Google hostlarla bağlı SSH vasitəsilə istifadəçi girişinin təşkili üçün əlavə avtorizasiya mexanizminin həyata keçirilməsini təklif edən HIBA (Host Identity Based Authorization) layihəsinin mənbə kodunu dərc edib (autentifikasiya zamanı konkret resursa girişə icazə verilib-verilmədiyini yoxlamaq). açıq açarlardan istifadə etməklə). OpenSSH ilə inteqrasiya /etc/ssh/sshd_config-də AuthorizedPrincipalsCommand direktivində HIBA işləyicisini təyin etməklə təmin edilir. Layihə kodu C dilində yazılmışdır və BSD lisenziyası altında paylanmışdır.
HIBA hostlara münasibətdə istifadəçi avtorizasiyasının çevik və mərkəzləşdirilmiş idarə edilməsi üçün OpenSSH sertifikatlarına əsaslanan standart autentifikasiya mexanizmlərindən istifadə edir, lakin əlaqənin qurulduğu hostların tərəfində avtorizasiya_açarları və səlahiyyətli_istifadəçilər fayllarında vaxtaşırı dəyişikliklər tələb etmir. Etibarlı açıq açarların siyahısını və giriş şərtlərini səlahiyyətli_(açarlar|istifadəçilər) fayllarında saxlamaq əvəzinə, HIBA istifadəçi-host bağlamaları haqqında məlumatları birbaşa sertifikatların özlərinə inteqrasiya edir. Xüsusilə, host sertifikatları və istifadəçi sertifikatları üçün host parametrlərini və istifadəçi girişinin verilməsi şərtlərini saxlayan genişləndirmələr təklif edilmişdir.
Host tərəfində yoxlama AuthorizedPrincipalsCommand direktivində göstərilən hiba-chk işləyicisinə zəng etməklə başlanır. Bu prosessor sertifikatlara inteqrasiya olunmuş genişlənmələri deşifrə edir və onların əsasında girişin verilməsi və ya bloklanması barədə qərar qəbul edir. Giriş qaydaları sertifikatlaşdırma orqanı (CA) səviyyəsində mərkəzləşdirilmiş şəkildə müəyyən edilir və onların yaradılması mərhələsində sertifikatlara inteqrasiya olunur.
Sertifikatlaşdırma mərkəzinin tərəfində mövcud səlahiyyətlərin ümumi siyahısı (əlaqələrə icazə verilən hostlar) və bu səlahiyyətlərdən istifadə etməyə icazə verilən istifadəçilərin siyahısı saxlanılır. Etibarnamələr haqqında inteqrasiya olunmuş məlumatlarla sertifikatlaşdırılmış sertifikatlar yaratmaq üçün hiba-gen yardım proqramı təklif olunur və sertifikatlaşdırma orqanı yaratmaq üçün lazım olan funksionallıq iba-ca.sh skriptinə daxil edilir.
İstifadəçi qoşulduqda, sertifikatda göstərilən səlahiyyət sertifikatlaşdırma orqanının rəqəmsal imzası ilə təsdiqlənir ki, bu da bütün yoxlamaları kənar xidmətlərə müraciət etmədən əlaqənin həyata keçirildiyi hədəf host tərəfində tamamilə həyata keçirməyə imkan verir. SSH sertifikatlarını təsdiq edən sertifikatlaşdırma orqanının açıq açarlarının siyahısı TrustedUserCAKeys direktivi vasitəsilə müəyyən edilir.
İstifadəçiləri hostlarla birbaşa əlaqələndirməklə yanaşı, HIBA daha çevik giriş qaydalarını müəyyən etməyə imkan verir. Məsələn, yer və xidmət növü kimi məlumatlar hostlarla əlaqələndirilə bilər və istifadəçi giriş qaydalarını müəyyən edərkən, müəyyən bir xidmət növü olan bütün hostlara və ya müəyyən bir yerdəki hostlara qoşulmalara icazə verilə bilər.
Mənbə: opennet.ru