Google публикува изходния код на проекта HIBA (Host Identity Based Authorization), който предлага прилагането на допълнителен механизъм за оторизация за организиране на потребителски достъп чрез SSH във връзка с хостове (проверка дали достъпът до конкретен ресурс е разрешен или не при удостоверяване използване на публични ключове). Интегрирането с OpenSSH се осигурява чрез указване на манипулатора HIBA в директивата AuthorizedPrincipalsCommand в /etc/ssh/sshd_config. Кодът на проекта е написан на C и се разпространява под BSD лиценз.
HIBA използва стандартни механизми за удостоверяване, базирани на OpenSSH сертификати за гъвкаво и централизирано управление на оторизацията на потребителя по отношение на хостовете, но не изисква периодични промени във файловете authorized_keys и authorized_users от страната на хостовете, към които се осъществява връзката. Вместо да съхранява списък с валидни публични ключове и условия за достъп в authorized_(keys|users) файлове, HIBA интегрира информация за обвързвания потребител-хост директно в самите сертификати. По-специално, разширения са предложени за хост сертификати и потребителски сертификати, които съхраняват хост параметри и условия за предоставяне на потребителски достъп.
Проверката от страната на хоста се инициира чрез извикване на манипулатора hiba-chk, указан в директивата AuthorizedPrincipalsCommand. Този процесор декодира разширения, интегрирани в сертификати, и въз основа на тях взема решение за предоставяне или блокиране на достъп. Правилата за достъп се определят централно на ниво сертифициращ орган (CA) и се интегрират в сертификатите на етапа на тяхното генериране.
От страната на сертифициращия център се поддържа общ списък с налични правомощия (хостове, към които са разрешени връзки) и списък с потребители, на които е разрешено да използват тези правомощия. За генериране на сертифицирани сертификати с интегрирана информация за идентификационни данни се предлага помощната програма hiba-gen, а функционалността, необходима за създаване на сертифициращ орган, е включена в скрипта iba-ca.sh.
Когато потребител се свърже, посоченият в сертификата орган се потвърждава от цифров подпис на сертифициращия орган, което позволява всички проверки да се извършват изцяло от страната на целевия хост, към който се осъществява връзката, без да се прибягва до външни услуги. Списъкът с публични ключове на сертифициращия орган, който удостоверява SSH сертификати, се определя чрез директивата TrustedUserCAKeys.
В допълнение към директното свързване на потребители с хостове, HIBA ви позволява да дефинирате по-гъвкави правила за достъп. Например, информация като местоположение и тип услуга може да бъде свързана с хостове и когато се дефинират правила за потребителски достъп, връзките могат да бъдат разрешени към всички хостове с даден тип услуга или към хостове в определено местоположение.
Източник: opennet.ru