Преди няколко дни Google представи чрез публикация в блога новината за пускането на изходния код на проекта HIBA (Упълномощаване, основано на идентичност на хост), което предлага прилагането на допълнителен механизъм за оторизация за организиране на потребителски достъп чрез SSH във връзка с хостове (проверка дали достъпът до определен ресурс е разрешен при автентификация с помощта на публични ключове).
Интеграция с OpenSSH се осигурява чрез посочване на драйвера на HIBA в директивата AuthorizedPrincipalsCommand в / etc / ssh / sshd_config. Кодът на проекта е написан на C и се разпространява под лиценза BSD.
Относно HIBA
HIBA използва стандартни механизми за удостоверяване, базирани на OpenSSH сертификати за гъвкаво и централизирано управление на потребителското оторизиране по отношение на хостове, но не изисква периодични промени във файловете авторизирани_ключове и оторизирани_потребители от страната на хостовете, към които е свързано.
Вместо да съхранявате списък с ключове Валидни публични условия и условия за достъп в разрешени файлове (пароли | потребители), HIBA интегрира информацията за свързване на хоста директно в самите сертификати. По -специално бяха предложени разширения за хост сертификати и потребителски сертификати, които съхраняват параметрите и условията на хоста за предоставяне на потребителски достъп.
Въпреки че OpenSSH предоставя много методи, от обикновена парола до използване на сертификати, всеки от тях представя предизвикателства самостоятелно.
Нека започнем с изясняване на разликата между удостоверяване и упълномощаване. Първият е начин да покажете, че сте субект, за който се представяте. Това обикновено се постига чрез предоставяне на секретната парола, свързана с вашия акаунт, или чрез подписване на предизвикателство, което показва, че имате частния ключ, съответстващ на публичен ключ. Упълномощаването е начин да се реши дали обектът има разрешение за достъп до ресурс, обикновено след извършване на удостоверяване.
Проверката от страна на хоста се стартира чрез извикване на драйвера на hiba-chk посочени в директивата AuthorizedPrincipalsCommand. Този манипулатор декодира разширенията, вградени в сертификатите и въз основа на тях, взема решение за предоставяне или блокиране на достъпа. Правилата за достъп се определят централно на ниво сертифициращ орган (CA) и са интегрирани в сертификатите на етапа на тяхното генериране.
От страна на центъра за сертифициране, има общ списък с разрешения (хостове, към които можете да се свържете) и списък с потребители, които могат да използват тези разрешения. Помощната програма hiba-gen е предложена за генериране на сертификати с вградена информация за разрешения, а необходимата функционалност за създаване на орган за сертифициране е преместена в скрипта hiba-ca.sh.
По време на потребителската връзка идентификационните данни, посочени в сертификата, се потвърждават от цифровия подпис на сертифициращия орган, който позволява всички проверки да се извършват изцяло от страна на хоста на местоназначението към който се осъществява връзката, без да се свързвате с външни услуги. Списъкът с CA публични ключове, които удостоверяват SSH сертификати, е посочен от директивата TrustedUserCAKeys.
HIBA дефинира две разширения за SSH сертификати:
Идентичността на HIBA, прикрепена към сертификатите на хоста, изброява свойствата, които определят този хост. Те ще бъдат използвани като критерии за предоставяне на достъп.
Грантът HIBA, прикрепен към потребителските сертификати, изброява ограниченията, които хостът трябва да изпълни, за да получи достъп.
В допълнение към директното свързване на потребители с хостове, HIBA ви позволява да дефинирате по -гъвкави правила за достъп. Например хостовете могат да бъдат свързани с информация като местоположение и тип услуга и чрез дефиниране на правилата за достъп на потребителя да позволяват връзки към всички хостове с определен тип услуга или към хостове на определено място.
Накрая ако се интересувате да научите повече за това относно бележката, можете да проверите подробностите В следващия линк.