Guglo publikigis la fontkodon de la projekto HIBA (Host Identity Based Authorization), kiu proponas la efektivigon de plia rajtiga mekanismo por organizi uzantaliron per SSH lige kun gastigantoj (kontrolante ĉu aliro al specifa rimedo estas permesita aŭ ne dum aŭtentikado). uzante publikajn ŝlosilojn). Integriĝo kun OpenSSH estas provizita per specifado de la HIBA-traktilo en la AuthorizedPrincipalsCommand-direktivo en /etc/ssh/sshd_config. La projektkodo estas skribita en C kaj distribuita sub la permesilo BSD.
HIBA uzas normajn aŭtentikigmekanismojn bazitajn sur OpenSSH-atestiloj por fleksebla kaj centralizita administrado de uzantrajtigo rilate al gastigantoj, sed ne postulas periodajn ŝanĝojn al la authorized_keys kaj authorized_users dosieroj flanke de la gastigantoj al kiuj la ligo estas farita. Anstataŭ stoki liston de validaj publikaj ŝlosiloj kaj alirkondiĉoj en rajtigitaj_(ŝlosiloj|uzantoj) dosieroj, HIBA integras informojn pri uzant-gastiganto-ligado rekte en la atestiloj mem. Aparte, etendaĵoj estis proponitaj por gastigantaj atestiloj kaj uzantatestiloj, kiuj stokas gastigantajn parametrojn kaj kondiĉojn por doni uzantaliron.
Kontrolado ĉe la gastiganta flanko estas komencita per vokado de la hiba-chk prizorganto specifita en la AuthorizedPrincipalsCommand direktivo. Ĉi tiu procesoro malkodas etendaĵojn integritajn en atestiloj kaj, surbaze de ili, faras decidon pri doni aŭ bloki aliron. Alirreguloj estas determinitaj centre sur la atestadaŭtoritato (CA) nivelo kaj estas integritaj en atestiloj en la stadio de sia generacio.
Flanke de la atestadcentro, ĝenerala listo de disponeblaj potencoj estas konservita (gastigantoj al kiuj ligoj estas permesitaj) kaj listo de uzantoj kiuj rajtas uzi ĉi tiujn potencojn. Por generi atestitajn atestilojn kun integraj informoj pri akreditaĵoj, la utileco hiba-gen estas proponita, kaj la funkcio necesa por krei atestan aŭtoritaton estas inkluzivita en la skripto iba-ca.sh.
Kiam uzanto konektas, la aŭtoritato specifita en la atestilo estas konfirmita per cifereca subskribo de la atestadaŭtoritato, kiu permesas ĉiujn kontrolojn esti faritaj tute ĉe la flanko de la cela gastiganto al kiu la konekto estas farita, sen recurri al eksteraj servoj. La listo de publikaj ŝlosiloj de la atestadaŭtoritato, kiu atestas SSH-atestiloj, estas precizigita per la direktivo TrustedUserCAKeys.
Krom rekte ligi uzantojn al gastigantoj, HIBA permesas vin difini pli flekseblajn alirregulojn. Ekzemple, informoj kiel ekzemple loko kaj servospeco povas esti asociitaj kun gastigantoj, kaj dum difinado de uzantaj alirreguloj, ligoj povas esti permesitaj al ĉiuj gastigantoj kun antaŭfiksita servospeco aŭ al gastigantoj en precizigita loko.
fonto: opennet.ru