返回首页
最新
prmana 用短期有效的 OIDC 令牌替代了静态 SSH 密钥,这些令牌通过 PAM 在主机上进行验证。与其他 OIDC-for-SSH 方法不同的是,prmana 使用了 DPoP(RFC 9449)——每次认证都包含一个加密证明,证明令牌持有者拥有私钥。被盗的令牌无法被重放。
该系统由三个组件组成:一个 PAM 模块(pam_prmana.so)、一个客户端代理(prmana-agent)和一个共享的 OIDC/JWKS 库(prmana-core)。所有组件均使用 Rust 编写。
DPoP 密钥可以是软件密钥、YubiKey(PKCS#11)或 TPM 2.0。没有网关,没有 SSH CA,也不需要对 sshd 进行补丁。使用标准的 SSH 客户端和标准的 sshd,PAM 在两者之间进行连接。
该系统已在 Keycloak、Auth0、Google 和 Entra ID 上进行了测试。
名称来源于梵语——pramana(प्रमाण)意为“证明”。