Vài ngày trước Google ra mắt thông qua một bài đăng blog, tin tức về phát hành mã nguồn của dự án HIBA (Ủy quyền dựa trên nhận dạng máy chủ), đề xuất triển khai cơ chế ủy quyền bổ sung để tổ chức quyền truy cập của người dùng thông qua SSH liên quan đến máy chủ (kiểm tra xem có được phép truy cập vào một tài nguyên cụ thể hay không khi thực hiện xác thực bằng khóa công khai).
Tích hợp với OpenSSH được cung cấp bằng cách chỉ định trình điều khiển HIBA trong chỉ thị AuthorizedPrincipalsCommand trong / etc / ssh / sshd_config. Mã dự án được viết bằng C và được phân phối theo giấy phép BSD.
Về HIBA
HIBA sử dụng cơ chế xác thực tiêu chuẩn dựa trên chứng chỉ OpenSSH để quản lý tập trung và linh hoạt ủy quyền của người dùng liên quan đến máy chủ, nhưng không yêu cầu thay đổi định kỳ đối với các tệp ủy quyền và người dùng được ủy quyền ở phía máy chủ mà nó được kết nối.
Thay vì lưu trữ một danh sách các khóa Điều kiện truy cập và công khai hợp lệ trong các tệp được ủy quyền (mật khẩu | người dùng), HIBA tích hợp thông tin ràng buộc máy chủ trực tiếp vào chính các chứng chỉ. Đặc biệt, các tiện ích mở rộng đã được đề xuất cho các chứng chỉ máy chủ và chứng chỉ người dùng, chúng lưu trữ các thông số máy chủ và các điều kiện để cấp quyền truy cập của người dùng.
Trong khi OpenSSH cung cấp nhiều phương pháp, từ mật khẩu đơn giản đến việc sử dụng chứng chỉ, mỗi phương pháp đều có những thách thức theo đúng nghĩa của nó.
Hãy bắt đầu bằng cách làm rõ sự khác biệt giữa xác thực và ủy quyền. Đầu tiên là một cách thể hiện rằng bạn là thực thể mà bạn tuyên bố là. Điều này thường được thực hiện bằng cách cung cấp mật khẩu bí mật được liên kết với tài khoản của bạn hoặc bằng cách ký một thử thách cho thấy rằng bạn có khóa cá nhân tương ứng với khóa công khai. Ủy quyền là một cách quyết định xem một thực thể có quyền truy cập vào tài nguyên hay không, nó thường được thực hiện sau khi xác thực xảy ra.
Quá trình xác minh phía máy chủ được bắt đầu bằng cách gọi trình điều khiển hiba-chk được chỉ định trong chỉ thị AuthorizedPrincipalsCommand. Người xử lý này giải mã các tiện ích mở rộng được tích hợp trong chứng chỉ và dựa trên chúng, đưa ra quyết định cấp hoặc chặn quyền truy cập. Các quy tắc truy cập được xác định tập trung ở cấp của tổ chức cấp chứng chỉ (CA) và được tích hợp vào các chứng chỉ ở giai đoạn tạo ra chúng.
Về phía trung tâm chứng nhận, có một danh sách chung các quyền có sẵn (máy chủ bạn có thể kết nối) và danh sách người dùng có thể sử dụng các quyền này. Tiện ích hiba-gen đã được đề xuất để tạo chứng chỉ với thông tin quyền được tích hợp sẵn và chức năng cần thiết để tạo cơ quan cấp chứng chỉ đã được chuyển sang tập lệnh hiba-ca.sh.
Trong quá trình kết nối người dùng, thông tin xác thực được chỉ định trong chứng chỉ được xác nhận bằng chữ ký số của tổ chức phát hành chứng chỉ, cho phép tất cả các xác minh được thực hiện đầy đủ ở phía máy chủ đích mà kết nối được thực hiện mà không cần liên hệ với các dịch vụ bên ngoài. Danh sách các khóa công khai CA xác nhận chứng chỉ SSH được chỉ thị TrustedUserCAKeys chỉ định.
HIBA xác định hai phần mở rộng cho chứng chỉ SSH:
Danh tính HIBA, được đính kèm với chứng chỉ máy chủ, liệt kê các thuộc tính xác định máy chủ này. Chúng sẽ được sử dụng làm tiêu chí để cấp quyền truy cập.
Quyền HIBA, được đính kèm với chứng chỉ người dùng, liệt kê các hạn chế mà máy chủ lưu trữ phải đáp ứng để được cấp quyền truy cập.
Ngoài việc liên kết trực tiếp người dùng với máy chủ, HIBA cho phép bạn xác định các quy tắc truy cập linh hoạt hơn. Ví dụ: máy chủ có thể được liên kết với thông tin như vị trí và loại dịch vụ và bằng cách xác định quy tắc truy cập của người dùng, cho phép kết nối với tất cả máy chủ với một loại dịch vụ cụ thể hoặc đến máy chủ tại một vị trí cụ thể.
Cuối cùng nếu bạn muốn biết thêm về nó về ghi chú, bạn có thể kiểm tra chi tiết Trong liên kết sau đây.