نشرت Google الكود المصدري لمشروع HIBA (التفويض المستند إلى هوية المضيف)، والذي يقترح تنفيذ آلية ترخيص إضافية لتنظيم وصول المستخدم عبر SSH فيما يتعلق بالمضيفين (التحقق مما إذا كان الوصول إلى مورد معين مسموحًا به أم لا عند المصادقة باستخدام المفاتيح العامة). يتم توفير التكامل مع OpenSSH عن طريق تحديد معالج HIBA في توجيه AuthorizedPrincipalsCommand في /etc/ssh/sshd_config. كود المشروع مكتوب بلغة C ويتم توزيعه بموجب ترخيص BSD.
تستخدم HIBA آليات مصادقة قياسية تعتمد على شهادات OpenSSH لإدارة مرنة ومركزية لترخيص المستخدم فيما يتعلق بالمضيفين، ولكنها لا تتطلب إجراء تغييرات دورية على المفاتيح المعتمدة وملفات المستخدمين المعتمدين على جانب الأجهزة المضيفة التي يتم الاتصال بها. بدلاً من تخزين قائمة بالمفاتيح العامة الصالحة وشروط الوصول في ملفات_(المفاتيح|المستخدمين) المعتمدة، تقوم HIBA بدمج المعلومات حول روابط المستخدم والمضيف مباشرةً في الشهادات نفسها. على وجه الخصوص، تم اقتراح امتدادات لشهادات المضيف وشهادات المستخدم، والتي تخزن معلمات المضيف وشروط منح وصول المستخدم.
يتم بدء التحقق من جانب المضيف عن طريق استدعاء معالج hiba-chk المحدد في توجيه AuthorizedPrincipalsCommand. يقوم هذا المعالج بفك تشفير الامتدادات المدمجة في الشهادات، وبناءً عليها، يتخذ قرارًا بشأن منح الوصول أو حظره. يتم تحديد قواعد الوصول مركزيًا على مستوى المرجع المصدق (CA) ويتم دمجها في الشهادات في مرحلة إنشائها.
على جانب مركز الشهادات، يتم الاحتفاظ بقائمة عامة بالصلاحيات المتاحة (المضيفين المسموح لهم بالاتصالات) وقائمة المستخدمين المسموح لهم باستخدام هذه الصلاحيات. لإنشاء شهادات معتمدة تحتوي على معلومات متكاملة حول بيانات الاعتماد، يتم اقتراح الأداة المساعدة hiba-gen، ويتم تضمين الوظيفة اللازمة لإنشاء مرجع مصدق في البرنامج النصي iba-ca.sh.
عندما يتصل المستخدم، يتم تأكيد السلطة المحددة في الشهادة من خلال التوقيع الرقمي للمرجع المصدق، مما يسمح بإجراء جميع عمليات التحقق بالكامل على جانب المضيف المستهدف الذي تم الاتصال به، دون اللجوء إلى خدمات خارجية. يتم تحديد قائمة المفاتيح العامة للمرجع المصدق الذي يصدق شهادات SSH من خلال توجيه TrustedUserCAKeys.
بالإضافة إلى ربط المستخدمين بالمضيفين مباشرةً، تتيح لك HIBA تحديد قواعد وصول أكثر مرونة. على سبيل المثال، يمكن ربط معلومات مثل الموقع ونوع الخدمة بالمضيفين، وعند تحديد قواعد وصول المستخدم، يمكن السماح بالاتصالات لجميع المضيفين الذين لديهم نوع خدمة معين أو للمضيفين في موقع محدد.
المصدر: opennet.ru