Zaradi boljše varnosti se za dostop do Arnesove HPC gruče uvaja dvostopenjska avtentikacija (2FA). Prijavni vozlišči hpc-login1.arnes.si in hpc-login2.arnes.si bosta na voljo do 25. oktobra 2024. Po tem datumu bo obvezna uporaba 2FA. S 23. 9. 2024 Arnes dodaja v uporabo prijavni vozlišči hpc-login3.arnes.si in hpc-login4.arnes.si, za kateri je obvezna dvostopenjska avtentikacija. Trenutno s hpc-login.arnes.si dostopamo do hpc-login1.arnes.si in hpc-login2.arnes.si, to se bo 30. septembra 2024 spremenilo na hpc-login3.arnes.si in hpc-login4.arnes.si.
Navodila za uporabo 2FA:
1. Konfigurirajte OTP (enkratno geslo):
• na vaš telefon namestite enega od avtentikatorjev (Aegis Authenticator, Raivo OTP, Google Authenticator, Authy …);
• ssh <uporabniško ime>@hpc-otp.arnes.si;
• prikaže se koda QR, ki jo morate skenirati z vašim mobilnim telefonom;
• zapišite skrivni ključ in ga shranite na varno mesto (Pozneje lahko ključ uporabite za konfiguracijo generatorja OTP na drugih napravah. Ne delite tega ključa z nikomer.);
• mobilna aplikacija bo prikazala 6-mestno kodo, ki velja 30 sekund, nato pa se bo osvežila. Uporabite to številko, ko vas bo prihodnja ssh povezava pozvala k vnosu potrditvene kode.
2. Preizkusite 2FA dostop:
• na strežnikih hpc-login3.arnes.si in hpc-login4.arnes.si je nastavljena 2FA. Poleg dostopa do javnega SSH ključa je za uspešno prijavo potreben tudi OTP;
• ssh <uporabniško ime>@hpc-login3.arnes.si;
• preverite, ali 2FA deluje za vas, če ne, se obrnite na support@sling.si.
2FA bo na vseh prijavnih vozliščih obvezen od 25. oktobra 2024.
Uporabite lahko dve možnosti 2FA:
1. javni SSH ključ + geslo OTP, kot je opisano zgoraj;
2. javni SSH ključ + žeton krb5
Žeton krb5, ki velja 24 ur, lahko pridobite na prenosnem/namiznem računalniku s:
• kinit <uporabniško ime>@SLING.SI (SLING.SI obvezno z velikimi črkami);
• uporabite možnost -K za ssh za posredovanje žetonov krb5.
Upoštevajte, da je uporaba ključa SSH brez gesla izjemno tvegana in je bila razlog za uspešne napade na nekatere HPC-je v zadnjih nekaj mesecih. Če ne uporabljate gesla, obstaja tveganje, da so vaši ključi SSH že ogroženi.
Prosimo, da sledeče storite takoj:
• ssh-keygen -p
ali
• ssh-keygen -p -f <ssh-private-key>
za nestandardno ime zasebnega ključa.
Prav tako odstranite javne in zasebne ključe iz vseh oddaljenih gostiteljev (vključno z Arnes HPC) in jih hranite samo na vaši osebni infrastrukturi.
Nato uporabite:
• eval $(ssh-agent)
• ssh-add,
da se izognete ponovnemu vnosu gesla vsakič, ko se prijavite. Če se morate povezati z vmesnimi gostitelji, preden dosežete prijavna vozlišča Arnes HPC, morate uporabiti možnost -A za ssh za posredovanje ključev v ssh-agentu, ki se izvaja na vaši osebni infrastrukturi, ali uporabite možnost -J <jumpusername@jumphost> za vmesne strežnike za neposredno povezavo s ciljnim gostiteljem.
