Google hà publicatu u codice fonte di u prughjettu HIBA (Host Identity Based Authorization), chì prupone l'implementazione di un mecanismu d'autorizazione supplementu per urganizà l'accessu di l'utilizatori via SSH in cunnessione cù l'ospiti (verificà se l'accessu à una risorsa specifica hè permessu o micca quandu si autentifica). usendu chjavi publichi). L'integrazione cù OpenSSH hè furnita da specificà u gestore HIBA in a direttiva AuthorizedPrincipalsCommand in /etc/ssh/sshd_config. U codice di u prugettu hè scrittu in C è distribuitu sottu a licenza BSD.
HIBA usa meccanismi di autentificazione standard basati nantu à i certificati OpenSSH per una gestione flexible è centralizzata di l'autorizazione di l'utilizatori in relazione à l'ospiti, ma ùn esige micca cambiamenti periodichi à i schedari authorized_keys è authorized_users da u latu di l'ospiti à quale hè fatta a cunnessione. Invece di almacenà una lista di chjavi publichi validi è e cundizioni d'accessu in i fugliali autorizati_(keys|users), HIBA integra l'infurmazioni nantu à l'ospiti di l'utilizatori direttamente in i certificati stessi. In particulare, l'estensioni sò stati pruposti per i certificati di l'ospiti è i certificati d'utilizatori, chì guardanu i paràmetri di l'ospiti è e cundizioni per cuncede l'accessu à l'utilizatori.
A verificazione da u latu di l'ospite hè iniziata chjamendu u gestore hiba-chk specificatu in a direttiva AuthorizedPrincipalsCommand. Stu processore decode l'estensioni integrate in i certificati è, basatu annantu à elli, piglia una decisione di cuncede o bluccà l'accessu. E regule d'accessu sò determinate cintrali à u livellu di l'autorità di certificazione (CA) è sò integrate in i certificati in u stadiu di a so generazione.
À u latu di u centru di certificazione, una lista generale di putenzi dispunibuli hè mantinutu (ospiti à quale sò permessi di cunnessione) è una lista di l'utilizatori chì sò permessi di utilizà sti putenzi. Per generà certificati certificati cù informazioni integrate nantu à e credenziali, l'utilità hiba-gen hè pruposta, è a funziunalità necessaria per creà una autorità di certificazione hè inclusa in u script iba-ca.sh.
Quandu un utilizatore si cunnetta, l'autorità specificata in u certificatu hè cunfirmata da una firma digitale di l'autorità di certificazione, chì permette à tutti i cuntrolli per esse realizatu interamente da u latu di l'ospitu di destinazione à quale hè fatta a cunnessione, senza ricorrere à servizii esterni. A lista di e chjavi pubbliche di l'autorità di certificazione chì certifica i certificati SSH hè specificatu attraversu a direttiva TrustedUserCAKeys.
In più di ligà direttamente l'utilizatori à l'ospiti, HIBA permette di definisce e regule d'accessu più flexible. Per esempiu, l'infurmazioni cum'è u locu è u tipu di serviziu pò esse assuciatu cù l'ospiti, è quandu si definiscenu e regule d'accessu di l'utilizatori, i cunnessione ponu esse permessi à tutti l'ospiti cù un tipu di serviziu datu o à l'ospiti in un locu specificu.
Source: opennet.ru