Google je objavio izvorni kod projekta HIBA (Host Identity Based Authorization) koji predlaže implementaciju dodatnog mehanizma autorizacije za organiziranje pristupa korisnika putem SSH-a u vezi s hostovima (provjera da li je pristup određenom resursu dozvoljen ili ne pri autentifikaciji). koristeći javne ključeve). Integracija sa OpenSSH-om je obezbeđena navođenjem HIBA rukovaoca u direktivi AuthorizedPrincipalsCommand u /etc/ssh/sshd_config. Kod projekta je napisan u C i distribuiran pod BSD licencom.
HIBA koristi standardne mehanizme provjere autentičnosti zasnovane na OpenSSH certifikatima za fleksibilno i centralizirano upravljanje autorizacijom korisnika u odnosu na hostove, ali ne zahtijeva periodične promjene u datotekama authorized_keys i authorized_users na strani hostova s kojima se uspostavlja veza. Umjesto pohranjivanja liste važećih javnih ključeva i uvjeta pristupa u autorizirane_(ključeve|korisnici) datoteke, HIBA integrira informacije o povezivanju korisnika i hosta direktno u same certifikate. Konkretno, predložena su proširenja za host certifikate i korisničke certifikate, koji pohranjuju parametre hosta i uvjete za odobravanje pristupa korisniku.
Provjera na strani domaćina se pokreće pozivanjem hiba-chk rukovatelja navedenog u direktivi AuthorizedPrincipalsCommand. Ovaj procesor dekodira proširenja integrirana u certifikate i na osnovu njih donosi odluku o odobravanju ili blokiranju pristupa. Pravila pristupa se određuju centralno na nivou certifikacionog tijela (CA) i integrirana su u certifikate u fazi njihovog generiranja.
Sa strane centra za sertifikaciju održava se opća lista dostupnih ovlasti (hostovi na koje su konekcije dozvoljene) i lista korisnika kojima je dozvoljeno korištenje ovih ovlaštenja. Za generiranje certificiranih certifikata s integriranim informacijama o vjerodajnicama, predložen je hiba-gen uslužni program, a funkcionalnost neophodna za kreiranje certifikacijskog tijela uključena je u iba-ca.sh skriptu.
Kada se korisnik poveže, ovlaštenje navedeno u certifikatu potvrđuje se digitalnim potpisom certifikacijskog tijela, što omogućava da se sve provjere u potpunosti izvode na strani ciljnog hosta na koji se uspostavlja veza, bez pribjegavanja vanjskim servisima. Lista javnih ključeva certifikacijskog tijela koje certificira SSH certifikate specificira se kroz direktivu TrustedUserCAKeys.
Pored direktnog povezivanja korisnika sa hostovima, HIBA vam omogućava da definišete fleksibilnija pravila pristupa. Na primjer, informacije kao što su lokacija i tip usluge mogu biti pridružene hostovima, a kada se definiraju pravila pristupa korisnika, veze se mogu dozvoliti svim hostovima s datim tipom usluge ili hostovima na određenoj lokaciji.
izvor: opennet.ru