Diese Anleitung beschreibt wie auf Linux-Server am RRZE zugegriffen werden kann, welche Möglichkeiten der Authentifizierung genutzt werden können und wie root Rechte erlangt werden können.
Zugriff per SSH
Auf jeden Server der durch das RRZE gewartet wird läuft ein SSH-Daemon, hiermit ist SSH der vorgezogene Weg um eine Konsole auf einem Server zu öffnen. Prinzipiell ist der Zugriff mittels berechtigter IdM-Hauptkennung aus allen Uni-Netzen / VPN möglich.
Ausnahme sind Dialog-Server die Weltweit erreichbar sind. Bei Kunden-Servern können noch einzelne externe IPs freigeschaltet werden.
Welche Möglichkeiten zur Authentifizierung gibt es?
Neben der Authentifizierung mit Passwort/OTP ist in einigen Konstellationen auch eine SSH-Key basierte Authentifizierung möglich.
Was hierzu beachtet werden muss und wie OTP-Devices/SSH-Keys verwaltet werden können wird im folgenden Abschnitt erläutert.
LDAP mit NFSv4 Homes (Netapp)
In dieser Konstellation kann nur eine Passwort-basierte Authentifizierung mit optionalen 2-Faktor genutzt werden, da für das Mounten der Homes ein Kerberos-Ticket notwendig ist und hierfür eine Passwort-Eingabe gebraucht wird.
Root Rechte können mit sudo mittels der IdM-Hauptkennung erlangt werden, hierzu ist noch ein 2-Faktor notwendig.
OTP Tokens für einen 2 Faktor können an dieser Stelle verwaltet werden.
Zusammenfassung – LDAP mit NFSv4 Homes
Authentifizierung/Login | Passwort |
Kennung | IdM-Hauptkennung |
Root-Rechte/Sudo | Passwort + OTP verpflichtend |
LDAP mit lokalen Homes
Hier kann neben der Passwort-basierten Authentifizierung auch eine Authentifizierung mit SSH-Keys erfolgen.
Root Rechte können wie im vorherigen Fall erlangt werden.
SSH-Keys können an dieser Stelle im IdM-Portal verwaltet werden.
Zusammenfassung – LDAP mit lokalen Homes
Authentifizierung/Login | Passwort oder SSH-Key |
Kennung | IdM-Hauptkennung |
Root-Rechte/Sudo | Passwort + OTP verpflichtend |
Lokale Authentifizierung mit lokalen Homes
Falls aus triftigen Gründen keine Abhängigkeit zu KDC oder LDAP gewünscht wird, kann auch eine lokale Authentifizierung eingerichtet werden.
Aktuell
Zusammenfassung – lokale Authentifizierung mit lokalen Homes – Aktuell
Authentifizierung/Login | Passwort oder SSH-Key |
Kennung Login | IdM-Hauptkennung oder administrative Kennung (ro- oder mu-Kennungen) |
Root-Rechte/Sudo | Password |
Kennung Sudo | Administrative Kennung (ro- oder mu-Kennungen) |
Zukünftig
Aus Sicherheitsgründen gibt es zukünftig in diesem Fall nur die Möglichkeit eine SSH-Key basierte Authentifizierung durchzuführen.
Zusammenfassung – lokale Authentifizierung mit lokalen Homes – Zukünftig
Authentifizierung/Login | SSH-Key |
Kennung | IdM-Hauptkennung |
Root-Rechte/Sudo | Password |
Welche Methoden kann ich für meinen Server nutzen?
Um eine Antwort auf diese Frage zu erhalten ist das Anmelden am Server notwendig. Danach kann ein Skript ausgeführt werden, welches die Möglichkeiten auflistet.
bash$ check_rrze_auth
Ab dem 01.10.2021 wird für die Authentifizierung an Linux-Servern und zur Erlangung von Root-Rechten nur noch die IdM-Hauptkennung benötigt. Administrative Kennungen (ro / mu) werden nicht mehr benötigt.
Ausnahme sind Server mit lokaler Authentifizierung: Hier muss bis zur Umstellung auf SSH-Keys noch eine administrative Kennung genutzt werden.