Giv SSH-adgang fra institutionslogin med ny software fra DeiC
Nu kan forskere og studerende bruge deres eksisterende universitetslogin (WAYF) til at tilgå både web- og kommandolinje-baserede forskningsressourcer som f.eks. HPC.
DeiC og WAYF-teamet har udviklet et simpelt, men effektivt stykke software, som gør det muligt at forbinde webbaseret, fødereret login med SSH-adgang til forskningsinfrastruktur.
Softwaren fungerer som en bro mellem 2 verdener
Softwaren fungerer som en bro mellem to verdener, nemlig den webbaserede autentifikation, som forskere allerede bruger gennem deres universitetslogin via føderationen, og den kommandolinjebaserede adgang via SSH, som ofte anvendes ved fx HPC-anlæg. På den måde udvides føderationers dækningsområde fra kun webbaserede tjenester til nu også at omfatte SSH-baserede ressourcer. Det øger værdien af at deltage i føderationer som WAYF, fordi forskere og studerende således kan bruge deres eksisterende identitet til at tilgå både web- og kommandolinjebaserede forskningsressourcer.
Med softwaren kører man således dels en webservice, som kan modtage login i browseren fra en fødereret brugerorganisation (fx gennem WAYF), og dels en SSH-server, som brugeren kalder fra sin terminal med en kommando, som softwaren har serveret for hende i browseren. I og med, at hun afvikler kommandoen, downloader brugeren et SSH-certifikat, som passer til den privatnøgle, hun har liggende lokalt.
Resultatet er en brugervenlig, sikker og skalerbar løsning, hvor eksisterende webbaseret identitetsstyring kan udnyttes direkte til SSH-adgang — uden behov for særskilte nøgler eller manuel certifikatadministration.
er login på tværs af organisationer, f.eks. at man kan bruge sit universitetslogin, sin digitale identitet på universitetet, til at få adgang til tjenester uden for universitetet. Sådan en udvidet brug af digitale identiteter er mulig inden for rammerne af en identitetsføderation som WAYF (Where Are You From): en forening af institutioner og tjenesteudbydere, som har aftalt rammerne for, at institutionernes brugere kan logge på tjenesteudbydernes tjenester med deres institutionsbrugerkonti. Et andet eksempel er identitetsføderationen NemLog-in, som muliggør brug af Digitaliseringsstyrelsens "MitID" ved mange forskellige tjenester, fx skat.dk og borger.dk.
er en forkortelse for Secure Shell og er betegnelsen for en sikker fjernforbindelse til en computer eller server. Det er en sikker protokol, der bruges til at få krypteret fjernadgang til computere, servere og netværksenheder. Man bruger SSH til at logge ind, administrere filer, køre programmer og styresystemer på en sikker måde, selv over usikre netværk som internettet.
Sådan fungerer det i praksis
Når en forsker logger ind via sin institutions fødererede loginløsning, f.eks. WAYF, udsteder værktøjet et SSH-certifikat baseret på denne autentifikation. Certifikatet kan man derefter bruge til at logge sikkert ind på ressourcer, der accepterer SSH-certifikater, f.eks. et HPC-anlæg (High Performance Computing). Certifikatet kan udstedes med brugeroplysninger fra institutionslogin'et til brug for autorisationsbeslutninger hos ressourceserveren.
SSH-certifikater udstedt på baggrund af webbaseret login har en indbygget udløbsdato, og adgangen kan kun fornyes, hvis brugeren stadig har gyldigt institutionslogin og fortsat har ret til at tilgå ressourcen. Det betyder, at man undgår problemer med “forældede” offentlige SSH-nøgler, som ellers kan give adgang til tidligere brugere selv efter, at deres rettigheder er inddraget. Samtidig slipper man som ressourceejer for at skulle rydde op i store mængder af offentlige nøgler på serverne, hvilket gør administrationen betydeligt mere effektiv.
Forudsætningen for at løsningen fungerer er, at den SSH-server, der skal tilgås, er sat op til (kun) at tillade adgang med SSH-certifikater — og at den stoler på den Certificate Authority (CA), som DeiC-softwaren implementerer. Samme server kan uden problemer stole på flere forskellige CA’er, hvilket giver fleksibilitet i et samarbejdende miljø.
Heldigvis er opsætningen på SSH-serveren meget enkel. På brugerens side af forbindelsen forudsættes kun en almindelig SSH-klient – ingen særskilt klientsoftware. Og certifikatfunktionaliteten har været indbygget i standard-SSH-software i mange år, så heller intet behov for særlige SSH-servere eller -klienter.
Kildekoden er frit tilgængelig på GitHub, hvor man også finder yderligere detaljer om, hvordan softwaren fungerer og installeres. Man er også velkommen til at kontakte WAYF-sekretariatet for assistance, hvis man har brug for det.