قبل بضعة أيام كشف النقاب عن جوجل من خلال مدونة ما بعد الأخبار إصدار الكود المصدري لمشروع HIBA (التفويض المستند إلى هوية المضيف) ، والذي يقترح تنفيذ آلية تفويض إضافية لتنظيم وصول المستخدم من خلال SSH فيما يتعلق بالمضيفين (التحقق مما إذا كان الوصول إلى مورد معين مسموحًا به أم لا عند المصادقة باستخدام المفاتيح العامة).
التكامل مع OpenSSH يتم توفيره من خلال تحديد برنامج تشغيل HIBA في التوجيه المعتمد للأوامر في / etc / ssh / sshd_config. رمز المشروع مكتوب بلغة C ويتم توزيعه بموجب ترخيص BSD.
حول هيبا
خطأ يستخدم آليات مصادقة قياسية تعتمد على شهادات OpenSSH للإدارة المرنة والمركزية لتخويل المستخدم فيما يتعلق بالمضيفين ، ولكنها لا تتطلب تغييرات دورية على الملفات المصرح بها والمستخدمين المعتمدين على جانب المضيفين المتصلين بها.
بدلا من تخزين قائمة مفاتيح الشروط العامة والوصول الصالحة في الملفات المصرح بها (كلمات المرور | المستخدمين) ، تدمج HIBA معلومات ربط المضيف مباشرة في الشهادات نفسها. على وجه الخصوص ، تم اقتراح ملحقات لشهادات المضيف وشهادات المستخدم ، والتي تخزن معلمات المضيف وشروط منح المستخدم الوصول.
بينما يوفر OpenSSH العديد من الطرق ، من كلمة مرور بسيطة إلى استخدام الشهادات ، فإن كل منها يمثل تحديات بمفرده.
لنبدأ بتوضيح الفرق بين المصادقة والترخيص. الأول هو وسيلة لإظهار أنك الكيان الذي تدعي أنه. يتم تحقيق ذلك عادةً من خلال توفير كلمة المرور السرية المرتبطة بحسابك أو عن طريق التوقيع على اختبار يوضح أن لديك المفتاح الخاص المطابق لمفتاح عام. التفويض هو طريقة لتقرير ما إذا كان لدى الكيان إذن للوصول إلى مورد أم لا ، وعادة ما يتم ذلك بعد حدوث المصادقة.
يبدأ التحقق من جانب المضيف عن طريق الاتصال بسائق hiba-chk المحدد في الأمر AuthorizedPrincipalsCommand. هذا المعالج بفك تشفير الامتدادات المضمنة في الشهادات وبناءً عليها ، يتخذ قرارًا بمنح حق الوصول أو حظره. يتم تحديد قواعد الوصول مركزيًا على مستوى المرجع المصدق (CA) ويتم دمجها في الشهادات في مرحلة إنشائها.
على جانب مركز الشهادات ، هناك قائمة عامة من الأذونات المتاحة (مضيفون يمكنك الاتصال بهم) وقائمة بالمستخدمين الذين يمكنهم استخدام هذه الأذونات. تم اقتراح الأداة المساعدة hiba-gen لإنشاء شهادات بمعلومات الأذونات المضمنة ، وتم نقل الوظيفة المطلوبة لإنشاء مرجع تصديق إلى البرنامج النصي hiba-ca.sh.
أثناء اتصال المستخدم ، يتم تأكيد بيانات الاعتماد المحددة في الشهادة من خلال التوقيع الرقمي للمرجع المصدق ، والذي يسمح بإجراء جميع عمليات التحقق بالكامل على جانب المضيف الوجهة التي يتم الاتصال بها ، دون الاتصال بالخدمات الخارجية. يتم تحديد قائمة مفاتيح CA العامة التي تصدق على شهادات SSH بواسطة توجيه TrustedUserCAKeys.
تحدد HIBA امتدادين لشهادات SSH:
تسرد هوية HIBA ، المرفقة بشهادات المضيف ، الخصائص التي تحدد هذا المضيف. سيتم استخدامها كمعايير لمنح الوصول.
تسرد منحة HIBA ، المرفقة بشهادات المستخدم ، القيود التي يجب أن يفي بها المضيف حتى يتم منحه حق الوصول.
بالإضافة إلى الربط المباشر للمستخدمين بالمضيفين، HIBA يسمح لك بتحديد قواعد وصول أكثر مرونة. على سبيل المثال ، يمكن ربط المضيفين بمعلومات مثل الموقع ونوع الخدمة ، ومن خلال تحديد قواعد وصول المستخدم ، والسماح بالاتصالات لجميع المضيفين بنوع معين من الخدمة أو المضيفين في موقع معين.
أخيرا إذا كنت مهتمًا بمعرفة المزيد عنها حول الملاحظة ، يمكنك التحقق من التفاصيل في الرابط التالي.