Google je objavil izvorno kodo projekta HIBA (Host Identity Based Authorization), ki predlaga implementacijo dodatnega avtorizacijskega mehanizma za organizacijo uporabniškega dostopa prek SSH v povezavi z gostitelji (preverjanje, ali je dostop do določenega vira dovoljen ali ne pri avtentikaciji z uporabo javnih ključev). Integracija z OpenSSH je zagotovljena z določitvijo upravljalnika HIBA v direktivi AuthorizedPrincipalsCommand v /etc/ssh/sshd_config. Projektna koda je napisana v C in se distribuira pod licenco BSD.
HIBA uporablja standardne mehanizme za preverjanje pristnosti, ki temeljijo na certifikatih OpenSSH, za prilagodljivo in centralizirano upravljanje avtorizacije uporabnikov v zvezi z gostitelji, vendar ne zahteva občasnih sprememb datotek authorized_keys in authorized_users na strani gostiteljev, s katerimi je vzpostavljena povezava. Namesto shranjevanja seznama veljavnih javnih ključev in pogojev dostopa v datoteke authorized_(keys|users) HIBA integrira informacije o povezavah uporabnik-gostitelj neposredno v sama potrdila. Zlasti so bile predlagane razširitve za gostiteljska potrdila in uporabniška potrdila, ki shranjujejo gostiteljske parametre in pogoje za odobritev uporabniškega dostopa.
Preverjanje na strani gostitelja se sproži s klicem upravljalnika hiba-chk, določenega v direktivi AuthorizedPrincipalsCommand. Ta procesor dekodira razširitve vgrajene v certifikate in se na podlagi njih odloči o odobritvi ali blokadi dostopa. Pravila dostopa so določena centralno na ravni overitelja (CA) in so vključena v certifikate v fazi njihovega generiranja.
Na strani certifikacijskega centra se vzdržuje splošen seznam razpoložljivih pooblastil (gostitelji, do katerih so dovoljene povezave) in seznam uporabnikov, ki smejo uporabljati ta pooblastila. Za ustvarjanje certificiranih potrdil z integriranimi informacijami o poverilnicah je predlagan pripomoček hiba-gen, funkcionalnost, potrebna za ustvarjanje overitelja potrdil, pa je vključena v skript iba-ca.sh.
Ko se uporabnik poveže, je avtoriteta navedena v certifikatu potrjena z digitalnim podpisom overitelja, kar omogoča, da se vsa preverjanja v celoti izvedejo na strani ciljnega gostitelja, s katerim je vzpostavljena povezava, brez uporabe zunanjih storitev. Seznam javnih ključev overitelja, ki potrjuje potrdila SSH, je določen z direktivo TrustedUserCAKeys.
Poleg neposrednega povezovanja uporabnikov z gostitelji vam HIBA omogoča definiranje bolj prilagodljivih pravil dostopa. Na primer, informacije, kot sta lokacija in vrsta storitve, se lahko povežejo z gostitelji, pri definiranju pravil za uporabniški dostop pa se lahko povezave dovolijo vsem gostiteljem z dano vrsto storitve ali gostiteljem na določeni lokaciji.
Vir: opennet.ru