Google-k HIBA (Host Identity Based Authorization) proiektuaren iturburu-kodea argitaratu du, ostalariekin lotuta erabiltzaileen sarbidea SSH bidez antolatzeko baimen-mekanismo gehigarri bat ezartzea proposatzen duena (autentifikazioan baliabide zehatz baterako sarbidea onartzen den edo ez egiaztatzea). gako publikoak erabiliz). OpenSSH-rekin integratzea AuthorizedPrincipalsCommand zuzentarauan HIBA kudeatzailea /etc/ssh/sshd_config-en zehaztuz ematen da. Proiektuaren kodea C-n idatzita dago eta BSD lizentziapean banatzen da.
HIBAk OpenSSH ziurtagirietan oinarritutako autentifikazio-mekanismo estandarrak erabiltzen ditu erabiltzaileen baimenaren kudeaketa malgu eta zentralizatuan ostalariei dagokienez, baina ez du eskatzen aldian-aldian baimendutako_gakoak eta baimendutako_erabiltzailearen fitxategietan konexioa egiten den ostalarien alboan. Baliozko gako publikoen zerrenda eta sarbide-baldintzen zerrenda baimendutako_(gakoak|erabiltzaileak) fitxategietan gorde beharrean, HIBA-k erabiltzaile-ostalari loturei buruzko informazioa zuzenean integratzen du ziurtagirietan. Bereziki, ostalariaren ziurtagirietarako eta erabiltzaileen ziurtagirietarako luzapenak proposatu dira, erabiltzaileen sarbidea emateko ostalariaren parametroak eta baldintzak gordetzen dituztenak.
Ostalari aldean egiaztatzea AuthorizedPrincipalsCommand zuzentarauan zehaztutako hiba-chk kudeatzaileari deituz hasten da. Prozesadore honek ziurtagirietan integratutako luzapenak deskodetzen ditu eta, horietan oinarrituta, sarbidea ematea edo blokeatzeari buruzko erabakia hartzen du. Sarbide-arauak zentralki zehazten dira ziurtapen-agintaritzaren (CA) mailan eta ziurtagirietan integratzen dira sortzen diren unean.
Ziurtagiri-zentroaren aldean, eskuragarri dauden ahalmenen zerrenda orokor bat mantentzen da (konexioak onartzen dituzten ostalariak) eta eskumen horiek erabiltzeko baimena duten erabiltzaileen zerrenda. Egiaztagiriei buruzko informazio integratua duten ziurtagiri ziurtagiriak sortzeko, hiba-gen utilitatea proposatzen da, eta ziurtagiri-autoritate bat sortzeko beharrezkoa den funtzionaltasuna sartzen da iba-ca.sh scriptean.
Erabiltzaile bat konektatzen denean, ziurtagirian zehaztutako autoritatea ziurtapen-agintaritzaren sinadura digital baten bidez berresten da, eta horri esker, egiaztapen guztiak konexioa egiten den xede-ostalariaren aldean osorik egin daitezke, kanpoko zerbitzuetara jo gabe. SSH ziurtagiriak ziurtatzen dituen ziurtagiri-agintaritzaren gako publikoen zerrenda TrustedUserCAKeys zuzentarauaren bidez zehazten da.
Erabiltzaileak ostalariekin zuzenean lotzeaz gain, sarbide-arau malguagoak definitzeko aukera ematen du HIBAk. Adibidez, kokapena eta zerbitzu mota bezalako informazioa ostalariekin lotu daiteke, eta erabiltzaileen sarbide-arauak definitzerakoan, zerbitzu mota jakin bat duten ostalari guztiei edo kokapen zehatz bateko ostalariei konexioak baimendu ahal zaizkie.
Iturria: opennet.ru