|
|
|
SSH-Zugang in die Technische Fakultät
Die Mitarbeiter und Studierenden der Technischen Fakultät möchten
auch von zu Hause aus auf unsere Rechner zugreifen. Dabei kommen zwei
hauptsächliche Szenarien in Betracht:
- Die Benutzer möchten lediglich Daten mit den TechFak-Systemen austauschen.
- Die Benutzer möchten remote direkt auf den TechFak-Maschinen arbeiten.
Beide Anforderungen werden unter Unix/Linux bereits durch ssh/scp abgedeckt,
so daß keine Notwendigkeit für die Nutzung komplexerer Dienste wie VNC besteht.
|
Ein großer Vorteil von ssh gegenüber VNC besteht darin, daß man ssh-Verbindungen
von einem Rechner auf den nächsten "durchreichen" kann. Dadurch muß nur ein zentraler
ssh-Zugang (unsere "Porta"-Maschine) nach außen sichtbar sein, während wir die
anderen TechFak-Maschinen hinter unserer Netzwerk-Firewall "verstecken" können.
Die Benutzer
melden sich zunächst auf "Porta" an und verbinden sich dann von dort innerhalb
der TechFak weiter. Das hat für uns den großen Vorteil, daß wir nur die
Porta-Maschine als Einfallstor für potentielle Einbrüche beobachten müssen
(was nicht unwichtig ist, wie die aktuellen Ereignisse
zeigen).
|
 |
Aufgrund unserer Umstellung auf
das Kerberos-Authentifikationsverfahren
gibt es momentan zwei SSH-Zugänge:
- Die bereits "kerberisierte" Maschine porta, die als SSH-Zugang für
Accounts mit dem "Studierenden"-Status gilt.
- Die Maschine portb, auf der noch die alten TechFak-Paßwörter verwendet
werden können. Diese Maschine kann nur von den verschiedenen Mitarbeiter-Statusgruppen
verwendet werden.
Auch nach der kompletten Umstellung auf Kerberos werden wir die beiden SSH-Zugänge
weiter betreiben, um aus der physischen Trennung zwischen Mitarbeiter- und
Studierendenlogins weitere Verbesserungen der Datensicherheit zu realisieren.
|
RBG Rechnerbetriebsgruppe der Technischen Fakultät · Universität Bielefeld 