Google нь HIBA (Host Identity Based Authorization) төслийн эх кодыг нийтэлсэн бөгөөд энэ нь хостуудтай холбоотой SSH-ээр дамжуулан хэрэглэгчийн хандалтыг зохион байгуулах нэмэлт зөвшөөрлийн механизмыг хэрэгжүүлэхийг санал болгож байна (гэрчилгээ хийх үед тодорхой эх сурвалжид хандах зөвшөөрөл олгосон эсэхийг шалгах). нийтийн түлхүүр ашиглах). OpenSSH-тэй нэгтгэх нь /etc/ssh/sshd_config доторх AuthorizedPrincipalsCommand зааварт HIBA зохицуулагчийг зааж өгснөөр хангана. Төслийн код нь C хэл дээр бичигдсэн бөгөөд BSD лицензийн дагуу түгээгддэг.
HIBA нь хостуудтай холбоотой хэрэглэгчийн зөвшөөрлийн уян хатан, төвлөрсөн удирдлагад OpenSSH сертификат дээр суурилсан стандарт баталгаажуулалтын механизмуудыг ашигладаг боловч холболт хийгдсэн хостуудын эрх бүхий_түлхүүрүүд болон зөвшөөрөгдсөн_хэрэглэгчийн файлуудыг үе үе өөрчлөх шаардлагагүй. Зөвшөөрөгдсөн_(түлхүүр|хэрэглэгч) файлд хүчинтэй нийтийн түлхүүрүүдийн жагсаалт болон хандалтын нөхцлийн жагсаалтыг хадгалахын оронд HIBA нь хэрэглэгчийн хостын холболтын талаарх мэдээллийг гэрчилгээндээ шууд нэгтгэдэг. Ялангуяа хостын параметрүүд болон хэрэглэгчдэд хандах эрх олгох нөхцлийг хадгалдаг хостын гэрчилгээ болон хэрэглэгчийн гэрчилгээнд өргөтгөлүүдийг санал болгосон.
AuthorizedPrincipalsCommand зааварт заасан hiba-chk зохицуулагчийг дуудаж хост тал дээр шалгах ажлыг эхлүүлнэ. Энэхүү процессор нь гэрчилгээнд нэгтгэгдсэн өргөтгөлүүдийг тайлж, тэдгээрт үндэслэн хандалт олгох эсвэл хаах шийдвэр гаргадаг. Хандалтын дүрмийг гэрчилгээжүүлэх байгууллагын (CA) түвшинд төвлөрсөн байдлаар тодорхойлж, тэдгээрийг үүсгэх үе шатанд гэрчилгээнд нэгтгэдэг.
Гэрчилгээжүүлэх төвийн хажуу талд байгаа эрх мэдлийн ерөнхий жагсаалт (холболтыг зөвшөөрсөн хостууд) болон эдгээр эрх мэдлийг ашиглах эрхтэй хэрэглэгчдийн жагсаалтыг хөтөлдөг. Итгэмжлэлийн талаарх нэгдсэн мэдээлэл бүхий баталгаажуулсан гэрчилгээг бий болгохын тулд hiba-gen хэрэгслийг санал болгож, баталгаажуулалтын байгууллагыг бий болгоход шаардлагатай функцийг iba-ca.sh скриптэд оруулсан болно.
Хэрэглэгч холбогдох үед гэрчилгээнд заасан эрх мэдэл нь баталгаажуулалтын байгууллагын тоон гарын үсгээр баталгааждаг бөгөөд энэ нь гадны үйлчилгээнд хандахгүйгээр холболт хийгдсэн зорилтот хостын талд бүх шалгалтыг бүхэлд нь хийх боломжийг олгодог. SSH гэрчилгээг баталгаажуулдаг баталгаажуулалтын байгууллагын нийтийн түлхүүрүүдийн жагсаалтыг TrustedUserCAKeys удирдамжаар зааж өгсөн болно.
HIBA нь хэрэглэгчдийг хосттой шууд холбохоос гадна илүү уян хатан хандалтын дүрмийг тодорхойлох боломжийг танд олгоно. Жишээлбэл, байршил, үйлчилгээний төрөл гэх мэт мэдээллийг хостуудтай холбож болох бөгөөд хэрэглэгчийн хандалтын дүрмийг тодорхойлохдоо тухайн үйлчилгээний төрөл бүхий бүх хостууд эсвэл тодорхой байршил дахь хостуудтай холбогдохыг зөвшөөрч болно.
Эх сурвалж: opennet.ru