Ilang araw na ang nakakalipas Inilantad ng Google sa pamamagitan ng isang blog post ang balita ng ang paglabas ng source code ng proyekto ng HIBA (Host Identity Batay sa Pahintulot), na nagmumungkahi ng pagpapatupad ng isang karagdagang mekanismo ng pagpapahintulot upang ayusin ang pag-access ng gumagamit sa pamamagitan ng SSH na may kaugnayan sa mga host (suriin kung pinapayagan o hindi ang pag-access sa isang tukoy na mapagkukunan kapag pinatutunayan ang paggamit ng mga pampublikong key).
Pagsasama sa OpenSSH ay ibinibigay sa pamamagitan ng pagtukoy sa driver ng HIBA sa direktiba ng Awtorisadong Mga Prinsipe sa / etc / ssh / sshd_config. Ang code ng proyekto ay nakasulat sa C at ipinamamahagi sa ilalim ng lisensya ng BSD.
Tungkol sa HIBA
HIBA gumagamit ng karaniwang mga mekanismo ng pagpapatotoo batay sa mga sertipiko ng OpenSSH para sa kakayahang umangkop at sentralisadong pamamahala ng pahintulot ng gumagamit na nauugnay sa mga host, ngunit hindi nangangailangan ng pana-panahong mga pagbabago sa mga awtorisadong_key at mga awtorisadong_users na file sa gilid ng mga host kung saan ito nakakonekta.
Sa halip na itago ang isang listahan ng mga susi Wastong pampubliko at mga kundisyon sa pag-access sa mga awtorisadong file (mga password | mga gumagamit), Isinasama ng HIBA ang host na nagbubuklod ng impormasyon nang direkta sa mga sertipiko mismo. Sa partikular, ang mga extension ay iminungkahi para sa mga host sertipiko at mga sertipiko ng gumagamit, na nag-iimbak ng mga parameter ng host at mga kundisyon para sa pagbibigay ng pag-access ng gumagamit.
Habang nagbibigay ang OpenSSH ng maraming pamamaraan, mula sa isang simpleng password hanggang sa paggamit ng mga sertipiko, ang bawat isa sa kanila ay nagpapakita ng mga hamon sa sarili nitong.
Magsimula tayo sa pamamagitan ng paglilinaw ng pagkakaiba sa pagitan ng pagpapatotoo at pagpapahintulot. Ang una ay isang paraan ng pagpapakita na ikaw ang nilalang na inaangkin mong maging. Karaniwan itong nagagawa sa pamamagitan ng pagbibigay ng lihim na password na nauugnay sa iyong account o sa pamamagitan ng pag-sign ng isang hamon na nagpapakita na mayroon kang pribadong key na naaayon sa isang pampublikong key. Ang pahintulot ay isang paraan ng pagpapasya kung ang isang entity ay may pahintulot na mag-access sa isang mapagkukunan, karaniwang ginagawa pagkatapos maganap ang pagpapatotoo.
Ang pag-verify sa host-side ay nagsimula sa pamamagitan ng pagtawag sa hiba-chk driver tinukoy sa direktang Awtorisadong Mga Prinsipyo. Ang handler na ito nai-decode ang mga extension na itinayo sa mga sertipiko at, batay sa kanila, nagpapasya na magbigay o hadlangan ang pag-access. Ang mga patakaran sa pag-access ay tinukoy sa gitna sa antas ng awtoridad ng sertipikasyon (CA) at isinama sa mga sertipiko sa yugto ng kanilang henerasyon.
Sa panig ng sentro ng sertipikasyon, mayroong isang pangkalahatang listahan ng mga pahintulot na magagamit (mga host na maaari mong kumonekta) at isang listahan ng mga gumagamit na maaaring gumamit ng mga pahintulot na ito. Iminungkahi ang utility ng hiba-gen upang makabuo ng mga sertipiko na may built-in na impormasyon sa pahintulot, at ang pagpapaandar na kinakailangan upang lumikha ng isang awtoridad sa sertipiko ay inilipat sa script ng hiba-ca.sh.
Sa panahon ng koneksyon ng gumagamit, ang mga kredensyal na tinukoy sa sertipiko ay nakumpirma ng digital na lagda ng awtoridad sa sertipikasyon, na Pinapayagan ang lahat ng mga pag-verify na ganap na maisagawa sa patutunguhan na host side kung saan ang koneksyon ay ginawa, nang hindi nakikipag-ugnay sa mga panlabas na serbisyo. Ang listahan ng mga pampublikong key ng CA na nagpapatunay sa mga sertipiko ng SSH ay tinukoy ng direktiba ng TrustedUserCAKeys.
Tinukoy ng HIBA ang dalawang mga extension para sa mga sertipiko ng SSH:
Ang pagkakakilanlan ng HIBA, na nakakabit sa mga sertipiko ng host, ay naglilista ng mga katangian na tumutukoy sa host na ito. Gagamitin ang mga ito bilang pamantayan upang magbigay ng access.
Ang HIBA na bigay, na nakakabit sa mga sertipiko ng gumagamit, ay naglilista ng mga paghihigpit na dapat matugunan ng isang host upang mabigyan siya ng pag-access.
Bilang karagdagan sa direktang pag-link ng mga gumagamit sa mga host, Pinapayagan ka ng HIBA na tukuyin ang mas maraming kakayahang umangkop na mga panuntunan sa pag-access. Halimbawa, ang mga host ay maaaring maiugnay sa impormasyon tulad ng lokasyon at uri ng serbisyo, at sa pamamagitan ng pagtukoy sa mga panuntunan sa pag-access ng gumagamit, payagan ang mga koneksyon sa lahat ng mga host na may isang partikular na uri ng serbisyo o sa mga host sa isang tukoy na lokasyon.
Sa wakas kung interesado kang malaman ang tungkol dito tungkol sa tala, maaari mong suriin ang mga detalye Sa sumusunod na link.