몇일 전에 Google 공개 블로그 포스팅을 통해 HIBA 프로젝트 소스코드 공개 (Host Identity Based Authorization): 호스트와 관련하여 SSH를 통해 사용자 액세스를 구성하는 추가 권한 부여 메커니즘의 구현을 제안합니다(공개 키를 사용하여 인증할 때 특정 리소스에 대한 액세스 허용 여부 확인).
OpenSSH와 통합 HIBA 드라이버를 지정하여 제공됩니다. AuthorizedPrincipalsCommand 지시문에서 / etc / ssh / sshd_config에 있습니다. 프로젝트 코드는 C로 작성되었으며 BSD 라이선스에 따라 배포됩니다.
HIBA 소개
히바 OpenSSH 인증서를 기반으로 하는 표준 인증 메커니즘을 사용합니다. 호스트와 관련된 사용자 권한 부여를 유연하고 중앙 집중식으로 관리하지만 연결된 호스트 측의 authorized_keys 및 authorized_users 파일을 주기적으로 변경할 필요가 없습니다.
키 목록을 저장하는 대신 승인된 파일의 유효한 공개 및 액세스 조건(암호 | 사용자), HIBA는 호스트 바인딩 정보를 인증서 자체에 직접 통합합니다. 특히, 호스트 인증서 및 사용자 인증서에 대한 확장이 제안되었으며, 이는 사용자 액세스 권한을 부여하기 위한 호스트 매개변수 및 조건을 저장합니다.
OpenSSH는 간단한 암호에서 인증서 사용에 이르기까지 다양한 방법을 제공하지만 각 방법은 그 자체로 문제를 제시합니다.
인증과 권한 부여의 차이점을 명확히 하는 것으로 시작하겠습니다. 첫 번째는 당신이 당신이 주장하는 실체임을 보여주는 방법입니다. 이는 일반적으로 계정과 연결된 비밀 암호를 제공하거나 공개 키에 해당하는 개인 키가 있음을 보여주는 챌린지에 서명하여 수행됩니다. 권한 부여는 엔터티가 리소스에 액세스할 수 있는 권한이 있는지 여부를 결정하는 방법이며 일반적으로 인증이 발생한 후에 수행됩니다.
호스트 측 확인은 hiba-chk 드라이버를 호출하여 시작됩니다. AuthorizedPrincipalsCommand 지시문에 지정됩니다. 이 핸들러 인증서에 내장된 확장을 디코딩합니다. 그리고 그것들을 바탕으로, 액세스 허용 또는 차단을 결정합니다. 액세스 규칙은 CA(인증 기관) 수준에서 중앙에서 정의되며 생성 단계에서 인증서에 통합됩니다.
인증센터 쪽에서는 사용 가능한 권한의 일반 목록이 있습니다 (연결할 수 있는 호스트) 및 이러한 권한을 사용할 수 있는 사용자 목록. 내장된 권한 정보로 인증서를 생성하기 위해 hiba-gen 유틸리티가 제안되었으며 인증 기관을 생성하는 데 필요한 기능이 hiba-ca.sh 스크립트로 이동되었습니다.
사용자가 연결하는 동안 인증서에 지정된 자격 증명은 인증 기관의 디지털 서명으로 확인됩니다. 대상 호스트 측에서 모든 검증을 완전히 수행할 수 있습니다. 외부 서비스에 연락하지 않고 연결됩니다. SSH 인증서를 인증하는 CA 공개 키 목록은 TrustedUserCAKeys 지시문에 의해 지정됩니다.
HIBA는 SSH 인증서에 대해 두 가지 확장을 정의합니다.
호스트 인증서에 연결된 HIBA ID는 이 호스트를 정의하는 속성을 나열합니다. 액세스 권한을 부여하는 기준으로 사용됩니다.
사용자 인증서에 첨부된 HIBA 권한에는 호스트가 액세스 권한을 부여받기 위해 충족해야 하는 제한 사항이 나열되어 있습니다.
사용자를 호스트에 직접 연결하는 것 외에도, HIBA를 사용하면 보다 유연한 액세스 규칙을 정의할 수 있습니다.. 예를 들어, 호스트는 위치 및 서비스 유형과 같은 정보와 연관될 수 있으며 사용자 액세스 규칙을 정의하여 특정 유형의 서비스가 있는 모든 호스트 또는 특정 위치의 호스트에 대한 연결을 허용합니다.
최종적으로 그것에 대해 더 많이 알고 싶다면 메모에 대한 자세한 내용을 확인할 수 있습니다. 다음 링크에서.