HA8000クラスタシステムにはSSH2を用いてログインします。ログイン自体にはパスワードを使用せず鍵による認証を行います。初回ログイン時には鍵の生成とシステムへの登録作業が必要となります。登録操作は次のようになります。
1. Windowsの場合はターミナルソフトを入手する
2. 認証に用いる鍵を生成する
3. Webブラウザを用いてHA8000クラスタシステムに公開鍵を登録する
4. ログインする
手順は手元のマシンがWindowsかUNIX系オペレーティングシステム(MAC OS Xを含む)かで異なりますので、OSごとに分けて説明します。すでに公開鍵をお持ちの方は改めて鍵を生成する必要はありません。HA8000クラスタシステムへの鍵の登録のみで使用できます。
ログインに必要な接続情報は表5のようになります。
表5 接続情報
|
ホスト名 |
ha8000-1.cc.u-tokyo.ac.jp ha8000-2.cc.u-tokyo.ac.jp ha8000-3.cc.u-tokyo.ac.jp (どれに接続しても同じです。負荷分散にご協力下さい) |
|
接続方法 |
SSH Protocol Version 2 |
|
認証方法 |
鍵による認証(センター発行のパスワードはログインには使いません) 初回はWebによる鍵登録が必要です。本章で説明します。 |
Windowsで使用できるターミナルソフトにはPuTTYやTera Term Pro などがあります。PuTTYがもっとも鍵の扱いが容易なので、 PuTTY を本センターの推奨ターミナルソフトとし接続方法を説明します。他のターミナルソフトについては解説しませんが、多くのソフトは鍵での認証に対応しているのでHA8000クラスタシステムへのログインに使用することができます。またCygwinを使用される方はUNIX向けの解説をご覧ください。
2.3.1 PuTTY の入手
2008年5月現在 PuTTY は日本語化されたものが次のページより入手できます。
http://hp.vector.co.jp/authors/VA024651/
このページより日本語化PuTTYをダウンロードし、適切なフォルダに展開してください。
2.3.2 鍵の生成
PuTTYの配布ファイルを展開すると puttygen.exe という実行可能ファイルがあるのでそれを実行します。PuTTY Key Generator の画面が開くので Generate ボタンをクリックします。すると画面の上の方にバーが出現するので、バーが右端に到達するまでバーの下あたりでマウスを動かします。
図4 鍵の生成
Key passphrase と Confirm passphrase に適当な他人に知られない文字列を入力します。センターから通知されたパスワードとは無関係なので、センターから発行されたパスワードを入力しないように注意してください。また、入力しなくても鍵としては使えますが、セキュリティー強化のためHA8000クラスタシステムに登録する鍵はパスフレーズで保護されていることを必須とします。パスフレーズはメモしたりファイルに書いたりしなくて済むよう、他人には推測されず、自分には覚えやすいものを設定してください。パスフレーズの入力が終了したら Save private key ボタンをクリックして鍵を保存します。この秘密鍵ファイルは絶対に他人に読まれることがないよう、アクセス権には十分注意してください。この鍵を他人に読まれるとHA8000クラスタシステムに不正侵入される危険性があります。Save public key は必要ありません(Save private key で public key も同時に保存されています)。以上で鍵の生成は完了ですが、次の登録作業のためにこの画面は開いたままにしておいてください。
2.3.3 鍵のHA8000クラスタシステムへの登録
HA8000クラスタシステムにはputtygenの画面の上の方にある”Public key for pasting into OpenSSH authorized_keys file” と書かれた欄にある文字列を登録します。もし、前のステップの後 puttygen を終了してしまった場合は、再び puttygen を起動した後 ”Load”ボタンを押して前のステップで保存した鍵のファイルを読み込めば登録に必要な文字列が得られます。
鍵の登録のためには、次のURLにアクセスしてください。
https://ha8000.cc.u-tokyo.ac.jp/user/
ユーザー名とパスワードを求められるので、センターから通知されたユーザー名とパスワードを入力してください。ここで入力するパスワードは鍵の保護のために入力したパスフレーズではなく、センター発行のパスワードです。認証に成功するとユーザーページが開きますので「公開鍵登録」のリンクをクリックしてください。開いたページの “Public Key”の欄に PuTTY Key Generator ウインドウの ”Public key for pasting into OpenSSH authorized_keys file” に表示されている文字列をコピー&ペーストし、”Password” の欄にセンター発行のパスワードを入力してください(すでに認証済みですが、セキュリティー上非常に重要な部分なので再度パスワード入力をお願いしております)。「登録」をクリックして完了画面が出れば登録完了です。登録まで少し時間がかかることがありますが、「登録」ボタンを何度もクリックしないようお願いします。
登録作業を2回以上行うと、最初に登録した鍵は削除されます。また、一度でもSSHでログインするとWeb経由での公開鍵登録はできなくなります。複数のコンピュータからログインするために公開鍵を2個以上登録する方法や、ログインした後の鍵の変更方法は後の「鍵について」の節で説明します。
2.3.4 ログイン
PuTTYを起動すると図6のような画面が出ます。図に示した順番で以下のように情報を設定します。
1. ホスト名を入力
2. 「SSH」の「認証」画面に移動して秘密鍵ファイルを設定する
3. 「セッション」画面に戻ってセッション名を入力し、保存する
4. 「開く」ボタンで接続する。ユーザー名を入力すると鍵のパスフレーズを聞かれるので、鍵作成の時に設定したパスフレーズを入力する。
2.3.5 ファイルコピー
ファイルコピーにはWinSCPというソフトが使用できます。WinSCPはPuTTY Key Generator で生成して保存した秘密鍵がそのまま使えます。ホスト名やユーザー名を登録する「セッション登録画面」に秘密鍵ファイルを指定する欄がありますので、秘密鍵ファイルを指定してください。
図5 WinSCPによるファイルコピー
図6 ログイン方法
Linux や MacOS X 、Windows上のCygwinからのログインにはOSにデフォルトでインストールされている OpenSSH が使用できます。
2.4.1 鍵の生成
次のコマンドを入力してください
$ ssh-keygen -t rsa
最初に鍵の保存場所を聞かれます。これはそのままリターンで大丈夫です。次にパスフレーズを求められるので入力して下さい。センターから通知されたパスワードとは無関係なので、センターから発行されたパスワードを入力しないように注意してください。また、入力しなくても鍵としては使えますが、セキュリティー強化のためHA8000クラスタシステムに登録する鍵はパスフレーズで保護されていることを必須とします。パスフレーズはメモしたりファイルに書いたりしなくて済むよう、他人には推測されず、自分には覚えやすいものを設定してください。確認のためもう一度パスフレーズを入力したら鍵生成は完了です。
2.4.2 鍵のHA8000クラスタシステムへの登録
鍵の登録のために、次のURLにアクセスしてください。
https://ha8000.cc.u-tokyo.ac.jp/user/
ユーザー名とパスワードを求められるので、センターから通知されたユーザー名とパスワードを入力してください。ここで入力するパスワードは鍵の保護のために入力したパスフレーズではなく、センター発行のパスワードです。認証に成功するとユーザーページが開きますので「公開鍵登録」のリンクをクリックしてください。開いたページの “Public Key”の欄に ~/.ssh/id_rsa.pub の内容をコピー&ペーストし、”Password” の欄にセンター発行のパスワードを入力してください(すでに認証済みですが、セキュリティー上非常に重要な部分なので再度パスワード入力をお願いしております)。「登録」をクリックして完了画面が出れば登録完了です。登録まで少し時間がかかることがありますが、「登録」ボタンを何度もクリックしないようお願いします。
登録作業を2回以上行うと、最初に登録した鍵は削除されます。また、一度でもログインするとWeb経由での公開鍵登録はできなくなります。複数のコンピュータからログインするために公開鍵を2個以上登録する方法や、ログインした後の鍵の変更方法は次節「鍵について」で説明します。
2.4.3 ログイン
次のコマンドを実行し、パスフレーズを入力すればログインできます。自動的に公開鍵認証が行われます。
$ ssh z00000@ha8000-3.cc.u-tokyo.ac.jp
2.4.4 ファイルコピー
次のコマンドを実行し、パスフレーズを入力します。自動的に公開鍵認証が行われます。
$ scp file z00000@ha8000-3.cc.u-tokyo.ac.jp:
2.5.1 Web登録システムの有効期間
Webによる鍵登録が可能なのは最初にSSHでのログインに成功するまでです。常に登録システムを開いておくと、悪意を持った第三者にパスワードが漏れた場合に登録システムを通じて攻撃者が生成した鍵が登録されてしまい、システムに不正侵入されてしまうためです。鍵が未登録なはずなのに登録システムに登録を拒否された場合は、何者かによって鍵を登録されてしまったことになるので、至急センターまでご連絡下さい。
2.5.2 Web登録システムに入力できる鍵
Web登録システムは OpenSSH形式の鍵を受け付けます。Windowsでは推奨ソフトであるPuTTY の他、Tera Term Pro もこの形式の鍵を生成します。
2.5.3 鍵の追加と変更
ログインした後に、他のマシン用の鍵を追加したり、登録済みの鍵を変更する場合はHA8000クラスタシステムにログインし、~/.ssh/authorized_keys に書かれている公開鍵をエディタで直接編集してください。一行に一個の公開鍵を書きます。鍵の文字列は長いため、多くの場合は複数行にわたって表示されることになりますが、データ上は一個の鍵は一行でなくてはなりません。鍵の途中に改行を入れないようご注意下さい。このファイルを削除したり、書かれている公開鍵を壊してしまうとログインできなくなります。
2.5.4 秘密鍵の管理
鍵の生成方法で説明したとおり、秘密鍵を守ることはHA8000クラスタシステムのセキュリティーを守る上で非常に重要なので、パスフレーズや秘密鍵が他人に漏れることのないよう十分ご注意下さい。万が一秘密鍵が他人に漏れた場合は必ずセンターに連絡し、適切な処置についてご相談下さい。複数のマシンからHA8000クラスタシステムにログインする場合は、それぞれのマシンで鍵を生成して、上で説明した方法でHA8000クラスタシステムの方に鍵を追加します。秘密鍵をコピーして他のマシンで使用してはいけません。
2.5.5 別システムへのログインに使用している鍵の流用
一台のクライアントマシンからHA8000クラスタシステムと他の公開鍵認証を用いるシステムにログインする場合、他のシステムに登録した鍵をHA8000クラスタシステムにも登録することは差し支えありません。ただし、他のシステム用に登録していた鍵がパスフレーズで保護されていない場合はHA8000クラスタシステムには登録できません。一般的に、パスフレーズのない鍵の使用は非常に危険なので、その場合は、別のシステムに登録していた鍵の方をパスフレーズ付きに変更し、それをHA8000クラスタシステムにも登録することをお勧めします。
UNIXシステムで複数の鍵を使い分けたいときは ~/.ssh/config に次のように書きます。
(例)ha8000-*.cc.u-tokyo.ac.jp には秘密鍵 ~/.ssh/id_rsa_ha8000 を使用するとき
Host ha8000-*.cc.u-tokyo.ac.jp
User z00000
IdentityFile ~/.ssh/id_rsa_ha8000