OS Login

Auf dieser Seite werden der OS Login-Dienst und seine Funktionsweise beschrieben. Informationen zum Einrichten von OS Login finden Sie unter OS Login einrichten.

Mit OS Login können Sie den SSH-Zugriff auf Ihre Instanzen mithilfe von IAM verwalten, ohne einzelne SSH-Schlüssel erstellen und verwalten zu müssen. OS Login verwendet eine konsistente Linux-Nutzeridentität über Compute Engine-Instanzen hinweg und wird empfohlen, wenn viele Nutzer über mehrere Compute-Instanzen oder Projekte hinweg verwaltet werden müssen.

Vorteile von OS Login

OS Login vereinfacht die Verwaltung des SSH-Zugriffs, weil Ihr Linux-Nutzerkonto mit Ihrer Google-Identität verknüpft wird. Administratoren können den Zugriff auf Instanzen auf Instanz- oder Projektebene einfach dadurch verwalten, dass sie IAM-Berechtigungen festlegen.

OS Login bietet folgende Vorteile:

• Automatisches Lebenszyklusmanagement für Linux-Konten : Sie können ein Linux-Nutzerkonto direkt an die Google-Identität eines Nutzers binden. Dadurch werden für alle Instanzen in demselben Projekt oder in derselben Organisation die gleichen Linux-Kontodaten verwendet.

• Detailgenaue Autorisierung mit Google IAM : Administratoren auf Projekt- und Instanzebene können der Google-Identität eines Nutzers mit IAM SSH Zugriff gewähren, ohne dass umfassendere Berechtigungen erteilt werden. Beispielsweise können Sie einem Nutzer Berechtigungen zur Anmeldung im System erteilen, ohne ihm dabei die Möglichkeit zu bieten, Befehle wie sudo auszuführen. Google überprüft diese Berechtigungen, um festzustellen, ob sich ein Nutzer bei einer Compute-Instanz anmelden kann.

• Automatische Aktualisierungen von Berechtigungen : Bei OS Login werden Berechtigungen automatisch aktualisiert, wenn ein Administrator die IAM Berechtigungen ändert. Wenn Sie beispielsweise einer Google-Identität IAM-Berechtigungen entziehen, wird der Zugriff auf Compute-Instanzen gesperrt. Google prüft bei jedem Anmeldeversuch die Berechtigungen, um unerwünschten Zugriff zu verhindern.

• Importmöglichkeit für vorhandene Linux-Konten : Administratoren können optional Linux-Kontodaten aus Active Directory (AD) und LDAP (Lightweight Directory Access Protocol), die lokal eingerichtet sind, synchronisieren. So können Sie beispielsweise dafür sorgen, dass Nutzer sowohl in Ihrer Cloud als auch in lokalen Umgebungen dieselbe Nutzer-ID (UID) haben.

• Integration mit Bestätigung in zwei Schritten des Google-Kontos : Sie können optional festlegen, dass OS Login-Nutzer ihre Identität mithilfe der Bestätigung in zwei Schritten (2FA) validieren wenn sie eine Verbindung zu Compute-Instanzen herstellen. OS Login unterstützt die folgenden Arten der Identitätsbestätigung:

  • Google Authenticator
  • Überprüfung per SMS oder Telefonanruf
  • Smartphone-Aufforderungen
  • Einmalpasswort (OTP) mit Sicherheitsschlüssel

• Unterstützung für die zertifikatbasierte Authentifizierung : Sie können die SSH-Zertifikat authentifizierung verwenden, um eine Verbindung zu Compute-Instanzen herzustellen, die OS Login verwenden. Weitere Informationen finden Sie unter SSH-Zertifikate mit OS Login erforderlich machen.

• Integration mit Audit-Logging : OS Login bietet Audit-Logging, mit dem Sie Verbindungen zu Compute-Instanzen für OS Login-Nutzer überwachen können.

OS Login-IAM-Rollen

OS Login verwendet IAM, um den Anmeldezugriff zu autorisieren. Sie können OS Login-IAM-Rollen auf Instanz-, Ordner- oder Organisationsebene zuweisen. OS Login bietet die folgenden vordefinierten Rollen:

• roles/compute.osLogin: Gewährt Anmeldezugriff ohne sudo-Zugriff auf Compute-Instanzen.
• roles/compute.osAdminLogin: Gewährt Anmeldezugriff mit sudo-Zugriff auf Compute-Instanzen.

Eine Anleitung zum Zuweisen von OS Login-IAM-Rollen finden Sie unter OS Login-IAM-Rollen zuweisen.

So funktioniert OS Login

Wenn OS Login aktiviert ist, führt Compute Engine Konfigurationen auf Compute-Instanzen und den Google-Konten von OS Login-Nutzern aus.

Compute-Instanz konfigurieren

Wenn Sie OS Login aktivieren, ruft die Compute-Instanz die SSH-Schlüssel ab, die dem Linux-Nutzerkonto zugeordnet sind, und authentifiziert damit den Anmeldeversuch.

Sie können eine authorized_keys-Datei konfigurieren, um Zugriff für ein lokales Nutzerkonto bereitzustellen, auch wenn OS Login aktiviert ist. Öffentliche SSH-Schlüssel, die in der Datei authorized_keys konfiguriert sind, werden verwendet, um Nutzeranmeldungsversuche vom lokalen Nutzer zu authentifizieren. Lokale Nutzerkonten und OS Login-Nutzer müssen unterschiedliche Nutzernamen und UIDs haben.

Weitere Informationen zu den OS Login-Komponenten finden Sie auf der GitHub-Seite für OS Login.

Nutzerkontokonfiguration

OS Login konfiguriert Ihr Google-Konto mit POSIX-Informationen, einschließlich eines Nutzernamens, wenn eine der folgenden Aktionen ausgeführt wird:

• Verbindung zu einer OS Login-fähigen Compute-Instanz über die Google Cloud Console herstellen
• Verbindung zu einer OS Login-fähigen Compute-Instanz über die gcloud CLI herstellen
• Öffentlichen SSH-Schlüssel mithilfe der gcloud CLI importieren
• Öffentlichen SSH-Schlüssel mit der OS Login API importieren

OS Login konfiguriert POSIX-Konten mit folgenden Werten:

• Nutzername: Ein Nutzername im Format USERNAME_DOMAIN_SUFFIX. Wenn der Nutzer aus einer anderen Google Workspace-Organisation stammt als der, die seine OS Login-fähigen Compute-Instanzen hostet, wird seinem Nutzernamen das Präfix ext_ vorangestellt. Wenn der Nutzer ein Dienstkonto ist, wird seinem Nutzernamen das Präfix sa_ vorangestellt. Nutzernamen dürfen maximal 32 Zeichen haben. Nutzernamen mit mehr als 32 Zeichen werden abgeschnitten.

  Cloud Identity-Administratoren können Nutzernamen ändern und Google Workspace-Super Admins können das Format der Nutzernamen ändern, um das Domainsuffix zu entfernen.

• UID:eine eindeutige, zufällig generierte POSIX-compliant Nutzer-ID

• GID:Eine POSIX-konforme Gruppen-ID, die der UID entspricht.

• Basisverzeichnis:Der Pfad zum Basisverzeichnis des Nutzers.

Organisationsadministratoren können die POSIX-Kontoinformationen eines Nutzers konfigurieren und aktualisieren. Weitere Informationen finden Sie unter Nutzerkonten mithilfe der Directory API bearbeiten.

Beschränkungen

OS Login wird nicht für alle Compute-Instanzkonfigurationen unterstützt. Weitere Informationen finden Sie unter OS Login-Beschränkungen.

Nächste Schritte

• Schritt-für-Schritt-Anleitungen erhalten Sie in einem der folgenden Abschnitte:
  • OS Login einrichten.
  • OS Login mit 2FA einrichten
• OS Login in einer Organisation verwalten
• Fehlerbehebung bei OS Login