Studaccount

Aus Hochschule Darmstadt - Fachschaft Informatik Wiki
(Unterschied zwischen Versionen)
Wechseln zu: Navigation, Suche
(Links korrigiert)
(Einrichtung)
Zeile 20: Zeile 20:
 
== Einrichtung ==
 
== Einrichtung ==
 
''Wichtig: man kann nicht mehr als '''einen''' Studaccount haben. Wenn bereits ein Account angelegt wurde, muss dieser verlängert werden!''
 
''Wichtig: man kann nicht mehr als '''einen''' Studaccount haben. Wenn bereits ein Account angelegt wurde, muss dieser verlängert werden!''
Um einen Studaccount zu beantragen muss ein [https://fbihome.de/studacc/ Formular] ausgefüllt und ausgedruckt werden. Dieses muss dann zusammen mit Studenten- und Personalausweis (oder vergleichbarem Dokument) zur [[Fachschaft]] mitgebracht werden, wo der Account eröffnet wird. Nachdem bei Dir per Email die Zugangsdaten angekommen sind, muss noch das Passwort für den WLAN-Zugang gesetzt werden. Dies geschieht mittels SSH-Login auf users.fbihome.de und dem Kommando "passwd". Möglich ist dies direkt über die Rechner der Fachschaft oder mittels eines SSH-Clients:
+
Um einen Studaccount zu beantragen muss ein [https://dienste.fbihome.de/studantrag/ Formular] ausgefüllt und ausgedruckt werden. Dieses muss dann zusammen mit Studenten- und Personalausweis (oder vergleichbarem Dokument) zur [[Fachschaft]] mitgebracht werden, wo der Account eröffnet wird. Nachdem bei Dir per Email die Zugangsdaten angekommen sind, muss noch das Passwort für den WLAN-Zugang gesetzt werden. Dies geschieht mittels SSH-Login auf users.fbihome.de und dem Kommando "passwd". Möglich ist dies direkt über die Rechner der Fachschaft oder mittels eines SSH-Clients:
  
 
  ssh benutzername@users.fbihome.de
 
  ssh benutzername@users.fbihome.de

Version vom 8. Dezember 2008, 13:00 Uhr

Inhaltsverzeichnis


Um über das, von der Fachschaft verwaltete, WLAN surfen zu können, benötigen die Studenten einen Studaccount. Für Studenten im ersten Semester ist dieser kostenfrei. Studenten höherer Semester zahlen 5 Euro pro Halbjahr. Diese Gelder dienen zur Aufrechterhaltung des Dienstes und zur Wartung des Server.

Der Studaccount bietet:


Einrichtung

Wichtig: man kann nicht mehr als einen Studaccount haben. Wenn bereits ein Account angelegt wurde, muss dieser verlängert werden! Um einen Studaccount zu beantragen muss ein Formular ausgefüllt und ausgedruckt werden. Dieses muss dann zusammen mit Studenten- und Personalausweis (oder vergleichbarem Dokument) zur Fachschaft mitgebracht werden, wo der Account eröffnet wird. Nachdem bei Dir per Email die Zugangsdaten angekommen sind, muss noch das Passwort für den WLAN-Zugang gesetzt werden. Dies geschieht mittels SSH-Login auf users.fbihome.de und dem Kommando "passwd". Möglich ist dies direkt über die Rechner der Fachschaft oder mittels eines SSH-Clients:

ssh benutzername@users.fbihome.de
passwd
<Altes Passwort eingeben>
<Zweimal neues Passwort eingeben>

Zugang mit Linux

In der Konsole

Mit iwconfig die Netzwerkkarte konfigurieren (als root): iwconfig [Name der Netzwerkkarte] essid "fbi-wlan" key "[Netzwerkschlüssel]" Über DHCP IP-Adresse zuweisen lassen (als root): dhclient [Name der Netzwerkkarte]] Danach wie unten beschrieben über ssh anmelden. Das ganze kann auch als shell-Skript in eine Textdatei geschrieben werden:

#! /bin/sh
iwconfig [Name der Netzwerkkarte] essid "fbi-wlan" key "[Netzwerkschlüssel]"
dhclient [Name der Netzwerkkarte]
ssh deinusername@gateway.public

Besser ist, den beiden ersten Befehlen ein "sudo" voranzustellen, um nicht das komplette Skript als root ausführen zu müssen. Die fertige Datei mit chmod +x [Dateiname] ausführbar machen und mit ./Dateiname aufrufen, um dich einzuloggen.

Unter KDE

(thumbnail)
(1) KNetworkManager im Systray
Am einfachsten installiert man den knetworkmanager.

Im Systray erscheint der KNetworkmanager (1). Wähle nun das Netzwerk fbi-wlan aus (2) und gib den Netzwerkschlüssel ein (3).

(thumbnail)
(2) KNetworkManager: Netzwerk auswählen
(thumbnail)
(3) KNetworkManager: Netzwerkschlüssel eingeben

Nun musst du dich nur noch per SSH einloggen. Um nicht jedesmal auf der Konsole Befehle zu tippen lege einfach eine Textdatei (zB: wlan.sh) an:

ssh deinusername@gateway.public

Die Datei muss dann noch ausfürbar gemacht werden: chmod +x [Dateiname] Dann kannst du sie dann einfach in der shell mit ./wlan.sh aufrufen.


Zugang mit Windows

Siehe Gateway

Authentifizierung über öffentliche Schlüssel

Public-Key Authentifizerung

Die Public-Key Authentifizerung ist eine Authentifizierungsmethode die, unter anderem von SSH und OpenSSH, verwendet wird, um Benutzer mit Hilfe eines Schlüsselpaars, bestehend aus privatem und öffentlichem Schlüssel, an einem Server anzumelden. Ein solches Schlüsselpaar ist wesentlich schwerer zu kompromitieren als ein Kennwort.

Bei einer Authentisierung mittels eines Kennworts wird dieses Kennwort, oder dessen Hash-Wert, auf einem Server gespeichert. Hat jemand Zugang zur Kennwortdatei auf diesem Server, gelangt er damit im ersten Fall auch in den Besitz des Kennworts. Im zweiten Fall kann er, mit Hilfe entsprechender Software, eine Zeichenkombination finden, die den gleichen Hash-Wert wie das Kennwort ergibt. Wird das gleiche Kennwort zur Anmeldung auf mehreren Systemen benutzt, so sind damit alle diese Systeme kompromitiert.

Im Gegensatz dazu wird bei der Public Key Authentifizierung nur der öffentliche Schlüssel auf einem Server gespeichert. Der private Schlüssel wird auf dem eigenen Computer gespeichert, kann damit geheim gehalten, und zusätzlich mit einem Kennwort, auch Passphrase genannt, verschlüsselt werden.

Die Berechnung des öffentlichen Schlüssels aus dem privaten ist je nach Wahl der Länge des Schlüssels sehr aufwendig bis praktisch unmöglich.

Der öffentlich Schlüssel kann auch zur automatischen Login (Authentisierung) genutzt werden. Dabei entfällt der interaktive Dialog zur Kennworteingabe. Das ermöglicht eine Anmeldung in, ohne Benutzereingabe ablaufenden, Skripten, und beim automatisierten Kopieren von Dateien, beispielsweise mit scp (Secure Copy).

Public Key Authentifizierung am Gateway (gateway.public)

Um sich per Public Key am Gateway zu authentifizieren, muss zuerst der öffentliche Schlüssel übertragen werden. Da kein direkter zugriff auf das Gateway möglich ist, werden die Public Keys aus den Userhomes (auf fbihome.de) einmal Täglich auf den Gateway synchronisiert. Daher kann es nach dem übertragen des öffentlichen Schlüssels auf fbihome.de bis zu einem Tag dauern, bis die Authentifizierung auf diesem Weg am Gateway funktioniert.

Linux

In der Konsole wird mit dem Programm ssh-keygen ein Schlüsselpaar erzeugt. Der Befehl dazu lautet: ssh-keygen -t dsa. Der Pfad, wohin der Schlüssel geschrieben wird, kann in der Regel ohne Änderungen einfach mit Enter bestätigt werden, wenn im genannten Ordner noch keine anderen Schlüssel existieren. Wenn dies doch der Fall sein sollte, wird man vom Programm vor dem Überschreiben jedoch nochmal gewarnt. Die Eingabe einer Passphrase ist zu empfehlen, da sich sonst jeder, der den privaten Schlüssel in die Finger bekommt, ungehindert einloggen kann. Die Passphrase wird in Form einer Passworteingabe beim Zugriff auf den Schlüssel nachher abgefragt. Bei der Eingabe einer leeren Passphrase, wird kein Passwort gesetzt, was eventuell für Scripte zum automatischen Einloggen ins Gateway beim Herstellen einer Verbindung zum WLAN gewünscht wird.

john@notebook:~$ ssh-keygen -t dsa
Generating public/private dsa key pair.
Enter file in which to save the key (/home/john/.ssh/id_dsa): 
Enter passphrase (empty for no passphrase): 
Enter same passphrase again: 
Your identification has been saved in /home/john/.ssh/id_dsa.
Your public key has been saved in /home/john/.ssh/id_dsa.pub.
The key fingerprint is:
77:96:3b:7a:93:13:77:ad:4a:b5:ad:6a:9c:d7:18:aa john@notebook
john@notebook:~$

Nun wurden zwei Dateien erstellt. In id_dsa.pub steht der öffentliche Schlüssel und in id_dsa der private Schlüssel. Sollte der private Schlüssel nicht mit einer Passphrase geschützt worden sein, wird dringend empfohlen die Rechte der Datei zu überprüfen und gegebenenfalls soweit möglich einzuschränken!

Nun muss der öffentliche Schlüssel noch auf den Fachschaftsserver übertragen werden. Dies kann entweder manuell per FTP oder SSH erledigt werden oder aber über ein komfortables kleines Programm ssh-copy-id. Mit folgendem Befehl wird der Schlüssel per SSH auf den Server geladen und dort in ~/.ssh/authorized_keys abgelegt:

john@notebook:~$ ssh-copy-id -i ~/.ssh/id_dsa.pub deinusername@fbihome.de
Password: 
Now try logging into the machine, with "ssh 'deinusername@fbihome.de'", and check in:

  .ssh/authorized_keys

to make sure we haven't added extra keys that you weren't expecting.

john@notebook:~$

Nun sollte man sich über SSH auf dem Server und Gateway mit dem Schlüssel anmelden können. Wenn ein Fehler passiert ist und man sich ausgesperrt haben sollte, kann man sich noch über FTP auf dem Server einloggen und die Datei ~/.ssh/authorized_keys wieder löschen.

Sollten sich mehrere Schlüssel im lokalen Verzeichnis ~/.ssh befinden oder sollte man abweichend einen anderen Namen vergeben haben, kann man beim Programm ssh mit dem Parameter -i <filename> den zu verwendenden privaten Schlüssel eindeutig angeben, z.B.:

john@notebook:~$ ssh deinusername@fbihome.de -i ~/.ssh/id_dsa_fbi

Windows

Via PUTTYGEN.EXE die public/private Keys erstellen.

(thumbnail)
(1) Generierung der Keys

Der private Key verbleibt auf eurem Laptop.

(thumbnail)
(2) Abspeichern der Keys

Für den public Key sieht die Sache leider minimal komplexer aus: Hier muss man etwas in Handarbeit rumdoktorn, bevor der Key unter /home/LOGIN/.ssh/authorized_keys abgespeichert werden kann:

Aus Beispielsweise:

---- BEGIN SSH2 PUBLIC KEY ----
Comment: "rsa-key-20071206"
AAAAB3NzaC1yc2EAAAABJQAAACBgPjbkeeMJbe2qtbD67V0lZpQi6lWqreA1sYdt
vkrszQ==
---- END SSH2 PUBLIC KEY ----

müsst ihr machen:

ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAACBgPjbkeeMJbe2qtbD67V0lZpQi6lWqreA1sYdtvkrszQ== rsa-key-20071206

Diesen dann auf dem Stud abspeichern. Via Putty Shell:

cat >> /home/LOGIN/.ssh/authorized_keys
Key in der Windows-Zwischenablage halten
Rechtsklick in die Konsole (zum einfügen)
STRG+C zum beenden der Eingabe und abspichern der Datei

Wichtig ist hier: der Key muss in einer Zeile in der Datei stehen!

Auf der eigenen Maschiene den private Key eintragen und das Profil speichern.

(thumbnail)
(4) Eintragen des private Keys

Generierung des Keys unter Linux

Der Schlüssel wird unter Linux generiert, dazu einfach auf den stud1 einloggen und folgendes eingeben:

ssh-keygen -t rsa -b 2048 -f ~/.ssh/stud1.ssh

Dann hat man ~/.ssh/stud1.ssh (private key) und ~/.ssh/stud1.ssh.pub (public key).

Jetzt einfach nur den public Key in die ~/.ssh/authorized_keys einfügen:

cat ~/.ssh/stud1.ssh.pub >> ~/.ssh/authorized_keys

Jetzt muss man sich den privat key (~/.ssh/stud1.ssh) herunterladen, das ganze sollte natürlich verschlüsselt geschehen, z.B. per SCP (WinSCP). Anschließend können/sollten die zwei generierten Datein vom Server gelöscht werden.

Putty kann mit dem vorhandenen Key allerdings noch nichts anfangen, dazu muss man ihn erst in das putty eigene Format konvertieren. Dazu benötigt man PuTTYgen, dort kann man den Key unter "Conversations/Import Key" importieren, anschließend hat man nochmal Gelegenheit die Beschreibung und das Passwort zu ändern. Anschließend den Key mit "Save private key" speichern.

Die neue Datei muss man dann in putty eintragen (unter "Connection/SSH/Auth/Private key file for authentication").

Alternativ kann man den Schlüssel auch komplett mit PuTTYgen generieren, dann muss man den public key in die ~/.ssh/authorized_keys einfügen.

Sonstige Fragen

Fragen und Antworten zum StudAccount: fbihome.de FAQ

Meine Werkzeuge