2. 질의 응답
  3. 회원 자격을 유지하는 그룹에 GCE 사용자를 추가하는 방법은 무엇입니까?

회원 자격을 유지하는 그룹에 GCE 사용자를 추가하는 방법은 무엇입니까?

2016-09-07 2 views
1

GCE의 RHEL7 인스턴스에서 bash 스크립트 설치 프로그램을 사용하여 명령 줄에서 설치 한 소프트웨어 패키지를 사용합니다. 설치 프로그램은 소프트웨어가 실행되는 사용자 xyz와 그룹 xyzgroup을 작성하고 사용자 xyz와 설치 프로그램을 실행 한 사용자 (예 : gce_user)를 xyzgroup 그룹에 추가합니다. 그러나 GCE 구글 - 계정 - daemon.service (GAD)는 주기적으로 그룹 xyzgroup에서 사용자 gce_user을 제거합니다회원 자격을 유지하는 그룹에 GCE 사용자를 추가하는 방법은 무엇입니까?

sudo systemctl -l status google-accounts-daemon.service 
[...] 
Aug 03 23:36:18 rhel7-n4 usermod[7702]: delete 'gce_user' from group 'xyzgroup' 
Aug 03 23:36:18 rhel7-n4 usermod[7702]: delete 'gce_user' from shadow group 'xyzgroup' 
Aug 23 05:12:36 rhel7-n4 usermod[26008]: delete 'gce_user' from group 'xyzgroup' 
Aug 23 05:12:36 rhel7-n4 usermod[26008]: delete 'gce_user' from shadow group 'xyzgroup' 
Sep 05 20:59:26 rhel7-n4 usermod[21884]: delete 'gce_user' from group 'xyzgroup' 
Sep 05 20:59:26 rhel7-n4 usermod[21884]: delete 'gce_user' from shadow group 'xyzgroup'

GAD는 그룹 xyzgroup에서 사용자 XYZ를 제거하지 않습니다하지만. 인스턴스를 생성 할 때 GCE 클라우드 콘솔을 사용하여 gce_user 사용자를 생성하고 해당 사용자에게 ssh 키를 추가했습니다. 설치 프로그램이 사용자 gce_user를 그룹 xyzgroup에 추가했지만 지속되지 않았습니다. sudo gpasswd -a gce_user xyzgroup을 사용하여 사용자를 그룹으로 복원했으나 지속되지 않았습니다. 또한 sudo usermod -a -G xyzgroup gce_user을 사용하여 gce_user 사용자를 xyzgroup 그룹으로 복원했지만 그 중 하나도 유지되지 않았습니다. GAD는 사용자가 그룹에 추가 된 후 며칠 동안 그룹에서 사용자를 삭제했습니다.

내가 GCE Accounts daemon account_utils.py calls usermod이 그룹에 사용자를 추가 할 수 있습니다 :

command = ['usermod', '-G', groups, user]

GCE 워드 프로세서는 클라우드 콘솔이 포함 (리눅스 OS) 사용자 계정을 관리하는 데 사용할 수 있다고 (리눅스 OS) 그룹 구성원 : https://cloud.google.com/compute/docs/access/user-accounts/#create_a_new_user_account

그러나 지침은 다음으로 시작합니다. 1. 으로 이동하십시오.

사용자 계정 페이지로 연결되면 프로젝트를 선택해야합니다. 선택한 페이지는 사용자 계정 페이지가 아니며 프로젝트의 전체 대시 보드 페이지입니다. 대시 보드 페이지 [사용자 계정] 상단의 검색 창에 입력하고 사용자 계정 항목 (자막이 IAM & 자막 인 경우)을 클릭하면 결과 페이지에 "(!)로드 실패"가 표시됩니다.

gce_user 사용자를 그룹 xyzusers에 추가하여 그룹 회원이 유지되고 GAD에서 삭제되지 않게하려면 어떻게해야합니까? 가급적이면 xyz 소프트웨어 패키지의 설치 프로그램 bash 스크립트를 수정할 수 있도록 명령 줄을 사용하십시오.

출처

2016-09-07 Matthew

답변

1

Cloud User Accounts 기능은 화이트리스트를 필요로하는 베타 버전입니다.

이것은 사용자 계정의 베타 릴리스입니다. 이 기능은 이전 버전과 호환되지 않는 방식으로 변경 될 수 있으며 프로덕션 용도로 권장되지 않습니다. SLA 또는 비추천 정책의 적용을받지 않습니다. 이 기능을 사용하려면 화이트리스트에 요청하십시오. 빨간 테이프의 많은 핵심 리눅스 관리 기능의 기본 기능을 사용하기 위해 같은

https://cloud.google.com/compute/docs/access/user-accounts/#useraccountsgroups

출처

2016-09-10 06:16:04 Dagang

+0

보인다,하지만 난 그것을 강조에 대한 감사를 요청했다. – Matthew

+0

보안을 위해서라고 생각합니다. 그들은 그것을 VM 메타 데이터의 일부로 만들고 싶어합니다. – Dagang

+0

정당한 관심사이지만 운영 체제의 그룹 메타 데이터 (예 :/etc/group 등)는 VM 메타 데이터를 채우는 GCE 컨테이너 서비스로 모니터링해야합니다. 또는 OS 메타 데이터 (예 : gpasswd, usermod)를 유지 관리하기위한 OS 도구를 수정하여 VM 메타 데이터도 관리 할 수 ​​있습니다. 시스템 관리자가 강제로 GCloud 도구를 사용하도록하는이 아키텍처는 잘못된 워크 플로입니다. 그리고 이메일을 통해 허용 된 화이트리스트 요청을 강요하는 것은 베타 릴리스의 인공물 일 뿐이지 만 전체 인프라는 실제 출시에서 사라져야합니다. – Matthew

관련 문제

 관련 문제