機構外からのアクセス
機構外からのアクセス
機構外からデータ解析システムへのアクセス方法
データ解析システムは、KEKおよびJ-PARC以外の機構外からもアクセスすることが可能です。 アクセスする方法は、下記アクセスサーバ経由、もしくはワークサーバに直接アクセスする方法があります。 機構外からワークサーバへのアクセスは、VPNによるアクセス、特定のサイト、ホストのみ可能となっておりますので、登録されていないホストからのアクセスは、アクセスサーバを経由してワークサーバへアクセスする必要があります。
| サーバ名 | アクセス制限 | 利用可能ユーザ | |
|---|---|---|---|
| ワークサーバ | cw.cc.kek.jp (login.cc.kek.jp) |
制限有り | データ解析システムのアカウントをお持ちのユーザ |
| アクセスサーバ | sshcc1.kek.jp sshcc2.kek.jp |
制限無し | アクセスサーバのアカウントをお持ちのユーザ |
- アクセス制御無のサーバ sshcc1.kek.jp 及び sshcc2.kek.jpは、どこからでもログインできます。ただし、機構内からのアクセスはできませんのでご注意ください。
- アクセスサーバを利用するには、申請が必要です。
- アクセスサーバは、プライマリ/セカンダリの2台構成になっています。通常はプライマリサーバ(sshcc1.kek.jp)をご利用ください。
- 機器の単体障害やネットワーク障害等で、プライマリサーバが利用できない場合は、セカンダリサーバを利用してください。環境はプライマリサーバとほぼ同一です。
Warning
※sshの認証鍵には必ずパスフレーズを設定してください。パスフレーズが設定されていない鍵は管理者側で削除します。また、不要な鍵も置かないでください。
機構外からワークサーバへのアクセスについて
機構外からワークサーバへのログインは、申請した接続元IPのみ接続可能です。 詳細なログイン手順は、利用の手引きのワークサーバの利用を参照してください。
VPNによるアクセスについて
- VPNを使用する事でワークサーバに直接ログインする事が可能です。VPNの詳細に関しては下記ページをご確認ください。
VPN接続サービス:http://ccwww.kek.jp/ccsupport/network/vpn/index.html
機構外からアクセスサーバへのログイン
~/.ssh/known_hosts からの "sshcc1.kek.jp", "sshcc2.kek.jp" の削除
次回ログイン時に以下のようなエラーとなり、アクセスサーバにログインできない場合があります。(ログインできる場合は、この項の作業は必要ありません)
sshcc1.kek.jp アクセス時
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that the RSA host key has just been changed.
The fingerprint for the RSA key sent by the remote host is
4a:bd:cb:01:b0:c9:75:80:f4:32:ab:84:10:a2:5d:a6.
Please contact your system administrator.
Add correct host key in /home/local/ibm-mnak/.ssh/known_hosts to get rid of this message.
Offending key in /home/local/ibm-mnak/.ssh/known_hosts:46
RSA host key for sshcc1.kek.jp has changed and you have requested strict checking.
Host key verification failed.
sshcc2.kek.jp アクセス時
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that the RSA host key has just been changed.
The fingerprint for the RSA key sent by the remote host is
d7:ef:45:ef:7a:01:9e:f9:4e:aa:10:3e:1d:83:bc:b8.
Please contact your system administrator.
Add correct host key in /home/local/ibm-mnak/.ssh/known_hosts to get rid of this message.
Offending key in /home/local/ibm-mnak/.ssh/known_hosts:47
RSA host key for sshcc2.kek.jp has changed and you have requested strict checking.
Host key verification failed.
この場合、ローカルマシンの ~/.ssh/known_hosts から "sshcc1.kek.jp" と "sshcc2.kek.jp" を削除する必要があります。
ローカルマシン上で以下の手順を実行してください。その後、再ログインを試行してください。
#> vi ~/.ssh/known_hosts
( "sshcc1.kek.jp" と "sshcc2.kek.jp" の行を削除する)
2024年システム更新後に接続できなくなった場合
アクセスサーバのOSが更新されたことに伴い、古いsshクライアントでは sshcc1.kek.jp に接続できない場合があります。
以下の例は RHEL 6 の ssh クライアントを使用した場合のものです。
$ ssh user@sshcc1.kek.jp
no hostkey alg
$ _
このエラーは、sshcc1サーバで使用している暗号化スイートと sshクライアントで使用できる暗号化スイートの共通点がなくなってしまったことを意味します。
恐れ入りますが、ssh クライアント(もしくはクライアントOS)のアップグレードをご検討ください。
KEKCCに調査を依頼する場合は、以下についてお伝え願います。
- 使用しているsshクライアントのバージョン (ssh -V)
- ssh -vvv user@sshcc1.kek.jp のログ
- グローバル側のIPアドレス
- 接続を試みたのは sshcc1か、sshcc2か
- 接続を試みた日付、時分秒 (サーバ側に利用者名が伝わる前のエラーであるため、ユーザー名の記録が残りません。できるだけ詳細にお願いします。)
機構外からアクセスサーバへのログイン
外部からアクセスサーバへのログインは、機構内からのアクセスを除き、どこからでも接続可能です。
初回ログイン時には、自動的にpasswdコマンドが実行されます。パスワード変更後、一度セッションが切れますので、再度ログインしてください。パスワードの制限事項については、パスワードルールを参照してください。 ログインに利用できるプロトコルはSSH ver2のみです。
WARNING: Your password has expired.
You must change your password now and login again!
Changing password for user a0019.
Enter login(LDAP) password: ← 現在のパスワードを入力
New password: ← 新しいパスワードを入力
Retype new password: ← 新しいパスワードを入力
LDAP password information changed for a0019
passwd: all authentication tokens updated successfully.
アクセスサーバの環境
homeディレクトリとwork領域
各ユーザのhomeディレクトリは、100MBでquota制限がかけられています。
100MB以上のファイルを受け渡しする必要がある場合は、/work領域をご利用ください。/work領域は5GBまで使用可能です。
/work領域に置かれたファイルは24時間以上更新がない場合毎日4時に削除されますのでご注意ください。 各ユーザの/home01領域と/work領域は毎晩4時に同期を取っています。
同期はプライマリからセカンダリ方向に行われ、プライマリサーバに存在しないファイルはセカンダリサーバに存在していても同期時に削除されます。
X-forwarding
アクセスサーバではXforwardingの利用が可能です。
複数のサーバを経由する際にDISPLAY変数を引き継ぎXforwardingを有効にするには、SSHコマンドに "-X"オプションを付加してください。
例) sshcc1.kek.jp から login.cc.kek.jp に ssh する場合
#> ssh -X login.cc.kek.jp
"-X"オプションを使用せず、デフォルトでXforwardingを有効にするには、homeディレクトリに以下のファイルを作成してください。
ファイル名: $HOME/.ssh/config
追加パラメータ: ForwardX11 yes
ログインシェルの変更
ログインシェルを変更するには、chshコマンドに"-s"オプションと変更したいシェルのフルパスを引数として実行してください。指定可能なシェルは"-l"オプションで確認できます。シェル変更は次回ログイン時に有効になります。
[使用例]
$ chsh -l
/bin/sh
/bin/bash
/bin/ksh
/bin/tcsh
/bin/csh
$ chsh -s /bin/tcsh
Shell was changed.
$
パスワード変更
パスワード変更をするには、passwdコマンドを実行してください。
[使用例]
$ passwd
Changing password for user a0019.
Enter login(LDAP) password: ← 現在のパスワードを入力
New password: ← 新しいパスワードを入力
Retype new password: ← 新しいパスワードを入力
LDAP password information changed for a0019
passwd: all authentication tokens updated successfully.
パスワードルール
パスワードはDictionaryWordを避け、以下のルールに基づいて設定してください。
- 文字数は9文字以上必要
- 記号が1文字以上含まれる
- 数字が1文字以上含まれる
- 英小文字が1文字以上含まれる
- 5種類以上の文字が含まれる("aa"は1種類、"ab"は2種類と数えます)
- 過去の履歴を4世代保持しており、履歴内のパスワードは再利用できません
利用上の注意
/tmp 利用の禁止
/tmpの使用は、禁止とします。ワーク領域として、/workを使用してください。
sshfs
アクセスサーバを経由してのsshfsの使用は禁止します。システムの運用に支障が出る可能性があります。
利用申請
インターネット上からの利用に際しましては、利用申請が必要です。