ProxyJump

Na otevřené porty strojů, nepřístupných z vnější sítě, se lze dostat buď přes VPN^[1], nebo skrz SSH proxy. V rámci laboratorní infrastruktury je pro tento účel vyhrazen disklessový virtuál postel, který má SSH port z vnější sítě dostupný. Má však, stejně jako všechny laboratorní disklessové stroje které využívají overlay specifika, která je nutno vzít na vědomí:

K ověření uživatele akceptuje tzv. hlavní heslo ČVUT
Časová prodleva, která může nastat mezi spuštěním ssh a zobrazením dialogu pro zadání hesla, je závislá na tom, je-li seznam uživatelů, který se získává z MS AD, již nakešován, nebo ne. Dokud nebude nakešován,
Pokud si naimportujete do souboru ~/.ssh/authorized_keys^[2] svůj veřejný SSH klíč, můžete – dokud nedojde k restartu SSH proxy, využívat místo hesla k ověření svůj SSH klíč. Ovšem pamatujte, že k prvotnímu ověření klíč použít nelze! Z jednoduchého důvodu: K připojení uživatelského profilu sdíleného přes NFS na SSH proxy dojde až po úspěšném ověření. A k tomu ovšem nemůže dojít prostřednictvím SSH klíče, jelikož před úspěšným ověřením ještě není uživatelský profil k dispozici.
Uživatelský profil se mountuje až po úspěšném ověření.

Technicky by sice bylo možné tohle poměrně jednoduše vyřešit – aplikací overlaye, ale jen by se tím zbytečně otevřel prostor k možnému zneužití.^[3]

↑ Jak se lze připojit přes VPN ze dozvíte prostřednictvím stránky kde je mimo jiné odkaz i na webovou stránku k fakultní VPN FEL (dostupnou po přihlášení), která je doporučená.
↑ Jde o soubor v rámci uživatelského profilu sdíleného přes NFS v rámci celé laboratorní infrastruktury
↑ Všechny vrstvy, ze kterých je sestaven sendvič strojů disklessové infrastruktury, jsou exportované přes NFSv3 výlučně v režimu Read-Only. Uživatelské profily, na které je Read-Write přístup, jsou sdílené přes NFSv4 ze stroje NetApp. A jedině stroj ghost a jeho lokální uživatel 'nfshomecreator', který zakládá dosud neexistující uživatelské profily, k nim má přístup přes NFSv3. Tento stroj před pokusem o založení uživatelského adresáře kontroluje jeho existenci, takže mějte na paměti, že o každém přihlášení existuje záznam s časovým razítkem – bez ohledu na to, byl-li uživatel ověřen, nebo ne – který umožňuje dohledat kdo, kdy, kde a odkud se přihlásil.

[1] Jak se lze připojit přes VPN ze dozvíte prostřednictvím stránky kde je mimo jiné odkaz i na webovou stránku k fakultní VPN FEL (dostupnou po přihlášení), která je doporučená.

[2] Jde o soubor v rámci uživatelského profilu sdíleného přes NFS v rámci celé laboratorní infrastruktury

[3] Všechny vrstvy, ze kterých je sestaven sendvič strojů disklessové infrastruktury, jsou exportované přes NFSv3 výlučně v režimu Read-Only. Uživatelské profily, na které je Read-Write přístup, jsou sdílené přes NFSv4 ze stroje NetApp. A jedině stroj ghost a jeho lokální uživatel 'nfshomecreator', který zakládá dosud neexistující uživatelské profily, k nim má přístup přes NFSv3. Tento stroj před pokusem o založení uživatelského adresáře kontroluje jeho existenci, takže mějte na paměti, že o každém přihlášení existuje záznam s časovým razítkem – bez ohledu na to, byl-li uživatel ověřen, nebo ne – který umožňuje dohledat kdo, kdy, kde a odkud se přihlásil.

[1]

[2]

[3]

ProxyJump

Navigační menu

Hledat