Google on julkaissut lähdekoodin HIBA (Host Identity Based Authorization) -projektista, jossa ehdotetaan lisävaltuutusmekanismin käyttöönottoa käyttäjien SSH:n kautta pääsyn järjestämiseen isäntien yhteydessä (tarkistaa, onko pääsy tiettyyn resurssiin sallittu vai ei autentikoinnin yhteydessä käyttämällä julkisia avaimia). Integrointi OpenSSH:n kanssa saadaan aikaan määrittämällä HIBA-käsittelijä AuthorizedPrincipalsCommand-direktiivissä tiedostossa /etc/ssh/sshd_config. Projektikoodi on kirjoitettu C-kielellä ja jaettu BSD-lisenssillä.
HIBA käyttää OpenSSH-sertifikaatteihin perustuvia vakiotodennusmekanismeja käyttäjien valtuuksien joustavaan ja keskitettyyn hallintaan isäntien suhteen, mutta se ei vaadi säännöllisiä muutoksia author_keys- ja authorised_users-tiedostoihin niiden isäntien puolella, joihin yhteys muodostetaan. Sen sijaan, että HIBA tallentaisi luettelon kelvollisista julkisista avaimista ja käyttöehdoista Author_(keys|users) -tiedostoihin, HIBA integroi tiedot käyttäjä-isäntäsidoksista suoraan varmenteisiin. Laajennuksia on ehdotettu erityisesti isäntävarmenteille ja käyttäjävarmenteille, jotka tallentavat isäntäparametreja ja käyttöoikeuksien myöntämisen ehtoja.
Isäntäpuolen tarkistus aloitetaan kutsumalla AuthorizedPrincipalsCommand-direktiivissä määritettyä hiba-chk-käsittelijää. Tämä prosessori purkaa varmenteisiin integroidut laajennukset ja tekee niiden perusteella päätöksen pääsyn myöntämisestä tai estämisestä. Pääsysäännöt määritetään keskitetysti varmentajan (CA) tasolla, ja ne integroidaan varmenteisiin niiden luomisvaiheessa.
Sertifiointikeskuksen puolella ylläpidetään yleistä luetteloa käytettävissä olevista valtuuksista (isännät, joihin yhteydet ovat sallittuja) ja luettelo käyttäjistä, jotka voivat käyttää näitä valtuuksia. Sertifioitujen varmenteiden luomiseksi integroiduilla tunnistetiedoilla on ehdotettu hiba-gen-apuohjelmaa, ja varmenneviranomaisen luomiseen tarvittavat toiminnot sisältyvät iba-ca.sh-skriptiin.
Kun käyttäjä muodostaa yhteyden, varmenteessa määritetty valtuutus vahvistetaan varmentajan digitaalisella allekirjoituksella, jonka avulla kaikki tarkistukset voidaan suorittaa kokonaan sillä kohdeisäntäpuolella, johon yhteys muodostetaan, turvautumatta ulkoisiin palveluihin. Luettelo SSH-varmenteita varmentavan varmentajan julkisista avaimista on määritelty TrustedUserCAKeys-direktiivin kautta.
Sen lisäksi, että HIBA linkittää käyttäjät suoraan isäntiin, voit määrittää joustavampia pääsysääntöjä. Esimerkiksi tiedot, kuten sijainti ja palvelutyyppi, voidaan liittää isäntiin, ja käyttäjien pääsysääntöjä määritettäessä yhteydet voidaan sallia kaikkiin tietyn palvelutyypin isänteihin tai tietyssä paikassa oleviin isänteihin.
Lähde: opennet.ru