Google hat den Quellcode des HIBA-Projekts (Host Identity Based Authorization) veröffentlicht, das die Implementierung eines zusätzlichen Autorisierungsmechanismus zur Organisation des Benutzerzugriffs über SSH in Verbindung mit Hosts vorschlägt (Überprüfung, ob der Zugriff auf eine bestimmte Ressource bei der Authentifizierung erlaubt ist oder nicht). Verwendung öffentlicher Schlüssel). Die Integration mit OpenSSH erfolgt durch Angabe des HIBA-Handlers in der AuthorizedPrincipalsCommand-Direktive in /etc/ssh/sshd_config. Der Projektcode ist in C geschrieben und wird unter der BSD-Lizenz vertrieben.
HIBA verwendet auf OpenSSH-Zertifikaten basierende Standardauthentifizierungsmechanismen für eine flexible und zentrale Verwaltung der Benutzerautorisierung in Bezug auf Hosts, erfordert jedoch keine regelmäßigen Änderungen an den Dateien „authorized_keys“ und „authorized_users“ auf der Seite der Hosts, zu denen die Verbindung hergestellt wird. Anstatt eine Liste gültiger öffentlicher Schlüssel und Zugriffsbedingungen in „authorized_(keys|users)“-Dateien zu speichern, integriert HIBA Informationen über Benutzer-Host-Bindungen direkt in die Zertifikate selbst. Insbesondere wurden Erweiterungen für Host-Zertifikate und Benutzerzertifikate vorgeschlagen, die Host-Parameter und Bedingungen für die Gewährung des Benutzerzugriffs speichern.
Die Überprüfung auf der Hostseite wird durch Aufrufen des hiba-chk-Handlers eingeleitet, der in der AuthorizedPrincipalsCommand-Direktive angegeben ist. Dieser Prozessor entschlüsselt in Zertifikaten integrierte Erweiterungen und trifft auf dieser Grundlage eine Entscheidung über die Gewährung oder Sperrung des Zugriffs. Zugriffsregeln werden zentral auf der Ebene der Zertifizierungsstelle (Certification Authority, CA) festgelegt und bereits bei der Generierung in Zertifikate integriert.
Auf der Seite der Zertifizierungsstelle wird eine allgemeine Liste der verfügbaren Befugnisse geführt (Hosts, zu denen Verbindungen zugelassen sind) und eine Liste der Benutzer, die diese Befugnisse nutzen dürfen. Um zertifizierte Zertifikate mit integrierten Informationen zu Anmeldeinformationen zu generieren, wird das Dienstprogramm hiba-gen vorgeschlagen, und die zum Erstellen einer Zertifizierungsstelle erforderliche Funktionalität ist im Skript iba-ca.sh enthalten.
Wenn ein Benutzer eine Verbindung herstellt, wird die im Zertifikat angegebene Autorität durch eine digitale Signatur der Zertifizierungsstelle bestätigt, wodurch alle Prüfungen vollständig auf der Seite des Zielhosts durchgeführt werden können, zu dem die Verbindung hergestellt wird, ohne auf externe Dienste zurückgreifen zu müssen. Die Liste der öffentlichen Schlüssel der Zertifizierungsstelle, die SSH-Zertifikate zertifiziert, wird durch die TrustedUserCAKeys-Direktive angegeben.
Zusätzlich zur direkten Verknüpfung von Benutzern mit Hosts ermöglicht Ihnen HIBA die Definition flexiblerer Zugriffsregeln. Beispielsweise können Informationen wie Standort und Diensttyp mit Hosts verknüpft werden, und beim Definieren von Benutzerzugriffsregeln können Verbindungen zu allen Hosts mit einem bestimmten Diensttyp oder zu Hosts an einem bestimmten Standort zugelassen werden.
Source: opennet.ru