Создать профиль OS Login
Профили OS Login по умолчанию автоматически создаются для всех пользователей организации Identity Hub при включении доступа по OS Login. При этом у каждого пользователя или сервисного аккаунта может быть одновременно несколько профилей OS Login — вы можете создавать такие профили вручную. Разные профили позволяют подключаться к ВМ или узлам кластеров Kubernetes от имени разных локальных пользователей этих ВМ или узлов Kubernetes.
Для сервисных аккаунтов профили OS Login не создаются автоматически. Чтобы подключаться к ВМ или узлу Kubernetes от имени сервисного аккаунта, вручную создайте для него профиль OS Login.
Примечание
Минимально необходимая роль, позволяющая просматривать список профилей OS Login пользователей — роль organization-manager.osLogins.viewer, назначенная на организацию. Информацию о других ролях, позволяющих просматривать список профилей OS Login, см. в разделе Управление доступом в Yandex Identity Hub.
Чтобы создать профиль OS Login:
-
Войдите в сервис Yandex Identity Hub с учетной записью администратора или владельца организации.
При необходимости переключитесь на нужную организацию или федерацию.
-
На панели слева выберите Пользователи.
-
В списке выберите пользователя, для которого вы хотите создать профиль OS Login.
При необходимости воспользуйтесь фильтром или поиском.
-
На странице пользователя перейдите на вкладку Профили OS Login и нажмите кнопку Создать профиль. В открывшемся окне:
-
Введите имя пользователя в ОС, которое будет присвоено пользователю организации или сервисному аккаунту при подключении к ВМ. Должно быть уникальным в пределах системы.
Примечание
Имя пользователя может содержать латинские буквы, цифры, дефис и подчеркивание, но должно начинаться с буквы, цифры или подчеркивания. Длина от 1 до 32 символов.
-
В поле Идентификатор (UID) задайте уникальный числовой идентификатор пользователя (UID). Он должен быть уникальным в пределах системы.
Важно
Нельзя допускать совпадения UID профиля OS Login и системных профилей операционной системы. Если вы задаете UID вручную, используйте значения в диапазоне от
1002до2^63 - 1, чтобы избежать такого совпадения. -
(Опционально) В поле Домашняя директория укажите путь к домашнему каталогу пользователя.
-
(Опционально) В поле Оболочка по умолчанию укажите путь к исполняемому файлу командной оболочки.
-
Нажмите кнопку Создать.
-
Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.
По умолчанию используется каталог, указанный при создании профиля CLI. Чтобы изменить каталог по умолчанию, используйте команду yc config set folder-id <идентификатор_каталога>. Также для любой команды вы можете указать другой каталог с помощью параметров --folder-name или --folder-id.
-
Посмотрите описание команды CLI для создания профиля OS Login:
yc organization-manager oslogin profile create --help -
Получите идентификатор нужной организации:
yc organization-manager organization listРезультат:
+----------------------+-------------------------+-----------------------+--------+ | ID | NAME | TITLE | LABELS | +----------------------+-------------------------+-----------------------+--------+ | bpf1smsil5q0******** | sample-organization-1 | My organization | | | bpf2c65rqcl8******** | sample-organization-new | New organization | | +----------------------+-------------------------+-----------------------+--------+ -
Получите идентификатор нужного пользователя, указав идентификатор организации, к которой он относится:
yc organization-manager user list \ --organization-id <идентификатор_организации>Результат:
+----------------------+----------+-------------------+---------------+-----------------------+ | ID | USERNAME | EMAIL | FEDERATION ID | LAST AUTHENTICATED AT | +----------------------+----------+-------------------+---------------+-----------------------+ | rser11gh89el******** | user01 | user01@example.ru | | | | mber02hy54km******** | user02 | user02@example.ru | | | +----------------------+----------+-------------------+---------------+-----------------------+Если вы хотите создать профиль OS Login для сервисного аккаунта, получите идентификатор нужного сервисного аккаунта.
-
Создайте профиль OS Login для выбранного пользователя или сервисного аккаунта:
yc organization-manager oslogin profile create \ --organization-id <идентификатор_организации> \ --subject-id <идентификатор_пользователя_или_сервисного_аккаунта> \ --login <логин> \ --uid <числовой_идентификатор> \ --home-directory <путь_к_домашнему_каталогу> \ --shell <путь_до_исполняемого_файла_командной_оболочки>Где:
-
--organization-id— полученный ранее идентификатор организации. -
--subject-id— полученный ранее идентификатор пользователя или сервисного аккаунта. -
--login— имя пользователя в ОС, которое будет присвоено ему при подключении к ВМ. Должно быть уникальным в пределах системы.Примечание
Имя пользователя может содержать латинские буквы, цифры, дефис и подчеркивание, но должно начинаться с буквы, цифры или подчеркивания. Длина от 1 до 32 символов.
-
--uid— уникальный числовой идентификатор пользователя (UID). Должен быть уникальным в пределах системы.Важно
Нельзя допускать совпадения UID профиля OS Login и системных профилей операционной системы. Если вы задаете UID вручную, используйте значения в диапазоне от
1002до2^63 - 1, чтобы избежать такого совпадения. -
--home-directory— путь к домашнему каталогу пользователя на ВМ. Необязательный параметр. Значение по умолчанию —/home/<имя_пользователя>. -
--shell— путь к исполняемому файлу командной оболочки на ВМ. Необязательный параметр. Значение по умолчанию —/bin/bash.
Результат:
id: aje6ddct3de5******** organization_id: bpf1smsil5q0******** subject_id: rser11gh89el******** login: new-os-login uid: "100500" home_directory: home/username shell: bin/bash -
Воспользуйтесь методом REST API createProfile для ресурса OsLogin или вызовом gRPC API OsLoginService/CreateProfile.
Создать профиль OS Login сервисного аккаунта можно только с помощью Yandex Cloud CLI или API.