SSH-Login mit Kerberos
Für die meisten Nutzer ist beim Aufbau einer SSH-Verbindung die standardmäßige Anmeldung per Passwort vollkommen ausreichend. Alternativ können Sie bei Ihrer SSH-Verbindung anstatt eines Passworts aber auch die Authentifizierung über Kerberos (auch bekannt als GSSAPI) nutzen.
Dabei handelt es sich um eine sichere Authentifizierungs-Methode, die funktioniert, ohne dass ihr Passwort direkt an das Zielsystem übertragen wird. Statt des Passworts kommt ein Kerberos-Ticket zum Einsatz, das für eine bestimmte Zeit gültig ist und Ihnen für diesen Zeitraum die wiederholte Eingabe Ihres Passworts bei weiteren Anmeldungen erspart. Das kann vor allem dann sehr nützlich sein, wenn Sie mit mehreren SSH-Verbindungen innerhalb kurzer Zeit arbeiten.
Kerberos-basierte SSH-Verbindungen zu FIM-Poolrechnern
Wenn Sie sich lokal an einem CIP-Pool-Rechner anmelden, erhalten Sie automatisch ein Kerberos-Ticket, das Sie dann für Kerberos-basierte SSH-Verbindungen zu anderen Poolrechnern nutzen können.
Wenn Sie remote eine Kerberos-basierte SSH-Verbindung zu einem FIM-Poolrechner aufbauen wollen, beachten Sie bitte die allgemeinen Voraussetzungen hierfür (z. B. Aufbau einer VPN oder Eduroam-Verbindung). Auf dem Remote-Gerät müssen Sie vor dem Aufbau der SSH-Verbindung zunächst ihr Kerberos-Ticket selbst erzeugen. Auf UNIX-Clients (Linux, Mac oder WSL unter Windows) führen Sie dazu den folgenden Befehl aus:
kinit username@FIM.UNI-PASSAU.DE
Geben Sie statt "username" Ihren FIM-Benutzernamen (z. B. mueller@fim.uni-passau.de) an. Möglicherweise müssen Sie vorher das Paket "krb5-user" installieren, um den Befehle kinit nutzen zu können.
Sie werden aufgefordert, Ihr FIM-Passwort einzugeben und erzeugen damit ein Kerberos-Ticket, mit dem Sie sich auf FIM-CIP-Pool-Rechnern anmelden können.
Die SSH-Anmeldung erfolgt dann mit der zusätzlichen Option "-K":
ssh -K username@rechner.fim.uni-passau.de
Wichtig: Verwenden Sie "ssh -K" nicht, um sich mit Rechnern zu verbinden, denen Sie nicht vertrauen. Mit der Option "-K" wird eine Kopie Ihres Kerberos-Tickets an den Zielcomputer weitergegeben. Ein böswilliger Akteur mit Admin-Zugriff auf den Zielcomputer kann dieses Ticket kopieren und verwenden, um sich mit Ihrem FIM-Konto auf anderen Kerberos-fähigen Systemen anzumelden.
Standardmäßig läuft Ihr Ticket nach einigen Stunden ab, kann aber einige Zeit lang erneuert werden (mit dem Befehl "krenew"), ohne dass Sie erneut ein Passwort eingeben müssen.
Sie können Ihre aktuellen Kerberos-Tickets mit dem Befehl "klist" auflisten.
Weiterführende Dokumentation zu Kerberos finden Sie auf der Kerberos-Website.