Zugang von externen Rechnern

SSH (secure shell) ist ein für den Login auf entfernten Rechnern empfohlenes Programm. SSH übermittelt die Login-Informationen (Userid und Passwort) in verschlüsselter Form über das Netzwerk.

Der Einsatz eines SSH Tunnels ist für die Nutzung von internen Diensten dem Einsatz von VPN vorzuziehen. Siehe dazu bitte SSH vs. VPN von D4 (Webseite nur aus dem DESY Intranet erreichbar!)

Voraussetzungen

Um SSH zu verwenden, muss beim Anwender ein sogenannter SSH Client (z. B. PuTTY auf Windows Rechnern) installiert sein und ein SSH Dämon auf dem System laufen, mit bzw. über den die Verbindung hergestellt werden soll (z. B. bastion.desy.de als Gateway Rechner). Beide Voraussetzungen sind auf allen zentral bei DESY verwalteten Linux Rechnern erfüllt. Als SSH Client steht für Windows Rechner PuTTY zur Verfügung.

Rechnername

Über die technischen Rahmenbedingungen hinaus muss Ihnen der Rechnername bekannt sein, zu dem Sie sich verbinden möchten. Diesen müssen Sie im Vorwege direkt am entsprechenden Rechner ermitteln oder alternativ einen Kollegen darum bitten dies zu tun, sollten Sie nicht vor Ort sein. Wie Sie den Rechnernamen unter Windows ermitteln, erfahren Sie auf folgender Webseite: http://it.desy.de/dienste/uco/dokumentation/externer_zugang/index_ger.html. Für den zentralen Windows Terminal Server verwenden Sie einfach winterm.desy.de.

Erforderliche Programme

PuTTY

Handelt es sich bei dem Rechner von dem Sie sich verbinden möchten, um einen DESY Windows Rechner, installieren Sie PuTTY bitte via NetInstall / DSM. Handelt es sich um ein privates Windows Gerät, laden Sie PuTTY bitte über die offizielle Webseite herunter: https://putty.org.

FastX 2

Für eine grafische Verbindung zu einem Linux Rechner benötigen Sie außerdem einen FastX 2 Client, sowie einen FastX 2 Server auf dem entfernten Linux Rechner. Den Client können Sie via NetInstall/DSM auf DESY Windows Geräten installieren. Andernfalls ist ein Download der Installationsdatei über die DESY Webseiten möglich, hierüber erhalten Sie auch die Installationsdateien für den Server, sowie entsprechende Anleitung zur Einrichtung des Servers. Bitte verwenden Sie die neueste Version, die dort verfügbar ist.

Zentrale Workgroup Server wie pal.desy.de stellen bereits einen FastX 2 Server zur Verfügung und können daher bereits ohne weitere Vorbereitungen auf dem entfernten Rechner für die Verbindung via FastX 2 genutzt werden.

XfreeRDP

Bei XfreeRDP handelt es sich um einen Remote Desktop Client, der mithilfe des Befehls 'xfreerdp' auf Linux Rechnern aufgerufen werden kann. Er ist auf Linux Rechnern notwendig, um eine grafische Verbindung zu Windows Rechnern aufbauen zu können. Auf DESY Linux Rechnern ist er in der Regel bereits standardmäßig verfügbar. Falls dies nicht der Fall ist, ist er über die Standard Installations Repositories über den System Package Manager des Rechners installierbar.

Erforderliche Berechtigungen

Berechtigungen für persönlichen Windows Rechner

Um sich auf einem Windows Rechner aus der Ferne anmelden zu dürfen, ist es erforderlich, dass der Benutzer entweder administrative Rechte auf dem Gerät hat oder in der Liste der Remote Desktop Users eingetragen ist. Falls insofern die Verbindung zu einem Windows Rechner nicht möglich ist, kann dies unter Umständen daran liegen, dass der Benutzer keine Rechte für die Verbindung hat. Eine entsprechende Fehlermeldung teilt dies normalerweise bei einem Verbindungsversuch mit.

Sprechen Sie in einem solchen Fall bitte ggf. Ihren zuständigen Gruppenadministrator an, um sicherzustellen, dass alle Einstellungen so gesetzt sind, dass eine Verbindung zu dem gewünschten Windows Rechner für Sie grundsätzlich möglich sein sollte.

Berechtigungen für Winterm

Berechtigungen für die Verbindung zum zentralen Windows Terminal Server winterm.desy.de werden vom UCO vergeben. Wenn Sie insofern beabsichtigen, eine Verbindung zum Windows Terminal Server herzustellen, wenden Sie sich bitte an das UCO via E-Mail: uco@desy.de oder Tel. 5005. Weitere Informationen zum Windows Terminal Server können Sie auf folgender Webseite finden: http://it.desy.de/dienste/login/win_ts/

Nutzung von bastion.desy.de als Gateway

Um zu einem DESY internen Rechner zu verbinden, ist die Verbindung über den Gateway Rechner bastion.desy.de in der Regel zwingend erforderlich, da alle anderen Rechner normalerweise nicht von außerhalb erreichbar sind. Daher dient bastion.desy.de als Vermittler zwischen Geräten innerhalb und solchen Geräten, die sich außerhalb des DESY Netzwerkes befinden.

Es ist zwar möglich, sich von außerhalb auf bastion.desy.de zu verbinden, er kann allerdings ausschließlich als Gateway Rechner für den Aufbau von SSH Tunneln bzw. für einen "Hop" zu einem anderen Linux Rechner verwendet werden und nicht für den Aufruf von Befehlen, da auf bastion.desy.de nur eine minimale Auswahl an Befehlen zur Verfügung steht.

Daher ist es erforderlich, nach einer Verbindung zu bastion.desy.de auf einen weiteren Rechner zu verbinden. Ggf. direkt auf einen weiteren Linux Rechner, zum Beispiel Ihren persönlichen Linux Rechner bei DESY oder auch pal.desy.de, welcher als zentrale Resource für allgemeine Anwendungsfälle bei DESY zur Verfügung steht.

Nutzung von SSH

Die SSH man pages erläutern die Möglichkeiten von SSH ausführlich, ein vollständiges Verständnis von SSH ist für den täglichen Einsatz aber nicht notwendig. Die häufigsten Anwendungsfälle werden daher im Folgenden näher erläutert.

Für spezielle Fälle im Computing-Umfeld gibt es separate Dokumentationen, die die Verbindungen via SSH unter Nutzung von FastX 2 zum zentralen Rechen-Cluster beschreibt. Diese finden Sie auf folgenden Webseiten:

 

MacOS

Die folgenden Anleitungen beziehen sich ausschließlich auf die Verbindung zwischen Linux und Windows Rechnern. Anleitungen zu remote Verbindungen von/zu MacOS finden Sie auf folgender Webseite:

 

Anleitungen

Windows -> Windows

Abbildung 1

Abbildung 2

Wichtig: Für die Durchführung dieser Anleitung benötigen Sie PuTTY und Berechtigungen, sich auf dem entfernten Windows Rechner anmelden zu dürfen. Siehe Abschnitt "Erforderliche Programme" und "Erforderliche Berechtigungen" oben auf dieser Seite.

SSH Verbindung in PuTTY konfigurieren

  1. Starten Sie PuTTY
  2. Geben Sie im Feld "Host Name (or IP address)" ein bastion.desy.de
  3. Prüfen Sie, ob die Felder "Port" und "Connection Type" die Standardeinstellungen "22" bzw. "SSH" aufweisen
  4. Wechseln Sie zur Kategorie  SSH Tunnels.  Hier muss der "Source Port" eingegeben werden. Das ist der Port des entfernten Rechners, den Sie auf einen Port des lokalen Rechners weiterleiten.
  5. Hier ist Port Nummer 8006 gewählt. Es ist möglich, Ports zwischen 5000 – 65535 zu wählen, da diese in der Regel frei verfügbar sind und von keiner anderen Applikation benutzt werden.
  6. Unter "Destination" geben Sie den Rechnernamen an, zu dem Sie sich verbinden wollen, gefolgt von einem Doppelpunkt und der Port-Nummer 3389. Zum Beispiel winterm.desy.de:3389, um auf den zentralen Terminalserver zu gelangen (Abb.2). Hinweis: Bei 3389 handelt es sich um den Standardport für die Remote Desktop Verbindung.
  7. Klicken Sie auf "Add". Die Session ist jetzt eingerichtet und muss noch gespeichert werden.

 

Die Session speichern

  1. Gehen Sie zurück zu Session.
  2. Geben Sie unter "Saved Sessions" einen beliebigen Namen ein, unter dem Sie die Session später wieder aufrufen möchten. Hier wurde "Meine Session" gewählt.
  3. Klicken Sie auf "Save". Siehe Abb. 3

 

Abbildung 3

Öffnen des SSH-Tunnels

  1. Klicken Sie auf "Open". Es öffnet sich ein neues Fenster.
  2. Geben Sie dort nach Aufforderung Ihren Benutzernamen und Passwort ein. Hinweis: Das Passwort ist während der Eingabe nicht sichtbar!

 

Abbildung 4

Starten des Remote Desktop Clients

  1. Öffnen Sie nun den Remote Desktop Client auf Ihrem Windows Rechner über Start → All Programs → Zubehör→ Remotedesktopverbindung
  2. Im Feld "Computer" geben Sie ein: localhost:8006 (bzw. den entsprechenden "Source Port", den Sie in PuTTY gewählt haben)
  3. Klicken Sie auf "Verbinden" und geben Sie Ihr Passwort ein, wenn Sie dazu aufgefordert werden.

 

Hinweise

  • Sollten Sie eine Zertifikatswarnung während des Verbindungsaufbaus erhalten, bestätigen Sie diesen Hinweis mit "Ja".
  • Bei Eingabe des Benutzernamens für die Remote-Desktop-Verbindung muss ggf. die Domain "WIN\" vor dem Benutzernamen eingegeben werden. Sollte die Verbindung nicht erfolgreich hergestellt werden können, stellen Sie bitte sicher, dass Ihr Benutzername in den Optionen wie folgt hinterlegt ist. Klicken Sie dazu im Fenster der Remotedesktopverbindung auf "Optionen einblenden" (Abb. 4): WIN\benutzername
Windows -> Linux MIT grafischer Oberfläche

Abbildung 1

Abbildung 2

Wichtig: Für die Durchführung dieser Anleitung benötigen Sie PuTTY und FastX2. Siehe Abschnitt "Erforderliche Programme" oben auf dieser Seite.

SSH Verbindung in PuTTY konfigurieren

  1. Starten Sie PuTTY
  2. Geben Sie im Feld "Host Name (or IP address)" ein bastion.desy.de
  3. Prüfen Sie, ob die Felder "Port" und "Connection Type" die Standardeinstellungen 22 bzw. SSH aufweisen
  4. Wechseln Sie zur Kategorie  SSH Tunnels (Abb. 2). Hier muss der "Source Port" eingegeben werden. Das ist der Port des entfernten Rechners, den Sie auf einen Port des lokalen Rechners weiterleiten.
  5. Hier ist Port Nummer 8006 gewählt. Es ist möglich, Ports zwischen 5000 – 65535 zu wählen, da diese in der Regel frei verfügbar sind und von keiner anderen Applikation benutzt werden.
  6. Unter "Destination" geben Sie den Linux Rechnernamen an, zu dem Sie sich verbinden wollen, gefolgt von einem Doppelpunkt und der Port-Nummer 22. (Abb.2).
  7. Klicken Sie auf "Add". Die Session ist jetzt eingerichtet und muss noch gespeichert werden.

 

Die Session speichern

  1. Gehen Sie zurück zu Session.
  2. Geben Sie unter "Saved Sessions" einen beliebigen Namen ein, unter dem Sie die Session später wieder aufrufen möchten. Hier wurde als Beispiel "Meine Session" gewählt.
  3. Klicken Sie auf "Save". Siehe Abb. 3

 

Abbildung 3

Öffnen des SSH-Tunnels

  1. Klicken Sie auf "Open". Es öffnet sich ein neues Fenster.
  2. Eventuell erscheint ein Pop-Up mit der PuTTY Security Alert-Meldung, die Sie mit "Ja" bestätigen können.
  3. Geben Sie anschließend Ihren Benutzernamen und Passwort ein.

 

Abbildung 4

FastX 2

  1. Starten Sie FastX 2
  2. Klicken Sie auf das Plus-Zeichen rechts oben in der Ecke und wählen Sie dort "SSH" um die Verbindung zu konfigurieren
  3. Geben Sie einen beliebigen Namen für die Verbindung ein (hier wurde "SSH Verbindung" gewählt)
  4. Geben Sie bei "Host" localhost ein und bei "Port" den zuvor in PuTTY konfigurierten lokalen Port (hier z. B. 8006)
  5. Klicken Sie anschließend auf "Save" (Abb. 4)
     
  6. Geben Sie anschließend Ihren Benutzernamen und das zugehörige Passwort ein, sobald Sie danach gefragt werden.
  7. Im nächsten FensterIn klicken Sie erneut auf das Plus-Zeichen in der rechten oberen Ecke um die Verbindung aufzubauen.
  8. Im sich nun öffnenden Fenster müssen Sie den so genannten "Window Manager" auswählen, der für die Verbindung verwendet werden soll, XFCE ist ein Ressourcen-schonender Window-Manager und daher für den Fernzugriff empfohlen, da weniger Daten für die Anzeige der grafischen Oberfläche übertragen werden müssen.

 

 

Windows -> Linux OHNE grafische Oberfläche

Wichtig: Für die Durchführung dieser Anleitung benötigen Sie PuTTY. Siehe Abschnitt "Erforderliche Programme" weiter oben auf dieser Seite.

Aufbau der Verbindung via PuTTY

Die im Folgenden beschriebenen Einstellungen sind in der links dargestellten Abbildung zu sehen.

  1. Starten Sie PuTTY
  2. Geben Sie bei "Host Name (or IP address)" bastion.desy.de ein
  3. Falls gewünscht, geben Sie einen Session Namen im Feld "Saved Sessions" ein und klicken anschließend auf "Save"
  4. Starten Sie die SSH Verbindung mit einem Klick auf "Open"

 

Nach erfolgreicher Anmeldung auf bastion.desy.de geben Sie bitte den Befehl ssh pal.desy.de ein oder anstelle von pal.desy.de einen anderen Namen eines Linux Rechners, auf den Sie sich verbinden möchten.

Linux -> Windows

Wichtig: Für die Durchführung dieser Anleitung benötigen Sie XfreeRDP, sowie Berechtigungen sich auf dem entfernten Windows Rechner anmelden zu dürfen. Siehe Abschnitt "Erforderliche Programme" und "Erforderliche Berechtigungen" weiter oben auf dieser Seite.

  1. Öffnen Sie eine Konsole / Terminal
  2. Richten Sie den SSH Tunnel mit folgendem Befehl ein:
ssh -L 8006:winterm.desy.de:3389 -l username bastion.desy.de

  1. Starten Sie anschließend die Remote Desktop Session mit folgendem Befehl:
xfreerdp /u:username /d:win /v:localhost:8006

Hinweis: Der lokale Port 8006 ist hier nur exemplarisch verwendet. Wählen Sie für sich einen beliebigen Port zwischen 5000 und 9000. Ebenso können Sie selbstverständlich einen anderen Windows Rechnernamen anstelle von winterm.desy.de einsetzen. Auch dieser ist hier nur exemplarisch verwendet. username ersetzen Sie bitte immer durch Ihren persönlichen DESY Benutzernamen.

Sollte sich der Linux Rechner bereits innerhalb des internen DESY Netzwerkes befinden, lassen Sie den 2. Schritt einfach weg und Verbinden Sie sich direkt via RDP mit dem Windows Rechner.


Support

Sollten Sie Unterstützung bei der Einrichtung der gewünschten Verbindung benötigen oder Fragen haben, wenden Sie sich bitte mit einer möglichst genauen Beschreibung Ihres Anwendungsfalles und der beteiligten Geräte, sowie deren Gerätenamen an das UCO. E-Mail: uco@desy.de, Tel: 5005.