C2115 Praktický úvod do superpočítání VII. lekce -1- C2115 Praktický úvod do superpočítání VII. lekce Petr Kulhánek kulhanek@chemi.muni.cz Národní centrum pro výzkum biomolekul, Přírodovědecká fakulta Masarykova univerzita, Kamenice 5, CZ-62500 Brno C2115 Praktický úvod do superpočítání VII. lekce -2- Obsah ➢ Autentizace ➢ Autentizace vs Authorizace ➢ Sekundární autentizace v superpočítačových centrech ➢ Kerberos ➢ SSH klíče ➢ Konfigurace, balíčky C2115 Praktický úvod do superpočítání VII. lekce -3Autentizace vs Autorizace Autentizace (z německého Authentisierung) je proces ověření proklamované identity subjektu. Po dokončení autentizace obvykle následuje autorizace, což je souhlas, schválení, umožnění přístupu či provedení konkrétní operace daným subjektem. Autorizace je proces získávání souhlasu s provedením nějaké operace, povolení přístupu někam, k někomu nebo něčemu (nejen ve smyslu přístupu do konkrétních prostor nebo k nějaké osobě, ale také přístup k informacím, funkcím, programovým objektům a podobně). Nejčastějším způsobem primární autentizace je kombinace přihlašovacího jména a hesla (lokální klastry, WOLF, MetaCentrum). V IT4I je primární autentizace umožněna pouze pomocí ssh klíčů. Superpočítače se většinou skládají z velkého množství výpočetních uzlu a bylo by velmi nepraktické či nemožné (např. při dávkovém spouštění úloh) se prokazovat heslem při každém přihlašování na výpočetní uzel. Při sekundární autentizaci se proto používá jiná technika. wikipedia.org C2115 Praktický úvod do superpočítání VII. lekce -4Sekundární autentizace Primární autentizace vytvoří stav, který se později využije k autentizaci (sekundární autentizace) bez nutnosti znovu zadávat heslo. Tento stav může nebo nemusí být časově omezen. Nejčastěji se používají Kerberos nebo ssh klíče. Naše lokální klastry (WOLF, sokar, pip, ivavik) a MetaCentrum: ▪ e-infrastrukturu CESNETu (autentizace a autorizace řízená Perunem) ▪ Kerberos (realm META) ▪ Správa uživatelských účtů je zajištována Perunem (instance CESNETu) Superpočítačové centrum IT4I: ▪ ssh klíče https://perun.cesnet.cz C2115 Praktický úvod do superpočítání VII. lekce -5Cvičení 1 1. Přihlaste se do prostředí Perun. 2. Prakticky: Perun z pohledu uživatele a správce. 3. Kde mohu změnit heslo k eINFRA účtu? C2115 Praktický úvod do superpočítání VII. lekce -6- Kerberos https://cs.wikipedia.org/wiki/Kerberos_%28protokol%29 C2115 Praktický úvod do superpočítání VII. lekce -7- Kerberos Kerberos je síťový autentizační protokol umožňující komukoli komunikujícímu v nezabezpečené síti prokázat bezpečně svoji identitu někomu dalšímu. Kerberos zabraňuje odposlechnutí nebo zopakování takovéto komunikace a zaručuje integritu dat. Byl vytvořen primárně pro model klient-server a poskytuje vzájemnou autentizaci – klient i server si ověří identitu své protistrany. Kerberos je postavený na symetrické kryptografii, a proto potřebuje důvěryhodnou třetí stranu. Volitelně může využívat asymetrického šifrování v určitých částech autentizačního procesu. Kerberos má přísné požadavky na synchronizaci času klientů a serverů. Tikety mají danou životnost a pokud není čas klienta synchronizován s časem serveru, autentizace selže. Standardní nastavení podle MIT požaduje, aby se tyto časy nerozcházely o více jak 5 minut. V praxi se používá NTP (Network Time Protocol) démonů k synchronizaci hodin. wikipedia.org Na klastru WOLF jsou při přihlášení vytvořené krb5 lístky z realmu META, které je možné použít pro autentizaci za účelem přihlášení se na čelní uzly MetaCentra, pro kopírování dat příkazem scp z/do čelních uzlů a pro připojení datových úložišť MetaCentra na klastr WOLF. C2115 Praktický úvod do superpočítání VII. lekce -8- Workflow PC UI node01 nodeXX přihlašovaní mezi uzly klastru bez nutnosti zadávat heslo s heslem bez hesla po dobu platnosti krb5 lístků PC (heslo se zadává pokaždé) (pam_krb5) PC $ kinit (heslo vyžaduje jednou) Klastr WOLF se chová dle první varianty. C2115 Praktický úvod do superpočítání VII. lekce -9- Příkazy kinit vytvoří nový krb5 lístek klist vypíše existující krb5 lístky kdestroy odstraní existující krb5 lístky [kulhanek@pes ~]$ kinit Password for kulhanek@META: [kulhanek@pes ~]$ klist Ticket cache: FILE:/tmp/krb5cc_1001 Default principal: kulhanek@META Valid starting Expires Service principal 01/30/2016 23:28:30 01/31/2016 23:28:24 krbtgt/META@META [kulhanek@pes ~]$ kdestroy [kulhanek@pes ~]$ klist klist: No credentials cache found (ticket cache FILE:/tmp/krb5cc_1001) [kulhanek@pes ~]$ realm pro MetaCentrum C2115 Praktický úvod do superpočítání VII. lekce -10- kinit $ kinit $ kinit kulhanek $ kinit kulhanek@META jméno principálu se odvozuje od principálu v cachi kerborovských lístků, pokud tento soubor neexistuje, tak od přihlašovacího jména a výchozího realmu (META) zadané jméno plus výchozího realm (META) použije se zadaný principál Pokud používáte na lokálním stroji jiné přihlašovací jméno než v eINFRA prostoru (realm META), tak jej musíte explicitně uvést jako argument příkazu kinit. Na klastru WOLF získáte krb5 lístky automaticky při přihlášení. Příkaz kinit se tedy používá pouze při obnově vypršených lístků. C2115 Praktický úvod do superpočítání VII. lekce -11ssh a kerberos ssh je možné nastavit tak, aby se uživatel ověřoval pomocí krb5 lístků (GSSAPIAuthentication) a aby se krb5 lístky přenášely na vzdálený stroj (GSSAPIDelegateCredentials). Toto je výchozím nastavením klastrů NCBR, CEITEC MU a MetaCentra. [kulhanek@wolf ~]$ kinit Password for kulhanek@META: [kulhanek@wolf ~]$ klist Ticket cache: FILE:/tmp/krb5cc_9703 Default principal: kulhanek@META Valid starting Expires Service principal 02/02/2016 08:13:53 02/03/2016 08:13:49 krbtgt/META@META [kulhanek@wolf ~]$ ssh kulhanek@skirit.ics.muni.cz ... ... [kulhanek@skirit ~]$ [kulhanek@skirit ~]$ klist Credentials cache: FILE:/tmp/krb5cc_18773_GcLXWPTirK Principal: kulhanek@META Issued Expires Principal Feb 2 08:14:18 2016 Feb 3 08:13:49 2016 krbtgt/META@META .... neopakuje se v době platnosti lístků nevyžaduje heslo uvádí se pouze tehdy, pokud máte jiné přihlašovací jméno C2115 Praktický úvod do superpočítání VII. lekce -12Cvičení 2 1. Ověřte, že máte platné krb5 lístky. Jakou mají platnost? 2. Příkazem ssh se přihlaste na libovolný čelní uzel MetaCentra (příkaz ssh nesmí žádat heslo). 3. Na čelním uzlu ověřte, že se kerberovské lístky správně přenesly. Jakou mají platnost? 4. Odhlaste se. 5. Zrušte lístky příkazem kdestroy. 6. Znovu se pokuste přihlásit na libovolný čelní uzel MetaCentra, co pozorujete? 7. Jakou platnost mají vytvořené kerberovské lístky na čelním uzlu? 8. Můžete se přihlásit z čelního uzlu MetaCentra na vaši pracovní stanici na klastru WOLF? C2115 Praktický úvod do superpočítání VII. lekce -13- Workflow PC1 UI node01 nodeXX přihlašovaní mezi uzly klastru bez nutnosti zadávat heslo PC2 (pam_krb5) PC2 $ kinit (vyžaduje heslo) PC1 (např. pracovní stanice klastru WOLF) je ve stejném krb5 realmu jako klastr. PC2 je nezávislý počítač. s heslem bez hesla po dobu platnosti krb5 lístků C2115 Praktický úvod do superpočítání VII. lekce -14Platnost lístků/Obnovitelné lístky Platnost lístků je časově omezena, typicky několik hodin. To je nepraktické při spouštění dlouhodobých úloh. Pro tyto účely je možné vytvořit obnovitelné lístky (renewable tickets). Jejich platnost je opět časově omezena, ale v době jejich platnosti je možné požádat (bez uvedení hesla) o jejich obnovu. Tento proces je možné opakovat po delší dobu, typicky několik dní. Na našich klastrech a MetaCentru se kerberovské lístky v úlohách spuštěných přes dávkový systém obnovují automaticky. Příklad: [kulhanek@pes ~]$ kinit -r 5d Password for kulhanek@META: [kulhanek@pes ~]$ klist Ticket cache: FILE:/tmp/krb5cc_1001 Default principal: kulhanek@META Valid starting Expires Service principal 01/31/2016 10:42:22 02/01/2016 10:42:18 krbtgt/META@META renew until 02/05/2016 10:42:1 [kulhanek@pes ~]$ kinit -R obnoví lístek (volba velké R), je možné jenom v době platnosti stávajícího lístku C2115 Praktický úvod do superpočítání VII. lekce -15Umístění lístků (cache) [kulhanek@pes ~]$ klist Ticket cache: FILE:/tmp/krb5cc_1001 Default principal: kulhanek@META Valid starting Expires Service principal 01/31/2016 11:23:55 02/01/2016 11:23:52 krbtgt/META@META [kulhanek@pes ~]$ ssh onyx.ncbr.muni.cz ... ... [kulhanek@onyx ~]$ klist Credentials cache: FILE:/tmp/krb5cc_18773_cOR8E0oV8w Principal: kulhanek@META Issued Expires Principal Jan 31 11:25:48 2016 Feb 1 11:23:52 2016 krbtgt/META@META ... generické jméno odvozené od uid, dostupné ve všech terminálech (podle konfigurace OS může obsahovat i náhodný řetězec) cache nastavená pouze pro dané sezení (náhodný řetězec) Cache s lístky nesmí být umístěna na sdíleném svazku (NFS apod). C2115 Praktický úvod do superpočítání VII. lekce -16Vypršení lístků Pokud vyprší lístek, tak bude odmítnut další přístup ke službám, které jej vyžadují. To může vést k viditelným chybám s odepřením přístupu. Některé chyby se však viditelně neprojeví a hledání příčiny tak nemusí být "snadné". Typicky tato situace nastává u sezení, které jsou otevřené déle než je platnost kerberovského lístku a týká se převážně software aktivovaného pomocí příkazu module a fyzicky umístěného na AFS souborovém systému (softwarová báze MetaCentra a Infinity). Pokud se něco začne chovat divně (nefungující softwarové moduly), tak si nejdříve ověřte, že máte platné kerberovské lístky (klist) a případně je znovu vytvořte (kinit). C2115 Praktický úvod do superpočítání VII. lekce -17AFS souborový systém Softwarová báze MetaCentra a prostředí Infinity je umístěná na AFS souborovém systému. (adresáře /afs/.ics.muni.cz/software a /afs/.ics.muni.cz/software/ncbr). Tento FS využívá pro řízení přístupu k souborům a adresářům autentizační tokeny odvozené z krb5 lístků). Příkazy: tokens vypíše AFS tokeny aklog vytvoří AFS tokeny (z platných krb5 lístků) unlog odstraní AFS tokeny Implementace Kerbera MIT Kerberos • kinit neobnovuje AFS tokeny (Ubuntu balíček: krb5-user) Heimdal Keberos • kinit obnovuje AFS tokeny (Ubuntu balíček: heimdal-clients*) * výchozí balíček v MetaCentru a našich klastrech C2115 Praktický úvod do superpočítání VII. lekce -18SSH klíče man ssh C2115 Praktický úvod do superpočítání VII. lekce -19- Workflow PC UI node01 nodeXX přihlašovaní mezi uzly klastru bez nutnosti zadávat heslo s heslem bez hesla s ssh klíčem #1 bez hesla s ssh klíčem #2 PC (tento způsob není povolen v IT4I) nesdílený souborový systém sdílený souborový systém C2115 Praktický úvod do superpočítání VII. lekce -20Autorizovaný veřejný ssh klíč veřejný klíč soukromý klíč Lokální stroj (ssh klient) Vzdálený stroj (ssh server) síťové přenosy ověřovací token šifrovaná zpráva autorizované klíče 1 vytvoří ověřovací token 2 3 4 5 6 porovnání ověření identity uživatele (zjednodušeno) kopie manuálně provedená uživatelem (jednou) šifrovaný přenos protokolem ssh Kdokoliv, kdo zcizí soukromý klíč uživatele, se může přihlásit na vzdálený stroj! ssh pár šifrovacích klíčů C2115 Praktický úvod do superpočítání VII. lekce -21Nesdílený souborový systém autorizované klíče ssh ssh respektive vyžaduje heslo klíče Situace, kdy stroje nemají sdílený domovský adresář: stroj #1 stroj #2 kopie veřejného klíče pomocí scp a vložení jeho kopie do autorizovaných klíčů (pouze jednou) C2115 Praktický úvod do superpočítání VII. lekce -22Sdílený souborový systém autorizované klíče ssh ssh klíče Situace, kdy stroje mají sdílený domovský adresář: autorizované klíče klíče identickýobsah,rozdílnérole oba soubory jsou na sdíleném souborovém systému je možné použít (pouze jednou) cat id_rsa.pub >> authorized_kyes C2115 Praktický úvod do superpočítání VII. lekce -23Vytvoření páru v/s klíče [kulhanek@wolf01 ~]$ cd .ssh [kulhanek@wolf01 .ssh]$ ssh-keygen Generating public/private rsa key pair. Enter file in which to save the key (/home/kulhanek/.ssh/id_rsa): Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in /home/kulhanek/.ssh/id_rsa. Your public key has been saved in /home/kulhanek/.ssh/id_rsa.pub. The key fingerprint is: e9:07:0b:fc:17:23:b3:c5:1a:8a:0c:1a:98:8f:fe:28 kulhanek@wolf01.wolf.inet [kulhanek@wolf01 .ssh]$ ls –l -rw------- 1 kulhanek lcc 1675 Mar 21 2012 id_rsa -rw-r--r-- 1 kulhanek lcc 395 Mar 21 2012 id_rsa.pub -rw------- 1 kulhanek lcc 13380 Sep 4 15:55 known_hosts Passphrase se nezadává! Podrobnější popis: man ssh seznam otisků palců strojů, na které jste se přihlásili pomocí příkazu ssh Pár veřejného a soukromého klíče se vytváří na daném stroji nebo skupině strojů, které mají sdílený adresář, POUZE jednou. soukromý klíč NESMÍ být čitelný pro skupinu a svět C2115 Praktický úvod do superpočítání VII. lekce -24Vytvoření autorizovaných klíčů - I Vložení veřejného klíče do seznamu autorizovaných klíčů: [kulhanek@node ~]$ cd .ssh [kulhanek@node ~]$ cat id_rsa.pub >> .ssh/authorized_keys [kulhanek@node .ssh]$ ls –l -rw-r--r-- 1 kulhanek lcc 395 Sep 25 2012 authorized_keys Podrobnější popis: man ssh Soubor authorized_keys může obsahovat více veřejných klíčů, každý je pak na jedné řádce. Pokud přihlašování pomocí autorizovaných veřejných klíčů nebude fungovat : • ověřte přístupová práva jednotlivých souborů (písmenka r, w (eventuálně x) ve výpisu příkazu ls) • pokud běží ssh agent, odstraňte klíče, které má ve správě: $ ssh-add –D • znovu se přihlaste přístupová práva pro soubor authorized_kyes, pro skupinu a jiné - maximálně právo pro čtení sdílený souborový systém C2115 Praktický úvod do superpočítání VII. lekce -25Vytvoření autorizovaných klíčů II $ scp [-r] zdroj cil Syntaxe: [] - možno vynechat Zdroj a cíl může být soubor nebo adresář. V případě kopírovaní adresářů je nutno použít volbu –r (recursive). Vzdálený cíl nebo host se identifikuje názvem stroje odděleného od jména souboru či adresáře dvojtečkou. [user@]hostname:[cesta/]soubor nesdílený souborový systém Veřejný klíč je nutné překopírovat na vzdálený klastr. Ke vzdálenému kopírovaní slouží příkaz scp. C2115 Praktický úvod do superpočítání VII. lekce -26Vytvoření autorizovaných klíčů II Vložení veřejného klíče do seznamu autorizovaných klíčů : Podrobnější popis: man sshpřístupová práva pro soubor authorized_kyes, pro skupinu a jiné – maximálně jen právo pro čtení Získání veřejného klíče ze stroje, který bude mít roli klienta (chceme z něj spouštět příkaz ssh): [kulhanek@ui ~]$ scp wolf.ncbr.muni.cz:.ssh/id_rsa.pub wolf.pub Zapsání veřejného klíče do seznamu autorizovaných klíčů: [kulhanek@ui ~]$ cat wolf.pub >> .ssh/authorized_keys [kulhanek@ui ~]$ rm wolf.pub [kulhanek@ui ~]$ ls –l .ssh -rw-r--r-- 1 kulhanek lcc 395 Sep 25 2012 authorized_keys -rw------- 1 kulhanek lcc 1675 Mar 21 2012 id_rsa -rw-r--r-- 1 kulhanek lcc 395 Mar 21 2012 id_rsa.pub -rw------- 1 kulhanek lcc 13380 Sep 4 15:55 known_hosts dvojtečka tečka nesdílený souborový systém C2115 Praktický úvod do superpočítání VII. lekce -27Cvičení 3 1. Nastavte vaši instanci virtuálního stroje s Ubuntu tak, abyste se do něj mohli přihlásit pomocí ssh klíčů z hostitelského stroje. 2. Můžete se do virtuálního stroje přihlásit bez hesla ze stroje wolf01? Chování vysvětlete. C2115 Praktický úvod do superpočítání VII. lekce -28Pro a proti Výhody: ➢ nemusí se neustále zadávat heslo ➢ bezpečnější použití příkazů ssh a scp ve skriptech ➢ urychlení práce Nevýhody: ➢ v případě kompromitace jednoho počítače, jsou kompromitovány všechny počítače se vzájemně autorizovanými veřejnými klíči ➢ SSH klíče zásadně nepoužívejte pro přihlašovaní do MetaCentra nebo na klastech NCBR či CEITEC MU. Nevytvoří se během něj kerberovské lístky, bez kterých je prostředí těchto klastru nepoužitelné!!!! C2115 Praktický úvod do superpočítání VII. lekce -29Instalace Kerbera pro realm META pomocí balíčků pro OS Ubuntu 16.04 LTS C2115 Praktický úvod do superpočítání VII. lekce -30Instalace pomocí balíčků 1) Aktivace veřejného repositáře NCBR balíčků. Postup je uveden na https://wolf.ncbr.muni.cz v části „Uživatelská podpora“ a repositář CEITEC MU/NCBR PUBLIC. Repositář se aktivuje pouze jednou. 2) Podpora Kerbera pro Metacentrum (konfigurace a heimdal clients): 3) Podpora Kerbera v ssh (GSSAPIAuthentication a GSSAPIDelegateCredentials) 4) Konfigurace pam_krb5 (získání krb5 lístku při prvním přihlášení) $ sudo apt-get install ncbr-krb5-einfra $ sudo apt-get install ncbr-ssh-client-config https://wolf.ncbr.muni.cz/whitezone/packages/public/16.04/ $ sudo apt-get install ncbr-personal-authc-einfra UPOZONĚNÍ: NCBR balíčky jsou autorativní. Konfigurace, kterou balíčky nastavují již není možné měnit (resp. provedená změna zanikne při jejich aktualizaci). C2115 Praktický úvod do superpočítání VII. lekce -31Workflow (pam_krb5) PC přihlášení s heslem (eINFRA heslo) Počítač je připojen do sítě: PC přihlášení s heslem (lokální heslo) Počítač není připojen do sítě: PC kinit po připojení počítače k síti: přihlášení s heslem (eINFRA heslo) Doporučení: • Vhodné pro notebooky nebo počítače mimo eINFRA. • Lokální heslo je nutné nastavit před instalací balíčku ncbr-personalauthc-einfra (tj. při instalaci počítače nebo pomocí příkazu passwd). • Je vhodné mít stejné lokální a eINFRA heslo. C2115 Praktický úvod do superpočítání VII. lekce -32Cvičení 4 1. Zprovozněte si podporu pro vytváření kerberovských lístků do realmu META virtuální organizace MetaCentrum ve vaší instalaci Ubuntu server (bod 1 a 2 předchozího návodu). 2. Ověřte, že můžete vytvořit kerberovské lístky příkazem kinit a klist. 3. Upravte si nastavení příkazu ssh pro použití kerberovských lístků (bod 3 předchozího návodu). 4. Ověřte, že se můžete přihlásit na libovolný čelní uzel MetaCentra nebo klastru WOLF bez použití hesla. 5. Ověřte, že se kerberovské lístky přenášejí na čelní uzel. 6. Zprovozněte si vytváření krb5 lístku při prvotním přihlášení (bod 4 předchozího návodu). 7. Ověřte příkazem klist, že máte po přihlášení vytvořené kerberovské lístky. 8. Přihlaste se do virtuálního stroje pomocí ssh z hostitelského stroj. Je vyžadování heslo? Proč nemáte vytvořené krb5 lístky? 9. Stáhněte si balíček ncbr-krb5-einfra a prozkoumejte jeho obsah pomoci programu mc. C2115 Praktický úvod do superpočítání VII. lekce -33Instalace Kerbera pro realm META manuální instalace C2115 Praktický úvod do superpočítání VII. lekce -34Instalace Kerbera (klienti) Klientskou část Kerbera je možné instalovat na libovolný počítač, který je připojený do internetu. Níže uvedený postup je otestovaný v OS Ubuntu 16.04 LTS. 1) Instalace NTP (Network Time Protocol daemon and utility programs) – je nutné pro správné nastavení času (během konfigurace zvolte výchozí hodnoty) 2) Instalace klientských utilit systému Kerberos (během konfigurace zvolte výchozí hodnoty) 3) Získání konfiguračního souboru krb5.conf pro MetaCentrum. Soubor si můžete zkopírovat z libovolného čelního uzlu MetaCentra nebo libovolného uzlu klastru WOLF. Jeho umístění je /etc/krb5.conf 4) Soubor zkopírujte (jako super uživatel) do /etc/krb5.conf.META a nastavte mu práva 0666 (pouze pro čtení). 5) Vytvořte symbolický odkaz: $ sudo apt-get install ntp $ sudo apt-get install krb5-user $ sudo unlink /etc/krb5.conf $ sudo ln -s /etc/krb5.conf.META /etc/krb5.conf nebo heimdal-clients C2115 Praktický úvod do superpočítání VII. lekce -35Integrace Kerbera do ssh Použítí kerberovských lístků pro vzdálené přihlašování na uzly MetaCentra je nutné povolit v konfiguraci příkazu ssh (změna platí i pro příkaz scp). Změnu je možné udělat pro všechny uživatele změnou souboru /etc/ssh/ssh_config nebo změnou/vytvořením souboru ~/.ssh/config pro konkrétního uživatele. Host * # ForwardAgent no # ForwardX11 no # ForwardX11Trusted yes ... SendEnv LANG LC_* HashKnownHosts no GSSAPIAuthentication yes GSSAPIDelegateCredentials yes ForwardX11 yes povolí autentizaci pomocí kerberovského lístku, tuto formu autentizace musí podporovat vzdálený stroj přenese lístek(y) na vzdálený stroj neměňte výchozí zakomentované (#) hodnoty změny uvádějte nakonec automaticky exportuje X11 display (ekvivalent volby -X) umožní použít doplňování názvů strojů u příkazu ssh a scp pomocí TAB C2115 Praktický úvod do superpočítání VII. lekce -36ssh a kerberos Pokud máte v eINFRA jiné přihlašovací jméno než na výchozím stroji, tak jej musíte explicitně uvést při použití ssh příkazu. Druhou možností je změna konfigurace ssh pomocí souboru ~/.ssh/config, viz man ssh_config, položka User. Při použití druhé možnosti je nutné minimálně nastavit GSSAPIAuthentication a GSSAPIDelegateCredentials (viz výše). ~/.ssh/config Host skirit.ics.muni.cz tarkil.cesnet.cz User xstepan3 SendEnv LANG LC_* HashKnownHosts no GSSAPIAuthentication yes GSSAPIDelegateCredentials yes ForwardX11 yes seznam jmen čelních uzlů oddělených mezerou přihlašovací jméno do MetaCentra přístupová práva pro soubor ~/.ssh/config, pro skupinu a jiné – maximálně jen právo pro čtení