Navodila za uporabo 2FA:
1. Konfigurirajte OTP (enkratno geslo):
• na vaš telefon namestite enega od avtentikatorjev (Aegis Authenticator, Raivo OTP, Google Authenticator, Authy …);
• ssh <uporabniško ime>@hpc-otp.arnes.si;
• prikaže se koda QR, ki jo morate skenirati z vašim mobilnim telefonom;
• zapišite skrivni ključ in ga shranite na varno mesto (Pozneje lahko ključ uporabite za konfiguracijo generatorja OTP na drugih napravah. Ne delite tega ključa z nikomer.);
• mobilna aplikacija bo prikazala 6-mestno kodo, ki velja 30 sekund, nato pa se bo osvežila. Uporabite to številko, ko vas bo prihodnja ssh povezava pozvala k vnosu potrditvene kode.
2. Preizkusite 2FA dostop:
• na strežnikih hpc-login3.arnes.si in hpc-login4.arnes.si je nastavljena 2FA. Poleg dostopa do javnega SSH ključa je za uspešno prijavo potreben tudi OTP;
• ssh <uporabniško ime>@hpc-login3.arnes.si;
• preverite, ali 2FA deluje za vas, če ne, se obrnite na support@sling.si.
Uporabite lahko dve možnosti 2FA:
1. javni SSH ključ + geslo OTP, kot je opisano zgoraj;
2. javni SSH ključ + žeton krb5.
Žeton krb5, ki velja 24 ur, lahko pridobite na prenosnem/namiznem računalniku s:
• kinit <uporabniško ime>@SLING.SI (SLING.SI obvezno z velikimi črkami);
• uporabite možnost -K za ssh za posredovanje žetonov krb5.
Upoštevajte, da je uporaba ključa SSH brez gesla izjemno tvegana. Če ne uporabljate gesla, obstaja tveganje, da so vaši ključi SSH že ogroženi.
Prosimo, da sledeče storite takoj:
• ssh-keygen -p
ali
• ssh-keygen -p -f <ssh-private-key>
za nestandardno ime zasebnega ključa.
Prav tako odstranite javne in zasebne ključe iz vseh oddaljenih gostiteljev (vključno z Arnes HPC) in jih hranite samo na vaši osebni infrastrukturi.
Nato uporabite:
• eval $(ssh-agent)
• ssh-add,
da se izognete ponovnemu vnosu gesla vsakič, ko se prijavite. Če se morate povezati z vmesnimi gostitelji, preden dosežete prijavna vozlišča Arnes HPC, morate uporabiti možnost -A za ssh za posredovanje ključev v ssh-agentu, ki se izvaja na vaši osebni infrastrukturi, ali uporabite možnost -J <jumpusername@jumphost> za vmesne strežnike za neposredno povezavo s ciljnim gostiteljem.
