二要素認証

ワンタイムパスワードを使用した2要素認証

セキュリティ確保のため、通常のパスワード(Kerberos)に加えて、ワンタイムパスワード(OTP)を使用した2要素認証(2FA)の有効化を推奨しています。

Note

近い将来に2FAは必須となる予定です。

OTPトークン登録方法

前提

お持ちのスマートフォンにGoole Authenticator、Microsoft Authenticator、FreeOTP Authenticator などの多要素認証用アプリをインストールください。

手順

ログインノードへログインします
ログインノード上でkinitコマンドを実行します。パスワード入力を促されるので、パスワードを入力してください
ipa otptoken-addコマンドを実行します
以下のようにQRコードが表示されますので、QRコードを多要素認証用アプリで読み取ります

OTPトークンを登録すると、直ちに2FAが有効化されます。

2FAログイン方法

ログインノードへログインする方法はこちらをご覧ください。

kinit, kpasswd ラッパー

kinit(/bin/kinit)とkpasswd(/bin/kpasswd)コマンドは、2FAが有効な状態ではコマンド実行に失敗するなどの既知の問題があります。

問題が起きないように処置を施した/usr/local/bin/kinitと/usr/local/bin/kpasswdというラッパーをログインノードに用意しています。通常(フルパスを指定せず)、kinitコマンドを使用している場合はラッパーが使用されるため、特別な対処は不要です。直接 /bin/kinitと/bin/kpasswdを指定してコマンドを実行されている場合は、それぞれ/usr/local/bin/kinit、/usr/local/bin/kpasswdへパスを変更してください。

OTPトークン紛失時

OTPトークンを登録した多要素認証用アプリがインストールされているスマートフォンを紛失されたなどでOTPを取得できなくなった時は、管理者までご連絡ください。

登録されているOTPトークンを削除いたします。 OTPトークン削除によってパスワードのみでログインノードにログイン可能になります。ログイン後、可能な限りOTPトークンを再登録してください。

コントロールマスター

コントロールマスターを使うと、2回目以降のSSH接続で、最初の接続が再利用されるようになります。このため、2回目以降は認証が不要になります。また、一度目と同じノードにログインすることになります。

Note

Windows組み込みのopensshではコントロールマスターは利用できません。WSL2のopensshを利用してください。

準備

準備として、接続元(例えば個人のノートPC)で以下のようにSSHの設定をします。LinuxやMacの場合は~/.ssh/configを編集します。

Match Host login*.icepp.jp
 ServerAliveInterval 100
 ControlPath ~/.ssh/%r@%h:%p
 ControlMaster auto
 ControlPersist 1m

使い方 (コントロールマスターを自動的に開始する場合)

一度目の接続は、

$ ssh -fN login.icepp.jp

のようにすることで、認証の後にバックグラウンド実行になります。

二度目以降は、

$ ssh login.icepp.jp

とします。

使い方 (コントロールマスターを手動で開始する場合)

ControlMasterの設定をautoaskにすると、sshに-Mをつけることでコントロールマスターを開始することになります。この場合、1回目の接続は

$ ssh -fNM login.icepp.jp

とします。

コントロールマスターの停止

実行中のコントロールマスターをチェックするには ssh -O check login.icepp.jp、停止するにはssh -O exit login.icepp.jp とします。