Skoči na glavno vsebino
Stanje omrežja in storitev

Uvedba dvostopenjske avtentikacije za dostop do Arnesove računske gruče

četrtek, 26. 9. 2024 15:09

Slovenski raziskovalci in študenti lahko za visokozmogljivo računanje uporabite superračunalniško gručo, ki jo upravljamo na Arnesu. V gručo je vključen tudi sestav, ki podpira paralelno visoko zmogljivo računanje – HPC. Uporaba Arnesove računske gruče je namenjena tudi preizkušanju uporabe tehnologije gruč na raziskovalnih področjih ter učenju uporabnikov in sistemskih upraviteljev za uporabo tehnologije na novih raziskovalnih področjih.

Boljša varnost

Zaradi boljše varnosti za dostop do Arnesove gruče HPC uvajamo dvostopenjsko avtentikacijo (2FA). Prijavni vozlišči hpc-login1.arnes.si in hpc-login2.arnes.si bosta na voljo do 25. oktobra 2024. Po tem datumu bo obvezna uporaba 2FA. S 23. septembrom smo v uporabo dodali prijavni vozlišči hpc-login3.arnes.si in hpc-login4.arnes.si, za katerih je obvezna dvostopenjska avtentikacija. Trenutno s hpc-login.arnes.si dostopamo do hpc-login1.arnes.si in hpc-login2.arnes.si, to se bo 30. septembra 2024 spremenilo na hpc-login3.arnes.si in hpc-login4.arnes.si.

Kako uporabiti dvostopenjsko avtentikacijo?

1. Konfigurirajte OTP (enkratno geslo)

  • na vaš telefon namestite enega od avtentikatorjev (Aegis Authenticator, Raivo OTP, Google Authenticator, Authy …);
  • ssh <uporabniško ime>@hpc-otp.arnes.si;
  • prikaže se koda QR, ki jo morate skenirati z vašim mobilnim telefonom;
  • zapišite skrivni ključ in ga shranite na varno mesto (Pozneje lahko ključ uporabite za konfiguracijo generatorja OTP na drugih napravah. Ne delite tega ključa z nikomer.);
  • mobilna aplikacija bo prikazala 6-mestno kodo, ki velja 30 sekund, nato pa se bo osvežila. Uporabite to številko, ko vas bo prihodnja ssh povezava pozvala k vnosu potrditvene kode.

2. Preizkusite dostop 2FA

  • na strežnikih hpc-login3.arnes.si in hpc-login4.arnes.si je nastavljena 2FA. Poleg dostopa do javnega SSH ključa je za uspešno prijavo potreben tudi OTP;
  • ssh <uporabniško ime>@hpc-login3.arnes.si;
  • preverite, ali 2FA deluje za vas, če ne, se obrnite na support@sling.si.

Dvofaktorska avtentikacija bo na vseh prijavnih vozliščih obvezna od 25. oktobra 2024.

Uporabite lahko dve možnosti 2FA

  • javni SSH ključ + geslo OTP, kot je opisano zgoraj;
  • 2. javni SSH ključ + žeton krb5.

Žeton krb5, ki velja 24 ur, lahko pridobite na prenosnem/namiznem računalniku s:

  • kinit <uporabniško ime>@SLING.SI;
  • uporabite možnost -K za ssh za posredovanje žetonov krb5.

Upoštevajte, da je uporaba ključa SSH brez gesla izjemno tvegana in je bila razlog za uspešne napade na nekatere HPC-je v zadnjih nekaj mesecih. Če ne uporabljate gesla, obstaja tveganje, da so vaši ključi SSH že ogroženi.

Prosimo, da naslednje storite takoj:

  • ssh-keygen -p ali
  • ssh-keygen -p -f <ssh-private-key>za nestandardno ime zasebnega ključa.

Prav tako odstranite javne in zasebne ključe iz vseh oddaljenih gostiteljev (vključno z Arnes HPC) in jih hranite samo na vaši osebni infrastrukturi.

Nato uporabite:

  • eval $(ssh-agent)
  • ssh-add.

S tem se boste izognili ponovnemu vnosu gesla vsakič, ko se prijavite. Če se morate povezati z vmesnimi gostitelji, predno dosežete prijavna vozlišča Arnes HPC, morate uporabiti možnost -A za ssh za posredovanje ključev v ssh-agentu, ki se izvaja na vaši osebni infrastrukturi, ali uporabite možnost -J <jumpusername@jumphost> za vmesne strežnike za neposredno povezavo s ciljnim gostiteljem.

<- Nazaj na stran: Novice

Naročite se na RSS obvestila

Pomoč uporabnikom

01 479 88 00
(delavniki, 8:00–16:00)