Google julkaisi SSI: n henkilöllisyyden valtuutusmekanismin HIBA: n lähdekoodin

Muutama päivä sitten Google paljasti uutisen blogipostauksen kautta HIBA -projektin lähdekoodin julkaiseminen (Host Identity Based Authorization), joka ehdottaa lisävaltuutusmekanismin käyttöönottoa käyttäjien pääsyn järjestämiseksi SSH: n kautta suhteessa isäntiin (tarkistetaan, onko tietyn resurssin käyttö sallittu vai ei, kun suoritetaan todennus julkisilla avaimilla).

Integrointi OpenSSH: n kanssa annetaan määrittämällä HIBA -ohjain AuthorizedPrincipalsCommand -direktiivissä tiedostossa / etc / ssh / sshd_config. Projektikoodi on kirjoitettu C -kirjaimella ja jaetaan BSD -lisenssillä.

Tietoja HIBA: sta

HIBA käyttää OpenSSH -varmenteisiin perustuvia vakiotodennusmekanismeja joustava ja keskitetty käyttäjävaltuuksien hallinta isäntien suhteen, mutta se ei vaadi säännöllisiä muutoksia valtuutettujen avainten ja valtuutettujen käyttäjien tiedostoihin sen isännän puolella, johon se on liitetty.

Avainluettelon tallentamisen sijaan Valtuutettujen tiedostojen voimassa olevat julkiset ja käyttöehdot (salasanat | käyttäjät), HIBA integroi isännän sitovat tiedot suoraan varmenteisiin. Erityisesti laajennuksia on ehdotettu isäntävarmenteille ja käyttäjävarmenteille, jotka tallentavat isäntäparametrit ja käyttöoikeuden myöntämisen ehdot.

Vaikka OpenSSH tarjoaa monia menetelmiä yksinkertaisesta salasanasta varmenteiden käyttöön, kukin niistä tuo omat haasteensa.

Aloitetaan selventämällä todentamisen ja valtuutuksen ero. Ensimmäinen on tapa osoittaa, että olet yhteisö, jonka väität olevasi. Tämä tapahtuu yleensä antamalla tiliisi liittyvä salainen salasana tai allekirjoittamalla haaste, joka osoittaa, että sinulla on julkista avainta vastaava yksityinen avain. Valtuutus on tapa päättää, onko yhteisöllä lupa käyttää resurssia vai ei, se tehdään yleensä todennuksen jälkeen.

Isäntäpuolen vahvistus aloitetaan soittamalla virhe-chk-ohjaimelle määritetty AuthorizedPrincipalsCommand -direktiivissä. Tämä käsittelijä purkaa varmenteisiin rakennetut laajennukset ja niiden perusteella tekee päätöksen pääsyn myöntämisestä tai estämisestä. Käyttöoikeussäännöt määritellään keskitetysti varmenneviranomaisen tasolla ja ne sisällytetään varmenteisiin niiden syntymisvaiheessa.

Sertifiointikeskuksen puolella käytettävissä on yleinen luettelo käyttöoikeuksista (isännät, joihin voit muodostaa yhteyden) ja luettelo käyttäjistä, jotka voivat käyttää näitä käyttöoikeuksia. Häiri-gen-apuohjelmaa on ehdotettu luomaan varmenteita, joissa on sisäänrakennetut käyttöoikeustiedot, ja varmenteen myöntämisen edellyttämät toiminnot on siirretty virhe-ca.sh-komentosarjaan.

Käyttäjäyhteyden aikana varmenteessa määritetyt kirjautumistiedot vahvistetaan varmenneviranomaisen digitaalisella allekirjoituksella mahdollistaa kaikkien tarkistusten suorittamisen kokonaan kohde -isäntäpuolella johon yhteys muodostetaan ottamatta yhteyttä ulkoisiin palveluihin. Luettelo SSH -varmenteita varmentavista CA -julkisista avaimista on määritetty TrustedUserCAKeys -direktiivissä.

HIBA määrittelee kaksi laajennusta SSH -varmenteille:
Isäntävarmenteisiin liitetty HIBA -identiteetti luettelee tämän isännän määrittävät ominaisuudet. Niitä käytetään pääsyn myöntämisen kriteereinä.
Käyttäjävarmenteisiin liitetyssä HIBA -lisenssissä luetellaan rajoitukset, jotka isännän on täytettävä, jotta he voivat saada käyttöoikeuden.

Sen lisäksi, että käyttäjät linkitetään suoraan palvelimiin, HIBA: n avulla voit määrittää joustavampia pääsysääntöjä. Esimerkiksi isännät voidaan yhdistää tietoihin, kuten sijaintiin ja palvelun tyyppiin, ja määrittämällä käyttäjien pääsysäännöt, sallia yhteydet kaikkiin tietyn tyyppistä palvelua oleviin isäntiin tai tietyssä paikassa oleviin isäntiin.

Vihdoin jos olet kiinnostunut tietämään siitä lisää Tietoja muistiinpanosta voit tarkistaa yksityiskohdat Seuraavassa linkissä.


Ole ensimmäinen kommentti

Jätä kommentti

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *

*

*

  1. Vastaa tiedoista: AB Internet Networks 2008 SL
  2. Tietojen tarkoitus: Roskapostin hallinta, kommenttien hallinta.
  3. Laillistaminen: Suostumuksesi
  4. Tietojen välittäminen: Tietoja ei luovuteta kolmansille osapuolille muutoin kuin lain nojalla.
  5. Tietojen varastointi: Occentus Networks (EU) isännöi tietokantaa
  6. Oikeudet: Voit milloin tahansa rajoittaa, palauttaa ja poistaa tietojasi.