Google on avaldanud projekti HIBA (Host Identity Based Authorization) lähtekoodi, mis teeb ettepaneku rakendada täiendavat autoriseerimismehhanismi kasutajate juurdepääsu korraldamiseks SSH kaudu seoses hostidega (kontrollides, kas autentimisel on juurdepääs konkreetsele ressursile lubatud või mitte kasutades avalikke võtmeid). OpenSSH-ga integreerimine on tagatud HIBA-käitleja määramisega jaotises /etc/ssh/sshd_config direktiivis AuthorizedPrincipalsCommand. Projekti kood on kirjutatud C-keeles ja seda levitatakse BSD litsentsi all.
HIBA kasutab standardseid OpenSSH-sertifikaatidel põhinevaid autentimismehhanisme kasutajate autoriseerimise paindlikuks ja tsentraliseeritud haldamiseks seoses hostidega, kuid ei nõua perioodilisi muudatusi failides authorised_keys ja authorised_users nende hostide poolel, millega ühendus luuakse. Selle asemel, et salvestada kehtivate avalike võtmete ja juurdepääsutingimuste loendit authorised_(keys|users) failidesse, integreerib HIBA teabe kasutaja ja hosti seoste kohta otse sertifikaatidesse. Eelkõige on pakutud laiendusi hostisertifikaatidele ja kasutajasertifikaatidele, mis salvestavad hosti parameetreid ja kasutajale juurdepääsu võimaldamise tingimusi.
Kontrollimine hostipoolel käivitatakse, kutsudes välja käskkirjas AuthorizedPrincipalsCommand määratud hiba-chk töötleja. See protsessor dekodeerib sertifikaatidesse integreeritud laiendused ja teeb nende põhjal otsuse juurdepääsu andmise või blokeerimise kohta. Juurdepääsureeglid määratakse tsentraalselt sertifitseerimisasutuse (CA) tasemel ja integreeritakse sertifikaatidesse nende loomise etapis.
Sertifitseerimiskeskuse poolel peetakse saadaolevate volituste üldist loendit (hostid, millega ühendused on lubatud) ja kasutajate loendit, kellel on lubatud neid volitusi kasutada. Mandaatide kohta integreeritud teabega sertifitseeritud sertifikaatide loomiseks pakutakse välja utiliit hiba-gen ja skripti iba-ca.sh on kaasatud sertifitseerimisasutuse loomiseks vajalikud funktsioonid.
Kui kasutaja loob ühenduse, kinnitatakse sertifikaadis määratud volitus sertifitseerimisasutuse digitaalallkirjaga, mis võimaldab välisteenuseid kasutamata läbi viia kõik kontrollid sihthosti sellel poolel, millega ühendus luuakse. SSH-sertifikaate sertifitseeriva sertifitseerimisasutuse avalike võtmete loend on määratud läbi TrustedUserCAKeys direktiivi.
Lisaks kasutajate otsesele sidumisele hostidega võimaldab HIBA määrata paindlikumaid juurdepääsureegleid. Näiteks saab sellist teavet nagu asukoht ja teenuse tüüp seostada hostidega ning kasutaja juurdepääsureeglite määratlemisel saab lubada ühendused kõigi antud teenusetüübiga hostidega või määratud asukohas asuvate hostidega.
Allikas: opennet.ru