Esta página descreve o serviço de início de sessão no SO e como funciona. Para saber como configurar o Início de sessão do SO, consulte o artigo Configure o Início de sessão do SO.
Use o Início de sessão do SO para gerir o acesso SSH às suas instâncias através do IAM sem ter de criar e gerir chaves SSH individuais. O Início de sessão do SO mantém uma identidade de utilizador do Linux consistente nas instâncias de VM e é a forma recomendada de gerir muitos utilizadores em várias VMs ou projetos.
Vantagens do Início de sessão do SO
O Início de sessão do SO simplifica a gestão do acesso SSH associando a sua conta de utilizador do Linux à sua identidade Google. Os administradores podem gerir facilmente o acesso às instâncias ao nível da instância ou do projeto, definindo autorizações do IAM.
O início de sessão do SO oferece as seguintes vantagens:
Gestão automática do ciclo de vida da conta Linux: pode associar diretamente uma conta de utilizador do Linux à identidade Google de um utilizador para que as mesmas informações da conta Linux sejam usadas em todas as instâncias no mesmo projeto ou organização.
Autorização detalhada através do Google IAM: os administradores ao nível do projeto e da instância podem usar o IAM para conceder acesso SSH à identidade Google de um utilizador sem conceder um conjunto mais amplo de privilégios. Por exemplo, pode conceder a um utilizador autorizações para iniciar sessão no sistema, mas não a capacidade de executar comandos como
sudo. A Google verifica estas autorizações para determinar se um utilizador pode iniciar sessão numa instância de VM.Atualizações automáticas de autorizações: com o início de sessão no SO, as autorizações são atualizadas automaticamente quando um administrador altera as autorizações do IAM. Por exemplo, se remover as autorizações da IAM de uma identidade Google, o acesso às instâncias de VM é revogado. A Google verifica as autorizações para cada tentativa de início de sessão para impedir o acesso indesejado.
Capacidade de importar contas Linux existentes: os administradores podem optar por sincronizar opcionalmente as informações da conta Linux do Active Directory (AD) e do Lightweight Directory Access Protocol (LDAP) que estão configurados no local. Por exemplo, pode garantir que os utilizadores têm o mesmo ID de utilizador (UID) nos seus ambientes na nuvem e no local.
Integração com a validação em dois passos da Conta Google: opcionalmente, pode exigir que os utilizadores do Início de sessão no SO validem a respetiva identidade através de um dos seguintes métodos de validação em dois passos (2FA) ou tipos de desafios quando se ligam a VMs:
- Google Authenticator
- Validação por mensagem de texto ou chamada telefónica
- Comandos telefónicos
- Palavra-passe de utilização única (PUU) da chave de segurança
Suporte para autenticação baseada em certificados: pode usar a autenticação de certificado SSH para se ligar a VMs que usam o Início de sessão do SO. Para mais informações, consulte o artigo Exija certificados SSH com o Início de sessão no SO.
Integração com o registo de auditoria: o Início de sessão do SO fornece registos de auditoria que pode usar para monitorizar as ligações a VMs para utilizadores do Início de sessão do SO.
Como funciona o Início de sessão do SO
Quando o Início de sessão do SO está ativado, o Compute Engine faz configurações nas VMs e nas Contas Google dos utilizadores do Início de sessão do SO.
Configuração da VM
Quando ativa o Início de sessão do SO, a VM obtém as chaves SSH associadas à conta de utilizador do Linux do serviço Início de sessão do SO para autenticar uma tentativa de início de sessão.
Pode configurar um ficheiro authorized_keys para aprovisionar o acesso de uma conta de utilizador local, mesmo quando o Início de sessão do SO está ativado. As chaves públicas de SSH configuradas no ficheiro authorized_keys são usadas para autenticar as tentativas de início de sessão do utilizador local. As contas de utilizadores locais e os utilizadores do Início de sessão do SO têm de ter nomes de utilizador e UIDs diferentes.
Para mais informações sobre os componentes do Início de sessão do SO, reveja a página do GitHub do Início de sessão do SO.
Configuração da conta de utilizador
O Início de sessão do SO configura a sua Conta Google com informações POSIX, incluindo um nome de utilizador, quando faz qualquer uma das seguintes ações:
- Estabeleça ligação a uma VM com o Início de sessão do SO ativado através da Google Cloud consola
- Estabeleça ligação a uma VM com o Início de sessão do SO ativado através da CLI gcloud
- Importe uma chave pública de SSH através da CLI gcloud
- Importe uma chave pública de SSH através da API OS Login
O Início de sessão do SO configura contas POSIX com os seguintes valores:
Nome de utilizador: um nome de utilizador no formato de
USERNAME_DOMAIN_SUFFIX. Se o utilizador for de uma organização do Google Workspace diferente daquela que aloja as VMs com início de sessão do SO ativado, o respetivo nome de utilizador tem o prefixoext_. Se o utilizador for uma conta de serviço, o respetivo nome de utilizador tem o prefixosa_. Os nomes de utilizador não podem exceder 32 carateres. Os nomes de utilizador com mais de 32 carateres são truncados.Os administradores do Cloud ID podem modificar os nomes de utilizador, e os superadministradores do Google Workspace podem alterar o formato do nome de utilizador para remover o sufixo do domínio.
UID: um ID do utilizador exclusivo gerado aleatoriamente em conformidade com POSIX.
GID: um ID do grupo compatível com POSIX que é igual ao UID.
Diretório inicial: o caminho para o diretório inicial do utilizador.
Os administradores organizacionais podem configurar e atualizar as informações da conta POSIX de um utilizador. Para mais informações, consulte o artigo Modifique contas de utilizador através da API Directory.
O que se segue?
- Para ver instruções passo a passo, reveja uma das seguintes opções:
- Reveja o artigo Gerir o Início de sessão do SO numa organização
- Resolva problemas com o Início de sessão do SO.