Google telah menerbitkan kode sumber proyek HIBA (Otorisasi Berbasis Identitas Host), yang mengusulkan penerapan mekanisme otorisasi tambahan untuk mengatur akses pengguna melalui SSH sehubungan dengan host (memeriksa apakah akses ke sumber daya tertentu diizinkan atau tidak saat mengautentikasi menggunakan kunci publik). Integrasi dengan OpenSSH disediakan dengan menentukan pengendali HIBA dalam direktif AuthorizedPrincipalsCommand di /etc/ssh/sshd_config. Kode proyek ditulis dalam C dan didistribusikan di bawah lisensi BSD.
HIBA menggunakan mekanisme otentikasi standar berdasarkan sertifikat OpenSSH untuk manajemen otorisasi pengguna yang fleksibel dan terpusat sehubungan dengan host, tetapi tidak memerlukan perubahan berkala pada file otor_keys dan otor_users di sisi host tempat koneksi dibuat. Daripada menyimpan daftar kunci publik yang valid dan kondisi akses dalam file yang diotorisasi_(kunci|pengguna), HIBA mengintegrasikan informasi tentang pengikatan host pengguna langsung ke dalam sertifikat itu sendiri. Secara khusus, ekstensi telah diusulkan untuk sertifikat host dan sertifikat pengguna, yang menyimpan parameter host dan ketentuan untuk memberikan akses pengguna.
Pemeriksaan di sisi host dimulai dengan memanggil pengendali hiba-chk yang ditentukan dalam direktif AuthorizedPrincipalsCommand. Prosesor ini menerjemahkan ekstensi yang terintegrasi ke dalam sertifikat dan, berdasarkan ekstensi tersebut, membuat keputusan tentang pemberian atau pemblokiran akses. Aturan akses ditentukan secara terpusat di tingkat otoritas sertifikasi (CA) dan diintegrasikan ke dalam sertifikat pada tahap pembuatannya.
Di sisi pusat sertifikasi, daftar umum kewenangan yang tersedia disimpan (host yang koneksinya diperbolehkan) dan daftar pengguna yang diizinkan untuk menggunakan kewenangan ini. Untuk menghasilkan sertifikat bersertifikat dengan informasi kredensial terintegrasi, utilitas hiba-gen diusulkan, dan fungsionalitas yang diperlukan untuk membuat otoritas sertifikasi disertakan dalam skrip iba-ca.sh.
Saat pengguna terhubung, otoritas yang ditentukan dalam sertifikat dikonfirmasi oleh tanda tangan digital dari otoritas sertifikasi, yang memungkinkan semua pemeriksaan dilakukan sepenuhnya di sisi host target tempat koneksi dibuat, tanpa menggunakan layanan eksternal. Daftar kunci publik dari otoritas sertifikasi yang mengesahkan sertifikat SSH ditentukan melalui arahan TrustedUserCAKeys.
Selain menghubungkan pengguna ke host secara langsung, HIBA memungkinkan Anda menentukan aturan akses yang lebih fleksibel. Misalnya, informasi seperti lokasi dan jenis layanan dapat dikaitkan dengan host, dan ketika menentukan aturan akses pengguna, koneksi dapat diizinkan ke semua host dengan jenis layanan tertentu atau ke host di lokasi tertentu.
Sumber: opennet.ru