Google parantos nyebarkeun kode sumber proyék HIBA (Host Identity Based Authorization), anu ngajukeun palaksanaan mékanisme otorisasi tambahan pikeun ngatur aksés pangguna liwat SSH anu aya hubunganana sareng host (mariksa naha aksés ka sumber daya khusus diidinan atanapi henteu nalika auténtikasi. ngagunakeun konci umum). Integrasi sareng OpenSSH disayogikeun ku netepkeun panangan HIBA dina diréktif AuthorizedPrincipalsCommand di /etc/ssh/sshd_config. Kodeu proyék ditulis dina C sareng disebarkeun dina lisénsi BSD.
HIBA ngagunakeun mékanisme auténtikasi baku dumasar kana sertipikat OpenSSH pikeun manajemén fléksibel tur terpusat otorisasina pamaké dina hubungan host, tapi teu merlukeun parobahan periodik kana authorized_keys na authorized_users file di sisi host nu sambungan dijieun. Gantina nyimpen daptar konci publik valid jeung kaayaan aksés dina authorized_(keys|pamaké) file, HIBA integrates informasi ngeunaan bindings pamaké-host langsung kana sertipikat sorangan. Khususna, ekstensi parantos diajukeun pikeun sertipikat host sareng sertipikat pangguna, anu nyimpen parameter host sareng kaayaan pikeun masihan aksés pangguna.
Mariksa di sisi host dimimitian ku nelepon panangan hiba-chk anu ditunjuk dina diréktif AuthorizedPrincipalsCommand. Prosesor ieu ngadekodekeun ekstensi anu terpadu kana sertipikat sareng, dumasar kana éta, nyandak kaputusan ngeunaan masihan atanapi ngahalangan aksés. Aturan aksés ditangtukeun sacara sentral dina tingkat otoritas sertifikasi (CA) sareng diintegrasikeun kana sertipikat dina tahap generasina.
Di sisi pusat sertifikasi, daptar umum kakuatan anu sayogi dijaga (host anu diidinan sambungan) sareng daptar pangguna anu diidinan ngagunakeun kakuatan ieu. Pikeun ngahasilkeun sertipikat Certified kalawan informasi terpadu ngeunaan Kapercayaan, utilitas hiba-gen diusulkeun, sarta fungsionalitas diperlukeun pikeun nyieun otoritas sertifikasi kaasup dina Aksara iba-ca.sh.
Nalika pangguna nyambung, otoritas anu ditunjuk dina sertipikat dikonfirmasi ku tanda tangan digital otoritas sertifikasi, anu ngamungkinkeun sadaya pamariksaan dilaksanakeun sacara lengkep di sisi host target anu sambunganna dilakukeun, tanpa nganggo jasa éksternal. Daptar konci publik otoritas sertifikasi nu certifies sertipikat SSH dieusian ngaliwatan diréktif TrustedUserCAKeys.
Salian langsung numbu pamaké ka host, HIBA ngidinan Anjeun pikeun nangtukeun aturan aksés leuwih fléksibel. Contona, inpormasi sapertos lokasi sareng jinis jasa tiasa dikaitkeun sareng host, sareng nalika netepkeun aturan aksés pangguna, sambungan tiasa diidinan ka sadaya host sareng jinis jasa anu dipasihkeun atanapi ka host dina lokasi anu ditangtukeun.
sumber: opennet.ru