Google выпустил исходный код HIBA, механизма авторизации личности для SSH.

Несколько дней назад Google представил через сообщение в блоге новости о выпуск исходного кода проекта HIBA (Host Identity Based Authorization), который предлагает реализацию дополнительного механизма авторизации для организации доступа пользователей через SSH по отношению к хостам (проверка, разрешен ли доступ к определенному ресурсу при выполнении аутентификации с использованием открытых ключей).

Интеграция с OpenSSH предоставляется путем указания драйвера HIBA в директиве AuthorizedPrincipalsCommand в / etc / ssh / sshd_config. Код проекта написан на C и распространяется под лицензией BSD.

О HIBA

ХИБА использует стандартные механизмы аутентификации на основе сертификатов OpenSSH для гибкого и централизованного управления авторизацией пользователей по отношению к хостам, но не требует периодических изменений в файлах authorized_keys и authorized_users на стороне хостов, к которым он подключен.

Вместо хранения списка ключей Действительные публичные условия и условия доступа в авторизованных файлах (пароли | пользователи), HIBA интегрирует информацию о привязке хоста непосредственно в сами сертификаты. В частности, были предложены расширения для сертификатов хоста и сертификатов пользователей, в которых хранятся параметры хоста и условия предоставления доступа пользователям.

Хотя OpenSSH предоставляет множество методов, от простого пароля до использования сертификатов, каждый из них сам по себе создает проблемы.

Начнем с выяснения разницы между аутентификацией и авторизацией. Первый - это способ показать, что вы являетесь той сущностью, которой вы себя называете. Обычно это достигается путем предоставления секретного пароля, связанного с вашей учетной записью, или путем подписания запроса, который показывает, что у вас есть закрытый ключ, соответствующий открытому ключу. Авторизация - это способ решить, есть ли у объекта разрешение на доступ к ресурсу, обычно это делается после аутентификации.

Проверка на стороне хоста начинается с вызова драйвера hiba-chk указанный в директиве AuthorizedPrincipalsCommand. Этот обработчик декодирует расширения, встроенные в сертификаты и на их основе принимает решение предоставить или заблокировать доступ. Правила доступа определяются централизованно на уровне центра сертификации (ЦС) и интегрируются в сертификаты на этапе их генерации.

На стороне центра сертификации есть общий список доступных разрешений (хосты, к которым вы можете подключиться) и список пользователей, которые могут использовать эти разрешения. Утилита hiba-gen была предложена для создания сертификатов со встроенной информацией о разрешениях, а функции, необходимые для создания центра сертификации, были перенесены в сценарий hiba-ca.sh.

При подключении пользователя учетные данные, указанные в сертификате, подтверждаются цифровой подписью центра сертификации, который позволяет полностью выполнять все проверки на стороне хоста назначения к которому осуществляется подключение, без обращения к сторонним службам. Список открытых ключей CA, которые удостоверяют сертификаты SSH, определяется директивой TrustedUserCAKeys.

HIBA определяет два расширения для сертификатов SSH:
Идентификатор HIBA, прикрепленный к сертификатам хоста, перечисляет свойства, которые определяют этот хост. Они будут использоваться в качестве критериев для предоставления доступа.
Грант HIBA, прилагаемый к пользовательским сертификатам, перечисляет ограничения, которым должен соответствовать хост, чтобы получить доступ.

Помимо прямой привязки пользователей к хостам, HIBA позволяет определять более гибкие правила доступа. Например, хосты могут быть связаны с такой информацией, как местоположение и тип сервиса, и, определяя правила доступа пользователей, разрешать соединения со всеми хостами с определенным типом сервиса или с хостами в определенном месте.

В конце концов если вам интересно узнать об этом больше о заметке, вы можете проверить детали По следующей ссылке.


Содержание статьи соответствует нашим принципам редакционная этика. Чтобы сообщить об ошибке, нажмите здесь.

Будьте первым, чтобы комментировать

Оставьте свой комментарий

Ваш электронный адрес не будет опубликован.

*

*

  1. Ответственный за данные: AB Internet Networks 2008 SL
  2. Назначение данных: контроль спама, управление комментариями.
  3. Легитимация: ваше согласие
  4. Передача данных: данные не будут переданы третьим лицам, кроме как по закону.
  5. Хранение данных: база данных, размещенная в Occentus Networks (ЕС)
  6. Права: в любое время вы можете ограничить, восстановить и удалить свою информацию.

bool (истина)