跳转至

集群登录

集群登录方式为动态口令+密码,不支持密码和秘钥登录,集群可在校内和校外登录。校内登录IP地址和端口见管理员发送的账号信息邮件,校外登录专用的IP地址和端口号见登录集群后的欢迎信息提示。

集群登录IP地址和端口以下以 ipport 代称。

登录节点生成密钥

在校园网内登录个人的集群帐号(登录节点 mn02 ) ,运行命令 google-authenticator -C -Q NONE -t -f -d -r 3 -R 30 -w 3 ,即可生成用于手机端生成动态口令的密钥(secret key)以及备用登录口令,备用登录口令在手机端无法生成口令时使用,务必妥善保管,过程如下所示:

$ google-authenticator -C -Q NONE -t -f -d -r 3 -R 30 -w 3
Your new secret key is: URUUTDFSZJLINDA6WYNCPFLBOQ
Your verification code for code 1 is 984971
Your emergency scratch codes are:
  65741623
  35546844
  93420918
  73609925
  99156164
各选项解释如下:
  • -C : 运行 google-authenticator 命令时不做人工确认
  • -Q NONE: 不生成二维码
  • -t :基于TOTP生成验证码
  • -f : 将配置保存到 ~/.google_authenticator
  • -d : 不允许重复使用以前使用的令牌
  • -r 3 -R 30 : 限速,每 30 秒允许 3 次登录
  • -u :不限速
  • -w 3 : 允许的令牌的窗口大小。默认情况下,令牌每 30 秒过期一次。窗口大小 3允许在当前令牌之前和之后使用令牌进行身份验证以进行时钟偏移。

Warning

google-authenticator 命令运行完成之后,注意检查~/.google_authenticator文件是否存在ls ~/.google_authenticator

账号的home目录权限只限于700750others权限不可开放,以及~/.google_authenticator文件的权限仅为400,否则二次验证会失败无法登录账号。

由于二次验证登录设置了登录次数限制,即 30 秒内尝试登录次数为 3 次,请勿短时间内不断尝试登录。

手机客户端生成动态验口令

app安装

在安卓的应用商店输入"身份验证器"或"google authenticator",IOS应用商店内输入"google authenticator"以搜索安装google authenticator身份验证软件。每个安卓应用商店搜索出来的软件不太一样,如小米应用商城搜索出来的为微软的"Authenticator",使用方式都大同小异。也可在集群用户qq群内群文件中下载google authenticator安卓安装包。

安卓手机也可以下载其它 TOTP 客户端APP 酷安

Tip

为方便日常使用,也可以使用浏览器插件来生成动态口令, chrome, firefox, edge。 也可以使用微信小程序 "数盾OTP" 来生成口令

app设置

以google authenticator为例

  • 点击"开始设置"

    Google_authenticator-1

  • 点击"手动输入动态口令"

    Google_authenticator-1

  • 填写账户信息

    在"账户"内随便填方便标识的字符串,有多个账户时方便标识,此处填写的"账户"与服务器账户无关。密钥内填上文中运行 google-authenticator 命令生成的的密钥(secret key) URUUTDFSZJLINDA6WYNCPFLBOQ,每个人均不相同。软件根据该密钥生成对应的6位数动态口令,动态口令每30s自动更新一次。

    Google_authenticator-1

  • 最终效果

    Google_authenticator-1

Warning

此处的动态口令基于时间生成,登录节点的时间已经与标准时间同步,因此如果手机时间有误,则生成的动态口令不可用,每个动态口令只能使用一次。

密钥和备用口令位于 ~/.google_authenticator 内,如果遗忘密钥或更换手机,可查看该文件内的密钥重新设置app以生成动态口令。建议将秘钥在电脑上备份,以便更换手机后能重新设置app生成动态口令。

客户端登录

Windows

以xshell为例,IP地址和端口为 ipport ,用户名和密码为个人的集群用户名和密码。

  • 新建xshell会话,填写"会话名称"以及"IP地址"

    Google_authenticator-1

  • 点击右侧的"用户身份验证",身份方法选择"Keyboard Interactive",不能勾选"password",用户名填写服务器用户名,密码空着不能填写,点击确定。

    Google_authenticator-1

  • 尝试连接服务器,弹出"Verification code"窗口,填写手机上显示的6位数动态口令,点击确定。

    Google_authenticator-1

  • 在弹出的"Password"窗口内填写服务器用户密码,点击"确定"即可登录到服务器。如果出现 keyboard-interactive身份验证失败。请再试一次 的报错,则需要重新输入动态口令和密码。

    Google_authenticator-1

  • xshell成功登录之后,如果需要传输数据,可以点击xshell的sftp按钮,打开sftp,同时也会弹出与xshell类似的窗口以输入动态口令和用户密码。

linux/mac

使用ssh命令登录,IP地址和端口为 ipport ,用户名和密码为个人的集群用户名和密码。

注意不同的系统,指定登录端口的选项略有不同,有的选项为 -p (小写),有的选项为 -P (大写),如果出现端口相关的报错请更换选项。

$ ssh -p port username@ip
Verification code: 
Password: 
Last login: Wed Dec  8 16:55:49 2021 from xxx.xxx.xxx.xxx

数据传输

工具推荐:Xftp(Windows 推荐)、WinSCPTermius (macOS 推荐)、FileZilla(支持Windows、Linux、Mac OS三种平台)。

Xftp

Xftp 如长时间连接后传输文件出错,设置 会话 (Sessions)->属性 (Properties)->选项 (Options)->仅使用主连接 (Use main connection only)

WinSCP

WinSCP 不可使用后台传输 (Background Transfers)

FileZilla

二次验证设置

文件->站点管理器->新站点->协议:sftp->填写ip和端口->登录方式:交互式->用户:个人账号->连接

第一个弹窗输入6位动态口令,第二个弹窗输入个人账号密码

FileZilla 长时间空闲不操作连接会中断,须在站点 (Site)->传输设置 (Transfer Settings)->勾选限制并发连接数 (Limit number of simultaneous connections)->设置最大连接数 (Maximum number of connections)为1。

其它

vscode

在config文件中添加 KbdInteractiveAuthentication yes 以便连集群时进行二次验证。

Host cluster
    HostName login_ip
    User username
    Port login_port
    KbdInteractiveAuthentication yes

从其它服务器登录或传输数据

本集群的安全策略禁止在校内其它服务器上通过ssh登录本集群及使用scp往本集群传输数据。

如果需要从校内其他服务器往本集群上传输数据,可以在本集群上运行如下命令,即在本集群上使用scp获取在其他服务器上的数据。

$ scp -p port -r dir user@remote:~

Warning

在校外登录时,部分单位的网络环境中,可能单位的防火墙不允许使用非22端口对外登录服务器,表现为确认使用的登录IP和端口正确无误后,登录时仍然无法弹出输入动态口令和密码的窗口。建议与网络管理员沟通放行该端口,或者使用手机热点网络登录集群。

本文阅读量  次
本站总访问量  次