Prije nekoliko dana Google predstavio putem posta na blogu vijesti o objavljivanje izvornog koda HIBA projekta (Autorizacija zasnovana na identitetu hosta), koja predlaže implementaciju dodatnog mehanizma autorizacije za organiziranje korisničkog pristupa putem SSH -a u odnosu na hostove (provjera je li pristup određenom resursu dozvoljen prilikom autentifikacije pomoću javnih ključeva).
Integracija sa OpenSSH -om je omogućeno navođenjem HIBA upravljačkog programa u direktivi AuthorizedPrincipalsCommand u / etc / ssh / sshd_config. Šifra projekta napisana je na C i distribuira se pod BSD licencom.
O HIBA -i
HIBA koristi standardne mehanizme provjere autentičnosti zasnovane na OpenSSH certifikatima za fleksibilno i centralizirano upravljanje autorizacijom korisnika u odnosu na hostove, ali ne zahtijeva povremene promjene datoteka ovlaštenih_ ključeva i ovlaštenih_korisnika na strani hostova na koje je spojeno.
Umjesto spremanja liste ključeva Važeći javni i pristupni uslovi u ovlaštenim datotekama (lozinke | korisnici), HIBA integrira obvezujuće informacije o hostu izravno u same certifikate. Konkretno, proširenja su predložena za certifikate domaćina i korisničke certifikate, koji pohranjuju parametre i uslove hosta za odobravanje korisničkog pristupa.
Iako OpenSSH nudi mnoge metode, od jednostavne lozinke do korištenja certifikata, svaka od njih sama po sebi predstavlja izazov.
Počnimo s razjašnjavanjem razlike između autentifikacije i autorizacije. Prvi je način da pokažete da ste entitet za koji tvrdite da jeste. To se obično postiže davanjem tajne lozinke povezane s vašim računom ili potpisivanjem izazova koji pokazuje da imate privatni ključ koji odgovara javnom ključu. Autorizacija je način odlučivanja ima li entitet dozvolu za pristup resursu ili ne, obično se to radi nakon autentifikacije.
Verifikacija na strani domaćina započinje pozivanjem upravljačkog programa hiba-chk specificirano u direktivi AuthorizedPrincipalsCommand. Ovaj rukovatelj dekodira proširenja ugrađena u certifikate i na osnovu njih, donosi odluku o odobravanju ili blokiranju pristupa. Pravila pristupa su definirana centralno na nivou certifikacijskog tijela (CA) i integrirana su u certifikate u fazi njihovog generiranja.
Sa strane centra za certifikaciju, postoji opšta lista dozvola (domaćini na koje se možete povezati) i popis korisnika koji mogu koristiti ove dozvole. Pomoćni program hiba-gen predložen je za generiranje certifikata s ugrađenim informacijama o dozvolama, a funkcionalnost potrebna za stvaranje ovlaštenja certifikata premještena je u skriptu hiba-ca.sh.
Tokom korisničke veze, vjerodajnice navedene u certifikatu potvrđuju se digitalnim potpisom certifikacijskog tijela, koje dozvoljava da se sve provjere u potpunosti izvrše na odredišnoj strani domaćina na koji je uspostavljena veza, bez kontaktiranja vanjskih službi. Popis CA javnih ključeva koji potvrđuju SSH certifikate specificiran je direktivom TrustedUserCAKeys.
HIBA definira dva proširenja za SSH certifikate:
HIBA identitet, pridružen certifikatima hosta, navodi svojstva koja definiraju ovaj host. Oni će se koristiti kao kriteriji za odobravanje pristupa.
HIBA grant, priložen korisničkim certifikatima, navodi ograničenja koja host mora zadovoljiti da bi mu se odobrio pristup.
Osim direktnog povezivanja korisnika sa hostovima, HIBA vam omogućuje definiranje fleksibilnijih pravila pristupa. Na primjer, hostovi se mogu povezati s podacima kao što su lokacija i vrsta usluge, a definiranjem pravila pristupa korisnika dopustiti povezivanje sa svim hostovima s određenom vrstom usluge ili s hostovima na određenoj lokaciji.
Konačno ako ste zainteresirani da saznate više o tome o bilješci možete provjeriti detalje Na sledećem linku.