Удаленный доступ























Удаленный доступ

Удаленный доступ SSH-GATE

    Описание сервиса

    С марта 2022 года запрещены прямые подключения по SSH из внешних сетей к серверам внутренней сети ОИЯИ.
    Для выполнения доступа введен сервис ssh-gate. При использовании этого ssh-gate сервиса строка подключения
    к ssh-серверу в сети ОИЯИ выглядит следующим образом:

    ssh -J ‹sso_login›@ssh-gate.jinr.ru ‹user_login›@servername

    Сначала устаналивается сеанс связи с транзитным сервером ssh-gate.jinr.ru, для аутентификации на котором
    используется SSO-учетная запись пользователя.

    Затем, при успешной аутентификации с ssh-gate автоматически устанавливается сеанс связи на запрашиваемый
    пользователем внутренний сервер servername, при этом уже используется учетная запись user_login на сервере servername.

    Таким образом, у пользователя должны быть две учетные записи:

      - многофункциональная учетная запись SSO (https://noc.jinr.ru/ru/service/sso-serv.php);
      - учетная запись на конечном ssh-сервере, на который осуществляется подключение.

    Регистрация

    Сотрудники ОИЯИ получают SSO-учетную запись у администраторов своей лаборатории или в Сетевой Службе ЛИТ https://noc.jinr.ru/ru/about-us/lit-216.php

    Сотрудники других научных и учебных организаций, выполняющие расчеты на ресурсах ОИЯИ, получают SSO-учетную запись только через научных руководителей или координаторов по научной деятельности, являющихся сотрудниками ОИЯИ.

    Учетные записи на конечных ssh-серверах (например, кластеры Hibrilit, Говорун, NCX, LXPUB) выдаются по отдельной регистрации, для каждого кластера своя процедура.

    Программы-клиенты

    Под Windows и Linux доступ через ssh-gate поддерживается системным ssh-клиентом с ключом -J

    Также под Windows можно использовать ssh-клиент Putty, начиная с версии 0.77 pre-release (ниже скриншот)

    В: На компьютере установлена OS Linux, но у ssh нет опции -J
    О: Скорее всего, устаревшая версия OS, обновите до текущей версии. Или установите пакет openssh версии 8.

    Варианты подключения для старых ssh-клиентов, без ключа "-J"

    Вариант 1, через опции:

    $ ssh -o ProxyJump=‹sso_login›@ssh-gate.jinr.ru ‹user_login›@servername.jinr.ru
    $ scp -o ProxyJump=‹sso_login›@ssh-gate.jinr.ru /tmp/my_file.dat ‹user_login›@servername.jinr.ru:/tmp/

    Вариант 2, конфиг + опции:

    $ cat .ssh/config
    Host ssh-jinr

      Hostname ssh-gate.jinr.ru
      PreferredAuthentications "keyboard-interactive"
      User ‹sso_login›

    $ ssh -o ProxyJump=ssh-jinr ‹user_login›@servername.jinr.ru
    $ scp -o ProxyJump=ssh-jinr /tmp/my_file.dat ‹user_login›@servername.jinr.ru:/tmp/

    В: Проверка паролей прошла успешно, соединение установлено, но при отсутствии активности XX минут следует разрыв соединения.
    О: На sshgate не установлены таймауты на неактивность. Скорее всего, разрыв инициируется конечным сервером (уточните у админов сервера, если ли таймаут на отключение) или домашним роутером пользователя (включен режим Интернет под требованию, internet-on-demand).

    Вопросы и пожелания присылайте в Сетевую Службу ЛИТ - noc@jinr.ru