Google ha pubblicato il codice sorgente del progetto HIBA (Host Identity Based Authorization), che propone l'implementazione di un ulteriore meccanismo di autorizzazione per organizzare l'accesso degli utenti tramite SSH in connessione con gli host (controllando se l'accesso a una determinata risorsa è consentito o meno durante l'autenticazione utilizzando chiavi pubbliche). L'integrazione con OpenSSH viene fornita specificando il gestore HIBA nella direttiva AuthorizedPrincipalsCommand in /etc/ssh/sshd_config. Il codice del progetto è scritto in C e distribuito sotto la licenza BSD.
HIBA utilizza meccanismi di autenticazione standard basati su certificati OpenSSH per una gestione flessibile e centralizzata delle autorizzazioni degli utenti in relazione agli host, ma non richiede modifiche periodiche ai file Authorized_Keys e Authorized_Users lato degli host a cui viene effettuata la connessione. Invece di archiviare un elenco di chiavi pubbliche valide e condizioni di accesso nei file autorizzati_(chiavi|utenti), HIBA integra le informazioni sui collegamenti utente-host direttamente nei certificati stessi. In particolare, sono state proposte estensioni per i certificati host e per i certificati utente, che memorizzano parametri host e condizioni per la concessione dell'accesso utente.
Il controllo sul lato host viene avviato chiamando il gestore hiba-chk specificato nella direttiva AuthorizedPrincipalsCommand. Questo processore decodifica le estensioni integrate nei certificati e, in base ad esse, decide se concedere o bloccare l'accesso. Le regole di accesso sono determinate centralmente a livello dell'autorità di certificazione (CA) e sono integrate nei certificati nella fase della loro generazione.
Dal lato del centro di certificazione viene mantenuto un elenco generale dei poteri disponibili (host a cui sono consentite le connessioni) e un elenco degli utenti a cui è consentito utilizzare tali poteri. Per generare certificati certificati con informazioni integrate sulle credenziali, viene proposta l'utilità hiba-gen e la funzionalità necessaria per creare un'autorità di certificazione è inclusa nello script iba-ca.sh.
Quando un utente si connette, l'autorità specificata nel certificato è confermata da una firma digitale dell'autorità di certificazione, che consente di eseguire tutti i controlli interamente dal lato dell'host target a cui viene effettuata la connessione, senza ricorrere a servizi esterni. L'elenco delle chiavi pubbliche dell'autorità di certificazione che certifica i certificati SSH è specificato tramite la direttiva TrustedUserCAKeys.
Oltre a collegare direttamente gli utenti agli host, HIBA consente di definire regole di accesso più flessibili. Ad esempio, informazioni come la posizione e il tipo di servizio possono essere associate agli host e, quando si definiscono le regole di accesso degli utenti, è possibile consentire le connessioni a tutti gli host con un determinato tipo di servizio o agli host in una posizione specifica.
Fonte: opennet.ru