Informatik SSH-Server
Über das “Secure Shell” (SSH)-Zugangsprotokoll erhalten Sie einen sicheren Terminalzugang zu Diensten des Informatik-Rechenzentrums, beispielsweise für
- Zugang zum persönlichen Datenbereich,
- Ausführen von (kleinen) Linux/Unix-Scripten und Programmen,
- Einloggen auf andere, nicht von außen erreichbare Unix-Rechner,
- Umlenkung von Graphikausgaben mittels X-Protokoll (bei ausreichender Bandbreite)
- Tunneln ins Informatiknetz mit
sshuttle
Als zentraler, direkt erreichbarer SSH-Server steht Ihnen hierfür im iRZ der Rechner
rzssh1.informatik.uni-hamburg.de
zur Verfügugung. Das SSH-Protokoll unterstützt leider keine Zertifikats-Authoritäten und damit nicht die DFN-CA der Universität, sondern verwendet selbsterzeugte Private/Public-Key-Schlüssel. Sie können aber die Authentizität über den aktuell gültigen HostKey-(ECDSA)-Fingerprint des Servers überprüfen:
SHA256:mMfqLOIIj4spGkmKC3gvYpXqRI3/K8waCYGBqXGfZGk
Falls für Ihre SSH-Verbindung als HostKey-Algorithmus ED25519 verwendet wird, ist der Fingerprint:
SHA256:da+2PJib3dWUM8WeLIU9DMtllI1yGoIPP4yAZiG+OXo
Benutzung von SSH
Auf Linux-Rechnern rufen Sie das Programm ssh
direkt in einem Terminalfenster auf.
Auf Macs rufen Sie das Programm ssh
in Programme → Dienstprogramme → Terminal auf.
Dabei geben sie ihre Benutzerkennung (Beispiel 0user
) wie folgt ein:
ssh -l 0user rzssh1.informatik.uni-hamburg.de
oder
ssh 0user@rzssh1.informatik.uni-hamburg.de
Auf Windows-Rechnern können Sie z.B. das SSH-Programm Putty installieren und benutzen. Auch hier müssen Sie beim Aufruf Ihre Benutzerkennung (z.B. 0user
) und den Servernamen rzssh1.informatik.uni-hamburg.de
angeben.
Authentisierung
Es gibt drei Möglichkeiten, sich bei einer SSH-Verbindung mit seiner Benutzerkennung zu authentifizieren:
- Authentisierung mit Passwort
-
Dies ist der einfachste Fall. Wenn der SSH-Server
rzssh1
Sie nach dem Passwort zu Ihrer Informatik-Benutzerkennung fragt, geben Sie bitte dieses ein.Technisch: Dabei wird Ihnen zum einen Zugriff auf den Rechner gegeben, zum anderen aus Ihrer Kennung und Ihrem Passwort ein sogenanntes “Kerberos-Ticket” erzeugt, mit dem Sie Zugriff auf Ihr Home-Verzeichnis auf einem der Informatik-Fileserver, also auf Ihre Benutzerdaten, erlangen.
- Authentisierung mit Kerberos-Ticket
-
Wenn Sie sich bereits im Fachbereichsnetz mit Ihrer Informatikkennung angemeldet haben, z.B. auf Ihrem Büro-PC oder im Informatik-Rechnerpool, haben Sie auch dabei automatisch ein Kerberos-Ticket bekommen, um auf Ihr Home-Verzeichnis zugreifen zu können. Wenn Sie sich dann von ihrem Rechner mit SSH auf manche dafür konfigurierte Server einloggen (z.B.
ccblade*
,rzgpu*
), wird ihr vorhandenes Kerberos-Ticket automatisch zur Authentisierung auf diesem Server genutzt, so dass Sie dort nicht mehr nach Ihrem Passwort gefragt werden, sondern direkt Zugang bekommen. - Authentisierung mit persönlichem SSH-Schlüssel
-
SSH kann neben Private/Public-Key-Schlüsseln zur Serverauthentisierung auch von Benutzern erstellte persönliche Private/Public-Key-Schlüssel zur Benutzerauthentisierung nutzen.
Das funktioniert bei uns aber normalerweise wegen eines Henne-Ei-Problems nicht.
Wenn Sie sich mit
ssh-keygen
ein persönliches SSH-Schlüsselpaar generieren, haben Sie den Private Key auf Ihrem eigenen PC/Notebook, und sie müssen den Public Key auf dem Zielrechner, also in Ihrem Informatik-Homeverzeichnis ablegen. Beim Einloggen aufrzssh1
will der SSH-Server dann prüfen, ob diese beiden Schlüssel zusammenpassen, und muss dazu den Public Key in Ihrem Homeverzeichnis lesen.Das kann er aber in der Regel nicht, weil Ihr Homeverzeichnis auf einem der Informatik-Fileserver nur dann zugreifbar ist, wenn ein aus Ihrem Passwort generiertes Kerberos-Ticket existiert, z.B. von einem parallelen oder früheren Login. Deshalb scheitert die Authentisierung mit Ihrem persönlichen SSH-Schlüssel und Sie werden nach Ihrem Passwort gefragt. Erst dabei wird Ihr Kerberos-Ticket erzeugt, das Ihnen dann Ihr Homverzeichnis freigibt.