Пре неколико дана Гоогле представио путем поста на блогу вести о објављивање изворног кода ХИБА пројекта (Ауторизација заснована на идентитету хоста), која предлаже имплементацију додатног механизма овлашћења за организовање приступа корисника путем ССХ -а у односу на хостове (провера да ли је приступ одређеном ресурсу дозвољен приликом аутентификације помоћу јавних кључева).
Интеграција са ОпенССХ -ом се обезбеђује навођењем управљачког програма ХИБА у директиви АутхоризедПринципалсЦомманд у / етц / ссх / ссхд_цонфиг. Шифра пројекта написана је на језику Ц и дистрибуира се под БСД лиценцом.
О ХИБА -и
ХИБА користи стандардне механизме за аутентификацију засноване на ОпенССХ сертификатима за флексибилно и централизовано управљање ауторизацијом корисника у односу на хостове, али не захтева периодичне промене датотека овлашћених кључева и овлашћених корисника на страни хостова на које је повезана.
Уместо чувања листе кључева Важећи јавни и приступни услови у овлашћеним датотекама (лозинке | корисници), ХИБА интегрише обавезујуће информације о хосту директно у саме сертификате. Конкретно, проширења су предложена за сертификате хоста и корисничке сертификате, који чувају параметре и услове хоста за одобравање корисничког приступа.
Иако ОпенССХ нуди многе методе, од једноставне лозинке до употребе сертификата, свака од њих сама по себи представља изазов.
Почнимо са разјашњавањем разлике између аутентификације и ауторизације. Први је начин да покажете да сте ентитет за који тврдите да јесте. То се обично постиже давањем тајне лозинке повезане са вашим налогом или потписивањем изазова који показује да имате приватни кључ који одговара јавном кључу. Ауторизација је начин одлучивања да ли ентитет има дозволу за приступ ресурсу или не, обично се то ради након аутентификације.
Верификација на страни домаћина започиње позивањем управљачког програма хиба-цхк наведене у директиви АутхоризедПринципалсЦомманд. Овај руковалац декодира проширења уграђена у сертификате и на основу њих, доноси одлуку о одобравању или блокирању приступа. Правила приступа су централно дефинисана на нивоу сертификационог тела (ЦА) и интегрисана су у сертификате у фази њиховог генерисања.
На страни центра за сертификацију, постоји општа листа дозвола (хостови на које се можете повезати) и списак корисника који могу да користе ове дозволе. Предложено је да помоћни програм хиба-ген генерише сертификате са уграђеним информацијама о дозволама, а функционалност потребна за креирање овлашћења за сертификате премештена је у скрипту хиба-ца.сх.
Током корисничке везе акредитиви наведени у сертификату потврђују се дигиталним потписом сертификационог тела, које омогућава да се све верификације у потпуности изврше на одредишној страни домаћина на који се остварује веза, без контактирања спољних служби. Листа ЦА јавних кључева који сертификују ССХ сертификате наведена је у директиви ТрустедУсерЦАКеис.
ХИБА дефинише два проширења за ССХ сертификате:
ХИБА идентитет, придружен сертификатима хоста, наводи својства која дефинишу овај хост. Они ће се користити као критеријуми за одобравање приступа.
ХИБА грант, приложен корисничким сертификатима, наводи ограничења која хост мора да испуни да би му се одобрио приступ.
Поред директног повезивања корисника са хостовима, ХИБА вам омогућава да дефинишете флексибилнија правила приступа. На пример, хостови се могу повезати са информацијама као што су локација и врста услуге, а дефинисањем правила приступа корисника дозвољавају повезивање са свим хостовима са одређеном врстом услуге или са хостовима на одређеној локацији.
Коначно ако сте заинтересовани да сазнате више о томе о белешци можете проверити детаље У следећем линку.