Pirms dažām dienām Google atklāja izmantojot emuāra ziņu par projekta HIBA avota koda izlaišana (Host Identity Based Authorization), kas ierosina ieviest papildu autorizācijas mehānismu, lai organizētu lietotāju piekļuvi, izmantojot SSH, saistībā ar saimniekiem (pārbaudot, vai piekļuve konkrētam resursam ir atļauta, veicot autentifikāciju, izmantojot publiskās atslēgas).
Integrācija ar OpenSSH tiek nodrošināts, norādot HIBA draiveri direktīvā AuthorizedPrincipalsCommand mapē / etc / ssh / sshd_config. Projekta kods ir rakstīts C un tiek izplatīts saskaņā ar BSD licenci.
Par HIBA
HIBA izmanto standarta autentifikācijas mehānismus, kuru pamatā ir OpenSSH sertifikāti elastīgai un centralizētai lietotāju autorizācijas pārvaldībai attiecībā uz saimniekiem, taču neprasa periodiskas izmaiņas autorizēto atslēgu un autorizēto lietotāju failos saimniekdatoru pusē, ar kuru tā ir savienota.
Tā vietā, lai saglabātu atslēgu sarakstu Derīgi publiski un piekļuves nosacījumi autorizētos failos (paroles | lietotāji), HIBA integrē resursdatora saistošo informāciju tieši pašos sertifikātos. Jo īpaši ir ierosināti paplašinājumi resursdatora sertifikātiem un lietotāju sertifikātiem, kuros tiek glabāti resursdatora parametri un nosacījumi lietotāju piekļuves piešķiršanai.
Lai gan OpenSSH piedāvā daudzas metodes, sākot no vienkāršas paroles līdz sertifikātu izmantošanai, katra no tām pati rada izaicinājumus.
Sāksim, noskaidrojot atšķirību starp autentifikāciju un autorizāciju. Pirmais ir veids, kā parādīt, ka esat vienība, par kuru jūs apgalvojat. To parasti veic, norādot ar jūsu kontu saistīto slepeno paroli vai parakstot izaicinājumu, kas parāda, ka jums ir privātā atslēga, kas atbilst publiskajai atslēgai. Autorizācija ir veids, kā izlemt, vai vienībai ir atļauja piekļūt resursam vai ne, tā parasti tiek veikta pēc autentifikācijas.
Uzņēmēja puses verifikācija tiek sākta, piezvanot kļūdas-chk draiverim norādīts Direktīvā AuthorizedPrincipalsCommand. Šis apstrādātājs atšifrē sertifikātos iebūvētos paplašinājumus un, pamatojoties uz tiem, pieņem lēmumu par piekļuves piešķiršanu vai bloķēšanu. Piekļuves noteikumi ir definēti centralizēti sertificēšanas iestādes (CA) līmenī un ir iekļauti sertifikātos to ģenerēšanas stadijā.
Sertifikācijas centra pusē ir pieejams vispārējs atļauju saraksts (saimniekiem, ar kuriem var izveidot savienojumu) un lietotāju sarakstu, kuri var izmantot šīs atļaujas. Ir ierosināta utilīta hiba-gen, lai ģenerētu sertifikātus ar iebūvētu atļauju informāciju, un funkcionalitāte, kas nepieciešama, lai izveidotu sertifikāta iestādi, ir pārvietota uz skriptu error-ca.sh.
Lietotāja savienojuma laikā sertifikātā norādītie akreditācijas dati tiek apstiprināti ar sertifikāta iestādes digitālo parakstu, kas ļauj pilnībā veikt visas pārbaudes galamērķa saimniekdatora pusē ar kuru tiek izveidots savienojums, nesazinoties ar ārējiem dienestiem. CA publisko atslēgu saraksts, kas sertificē SSH sertifikātus, ir noteikts direktīvā TrustedUserCAKeys.
HIBA definē divus SSH sertifikātu paplašinājumus:
HIBA identitāte, kas pievienota resursdatora sertifikātiem, uzskaita rekvizītus, kas nosaka šo resursdatoru. Tie tiks izmantoti kā piekļuves piešķiršanas kritēriji.
HIBA piešķīrumā, kas pievienots lietotāja sertifikātiem, ir uzskaitīti ierobežojumi, kas saimniekdatoram jāievēro, lai tiem tiktu piešķirta piekļuve.
Papildus tiešai lietotāju saistīšanai ar saimniekiem, HIBA ļauj definēt elastīgākus piekļuves noteikumus. Piemēram, saimniekdatorus var saistīt ar tādu informāciju kā atrašanās vieta un pakalpojuma veids, un, nosakot lietotāju piekļuves noteikumus, atļaut savienojumus ar visiem saimniekiem ar noteiktu pakalpojumu veidu vai ar saimniekiem noteiktā vietā.
Beidzot ja jūs interesē uzzināt vairāk par to par piezīmi, varat pārbaudīt informāciju Šajā saitē.