Google a publié le code source du projet HIBA (Host Identity Based Authorization), qui propose la mise en place d'un mécanisme d'autorisation supplémentaire pour organiser l'accès des utilisateurs via SSH en relation avec les hôtes (vérifier si l'accès à une ressource spécifique est autorisé ou non lors de l'authentification en utilisant des clés publiques). L'intégration avec OpenSSH est assurée en spécifiant le gestionnaire HIBA dans la directive AuthorizedPrincipalsCommand dans /etc/ssh/sshd_config. Le code du projet est écrit en C et distribué sous licence BSD.
HIBA utilise des mécanismes d'authentification standard basés sur des certificats OpenSSH pour une gestion flexible et centralisée des autorisations des utilisateurs par rapport aux hôtes, mais ne nécessite pas de modifications périodiques des fichiers authorized_keys et authorised_users du côté des hôtes auxquels la connexion est établie. Au lieu de stocker une liste de clés publiques valides et de conditions d'accès dans des fichiersauthorized_(keys|users), HIBA intègre des informations sur les liaisons utilisateur-hôte directement dans les certificats eux-mêmes. En particulier, des extensions ont été proposées pour les certificats d'hôte et les certificats d'utilisateur, qui stockent les paramètres d'hôte et les conditions d'octroi de l'accès des utilisateurs.
La vérification côté hôte est lancée en appelant le gestionnaire hiba-chk spécifié dans la directive AuthorizedPrincipalsCommand. Ce processeur décode les extensions intégrées aux certificats et, en fonction de celles-ci, prend la décision d'accorder ou de bloquer l'accès. Les règles d'accès sont déterminées de manière centralisée au niveau de l'autorité de certification (CA) et sont intégrées aux certificats au stade de leur génération.
Du côté du centre de certification, une liste générale des pouvoirs disponibles est maintenue (hôtes auxquels les connexions sont autorisées) et une liste des utilisateurs autorisés à utiliser ces pouvoirs. Pour générer des certificats certifiés avec des informations intégrées sur les informations d'identification, l'utilitaire hiba-gen est proposé et la fonctionnalité nécessaire pour créer une autorité de certification est incluse dans le script iba-ca.sh.
Lorsqu'un utilisateur se connecte, l'autorité spécifiée dans le certificat est confirmée par une signature numérique de l'autorité de certification, ce qui permet d'effectuer toutes les vérifications entièrement du côté de l'hôte cible auquel la connexion est établie, sans recourir à des services externes. La liste des clés publiques de l'autorité de certification qui certifie les certificats SSH est spécifiée via la directive TrustedUserCAKeys.
En plus de relier directement les utilisateurs aux hôtes, HIBA permet de définir des règles d'accès plus flexibles. Par exemple, des informations telles que l'emplacement et le type de service peuvent être associées aux hôtes, et lors de la définition des règles d'accès des utilisateurs, les connexions peuvent être autorisées à tous les hôtes avec un type de service donné ou aux hôtes situés dans un emplacement spécifié.
Source: opennet.ru