+38/050/370-3627
+38/093/220-0872
+38/044/257-2444
Новини

Google опублікував вихідні тексти проекту Host Identity Based Authorization

Google опублікував вихідний код проекту Авторизація на основі ідентифікації хоста

Компанія Google опублікувала вихідний код проекту HIBA (Host Identity Based Authorization) , в якому пропонується реалізація додаткового механізму авторизації для організації доступу користувачів через SSH в прив'язці до хостів (перевірка того, чи дозволений доступ до певного ресурсу чи ні при аутентифікації за допомогою відкритих ключів). Інтеграція з OpenSSH досягається шляхом вказівки обробника HIBA в директиві AuthorizedPrincipalsCommand в /etc/ssh/sshd_config. Код проекту пишеться на мові C і поширюється під ліцензією BSD.

HIBA використовує стандартні механізми аутентифікації на основі сертифікатів OpenSSH для гнучкого і централізованого управління авторизацією користувача в зв'язку з хостами, але не вимагає періодичної модифікації файлів authorized_keys і authorized_users на стороні хостів, до яких ви підключаєтеся. Замість того, щоб зберігати список дійсних відкритих ключів і умов доступу в файлах authorized_(keys|users, HIBA інтегрує інформацію про прив'язку користувачів до хостів безпосередньо в самі сертифікати. Зокрема, розширення пропонуються для хост-сертифікатів і сертифікатів користувачів, в яких зберігаються параметри хоста і умови надання доступу користувача.

Перевірка на стороні хоста ініціюється через дзвінок обробника hiba-chk, зазначеного в директиві Уповноваженого комісаріату. Цей обробник декодує розширення, інтегровані в сертифікати, і використовує їх для вирішення питання про надання або блокування доступу. Правила доступу визначаються централізовано на рівні CA і інтегруються в сертифікати на етапі генерації.

На стороні ЦС ведеться загальний список доступних дозволів (хости, до яких дозволено підключення) і список користувачів, яким дозволено використовувати ці дозволи. Для генерації сертифікованих сертифікатів з інтегрованою інформацією про дозволи пропонується утиліта hiba-gen, а функціонал, необхідний для створення центру сертифікації, включений в скрипт hiba-ca.sh .

Під час підключення користувача зазначений в сертифікаті орган підтверджується цифровим підписом ЦС, що дозволяє виконувати всі перевірки повністю на стороні цільового хоста, до якого здійснюється підключення, без звернення до зовнішніх служб. Список відкритих ключів ЦС, що засвідчує сертифікати SSH, уточнюється в директиві TrustedUserCAKeys.

На додаток до безпосередньої прив'язки користувачів до хостів, HIBA дозволяє визначити більш гнучкі правила доступу. Наприклад, така інформація, як місцезнаходження та тип служби, може бути пов'язана з хостами, а при визначенні правил доступу користувачів дозволяти підключення до всіх хостів із заданим типом послуг або до хостів у визначеному місці.

Інші новини

Найкраща ціна