Google ir publicējis projekta HIBA (Host Identity Based Authorization) pirmkodu, kurā ir ierosināts ieviest papildu autorizācijas mehānismu, lai organizētu lietotāju piekļuvi caur SSH saistībā ar resursdatoriem (autentificējoties pārbaudīt, vai ir atļauta piekļuve konkrētam resursam. izmantojot publiskās atslēgas). Integrācija ar OpenSSH tiek nodrošināta, norādot HIBA apdarinātāju direktīvā AuthorizedPrincipalsCommand mapē /etc/ssh/sshd_config. Projekta kods ir rakstīts C valodā un tiek izplatīts saskaņā ar BSD licenci.
HIBA izmanto standarta autentifikācijas mehānismus, kuru pamatā ir OpenSSH sertifikāti, lai elastīgi un centralizēti pārvaldītu lietotāju autorizāciju saistībā ar resursdatoriem, taču tai nav nepieciešamas periodiskas izmaiņas authorised_keys un authorised_users failos to resursdatoru pusē, ar kuriem tiek izveidots savienojums. Tā vietā, lai saglabātu derīgo publisko atslēgu un piekļuves nosacījumu sarakstu Author_(keys|users) failos, HIBA integrē informāciju par lietotāja un resursdatora saistījumiem tieši pašos sertifikātos. Jo īpaši ir ierosināti paplašinājumi resursdatora sertifikātiem un lietotāju sertifikātiem, kuros tiek glabāti resursdatora parametri un nosacījumi lietotāja piekļuves piešķiršanai.
Pārbaude resursdatora pusē tiek uzsākta, izsaucot direktīvā AuthorizedPrincipalsCommand norādīto hiba-chk apdarinātāju. Šis procesors atkodē sertifikātos integrētos paplašinājumus un, pamatojoties uz tiem, pieņem lēmumu par piekļuves piešķiršanu vai bloķēšanu. Piekļuves noteikumi tiek noteikti centralizēti sertifikācijas iestādes (CA) līmenī un tiek integrēti sertifikātos to ģenerēšanas stadijā.
Sertifikācijas centra pusē tiek uzturēts vispārējs pieejamo pilnvaru saraksts (resursdatori, ar kuriem ir atļauti savienojumi) un to lietotāju saraksts, kuriem ir atļauts izmantot šīs pilnvaras. Lai ģenerētu sertificētus sertifikātus ar integrētu informāciju par akreditācijas datiem, tiek piedāvāta utilīta hiba-gen, un skriptā iba-ca.sh ir iekļauta funkcionalitāte, kas nepieciešama sertifikācijas iestādes izveidei.
Kad lietotājs pieslēdzas, sertifikātā norādītā iestāde tiek apstiprināta ar sertifikācijas iestādes ciparparakstu, kas ļauj visas pārbaudes pilnībā veikt tajā mērķa resursdatora pusē, ar kuru tiek izveidots savienojums, neizmantojot ārējos pakalpojumus. SSH sertifikātus sertificējošās sertifikācijas iestādes publisko atslēgu saraksts ir norādīts direktīvā TrustedUserCAKeys.
Papildus tiešai lietotāju saistīšanai ar saimniekdatoriem, HIBA ļauj definēt elastīgākus piekļuves noteikumus. Piemēram, informāciju, piemēram, atrašanās vietu un pakalpojuma veidu, var saistīt ar resursdatoriem, un, definējot lietotāja piekļuves noteikumus, savienojumus var atļaut visiem resursdatoriem ar noteiktu pakalpojuma veidu vai resursdatoriem noteiktā vietā.
Avots: opennet.ru