Acum cateva zile Google a dezvăluit printr - o postare pe blog vestea lansarea codului sursă al proiectului HIBA (Autorizare bazată pe identitatea gazdei), care propune implementarea unui mecanism de autorizare suplimentar pentru a organiza accesul utilizatorului prin SSH în raport cu gazdele (verificarea dacă accesul la o anumită resursă este permis sau nu atunci când se efectuează autentificarea utilizând chei publice).
Integrare cu OpenSSH este furnizat prin specificarea driverului HIBA în directiva AuthorizedPrincipalsCommand în / etc / ssh / sshd_config. Codul proiectului este scris în C și este distribuit sub licența BSD.
Despre HIBA
DEFECȚIE folosește mecanisme standard de autentificare bazate pe certificate OpenSSH pentru gestionarea flexibilă și centralizată a autorizației utilizatorului în raport cu gazdele, dar nu necesită modificări periodice la fișierele autorizate_chei și autorizate_utilizatori de pe partea gazdelor la care este conectat.
În loc să stochezi o listă de chei Condiții publice valide și de acces în fișierele autorizate (parole | utilizatori), HIBA integrează informațiile obligatorii ale gazdei direct în certificate. În special, au fost propuse extensii pentru certificatele de gazdă și certificatele de utilizator, care stochează parametrii gazdei și condițiile pentru acordarea accesului utilizatorului.
În timp ce OpenSSH oferă multe metode, de la o parolă simplă la utilizarea certificatelor, fiecare dintre ele prezintă provocări în sine.
Să începem prin a clarifica diferența dintre autentificare și autorizare. Primul este un mod de a arăta că sunteți entitatea pe care pretindeți că o fiți. Acest lucru se realizează de obicei prin furnizarea parolei secrete asociate contului dvs. sau prin semnarea unei provocări care arată că aveți cheia privată corespunzătoare unei chei publice. Autorizarea este o modalitate de a decide dacă o entitate are sau nu permisiunea de a accesa o resursă, aceasta se face de obicei după autentificare.
Verificarea din partea gazdei se începe prin apelarea driverului hiba-chk specificate în directiva AuthorizedPrincipalsCommand. Acest manipulator decodează extensiile încorporate în certificate și, pe baza lor, ia decizia de a acorda sau bloca accesul. Regulile de acces sunt definite central la nivelul autorității de certificare (CA) și sunt integrate în certificate în etapa de generare a acestora.
Din partea centrului de certificare, există o listă generală de permisiuni disponibile (gazde la care vă puteți conecta) și o listă de utilizatori care pot utiliza aceste permisiuni. Utilitarul hiba-gen a fost propus pentru a genera certificate cu informații de permisiune încorporate, iar funcționalitatea necesară pentru crearea unei autorități de certificare a fost mutată în scriptul hiba-ca.sh.
În timpul conectării utilizatorului, acreditările specificate în certificat sunt confirmate de semnătura digitală a autorității de certificare, care permite efectuarea completă a tuturor verificărilor pe partea gazdă de destinație la care se face conexiunea, fără a contacta servicii externe. Lista cheilor publice CA care certifică certificatele SSH este specificată de directiva TrustedUserCAKeys.
HIBA definește două extensii pentru certificatele SSH:
Identitatea HIBA, atașată certificatelor de gazdă, listează proprietățile care definesc această gazdă. Acestea vor fi utilizate ca criterii pentru acordarea accesului.
Grantul HIBA, atașat certificatelor de utilizator, enumeră restricțiile pe care trebuie să le îndeplinească o gazdă pentru a avea acces.
Pe lângă conectarea directă a utilizatorilor la gazde, HIBA vă permite să definiți reguli de acces mai flexibile. De exemplu, gazdele pot fi asociate cu informații cum ar fi locația și tipul de serviciu și, prin definirea regulilor de acces ale utilizatorilor, permit conexiuni la toate gazdele cu un anumit tip de serviciu sau la gazde la o anumită locație.
În cele din urmă dacă sunteți interesat să aflați mai multe despre asta despre notă, puteți verifica detaliile În următorul link.