Google хосттармен байланысты SSH арқылы пайдаланушыға кіруді ұйымдастыру үшін қосымша авторизациялау механизмін енгізуді ұсынатын HIBA (Host Identity Based Authorization) жобасының бастапқы кодын жариялады (аутентификация кезінде белгілі бір ресурсқа кіру рұқсат етілгенін немесе рұқсат етілмегенін тексеру). ашық кілттерді пайдалану). OpenSSH-мен интеграция /etc/ssh/sshd_config ішіндегі AuthorizedPrincipalsCommand директивасында HIBA өңдеушісін көрсету арқылы қамтамасыз етіледі. Жоба коды C тілінде жазылған және BSD лицензиясы бойынша таратылады.
HIBA хосттарға қатысты пайдаланушы авторизациясын икемді және орталықтандырылған басқару үшін OpenSSH сертификаттарына негізделген стандартты аутентификация механизмдерін пайдаланады, бірақ қосылым жасалған хосттар жағындағы авторизацияланған_кілттерге және авторизацияланған_пайдаланушылар файлдарына мерзімді өзгертулерді қажет етпейді. Жарамды ашық кілттер тізімін және рұқсат етілген_(кілттер|пайдаланушылар) файлдарында кіру шарттарын сақтаудың орнына, HIBA пайдаланушы-хост байланыстары туралы ақпаратты тікелей сертификаттардың өздеріне біріктіреді. Атап айтқанда, хост параметрлері мен пайдаланушыға рұқсат беру шарттарын сақтайтын хост сертификаттары мен пайдаланушы сертификаттары үшін кеңейтімдер ұсынылды.
Хост жағында тексеру AuthorizedPrincipalsCommand директивасында көрсетілген hiba-chk өңдеушісін шақыру арқылы басталады. Бұл процессор сертификаттарға біріктірілген кеңейтімдерді декодтайды және олардың негізінде рұқсат беру немесе тыйым салу туралы шешім қабылдайды. Қол жеткізу ережелері орталықтандырылған түрде куәландырушы орталық (CA) деңгейінде анықталады және оларды құру кезеңінде сертификаттарға біріктіріледі.
Сертификаттау орталығының жағында қол жетімді өкілеттіктердің жалпы тізімі (қосылуға рұқсат етілген хосттар) және осы өкілеттіктерді пайдалануға рұқсат етілген пайдаланушылардың тізімі сақталады. Тіркелгі деректері туралы біріктірілген ақпараты бар сертификатталған сертификаттарды жасау үшін hiba-gen утилитасы ұсынылады және сертификаттау орталығын құруға қажетті функция iba-ca.sh сценарийіне енгізілген.
Пайдаланушы қосылған кезде сертификатта көрсетілген өкілеттік куәландырушы орталықтың электрондық цифрлық қолтаңбасымен расталады, бұл барлық тексерулерді сыртқы қызметтерге жүгінбей, қосылу жүзеге асырылатын мақсатты хост жағында толығымен орындауға мүмкіндік береді. SSH сертификаттарын куәландыратын сертификаттау орталығының ашық кілттерінің тізімі TrustedUserCAKeys директивасы арқылы көрсетіледі.
Пайдаланушыларды хосттармен тікелей байланыстырудан басқа, HIBA икемді қатынас ережелерін анықтауға мүмкіндік береді. Мысалы, орын және қызмет түрі сияқты ақпаратты хосттармен байланыстыруға болады және пайдаланушыға қатынасу ережелерін анықтау кезінде қосылымдарға берілген қызмет түрі бар барлық хосттарға немесе белгілі бір орындағы хосттарға рұқсат етілуі мүмкін.
Ақпарат көзі: opennet.ru