UiOs login-tjeneste (SSH)

Dette dokumentet gir en overordnet beskrivelse UiOs login-tjeneste, og gir en enkel innf?ring i hvordan den brukes.

? English version of this page

1???Overordnet beskrivelse

Login-tjenesten best?r av totalt fire servere som svarer p? ssh. Av de fire serverne er to satt opp med tofaktorautentisering (2FA) via Microsoft Azure, mens de to andre er satt opp med tofaktorautentisering (2FA) via en lokal tjeneste ved UiO:

login.uio.no

Denne tjenesten benytter 2FA via Microsoft Azure. Best?r av to servere i bakkant:

  • morgoth.uio.no
    • Ogs? kjent som login1.uio.no
    • Plassert p? Blindern Campus
  • gothmog.uio.no
    • Ogs? kjent som login2.uio.no
    • Plassert i Oslo sentrum (Tullinl?kka)
rlogin.uio.no

Denne tjenesten benytter 2FA via en lokal tjeneste ved UiO. Best?r av to servere i bakkant:

  • soria.uio.no
    • Ogs? kjent som login3.uio.no
    • Plassert p? Blindern Campus
  • moria.uio.no
    • Ogs? kjent som login4.uio.no
    • Plassert i Oslo sentrum (Tullinl?kka)

Felles for disse to tjenestene:

  • De best?r av to servere i bakkant. N?r man logger inn via tjenestenavnet (login eller rlogin) er det tilfeldig hvilken av de bakenforliggende serverne man havner p?
  • 2FA vil kun avkreves dersom forbindelsen kommer fra utenfor UiO. Innenfor UiO holder det med passord eller public key.
  • De har samme programvare installert, og skal kunne brukes p? samme m?te
  • De best?r begge av to bakenforliggende servere som er plassert forskjellig sted (Blindern Campus / Tullinl?kka)
  • De er tilgjengelig fra hele internett
  • Begge tjenestene lytter p? ssh-forbindelser p? b?de port 22 og port 443. Sistnevnte er tilgjengelig for de tilfellene der man har en utg?ende brannmur som sperrer for port 22.

Ulikheter mellom tjenestene:

  • Ettersom login.uio.no benytter 2FA via Microsoft Azure, vil 2FA-autentiseringen her kun fungere for brukere som er eksportert til Microsoft Azure. Personer ved UiO som har mer enn ett brukernavn vil kunne oppleve at kun ett av brukernavnene fungerer med denne tjenesten. Denne begrensningen gjelder ikke for rlogin.uio.no.
  • For login.uio.no st?ttes b?de "push notifications" via mobilappen "Microsoft Authenticator", og One-Time-Password (OTP-koder). For rlogin.uio.no st?ttes kun OTP-koder
? login.uio.no rlogin.uio.no
Push notification ? ?
OTP-kode ? ?
Alle brukere ? [1] ?
Tilgjengelig fra internett ? ?
SSH p? port 443 ? ?
Georedundans ? ?
St?tter public key ? ?
Ingen 2FA fra innsiden ? ?

Footnotes

[1]Kun tilgjengelig for brukere som er eksportert til Microsoft Azure

1.1???Caching av 2FA

B?de login.uio.no og rlogin.uio.no mellomlagrer 2FA-autentiseringen i en periode (36 timer). Dersom du logger inn fra samme klient (IP-nummer) innenfor dette tidsrommet vil du kunne slippe ? taste 2FA-kode ettersom den allerede er forh?ndsgodkjent.

Merk at 2FA-cachingen f?lger maskin. Ettersom login.uio.no og rlogin.uio.no hver best?r av 2 maskiner, og det er tilfeldig hvilken du havner p? om du bruker navnet "login.uio.no" eller "rlogin.uio.no", vil du kunne oppleve ? m?tte angi 2FA dersom du havner p? den ene av de to som du ikke allerede har logget inn p? siste 36 timer.

2???Komme i gang

2.1???Oppsett av 2FA

For login.uio.no, som bruker 2FA via Microsoft, se Forh?ndsklargj?ring av tofaktorautentisering

For rlogin.uio.no, som bruker 2FA via lokal tjeneste ved UiO, sett opp 2FA ved ? peke en nettleser til Passordtjenester og velg Lokal tofaktor.

2.2???Logge inn via ssh

N?r 2FA er satt opp som beskrevet over skal innlogging fungere. Man ?pner da en terminal, eksempelvis powershell p? Windows og skriver en av disse kommandoene:

ssh brukernavn@hostnavn
ssh hostnavn -l brukernavn
ssh hostnavn

I de to f?rste variantene angir man brukernavnet. Det er n?dvendig dersom innlogget brukernavn er forskjellig fra brukernavnet ved UiO som man ?nsker ? logge inn om. De to variantene gj?r akkurat det samme, og hvilken av disse man ?nsker ? bruke avhenger kun av personlig preferanse. Dersom innlogget brukernavn er identisk med UiO-brukernavnet kan man bruke den siste varianten.

Dersom innloggingen skjer fra utenfor UiO-nettet vil man avkreves 2FA. Dette ser slik ut for login.uio.no:

$ ssh brukernavn@login.uio.no

This host utilizes two-factor authentication via Microsoft Azure.
If you are using the Microsoft Authenticator mobile application, you
should have received a notification which you need to accept in
order to proceed. If you are using One Time Password (OTP) codes,
enter the OTP code now.

Dersom man har satt opp 2FA hos Microsoft til ? benytte OTP-koder, kommer f?lgende tekst i tillegg:

Enter Your Microsoft verification code

Godkjenn s? "push notification" via Microsoft Authenticator, eller skriv inn OTP-koden og trykk enter. Man vil s? bli spurt om passord:

Password:

Skriv inn passordet, og man blir logget inn.

For rlogin.uio.no ser det litt annerledes ut:

$ ssh brukernavn@rlogin.uio.no

This host utilizes two-factor authentication via a local RADIUS service.
Set up your two-factor codes at [https://passord.uio.no/]

Verification_Code:

Skriv inn OTP-koden, og man blir spurt om passord akkurat som for login.uio.no som beskrevet over.

3???sftp-tjenesten

Som de andre login-tjenestene best?r sftp-tjenesten av to maskiner, plassert forskjellig sted (Blindern og Oslo sentrum), for redundans og robusthet:

$ host login-sftponly.uio.no
login-sftponly.uio.no has address 129.240.114.46
login-sftponly.uio.no has address 129.240.114.54
login-sftponly.uio.no has IPv6 address 2001:700:100:8071::54
login-sftponly.uio.no has IPv6 address 2001:700:100:8070::46

Denne tjenesten har som form?l ? tilby enkel sftp, scp [2] og sshfs for de som ?nsker det, uten tofaktorautentisering. Den har derfor noen viktige begrensninger:

  • Den tillater kun SSH-n?kkelautentisering (public key). Man kan ikke bruke denne tjenesten uten ? p? forh?nd ha satt opp n?kkelautentisering som beskrevet her:

    Husk ? sette passord p? n?kkelen! Man kan bruke ssh-agent, enten direkte eller via programmer som GNOME sin keyring, for ? slippe ? skrive inn passordet hver gang.

  • Den tillater kun sftp, eller tjenester som bruker sftp, som scp [2] og sshfs. Den kan dermed ikke brukes til interaktiv innlogging.

  • Den kan ikke brukes til ? gj?re proxyjump videre til andre maskiner

3.1???Enkel bruk av sftp-tjenesten

sftp-tjenesten kan brukes til sftp, scp [2] og sshfs. I alle eksempler brukes login-sftponly.uio.no. Dersom man ?nsker kan man bruke et av tjenestens aliaser istedenfor:

  • sftp.uio.no
  • scp.uio.no
  • sshfs.uio.no

Det spiller ingen rolle hvilken av disse man bruker til hva, eller om man bruker det egenlige navnet login-sftponly.uio.no.

sftp

For ? gj?re enkel filoverf?ring kan man bruke sftp direkte. Dette har funksjonalitet som ligner p? normal FTP. Eksempel p? bruk:

$ sftp brukernavn@login-sftponly.uio.no
sftp> ls
[... lister opp filer p? server ...]
sftp> get fil1.txt
Fetching /uio/kant/uio-u1/brukernavn/fil1.txt to fil1.txt
fil1.txt                          100%   13KB   4.8MB/s   00:00
sftp> lls
[... lister opp lokale filer ...]
sftp> put fil2.txt
Uploading fil2.txt to /uio/kant/uio-u1/brukernavn/fil2.txt
fil2.txt                          100%  451   522.8KB/s   00:00
sftp> quit

I eksemplet over brukes ls til ? liste opp filer p? serveren, vi bruker s? get til ? hente en fil fra servere. Vi lister s? opp filer p? klienten med lls og bruker put til ? laste opp en fil til serveren.

scp

Notat

Bare for nyere versjoner av openssh-klienten, der scp bruker SFTP som underliggende mekanisme.

Denne kommandoen er velkjent for brukere av SSH. Det er en enkel m?te ? gj?re filoverf?ring. Eksempel p? bruk:

$ scp brukernavn@login-sftponly.uio.no:fil1.txt .
fil1.txt                          100%  13KB  224.2KB/s   00:00

$ scp fil2.txt brukernavn@login-sftponly.uio.no:
fil2.txt                          100%  451   456.4KB/s   00:00

I eksemplet henter vi f?rst en fil fra serveren, og deretter laster opp en fil til serveren.

sshfs

For ? montere UiO-hjemmeomr?det lokalt som et filsystem via SSH kan man bruke sshfs. Eksempel p? bruk:

F?rst lager man en mappe som monteringspunkt, hvis mappen ikke finnes fra f?r:

$ mkdir uiohome

Deretter kan man montere via sshfs:

$ sshfs brukernavn@login-sftponly.uio.no: uiohome

UiO-hjemmeomr?det er n? tilgjengelig under mappen "uiohome", og kan brukes som et normalt filsystem. N?r man ikke lenger ?nsker at dette skal v?re montert/tilgjengelig lokalt, kan filsystemet avmonteres:

$ umount uiohome
[2](1, 2, 3)

scp fungerer kun med nyere versjon av openssh-klienten, der scp bruker SFTP som underliggende mekanisme. Openssh-versjonen er for gammel hvis du f?r f?lgende feilmelding ved bruk av scp:

This service allows sftp connections only.

Dersom dette skjer vil det beste alternativet v?re ? bruke sftp istedenfor scp.
Av Trond Hasle Amundsen
Publisert 22. mai 2024 14:48
Del p? e-post