米Googleは、OpenSSHの上位レイヤとなる「HIBA」を、9月20日(現地時間)に発表した。
HIBAは、OpenSSHを使用した認可における、パスワードを変更するか、認証キー/ユーザーを追加または削除して認可を更新するためには、ターゲットホストにアクセスする必要があるという問題の解決を目的に開発されており、ホストごとの認可を制御するための一元化されたポリシー、および高度な組み込みアプリケーションや緊急事態に適した密閉認可メカニズムを特長としている。
これらの特長は、OpenSSHと証明書インフラストラクチャによって実現されており、認可の決定はCAによって一元的に行われ、認可はCAによって署名された証明書拡張として保存される。また、TrustedUserCAKeys sshd構成オプションによってホストはCAを信頼し、ホストはAuthorizedPrincipalsCommand sshd構成オプションを介してHIBAに依存することで、証明書で提示された認可ポリシーを実施する。
SSHホスト証明書の拡張機能であるHIBA IDには、ホストを定義するプロパティが記載され、アクセスを許可するための基準として用いられる。また、HIBA許可には、アクセスを許可するためにホストが一致する必要のある制約がリストアップされている。
CA側では、HIBAポリシーにおいて一連の許可と、それらを要求できるユーザーのリストを定義しており、ユーザーは証明書にHIBA許可を添付するようCAに依頼することが可能になった。さらに、CAはポリシーに基づいて適格性を確認し、要求されたHIBA許可を追加した後に、証明書に署名する。
HIBA拡張スキームには柔軟性があり、IDで定義されている限り任意のタイプの制約を許可に割り当てることができる。
- 関連リンク
この記事は参考になりましたか?
- この記事の著者
-
CodeZine編集部(コードジンヘンシュウブ)
CodeZineは、株式会社翔泳社が運営するソフトウェア開発者向けのWebメディアです。「デベロッパーの成長と課題解決に貢献するメディア」をコンセプトに、現場で役立つ最新情報を日々お届けします。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
