<div dir="auto">No accounts will be closed just to accommodate 2FA. If your user name is not the same as Andrew ID that will have to be fixed. I am still figuring out what is the most effective way to do this.<div dir="auto"><br></div><div dir="auto">P^2</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Thu, Feb 25, 2021, 3:33 AM Vincent Jeanselme <<a href="mailto:vjeansel@andrew.cmu.edu">vjeansel@andrew.cmu.edu</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="auto">Good morning,<div><br></div><div>I have the message: “We’re sorry, access is not allowed because you are not enrolled. Please contact your organisation’s IT help desk for assistance” when I ssh lop2</div><div><br></div><div>My CMU id is <b>vjeansel</b>, I am in the group of people being intern before staff (so it seems that my AutonLab id mismatches). Please, don’t close my account if this is possible, I still have a few projects with the lab</div><div><br></div><div>Best,<br><div dir="ltr">Vincent</div><div dir="ltr"><br><blockquote type="cite">On Feb 25, 2021, at 00:02, Predrag Punosevac <<a href="mailto:predragp@andrew.cmu.edu" target="_blank" rel="noreferrer">predragp@andrew.cmu.edu</a>> wrote:<br><br></blockquote></div><blockquote type="cite"><div dir="ltr"><div dir="ltr">Dear Autonians,<div><br></div><div>The times of password login or even passwordless with ssh keys are going the way of the dinosaurs. The Auton Lab cluster is one of the very few services at Carnegie Mellon University which can be accessed with a simple password. Shortly this is no longer going to be true. I have just turned on 2FA on </div><div><br></div><div><a href="http://lop2.autonlab.org" target="_blank" rel="noreferrer">lop2.autonlab.org</a> </div><div><br></div><div>and I will do it shortly on two other shell gateways. ssh access to the Auton Lab desktops is restricted only to their rightful owners so 2FA can wait a bit on personal desktops. </div><div><br></div><div>At this point, I will need to ask everyone with a valid AndrewID or even with an alumni account to log into <a href="http://lop2.autonlab.org" target="_blank" rel="noreferrer">lop2.autonlab.org</a> and make sure 2FA works for you. If you can read your Andrew emails via a browser you should not have any problems accessing the Auton Cluster with the same mobile device. If I don't hear back from you in the next 7 days I will assume that you are dandy and turn on 2FA on all our shell gateways. </div><div><br></div><div>If your username is for some reason different than Andrew's ID we have to fix that (I am looking at you interns who became CMU grad students). There are in total 18 external accounts presumably without corresponding Andrew ID and I have the green light from sponsoring faculty to close most of those accounts. This is your last chance to access the system and get your belongings before I store them for safekeeping. </div><div><br></div><div>There is a caveat to 2FA. I am fully aware that 2FA will break X2Go GUI access. I have little incentive to troubleshoot it as you can use reverse SSH proxy per our documentation</div><div><br></div><div><a href="https://www.autonlab.org/autonlab_wiki/new_arrivals.html#version-control" target="_blank" rel="noreferrer">https://www.autonlab.org/autonlab_wiki/new_arrivals.html#version-control</a><br></div><div><br></div><div>for GUI or Gogs access. </div><div><br></div><div>At this point, we have no intention to turn on 2FA inside the Lab or to require 2FA authentication for Version Control Server. Those things are located inside the outer perimeter firewall and have satisfactory security protection.</div><div><br></div><div>Most Kind Regards,</div><div>Predrag Punosevac</div><div><br></div><div><br></div><div><br></div></div>
</div></blockquote></div></div></blockquote></div>