Google ka publikuar kodin burimor të projektit HIBA (Host Identity Based Authorization), i cili propozon zbatimin e një mekanizmi shtesë autorizimi për organizimin e aksesit të përdoruesit nëpërmjet SSH në lidhje me hostet (duke kontrolluar nëse qasja në një burim specifik lejohet apo jo kur vërtetohet duke përdorur çelësat publikë). Integrimi me OpenSSH sigurohet duke specifikuar mbajtësin HIBA në direktivën AutorizedPrincipalsCommand në /etc/ssh/sshd_config. Kodi i projektit është shkruar në C dhe shpërndahet nën licencën BSD.
HIBA përdor mekanizmat standardë të vërtetimit të bazuar në certifikatat OpenSSH për menaxhimin fleksibël dhe të centralizuar të autorizimit të përdoruesit në lidhje me hostet, por nuk kërkon ndryshime periodike në skedarët e autorizuar_çelësat dhe autorizuar_përdoruesit në anën e hosteve me të cilët është bërë lidhja. Në vend që të ruajë një listë të çelësave publikë të vlefshëm dhe kushteve të aksesit në skedarët e autorizuar_(çelësat|përdoruesit), HIBA integron informacionin në lidhje me lidhjet e përdoruesit-host direkt në vetë certifikatat. Në veçanti, janë propozuar zgjerime për certifikatat e hostit dhe certifikatat e përdoruesve, të cilat ruajnë parametrat e hostit dhe kushtet për dhënien e aksesit të përdoruesit.
Kontrollimi në anën e pritësit fillon duke telefonuar mbajtësin hiba-chk të specifikuar në direktivën e komandës së autorizuar nga Principalët. Ky procesor dekodon shtesat e integruara në certifikata dhe, bazuar në to, merr një vendim për dhënien ose bllokimin e aksesit. Rregullat e aksesit përcaktohen në mënyrë qendrore në nivelin e autoritetit certifikues (CA) dhe integrohen në certifikata në fazën e gjenerimit të tyre.
Në anën e qendrës së certifikimit, mbahet një listë e përgjithshme e fuqive të disponueshme (hostët me të cilët lejohen lidhjet) dhe një listë e përdoruesve që lejohen të përdorin këto fuqi. Për të gjeneruar certifikata të certifikuara me informacion të integruar rreth kredencialeve, propozohet shërbimi hiba-gen dhe funksionaliteti i nevojshëm për të krijuar një autoritet certifikimi përfshihet në skriptin iba-ca.sh.
Kur një përdorues lidhet, autoriteti i specifikuar në certifikatë konfirmohet nga një nënshkrim dixhital i autoritetit të certifikimit, i cili lejon që të gjitha kontrollet të kryhen tërësisht në anën e hostit të synuar me të cilin është bërë lidhja, pa përdorur shërbime të jashtme. Lista e çelësave publikë të autoritetit të certifikimit që certifikon certifikatat SSH specifikohet përmes direktivës TrustedUserCAKeys.
Përveç lidhjes së drejtpërdrejtë të përdoruesve me hostet, HIBA ju lejon të përcaktoni rregulla më fleksibël të aksesit. Për shembull, informacione të tilla si vendndodhja dhe lloji i shërbimit mund të lidhen me hostet dhe kur përcaktohen rregullat e aksesit të përdoruesit, lidhjet mund të lejohen për të gjithë hostet me një lloj shërbimi të caktuar ose për hostet në një vendndodhje të caktuar.
Burimi: opennet.ru