کلاوډ فلیر د opkssh (OpenPubkey SSH) اوزار کټ معرفي کړی، کوم چې د OpenSSH سره د مرکزي تصدیق کولو وسیلو ادغام ته اجازه ورکوي چې د OpenID Connect چمتو کونکو له لارې د ننوتلو وړتیا ولري. د opkssh سره تاسو کولی شئ د SSH کیلي اداره کولو او تنظیم کولو لاسي کار له منځه یوسئ، او همدارنګه د هر کوربه څخه سرور ته اړیکه تنظیم کړئ، پرته له دې چې په هر مراجع کمپیوټر کې شخصي کیلي رامینځته کړئ او پرته له دې چې په لاسي ډول سرور ته عامه کیلي کاپي کړئ. د نښلولو لپاره، په ساده ډول په سرور کې د OpenID چمتو کونکي سره خپل حساب سره اړیکه ونیسئ. د اوزار کټ کوډ په ګو ژبه لیکل شوی او د اپاچي ۲.۰ جواز لاندې ویشل شوی دی.
Opkssh د ګوګل، مایکروسافټ/ازور او ګیټ لاب اوپن ایډ چمتو کونکو سره مطابقت لري، تاسو ته اجازه درکوي چې د خپلو موجوده gmail.com، microsoft.com او gitlab.com حسابونو په کارولو سره ننوتل تنظیم کړئ. کله چې opkssh کاروئ، د وخت محدود SSH کیلي پرځای، لنډمهاله کیلي تولید کیږي چې د څو ساعتونو لپاره اعتبار لري او د OpenID چمتو کونکي لخوا تایید پراساس دي. د ختمیدو وروسته د داسې کیليو لیکیدل امنیتي ګواښ نه رامنځته کوي. په ډیفالټ ډول، کیلي د 24 ساعتونو لپاره اعتبار لري، له هغې وروسته تاسو باید د OpenID له لارې ځان بیا وپیژنئ.
د OpenSSH سره یوځای کول د SSH پروتوکول توسیعونو رامینځته کولو وړتیا پراساس دي چې د SSH سندونو سره د خپل سري معلوماتو ضمیمه کولو ته اجازه ورکوي. د OpenID له لارې د تصدیق وروسته، مراجع یو عامه کیلي تولیدوي چې د PK نښه لري چې دا تاییدوي چې کیلي د اعلان شوي کارونکي پورې اړه لري. دا نښه د SSH سند د اضافي معلوماتو ساحې له لارې د SSH پروتوکول سره مدغم شوې ده. د PK ټوکنونو جوړول او د سرور اړخ کې د دوی تایید د OpenPubKey کریپټوګرافیک پروتوکول په کارولو سره ترسره کیږي.
OpenPubKey تاسو ته اجازه درکوي چې عامه کیلي تولید کړئ او د OpenID چمتو کونکي لخوا صادر شوي نښه سره یې وتړئ. د ډیجیټل لاسلیک له لارې، چمتو کونکی تاییدوي چې دا کیلي د اعلان شوي تصدیق شوي کارونکي لخوا رامینځته شوې. د مثال په توګه، د ګوګل د OpenID چمتو کونکی کولی شي تایید کړي چې کارونکی د test@gmail.com په توګه تصدیق شوی. د سرور په اړخ کې، یو چیک ترسره کیږي ترڅو وګوري چې ایا ضمیمه شوی نښه د OpenID چمتو کونکي لخوا لاسلیک شوی او ایا ډیجیټل لاسلیک د اعلان شوي عامه کیلي سره سمون لري، د بیلګې په توګه سرور کولی شي تایید کړي چې دا کارونکی test@gmail.com و چې د وصل شوي SSH مراجع لپاره عامه کیلي یې رامینځته کړې.
د OpenSSH سره یوځای کول د "AuthorizedKeysCommand" لارښود له لارې د ترتیب فایل "sshd_config" کې د opkssh پروګرام مشخص کولو سره تنظیم کیږي (د مثال په توګه: "AuthorizedKeysCommand /usr/local/bin/opkssh verify %u %k %t"). د OpenID سره د حساب لینک تنظیم کول د SSH سرور اړخ کې ترسره کیږي. د SSH مراجعینو په اړخ کې، هیڅ ترتیبات بدلولو ته اړتیا نشته، مګر د ننوتلو دمخه، تاسو اړتیا لرئ چې د "opkssh login" کمانډ چل کړئ او د براوزر کړکۍ کې چې ښکاري، د OpenID چمتو کونکی غوره کړئ او د هغې له لارې تصدیق کړئ.
د opkssh یوټیلټي به د SSH کیلي تولید کړي او د PK نښه ترلاسه کړي، کوم چې دا تاییدوي چې کارونکی تصدیق شوی او دا تاییدوي چې تولید شوي کیلي د بیان شوي کارونکي پورې اړه لري. عامه SSH کیلي، د اضافي معلوماتو ساحې له لارې د PK نښه سره ضمیمه، به د ~/.ssh/id_ecdsas فایل ته ولیکل شي او د نښلولو پرمهال به لیږدول پیل کړي. سرور د ssh اسانتیا.
سرور سره اړیکه د معیاري SSH سکیم "ssh login@server" په کارولو سره ترسره کیږي، پداسې حال کې چې فعال وي سرور ننوتل باید لومړی د کارونکي د OpenID حساب سره وپیژندل شي. په دې توګه، پروسه د SSH مراجع پورې اړه لري چې عامه کیلي SSH سرور ته لیږي، او سرور د کیلي تصدیق کولو لپاره "opkssh verify" قومانده چلوي.
د یو حساب د OpenID سره د نښلولو لپاره، د سرور مدیر د "opkssh add" قومانده اجرا کوي. د مثال په توګه، د Gmail کې د test@gmail.com حساب له لارې د OpenID تصدیق سره د کارونکي "root" لاندې سرور ته د ننوتلو اجازه ورکولو لپاره، تاسو باید "sudo opkssh add root test@gmail.com google" اجرا کړئ، چې وروسته به مراجع وکولی شي د "ssh root@server_host" قوماندې په کارولو سره د دې حساب د پیرامیټرو لاندې وصل شي.
د حساب تړل هم په لاسي ډول د /etc/opk/auth_id (یا ~/.opk/auth_id) ترتیب فایل له لارې ترسره کیدی شي، کوم چې د پورته مثال لپاره به د "root test@gmail.com https://accounts.google.com" کرښه ولري. سربیره پردې، د /etc/opk/providers فایل له لارې، تاسو کولی شئ د اعتبار وړ OpenID چمتو کونکو لیست، د دوی پیرامیټرې، او د اجازه ورکړل شوي مراجعینو پیژندونکو لیست تعریف کړئ.
سرچینه: opennet.ru
