機構外からのアクセス


機構外からデータ解析システムへのアクセス方法

データ解析システムは、KEKおよびJ-PARC以外の機構外からもアクセスすることが可能です。 アクセスする方法は、下記アクセスサーバ経由、もしくはワークサーバに直接アクセスする方法があります。 機構外からワークサーバへのアクセスは、VPNによるアクセス、特定のサイト、ホストのみ可能となっておりますので、登録されていないホストからのアクセスは、アクセスサーバを経由してワークサーバへアクセスする必要があります。

サーバ名アクセス制限利用可能ユーザ
ワークサーバccw.cc.kek.jp
(login.cc.kek.jp)
ccx.cc.kek.jp
制限有りデータ解析システムのアカウントをお持ちのユーザ
アクセスサーバsshcc1.kek.jp
sshcc2.kek.jp
制限無しアクセスサーバのアカウントをお持ちのユーザ
  • アクセス制御無のサーバ sshcc1.kek.jp 及び sshcc2.kek.jpは、どこからでもログインできます。ただし、機構内からのアクセスはできませんのでご注意ください。
  • アクセスサーバを利用するには、申請が必要です。
  • アクセスサーバは、プライマリ/セカンダリの2台構成になっています。通常はプライマリサーバ(sshcc1.kek.jp)をご利用ください。
  • 機器の単体障害やネットワーク障害等で、プライマリサーバが利用できない場合は、セカンダリサーバを利用してください。環境はプライマリサーバとほぼ同一です。

    注) ※sshの認証鍵には必ずパスフレーズを設定してください。パスフレーズが設定されていない鍵は管理者側で削除します。また、不要な鍵も置かないでください。

機構外からワークサーバへのアクセスについて

機構外からワークサーバへのログインは、申請した接続元IPのみ接続可能です。 詳細なログイン手順は、利用の手引きのワークサーバ・並列サーバの利用を参照してください。

VPNによるアクセスについて

機構外からアクセスサーバへのログイン

~/.ssh/known_hosts からの "sshcc1.kek.jp", "sshcc2.kek.jp" の削除

次回ログイン時に以下のようなエラーとなり、アクセスサーバにログインできない場合があります。
(ログインできる場合は、この項の作業は必要ありません)

sshcc1.kek.jp アクセス時

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@    WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!     @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that the RSA host key has just been changed.
The fingerprint for the RSA key sent by the remote host is
4a:bd:cb:01:b0:c9:75:80:f4:32:ab:84:10:a2:5d:a6.
Please contact your system administrator.
Add correct host key in /home/local/ibm-mnak/.ssh/known_hosts to get rid of this message.
Offending key in /home/local/ibm-mnak/.ssh/known_hosts:46
RSA host key for sshcc1.kek.jp has changed and you have requested strict checking.
Host key verification failed.

sshcc2.kek.jp アクセス時

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@    WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!     @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that the RSA host key has just been changed.
The fingerprint for the RSA key sent by the remote host is
d7:ef:45:ef:7a:01:9e:f9:4e:aa:10:3e:1d:83:bc:b8.
Please contact your system administrator.
Add correct host key in /home/local/ibm-mnak/.ssh/known_hosts to get rid of this message.
Offending key in /home/local/ibm-mnak/.ssh/known_hosts:47
RSA host key for sshcc2.kek.jp has changed and you have requested strict checking.
Host key verification failed.

この場合、ローカルマシンの ~/.ssh/known_hosts から "sshcc1.kek.jp" と "sshcc2.kek.jp" を削除する必要があります。
ローカルマシン上で以下の手順を実行してください。その後、再ログインを試行してください。

 #> vi ~/.ssh/known_hosts
 ( "sshcc1.kek.jp" と "sshcc2.kek.jp" の行を削除する)

機構外からアクセスサーバへのログイン

外部からアクセスサーバへのログインは、機構内からのアクセスを除き、どこからでも接続可能です。

初回ログイン時には、自動的にpasswdコマンドが実行されます。パスワード変更後、一度セッションが切れますので、再度ログインして下さい。パスワードの制限事項については、パスワードルールの項を参照して下さい。 ログインに利用できるプロトコルはSSH ver2のみです。

 WARNING: Your password has expired.
 You must change your password now and login again!
 Changing password for user a0019.
 Enter login(LDAP) password:                ← 現在のパスワードを入力
 New password:                              ← 新しいパスワードを入力
 Retype new password:                       ← 新しいパスワードを入力
 LDAP password information changed for a0019
 passwd: all authentication tokens updated successfully. 

アクセスサーバの環境

homeディレクトリとwork領域

各ユーザのhomeディレクトリは、100MBでquota制限がかけられています。
100MB以上のファイルを受け渡しする必要がある場合は、/work領域をご利用ください。/work領域は5GBまで使用可能です。

/work領域に置かれたファイルは24時間以上更新がない場合毎日4時に削除されますのでご注意ください。 各ユーザの/home01領域と/work領域は毎晩4時に同期を取っています。
同期はプライマリからセカンダリ方向に行われ、プライマリサーバに存在しないファイルはセカンダリサーバに存在していても同期時に削除されます。

X-forwarding

アクセスサーバではXforwardingの利用が可能です。但し、port forwardingは許可されておりません。
複数のサーバを経由する際にDISPLAY変数を引き継ぎXforwardingを有効にするには、SSHコマンドに "-X"オプションを付加してください。

) sshcc1.kek.jp から login.cc.kek.jp に ssh する場合

 #> ssh -X login.cc.kek.jp

"-X"オプションを使用せず、デフォルトでXforwardingを有効にするには、homeディレクトリに以下のファイルを作成してください。

 ファイル名: $HOME/.ssh/config
 追加パラメータ: ForwardX11 yes

ログインシェルの変更

ログインシェルを変更するには、chshコマンドに"-s"オプションと変更したいシェルのフルパスを引数として実行してください。指定可能なシェルは"-l"オプションで確認できます。シェル変更は次回ログイン時に有効になります。

[使用例]

 $ chsh -l
 /bin/sh
 /bin/bash
 /bin/ksh
 /bin/tcsh
 /bin/csh
 $ chsh -s /bin/tcsh
 Shell was changed.
 $

パスワード変更

パスワード変更をするには、passwdコマンドを実行してください。

[使用例]

 $ passwd
 Changing password for user a0019.
 Enter login(LDAP) password:                ← 現在のパスワードを入力
 New password:                              ← 新しいパスワードを入力
 Retype new password:                       ← 新しいパスワードを入力
 LDAP password information changed for a0019
 passwd: all authentication tokens updated successfully.
 $

パスワードルール

パスワードはDictionaryWordを避け、以下のルールに基づいて設定してください。

  • 文字数は9文字以上必要です。
  • 記号が1文字以上含まれる。
  • 数字が1文字以上含まれる。
  • 英小文字が1文字以上含まれる。
  • 5種類以上の文字が含まれる("aa"は1種類、"ab"は2種類と数えます)。
  • 過去の履歴を4世代保持しており、履歴内のパスワードは再利用できません。

利用上の注意

/tmp 利用の禁止

/tmpの使用は、禁止といたします。ワーク領域として、/workを使用ください。

利用申請

インターネット上からの利用に際しましては、利用申請が必要です。利用申請は、こちらをご覧ください。


Last-modified: 2018-07-04 (水) 16:21:41 (258d)