Prije nekoliko dana Google je predstavio putem posta na blogu vijesti o objavljivanje izvornog koda HIBA projekta (Autorizacija temeljena na identitetu hosta), koja predlaže implementaciju dodatnog mehanizma autorizacije za organiziranje korisničkog pristupa putem SSH -a u odnosu na hostove (provjera je li pristup određenom resursu dopušten prilikom izvođenja autentifikacije pomoću javnih ključeva).
Integracija s OpenSSH -om je omogućeno navođenjem HIBA upravljačkog programa u direktivi AuthorizedPrincipalsCommand u / etc / ssh / sshd_config. Šifra projekta napisana je na C i distribuira se pod BSD licencom.
O HIBA -i
HIBA koristi standardne mehanizme provjere autentičnosti temeljene na OpenSSH certifikatima za fleksibilno i centralizirano upravljanje autorizacijom korisnika u odnosu na hostove, ali ne zahtijeva povremene promjene datoteka ovlaštenih ključeva i ovlaštenih korisnika na strani hostova na koje je spojeno.
Umjesto spremanja popisa ključeva Važeći javni i pristupni uvjeti u ovlaštenim datotekama (lozinke | korisnici), HIBA integrira obvezujuće informacije o hostu izravno u same certifikate. Konkretno, proširenja su predložena za certifikate domaćina i korisničke certifikate koji pohranjuju parametre i uvjete hosta za odobravanje korisničkog pristupa.
Iako OpenSSH nudi mnoge metode, od jednostavne lozinke do korištenja certifikata, svaka od njih sama po sebi predstavlja izazov.
Počnimo s razjašnjavanjem razlike između autentifikacije i autorizacije. Prvi je način da pokažete da ste entitet za koji tvrdite da jeste. To se obično postiže davanjem tajne lozinke povezane s vašim računom ili potpisivanjem izazova koji pokazuje da imate privatni ključ koji odgovara javnom ključu. Autorizacija je način odlučivanja ima li entitet dozvolu za pristup resursu, obično se to vrši nakon autentifikacije.
Provjera na strani domaćina započinje pozivanjem upravljačkog programa hiba-chk navedene u direktivi AuthorizedPrincipalsCommand. Ovaj rukovatelj dekodira proširenja ugrađena u certifikate i na temelju njih, donosi odluku o odobravanju ili blokiranju pristupa. Pravila pristupa definirana su centralno na razini certifikacijskog tijela (CA) i integrirana su u certifikate u fazi njihovog generiranja.
Sa strane certifikacijskog centra, postoji opći popis dopuštenja (hostovi s kojima se možete povezati) i popis korisnika koji mogu koristiti ta dopuštenja. Pomoćni program hiba-gen predložen je za generiranje certifikata s ugrađenim informacijama o dopuštenjima, a funkcionalnost potrebna za stvaranje ovlaštenja certifikata premještena je u skriptu hiba-ca.sh.
Tijekom korisničke veze vjerodajnice navedene u certifikatu potvrđuju se digitalnim potpisom tijela za izdavanje certifikata, koje omogućuje da se sve provjere u potpunosti izvrše na odredišnoj strani domaćina na koji se povezuje, bez kontaktiranja vanjskih službi. Popis CA javnih ključeva koji potvrđuju SSH certifikate naveden je direktivom TrustedUserCAKeys.
HIBA definira dva proširenja za SSH certifikate:
HIBA identitet, pridružen certifikatima hosta, navodi svojstva koja definiraju ovaj host. Oni će se koristiti kao kriteriji za odobravanje pristupa.
HIBA potpora, priložena korisničkim certifikatima, navodi ograničenja koja host mora zadovoljiti da bi mu se odobrio pristup.
Osim izravnog povezivanja korisnika s hostovima, HIBA omogućuje definiranje fleksibilnijih pravila pristupa. Na primjer, hostovi se mogu povezati s podacima kao što su lokacija i vrsta usluge, a definiranjem pravila pristupa korisnika dopustiti povezivanje sa svim hostovima s određenom vrstom usluge ili s hostovima na određenom mjestu.
Konačno ako vas zanima više o tome o bilješci možete provjeriti pojedinosti U sljedećem linku.