Google-ը հրապարակել է HIBA (Host Identity Based Authorization) նախագծի սկզբնաղբյուրը, որն առաջարկում է ներդնել լրացուցիչ թույլտվության մեխանիզմ՝ SSH-ի միջոցով օգտատերերի մուտքը հոսթների հետ կապված կազմակերպելու համար (ստուգելով՝ արդյոք նույնականացման ժամանակ թույլատրվում է մուտք գործել կոնկրետ ռեսուրս, թե ոչ։ օգտագործելով հանրային բանալիներ): OpenSSH-ի հետ ինտեգրումն ապահովվում է՝ նշելով HIBA կառավարիչը AuthorizedPrincipalsCommand հրահանգում /etc/ssh/sshd_config: Ծրագրի կոդը գրված է C-ով և տարածվում է BSD լիցենզիայի ներքո:
HIBA-ն օգտագործում է ստանդարտ նույնականացման մեխանիզմներ, որոնք հիմնված են OpenSSH վկայագրերի վրա՝ հոսթների հետ կապված օգտատերերի թույլտվության ճկուն և կենտրոնացված կառավարման համար, սակայն չի պահանջում պարբերական փոփոխություններ autorized_keys-ում և autorized_users ֆայլերում այն հոսթինգների կողմից, որոնց հետ կապն է: Վավեր հանրային բանալիների ցանկը և մուտքի պայմանները լիազորված_(բանալիներ|օգտագործողներ) ֆայլերում պահելու փոխարեն, HIBA-ն ինտեգրում է օգտատեր-հյուրընկալող կապերի մասին տեղեկատվությունը անմիջապես հենց վկայագրերի մեջ: Մասնավորապես, առաջարկվել են ընդարձակումներ հոսթի վկայականների և օգտատերերի վկայագրերի համար, որոնք պահպանում են հոսթի պարամետրերը և օգտատերերի մուտքի թույլտվության պայմանները:
Ստուգումը հյուրընկալող կողմում սկսվում է՝ զանգահարելով «AutorizedPrincipalsCommand» հրահանգում նշված hiba-chk մշակողին: Այս պրոցեսորը վերծանում է սերտիֆիկատներում ինտեգրված ընդարձակումները և դրանց հիման վրա որոշում է կայացնում մուտքի տրամադրման կամ արգելափակման մասին: Մուտքի կանոնները որոշվում են կենտրոնական կարգով սերտիֆիկացման մարմնի (CA) մակարդակում և ինտեգրվում են վկայագրերին դրանց ստեղծման փուլում:
Հավաստագրման կենտրոնի կողմից պահպանվում է առկա լիազորությունների ընդհանուր ցանկը (հոսթներ, որոնց հետ կապերը թույլատրվում են) և այն օգտվողների ցուցակը, որոնց թույլատրվում է օգտագործել այդ լիազորությունները: Հավատարմագրերի մասին ինտեգրված տեղեկություններով հավաստագրված վկայագրեր ստեղծելու համար առաջարկվում է hiba-gen կոմունալ ծրագիրը, և սերտիֆիկացման մարմին ստեղծելու համար անհրաժեշտ ֆունկցիոնալությունը ներառված է iba-ca.sh սկրիպտում:
Երբ օգտատերը միանում է, վկայագրում նշված լիազորությունը հաստատվում է սերտիֆիկացման մարմնի թվային ստորագրությամբ, որը թույլ է տալիս բոլոր ստուգումները կատարել ամբողջությամբ թիրախային հոսթի կողմից, որի հետ կապը կատարվել է, առանց արտաքին ծառայությունների դիմելու: SSH վկայագրերը հավաստող սերտիֆիկացման մարմնի հանրային բանալիների ցանկը սահմանվում է TrustedUserCAKeys հրահանգի միջոցով:
Բացի օգտատերերին հոսթներին ուղղակիորեն կապելուց, HIBA-ն թույլ է տալիս սահմանել մուտքի ավելի ճկուն կանոններ: Օրինակ, այնպիսի տեղեկատվությունը, ինչպիսին է գտնվելու վայրը և ծառայության տեսակը, կարող է կապված լինել հոսթինգների հետ, և օգտատերերի մուտքի կանոնները սահմանելիս կապերը կարող են թույլատրվել տվյալ ծառայության տեսակի բոլոր հոսթներին կամ նշված վայրում գտնվող հոսթներին:
Source: opennet.ru