Przejdź do treści

Autoryzacja dwu-składnikowa (2FA)

W celu podniesienia bezpieczeństwa, logowanie do systemów ICM wymaga autoryzacji dwu-składnikowej (2 Factors Authentication - 2FA).

  • Pierwszy składnik składa się z tradycyjnej pary login oraz hasło.
  • Drugi składnik to OTP One Time Password, czyli jednorazowy kod, indywidualny dla każdego, generowany przy użyciu specjalnej aplikacji.

OTP jest wymagane przy logowaniu się do następującyh systemów:

  • Serwera obliczeniowego hpc.icm.edu.pl
  • Systemu Alokacji Zasobów https://granty.icm.edu.pl/

Ten sam token jest ważny do obydwu z nich. System będzie oczekiwał podania OTP nawet jeśli token nie został jeszcze wygenerowany.

2FA - testowy token TOTP

Ponieważ prawdziwy token nie może zostać zresetowany bez pomocy administratora, warto skorzystać z tokenu testowego, dopóki nie poczujesz się pewnie.

Po uruchomieniu aplikacji u góry ekranu powinien pojawić się znak „+”. Naciśnięcie go powinno uruchomić aparat, skieruj go na następujący kod QR:

Tekst kryjący się pod kodem QR to: otpauth://totp/apptest%20TOTP05228F43?secret=4ZRWWHXXCFF76CJJQNEWQDWVQDPORP3F&period=30&digits=6&issuer=ICM-HPC

Aplikacja powininna zainstalować wpis o nazwie apptest 20TOTP05228F43, wyświetlający sześciocyfrowy numer, który zmienia się co 30 sekund.

Alternatywnie do skanowania kodu QR, można ręcznie wprowadzić sekret: 4ZRWWHXXCFF76CJJQNEWQDWVQDPORP3F.

Konto testowe można usunąć po dojściu do etapu generowania sześciocyfrowego TOTP.

Aplikacje do obsługi tokenów TOTP

W celu uzyskania kodu konieczne jest zainstalowanie na swoim telefonie aplikacji obsługującej mechanizm tokenów TOTP (Time-based One-time Password), np. FreeOTP, Authy lub GoogleAuthenicator. Aplikację są dostępne w GooglePlay i AppStore, są darmowe i nie wymagają dostępu do internetu (działają w trybie offline).

Użycie aplikacji na telefon jest preferowane ponieważ:

  • jest łatwiejsze w obsłudze
  • inne urządzenie stanowi dodatkowy czynnik zabezpieczający

Jeżeli nie jest to możliwe, należy zainstalować aplikację na komputerze. Szczegóły poniżej.

GNU/Linux - GUI

TOTP token może być zarejestrowany na komputerzy przy użyciu aplikacji z interfejsem graficznym (GUI), np. https://keepassxc.org/

GNU/Linux - CLI

Alternatywnie, token TOTP może być zarejestrowany na komputerzy przy pomocy aplikacji "pass" (CLI - command line interface) w systemie operacyjnym GNU/Linux:

  1. Instalujemy aplikację "pass". Najwygodniej jest to zrobić za pośrednictwem repozytorium pakietów właściwego dla naszej dystrybucji systemu. Alternatywnie - program można pobrać ze strony: https://github.com/tadfisher/pass-otp

  2. Program "pass" przechowuje hasła w postaci zaszyfrowanej, dlatego konieczne będzie zainstalowanie pakietu "gnupg" (z repozytorium pakietów systemu) i wygenerowanie klucza GPG, który będzie służył do szyfrowania naszych danych. Można to zrobić wydając instrukcję:

    gpg --full-gen-key

    i postępując zgodnie z wyświetlanymi na ekranie poleceniami (a w razie wątpliwości akceptując domyślne parametry).

    Dalej inicjujemy bazę haseł programu "pass":

    pass init <gpg-id lub adres e-mail klucza GPG>

  3. Wchodzimy w przeglądarce internetowej na stronę https://mfa.hpc.icm.edu.pl i logujemy się do serwisu przy użyciu dotychczasowej nazwy użytkownika i hasła.

  4. Wybieramy opcję "Enroll Token" i bez zmiany domyślnych parametrów wybieramy "Enroll".

    Note

    Tu musimy działać powoli, zbyt szybkie przejście dalej spowoduje niemożliwość wykorzystania wygenerowanego tokenu.

    Pojawi się nowa strona z obrazem kodu QR odpowiadającemu tokenowi. Obok kodu jest dostępny link (pokolorowane "here"). Kopiujemy adres, na który wskazuje link do schowka lub do dowolnego edytora tekstu.

  5. W terminalu wykonujemy instrukcję:

    pass otp insert icm

    Program poprosi nas o podanie "otpauth://". W tym miejscu wklejamy w całości skopiowany wcześniej link.

    Pojawienie się komunikatu Error: otp is not in the password store. świadczy o niepoprawnym zainstalowaniu wtyczki 'pass-otp' do programu 'pass'. W rezultacie komenda 'otp' nie jest rozpoznawana. Przykład z błędem poniżej:

    username@hostname:~$ pass blahblah
    Error: blahblah is not in the password store.
    
    username@hostname:~$ pass blahblah insert
    Error: blahblah is not in the password store.
    
    username@hostname:~$ pass blahblah insert icm
    Error: blahblah is not in the password store.
    
  6. Gotowe. Można już zamknąć stronę internetową rejestracji tokenu, a link nie będzie już potrzebny. Żeby wygenerować token, wystarczy wydać w terminalu polecenie:

    pass otp icm

    Program zapyta nas o hasło – UWAGA: nie jest to hasło ICM, ale hasło klucza GPG, który wygenerowaliśmy w punkcie 1.

    Proces wpisywanie tokenu podczas sesji SSH można nieco uprościć - wydając polecenie:

    pass otp -c icm

    Wówczas token nie zostanie wyświetlony na ekranie, ale automatycznie umieszczony w schowku -- można natychmiast wkleić go do sesji SSH.

    Opcjonalnie, żeby proces logowania do systemów ICM był wygodniejszy, można utworzyć następujący alias (i umieścić poniższą linię w pliku ~/.bashrc) - dla powłoki Bash:

    alias sshicm='pass otp -c icm && ssh 213.135.51.79'
    

    Chcąc zalogować się do systemu ICM wystarczy wówczas napisać w terminalu:

    sshicm

    Program wygeneruje token (prosząc jedynie o hasło klucza GPG), umieści go w schowku i połączy się z systemem dostępowym ICM, gdzie możemy natychmiast wkleić token ze schowka.

MS Windows

Rejestracja tokenu TOTP przy pomocy aplikacji "OTP Manager" w Windows 10 (do pobrania z Windows Store):

  1. Instalujemy aplikację OTP Manager.

  2. Uruchamiamy aplikację i wybieramy manualne dodanie nowego tokenu.

  3. Wchodzimy w przeglądarce internetowej na stronę https://mfa.hpc.icm.edu.pl i logujemy się do serwisu przy użyciu dotychczasowej nazwy użytkownika i hasła.

  4. Wybieramy opcję "Enroll Token" i bez zmiany domyślnych parametrów wybieramy "Enroll".

    Uwaga! Tu musimy działać powoli, zbyt szybkie przejście dalej spowoduje niemożliwość wykorzystania wygenerowanego tokenu.

  5. Pojawi się nowa strona z obrazkiem kodu QR odpowiadającemu tokenowi. Obok kodu jest dostępny link (pokolorowane "here"). Kopiujemy adres na który wskazuje link do notatnika lub innego edytora tekstowego. Adres ma postać:

    otpauth://totp/apptest%20TOTP05228F43?secret=4ZRWWHXXCFF76CJJQNEWQDWVQDPORP3F&period=30&digits=6&issuer=ICM-HPC

  6. Kopiujemy ciąg znaków zaczynający się po "secret=" i kończący się przed znakiem "&" (w przykładzie powyżej: 4ZRWWHXXCFF76CJJQNEWQDWVQDPORP3F). To nasz sekretny klucz tokenu. Powinniśmy go chronić lub po zakończeniu rejestracji zapomnieć.

  7. Wklejamy sekretny klucz do aplikacji OTP Manager w polu "Secret", a pozostałe nazwy możemy wypełnić dowolnie. Zapisujemy token za pomocą ikony dyskietki w górnej listwie aplikacji.

  8. W tym momencie OTP Manager powinien wyświetlać 6 cyfrowy kod OTP do wpisania przy logowaniu do ICM. Możemy go przetestować.

  9. Możemy zamknąć stronę rejestracji tokenu i zapomnieć sekretny klucz.

2FA - rejestracja prawdziwego tokenu TOTP

W celu rejestracji prawdziwego tokenu prosimy o zalogowanie się swoimi danymi do serwisu https://mfa.hpc.icm.edu.pl i wygenerowanie tokenu bez zmiany domyślnych ustawień (enroll token). Pojawi się kod QR, który należny wskanować do aplikacji.

Warning

Użytkonik ICM może mieć przypisany tylko jeden token do logowania. Po usunięciu tokenu z aplikacji w telefonie nie ma możliwości jego odzyskania (tylko reset wykonany przez administratora).

Poniżej domyśle ustawienia do generacji tokenu:

oraz wygenerowany token testowy apptest 20TOTP05228F43:

Ta strona używa plików cookies.
Polityka Prywatności    AKCEPTUJĘ