Servizio Bastion: Accesso SSH a workstation in Dipartimento

Il servizio di Bastion host SSH permette l'accesso SSH protetto alle risorse informatiche sulla rete interna del Dipartimento, evitando di esporre direttamente all'esterno i servizi e migliorando drasticamente la sicurezza della rete.

Per accessi diversi da SSH contattare supporto tramite difa.csi@unibo.it.

A chi è rivolto

Possono utilizzarlo:

personale strutturato del DIFA (docenti, PTA)
dottorandi del DIFA
contrattisti del DIFA
accreditati del DIFA
studenti (solo se abilitati all'accesso ai cluster di calcolo)
utenti abilitati ai cluster di calcolo

Attivazione

Il servizio Bastion è attivo in automatico e non è necessario fare domanda di abilitazione. È legato ai ruoli ricoperti e riconosciuti dall'Ateneo.

Gli studenti non hanno la possibilità di accedere da remoto eccetto che per l’utilizzo dei cluster di calcolo. L’abilitazione all’uso dei cluster comporta automaticamente l’abilitazione all’uso del servizio Bastion senza necessità di ulteriore domanda.

In caso di problemi, contattare il supporto tramite difa.csi@unibo.it.

Come accedere

È possibile utilizzare il servizio solo con le proprie credenziali istituzionali.

Chi ha effettuato un cambio di UPN nel proprio account istituzionale deve utilizzare le credenziali complete o quelle precedenti alla modifica.

Ad esempio chi usa n.cognome@unibo.it (oppure nome.cognome@unibo.it) al posto di nome.cognomeN@unibo.it, per l'autenticazione sul servizio Bastion deve usare una fra le due seguenti opzioni:

nome.cognomeN
n.cognome@unibo.it (oppure nome.cognome@unibo.it)

Quindi in questo caso non è possibile autenticarsi usando solamente n.cognome (oppure nome.cognome) senza @unibo.

Configurazione

OpenSSH (command line Linux / macOS / Windows PowerShell)

È sufficiente aggiungere "-J nome.cognome@137.204.50.15" all'inizio del comando ssh che si utilizzava precedentemente. Ad esempio:

ssh -J nome.cognome@137.204.50.15 <account_macchina>@<IP_macchina>

dove <IP_macchina> è l’indirizzo IP della macchina da raggiungere e <account_macchina> è l’utente con il quale accedere alla macchina remota.

Ancora meglio sarebbe modificare ~/.ssh/config aggiungendo le sezioni:

Host bastion
     Hostname 137.204.50.15
     User     nome.cognome

Host <IP_macchina>
     User      <account_macchina>
     ProxyJump bastion

Per copiare file verso o da una macchina remota attraverso il servizio Bastion si possono usare strumenti come scp o rsync.

Poiché scp è basato su SSH, se si è configurato SSH tramite ~/.ssh/config si continua ad utilizzare la sintassi utilizzata precedentemente. Altrimenti è sufficiente aggiungere -J nome.cognome@137.204.50.15 all'inizio del comando scp che si utilizzava precedentemente. Ad esempio:

scp -J nome.cognome@137.204.50.15 $HOME/Desktop/foo <account_macchina>@<IP_macchina>:/path/to/foo
Il programma rsync deve essere impostato per utilizzare il servizio Basstion tramite SSH aggiungendo l’opzione -e "ssh J nome.cognome@137.204.50.15" all'inizio del comando rsync che si utilizzava precedentemente. Se si è configurato SSH tramite ~/.ssh/config è sufficiente aggiungere -e "ssh -J bastion". Ad esempio:

rsync -e "ssh -J nome.cognome@137.204.50.15" $HOME/Desktop/foo <account_macchina>@<IP_macchina>:/path/to/foo

rsync -e "ssh -J bastion" $HOME/Desktop/foo <account_macchina>@<IP_macchina>:/path/to/foo

Putty (Windows)

Sito di riferimento: https://www.chiark.greenend.org.uk/~sgtatham/putty/

Richiede almeno la versione 0.80 (quelle più vecchie non supportano il proxyhost).

Nell'albero "Category", sotto "Connection" -> "Proxy":

selezionare SSH to proxy and use port forwarding per Proxy type
inserire 137.204.50.15 come Proxy hostname e 22 come porta.

Le altre impostazioni rimangono uguali a quelle precedentemente usate.

MobaXTerm (Windows)

Sito di riferimento: https://mobaxterm.mobatek.net

Modificare la connessione:

selezionare la scheda Network Settings e fare click su SSH Gateway (jump host).
impostare il campo Gateway host a 137.204.50.15
impostare il campo Username con il proprio l'account istituzionale