Zugriff auf Linux Server am RRZE

Diese Anleitung beschreibt wie auf Linux-Server am RRZE zugegriffen werden kann, welche Möglichkeiten der Authentifizierung genutzt werden können und wie root Rechte erlangt werden können.

Zugriff per SSH

Auf jeden Server der durch das RRZE gewartet wird läuft ein SSH-Daemon, hiermit ist SSH der vorgezogene Weg um eine Konsole auf einem Server zu öffnen. Prinzipiell ist der Zugriff mittels berechtigter IdM-Hauptkennung aus allen Uni-Netzen / VPN möglich.
Ausnahme sind Dialog-Server die Weltweit erreichbar sind. Bei Kunden-Servern können noch einzelne externe IPs freigeschaltet werden.

Welche Möglichkeiten zur Authentifizierung gibt es?

Neben der Authentifizierung mit Passwort/OTP ist in einigen Konstellationen auch eine SSH-Key basierte Authentifizierung möglich.
Was hierzu beachtet werden muss und wie OTP-Devices/SSH-Keys verwaltet werden können wird im folgenden Abschnitt erläutert.

LDAP mit NFSv4 Homes (Netapp)

In dieser Konstellation kann nur eine Passwort-basierte Authentifizierung mit optionalen 2-Faktor genutzt werden, da für das Mounten der Homes ein Kerberos-Ticket notwendig ist und hierfür eine Passwort-Eingabe gebraucht wird.
Root Rechte können mit sudo mittels der IdM-Hauptkennung erlangt werden, hierzu ist noch ein 2-Faktor notwendig.
OTP Tokens für einen 2 Faktor können an dieser Stelle verwaltet werden.

Zusammenfassung – LDAP mit NFSv4 Homes

Authentifizierung/Login Passwort
Kennung IdM-Hauptkennung
Root-Rechte/Sudo Passwort + OTP verpflichtend

LDAP mit lokalen Homes

Hier kann neben der Passwort-basierten Authentifizierung auch eine Authentifizierung mit SSH-Keys erfolgen.
Root Rechte können wie im vorherigen Fall erlangt werden.
SSH-Keys können an dieser Stelle im IdM-Portal verwaltet werden.

Zusammenfassung – LDAP mit lokalen Homes

Authentifizierung/Login Passwort oder SSH-Key
Kennung IdM-Hauptkennung
Root-Rechte/Sudo Passwort + OTP verpflichtend

Lokale Authentifizierung mit lokalen Homes

Falls aus triftigen Gründen keine Abhängigkeit zu KDC oder LDAP gewünscht wird, kann auch eine lokale Authentifizierung eingerichtet werden.

Aktuell

Zusammenfassung – lokale Authentifizierung mit lokalen Homes – Aktuell

Authentifizierung/Login Passwort oder SSH-Key
Kennung Login IdM-Hauptkennung oder administrative Kennung (ro- oder mu-Kennungen)
Root-Rechte/Sudo Password
Kennung Sudo Administrative Kennung (ro- oder mu-Kennungen)

Zukünftig

Aus Sicherheitsgründen gibt es zukünftig in diesem Fall nur die Möglichkeit eine SSH-Key basierte Authentifizierung durchzuführen.

Zusammenfassung – lokale Authentifizierung mit lokalen Homes – Zukünftig

Authentifizierung/Login SSH-Key
Kennung IdM-Hauptkennung
Root-Rechte/Sudo Password

Welche Methoden kann ich für meinen Server nutzen?

Um eine Antwort auf diese Frage zu erhalten ist das Anmelden am Server notwendig. Danach kann ein Skript ausgeführt werden, welches die Möglichkeiten auflistet.

bash$ check_rrze_auth

 

Ab dem 01.10.2021 wird für die Authentifizierung an Linux-Servern und zur Erlangung von Root-Rechten nur noch die IdM-Hauptkennung benötigt. Administrative Kennungen (ro / mu) werden nicht mehr benötigt.
Ausnahme sind Server mit lokaler Authentifizierung: Hier muss bis zur Umstellung auf SSH-Keys noch eine administrative Kennung genutzt werden.