Google je objavio izvorni kod projekta HIBA (Host Identity Based Authorization) koji predlaže implementaciju dodatnog autorizacijskog mehanizma za organiziranje pristupa korisnika putem SSH-a u vezi s hostovima (provjera je li pristup određenom resursu dopušten ili ne prilikom autentifikacije korištenje javnih ključeva). Integracija s OpenSSH omogućena je određivanjem HIBA rukovatelja u direktivi AuthorizedPrincipalsCommand u /etc/ssh/sshd_config. Projektni kod je napisan u C-u i distribuira se pod BSD licencom.
HIBA koristi standardne mehanizme provjere autentičnosti temeljene na OpenSSH certifikatima za fleksibilno i centralizirano upravljanje autorizacijom korisnika u odnosu na hostove, ali ne zahtijeva povremene izmjene datoteka authorized_keys i authorized_users na strani hostova na koje se uspostavlja veza. Umjesto pohranjivanja popisa važećih javnih ključeva i uvjeta pristupa u autorizirane_(keys|users) datoteke, HIBA integrira informacije o povezivanju korisnika i hosta izravno u same certifikate. Posebno su predložena proširenja za host certifikate i korisničke certifikate, koji pohranjuju parametre hosta i uvjete za odobravanje korisničkog pristupa.
Provjera na strani glavnog računala pokreće se pozivanjem hiba-chk rukovatelja navedenog u direktivi AuthorizedPrincipalsCommand. Ovaj procesor dekodira proširenja integrirana u certifikate i na temelju njih donosi odluku o odobravanju ili blokiranju pristupa. Pravila pristupa određuju se centralno na razini certifikacijskog tijela (CA) i integriraju se u certifikate u fazi njihovog generiranja.
Na strani certifikacijskog centra održava se opći popis dostupnih ovlasti (hostovi na koje su dopuštene veze) i popis korisnika kojima je dopušteno korištenje tih ovlasti. Za generiranje certificiranih certifikata s integriranim informacijama o vjerodajnicama, predlaže se uslužni program hiba-gen, a funkcionalnost potrebna za stvaranje certifikacijskog tijela uključena je u skriptu iba-ca.sh.
Kada se korisnik poveže, autoritet naveden u certifikatu potvrđuje se digitalnim potpisom certifikacijskog tijela, što omogućuje da se sve provjere u potpunosti izvrše na strani ciljnog hosta na koji se povezuje, bez pribjegavanja vanjskim servisima. Popis javnih ključeva certifikacijskog tijela koje certificira SSH certifikate navedeno je putem direktive TrustedUserCAKeys.
Osim izravnog povezivanja korisnika s hostovima, HIBA vam omogućuje definiranje fleksibilnijih pravila pristupa. Na primjer, informacije kao što su lokacija i vrsta usluge mogu se pridružiti hostovima, a kada se definiraju pravila korisničkog pristupa, veze se mogu dopustiti svim hostovima s određenom vrstom usluge ili hostovima na određenoj lokaciji.
Izvor: opennet.ru