Google huet de Quellcode vum HIBA-Projet (Host Identity Based Authorization) publizéiert, deen d'Ëmsetzung vun engem zousätzlechen Autorisatiounsmechanismus proposéiert fir de Benotzerzougang iwwer SSH a Verbindung mat Hosten z'organiséieren (iwwerpréift ob Zougang zu enger spezifescher Ressource erlaabt ass oder net beim Authentifikatioun mat ëffentleche Schlësselen). Integratioun mat OpenSSH gëtt zur Verfügung gestallt andeems den HIBA Handler an der AuthorizedPrincipalsCommand Direktiv an /etc/ssh/sshd_config spezifizéiert gëtt. De Projet Code ass an C geschriwwen an ënner der BSD Lizenz verdeelt.
HIBA benotzt Standard Authentifikatioun Mechanismen baséiert op OpenSSH Certificaten fir flexibel an zentraliséiert Gestioun vun Benotzer Autorisatioun am Zesummenhang mat Hosten, mee verlaangt net periodesch Ännerungen un der autoriséiert_keys an autoriséiert_Benotzer Fichieren op der Säit vun de Hosten, op déi d'Verbindung gemaach ass. Amplaz eng Lëscht vu valabelen ëffentleche Schlësselen an Zougangsbedéngungen an autoriséierten_(Schlëssel|Benotzer) Dateien ze späicheren, integréiert HIBA Informatioun iwwer Benotzer-Host-Bindungen direkt an d'Zertifikater selwer. Besonnesch Extensiounen goufen fir Hostzertifikater a Benotzerzertifikater proposéiert, déi Hostparameter a Konditioune späicheren fir de Benotzer Zougang ze ginn.
D'Kontroll op der Host Säit gëtt initiéiert andeems Dir den Hiba-chk Handler urufft, deen an der AuthorizedPrincipalsCommand Direktiv spezifizéiert ass. Dëse Prozessor decodéiert Extensiounen, déi an Certificaten integréiert sinn, a baséiert op hinnen eng Entscheedung iwwer Zougank oder Blockéierung. Zougangsregele ginn zentral um Niveau vun der Zertifizéierungsautoritéit (CA) festgeluegt a sinn an Certificaten an der Etapp vun hirer Generatioun integréiert.
Op der Säit vum Zertifizéierungszentrum gëtt eng allgemeng Lëscht vu verfügbare Kräfte gehal (Host, op déi Verbindungen erlaabt sinn) an eng Lëscht vun de Benotzer, déi dës Muechten benotze kënnen. Fir zertifizéiert Certificaten mat integréierter Informatioun iwwer Umeldungsinformatiounen ze generéieren, gëtt den Hiba-gen Utility proposéiert, an d'Funktionalitéit déi néideg ass fir eng Zertifizéierungsautoritéit ze kreéieren ass am iba-ca.sh Skript abegraff.
Wann e Benotzer verbënnt, gëtt d'Autoritéit, déi am Zertifikat spezifizéiert ass, duerch eng digital Ënnerschrëft vun der Zertifizéierungsautoritéit bestätegt, déi et erlaabt all Kontrollen ganz op der Säit vum Zilhost auszeféieren, op deen d'Verbindung gemaach gëtt, ouni op externe Servicer ze kommen. D'Lëscht vun den ëffentleche Schlëssele vun der Zertifizéierungsautoritéit déi SSH Zertifikater zertifizéiert gëtt duerch d'TrustedUserCAKeys Direktiv spezifizéiert.
Zousätzlech fir d'Benotzer direkt mat Hosten ze verbannen, erlaabt HIBA Iech méi flexibel Zougangsregelen ze definéieren. Zum Beispill kënnen Informatioune wéi Standuert a Servicetyp mat Hosten assoziéiert ginn, a wann Dir Benotzer Zougangsregelen definéiert, kënnen Verbindunge fir all Hosten mat engem bestëmmte Servicetyp oder zu Hosten op enger spezifizéierter Plaz erlaabt sinn.
Source: opennet.ru