Sobre o Login do SO

Nesta página, descrevemos o serviço Login do SO e como ele funciona. Para saber como configurar o Login do SO, consulte Configurar o Login do SO.

Use o Login do SO para gerenciar o acesso SSH às instâncias usando o IAM sem ter que criar e gerenciar chaves SSH individuais. O Login do SO mantém uma identidade de usuário consistente do Linux nas instâncias de VM e é o método recomendado para gerenciar muitos usuários em várias VMs ou projetos.

Benefícios do Login do SO

O login do SO simplifica o gerenciamento do acesso SSH porque vincula sua conta de usuário do Linux à sua identidade do Google. Os administradores podem gerenciar facilmente o acesso a instâncias no nível da instância ou do projeto, definindo permissões do IAM.

O login do SO oferece os seguintes benefícios:

• Gerenciamento automático do ciclo de vida da conta do Linux: vincule diretamente uma conta de usuário do Linux à identidade de um usuário do Google para que as mesmas informações sejam usadas em todas as instâncias no mesmo projeto ou organização.

• Autorização detalhada usando o Google IAM: os administradores no nível do projeto e da instância podem usar o IAM para conceder acesso SSH à identidade do Google de um usuário sem conceder um conjunto mais amplo de privilégios. Por exemplo, é possível conceder a um usuário permissões para fazer login no sistema, mas não a capacidade de executar comandos como sudo. O Google verifica essas permissões para determinar se um usuário pode fazer login em uma instância de VM.

• Atualizações automáticas de permissões: com o Login do SO, as permissões são atualizadas automaticamente quando um administrador altera as permissões do IAM. Por exemplo, se você remover as permissões do IAM de uma identidade do Google, o acesso às instâncias de VM será revogado. O Google verifica as permissões para cada tentativa de login a fim de impedir acesso indesejado.

• Capacidade de importar contas atuais do Linux: os administradores podem sincronizar informações da conta do Linux do Active Directory (AD) e do protocolo Lightweight Directory Access Protocol (LDAP) que são configurados no local. Por exemplo, é possível garantir que os usuários tenham o mesmo código do usuário (UID, sigla em inglês) nos ambientes local e em nuvem.

• Integração com a verificação em duas etapas da Conta do Google: você tem a opção de exigir que os usuários do Login do SO validem a própria identidade usando um dos métodos de verificação em duas etapas (autenticação de dois fatores) ou tipos de desafio a seguir ao se conectarem a VMs:

  • Google Authenticator
  • Verificação por mensagem de texto ou chamada telefônica
  • Prompts do smartphone
  • Senha única da chave de segurança (OTP)

• Suporte para autenticação baseada em certificado: é possível usar a autenticação de certificado SSH para se conectar a VMs que usam o Login do SO. Para mais informações, consulte Exigir certificados SSH com o Login do SO.

• Integração com o registro de auditoria: o Login do SO fornece registro de auditoria que pode ser usado para monitorar conexões com as VMs de usuários do Login do SO.

Como o login do SO funciona

Quando o Login do SO está ativado, o Compute Engine executa as configurações nas VMs e nas Contas do Google dos usuários do Login do SO.

Configuração de VM

Quando você ativa o Login do SO, o Compute Engine exclui os arquivos authorized_keys da VM e configura um servidor OpenSSH. Esse servidor recupera as chaves SSH associadas à conta de usuário do Linux para autenticar a tentativa de login.

É possível configurar um arquivo authorized_keys para provisionar o acesso a uma conta de usuário local, mesmo quando o Login do SO está ativado. As chaves públicas SSH configuradas no arquivo authorized_keys são usadas para autenticar as tentativas de login do usuário local. As contas de usuário locais e os usuários do Login do SO precisam ter nomes de usuário e UIDs diferentes.

Para mais informações sobre os componentes do Login do SO, consulte a página sobre Login do SO no GitHub (em inglês).

Configuração da conta de usuário

O Login do SO configura sua Conta do Google com informações de POSIX, inclusive um nome de usuário, quando você realiza uma das seguintes ações:

• Conectar-se a uma VM com o Login do SO ativado usando o console Google Cloud
• Conectar-se a uma VM habilitada para Login do SO usando a CLI gcloud
• Importar uma chave SSH pública usando a CLI gcloud
• Importar uma chave SSH pública usando a API Login do SO

O Login do SO configura contas POSIX com os seguintes valores:

• Nome de usuário: um nome de usuário no formato de USERNAME_DOMAIN_SUFFIX. Se o usuário for de uma organização do Google Workspace diferente da que hospeda as VMs ativadas para o Login do SO, o nome de usuário dele será prefixado com ext_. Se o usuário for uma conta de serviço, o nome de usuário dela será prefixado com sa_.

  Os administradores do Cloud Identity podem modificar os nomes de usuário e os superadministradores do Google Workspace podem alterar o formato de nome de usuário para remover o sufixo do domínio.

• UID:um ID do usuário exclusivo, gerado aleatoriamente compatível com POSIX.

• GID: um ID de grupo compatível com POSIX que é igual ao UID.

• Diretório inicial: o caminho para o diretório inicial do usuário.

Os administradores da organização podem configurar e atualizar as informações da conta POSIX de um usuário. Para mais informações, consulte Modificar contas de usuário usando a API Directory.

A seguir

• Para instruções passo a passo, leia um dos seguintes procedimentos:
  • Como configurar o Login do SO
  • Como configurar o login do SO com a verificação em duas etapas
• Leia Como gerenciar o Login do SO em uma organização.
• Solução de problemas do Login do SO.