מידע על OS Login

בדף הזה מוסבר על שירות OS Login ואיך הוא פועל. למידע נוסף והוראות מפורטות, תוכלו לקרוא את המאמר בנושא הגדרת OS Login.

שימוש ב-OS Login כדי לנהל גישת SSH למכונות באמצעות IAM, בלי שתצטרכו ליצור ולנהל מפתחות SSH נפרדים. התכונה OS Login שומרת על זהות משתמש עקבית ב-Linux בכל מכונות ה-VM, והיא הדרך המומלצת לניהול של משתמשים רבים בכמה מכונות VM או פרויקטים.

היתרונות של OS Login

שירות OS Login מפשט את ניהול הגישה ל-SSH על ידי קישור חשבון המשתמש שלכם ב-Linux לזהות שלכם ב-Google. אדמינים יכולים לנהל בקלות את הגישה למופעים ברמת המופע או ברמת הפרויקט על ידי הגדרת הרשאות IAM.

היתרונות של OS Login:

  • ניהול אוטומטי של מחזור החיים של חשבונות Linux – אתם יכולים לקשר ישירות חשבון משתמש ב-Linux לזהות של משתמש ב-Google, כך שאותם פרטי חשבון ב-Linux ישמשו בכל המקרים באותו פרויקט או באותו ארגון.

  • הרשאות גישה מפורטות באמצעות Google IAM – אדמינים ברמת הפרויקט והמכונה יכולים להשתמש ב-IAM כדי להעניק גישת SSH לזהות Google של משתמש, בלי להעניק קבוצה רחבה יותר של הרשאות. לדוגמה, אתם יכולים להעניק למשתמש הרשאות להתחבר למערכת, אבל לא את היכולת להריץ פקודות כמו sudo. ‫Google בודקת את ההרשאות האלה כדי לקבוע אם משתמש יכול להתחבר למופע של מכונה וירטואלית.

  • עדכוני הרשאות אוטומטיים – עם OS Login, ההרשאות מתעדכנות אוטומטית כשמנהל משנה את הרשאות IAM. לדוגמה, אם מסירים הרשאות IAM מזהות Google, הגישה למכונות וירטואליות מבוטלת. ‫Google בודקת את ההרשאות של כל ניסיון כניסה כדי למנוע גישה לא רצויה.

  • אפשרות לייבא חשבונות Linux קיימים – אדמינים יכולים לבחור לסנכרן באופן אופציונלי נתוני חשבונות Linux מ-Active Directory ‏ (AD) ומ-Lightweight Directory Access Protocol ‏ (LDAP) שהוגדרו בפריסה מקומית. לדוגמה, אתם יכולים לוודא שלמשתמשים יש את אותו מזהה משתמש (UID) גם בסביבות הענן וגם בסביבות המקומיות.

  • שילוב עם אימות דו-שלבי בחשבון Google – אתם יכולים לדרוש ממשתמשי OS Login לאמת את הזהות שלהם באמצעות אחת מהשיטות הבאות לאימות דו-שלבי (2FA) או סוגי האתגרים הבאים כשהם מתחברים למכונות וירטואליות:

  • תמיכה באימות מבוסס-אישורים – אתם יכולים להשתמש באימות באמצעות אישורי SSH כדי להתחבר למכונות וירטואליות שמופעל בהן OS Login. מידע נוסף זמין במאמר איך דורשים אישורי SSH עם OS Login.

  • שילוב עם רישום ביומן הביקורת – OS Login מספק רישום ביומן הביקורת שבו אפשר להשתמש כדי לעקוב אחרי חיבורים למכונות וירטואליות של משתמשי OS Login.

איך OS Login פועל

כש-OS Login מופעל, ‏ Compute Engine מבצע הגדרות במכונות וירטואליות ובחשבונות Google של משתמשי OS Login.

הגדרת VM

כשמפעילים את OS Login, המכונה הווירטואלית מאחזרת את מפתחות ה-SSH שמשויכים לחשבון המשתמש ב-Linux משירות OS Login כדי לאמת ניסיון כניסה.

אתם יכולים להגדיר קובץ authorized_keys כדי להקצות גישה לחשבון משתמש מקומי גם כש-OS Login מופעל. מפתחות SSH ציבוריים שמוגדרים בקובץ authorized_keys משמשים לאימות ניסיונות התחברות של משתמשים על ידי המשתמש המקומי. למשתמשים בחשבונות משתמשים מקומיים ולמשתמשים ב-OS Login צריכים להיות שמות משתמשים ומזהי משתמש (UID) שונים.

מידע נוסף על הרכיבים של OS Login זמין בדף GitHub של OS Login.

הגדרת חשבון משתמש

OS Login מגדיר את חשבון Google עם פרטי POSIX, כולל שם משתמש, כשמבצעים אחת מהפעולות הבאות:

  • התחברות למכונה וירטואלית שמופעל בה OS Login באמצעות Google Cloud המסוף
  • התחברות למכונה וירטואלית שמופעל בה OS Login באמצעות ה-CLI של gcloud
  • ייבוא של מפתח SSH ציבורי באמצעות ה-CLI של gcloud
  • ייבוא של מפתח ציבורי SSH באמצעות OS Login API

OS Login מגדיר חשבונות POSIX עם הערכים הבאים:

  • שם משתמש: שם משתמש בפורמט USERNAME_DOMAIN_SUFFIX. אם המשתמש שייך לארגון אחר ב-Google Workspace ולא לארגון שמארח את המכונות הווירטואליות שמופעל בהן OS Login, שם המשתמש שלו יתחיל ב-ext_. אם המשתמש הוא חשבון שירות, שם המשתמש שלו מתחיל בקידומת sa_. שמות המשתמשים לא יכולים להכיל יותר מ-32 תווים. שמות משתמשים שמכילים יותר מ-32 תווים נחתכים.

    אדמינים ב-Cloud Identity יכולים לשנות שמות משתמשים, וסופר-אדמינים ב-Google Workspace יכולים לשנות את הפורמט של שם המשתמש כדי להסיר את הסיומת של הדומיין.

  • UID: מזהה משתמש ייחודי שנוצר באופן אקראי ותואם ל-POSIX.

  • GID: מזהה קבוצה שתואם ל-POSIX, זהה ל-UID.

  • ספריית הבית: הנתיב לספריית הבית של המשתמש.

אדמינים בארגון יכולים להגדיר ולעדכן את פרטי החשבון של משתמש על פי POSIX. מידע נוסף זמין במאמר בנושא שינוי חשבונות משתמשים באמצעות Directory API.

המאמרים הבאים