Tá cód foinse an tionscadail HIBA (Údarú Bunaithe ar Aitheantais Óstach) foilsithe ag Google, a mholann cur i bhfeidhm meicníochta údaraithe breise chun rochtain úsáideora trí SSH a eagrú i dtaca le hóstach (seiceáil an gceadaítear rochtain ar acmhainn ar leith nó nach gceadaítear nuair atáthar ag fíordheimhniú ag baint úsáide as eochracha poiblí). Soláthraítear comhtháthú le OpenSSH tríd an láimhseálaí HIBA a shonrú sa treoir AuthorizedPrincipalsCommand in /etc/ssh/sshd_config. Tá cód an tionscadail scríofa i C agus dáilte faoin gceadúnas BSD.
Úsáideann HIBA meicníochtaí fíordheimhnithe caighdeánacha atá bunaithe ar dheimhnithe OpenSSH chun údarú úsáideora a bhainistiú go solúbtha agus go láraithe maidir le hóstach, ach ní éilíonn sé athruithe tréimhsiúla ar na comhaid údaraithe_eochair agus údaraithe_úsáideoirí ar thaobh na n-óstach lena ndéantar an nasc. In ionad liosta d'eochracha poiblí bailí agus de choinníollacha rochtana a stóráil i gcomhaid_(eochracha|úsáideoirí) údaraithe, comhtháthaíonn HIBA faisnéis maidir le ceangail úsáideora-óstach go díreach isteach sna deimhnithe féin. Go háirithe, tá síntí molta do dheimhnithe óstaigh agus deimhnithe úsáideora, a stórálann paraiméadair óstaigh agus coinníollacha maidir le rochtain úsáideora a dheonú.
Cuirtear tús le seiceáil ar thaobh an óstaigh trí ghlao a chur ar an láimhseálaí hiba-chk atá sonraithe sa treoir AuthorizedPrincipalsCommand. Díchódaíonn an próiseálaí seo síntí atá comhtháite i ndeimhnithe agus, bunaithe orthu, déanann sé cinneadh maidir le rochtain a dheonú nó a bhlocáil. Cinntear rialacha rochtana go lárnach ar leibhéal an údaráis deimhniúcháin (CA) agus déantar iad a chomhtháthú le deimhnithe ag an gcéim ina ngintear iad.
Ar thaobh an ionaid deimhniúcháin, coimeádtar liosta ginearálta de na cumhachtaí atá ar fáil (óstaigh a gceadaítear naisc leo) agus liosta úsáideoirí a bhfuil cead acu na cumhachtaí seo a úsáid. Chun deimhnithe deimhnithe a ghiniúint le faisnéis chomhtháite faoi dhintiúir, moltar an áirgiúlacht hiba-gen, agus tá an fheidhmiúlacht is gá chun údarás deimhniúcháin a chruthú san áireamh sa script iba-ca.sh.
Nuair a nascann úsáideoir, deimhnítear an t-údarás atá sonraithe sa deimhniú le síniú digiteach an údaráis deimhniúcháin, a cheadaíonn gach seiceáil a dhéanamh go hiomlán ar thaobh an sprice lena ndéantar an nasc, gan dul i muinín seirbhísí seachtracha. Sonraítear liosta eochracha poiblí an údaráis deimhniúcháin a dheimhníonn deimhnithe SSH tríd an treoir TrustedUserCAKeys.
Chomh maith le húsáideoirí a nascadh go díreach le hóstach, ceadaíonn HIBA duit rialacha rochtana níos solúbtha a shainiú. Mar shampla, is féidir faisnéis amhail suíomh agus cineál seirbhíse a nascadh le hóstach, agus nuair a bhíonn rialacha rochtana úsáideoirí á sainiú, is féidir naisc a cheadú do gach óstach a bhfuil cineál seirbhíse ar leith acu nó d’óstach i suíomh sonraithe.
Foinse: oscailtenet.ru