Google te pibliye kòd sous pwojè HIBA (Host Identity Based Otorization), ki pwopoze aplikasyon yon mekanis otorizasyon adisyonèl pou òganize aksè itilizatè atravè SSH an koneksyon avèk lame (tcheke si wi ou non aksè a yon resous espesifik yo pèmèt oswa ou pa lè otantifikasyon). lè l sèvi avèk kle piblik). Yo bay entegrasyon ak OpenSSH lè w espesifye okipe HIBA nan direktiv AuthorizedPrincipalsCommand nan /etc/ssh/sshd_config. Kòd pwojè a ekri an C epi distribye anba lisans BSD.
HIBA sèvi ak mekanis otantifikasyon estanda ki baze sou sètifika OpenSSH pou jesyon fleksib ak santralize nan otorizasyon itilizatè an relasyon ak lame yo, men li pa mande pou chanjman peryodik nan authorized_keys ak authorized_users fichye sou bò lame yo ak koneksyon an fèt. Olye pou yo estoke yon lis kle piblik ki valab ak kondisyon aksè nan dosye otorize_(kle|itilizatè), HIBA entegre enfòmasyon sou koneksyon itilizatè-lame dirèkteman nan sètifika yo tèt yo. An patikilye, ekstansyon yo te pwopoze pou sètifika lame ak sètifika itilizatè, ki estoke paramèt lame ak kondisyon pou akòde itilizatè aksè.
Tcheke sou bò lame a inisye lè w rele moun k ap okipe hiba-chk ki espesifye nan direktiv AuthorizedPrincipalsCommand la. Pwosesè sa a dekode ekstansyon ki entegre nan sètifika epi, ki baze sou yo, pran yon desizyon sou akòde oswa bloke aksè. Règ aksè yo detèmine santralman nan nivo otorite sètifikasyon (CA) epi yo entegre nan sètifika nan etap jenerasyon yo.
Sou bò sant sètifikasyon an, yo kenbe yon lis jeneral pouvwa ki disponib (lame ki gen koneksyon yo pèmèt) ak yon lis itilizatè ki gen dwa sèvi ak pouvwa sa yo. Pou jenere sètifika sètifye ak enfòmasyon entegre sou kalifikasyon yo, yo pwopoze sèvis piblik hiba-gen, epi fonksyonalite ki nesesè pou kreye yon otorite sètifikasyon enkli nan script iba-ca.sh la.
Lè yon itilizatè konekte, otorite ki espesifye nan sètifika a konfime pa yon siyati dijital nan otorite sètifikasyon an, ki pèmèt tout chèk yo dwe fèt antyèman sou bò a nan lame a sib kote koneksyon an fèt, san yo pa recourir nan sèvis ekstèn. Lis kle piblik otorite sètifikasyon ki sètifye sètifika SSH yo espesifye nan direktiv TrustedUserCAKeys la.
Anplis de lyen dirèkteman itilizatè yo ak lame, HIBA pèmèt ou defini règ aksè ki pi fleksib. Pou egzanp, enfòmasyon tankou kote ak kalite sèvis yo ka asosye ak gen tout pouvwa a, epi lè defini règ aksè itilizatè, koneksyon yo ka pèmèt nan tout lame ki gen yon kalite sèvis bay oswa nan gen tout pouvwa a nan yon kote espesifik.
Sous: opennet.ru