Google ha publicat el codi font del projecte HIBA (Host Identity Based Authorization), que proposa la implementació d'un mecanisme d'autorització addicional per organitzar l'accés dels usuaris mitjançant SSH en relació amb els amfitrions (comprovant si l'accés a un recurs concret està permès o no en autenticar-se). utilitzant claus públiques). La integració amb OpenSSH es proporciona especificant el controlador HIBA a la directiva AuthorizedPrincipalsCommand a /etc/ssh/sshd_config. El codi del projecte està escrit en C i distribuït sota la llicència BSD.
HIBA utilitza mecanismes d'autenticació estàndard basats en certificats OpenSSH per a una gestió flexible i centralitzada de l'autorització dels usuaris en relació als amfitrions, però no requereix canvis periòdics als fitxers authorized_keys i authorized_users del costat dels amfitrions amb els quals es fa la connexió. En lloc d'emmagatzemar una llista de claus públiques vàlides i condicions d'accés als fitxers autoritzats_(claus|usuaris), HIBA integra informació sobre els enllaços usuari-amfitrió directament als certificats. En particular, s'han proposat extensions per a certificats d'amfitrió i certificats d'usuari, que emmagatzemen els paràmetres de l'amfitrió i les condicions per concedir l'accés dels usuaris.
La comprovació del costat de l'amfitrió s'inicia cridant al controlador hiba-chk especificat a la directiva AuthorizedPrincipalsCommand. Aquest processador descodifica les extensions integrades als certificats i, a partir d'elles, pren una decisió sobre la concessió o el bloqueig de l'accés. Les regles d'accés es determinen de manera centralitzada a nivell de l'autoritat de certificació (CA) i s'integren als certificats en l'etapa de la seva generació.
Al costat del centre de certificació, es manté una llista general de poders disponibles (amfitrions als quals es permeten connexions) i una llista d'usuaris que poden utilitzar aquests poders. Per generar certificats certificats amb informació integrada sobre les credencials, es proposa la utilitat hiba-gen i la funcionalitat necessària per crear una autoritat de certificació s'inclou a l'script iba-ca.sh.
Quan un usuari es connecta, l'autoritat especificada en el certificat es confirma mitjançant una signatura digital de l'autoritat de certificació, que permet que totes les comprovacions es realitzin íntegrament al costat de l'amfitrió de destinació al qual es fa la connexió, sense recórrer a serveis externs. La llista de claus públiques de l'autoritat de certificació que certifica els certificats SSH s'especifica mitjançant la directiva TrustedUserCAKeys.
A més d'enllaçar directament els usuaris amb els amfitrions, HIBA us permet definir regles d'accés més flexibles. Per exemple, la informació com ara la ubicació i el tipus de servei es pot associar amb els amfitrions, i quan es defineixen les regles d'accés d'usuari, es poden permetre connexions a tots els amfitrions amb un tipus de servei determinat o a amfitrions en una ubicació especificada.
Font: opennet.ru