Google wis nerbitake kode sumber proyek HIBA (Host Identity Based Authorization), sing ngusulake implementasi mekanisme wewenang tambahan kanggo ngatur akses pangguna liwat SSH sing ana hubungane karo host (mriksa manawa akses menyang sumber daya tartamtu diidini utawa ora nalika otentikasi. nggunakake kunci umum). Integrasi karo OpenSSH diwenehake kanthi nemtokake pawang HIBA ing arahan AuthorizedPrincipalsCommand ing /etc/ssh/sshd_config. Kode proyek ditulis ing C lan disebarake miturut lisensi BSD.
HIBA nggunakake mekanisme otentikasi standar adhedhasar sertifikat OpenSSH kanggo manajemen wewenang pangguna sing fleksibel lan terpusat ing hubungane karo host, nanging ora mbutuhake owah-owahan periodik ing file authorized_keys lan authorized_users ing sisih host sing sambungan digawe. Tinimbang nyimpen dhaptar kunci umum sing sah lan kahanan akses ing file authorized_(keys|users), HIBA nggabungake informasi babagan binding host-user langsung menyang sertifikat kasebut. Utamane, ekstensi wis diusulake kanggo sertifikat host lan sertifikat pangguna, sing nyimpen parameter lan kahanan host kanggo menehi akses pangguna.
Priksa ing sisih host diwiwiti kanthi nelpon pawang hiba-chk sing ditemtokake ing arahan AuthorizedPrincipalsCommand. Prosesor iki decode ekstensi sing digabungake menyang sertifikat lan, adhedhasar, nggawe keputusan babagan menehi utawa mblokir akses. Aturan akses ditemtokake kanthi pusat ing tingkat otoritas sertifikasi (CA) lan digabungake menyang sertifikat ing tahap generasi.
Ing sisih pinggir pusat sertifikasi, ana dhaptar umum kekuwatan sing kasedhiya (host sing diidini sambungan) lan dhaptar pangguna sing diidini nggunakake kekuwatan kasebut. Kanggo ngasilake sertifikat sing disertifikasi kanthi informasi terintegrasi babagan kredensial, sarana hiba-gen diusulake, lan fungsi sing dibutuhake kanggo nggawe wewenang sertifikasi kalebu ing skrip iba-ca.sh.
Nalika pangguna nyambung, panguwasa sing ditemtokake ing sertifikat kasebut dikonfirmasi kanthi teken digital saka panguwasa sertifikasi, sing ngidini kabeh mriksa bisa ditindakake kabeh ing sisih host target sing sambungan kasebut digawe, tanpa nggunakake layanan eksternal. Dhaptar kunci umum panguwasa sertifikasi sing nandhakake sertifikat SSH ditemtokake liwat arahan TrustedUserCAKeys.
Saliyane langsung ngubungake pangguna menyang host, HIBA ngidini sampeyan nemtokake aturan akses sing luwih fleksibel. Contone, informasi kayata lokasi lan jinis layanan bisa digandhengake karo host, lan nalika nemtokake aturan akses pangguna, sambungan bisa diidini kanggo kabeh host kanthi jinis layanan sing diwenehake utawa menyang host ing lokasi sing ditemtokake.
Source: opennet.ru