Google хостторго байланыштуу SSH аркылуу колдонуучуга кирүү мүмкүнчүлүгүн уюштуруу үчүн кошумча авторизациялоо механизмин ишке ашырууну сунуш кылган HIBA (Host Identity Based Authorization) долбоорунун баштапкы кодун жарыялады (аныктыгын текшерүүдө белгилүү бир ресурска кирүүгө уруксат берилген же берилбегенин текшерүү) ачык ачкычтарды колдонуу). OpenSSH менен интеграция /etc/ssh/sshd_config ичинде AuthorizedPrincipalsCommand директивасында HIBA иштеткичти көрсөтүү менен камсыз кылынат. Долбоордун коду C тилинде жазылган жана BSD лицензиясы боюнча таратылат.
HIBA хостторго карата колдонуучунун авторизациясын ийкемдүү жана борборлоштурулган башкаруу үчүн OpenSSH сертификаттарынын негизиндеги стандарттуу аутентификация механизмдерин колдонот, бирок туташуулар жасалган хосттор тарабындагы authorized_keys жана authorized_users файлдарына мезгил-мезгили менен өзгөртүүлөрдү талап кылбайт. Жарактуу ачык ачкычтардын тизмесин жана уруксат берилген_(ачкычтар|колдонуучулардын) файлдарында кирүү шарттарын сактоонун ордуна, HIBA колдонуучу-хост байланыштары жөнүндө маалыматты түздөн-түз сертификаттардын өзүнө бириктирет. Атап айтканда, хосттун параметрлерин жана колдонуучуга кирүү мүмкүнчүлүгүн берүү шарттарын сактаган хост сертификаттары жана колдонуучу сертификаттары үчүн кеңейтүүлөр сунушталды.
Хост тарабындагы текшерүү AuthorizedPrincipalsCommand директивасында көрсөтүлгөн hiba-chk иштеткичтерин чакыруу менен башталат. Бул процессор сертификаттарга интеграцияланган кеңейтүүлөрдү чечмелейт жана алардын негизинде кирүү мүмкүнчүлүгүн берүү же бөгөттөө жөнүндө чечим кабыл алат. Мүмкүнчүлүктүн эрежелери борборлоштурулган түрдө сертификаттоочу органдын (CA) деңгээлинде аныкталат жана аларды түзүү стадиясында сертификаттарга бириктирилет.
Тастыктоочу борбордун тарабында жеткиликтүү ыйгарым укуктардын жалпы тизмеси (байланыштарга уруксат берилген хосттор) жана бул ыйгарым укуктарды колдонууга уруксат берилген колдонуучулардын тизмеси сакталат. Каттоо маалыматтары тууралуу интегралдык маалыматы бар сертификатталган сертификаттарды түзүү үчүн hiba-gen утилитасы сунушталат жана iba-ca.sh скриптинде тастыктоочу органды түзүү үчүн зарыл болгон функциялар камтылган.
Колдонуучу кошулганда, сертификатта көрсөтүлгөн ыйгарым укук күбөлөндүрүүчү органдын ЭЦК менен ырасталат, бул бардык текшерүүлөрдү тышкы кызматтарга кайрылбастан, туташуу жасалган максаттуу хост тарабында толугу менен жүргүзүүгө мүмкүндүк берет. SSH сертификаттарын тастыктаган күбөлүк берүүчү органдын ачык ачкычтарынын тизмеси TrustedUserCAKeys директивасы аркылуу аныкталат.
Колдонуучуларды хосттор менен түздөн-түз байланыштыруудан тышкары, HIBA ийкемдүү кирүү эрежелерин аныктоого мүмкүндүк берет. Мисалы, жайгашкан жер жана тейлөө түрү сыяктуу маалымат хосттор менен байланыштырылышы мүмкүн жана колдонуучуга кирүү эрежелерин аныктоодо, туташуулар берилген кызмат түрүндөгү бардык хостторго же белгиленген жердеги хостторго уруксат берилиши мүмкүн.
Source: opennet.ru