گوگل کد منبع پروژه HIBA (مجوز مبتنی بر هویت میزبان) را منتشر کرده است که اجرای یک مکانیسم مجوز اضافی برای سازماندهی دسترسی کاربر از طریق SSH در ارتباط با میزبان ها را پیشنهاد می کند (بررسی اینکه آیا دسترسی به یک منبع خاص در هنگام احراز هویت مجاز است یا خیر). با استفاده از کلیدهای عمومی). ادغام با OpenSSH با مشخص کردن کنترل کننده HIBA در دستورالعمل AuthorizedPrincipalsCommand در /etc/ssh/sshd_config ارائه می شود. کد پروژه به زبان C نوشته شده و تحت مجوز BSD توزیع شده است.
HIBA از مکانیسمهای احراز هویت استاندارد مبتنی بر گواهیهای OpenSSH برای مدیریت منعطف و متمرکز مجوز کاربر در رابطه با میزبانها استفاده میکند، اما نیازی به تغییرات دورهای در فایلهای authorized_keys و authorized_users در سمت میزبانی که اتصال به آن برقرار است، ندارد. HIBA به جای ذخیره فهرستی از کلیدهای عمومی معتبر و شرایط دسترسی در فایل های authorized_(keys|users)، اطلاعات مربوط به اتصالات کاربر-میزبان را مستقیماً در خود گواهی ها ادغام می کند. به طور خاص، برنامههای افزودنی برای گواهیهای میزبان و گواهیهای کاربر پیشنهاد شدهاند که پارامترهای میزبان و شرایط اعطای دسترسی کاربر را ذخیره میکنند.
بررسی در سمت میزبان با فراخوانی کنترل کننده hiba-chk مشخص شده در دستورالعمل AuthorizedPrincipalsCommand آغاز می شود. این پردازنده پسوندهای ادغام شده در گواهینامه ها را رمزگشایی می کند و بر اساس آنها تصمیمی در مورد اعطای یا مسدود کردن دسترسی می گیرد. قوانین دسترسی به طور مرکزی در سطح مرجع صدور گواهینامه (CA) تعیین می شوند و در مرحله تولید گواهینامه ها ادغام می شوند.
در سمت مرکز صدور گواهینامه، یک لیست کلی از قدرت های موجود (میزبان هایی که اتصال به آنها مجاز است) و لیستی از کاربرانی که مجاز به استفاده از این قدرت ها هستند نگهداری می شود. برای تولید گواهینامه های تایید شده با اطلاعات یکپارچه در مورد اعتبارنامه ها، ابزار hiba-gen پیشنهاد شده است و عملکرد لازم برای ایجاد یک مرجع صدور گواهینامه در اسکریپت iba-ca.sh گنجانده شده است.
هنگامی که کاربر متصل می شود، اعتبار مشخص شده در گواهی با امضای دیجیتال مرجع صدور گواهی تایید می شود، که اجازه می دهد تمام بررسی ها به طور کامل در سمت میزبان هدف که اتصال به آن برقرار شده است، بدون توسل به خدمات خارجی انجام شود. لیست کلیدهای عمومی مرجع صدور گواهینامه که گواهینامه های SSH را تأیید می کند از طریق دستورالعمل TrustedUserCAKeys مشخص شده است.
علاوه بر پیوند مستقیم کاربران با هاست، HIBA به شما امکان می دهد قوانین دسترسی انعطاف پذیرتری را تعریف کنید. به عنوان مثال، اطلاعاتی مانند مکان و نوع سرویس را می توان با هاست ها مرتبط کرد، و هنگام تعریف قوانین دسترسی کاربر، می توان به همه میزبان ها با یک نوع سرویس معین یا به میزبان ها در یک مکان مشخص اجازه اتصال داد.
منبع: opennet.ru