Accès SSH et shells
Accès aux machines
Jean Zay (frontales)
La connexion à la frontale de Jean Zay se fait par ssh depuis une
machine enregistrée à
l'IDRIS :
ssh mon_login_idris@jean-zay.idris.fr
puis saisissez votre mot de passe, si vous n'avez pas configuré de clef SSH.
La frontale jean-zay offre les fonctionnalités suivantes :
- connexion interactive,
- compilation pour les autres nœuds du cluster,
- préparation, soumission et suivi des jobs.
Les jobs nécessitant des ressources de calcul doivent être exécutés sur les autres nœuds via le gestionnaire de batch Slurm (soumission batch à partir de la frontale).
Lorsque vous vous connectez sur jean-zay.idris.fr, si l'empreinte (fingerprint) de la clé publique affichée par votre client SSH n'est pas référencée dans cette liste, nous vous remercions de ne pas confirmer la connexion et de prévenir le support de l'IDRIS.
Notez que si vous utilisez une machine de rebond, il pourrait s'agir de l'empreinte de la clé publique de cette machine. Pensez à le vérifier.
| Clé | Empreinte MD5 | Empreinte SHA256 |
|---|---|---|
| ECDSA | 73:15:d8:37:b1:d5:68:66:46:04:cb:6d:5e:e5:cd:7a | 9iT4Gq/m+YpRWXITfJkCXhhVKJRIpXH1Fn3MkQFm5Ts |
| RSA | 9d:7d:85:d3:d2:23:db:35:51:2d:6e:23:ff:4f:fb:32 | WvwNGuGDjPJOno4ZV4gRovtPPxmZ0bzXsymjazaonmM |
| ed25519 | 80:0d:ee:f7:15:26:48:55:1e:58:8b:6f:84:96:22:59 | pIDgjbJzQdOvnKD+63mykz11aS0n7uvJiJjaqY7H6ms |
Jean Zay (pré et post-traitement)
La connexion interactive à la frontale de pré et post-traitement se fait
par ssh depuis une machine enregistrée à
l'IDRIS :
ssh mon_login_idris@jean-zay-pp.idris.fr
puis saisissez votre mot de passe, si vous n'avez pas configuré de clef SSH.
Les nœuds de pré/post-traitement installés à l'IDRIS sont quatre machines HPE équipées chacune de 3 Tio de mémoire, de bi-processeurs Intel Cascade Lake 6132 12-cœurs et d'un GPU NVIDIA V100.
La frontale jean-zay-pp offre les fonctionnalités suivantes :
- connexion interactive,
- compilation,
- préparation, soumission et suivi des jobs avec le gestionnaire de batch Slurm.
Pour utiliser les nœuds de pré et post-traitement en batch, il suffit
de spécifier la partition
prepost dans votre fichier de soumission Slurm, qu'il soit lancé depuis la frontale jean-zay ou jean-zay-pp.
Lorsque vous vous connectez sur un jean-zay-pp.idris.fr, si l'empreinte (fingerprint) de la clé publique affichée par votre client SSH n'est pas référencée dans cette liste, nous vous remercions de ne pas confirmer la connexion et de prévenir le support de l'IDRIS.
Notez que si vous utilisez une machine de rebond, il pourrait s'agir de l'empreinte de la clé publique de cette machine. Pensez à le vérifier.
| Clé | Empreinte MD5 | Empreinte SHA256 |
|---|---|---|
| ECDSA | dc:eb:0f:05:c3:f7:45:e0:03:b0:93:8f:8f:18:86:f5 | MHHu1+VX+n0jdM3dM2po1KGnQxeyZHDJR6L/fkt4oY8 |
| RSA | 54:83:a5:ae:ad:a8:e8:2d:5a:37:c9:f7:1b:16:a8:82 | Wn8Lonh4iKIM3J5u/GKIbQvGW1ut9QkwhN8nkcQ0308 |
| ed25519 | 7b:93:b0:7f:fe:bf:9f:72:97:bb:01:a8:3e:e9:6e:76 | 5Buosoh5BNrt3Ovk0Iip889vhny+5WCBJOzXXmLaXok |
Jean Zay (nœud de calcul)
Uniquement depuis jean-zay et jean-zay-pp, vous pouvez vous connecter en SSH aux seuls nœuds de calcul attribués
à l'un de vos travaux afin de surveiller l'exécution de vos
calculs avec des outils comme top, htop ou nvidia-smi par exemple.
Lorsque l'un de vos travaux est en cours d'exécution, les nœuds de
calcul qui lui ont été attribués sont visibles avec la commande
squeue -j <numero_du_travail> ou squeue --me :
squeue --meJOBID PARTITION NAME USER ST TIME NODES NODELIST(REASON)2042259 cpu_p1 mon_travail mon_login R 01:42 10 nœud[1337-1346]
Dans cet exemple, le job n° 2042259 tourne sur 10 nœuds de calcul
nommés respectivement nœud1337, nœud1338, ..., nœud1345 et
nœud1346. Vous pouvez alors vous connecter via ssh à l'un des nœuds
de cette liste (par exemple nœud1337) avec la commande suivante :
ssh nœud1337
Vous serez automatiquement déconnecté du nœud lorsque votre travail se terminera.
Si vous essayez de vous connecter à un nœud sur lequel aucun de vos travaux n'est en cours d'exécution, vous obtiendrez l'erreur suivante :
ssh nœud1400Access denied by pam_slurm_adopt: you have no active jobs on this node
Connexion par clef ssh
Les connexions SSH utilisant une paire de clefs SSH (clé privée / clé publique) sont possibles sur Jean Zay.
Nous envisageons de renforcer notre politique de sécurité concernant les accès à la machine Jean Zay. Par conséquent, nous vous demandons de tester, dès maintenant, l'utilisation des certificats pour vos connexions SSH en lieu et place des paires de clés SSH habituelles (clé privée / clé publique) en respectant les procédures détaillées ci-dessous.
Ce changement n'aura pas d'impact sur les connexions par mot de passe qui resteront toujours possible. Pendant la phase de test, les connexions via les clés SSH classiques restent possibles. La date d'arrêt du support des clés SSH classiques sera annoncée ultérieurement une fois tous les problèmes bloquants résolus.
Merci de nous signaler tous les problèmes que vous pourriez rencontrer avec l'utilisation des certificats qui ne sont pas mentionnés dans la liste des problèmes connus disponible plus bas.
Les nœuds de pré/post-traitement de Jean Zay ne permettent pour l'instant pas l'authentification via les certificats SSH.
Connexion par clef SSH avec certificat
Nous détaillons ici les procédures à suivre pour définir vos certificats SSH
via l'outil IDRIS idr_keygen et comment les utiliser.
Il existe des problèmes connus que nous sommes en train d'essayer de résoudre :
- Les versions d'OpenSSH antérieures à la version 7.8 (publiée en
août 2018) ne supportent pas les certificats SSH produits par
idr_keygen. - Nos certificats ne semblent pas fonctionner sous macOS.
- Sous Windows, les certificats SSH ne sont supportés qu'à partir de la version 0.78 de Putty (publiée en octobre 2022) et de la version 6.1 de WinSCP (publiée en mai 2023).
- Certains caractères diacritiques (tels que é, è, à, ç, ...) posent
problème :
- si votre passphrase contient un caractère de ce type, votre certificat ne fonctionnera pas
- si votre mot de passe Jean Zay contient un caractère de ce type,
idr_keygenpourrait le refuser même s'il est correct.
Vous pouvez définir deux types de certificats :
- un certificat de type "interactive" (valide 1 an) permettant tous types de connexions
(interactives ou non, en particulier via la commande
ssh) qui doit être protégé par une passphrase, - un certificat de type "transfert-only" (valide 7 jours) permettant uniquement les transferts de
fichiers (commandes
scp,sftp,bbcp,bbftpetrsync) mais ne nécessitant pas de passphrase.
La commande IDRIS idr_keygen disponible sur Jean Zay, vous permet de générer les deux types de certificats en utilisant les options -t interactive-t transfert-only--type ...
L'option -o OUTPUT--output OUTPUT
La syntaxe de la commande est fournie par l'une des options -h--help
idr_keygen --helpusage: idr_keygen [-h] [-t {interactive,transfert-only}] [-o OUTPUT] [-v]
Generates authentication keys for SSH that are signed by a CertificationAuthority. The type of key to be generated is specified with the -t option. Ifinvoked without any arguments, idr_keygen will generate an RSA key for use inSSH protocol 2 interactive connections.
optional arguments: -h, --help show this help message and exit -t {interactive,transfert-only}, --type {interactive,transfert-only} selects SSH certificate type: interactive : for login sessions (ssh) transfert-only : for data transferts (scp, sftp, bbcp, bbftp and rsync) (default: interactive) -o OUTPUT, --output OUTPUT ZIP Downloaded filename and location (default: /path/to/your/home/sshkey.zip) -v, --verbose Increase verbosity output (default: False)