישת SSH למכונות באמצעות IAM, בלי שתצטרכו ליצור ולנהל מפתחות SSH נפרדים. שירות OS Login שומר על זהות משתמש עקבית ב-Linux בכל המופעים של Compute Engine, והוא הדרך המומלצת לניהול של משתמשים רבים במספר מופעי מחשוב או פרויקטים.

היתרונות של OS Login

OS Login מפשט את ניהול הגישה ל-SSH על ידי קישור חשבון המשתמש שלכם ב-Linux לזהות שלכם ב-Google. אדמינים יכולים לנהל בקלות את הגישה למופעים ברמת המופע או ברמת הפרויקט על ידי הגדרת הרשאות IAM.

היתרונות של OS Login:

ניהול אוטומטי של מחזור החיים של חשבונות Linux – אתם יכולים לקשר ישירות חשבון משתמש ב-Linux לזהות של משתמש ב-Google, כך שאותם פרטי חשבון ב-Linux ישמשו בכל המקרים באותו פרויקט או באותו ארגון.
הרשאות גישה מפורטות באמצעות Google IAM – אדמינים ברמת הפרויקט והמכונה יכולים להשתמש ב-IAM כדי להעניק גישת SSH לזהות Google של משתמש, בלי להעניק קבוצה רחבה יותר של הרשאות. לדוגמה, אתם יכולים להעניק למשתמש הרשאות להתחבר למערכת, אבל לא את היכולת להריץ פקודות כמו sudo. ‫Google בודקת את ההרשאות האלה כדי לקבוע אם משתמש יכול להתחבר למופע של מחשוב.
עדכוני הרשאות אוטומטיים – באמצעות OS Login, ההרשאות מתעדכנות אוטומטית כשמנהל משנה את הרשאות IAM. לדוגמה, אם מסירים הרשאות IAM מזהות Google, הגישה למכונות וירטואליות מבוטלת. ‫Google בודקת את ההרשאות של כל ניסיון כניסה כדי למנוע גישה לא רצויה.
אפשרות לייבא חשבונות Linux קיימים – אדמינים יכולים לבחור לסנכרן את פרטי חשבונות Linux מ-Active Directory‏ (AD) ומ-Lightweight Directory Access Protocol‏ (LDAP) שהוגדרו בפריסה מקומית. לדוגמה, אתם יכולים לוודא שלמשתמשים יש את אותו מזהה משתמש (UID) גם בסביבות הענן וגם בסביבות המקומיות.
שילוב עם אימות דו-שלבי בחשבון Google – אתם יכולים לדרוש ממשתמשי OS Login לאמת את הזהות שלהם באמצעות אימות דו-שלבי (2FA) כשהם מתחברים למופעי מחשוב. ‫OS Login תומך בסוגי האתגרים הבאים:
- מאמת החשבונות של Google
- אימות באמצעות הודעת טקסט או שיחת טלפון
- הנחיות בטלפון
- סיסמה חד-פעמית (OTP) למפתח אבטחה
תמיכה באימות שמבוסס על אישורים – אתם יכולים להשתמש באימות של אישורי SSH כדי להתחבר למופעי Compute שמשתמשים ב-OS Login. מידע נוסף זמין במאמר איך דורשים אישורי SSH עם OS Login.
שילוב עם רישום ביומן הביקורת – שירות OS Login מספק רישום ביומן הביקורת שבו אפשר להשתמש כדי לעקוב אחרי חיבורים למופעי מחשוב של משתמשי OS Login.

תפקידי IAM של OS Login

שירות OS Login משתמש ב-IAM כדי לאשר גישת התחברות. אפשר להעניק תפקידי IAM של OS Login ברמת המופע, התיקייה או הארגון. OS Login מספק את התפקידים המוגדרים מראש הבאים:

‫roles/compute.osLogin: מעניק גישה להתחברות ללא גישת sudo למופעי מחשוב.
‫roles/compute.osAdminLogin: מעניק גישת התחברות עם גישת sudo למופעי מחשוב.

במאמר הקצאת תפקידי IAM ל-OS Login מוסבר איך להקצות תפקידי IAM ל-OS Login.

איך OS Login פועל

כש-OS Login מופעל, מערכת Compute Engine מבצעת הגדרות במכונות וירטואליות ובחשבונות Google של משתמשי OS Login.

הגדרת מכונה

כשמפעילים את OS Login, מופעלת במכונת החישוב אחזור של מפתחות SSH שמשויכים לחשבון משתמש ב-Linux משירות OS Login, כדי לאמת ניסיון התחברות.

אתם יכולים להגדיר קובץ authorized_keys כדי להקצות גישה לחשבון משתמש מקומי גם כש-OS Login מופעל. מפתחות ציבוריים של SSH שמוגדרים בקובץ authorized_keys משמשים לאימות ניסיונות התחברות של משתמשים על ידי המשתמש המקומי. שמות המשתמשים ומזהי המשתמשים (UID) של משתמשים בחשבונות מקומיים ושל משתמשי OS Login צריכים להיות שונים.

מידע נוסף על הרכיבים של OS Login זמין בדף GitHub של OS Login.

הגדרת חשבון משתמש

OS Login מגדיר את חשבון Google עם פרטי POSIX, כולל שם משתמש, כשמבצעים אחת מהפעולות הבאות:

התחברות למופע של Compute עם OS Login באמצעות מסוף Google Cloud
התחברות למכונת חישוב שמופעל בה OS Login באמצעות ה-CLI של gcloud
ייבוא של מפתח SSH ציבורי באמצעות ה-CLI של gcloud
ייבוא של מפתח ציבורי SSH באמצעות OS Login API

OS Login מגדיר חשבונות POSIX עם הערכים הבאים:

שם משתמש: שם משתמש בפורמט USERNAME_DOMAIN_SUFFIX. אם המשתמש שייך לארגון Google Workspace אחר מזה שמארח את מופעי המחשוב שמופעלת בהם הכניסה למערכת ההפעלה, שם המשתמש שלו יתחיל בקידומת ext_. אם המשתמש הוא חשבון שירות, שם המשתמש שלו מתחיל בקידומת sa_. שמות המשתמשים לא יכולים להיות ארוכים מ-32 תווים. שמות משתמשים שמכילים יותר מ-32 תווים נחתכים.

אדמינים ב-Cloud Identity יכולים לשנות שמות משתמשים, וסופר-אדמינים ב-Google Workspace יכולים לשנות את הפורמט של שם המשתמש כדי להסיר את הסיומת של הדומיין.
‫UID: מזהה משתמש ייחודי שנוצר באופן אקראי ותואם ל-POSIX.
‫GID: מזהה קבוצה שתואם ל-POSIX וזהה ל-UID.
ספריית הבית: הנתיב לספריית הבית של המשתמש.

מנהלי חשבונות ארגוניים יכולים להגדיר ולעדכן את פרטי החשבון של משתמש על פי POSIX. מידע נוסף זמין במאמר בנושא שינוי חשבונות משתמשים באמצעות Directory API.

מגבלות

אי אפשר להשתמש ב-OS Login בכל ההגדרות של מופעי מחשוב. מידע נוסף זמין במאמר בנושא מגבלות של OS Login.

המאמרים הבאים

הוראות מפורטות זמינות באחד מהמאמרים הבאים:
- הגדרת OS Login
- הגדרת OS Login עם אימות דו-שלבי
איך מנהלים את OS Login בארגון
פתרון בעיות ב-OS Login.