Pár napja A Google bemutatta blogbejegyzésen keresztül a híreket a HIBA projekt forráskódjának kiadása (Host Identity Based Authorization), amely egy további engedélyezési mechanizmus bevezetését javasolja a felhasználói hozzáférés SSH -n keresztüli szervezéséhez a gazdagépekhez (annak ellenőrzése, hogy engedélyezett -e egy adott erőforráshoz való hozzáférés nyilvános kulcsok használatával történő hitelesítés esetén).
Integráció az OpenSSH -val a HIBA illesztőprogram megadásával érhető el az AuthorizedPrincipalsCommand irányelvben az / etc / ssh / sshd_config mappában. A projekt kódja C betűvel van írva, és a BSD licenc alapján kerül forgalomba.
A HIBA -ról
HIBA szabványos hitelesítési mechanizmusokat használ, amelyek az OpenSSH tanúsítványokon alapulnak a felhasználói jogosultság rugalmas és központosított kezeléséhez a gazdagépek vonatkozásában, de nem igényel időszakos módosításokat a hitelesített_kulcsok és a jogosult_felhasználók fájljain azon gazdagépek oldalán, amelyhez csatlakozik.
A kulcsok listájának tárolása helyett Érvényes nyilvános és hozzáférési feltételek az engedélyezett fájlokban (jelszavak | felhasználók), A HIBA közvetlenül a tanúsítványokba integrálja a gazdakötési információkat. Különösen kiterjesztéseket javasoltak a gazdatanúsítványokhoz és a felhasználói tanúsítványokhoz, amelyek tárolják a gazdagép paramétereit és a felhasználói hozzáférés megadásának feltételeit.
Míg az OpenSSH számos módszert kínál, az egyszerű jelszótól kezdve a tanúsítványok használatáig, mindegyik saját kihívást jelent.
Kezdjük azzal, hogy tisztázzuk a hitelesítés és az engedélyezés közötti különbséget. Az első egy módja annak, hogy megmutassuk, hogy te vagy az entitás, aminek állítod magad. Ez általában úgy történik, hogy megadja a fiókjához tartozó titkos jelszót, vagy aláír egy kihívást, amely azt mutatja, hogy rendelkezik egy nyilvános kulcsnak megfelelő privát kulccsal. A jogosultság annak eldöntésének módja, hogy az entitás rendelkezik -e hozzáféréssel az erőforráshoz, vagy sem, általában a hitelesítés után történik.
A gazdaoldali ellenőrzés a hiba-chk illesztőprogram hívásával indul az AuthorizedPrincipalsCommand irányelvben meghatározott. Ez a kezelő dekódolja a tanúsítványokba épített bővítményeket és ezek alapján dönt a hozzáférés engedélyezéséről vagy letiltásáról. A hozzáférési szabályokat központilag határozzák meg a tanúsító hatóság (CA) szintjén, és a létrehozásuk szakaszában beépítik őket a tanúsítványokba.
A tanúsítási központ oldalán, van egy általános lista az elérhető engedélyekről (a gazdagépek, amelyekhez csatlakozhat) és azon felhasználók listája, akik használhatják ezeket az engedélyeket. A hiba-gen segédprogram javasolta, hogy készítsen tanúsítványokat beépített jogosultsági információkkal, és a hitelesítésszolgáltató létrehozásához szükséges funkciókat áthelyezték a hiba-ca.sh parancsfájlba.
A felhasználói kapcsolat során a tanúsítványban megadott hitelesítő adatokat a tanúsító hatóság digitális aláírása megerősíti, amely lehetővé teszi az összes ellenőrzés teljes körű elvégzését a rendeltetési gazdaoldalon amelyhez a kapcsolat létrejön, anélkül, hogy kapcsolatba lépne a külső szolgálatokkal. Az SSH tanúsítványokat tanúsító CA nyilvános kulcsok listáját a TrustedUserCAKeys irányelv határozza meg.
A HIBA két kiterjesztést határoz meg az SSH tanúsítványokhoz:
A gazda tanúsítványokhoz csatolt HIBA identitás felsorolja a gazdagépet meghatározó tulajdonságokat. Ezeket a kritériumokat fogják használni a hozzáférés biztosításához.
A felhasználói igazolásokhoz csatolt HIBA -engedély felsorolja azokat a korlátozásokat, amelyeket a gazdagépnek meg kell felelnie ahhoz, hogy hozzáférést kapjon.
A felhasználók közvetlen összekötése a gazdagépekkel, A HIBA lehetővé teszi rugalmasabb hozzáférési szabályok meghatározását. Például a gazdagépek olyan információkkal társíthatók, mint a hely és a szolgáltatás típusa, és a felhasználói hozzáférési szabályok meghatározásával engedélyezhetik a kapcsolatokat az összes szolgáltatással rendelkező adott gazdagéphez, vagy egy adott helyen található gazdagépekhez.
Végül ha érdekel, hogy többet tudjon meg róla a jegyzetről ellenőrizheti a részleteket A következő linken.