Mae Google wedi cyhoeddi cod ffynhonnell y prosiect HIBA (Awdurdodiad ar Sail Hunaniaeth Gwesteiwr), sy'n cynnig gweithredu mecanwaith awdurdodi ychwanegol ar gyfer trefnu mynediad defnyddwyr trwy SSH mewn cysylltiad Γ’ gwesteiwyr (gwirio a ganiateir mynediad i adnodd penodol ai peidio wrth ddilysu defnyddio allweddi cyhoeddus). Darperir integreiddio ag OpenSSH trwy nodi'r triniwr HIBA yn y gyfarwyddeb AuthorizedPrincipalsCommand yn /etc/ssh/sshd_config. Mae cod y prosiect wedi'i ysgrifennu yn C a'i ddosbarthu o dan y drwydded BSD.
Mae HIBA yn defnyddio mecanweithiau dilysu safonol yn seiliedig ar dystysgrifau OpenSSH ar gyfer rheolaeth hyblyg a chanolog o awdurdodiad defnyddwyr mewn perthynas Γ’ gwesteiwyr, ond nid oes angen newidiadau cyfnodol i'r ffeiliau awdurdodedig_keys a author_users ar ochr y gwesteiwyr y gwneir y cysylltiad Γ’ nhw. Yn hytrach na storio rhestr o allweddi cyhoeddus dilys ac amodau mynediad mewn ffeiliau awdurdodedig_(allweddi | defnyddwyr), mae HIBA yn integreiddio gwybodaeth am rwymiadau defnyddiwr-gwesteiwr yn uniongyrchol i'r tystysgrifau eu hunain. Yn benodol, mae estyniadau wedi'u cynnig ar gyfer tystysgrifau gwesteiwr a thystysgrifau defnyddwyr, sy'n storio paramedrau gwesteiwr ac amodau ar gyfer caniatΓ‘u mynediad i ddefnyddwyr.
Dechreuir gwirio ar yr ochr gwesteiwr trwy ffonio'r triniwr hiba-chk a nodir yng nghyfarwyddeb AuthorizedPrincipalsCommand. Mae'r prosesydd hwn yn dadgodio estyniadau sydd wedi'u hintegreiddio i dystysgrifau ac, yn seiliedig arnynt, yn gwneud penderfyniad ynghylch caniatΓ‘u neu rwystro mynediad. Pennir rheolau mynediad yn ganolog ar lefel yr awdurdod ardystio (CA) a chΓ’nt eu hintegreiddio i dystysgrifau ar y cam o'u cynhyrchu.
Ar ochr y ganolfan ardystio, cedwir rhestr gyffredinol o'r pwerau sydd ar gael (gwestewyr y caniateir cysylltiadau iddynt) a rhestr o ddefnyddwyr y caniateir iddynt ddefnyddio'r pwerau hyn. Er mwyn cynhyrchu tystysgrifau ardystiedig gyda gwybodaeth integredig am gymwysterau, cynigir y cyfleustodau hiba-gen, ac mae'r swyddogaeth angenrheidiol i greu awdurdod ardystio wedi'i chynnwys yn y sgript iba-ca.sh.
Pan fydd defnyddiwr yn cysylltu, mae'r awdurdod a nodir yn y dystysgrif yn cael ei gadarnhau gan lofnod digidol yr awdurdod ardystio, sy'n caniatΓ‘u i'r holl wiriadau gael eu cynnal yn gyfan gwbl ar ochr y gwesteiwr targed y gwneir y cysylltiad ag ef, heb droi at wasanaethau allanol. Mae rhestr allweddi cyhoeddus yr awdurdod ardystio sy'n ardystio tystysgrifau SSH wedi'i nodi trwy gyfarwyddeb TrustedUserCAKeys.
Yn ogystal Γ’ chysylltu defnyddwyr yn uniongyrchol Γ’ gwesteiwyr, mae HIBA yn caniatΓ‘u ichi ddiffinio rheolau mynediad mwy hyblyg. Er enghraifft, gall gwybodaeth fel lleoliad a math o wasanaeth fod yn gysylltiedig Γ’ gwesteiwyr, ac wrth ddiffinio rheolau mynediad defnyddwyr, gellir caniatΓ‘u cysylltiadau i bob gwesteiwr Γ’ math penodol o wasanaeth neu Γ’ gwesteiwr mewn lleoliad penodol.
Ffynhonnell: opennet.ru