Google het die bronkode van die HIBA (Host Identity Based Authorization)-projek gepubliseer, wat die implementering van 'n bykomende magtigingsmeganisme voorstel vir die organisering van gebruikerstoegang via SSH in verband met gashere (kontroleer of toegang tot 'n spesifieke hulpbron toegelaat word of nie tydens stawing gebruik publieke sleutels). Integrasie met OpenSSH word verskaf deur die HIBA-hanteerder in die AuthorizedPrincipalsCommand-aanwysing in /etc/ssh/sshd_config te spesifiseer. Die projekkode is in C geskryf en onder die BSD-lisensie versprei.
HIBA gebruik standaard-verifikasiemeganismes gebaseer op OpenSSH-sertifikate vir buigsame en gesentraliseerde bestuur van gebruikersmagtiging met betrekking tot gashere, maar vereis nie periodieke veranderinge aan die gemagtigde_sleutels en gemagtigde_gebruikers-lêers aan die kant van die gashere waarmee die verbinding gemaak word nie. In plaas daarvan om 'n lys van geldige publieke sleutels en toegangsvoorwaardes in gemagtigde_(sleutels|gebruikers) lêers te stoor, integreer HIBA inligting oor gebruiker-gasheer-bindings direk in die sertifikate self. Veral uitbreidings is voorgestel vir gasheersertifikate en gebruikerssertifikate, wat gasheerparameters en voorwaardes stoor vir die verlening van gebruikerstoegang.
Kontrolering aan die gasheerkant word begin deur die hiba-chk-hanteerder te skakel wat in die AuthorizedPrincipalsCommand-aanwysing gespesifiseer word. Hierdie verwerker dekodeer uitbreidings wat in sertifikate geïntegreer is en neem op grond daarvan 'n besluit oor die toestaan of blokkering van toegang. Toegangsreëls word sentraal op die sertifiseringsowerheid (GR)-vlak bepaal en word geïntegreer in sertifikate op die stadium van hul generering.
Aan die kant van die sertifiseringsentrum word 'n algemene lys van beskikbare magte bygehou (gashere waaraan verbindings toegelaat word) en 'n lys van gebruikers wat toegelaat word om hierdie magte te gebruik. Om gesertifiseerde sertifikate met geïntegreerde inligting oor geloofsbriewe te genereer, word die hiba-gen-nutsmiddel voorgestel, en die funksionaliteit wat nodig is om 'n sertifiseringsowerheid te skep, is ingesluit in die iba-ca.sh-skrif.
Wanneer 'n gebruiker koppel, word die gesag wat in die sertifikaat gespesifiseer word, bevestig deur 'n digitale handtekening van die sertifiseringsowerheid, wat toelaat dat alle kontroles heeltemal uitgevoer word aan die kant van die teikengasheer waaraan die verbinding gemaak word, sonder om na eksterne dienste toe te vlug. Die lys publieke sleutels van die sertifiseringsowerheid wat SSH-sertifikate sertifiseer, word gespesifiseer deur die TrustedUserCAKeys-aanwysing.
Benewens om gebruikers direk aan gashere te koppel, laat HIBA jou toe om meer buigsame toegangsreëls te definieer. Byvoorbeeld, inligting soos ligging en dienstipe kan met gashere geassosieer word, en wanneer gebruikerstoegangsreëls gedefinieer word, kan verbindings toegelaat word aan alle gashere met 'n gegewe dienstipe of aan gashere op 'n gespesifiseerde plek.
Bron: opennet.ru