Gipatik sa Google ang source code sa HIBA (Host Identity Based Authorization) nga proyekto, nga nagsugyot sa pagpatuman sa usa ka dugang nga mekanismo sa pagtugot alang sa pag-organisar sa pag-access sa user pinaagi sa SSH nga may kalabotan sa mga host (pagsusi kung ang pag-access sa usa ka piho nga kapanguhaan gitugotan o dili kung nagpamatuod gamit ang mga yawe sa publiko). Ang panagsama sa OpenSSH gihatag pinaagi sa pagtino sa HIBA handler sa AuthorizedPrincipalsCommand nga direktiba sa /etc/ssh/sshd_config. Ang code sa proyekto gisulat sa C ug giapod-apod ubos sa lisensya sa BSD.
Ang HIBA naggamit ug standard authentication mechanisms base sa OpenSSH certificates para sa flexible ug centralized nga pagdumala sa user authorization kalabot sa mga hosts, pero wala magkinahanglan ug periodic change sa authorized_keys ug authorized_users files sa kilid sa hosts diin gihimo ang koneksyon. Imbis nga magtipig ug lista sa balido nga publikong mga yawe ug mga kondisyon sa pag-access sa mga awtorisado_(mga yawe|mga tiggamit) nga mga file, ang HIBA nag-integrate sa impormasyon bahin sa user-host binding direkta ngadto sa mga sertipiko mismo. Sa partikular, gisugyot ang mga extension alang sa mga sertipiko sa host ug mga sertipiko sa gumagamit, nga nagtipig sa mga parameter sa host ug mga kondisyon alang sa paghatag access sa tiggamit.
Ang pagsusi sa bahin sa host gisugdan pinaagi sa pagtawag sa hiba-chk handler nga gipiho sa AuthorizedPrincipalsCommand nga direktiba. Kini nga processor nag-decode sa mga extension nga gisagol sa mga sertipiko ug, base niini, naghimo og desisyon mahitungod sa paghatag o pagbabag sa access. Ang mga lagda sa pag-access gitino sa sentro sa lebel sa awtoridad sa sertipikasyon (CA) ug gisagol sa mga sertipiko sa yugto sa ilang henerasyon.
Sa kilid sa sentro sa sertipikasyon, usa ka kinatibuk-ang lista sa magamit nga mga awtoridad ang gipadayon (mga host diin gitugotan ang mga koneksyon) ug usa ka lista sa mga tiggamit nga gitugotan nga mogamit niini nga mga awtoridad. Aron makamugna og sertipikadong mga sertipiko nga adunay hiniusang impormasyon mahitungod sa mga kredensyal, ang hiba-gen utility gisugyot, ug ang gamit nga gikinahanglan sa paghimo og awtoridad sa sertipikasyon gilakip sa iba-ca.sh nga script.
Kung nagkonektar ang usa ka tiggamit, ang awtoridad nga gipiho sa sertipiko gipamatud-an sa usa ka digital nga pirma sa awtoridad sa sertipikasyon, nga nagtugot sa tanan nga mga tseke nga himuon sa hingpit sa kilid sa target nga host diin gihimo ang koneksyon, nga wala mogamit sa mga serbisyo sa gawas. Ang listahan sa mga yawe sa publiko sa awtoridad sa sertipikasyon nga nagpamatuod sa mga sertipiko sa SSH gipiho pinaagi sa direktiba sa TrustedUserCAKeys.
Dugang sa direktang pag-link sa mga tiggamit ngadto sa mga host, ang HIBA nagtugot kanimo sa paghubit sa mas flexible nga mga lagda sa pag-access. Pananglitan, ang impormasyon sama sa lokasyon ug tipo sa serbisyo mahimong i-uban sa mga host, ug kung gitakda ang mga lagda sa pag-access sa gumagamit, ang mga koneksyon mahimong tugutan sa tanan nga mga host nga adunay gihatag nga tipo sa serbisyo o sa mga host sa usa ka piho nga lokasyon.
Source: opennet.ru