Af Mikkel Hald, 27/10/25
DeiC og WAYF har udviklet et simpelt, men effektivt stykke software som gør det muligt at forbinde webbaseret fødereret login med SSH-adgang til forskningsinfrastruktur.
Softwaren fungerer som en bro mellem to verdener: den webbaserede autentifikation, som forskere allerede bruger gennem deres universitetslogin via føderationen, og den kommandolinjebaserede adgang via SSH, som ofte anvendes til fx HPC-anlæg. På den måde udvides føderationers dækningsområde fra kun webbaserede tjenester til nu også at omfatte SSH-baserede ressourcer. Dét øger værdien af at deltage i føderationer som WAYF, fordi forskere så kan bruge deres eksisterende identitet til at tilgå både web- og kommandolinjebaserede forskningsressourcer.
Når en forsker logger ind via sin institutions fødererede loginløsning, udsteder værktøjet et SSH-certifikat baseret på den autentifikation. Certifikatet kan man derefter bruge til at logge sikkert ind på ressourcer der accepterer SSH-certifikater. Certifikatet kan udstedes med brugeroplysninger fra institutionslogin'et til brug for autorisationsbeslutninger hos ressourceserveren.
To af de store fordele ved tilgangen her er sikkerhed og skalerbarhed. SSH-certifikater udstedt på baggrund af webbaseret login har en indbygget udløbsdato, og adgangen kan kun fornyes hvis brugeren stadig har gyldigt institutionslogin og fortsat har ret til at tilgå ressourcen. Det betyder at man undgår problemer med “forældede” offentlige SSH-nøgler, som ellers kan give adgang til tidligere brugere selv efter at deres rettigheder er inddraget. Samtidig slipper man som ressourceejer for at skulle rydde op i store mængder af offentlige nøgler på serverne, hvilket gør administrationen betydeligt mere effektiv.
Forudsætningen er at den SSH-server der skal tilgås, er sat op til (kun) at tillade adgang med SSH-certifikater — og at den stoler på den Certificate Authority (CA), som DeiC-softwaren implementerer. Samme server kan uden problemer stole på flere forskellige CA’er, hvilket giver fleksibilitet i et samarbejdende miljø. Opsætningen på SSH-serveren er meget enkel. På brugerens side af forbindelsen forudsættes kun en almindelig SSH-klient – ingen særskilt klientsoftware. Og certifikatfunktionaliteten har været indbygget i standard-SSH-software i mange år, så heller intet behov for særlige SSH-servere eller -klienter.
Resultatet er en brugervenlig, sikker og skalerbar løsning, hvor eksisterende webbaseret identitetsstyring kan udnyttes direkte til SSH-adgang — uden behov for særskilte nøgler eller manuel certifikatadministration.
Med softwaren kører man dels en webservice, som kan modtage login i browseren fra en fødereret brugerorganisation (fx gennem WAYF), og dels en SSH-server, som brugeren kalder fra sin terminal med en kommando softwaren har serveret for hende i browseren. I og med at hun afvikler kommandoen, downloader brugeren et SSH-certifikat som passer til den privatnøgle hun har liggende lokalt.
Kildekoden er frit tilgængelig på GitHub – hvor man også finder yderligere detaljer om hvordan softwaren fungerer og installeres. Man er også velkommen til at kontakte WAYF-sekretariatet for assistance hvis man har brug for det.