גוגל פרסמה את HIBA, תוסף OpenSSH לאימות מבוסס תעודות

גוגל פרסמה את קוד המקור של פרויקט HIBA (Host Identity Based Authorization), המציע יישום של מנגנון הרשאה נוסף לארגון גישת משתמשים באמצעות SSH בקשר עם מארחים (בדיקה אם מותרת גישה למשאב ספציפי או לא בעת האימות באמצעות מפתחות ציבוריים). אינטגרציה עם OpenSSH מסופקת על ידי ציון המטפל ב-HIBA בהנחיית AuthorizedPrincipalsCommand ב-/etc/ssh/sshd_config. קוד הפרויקט כתוב ב-C ומופץ תחת רישיון BSD.

HIBA משתמשת במנגנוני אימות סטנדרטיים המבוססים על תעודות OpenSSH לניהול גמיש ומרוכז של הרשאות משתמשים ביחס למארחים, אך אינה מצריכה שינויים תקופתיים בקבצי Authorized_keys ו- Authorized_users בצד המארחים אליהם מתבצע החיבור. במקום לאחסן רשימה של מפתחות ציבוריים חוקיים ותנאי גישה בקבצים מורשים_(מפתחות|משתמשים), HIBA משלבת מידע על כריכות משתמש-מארח ישירות באישורים עצמם. בפרט, הוצעו הרחבות לתעודות מארח ותעודות משתמש, המאחסנות פרמטרים מארח ותנאים להענקת גישה למשתמש.

בדיקה בצד המארח מתחילה על ידי קריאה למטפל hiba-chk שצוין בהנחיית AuthorizedPrincipalsCommand. מעבד זה מפענח הרחבות המשולבות בתעודות ומקבל החלטה לגבי הענקת או חסימת גישה, בהתבסס עליהן. כללי הגישה נקבעים באופן מרכזי ברמת רשות האישורים (CA) ומשולבים בתעודות בשלב הפקתם.

בצד מרכז ההסמכה מתקיימת רשימה כללית של סמכויות זמינות (מארחים שאליהם מותרים חיבורים) ורשימת משתמשים המורשים להשתמש בסמכויות אלו. כדי להפיק אישורים מאושרים עם מידע משולב על אישורים, מוצע כלי השירות hiba-gen, והפונקציונליות הדרושה ליצירת רשות אישור כלולה בסקריפט iba-ca.sh.

כאשר משתמש מתחבר, הסמכות המצוינת בתעודה מאושרת בחתימה דיגיטלית של רשות האישורים, המאפשרת לבצע את כל הבדיקות במלואן בצד מארח היעד שאליו מתבצע החיבור, ללא פנייה לשירותים חיצוניים. רשימת המפתחות הציבוריים של רשות האישורים המאשרת תעודות SSH מצוינת באמצעות הוראת TrustedUserCAKeys.

בנוסף לקישור ישיר של משתמשים למארחים, HIBA מאפשר לך להגדיר כללי גישה גמישים יותר. לדוגמה, מידע כגון מיקום וסוג שירות יכול להיות משויך למארחים, וכאשר מגדירים כללי גישה למשתמש, ניתן לאפשר חיבורים לכל המארחים עם סוג שירות נתון או למארחים במיקום מוגדר.

מקור: OpenNet.ru