Google hefur gefið út frumkóðann HIBA (Host Identity Based Authorization) verkefnisins, sem leggur til að innleiða viðbótarheimildarkerfi til að skipuleggja notendaaðgang í gegnum SSH í tengslum við gestgjafa (athugar hvort aðgangur að tiltekinni auðlind sé leyfður eða ekki við auðkenningu með því að nota opinbera lykla). Samþætting við OpenSSH er veitt með því að tilgreina HIBA meðhöndlunina í AuthorizedPrincipalsCommand tilskipuninni í /etc/ssh/sshd_config. Verkefniskóðinn er skrifaður í C og dreift undir BSD leyfinu.
HIBA notar staðlaða auðkenningaraðferðir sem byggjast á OpenSSH vottorðum fyrir sveigjanlega og miðlæga stjórnun notendaheimilda í tengslum við gestgjafa, en krefst ekki reglubundinna breytinga á authorized_keys og authorized_users skrám á hlið vélanna sem tengingin er við. Í stað þess að geyma lista yfir gilda opinbera lykla og aðgangsskilyrði í authorized_(keys|users) skrám, samþættir HIBA upplýsingar um notanda-hýsilbindingar beint inn í vottorðin sjálf. Sérstaklega hafa verið lagðar til framlengingar fyrir hýsingarvottorð og notendaskírteini, sem geyma hýsilbreytur og skilyrði fyrir veitingu notendaaðgangs.
Athugun á hýsilhliðinni er hafin með því að hringja í hiba-chk meðferðaraðilann sem tilgreindur er í AuthorizedPrincipalsCommand tilskipuninni. Þessi örgjörvi afkóðar viðbætur sem eru samþættar í vottorðum og tekur, á grundvelli þeirra, ákvörðun um að veita eða loka fyrir aðgang. Aðgangsreglur eru ákvarðaðar miðlægt á stigi vottunaryfirvalda (CA) og eru samþættar í skírteini á stigi framleiðslu þeirra.
Á hlið vottunarmiðstöðvarinnar er viðhaldið almennum lista yfir tiltækar heimildir (hýsingar sem tengingar eru leyfðar við) og listi yfir notendur sem hafa leyfi til að nota þessar heimildir. Til að búa til vottuð vottorð með samþættum upplýsingum um skilríki, er hiba-gen tólið lagt til og virknin sem nauðsynleg er til að búa til vottunaryfirvöld er innifalin í iba-ca.sh forskriftinni.
Þegar notandi tengist, er heimildin sem tilgreind er í vottorðinu staðfest með stafrænni undirskrift vottunaryfirvalds, sem gerir kleift að framkvæma allar athuganir að öllu leyti á hlið miðhýsilsins sem tengingin er við, án þess að grípa til utanaðkomandi þjónustu. Listi yfir opinbera lykla vottunaryfirvaldsins sem vottar SSH vottorð er tilgreindur með TrustedUserCAKeys tilskipuninni.
Auk þess að tengja notendur beint við gestgjafa, gerir HIBA þér kleift að skilgreina sveigjanlegri aðgangsreglur. Til dæmis er hægt að tengja upplýsingar eins og staðsetningu og þjónustutegund við gestgjafa og þegar reglur eru skilgreindar um aðgang notenda er hægt að leyfa tengingar við alla gestgjafa með tiltekna þjónustutegund eða við gestgjafa á tilteknum stað.
Heimild: opennet.ru