SSH-Login und File-Transfer per SCP
Hinweise zur Nutzung des URZ/KSZ-Accounts für SSH-Login und (Win)SCP-Filetransfer an FMI
-
Allgemeines
- regulär soll bitte sci-VPN genutzt werden, um dann per SSH auf eine FMI-Maschine zuzugreifen
- in Fällen, in welchen dies nicht möglich oder unpraktisch ist, kann zunächst ein öffentlich erreichbarer SSH-Jump-Hosts des URZ genutzt werden, um sich danach mit Maschinen der FMI zu verbinden
- aus Sicherheitsgründen steht ein FMI-SSH-Host nunmehr in einem geschützten Netzwerkbereich zur Verfügung; der bisherige Name login.fmi.uni-jena.de bleibt bestehen
- es sei ausdrücklich hingewiesen darauf, dass Sie von Programmen tunlichst keine Passwörter speichern lassen, sondern sich bitte mit der Nutzung und Einbindung Ihres SSH-Keys zusammen mit einer Passphrase vertraut machen - ansonsten besteht immer die Möglichkeit, dass Dritte mit Kenntnis Ihrer Passwörter Ihre Accounts für groben Unfug in Ihrem Namen missbrauchen und damit die Sicherheit aller anderen Nutzer in Gefahr bringen
- bei Fragen wenden Sie sich bitte per Mail an helpdesk-fmi@uni-jena.de
-
SSH-Jump-Host(s) des URZ
- der Zugriff auf den SSH-Server des URZ wird über eine Gruppenmitgliedschaft geregelt
- falls Sie sich mit "ssh <ihr-urz-kuerzel>@login.uni-jena.de" nicht bereits anmelden können, erwirken Sie dies bitte mit einem URZ-TicketExterner Link für sich entsprechend den Hinweisen zum SSH-Login-Server des URZExterner Link
- es ist so, dass mit Nutzung des Namens "login.uni-jena.de" abwechselnd zufällig auf zwei SSH-Server verbunden wird (Ausfallsicherheit) und auf diesen finden Sie jeweils ein eigenes kleines HOME-Directory (Ihr reguläres URZ/KSZ-HOME ist hier nicht verfügbar)
- zur Organisation Ihrer SSH-Keys nehmen Sie bitte Bezug auf diese letztlich beiden URZ-SSH-Server (siehe Handreichungen unten)
-
SSH-(Jump-)Hosts der FMI
- über den oben genannten URZ-SSH-Jump-Host login.uni-jena.de sind dann ausschließlich folgende beiden SSH-(Jump-)Hosts der FMI erreichbar:
- login.fmi.uni-jena.de (nur Kommandozeile)
- xlogin.fmi.uni-jena.de (grafische Benutzeroberfläche; installieren Sie sich bitte den entsprechenden X2GoExterner Link-Client auf Ihrem Rechner)
- auf diesen FMI-Servern finden Sie Ihr KSZ-HOME-Directory sowie weitere Verzeichnisse vor (z.B. `/webhome/<ksz-account-name>`) und Sie können sich von diesen Servern bei Bedarf auf weitere Maschinen verbinden
-
Handreichungen zur Ablage und Nutzung Ihres SSH-Public-Keys
- um sich unter Nutzung der URZ/FMI-SSH-Jump-Hosts automatisch weiterzuverbinden, können Sie auf diesen jeweils Ihren SSH-Public-Key ablegen
- weitere Details dazu sind in der unten stehenden Kommandosequenz aufgeführt
- am 11.08.2025 wird der Name login.fmi.uni-jena.de auf einen neuen FMI-Jump-Host umgeleitet, welchen Sie jedoch bereits jetzt nutzen können: ersetzen Sie dazu in folgenden Beispielen dazu
login.fmi.uni-jena.de durch
login.mirz.uni-jena.de
# an eigenem Rechner evtl. SSH-Keys vorbereiten und SSH-Agent nutzen;
# $HOME/.ssh/* anlegen und dabei Passphrase für SSH-Private-Key angeben:
ssh-keygen
#
# SSH-Agent starten:
eval $( ssh-agent )
#
# Private-Key mit Passphrase öffnen dem SSH-Agent bekanntgeben:
ssh-add
# Übertragung SSH-Public-Key auf beide URZ-Jump-Hosts:
ssh-copy-id <urz-account>@login-01.rz.uni-jena.de
ssh-copy-id <urz-account>@login-02.rz.uni-jena.de
# Übertragung SSH-Public-Key auf FMI-Jump-Host:
cat $HOME/.ssh/id_rsa.pub | \
ssh -J <urz-account>@login.uni-jena.de <ksz-account>@login.fmi.uni-jena.de \
'umask 0077; mkdir -p .ssh; cat >> .ssh/authorized_keys'
#
# damit sollte Login auf FMI-SSH-(Jump-)Hosts möglich sein; Test:
ssh -J <urz-account>@login.uni-jena.de <ksz-account>@login.fmi.uni-jena.de 'hostname;date'
# über URZ- und FMI-SSH-Jump-Hosts hinweg Zugriff auf weitere Maschine in FMI:
ssh -J <urz-account>@login.uni-jena.de,<ksz-account>@login.fmi.uni-jena.de \
<account>@<maschine>.<fmi-subdomain>.uni-jena.de 'hostname;date'
-
SFTP-Filetransfer
- für den Zugriff (z.B. auf Ihr /home/<ksz-account> oder /webhome/<ksz-account>/) mit Programmen wie WinSCP ist die Nutzung des URZ-SSH-Jump-Hosts als sog. "SSH Tunnel" ebenfalls möglich; tragen Sie dazu aus den oben aufgeführten Details die entsprechenden Angaben in den erweiterten Einstellungen Ihres graphischen SFTP-Programms ein