Google은 인증서 기반 인증을 위한 OpenSSH 추가 기능인 HIBA를 게시했습니다.

Google은 호스트와 연결되어 SSH를 통해 사용자 액세스를 구성하기 위한 추가 인증 메커니즘의 구현을 제안하는 HIBA(Host Identity Based Authorization) 프로젝트의 소스 코드를 공개했습니다(인증 시 특정 리소스에 대한 액세스 허용 여부 확인). 공개 키 사용). OpenSSH와의 통합은 /etc/ssh/sshd_config의 AuthorizedPrincipalsCommand 지시문에 HIBA 핸들러를 지정하여 제공됩니다. 프로젝트 코드는 C로 작성되었으며 BSD 라이센스에 따라 배포됩니다.

HIBA는 호스트와 관련된 사용자 인증을 유연하고 중앙 집중적으로 관리하기 위해 OpenSSH 인증서를 기반으로 하는 표준 인증 메커니즘을 사용하지만, 연결이 이루어지는 호스트 측의 Authorized_keys 및 Authorized_users 파일을 주기적으로 변경할 필요가 없습니다. Authorized_(keys|users) 파일에 유효한 공개 키 및 액세스 조건 목록을 저장하는 대신 HIBA는 사용자-호스트 바인딩에 대한 정보를 인증서 자체에 직접 통합합니다. 특히 사용자 액세스 권한을 부여하기 위한 호스트 매개변수와 조건을 저장하는 호스트 인증서와 사용자 인증서에 대한 확장이 제안되었습니다.

호스트 측 검사는 AuthorizedPrincipalsCommand 지시문에 지정된 hiba-chk 처리기를 호출하여 시작됩니다. 이 프로세서는 인증서에 통합된 확장을 디코딩하고 이를 기반으로 액세스 허용 또는 차단을 결정합니다. 액세스 규칙은 CA(인증 기관) 수준에서 중앙적으로 결정되며 생성 단계에서 인증서에 통합됩니다.

인증 센터 측면에는 사용 가능한 권한의 일반 목록(연결이 허용되는 호스트)과 이러한 권한을 사용하도록 허용된 사용자 목록이 유지 관리됩니다. 자격 증명에 대한 통합 정보가 포함된 인증된 인증서를 생성하기 위해 hiba-gen 유틸리티가 제안되고, 인증 기관을 생성하는 데 필요한 기능이 iba-ca.sh 스크립트에 포함되어 있습니다.

사용자가 연결하면 인증서에 지정된 권한이 인증 기관의 디지털 서명으로 확인됩니다. 이를 통해 외부 서비스에 의존하지 않고 연결이 이루어진 대상 호스트 측에서 모든 검사가 전적으로 수행될 수 있습니다. SSH 인증서를 인증하는 인증 기관의 공개 키 목록은 TrustedUserCAKeys 지시어를 통해 지정됩니다.

사용자를 호스트에 직접 연결하는 것 외에도 HIBA를 사용하면 보다 유연한 액세스 규칙을 정의할 수 있습니다. 예를 들어, 위치, 서비스 유형 등의 정보를 호스트와 연관시킬 수 있으며, 사용자 접근 규칙을 정의할 때 특정 서비스 유형을 가진 모든 호스트에 연결을 허용하거나 특정 위치에 있는 호스트에 연결을 허용할 수 있습니다.

출처 : opennet.ru