Η Google δημοσίευσε τον πηγαίο κώδικα του έργου HIBA (Host Identity Based Authorization), το οποίο προτείνει την εφαρμογή ενός πρόσθετου μηχανισμού εξουσιοδότησης για την οργάνωση της πρόσβασης χρηστών μέσω SSH σε σχέση με κεντρικούς υπολογιστές (έλεγχος εάν επιτρέπεται ή όχι η πρόσβαση σε έναν συγκεκριμένο πόρο κατά τον έλεγχο ταυτότητας χρησιμοποιώντας δημόσια κλειδιά). Η ενσωμάτωση με το OpenSSH παρέχεται καθορίζοντας τον χειριστή HIBA στην οδηγία AuthorizedPrincipalsCommand στο /etc/ssh/sshd_config. Ο κώδικας του έργου είναι γραμμένος σε C και διανέμεται με την άδεια BSD.
Το HIBA χρησιμοποιεί τυπικούς μηχανισμούς ελέγχου ταυτότητας που βασίζονται σε πιστοποιητικά OpenSSH για ευέλικτη και κεντρική διαχείριση της εξουσιοδότησης χρήστη σε σχέση με κεντρικούς υπολογιστές, αλλά δεν απαιτεί περιοδικές αλλαγές στα αρχεία authorized_keys και authorized_users στην πλευρά των κεντρικών υπολογιστών στους οποίους γίνεται η σύνδεση. Αντί να αποθηκεύει μια λίστα με έγκυρα δημόσια κλειδιά και συνθήκες πρόσβασης σε αρχεία authorized_(keys|users), το HIBA ενσωματώνει πληροφορίες σχετικά με τις συνδέσεις χρήστη-κεντρικού υπολογιστή απευθείας στα ίδια τα πιστοποιητικά. Συγκεκριμένα, έχουν προταθεί επεκτάσεις για πιστοποιητικά κεντρικού υπολογιστή και πιστοποιητικά χρήστη, τα οποία αποθηκεύουν παραμέτρους κεντρικού υπολογιστή και προϋποθέσεις για την παραχώρηση πρόσβασης χρήστη.
Ο έλεγχος από την πλευρά του κεντρικού υπολογιστή ξεκινά καλώντας τον χειριστή hiba-chk που καθορίζεται στην οδηγία AuthorizedPrincipalsCommand. Αυτός ο επεξεργαστής αποκωδικοποιεί επεκτάσεις που είναι ενσωματωμένες σε πιστοποιητικά και, βάσει αυτών, λαμβάνει απόφαση σχετικά με τη χορήγηση ή τον αποκλεισμό πρόσβασης. Οι κανόνες πρόσβασης καθορίζονται κεντρικά σε επίπεδο αρχής πιστοποίησης (CA) και ενσωματώνονται στα πιστοποιητικά στο στάδιο της δημιουργίας τους.
Στο πλάι του κέντρου πιστοποίησης, διατηρείται μια γενική λίστα με τις διαθέσιμες εξουσίες (κεντρικοί υπολογιστές στους οποίους επιτρέπονται οι συνδέσεις) και μια λίστα με τους χρήστες που επιτρέπεται να χρησιμοποιούν αυτές τις εξουσίες. Για τη δημιουργία πιστοποιημένων πιστοποιητικών με ενσωματωμένες πληροφορίες σχετικά με τα διαπιστευτήρια, προτείνεται το βοηθητικό πρόγραμμα hiba-gen και η λειτουργικότητα που απαιτείται για τη δημιουργία μιας αρχής πιστοποίησης περιλαμβάνεται στο σενάριο iba-ca.sh.
Όταν ένας χρήστης συνδέεται, η αρχή που καθορίζεται στο πιστοποιητικό επιβεβαιώνεται με μια ψηφιακή υπογραφή της αρχής πιστοποίησης, η οποία επιτρέπει να εκτελούνται όλοι οι έλεγχοι εξ ολοκλήρου στην πλευρά του κεντρικού υπολογιστή-στόχου στον οποίο γίνεται η σύνδεση, χωρίς να καταφεύγουμε σε εξωτερικές υπηρεσίες. Η λίστα με τα δημόσια κλειδιά της αρχής πιστοποίησης που πιστοποιεί τα πιστοποιητικά SSH καθορίζεται μέσω της οδηγίας TrustedUserCAKeys.
Εκτός από την απευθείας σύνδεση των χρηστών με τους κεντρικούς υπολογιστές, το HIBA σάς επιτρέπει να ορίσετε πιο ευέλικτους κανόνες πρόσβασης. Για παράδειγμα, πληροφορίες όπως η τοποθεσία και ο τύπος υπηρεσίας μπορούν να συσχετιστούν με κεντρικούς υπολογιστές και κατά τον καθορισμό κανόνων πρόσβασης χρήστη, μπορούν να επιτρέπονται οι συνδέσεις σε όλους τους κεντρικούς υπολογιστές με συγκεκριμένο τύπο υπηρεσίας ή σε κεντρικούς υπολογιστές σε μια καθορισμένη τοποθεσία.
Πηγή: opennet.ru