„Google“ paskelbė projekto HIBA (Host Identity Based Authorization) šaltinio kodą, kuriame siūloma įdiegti papildomą autorizavimo mechanizmą, skirtą organizuoti vartotojo prieigą per SSH, susijusią su prieglobomis (tikrinant, ar autentifikavimo metu leidžiama prieiga prie konkretaus šaltinio, ar ne). naudojant viešuosius raktus). Integracija su OpenSSH pateikiama nurodant HIBA tvarkyklę direktyvoje AuthorizedPrincipalsCommand, esančiame /etc/ssh/sshd_config. Projekto kodas parašytas C kalba ir platinamas pagal BSD licenciją.
HIBA naudoja standartinius autentifikavimo mechanizmus, pagrįstus OpenSSH sertifikatais, kad būtų galima lanksčiai ir centralizuotai valdyti naudotojų įgaliojimus, susijusius su pagrindiniais įrenginiais, tačiau nereikalauja periodinių failų authorised_keys ir authorised_users keitimų, esančių kompiuterių, prie kurių užmezgamas ryšys, pusėje. Užuot saugojusi galiojančių viešųjų raktų ir prieigos sąlygų sąrašą authorised_(keys|users) failuose, HIBA integruoja informaciją apie vartotojo ir pagrindinio kompiuterio susiejimą tiesiai į pačius sertifikatus. Visų pirma buvo pasiūlyti prieglobos sertifikatų ir vartotojo sertifikatų plėtiniai, kuriuose saugomi pagrindinio kompiuterio parametrai ir vartotojo prieigos suteikimo sąlygos.
Patikrinimas pagrindinio kompiuterio pusėje pradedamas iškviečiant „hiba-chk“ tvarkyklę, nurodytą direktyvoje AuthorizedPrincipalsCommand. Šis procesorius dekoduoja į sertifikatus integruotus plėtinius ir pagal juos priima sprendimą dėl prieigos suteikimo ar blokavimo. Prieigos taisyklės nustatomos centralizuotai sertifikavimo institucijos (CA) lygiu ir integruojamos į sertifikatus jų generavimo etape.
Sertifikavimo centro pusėje yra bendras galimų galių sąrašas (prieglobos, prie kurių leidžiama prisijungti) ir vartotojų, kuriems leidžiama naudotis šiomis galiomis, sąrašas. Norint generuoti sertifikuotus sertifikatus su integruota informacija apie kredencialus, siūloma „hiba-gen“ priemonė, o sertifikavimo institucijai sukurti reikalinga funkcija įtraukta į iba-ca.sh scenarijų.
Kai vartotojas prisijungia, sertifikate nurodyta institucija patvirtinama skaitmeniniu sertifikavimo institucijos parašu, leidžiančiu atlikti visus patikrinimus tik toje tikslinėje prieglobos pusėje, prie kurios jungiamasi, nesinaudojant išorinėmis paslaugomis. Sertifikavimo institucijos, kuri sertifikuoja SSH sertifikatus, viešųjų raktų sąrašas yra nurodytas TrustedUserCAKeys direktyvoje.
Be tiesioginio vartotojų susiejimo su prieglobomis, HIBA leidžia apibrėžti lankstesnes prieigos taisykles. Pavyzdžiui, tokia informacija kaip vieta ir paslaugos tipas gali būti susieta su pagrindiniais kompiuteriais, o apibrėžiant vartotojo prieigos taisykles, jungtys gali būti leidžiamos visiems pagrindiniams kompiuteriams, turintiems tam tikrą paslaugos tipą, arba prieglobos kompiuteriams nurodytoje vietoje.
Šaltinis: opennet.ru