Google heeft de broncode gepubliceerd van het HIBA-project (Host Identity Based Authorization), dat de implementatie voorstelt van een aanvullend autorisatiemechanisme voor het organiseren van gebruikerstoegang via SSH in verband met hosts (controleren of toegang tot een specifieke bron is toegestaan of niet bij authenticatie gebruik van publieke sleutels). Integratie met OpenSSH wordt mogelijk gemaakt door de HIBA-handler op te geven in de AuthorizedPrincipalsCommand-richtlijn in /etc/ssh/sshd_config. De projectcode is geschreven in C en gedistribueerd onder de BSD-licentie.
HIBA maakt gebruik van standaard authenticatiemechanismen gebaseerd op OpenSSH-certificaten voor flexibel en gecentraliseerd beheer van gebruikersautorisatie met betrekking tot hosts, maar vereist geen periodieke wijzigingen in de geautoriseerde_sleutels en geautoriseerde_gebruikersbestanden aan de kant van de hosts waarmee de verbinding wordt gemaakt. In plaats van een lijst met geldige publieke sleutels en toegangsvoorwaarden op te slaan in geautoriseerde_(keys|users) bestanden, integreert HIBA informatie over gebruiker-host-bindingen rechtstreeks in de certificaten zelf. Er zijn met name uitbreidingen voorgesteld voor hostcertificaten en gebruikerscertificaten, waarin hostparameters en voorwaarden voor het verlenen van gebruikerstoegang zijn opgeslagen.
Controle aan de hostzijde wordt gestart door het aanroepen van de hiba-chk-handler die is opgegeven in de AuthorizedPrincipalsCommand-richtlijn. Deze processor decodeert extensies die in certificaten zijn geïntegreerd en neemt op basis daarvan een beslissing over het verlenen of blokkeren van toegang. Toegangsregels worden centraal bepaald op het niveau van de certificeringsautoriteit (CA) en worden in de fase van het genereren ervan in certificaten geïntegreerd.
Aan de kant van het certificeringscentrum wordt een algemene lijst bijgehouden van beschikbare bevoegdheden (hosts waarmee verbindingen zijn toegestaan) en een lijst van gebruikers die van deze bevoegdheden gebruik mogen maken. Om gecertificeerde certificaten te genereren met geïntegreerde informatie over referenties, wordt het hulpprogramma hiba-gen voorgesteld, en de functionaliteit die nodig is om een certificeringsautoriteit te creëren is opgenomen in het iba-ca.sh-script.
Wanneer een gebruiker verbinding maakt, wordt de in het certificaat gespecificeerde autoriteit bevestigd door een digitale handtekening van de certificeringsautoriteit, waardoor alle controles volledig kunnen worden uitgevoerd aan de kant van de doelhost waarmee verbinding wordt gemaakt, zonder toevlucht te nemen tot externe diensten. De lijst met openbare sleutels van de certificeringsinstantie die SSH-certificaten certificeert, wordt gespecificeerd via de TrustedUserCAKeys-richtlijn.
Naast het rechtstreeks koppelen van gebruikers aan hosts, kunt u met HIBA flexibelere toegangsregels definiëren. Informatie zoals locatie en servicetype kan bijvoorbeeld aan hosts worden gekoppeld, en bij het definiëren van gebruikerstoegangsregels kunnen verbindingen worden toegestaan met alle hosts met een bepaald servicetype of met hosts op een specifieke locatie.
Bron: opennet.ru