Connections sécurisée par un Tunnel SSH
Transcription
Connections sécurisée par un Tunnel SSH
Connexion sécurisée au cluster de calcul du PCSTD avec un environnement graphique Ces instructions sont disponibles sur le site du Pôle Calcul Scientifique et Traitement des Données http://sinum.univ-pau.fr Version du 03/07/2012 Sommaire (A)DEPUIS L'UPPA.......................................................................................................................................2 A.1) Initialisation de la session....................................................................................................................2 A.1.1) Se connecter sur le serveur cluster.univ-pau.fr: ..........................................................................2 A.1.2) Lancer la session VNC ...............................................................................................................2 A.1.3) Choix d'un mot de passe..............................................................................................................3 A.1.4) Identifier le numéro de session VNC...........................................................................................3 A.2) Utilisation de la session.......................................................................................................................4 A.2.1) Nouveau client VNC à télécharger..............................................................................................4 A.2.2) La fenêtre de connexion apparaît.................................................................................................4 A.2.3) Une fenêtre d'identification apparaît............................................................................................5 A.3) Réinitialisation de la session................................................................................................................5 (B)DEPUIS L'EXTÉRIEUR DE L'UPPA....................................................................................................6 B.1) LINUX ................................................................................................................................................6 B.1.1) Avant de créer le tunnel (étape indispensable).............................................................................6 B.1.2) Création du tunnel ssh.................................................................................................................6 B.1.3) Connexion...................................................................................................................................6 B.2) Windows..............................................................................................................................................7 B.2.1) Avant de créer le tunnel (étape indispensable).............................................................................7 B.2.2) Création du tunnel ssh.................................................................................................................7 B.2.3) Sauvegarde et utilisation de la configuration putty.exe................................................................8 B.2.4) Connexion au travers du tunnel...................................................................................................8 Connexion sécurisée au cluster de calcul du PCSTD avec un environnement graphique Nous avons acquis la version Enterprise de VNC afin de supporter les affichages OpenGL (visualisation 3D). En effet, les sessions lancées avec la version libre de VNC ne supportent pas ces affichages. De plus, cette nouvelle version est sécurisée (cryptage des données transférées entre le serveur et le poste client). (A) DEPUIS L'UPPA A.1) Initialisation de la session A.1.1) Se connecter sur le serveur frontal.univ-pau.fr: ○ avec ssh sous Linux ou Mac: $ ssh [email protected]pau.fr (où user est votre identifiant de messagerie) ○ ou avec Putty sous Windows (qu'on peut récupérer ici : http://the.earth.li/~sgtatham/putty/latest/x86/putty.exe : il s'exécute directement sans installation) 1. Cliquer « session » dans la colonne de gauche et renseigner le champ « Host Name » avec le nom frontal.univ-pau.fr 2. Cliquer sur le bouton « Open » pour lancer la connexion 3. Accepter les différents messages et taper votre mot de passe quand le système le réclame. 4. Cliquer sur le bouton « Open » pour lancer la connexion 5. Accepter les différents messages et taper votre mot de passe quand le système le réclame. A.1.2) Lancer la session VNC Taper la commande VNC.sh (respecter les majuscules) $ VNC.sh Cette commande gère différents cas de figure de lancement de la session VNC : – si aucune session n'est active, elle lancera une nouvelle session, – en cas de doublons, elle corrigera la situation, – si une session est active, elle permet de réinitialiser sa connexion (voir A.3) en conservant le même n° (si possible ), – elle permet de choisir la géométrie de la fenêtre VNC qui sera affichée sur votre ordinateur personnel : plusieurs résolutions standards sont proposées par défaut et il est possible de définir ses propres paramètres, – elle permet de choisir l'environnement graphique dans lequel vous souhaitez travailler (Gnome, Kde ou Xfce), – offre une option "-l" pour lister l'ensemble des sessions actives dans l'ordre des users : $ VNC.sh l Si votre user apparait deux fois, il faut relancer VNC.sh car ce n'est pas normal, – offre une option "-ls" pour lister l'ensemble des sessions actives dans l'ordre des n° de session : [email protected] 2/8 22/04/11 Connexion sécurisée au cluster de calcul du PCSTD avec un environnement graphique $ VNC.sh ls Il est impératif d'utiliser cette commande afin de garantir une gestion correcte des licences VNC et d'éviter ainsi les blocages. A.1.3) Choix d'un mot de passe Que ce soit la première fois que vous utilisez VNC ou si vous utilisiez la version libre, il faut dans tous les cas définir un mot de passe. VNC vous propose de choisir un mot de passe (Password?). Si VNC ne vous le propose pas, choisissez-en un avec la commande : vncpasswd (cette commande est aussi valable pour changer votre mot de passe ultérieurement ): $ vncpasswd A.1.4) Identifier le numéro de session VNC. Il s'agit d'une ligne qui se termine sous la forme :N (avec 1<N<100). Exemple : New desktop is ifrcir120:1 (10.1.6.120:1) ici N = 1 Vous pouvez fermer la connexion ssh ou putty.exe. [email protected] 3/8 22/04/11 Connexion sécurisée au cluster de calcul du PCSTD avec un environnement graphique A.2) A.2.1) Utilisation de la session Clients VNC à télécharger Pour accéder à la session depuis un poste distant, il faut télécharger un client sécurisé (les anciens clients ne fonctionnent plus car ils ne sont pas sécurisés) : LINUX - version 32 bits : ftp://ftp.univ-pau.fr/pub/linux/Artouste/vnc/461/vnc-E4_6_1-x86_linux_viewer - version 64 bits : ftp://ftp.univ-pau.fr/pub/linux/Artouste/vnc/461/vnc-E4_6_1-x64_linux_viewer - package deb et rpm : ftp://ftp.univ-pau.fr/pub/linux/Artouste/vnc/461/ WINDOWS ftp://ftp.univ-pau.fr/pub/linux/Artouste/vnc/461/vnc-E4_6_1-x86_win32_viewer.exe MAC ftp://ftp.univ-pau.fr/pub/linux/Artouste/vnc/461/vnc-E4_6_1-universal_macosx_viewer.dmg Le programme est à poser sur le bureau et à exécuter directement (il n'y a pas d'installation). Selon les systèmes, avant de pouvoir exécuter le programme, il faut autoriser l'exécution. Par exemple sous Ubuntu, on fait un clic droit sur l'icône du programme posé sur le bureau et on choisit « Propriétés » dans le menu contextuel. Il faut alors aller dans l'onglet « Permissions » et cocher « Autoriser l'exécution du fichier comme un programme » : 1.Exécuter le client vnc en double cliquant sur l'icône. Une fois le client exécuté : A.2.2) La fenêtre de connexion apparaît 1. dans la zone « VNC Server », taper précédemment 2. ne pas modifier la zone « Encryption » 3. cliquer sur connect [email protected] frontal.univ-pau.fr:N 4/8 où N est le n° de session identifié 22/04/11 Connexion sécurisée au cluster de calcul du PCSTD avec un environnement graphique 4. remarque: une première fenêtre OPTIONNELLE s'affiche (si elle ne s'affiche pas, ce n'est pas grave) avec un message qui commence par « No signature has been stored... » --> cliquer YES Cette fenêtre n'apparaît qu'une fois par poste client (vous la reverrez si vous changez de poste client). Pour information, elle permet simplement d'initialiser le protocole de cryptage. A.2.3) Une fenêtre d'identification apparaît 1. entrer simplement le mot de passe VNC (défini lors de l'initialisation) 2. cliquer sur OK A.3) Réinitialisation de la session 1. se connecter sur le serveur frontal.univ-pau.fr avec ssh : voir procédure 1) ci-dessus 2. lancer la commande $ VNC.sh 3. le script identifie votre session actuelle et en affiche le n°. Il vous pose la question de redémarrer votre session. Si vous accepter, la session actuelle sera proprement arrêtée et une nouvelle session session sera lancée. Attention ! Il se peut que le nouveau n° de session soit différent de l'ancien. 4. reprendre à l'étape A.1.4) [email protected] 5/8 22/04/11 Connexion sécurisée au cluster de calcul du PCSTD avec un environnement graphique (B) DEPUIS L'EXTÉRIEUR DE L'UPPA Dans ce cas, il faut créer un tunnel ssh entre le PC extérieur et le serveur frontal.univ-pau.fr afin d'acheminer les données correctement. Cette procédure crypte les données et assure la sécurité de la connexion. B.1) B.1.1) LINUX Avant de créer le tunnel (étape indispensable) le serveur VNC doit être lancé sur frontal.univ-pau.fr et vous devez connaître le n° de session. Ce n° est noté N dans la suite : voir la procédure « Initialisation de la connexion » ci-dessus. B.1.2) Création du tunnel ssh Pour des raisons de sécurité, seul le port ssh de frontal.univ-pau.fr est ouvert. Cela nous oblige à ouvrir un tunnel ssh entre le PC extérieur et le serveur frontal.univ-pau.fr pour accéder à la session VNC. Pour créer ce tunnel, dans un terminal, taper la commande : $ ssh L 59N:localhost:59N [email protected]pau.fr où N est le n° de votre session et LOGIN votre identifiant. Par exemple, si vous avez la session 12 alors la commande est : $ ssh L 5912:localhost:5912 [email protected]pau.fr B.1.3) Connexion 1. exécuter le client vnc depuis le bureau et renseigner la case « VNC Server » avec localhost:N (en remplaçant N par la valeur de votre session) : 2. ne pas modifier la zone « Encryption » 3. cliquer sur connect 4. les étapes suivantes sont les mêmes que dans la partie « Utilisation » A.2) ci-dessus. [email protected] 6/8 22/04/11 Connexion sécurisée au cluster de calcul du PCSTD avec un environnement graphique B.2) B.2.1) Windows Avant de créer le tunnel (étape indispensable) Le serveur VNC doit être lancé sur frontal.univ-pau.fr et vous devez connaître le n° de session. Ce n° est noté NN dans la suite : voir la procédure « Initialisation de la connexion » ci-dessus. B.2.2) Création du tunnel ssh 1. démarrer PUTTY 2. dans le menu de gauche : Connection > SSH > Tunnels : cliquer sur « Tunnels » 3. renseigner les champs : « Source port » avec la valeur 59NN (par exemple 5903 et non 593) « Destination » avec la valeur frontal.univ-pau.fr:59NN 4. cliquer sur « Add » [email protected] 7/8 22/04/11 Connexion sécurisée au cluster de calcul du PCSTD avec un environnement graphique 5. revenir dans le menu gauche et cliquer sur « Session » (en haut) et renseigner le champ « Host Name » avec la valeur « frontal.univ-pau.fr » 6. cliquer sur « Open » pour activer le tunnel 7. donner son identifiant puis son mot de passe 8. très important : ne pas fermer la fenêtre putty.exe sous peine de perdre la connexion vnc. Vous pouvez la réduire. B.2.3) Sauvegarde et utilisation de la configuration putty.exe 1. renseigner le champ « Saved session » avec la valeur « UPPA » (ou autre) qui permettra de reconnaître la configuration de putty.exe pour le cluster UPPA 2. cliquer sur Save 3. lors d'une connexion future il suffira de cliquer sur « UPPA » puis sur Load pour récupérer les paramètres de la session puis de cliquer sur Open pour lancer la connexion. B.2.4) Connexion au travers du tunnel Le tunnel SSH étant établi selon la procédure B.2.2) ou chargé selon B.2.3), on peut lancer le client vnc en cliquant sur l'icône du bureau. La fenêtre de connexion apparaît : 1. dans la zone « VNC Server », taper localhost:N où N est le n° de session identifié précédemment 2. ne pas modifier la zone « Encryption » 3. cliquer sur connect 4. les étapes suivantes sont les mêmes que dans la partie « Utilisation » A.2) ci-dessus. [email protected] 8/8 22/04/11