कुछ दिनों पहले Google ने अनावरण किया एक ब्लॉग पोस्ट के माध्यम से की खबर HIBA परियोजना के स्रोत कोड का विमोचन (होस्ट पहचान आधारित प्राधिकरण), जो मेजबानों के संबंध में एसएसएच के माध्यम से उपयोगकर्ता पहुंच को व्यवस्थित करने के लिए एक अतिरिक्त प्राधिकरण तंत्र के कार्यान्वयन का प्रस्ताव करता है (जांच करता है कि सार्वजनिक कुंजी का उपयोग करते समय प्रमाणीकरण करते समय किसी विशिष्ट संसाधन तक पहुंच की अनुमति है या नहीं)।
ओपनएसएसएच के साथ एकीकरण HIBA ड्राइवर को निर्दिष्ट करके प्रदान किया जाता है अधिकृत प्रिंसिपल कमांड निर्देश में में / आदि / ssh / sshd_config. परियोजना कोड सी में लिखा गया है और बीएसडी लाइसेंस के तहत वितरित किया गया है।
HIBA . के बारे में
हिबा OpenSSH प्रमाणपत्रों के आधार पर मानक प्रमाणीकरण तंत्र का उपयोग करता है मेजबानों के संबंध में उपयोगकर्ता प्राधिकरण के लचीले और केंद्रीकृत प्रबंधन के लिए, लेकिन मेजबानों की ओर से अधिकृत_की और अधिकृत_उपयोगकर्ता फ़ाइलों में आवधिक परिवर्तन की आवश्यकता नहीं है, जिससे यह जुड़ा हुआ है।
चाबियों की सूची संग्रहीत करने के बजाय अधिकृत फाइलों में वैध सार्वजनिक और पहुंच की शर्तें (पासवर्ड | उपयोगकर्ता), HIBA मेजबान बाध्यकारी जानकारी को सीधे प्रमाणपत्रों में एकीकृत करता है। विशेष रूप से, होस्ट प्रमाणपत्रों और उपयोगकर्ता प्रमाणपत्रों के लिए एक्सटेंशन प्रस्तावित किए गए हैं, जो उपयोगकर्ता पहुंच प्रदान करने के लिए होस्ट पैरामीटर और शर्तों को संग्रहीत करते हैं।
जबकि ओपनएसएसएच एक साधारण पासवर्ड से लेकर प्रमाणपत्रों के उपयोग तक कई तरीके प्रदान करता है, उनमें से प्रत्येक अपने आप में चुनौतियां पेश करता है।
आइए प्रमाणीकरण और प्राधिकरण के बीच अंतर को स्पष्ट करके शुरू करें। पहला यह दिखाने का एक तरीका है कि आप वह इकाई हैं जिसके होने का आप दावा करते हैं। यह आमतौर पर आपके खाते से जुड़ा गुप्त पासवर्ड प्रदान करके या एक चुनौती पर हस्ताक्षर करके पूरा किया जाता है जो दर्शाता है कि आपके पास सार्वजनिक कुंजी के अनुरूप निजी कुंजी है। प्राधिकरण यह तय करने का एक तरीका है कि किसी इकाई को संसाधन तक पहुंचने की अनुमति है या नहीं, यह आमतौर पर प्रमाणीकरण होने के बाद किया जाता है।
होस्ट-साइड सत्यापन hiba-chk ड्राइवर को कॉल करके शुरू किया गया है अधिकृत प्रिंसिपल कमांड निर्देश में निर्दिष्ट। यह हैंडलर प्रमाणपत्रों में निर्मित एक्सटेंशन को डीकोड करता है और, उनके आधार पर, पहुँच प्रदान करने या अवरुद्ध करने का निर्णय लेता है। एक्सेस नियमों को प्रमाणन प्राधिकरण (सीए) के स्तर पर केंद्रीय रूप से परिभाषित किया गया है और उनकी पीढ़ी के स्तर पर प्रमाणपत्रों में एकीकृत किया गया है।
प्रमाणन केंद्र की ओर, अनुमतियों की एक सामान्य सूची उपलब्ध है (होस्ट जिनसे आप जुड़ सकते हैं) और उन उपयोगकर्ताओं की सूची जो इन अनुमतियों का उपयोग कर सकते हैं। hiba-gen उपयोगिता को अंतर्निहित अनुमति जानकारी के साथ प्रमाणपत्र जेनरेट करने का प्रस्ताव दिया गया है, और प्रमाणपत्र प्राधिकरण बनाने के लिए आवश्यक कार्यक्षमता को hiba-ca.sh स्क्रिप्ट में स्थानांतरित कर दिया गया है।
उपयोगकर्ता कनेक्शन के दौरान, प्रमाणपत्र में निर्दिष्ट क्रेडेंशियल की पुष्टि प्रमाणपत्र प्राधिकारी के डिजिटल हस्ताक्षर द्वारा की जाती है, जो सभी सत्यापनों को गंतव्य होस्ट पक्ष पर पूरी तरह से निष्पादित करने की अनुमति देता है जिससे बाहरी सेवाओं से संपर्क किए बिना, कनेक्शन किया जाता है। SSH प्रमाणपत्रों को प्रमाणित करने वाली CA सार्वजनिक कुंजियों की सूची TrustedUserCAKeys निर्देश द्वारा निर्दिष्ट की गई है।
HIBA SSH प्रमाणपत्रों के लिए दो एक्सटेंशन परिभाषित करता है:
मेजबान प्रमाणपत्रों से जुड़ी HIBA पहचान, उन गुणों को सूचीबद्ध करती है जो इस मेजबान को परिभाषित करते हैं। उन्हें पहुंच प्रदान करने के लिए मानदंड के रूप में उपयोग किया जाएगा।
HIBA अनुदान, उपयोगकर्ता प्रमाणपत्रों से जुड़ा हुआ है, उन प्रतिबंधों को सूचीबद्ध करता है जो एक मेजबान को पहुंच प्रदान करने के लिए मिलना चाहिए।
उपयोगकर्ताओं को मेजबानों से सीधे जोड़ने के अलावा, HIBA आपको अधिक लचीले एक्सेस नियमों को परिभाषित करने की अनुमति देता है. उदाहरण के लिए, होस्ट को स्थान और सेवा के प्रकार जैसी जानकारी के साथ जोड़ा जा सकता है, और उपयोगकर्ता एक्सेस नियमों को परिभाषित करके, किसी विशेष प्रकार की सेवा वाले सभी होस्ट या किसी विशिष्ट स्थान पर होस्ट के लिए कनेक्शन की अनुमति देता है।
अंत में यदि आप इसके बारे में अधिक जानने में रुचि रखते हैं नोट के बारे में, आप विवरण देख सकते हैं निम्नलिखित लिंक में