CodeZine(コードジン)

特集ページ一覧

Google、OpenSSHのホストIDベース認可である「HIBA」を発表

  • LINEで送る
  • このエントリーをはてなブックマークに追加
2021/09/22 09:00

 米Googleは、OpenSSHの上位レイヤとなる「HIBA」を、9月20日(現地時間)に発表した。

 HIBAは、OpenSSHを使用した認可における、パスワードを変更するか、認証キー/ユーザーを追加または削除して認可を更新するためには、ターゲットホストにアクセスする必要があるという問題の解決を目的に開発されており、ホストごとの認可を制御するための一元化されたポリシー、および高度な組み込みアプリケーションや緊急事態に適した密閉認可メカニズムを特長としている。

 これらの特長は、OpenSSHと証明書インフラストラクチャによって実現されており、認可の決定はCAによって一元的に行われ、認可はCAによって署名された証明書拡張として保存される。また、TrustedUserCAKeys sshd構成オプションによってホストはCAを信頼し、ホストはAuthorizedPrincipalsCommand sshd構成オプションを介してHIBAに依存することで、証明書で提示された認可ポリシーを実施する。

 SSHホスト証明書の拡張機能であるHIBA IDには、ホストを定義するプロパティが記載され、アクセスを許可するための基準として用いられる。また、HIBA許可には、アクセスを許可するためにホストが一致する必要のある制約がリストアップされている。

 CA側では、HIBAポリシーにおいて一連の許可と、それらを要求できるユーザーのリストを定義しており、ユーザーは証明書にHIBA許可を添付するようCAに依頼することが可能になった。さらに、CAはポリシーに基づいて適格性を確認し、要求されたHIBA許可を追加した後に、証明書に署名する。

 HIBA拡張スキームには柔軟性があり、IDで定義されている限り任意のタイプの制約を許可に割り当てることができる。

関連リンク

  • LINEで送る
  • このエントリーをはてなブックマークに追加

あなたにオススメ

All contents copyright © 2005-2021 Shoeisha Co., Ltd. All rights reserved. ver.1.5