Google ppubblikat il-kodiċi tas-sors tal-proġett HIBA (Host Identity Based Authorization), li jipproponi l-implimentazzjoni ta’ mekkaniżmu ta’ awtorizzazzjoni addizzjonali għall-organizzazzjoni tal-aċċess tal-utent permezz ta’ SSH b’rabta mal-hosts (jiċċekkja jekk l-aċċess għal riżors speċifiku huwiex permess jew le meta tkun awtentikata). bl-użu ta’ ċwievet pubbliċi). L-integrazzjoni ma' OpenSSH hija pprovduta billi jiġi speċifikat il-handler HIBA fid-direttiva AuthorizedPrincipalsCommand f'/etc/ssh/sshd_config. Il-kodiċi tal-proġett huwa miktub f'Ċ u mqassam taħt il-liċenzja BSD.
HIBA juża mekkaniżmi ta' awtentikazzjoni standard ibbażati fuq ċertifikati OpenSSH għal ġestjoni flessibbli u ċentralizzata tal-awtorizzazzjoni tal-utent fir-rigward tal-hosts, iżda ma teħtieġx bidliet perjodiċi fil-fajls authorized_keys u authorized_users fuq in-naħa tal-hosts li għalihom issir il-konnessjoni. Minflok ma jaħżen lista ta 'ċwievet pubbliċi validi u kundizzjonijiet ta' aċċess f'fajls awtorizzati_(ċwievet|utenti), HIBA jintegra informazzjoni dwar rbit utent-host direttament fiċ-ċertifikati nfushom. B'mod partikolari, ġew proposti estensjonijiet għal ċertifikati ospitanti u ċertifikati tal-utent, li jaħżnu parametri tal-host u kundizzjonijiet għall-għoti tal-aċċess tal-utent.
L-iċċekkjar min-naħa tal-host jinbeda billi ċċempel lill-handler hiba-chk speċifikat fid-direttiva AuthorizedPrincipalsCommand. Dan il-proċessur jiddekodifika l-estensjonijiet integrati fiċ-ċertifikati u, abbażi tagħhom, jieħu deċiżjoni dwar l-għoti jew l-imblukkar tal-aċċess. Ir-regoli tal-aċċess huma ddeterminati ċentralment fil-livell tal-awtorità taċ-ċertifikazzjoni (CA) u huma integrati fiċ-ċertifikati fl-istadju tal-ġenerazzjoni tagħhom.
Fuq in-naħa taċ-ċentru ta’ ċertifikazzjoni, tinżamm lista ġenerali ta’ setgħat disponibbli (hosts li għalihom huma permessi konnessjonijiet) u lista ta’ utenti li huma permessi jużaw dawn is-setgħat. Biex tiġġenera ċertifikati ċċertifikati b'informazzjoni integrata dwar il-kredenzjali, hija proposta l-utilità hiba-gen, u l-funzjonalità meħtieġa biex tinħoloq awtorità ta 'ċertifikazzjoni hija inkluża fl-iskrittura iba-ca.sh.
Meta utent jgħaqqad, l-awtorità speċifikata fiċ-ċertifikat hija kkonfermata b'firma diġitali tal-awtorità taċ-ċertifikazzjoni, li tippermetti li l-kontrolli kollha jsiru kompletament fuq in-naħa tal-host fil-mira li għalih issir il-konnessjoni, mingħajr ma jirrikorru għal servizzi esterni. Il-lista taċ-ċwievet pubbliċi tal-awtorità taċ-ċertifikazzjoni li tiċċertifika ċ-ċertifikati SSH hija speċifikata permezz tad-direttiva TrustedUserCAKeys.
Minbarra li torbot direttament lill-utenti mal-hosts, HIBA jippermettilek tiddefinixxi regoli ta 'aċċess aktar flessibbli. Pereżempju, informazzjoni bħal post u tip ta 'servizz tista' tkun assoċjata ma 'hosts, u meta jiġu definiti regoli ta' aċċess għall-utent, konnessjonijiet jistgħu jitħallew lill-hosts kollha b'tip ta 'servizz partikolari jew lil hosts f'post speċifikat.
Sors: opennet.ru