Гугл је објавио изворни код пројекта ХИБА (Хост Идентити Басед Аутхоризатион) који предлаже имплементацију додатног механизма ауторизације за организовање приступа корисника путем ССХ у вези са хостовима (провера да ли је приступ одређеном ресурсу дозвољен или не при аутентификацији). коришћење јавних кључева). Интеграција са ОпенССХ-ом се обезбеђује навођењем ХИБА руковаоца у директиви АутхоризедПринципалсЦомманд у /етц/ссх/ссхд_цонфиг. Код пројекта је написан на Ц и дистрибуиран под БСД лиценцом.
ХИБА користи стандардне механизме аутентикације засноване на ОпенССХ сертификатима за флексибилно и централизовано управљање ауторизацијом корисника у односу на хостове, али не захтева периодичне промене у датотекама аутхоризед_кеис и аутхоризед_усерс на страни хостова са којима се успоставља веза. Уместо да складишти листу важећих јавних кључева и услова приступа у ауторизованим датотекама_(кључеви|корисници), ХИБА интегрише информације о повезивању корисник-хост директно у саме сертификате. Посебно су предложена проширења за сертификате домаћина и корисничке сертификате, који чувају параметре хоста и услове за доделу приступа кориснику.
Провера на страни домаћина се покреће позивањем хиба-цхк руковаоца наведеног у директиви АутхоризедПринципалсЦомманд. Овај процесор декодира проширења интегрисана у сертификате и на основу њих доноси одлуку о одобравању или блокирању приступа. Правила приступа се одређују централно на нивоу сертификационог тела (ЦА) и интегрисана су у сертификате у фази њиховог генерисања.
На страни центра за сертификацију одржава се општа листа доступних овлашћења (хостови са којима су конекције дозвољене) и листа корисника којима је дозвољено коришћење ових овлашћења. За генерисање сертификованих сертификата са интегрисаним информацијама о акредитивима, предложен је хиба-ген услужни програм, а функционалност неопходна за креирање ауторитета за сертификацију је укључена у иба-ца.сх скрипту.
Када се корисник повеже, овлашћење које је наведено у сертификату потврђује се дигиталним потписом сертификационог тела, што омогућава да се све провере у потпуности изврше на страни циљног хоста са којим се успоставља веза, без прибегавања спољним услугама. Листа јавних кључева ауторитета за сертификацију који сертификује ССХ сертификате је наведена кроз директиву ТрустедУсерЦАКеис.
Поред директног повезивања корисника са домаћинима, ХИБА вам омогућава да дефинишете флексибилнија правила приступа. На пример, информације као што су локација и тип услуге могу бити повезане са хостовима, а када се дефинишу правила приступа корисника, везе могу бити дозвољене свим хостовима са датим типом услуге или са хостовима на одређеној локацији.
Извор: опеннет.ру