Pak ditë më parë Google zbuloi përmes një postimi në blog lajmet e publikimi i kodit burimor të projektit HIBA (Autorizimi i Bazuar në Identitetin e Pritësit), i cili propozon zbatimin e një mekanizmi shtesë të autorizimit për të organizuar aksesin e përdoruesit përmes SSH në lidhje me hostet (kontrollimi nëse lejohet apo jo qasja në një burim specifik kur vërtetohet duke përdorur çelësat publikë).
Integrimi me OpenSSH sigurohet duke specifikuar drejtuesin HIBA në direktivën e AutorizuarPrecipalsCommand në / etc / ssh / sshd_config. Kodi i projektit është shkruar në C dhe shpërndahet nën licencën BSD.
Rreth HIBA
HIBA përdor mekanizma standarde të vërtetimit bazuar në certifikatat OpenSSH për menaxhimin fleksibël dhe të centralizuar të autorizimit të përdoruesit në lidhje me hostet, por nuk kërkon ndryshime periodike në skedarët e autorizuar të çelësave dhe përdoruesve të autorizuar nga ana e hosteve me të cilët është lidhur.
Në vend që të ruani një listë çelësash Kushtet e vlefshme publike dhe aksesi në skedarët e autorizuar (fjalëkalimet | përdoruesit), HIBA integron informacionin detyrues të hostit direkt në vetë certifikatat. Në veçanti, janë propozuar shtesa për certifikatat e hostit dhe certifikatat e përdoruesit, të cilat ruajnë parametrat dhe kushtet e hostit për dhënien e aksesit të përdoruesit.
Ndërsa OpenSSH ofron shumë metoda, nga një fjalëkalim i thjeshtë deri te përdorimi i certifikatave, secila prej tyre paraqet sfida më vete.
Le të fillojmë duke sqaruar ndryshimin midis vërtetimit dhe autorizimit. E para është një mënyrë për të treguar se jeni entiteti që pretendoni të jeni. Kjo zakonisht arrihet duke siguruar fjalëkalimin e fshehtë të lidhur me llogarinë tuaj ose duke nënshkruar një sfidë që tregon se keni çelësin privat që korrespondon me një çelës publik. Autorizimi është një mënyrë për të vendosur nëse një njësi ekonomike ka apo jo leje për të hyrë në një burim, zakonisht bëhet pasi të ndodhë vërtetimi.
Verifikimi nga ana e hostit fillon duke thirrur shoferin hiba-chk të specifikuara në direktivën AutorizuarPrincipalsCommand. Ky mbajtës deshifron shtesat e integruara në certifikata dhe, bazuar në to, merr vendimin për dhënien ose bllokimin e aksesit. Rregullat e aksesit përcaktohen në mënyrë qendrore në nivelin e autoritetit të certifikimit (CA) dhe integrohen në certifikatat në fazën e krijimit të tyre.
Nga ana e qendrës së certifikimit, ekziston një listë e përgjithshme e lejeve në dispozicion (hostet me të cilët mund të lidheni) dhe një listë përdoruesish që mund t'i përdorin këto leje. Shërbimi hiba-gen është propozuar për të gjeneruar certifikata me informacion të lejuar të integruar, dhe funksionaliteti i kërkuar për të krijuar një autoritet certifikate është zhvendosur në shkrimin hiba-ca.sh.
Gjatë lidhjes së përdoruesit, kredencialet e specifikuara në certifikatë konfirmohen nga nënshkrimi dixhital i autoritetit të certifikatës, i cili lejon që të gjitha verifikimet të kryhen plotësisht në anën e hostit të destinacionit me të cilat bëhet lidhja, pa kontaktuar shërbimet e jashtme. Lista e çelësave publik CA që vërtetojnë certifikatat SSH përcaktohet nga direktiva TrustedUserCAKeys.
HIBA përcakton dy shtesa për certifikatat SSH:
Identiteti HIBA, i bashkangjitur certifikatave të hostit, liston vetitë që përcaktojnë këtë host. Ato do të përdoren si kritere për të dhënë qasje.
Granti HIBA, i bashkangjitur certifikatave të përdoruesve, rendit kufizimet që një host duhet të përmbushë në mënyrë që t'i jepet qasja.
Përveç lidhjes direkte të përdoruesve me hostet, HIBA ju lejon të përcaktoni rregulla më fleksibile të aksesitMe Për shembull, hostet mund të shoqërohen me informacione të tilla si vendndodhja dhe lloji i shërbimit, dhe duke përcaktuar rregullat e aksesit të përdoruesit, lejojnë lidhjet me të gjithë hostët me një lloj shërbimi të veçantë ose me hostët në një vend të caktuar.
Më në fund nëse jeni të interesuar të dini më shumë për të në lidhje me shënimin, mund të kontrolloni detajet Në lidhjen vijuese.