Google har publisert kildekoden til HIBA-prosjektet (Host Identity Based Authorization), som foreslår implementering av en ekstra autorisasjonsmekanisme for organisering av brukertilgang via SSH i forbindelse med verter (kontrollerer om tilgang til en spesifikk ressurs er tillatt eller ikke ved autentisering ved bruk av offentlige nøkler). Integrasjon med OpenSSH er gitt ved å spesifisere HIBA-behandleren i AuthorizedPrincipalsCommand-direktivet i /etc/ssh/sshd_config. Prosjektkoden er skrevet i C og distribuert under BSD-lisensen.
HIBA bruker standard autentiseringsmekanismer basert på OpenSSH-sertifikater for fleksibel og sentralisert administrasjon av brukerautorisasjon i forhold til verter, men krever ikke periodiske endringer i autoriserte_nøkler og autoriserte_brukere-filene på siden av vertene som tilkoblingen gjøres til. I stedet for å lagre en liste over gyldige offentlige nøkler og tilgangsbetingelser i autoriserte_(nøkler|brukere) filer, integrerer HIBA informasjon om bruker-vert-bindinger direkte i selve sertifikatene. Det er spesielt foreslått utvidelser for vertssertifikater og brukersertifikater, som lagrer vertsparametere og betingelser for å gi brukertilgang.
Kontroll på vertssiden startes ved å ringe hiba-chk-behandleren spesifisert i AuthorizedPrincipalsCommand-direktivet. Denne prosessoren dekoder utvidelser integrert i sertifikater og tar, basert på dem, en beslutning om å gi eller blokkere tilgang. Tilgangsregler bestemmes sentralt på sertifiseringsmyndighetsnivå (CA) og er integrert i sertifikater ved genereringsstadiet.
På siden av sertifiseringssenteret opprettholdes en generell liste over tilgjengelige myndigheter (verter som tilkoblinger er tillatt) og en liste over brukere som har tillatelse til å bruke disse myndighetene. For å generere sertifiserte sertifikater med integrert informasjon om legitimasjon, foreslås hiba-gen-verktøyet, og funksjonaliteten som er nødvendig for å opprette en sertifiseringsinstans er inkludert i iba-ca.sh-skriptet.
Når en bruker kobler til, bekreftes autoriteten spesifisert i sertifikatet av en digital signatur fra sertifiseringsmyndigheten, som gjør at alle kontroller kan utføres utelukkende på siden av målverten som tilkoblingen gjøres til, uten å ty til eksterne tjenester. Listen over offentlige nøkler til sertifiseringsmyndigheten som sertifiserer SSH-sertifikater er spesifisert gjennom TrustedUserCAKeys-direktivet.
I tillegg til å koble brukere direkte til verter, lar HIBA deg definere mer fleksible tilgangsregler. For eksempel kan informasjon som plassering og tjenestetype assosieres med verter, og når du definerer brukertilgangsregler, kan tilkoblinger tillates til alle verter med en gitt tjenestetype eller til verter på et spesifisert sted.
Kilde: opennet.ru