Google は、HIBA (Host Identity Based Authorization) プロジェクトのソース コードを公開しました。このプロジェクトでは、ホストに接続された SSH 経由でユーザー アクセスを組織するための追加の認可メカニズム (認証時に特定のリソースへのアクセスが許可されているかどうかを確認する) の実装を提案しています。公開キーを使用します)。 OpenSSH との統合は、/etc/ssh/sshd_config の AuthorizedPrincipalsCommand ディレクティブで HIBA ハンドラーを指定することによって提供されます。プロジェクト コードは C で書かれており、BSD ライセンスに基づいて配布されます。
HIBA は、ホストに関するユーザー認証を柔軟かつ集中管理するために、OpenSSH 証明書に基づく標準認証メカニズムを使用しますが、接続が行われるホスト側のauthorized_keys ファイルとauthorized_users ファイルを定期的に変更する必要はありません。 HIBA は、有効な公開キーとアクセス条件のリストをauthorized_(keys|users) ファイルに保存する代わりに、ユーザーとホストのバインディングに関する情報を証明書自体に直接統合します。特に、ユーザーアクセスを許可するためのホストパラメータと条件を保存するホスト証明書とユーザー証明書の拡張が提案されています。
ホスト側でのチェックは、AuthorizedPrincipalsCommand ディレクティブで指定された hiba-chk ハンドラーを呼び出すことによって開始されます。このプロセッサは、証明書に統合された拡張機能をデコードし、それに基づいてアクセスを許可するかブロックするかを決定します。アクセス ルールは認証局 (CA) レベルで一元的に決定され、証明書の生成段階で証明書に統合されます。
認証センター側では、利用可能な権限の一般的なリスト (接続が許可されているホスト) と、これらの権限の使用を許可されているユーザーのリストが維持されます。資格情報に関する統合情報を含む認定証明書を生成するために、hiba-gen ユーティリティが提案されており、証明機関の作成に必要な機能が iba-ca.sh スクリプトに含まれています。
ユーザーが接続すると、証明書に指定された認証局が認証局のデジタル署名によって確認されます。これにより、外部サービスに頼ることなく、接続先のターゲット ホスト側ですべてのチェックを完全に実行できるようになります。 SSH 証明書を認証する認証局の公開鍵のリストは、TrustedUserCAKeys ディレクティブを通じて指定されます。
HIBA を使用すると、ユーザーをホストに直接リンクするだけでなく、より柔軟なアクセス ルールを定義できます。たとえば、場所やサービス タイプなどの情報をホストに関連付けることができ、ユーザー アクセス ルールを定義するときに、特定のサービス タイプを持つすべてのホスト、または指定した場所にあるホストへの接続を許可できます。
出所: オープンネット.ru