Google hat de boarnekoade publisearre fan it HIBA-projekt (Host Identity Based Authorization), dy't de ymplemintaasje foarstelt fan in ekstra autorisaasjemeganisme foar it organisearjen fan brûkerstagong fia SSH yn ferbân mei hosts (kontrolearje oft tagong ta in spesifike boarne tastien is of net by autentikaasje gebrûk fan iepenbiere kaaien). Yntegraasje mei OpenSSH wurdt levere troch it opjaan fan de HIBA-handler yn 'e AuthorizedPrincipalsCommand-rjochtline yn /etc/ssh/sshd_config. De projektkoade is skreaun yn C en ferspraat ûnder de BSD-lisinsje.
HIBA brûkt standert autentikaasjemeganismen basearre op OpenSSH-sertifikaten foar fleksibele en sintralisearre behear fan brûkersautorisaasje yn relaasje ta hosts, mar fereasket gjin periodike feroarings oan 'e authorized_keys en authorized_users-bestannen oan' e kant fan 'e hosts wêrmei't de ferbining wurdt makke. Ynstee fan in opslach fan in list mei jildige iepenbiere kaaien en tagongsbetingsten yn autorisearre_(keys|brûkers) bestannen, yntegreart HIBA ynformaasje oer brûker-host-bindingen direkt yn 'e sertifikaten sels. Benammen tafoegings binne foarsteld foar hostsertifikaten en brûkerssertifikaten, dy't hostparameters en betingsten opslaan foar it jaan fan brûker tagong.
Kontrolearje op 'e hostside wurdt inisjearre troch de hiba-chk-hanterer te roppen dy't spesifisearre is yn' e AuthorizedPrincipalsCommand-rjochtline. Dizze prosessor dekodearret tafoegings yntegreare yn sertifikaten en nimt, basearre op har, in beslút oer it jaan of blokkearjen fan tagong. Tagongsregels wurde sintraal bepaald op it nivo fan sertifikaasjeautoriteit (CA) en wurde yntegreare yn sertifikaten yn 'e faze fan har generaasje.
Oan 'e kant fan it sertifisearringssintrum wurdt in algemiene list mei beskikbere foegen byhâlden (hosts wêrmei ferbinings binne tastien) en in list mei brûkers dy't dizze foegen brûke kinne. Om sertifisearre sertifikaten te generearjen mei yntegreare ynformaasje oer bewiisbrieven, wurdt it hiba-gen-hulpprogramma foarsteld, en de funksjonaliteit dy't nedich is om in sertifikaasjeautoriteit te meitsjen is opnommen yn it iba-ca.sh-skript.
As in brûker ferbynt, wurdt de yn it sertifikaat spesifisearre autoriteit befêstige troch in digitale hantekening fan 'e sertifisearringsautoriteit, wêrtroch alle kontrôles folslein kinne wurde útfierd oan' e kant fan 'e doelhost wêrmei't de ferbining is makke, sûnder taflecht te nimmen op eksterne tsjinsten. De list mei iepenbiere kaaien fan 'e sertifisearringsautoriteit dy't SSH-sertifikaten sertifisearret wurdt oantsjutte fia de TrustedUserCAKeys-rjochtline.
Neist it direkt keppeljen fan brûkers oan hosts, lit HIBA jo mear fleksibele tagongsregels definiearje. Bygelyks, ynformaasje lykas lokaasje en tsjinst type kin wurde assosjearre mei hosts, en by it definiearjen fan brûkers tagong regels, ferbinings kinne wurde tastien oan alle hosts mei in opjûne tsjinst type of oan hosts op in spesifisearre lokaasje.
Boarne: opennet.ru