Pred pár dňami Google predstavený prostredníctvom blogového príspevku novinky z zverejnenie zdrojového kódu projektu HIBA (Host Identity Based Authorization), ktorá navrhuje implementáciu dodatočného autorizačného mechanizmu na organizáciu prístupu užívateľov prostredníctvom SSH vo vzťahu k hostiteľom (kontrola, či je alebo nie je povolený prístup k určitému zdroju pri vykonávaní autentifikácie pomocou verejných kľúčov).
Integrácia s OpenSSH je poskytovaný zadaním ovládača HIBA v smernici AuthorizedPrincipalsCommand v / etc / ssh / sshd_config. Kód projektu je napísaný v jazyku C a je distribuovaný pod licenciou BSD.
O spoločnosti HIBA
HIBA používa štandardné mechanizmy autentifikácie založené na certifikátoch OpenSSH pre flexibilnú a centralizovanú správu autorizácie používateľov vo vzťahu k hostiteľom, ale nevyžaduje pravidelné zmeny v súboroch authorized_keys a authorized_users na strane hostiteľov, ku ktorým je pripojený.
Namiesto ukladania zoznamu kľúčov Platné verejné a prístupové podmienky v autorizovaných súboroch (heslá | užívatelia), HIBA integruje informácie o väzbe hostiteľa priamo do samotných certifikátov. Boli navrhnuté najmä rozšírenia pre hostiteľské certifikáty a užívateľské certifikáty, ktoré uchovávajú parametre hostiteľa a podmienky udeľovania užívateľského prístupu.
Aj keď OpenSSH ponúka mnoho spôsobov, od jednoduchého hesla až po používanie certifikátov, každý z nich predstavuje problémy sám o sebe.
Začnime objasnením rozdielu medzi autentifikáciou a autorizáciou. Prvý je spôsob, ako ukázať, že ste entitou, za ktorú sa vydávate. To sa zvyčajne dosahuje poskytnutím tajného hesla priradeného k vášmu účtu alebo podpísaním výzvy, ktorá ukazuje, že máte súkromný kľúč zodpovedajúci verejnému kľúču. Autorizácia je spôsob rozhodovania o tom, či má entita povolenie na prístup k prostriedku, zvyčajne sa vykonáva po autentifikácii.
Overenie na strane hostiteľa sa spustí zavolaním ovládača hiba-chk uvedené v smernici AuthorizedPrincipalsCommand. Tento handler dekóduje rozšírenia zabudované do certifikátov a na ich základe sa rozhodne udeliť alebo zablokovať prístup. Prístupové pravidlá sú definované centrálne na úrovni certifikačnej autority (CA) a sú integrované do certifikátov vo fáze ich generovania.
Na strane certifikačného centra k dispozícii je všeobecný zoznam povolení (hostitelia, ku ktorým sa môžete pripojiť) a zoznam používateľov, ktorí môžu používať tieto povolenia. Obslužný program hiba-gen bol navrhnutý na generovanie certifikátov so vstavanými informáciami o povolení a funkcie potrebné na vytvorenie certifikačnej autority boli presunuté do skriptu hiba-ca.sh.
Počas používateľského pripojenia sú poverenia uvedené v certifikáte potvrdené digitálnym podpisom certifikačnej autority, ktorá umožňuje úplné vykonanie všetkých overení na strane cieľového hostiteľa ku ktorému sa nadväzuje spojenie, bez kontaktovania externých služieb. Zoznam verejných kľúčov CA, ktoré certifikujú certifikáty SSH, je určený smernicou TrustedUserCAKeys.
HIBA definuje dve rozšírenia pre certifikáty SSH:
Identita HIBA, pripojená k certifikátom hostiteľa, uvádza vlastnosti, ktoré definujú tohto hostiteľa. Budú použité ako kritériá na udelenie prístupu.
Grant HIBA, pripojený k certifikátom používateľa, uvádza obmedzenia, ktoré musí hostiteľ splniť, aby mu bol udelený prístup.
Okrem priameho prepojenia používateľov na hostiteľov, HIBA vám umožňuje definovať flexibilnejšie pravidlá prístupu. Hostitelia môžu byť napríklad asociovaní s informáciami, ako je poloha a typ služby, a definovaním pravidiel prístupu používateľov povoliť pripojenia ku všetkým hostiteľom s konkrétnym typom služby alebo k hostiteľom na konkrétnom mieste.
Konečne ak máte záujem dozvedieť sa o tom viac o poznámke môžete skontrolovať podrobnosti Na nasledujúcom odkaze.