Руководство по использованию службы Tsinghua (в основном для пользователей Linux)
В этой статье основное внимание будет уделено инструкциям по использованию некоторых служб Tsinghua на машинах Linux, включая удаленные серверы.
и руководство по активации Windows 10 на территории кампуса
DNS/NTP
166.111.8.28
166.111.8.29
2402:f000:1:801::8:28
2402:f000:1:801::8:29
Согласно рекомендациям кампусной сети, при настройке DNS и NTP необходимо как минимум использовать сервисы, предоставляемые кампусной сетью.
В настоящее время в сети кампуса можно использовать только DNS, предоставленный сетью кампуса, работа других DNS не гарантируется.
SSLVPN
На машине Linux нет клиента PULSE SECURE. Помимо использования WEB VPN, вы также можете использовать openconnect для подключения к Tsinghua VPN.
Если это система Debian, включая Ubuntu, вы можете использовать
$ apt-get install openconnect
Если это Arch Linux, вы можете использовать
$ pacman -S openconnect
Установите это программное обеспечение. Для других дистрибутивов проверьте соответствующие источники самостоятельно.
После установки используйте
$ openconnect --juniper https://sslvpn.tsinghua.edu.cn
Если указан протокол Juniper, клиенту не будет назначен адрес IPv6. Если его изменить на Pulse Connect Secure, он сможет получить адрес IPv6. UserAgent также необходимо указать для правильного получения маршрутов IPv6, в противном случае весь трафик IPv6 будет пытаться перенаправиться в VPN.
Используйте следующий метод, чтобы правильно получить адрес и маршрут IPv6 (в частности, 2402:f000::/32):
openconnect --protocol=pulse https://sslvpn.tsinghua.edu.cn --useragent Pulse-Secure/9.1.11.6725
После ввода своей учетной записи и пароля вы будете подключены к сети кампуса и сможете получить доступ к услугам кампуса (INFO/USEREG).
Стоит отметить, что трафик, не связанный с Университетом Цинхуа, по-прежнему отправляется по исходному маршруту. Это поведение отличается от поведения в Windows. (Сертификат спроса на данный товар)
Интернет-аутентификация
Базовые знания кампусной сети
清华大学校园网使用简介 (поскольку срок действия ссылки на обновление веб-страницы истек, обратитесь к 备份 на этом сайте)
清华大学校园网有线局域网用户准入系统使用说明(问与答) (поскольку срок действия ссылки на обновление веб-страницы истек, обратитесь к 备份 на этом сайте)
Приведенный выше документ слишком длинный, и я не хочу его читать: доступ к Интернету в сети кампуса состоит из двух шагов: один — это доступ, а другой — доступ.
При отсутствии доступа и доступа машина может пинговать только 166.111.8.28 и 2402:f000:1:801::8:28, если у вас есть соответствующие адреса v4 и v6. Другие адреса в кампусе недоступны.
Для IPv4, когда есть доступ, но нет доступа, машина может выполнить проверку связи с машиной на территории кампуса, но не может выполнить проверку связи с машиной за пределами кампуса, то есть она не может получить доступ к внешней сети. Только при наличии разрешения на вход и выход машина может подключиться к внешней сети.
Для IPv6 версия 6 имеет только этап допуска. При допуске можно подключиться к внешней сети.
Для машин с доступом уровня 2 (сеть общежития Цзыцзин, беспроводная сеть учебного корпуса и сети некоторых факультетов) аутентификация v4 и аутентификация v6 связаны, то есть, когда допускается v4, одновременно допускается и v6. Для машин с доступом уровня 3 (сети некоторых отделов) v4 и v6 нужно допускать отдельно.
Tsinghua-Secure использует другую систему аутентификации.
Аутентификация командной строки автоматическая аутентификация
См. обзор инструментов аутентификации в utils.md.
Ссылка ниже GoAuthing
Аутентификация командной строки
Программное обеспечение реализует семь основных функций, а именно:
auth-thu auth # v4准入
auth-thu deauth # 解除v4准入
auth-thu auth -6 # v6准入
auth-thu deauth -6 # 解除v6准入
auth-thu login # v4准出
auth-thu logout # 解除v4准出
auth-thu online # 保持机器在线
Обычные пользователи могут поместить его в свой домашний каталог и использовать в качестве инструмента командной строки для удовлетворения большинства потребностей в аутентификации.
Известна�я проблема: после того, как пользователь передает auth-thu auth -C (только вход) и вызывает auth-thu login (только выход), выход невозможен.
автоматическая аутентификация
Системным администраторам может потребоваться, чтобы серверы реализовали автоматическую аутентификацию.
После загрузки файла поместите его в соответствующий каталог (например, /usr/local/bin). В то же время поместите файл конфигурации в подходящий каталог, и вы сможете его использовать.
Чтобы добиться автоматического точного вывода, вам необходимо поместить прикрепленный файл goauthing.service или goauthing@.service в папку /etc/systemd/system/ и настроить соответствующее содержимое, чтобы оно соответствовало пути к файлу программы и файлу конфигурации, используйте
$ systemctl enable goauthing.service
Запустите соответствующую службу для достижения цели автоматической аутентификации. Если вы хотите хранить информацию об учетной записи в домашнем каталоге пользователя вместо /etc, вы можете обратиться к goauthing@.service.
Если вы хотите реализовать автоматический прием v6, обратитесь к goauthing6.service и goauthing6@.service. Если вам нужен только автоматический доступ к версии 4, вам необходимо изменить auth в goauthing.service на auth -C и удалить строку login.
Если кто-то упаковывает это, пожалуйста, пиаритесь. Пакет auth-thu-bin в настоящее время существует в AUR (пакет auth-thu устарел).
Аутентификация удаленного сервера
(По опыту автора, usereg имеет меньше отзывов об успешности и неудаче входа и выхода. Рекомендуется использовать аутентификацию через командную строку и веб-страницу и использовать usereg только в качестве панели состояния)
На некоторых серверах вы не можете использовать браузер, чтобы открыть net.tsinghua.edu.cn для аутентификации. Для получения доступа вы можете использовать только [命令行工具](### 命令行认证 自动认证) или «Аутентификацию доступа».
Для аутентификации прокси-сервера вам необходимо сначала узнать IPv4-адрес сервера в форме 166.111.x.x или 59.66.x.x или 101.x.x.x. Затем откройте раздел usereg.tsinghua.edu.cn «Доступ к аутентификации через прокси» и заполните IP для получения доступа. Во время входа вы можете выбрать, включать ли доступ.
Для некоторых машин с трехуровневым доступом, если вы хотите получить доступ v6, вы также можете получить доступ в «Аутентификация агентства доступа».
Для некоторых серверов, у которых есть доступ, но нет доступа, вы можете использовать «Подключиться к другим IP-адресам» для получения доступа.
По вопросам въезда и вы�езда ПР приветствуются.
Что касается производительности IPv4 и IPv6 при входе и выходе в режиме онлайн и офлайн, а также производительности доступа уровня 2/доступа уровня 3 на территории кампуса, приветствуются PR.
Аутентификация веб-страницы удаленного сервера
Иногда информация в usereg неточна. Если в настоящее время вы все еще можете войти в систему с помощью ssh, в дополнение к «аутентификации командной строки», упомянутой ранее, вы также можете использовать параметры при входе в систему.
ssh -D <port> host
Таким образом, прокси-сервер socks5 с портом <port> будет создан локально. Если вы используете этот прокси-сервер в браузере, вы можете выполнить аутентификацию веб-страницы как обычно.
В частности, важно отметить, что вы не можете напрямую получить доступ к auth4/auth6 для аутентификации (см. раздел «Вопросы и ответы»). Вам необходимо получить доступ к auth4/auth6 через переход, чтобы получить правильный ac_id. Как правило, вы можете получить доступ к информации/обучению/входу для перехода или перейти через 3.3.3.3 и [3:3:3::3]. Последнее является более удобным решением для пользователей с трехуровневым доступом для доступа auth6.
Цинхуа-безопасно
Если это среда на территории кампуса, сначала подключитесь к Tsinghua-Secure无线网使用指南, чтобы войти в usereg.tsinghua.edu.cn. После входа в систему установите пароль, используемый Tsinghua-Secure, в 自注册及修改口令处. Этот пароль не обязательно должен совпадать с информационным паролем.
сетевой менеджер
После настройки вы можете использовать NetworkManager для подключения к Wi-Fi. Вы можете обратиться к его документации 清华大学无线校园网 802.1x 认证登录客户端配置说明 (этот сайт 备份).
Пример конфигурации /etc/NetworkManager/system-connections/Tsinghua-Secure.nmconnection выглядит следующим образом.
[connection]
id=Tsinghua-Secure
uuid=44638cf4-782e-4aaa-9ab9-f7a7e68de54c
type=wifi
permissions=
timestamp=1661836652
[wifi]
mac-address-blacklist=
mode=infrastructure
seen-bssids=30:7B:AC:09:BF:EB;30:7B:AC:09:DD:8B;30:7B:AC:09:EF:CB;30:7B:AC:0A:18:2B;30:7B:AC:40:7F:CC;30:7B:AC:40:80:AC;30:7B:AC:40:A0:8A;30:7B:AC:65:0D:2B;30:7B:AC:65:22:6B;30:7B:AC:67:A5:4A;30:7B:AC:67:ED:8A;30:7B:AC:67:F5:8A;30:7B:AC:67:FC:4A;30:7B:AC:67:FC:59;30:7B:AC:92:ED:0C;30:7B:AC:93:08:8A;30:7B:AC:93:0F:CC;30:7B:AC:93:1D:6C;30:7B:AC:93:1D:7A;30:7B:AC:93:2B:2C;30:7B:AC:93:32:2C;30:7B:AC:93:33:2C;30:7B:AC:98:C0:CA;30:7B:AC:98:C1:0C;30:7B:AC:98:C1:CA;30:7B:AC:98:C5:6A;30:7B:AC:98:C8:0A;70:D9:31:23:AF:D2;94:28:2E:3F:ED:CA;94:28:2E:40:0E:CA;A8:58:40:5A:66:B2;A8:58:40:5B:7A:D2;A8:58:40:D5:D1:12;A8:58:40:D5:D3:22;A8:58:40:D5:D3:32;A8:58:40:D6:03:F2;A8:58:40:D6:25:F2;A8:58:40:D6:3C:F2;A8:58:40:D6:3F:52;A8:58:40:D6:44:B2;A8:58:40:D6:45:72;A8:58:40:D6:97:12;A8:58:40:D7:14:D2;
ssid=Tsinghua-Secure
[wifi-security]
key-mgmt=wpa-eap
[802-1x]
eap=peap;
identity=<username>@tsinghua
password=<redacted>
phase2-auth=mschapv2
[ipv4]
dns-search=
method=disabled
[ipv6]
addr-gen-mode=eui64
dns-search=
ignore-auto-dns=true
method=auto
token=::114:514:1919:810
[proxy]
Этот пример конфигурации включает только IPv6 и получает определенный суффикс (пожалуйста, выберите суффикс самостоятельно, чтобы избежать конфликта адресов), и использует identity из identity, чтобы гарантировать, что квота не занята.
Особое внимание следует обратить на то, соответствуете ли вы одновременно следующим трем условиям:
NetworkManagerиспользует серверную частьwpa_supplicant.- Использование версии 3.0.0 и выше
openssl - Используемый дистрибутив не имеет
wpa_supplicant, отмеченного 修复 tls 1.0/1.1 连接的 patch (в настоящее время подтверждено, что у Ubuntu есть патч, но у NixOS патча нет)
Тогда ваш NetworkManager, возможно, не сможет подключиться к Tsinghua-Secure, поскольку соединение tls 1.0 отключено. В этом случае есть два решения, любое из которых можно решить:
- Обновите NetworkManager до
1.41.5-devи выше, а точнее, убедитесь, что 这个 commit включен. Добавьте строкуphase1-auth-flags=32(tls-1-0-enableвNetworkManager) в раздел[802-1x]приведенного выше файла конфигурации. Этот параметр соответствует0x20, преобразованному в десятичный32, это отношение преобразования в настоящее время не записано в документе, поэтому нет гарантии, что число 32 всегда будет действительным. Более гарантированный метод — вручную установить802-1x.phase1-auth-flagsвtls-1-0-enableс помощьюnmcli. - Примените упомянутый выше патч к вашему
wpa_supplicant.
wpa_supplicant
Вы также можете использовать wpa_supplicant для завершения соответствующего Wi-Fi-соединения. Установите wpa_supplicant, отредактируйте /etc/wpa_supplicant/wpa_supplicant-nl80211-XXXX.conf, где XXXX — имя локальной сетевой карты, введите следующую конфигурацию
ctrl_interface=/var/run/wpa_supplicant
update_config=1
network={
ssid="Tsinghua-Secure"
proto=RSN
key_mgmt=WPA-EAP
pairwise=CCMP
eap=PEAP
identity="username"
password="password"
# 使用 3.0.0 及以上版本的 openssl,同时发行版没有打上相应 patch 的话(参见上一节),tls 1.0/1.1 会被默认禁用,无法连接 Tsinghua-Secure。下面这行可以解除禁用
phase1="tls_disable_tlsv1_0=0"
phase2="auth=MSCHAPV2"
priority=9
}
Среди них username и password — это соответствующая информация вашей учетной записи. Затем введите
$ systemctl enable --now wpa_supplicant-nl80211@XXXX.service
Вы готовы к подключению.
Примечание. Эту конфигурацию предоставил orv.
ИДД
Из-за проблемы с сертификатом Tsinghua-Secure (длина p в dhparams составляет всего 1024, что не соответствует Linux 内核的 1536 长度需求), а iwd полагается на инс�трумент шифрования ядра, использование iwd по умолчанию невозможно.
NickCao предоставляет для этой цели dhack 内核模块 и исправления для инструментов ell (ниже); первый реализует патч путем перехвата соответствующих символов, а второй напрямую заменяет параметры в исходном коде, когда nix собирает пакет программного обеспечения. Пользователи могут по аналогии создавать свои собственные ядра и инструменты.
iwd.override {
ell = ell.overrideAttrs (_: {
postPatch = ''
substituteInPlace ell/tls-suites.c \
--replace 'params->prime_len < 192' 'params->prime_len < 128'
'';
});
}
Кроме того, конфигурация следующая
[Security]
EAP-Method=PEAP
EAP-Identity=<username>
EAP-PEAP-Phase2-Method=MSCHAPV2
EAP-PEAP-Phase2-Identity=<username>
EAP-PEAP-Phase2-Password=<passwd>
[Settings]
AutoConnect=true
Цинхуа — безопасный метод входа только на территории кампуса
Мы заметили, что IPv4-адрес, полученный после подключения к Tsinghua-Secure, автоматически войдет в таблицу разрешенных исходящих сообщений, которая в непредвиденных обстоятельствах может занять существующие исходящие исходящие устройства.
После тестирования было обнаружено, что если имя пользователя, используемое при входе в систему, — «username@tsinghua» (например, lh14@tsinghua), то поведение входа в систему такое же, как «вход только на территории кампуса». В этом случае у v4 есть только доступ, а у v6 — доступ и выход.
После использования этого метода аутентификации авторский тест можно использовать для аутентификации через «net.tsinghua.edu.cn», но в проводной сети поведение будет иным.
Обсуждение характеристик кампусной сети
Изоляция второго уровня/изоляция обнаружения соседей
Основной особенностью кампусной сети является изоляция уровня 2/изоляция обнаружения соседей. Для версии 4 это первое; для v6 это последнее. Этот механизм создан для обеспечения безопасности, но он неудобен для многих разработчиков/пользователей.
Эта функция по существу делит широковещательный домен с помощью основного коммутатора, так что только один клиент и шлюз находятся в одном широковещательном домене.
IPv4
Когда нам назначают IP-адрес, например 59.66.130.xx/24, и если мы хотим подключиться к 59.66.130.yy/24, мы можем обнаружить, что не можем подключиться. Обратите внимание, что эти �двое находятся в /24, то есть на втором уровне. В этом случае две машины обнаружат друг друга через ARP, но при использовании некоторых механизмов в школе ARP не сможет работать.
В этом случае вам необходимо добавить следующие маршруты на обеих машинах.
ip r a 59.66.130.0/24 via 59.66.130.1
ip r a 59.66.130.1 dev eth0
Соответствующие параметры необходимо изменить в соответствии с реальной ситуацией.
IPv6
IPv6 Баухинии не имеет этой проблемы, поскольку его адрес /128.
Когда мы находимся под защитой Tsinghua-Secure, мы будем выделять адреса через SLAAC, то есть все адреса находятся под одним и тем же /64. Когда мы хотим общаться друг с другом, нам нужно обнаружить их через NDP. Из-за некоторых механизмов кампусной сети NDP может не увенчаться успехом.
В этом случае вам необходимо добавить следующие маршруты на обеих машинах
ip r a 2402:f000:2:b801::/64 via fe80::xxxx dev wlan0
Параметры должны быть подтверждены в соответствии с реальной ситуацией. Первый — это префикс /64, который можно записать, обращаясь к полученному адресу или обращаясь к RA. Второй — это адрес LL шлюза, который совпадает с адресом, отображаемым в маршруте по умолчанию. Третий — беспроводная сетевая карта.
низкая блокировка портов
Согласно предыдущему документу «Введение в использование», IPv4 блокирует порты с 0 по 1024, с 8000 по 8100, 3389 и 9100. Кроме того, по известным причинам также блокируются порты 1080, 4781 и 7890.
Начиная с осени 2022 года IPv6 будет блокировать часть нижнего порта.
Динамический IP
Для динамического IP мы можем использовать DDNS для решения этой проблемы. Эту услугу предоставляют крупные провайдеры, такие как DNSPod, dns.he.net и Cloudflare.
Взяв в качестве примера dns.he.net, сначала добавьте запись A/AAAA и выберите использование DDNS. После его создания создаем токен обновления, отмеченный как T. Пишем следующий скрипт
#!/bin/sh
curl -4 "https://domain.example.com:T@dyn.dns.he.net/nic/update?hostname=domain.example.com"
Обратите внимание, что Token — это буква T. При необходимости измените остальные параметры.
И используйте cron для периодического выполнения сценария, скажем, каждые пять минут. Вы можете обратиться к команде https://crontab.guru/ для подробного объяснения.
Статический суффикс IPv6 или короткий адрес IPv6.
Мы знаем, что в соответствии с SLAAC (распространенным в Tsinghua-Secure) последние 64 бита адреса IPv6 могут быть определены клиентом. На данный момент мы можем настроить статический суффикс или даже короткий суффикс. Если машина находится только в одной локации, то приставку можно практически считать фиксированной (требуется проверка).
(Tucao: Token — это набор инструментов, которые почти никогда не упоминаются в стандартах, и документов мало (документов по IPv6 мало), и это все равно очень нишевая вещь; в конце концов, кому нужны статические суффиксы? Вместо использования статических суффиксов для связи между машинами в одной подсети (да, нет элементов маршрутизации только с суффиксами, поэтому нужно �всегда добавлять префикс к другой машине в сети), лучше настроить статический приват адрес)
Обычно назначенный нам IPv6 сложнее, поскольку используются EUI64 или расширения конфиденциальности. Для EUI64 поле ff:fe можно найти в адресе.
Мы можем настроить статический суффикс через iproute2 или традиционный пакет. Пожалуйста, используйте Google, чтобы узнать об использовании последнего, а метод первого приведен здесь.
ip token set ::114:514:1919:810/64 dev wlan0
Перед выполнением этой команды необходимо отметить, что нам необходимо отключить forwarding сетевой карты (во время настройки переадресацию можно включить после настройки), открыть accept_ra и autoconf, а также отключить функцию v6 других клиентов DHCP.
(Tucao: Хотя dhcpcd является клиентом DHCP, он также берет на себя SLAAC, что очень раздражает. По традиции вам нужно открыть только accept_ra и autoconf, и ядро Linux автоматически настроит адрес v6. Если используется forwarding=1, нам нужно использовать accept_ra=2)
sysctl net/ipv6/conf/wlan0/accept_ra=1
sysctl net/ipv6/conf/wlan0/autoconf=1
sysctl net/ipv6/conf/wlan0/forwarding=0
При необходимости замените некоторые параметры приведенной выше команды. Мы можем поместить приведенную выше команду в сценарий запуска для автоматической настройки токена.
Попробуйте получить конкретный адрес IPv4 или IPv6.
Вы терпимы к запросам конкретных адресов в запросах DHCP (терминоло�гия v4 и v6 различна и строго не указана).
конфигурация dhcpcd
interface enp3s0
request 59.66.190.254
ia_na 64:1a:ff:ff/2402:f000:4:3:888:1926:8:17
Некоторая информация в конфигурации была отредактирована, для настройки обратитесь к справочной странице и фактической сетевой среде.
Ниже приведены некоторые журналы, позволяющие изучить процесс вступления этой конфигурации в силу. Автор считает, что эту конфигурацию можно будет использовать только после истечения срока старой аренды или вытеснения старого адреса.
Apr 02 07:00:21 Zenith dhcpcd[497]: enp3s0: IAID 64:1a:ff:ff
Apr 02 07:00:22 Zenith dhcpcd[497]: enp3s0: soliciting a DHCP lease (requesting 59.66.190.254)
Apr 02 07:00:22 Zenith dhcpcd[497]: enp3s0: offered 59.66.190.254 from 166.111.8.9
Apr 02 07:00:22 Zenith dhcpcd[497]: enp3s0: probing address 59.66.190.254/24
Apr 02 07:00:22 Zenith dhcpcd[497]: enp3s0: confirming prior DHCPv6 lease
Apr 02 07:00:32 Zenith dhcpcd[497]: enp3s0: failed to confirm prior DHCPv6 address
Apr 02 07:00:32 Zenith dhcpcd[497]: enp3s0: adding default route via fe80::9629:2fff:fe37:xxxx
Apr 02 07:00:33 Zenith dhcpcd[497]: enp3s0: ADV 2402:f000:4:3:888:1926:8:17/128 from fe80::9629:2fff:fe37:xxxx
Apr 02 07:00:34 Zenith dhcpcd[497]: enp3s0: REPLY6 received from fe80::9629:2fff:fe37:ffff
Apr 02 07:00:34 Zenith dhcpcd[497]: enp3s0: adding address 2402:f000:4:3:888:1926:8:17/128
IPv6 для сети отдела (доступ уровня 3)
Сети некоторых подразделений представляют собой кампусные сети с трехуровневым доступом, и в сети настроен SLAAC.
После того как на некоторых машинах (например, настройки по умолчанию в Windows и некоторые настройки по умолчанию в Linux) будут настроены расширения конфиденциальности, их IPv6-адреса будут продолжать меняться в среде SLAAC. Поскольку прием в школу осуществляется по адресам IPv6, специфическим проявлением является то, что доступ теряется после использования auth6 для доступа к IPv6 в течение определенного периода времени, и вам необходимо снова войти в auth6.
Один из способов — отключить частный временный адрес IPv6 (вы можете найти соответствующую информацию в Google), а другой способ — использовать клиент автоматического доступа, такой как goauthing6.service auth-thu, упомянутый выше.
DHCPv6, не соответствующий RFC
Сервер DHCPv6 вашей школы не распознает определенные DUID и не отвечает на такие запросы DHCP. Даже после того, как школа сообщила о проблеме и попыталась убедить производителя ее устранить, проблема все еще существовала.
По данным соответствующих источников, признается только ДУИД Тип 1, то есть ДУИД-LLT. Соответствующий метод настройки dhcpcd приведен ниже.
Сначала откройте
duidв/etc/dhcpcd.confи убедитесь, чтоclientidне открыт. Затем мы проверяем следующие файлы$ cat /var/lib/dhcpcd/duid
00:01:00:01:26:53:6д:9д:фф:фф:фф:фф:фф:ффЕсли он начинается с
00:01, это указывает на DUID-LLT, в противном случае (или файл не существует) его нужно изменить на указанный выше формат. В то же время вам необходимо проверить, является ли последнийff:ff:ff:ff:ff:ffMAC-адресом соответствующей сетевой карты. Если нет, то необходимо изменить его на соответствующий адрес.ОБНОВЛЕНИЕ Тестирование показало, что мы понятия не имеем, как работает DHCPv6 в вашей школе. То, как это работает, совершенно метафизично. Некоторые из них можно использовать, если включена анонимизация, а некоторые попытки не увенчались успехом, даже если анонимизация включена.
Дополнительную информацию см. в https://pwe.cat/zijing-dhcpv6/.
Недавние попытки показали, что использование более новой версии systemd-networkd позволяет стабильно получать адрес.
Если в течение 30 минут не будет трафика, вы потеряете доступ.
Согласно ранее упомянутой «Инструкции по доступу в Интернет», когда компьютер не использует сеть в течение длительного времени (на данный момент 30 минут), система аутентификации закроет свое с�етевое соединение; При необходимости сервер может пинговать ping.tsinghua.edu.cn раз в 10 минут. (Срок действия истек)
Невозможно точно выйти после потери точного выхода
Некоторые машины, работающие в течение длительного времени, могут не подключиться к сети за пределами кампуса. В этом случае многие студенты могут попробовать точный экспорт в usereg или командной строке, но обнаружить, что точный экспорт не удался. При регистрации пользователя, даже если машина отображается в точном списке экспорта, доступ к сети за пределами кампуса с машины невозможен. Мы считаем, что это проблема с синхронизацией статуса некоторых устройств в сети кампуса.
Одним из возможных решений этой проблемы является сначала выход из системы, а затем вход и выход. Это может обновить статус некоторых машин в школе, чтобы выход мог быть успешным. Уведомление! Выход из системы — очень опасная операция! Вы можете столкнуться с отключениями SSH и навсегда потерять связь с вашим компьютером! Пожалуйста, используйте его после полного понимания смысла этой операции и знания, как восстановить доступ после выхода из системы!
Невозможно выйти после поступления (только после входа в кампус)
Выше мы упоминали метод входа в систему Tsinghua-Secure только на территории кампуса. Соответствующие решения для входа на территории кампуса также имеются в командной строке (пожалуйста, проверьте соответствующие параметры) и на веб-странице (флажок «Только на территории кампуса» в интерфейсе доступа). Однако некоторые студенты заметили, что после входа в систему на территории кампуса вход через net.tsinghua.edu.cn не удался, а вход в систему userreg не удался. Как и вышеописанная проблема, это также должна быть проблема со статусом определенных устройств, решения которой на данный момент нет.
Если это запрещено, другие машины могут пинговать, но не могут использовать ssh.
Невозможность использования ssh определяется предварительной политикой (см. «Инструкции по системе доступа пользователей к проводной сети кампуса Университета Цинхуа (вопросы и ответы)» в разделе «Основы кампусной сети» этой главы).
Возможность проверки связи также определяется предварительной политикой, но это не документировано; то есть ответные пакеты ICMP разрешены, если они не доп�ущены.
Облачный диск Цинхуа
Рекомендуется использовать клиент Linux в seafile.com/download вместо клиента Терминала, поскольку для клиента Терминала требуется независимый пароль. Этот пароль отличается от пароля INFO и не может быть получен, поэтому вы не можете войти через клиент Терминала.
Поскольку установка программного обеспечения вручную не рекомендуется, воспользуйтесь менеджером пакетов для получения соответствующего программного обеспечения. Для пользователей Arch Linux клиент Linux
pacman -S seafile-client
Вместо pacman -S seafile этот пакет является клиентом терминала. Для других дистрибутивов соответствующие пакеты найдите самостоятельно.
Использование терминального клиента
Клиент Терминала поддерживает использование токена для синхронизации после версии 8.0.4. Исходный код архитектуры AMD64 для большинства выпусков можно найти в install_linux_client. Если номер версии seafile или seafile-cli в используемом вами менеджере пакетов ниже, чем 8.0.4, вы можете установить его и обратиться к методу замены некоторых файлов позже или напрямую скомпилировать последнюю версию вручную.
Получить токен
Войдите в Tsinghua Cloud Disk в браузере. seahub_auth в файле cookie должен иметь шаблон 用户名(学号@tsinghua.edu.cn)@Token, а последний абзац — это токен. Токен каждой учетной записи уникален и не имеет срока действия.
После того как seaf-cli сможет работать нормально, вы можете использовать командную строку для выполнения операций синхронизации.
seaf-cli init -d ~
seaf-cli start
seaf-cli sync -l <library-id> -s https://cloud.tsinghua.edu.cn -d <place-directory> -T <token>
seaf-cli desync -d <existing-folder>
Замените некоторые файлы для реализации входа по токену.
seaf-cli по су�ществу взаимодействует с seaf-daemon через pysearpc, поэтому младшая версия seafile в исходных текстах по умолчанию большинства дистрибутивов будет работать нормально, просто заменив seaf-cli. Вот простой способ реализовать вход по токену, заменив seaf-cli после установки клиента терминала.
git clone https://github.com/haiwen/seafile
cd seafile
cp app/seaf-cli /usr/bin/seaf-cli
chmod +x /usr/bin/seaf-cli
cp -r python/seafile $(python3 -m site --user-site)
Скомпилируйте клиент терминала
Подробную информацию о процессе компиляции см. в build_seafile, однако следует отметить несколько моментов:
- Загрузите и скомпилируйте последний исходный код или последнюю версию на каждом складе.
- Часть
ccnetв документе можно игнорировать, склад исчез и соответствующих зависимостей нет. - Есть вероятность, что make завершится неудачно. Вы можете попробовать еще несколько раз.
- Если
seaf-cliсообщает об ошибке после завершения установки, напримерNo module named 'seafile', вы можете обратиться к предыдущему разделу, чтобы вручную скопировать пакетseafile.
Chrome предупреждает, что загруженные файлы опасны
Это явление может быть вызвано странной операцией студентов Qiaoqiu, из-за которой Chrome пометил доменное имя Tsinghua Cloud Disk, после чего всем загрузкам файлов будет напоминаться о том, что они могут быть опасными, и они будут заблокированы.
Пожалуйста, проигнорируйте это напоминание. Конечно, если вы загрузили действительно фантастический файл, проверьте его самостоятельно.
ИСАТАП (остановлено)
На данный момент услуга остановлена.
Ссылка ipv6.tsinghua.edu.cn. Также имеется AUR 包 thu-isatap для справки.
В настоящее время эту услугу могут использовать только пользователи общедоступного IPv4 на территории кампуса, а не за пределами кампуса. Обратите внимание, что 166.111.21.1 этот IP-адрес не будет отвечать на пинг-пакеты.
Получить IPv6-связной PT
Поскольку вы можете получить общедоступный IP-адрес кампуса, используя SSLVPN дома, вы можете использовать ISATAP для получения IPv6-адреса Цинхуа для реализации функции PT, которая здесь не будет подробно обсуждаться.
Активация WIN 10
Используйте эту команду в Linux для получения соответствующих инструкций cmd.
$ dig -t TXT win10.harrychen.xyz +short
или используйте под Windows
cmd> nslookup -q=TXT win10.harrychen.xyz
Затем выполните скрипт при подключении к sslvpn, чтобы активировать.
Подлинная операционная система и программное обеспечение для загрузки
ИТС
Посетите https://its.tsinghua.edu.cn и войдите в систему, чтобы получить способ загрузки подлинного программного обеспечения, такого как Win10, антивирусное программное обеспечение, WPS, MS Visio, MS Visual Studio, MATLAB и т. д.
ТУНЦ
Посетите https://mirrors.tuna.tsinghua.edu.cn и нажмите, чтобы получить ссылку для ск�ачивания.
IP-сегмент на территории кампуса
В школе 6/16, см. https://bgp.he.net/AS45576.
; 重要校园服务基本位于此网段,例如主页
; 机房也常用该网段
; 此网段还可在教学楼、图书馆获取
166.111.0.0/16
; 常用于机房与院系网
101.5.0.0/16
101.6.0.0/16
; 紫荆,C 楼等学生区,以及南部居民区
59.66.0.0/16
; 无线网(两个 /16 还不够用呢)
183.172.0.0/16
183.173.0.0/16
; 内部使用(大概是供路由器等网络基础设施使用)
118.229.0.0/20
v6 обычно использует 2402:f000::/32, а в некоторых областях используется 2001:250:200::/48 (Институт интернет-исследований). Параграф 2001:da8:200::/48 есть, но он не используется.