Google har publicerat källkoden för projektet HIBA (Host Identity Based Authorization), som föreslår implementering av en ytterligare auktoriseringsmekanism för att organisera användaråtkomst via SSH i samband med värdar (kontrollera om åtkomst till en specifik resurs är tillåten eller inte vid autentisering med offentliga nycklar). Integration med OpenSSH tillhandahålls genom att specificera HIBA-hanteraren i AuthorizedPrincipalsCommand-direktivet i /etc/ssh/sshd_config. Projektkoden är skriven i C och distribueras under BSD-licensen.
HIBA använder standardautentiseringsmekanismer baserade på OpenSSH-certifikat för flexibel och centraliserad hantering av användarbehörighet i förhållande till värdar, men kräver inte periodiska ändringar av auktoriserade_nycklarna och auktoriserade_användare-filerna på sidan av värdarna som anslutningen görs till. Istället för att lagra en lista över giltiga publika nycklar och åtkomstvillkor i auktoriserade_(nycklar|användare) filer, integrerar HIBA information om användar-värdbindningar direkt i själva certifikaten. I synnerhet har tillägg föreslagits för värdcertifikat och användarcertifikat, som lagrar värdparametrar och villkor för att ge användaråtkomst.
Kontroll på värdsidan initieras genom att anropa hiba-chk-hanteraren som anges i AuthorizedPrincipalsCommand-direktivet. Denna processor avkodar tillägg integrerade i certifikat och fattar, baserat på dem, ett beslut om att bevilja eller blockera åtkomst. Åtkomstregler bestäms centralt på certifieringsmyndighetsnivå (CA) och integreras i certifikaten när de genereras.
På sidan av certifieringscentret upprätthålls en allmän lista över tillgängliga befogenheter (värdar till vilka anslutningar är tillåtna) och en lista över användare som får använda dessa befogenheter. För att generera certifierade certifikat med integrerad information om referenser föreslås hiba-gen-verktyget, och den funktionalitet som krävs för att skapa en certifieringsmyndighet ingår i iba-ca.sh-skriptet.
När en användare ansluter bekräftas auktoriteten som anges i certifikatet av en digital signatur från certifieringsmyndigheten, vilket gör att alla kontroller kan utföras helt och hållet på den sida av målvärden som anslutningen görs till, utan att tillgripa externa tjänster. Listan över offentliga nycklar för certifieringsmyndigheten som certifierar SSH-certifikat specificeras genom TrustedUserCAKeys-direktivet.
Förutom att direkt länka användare till värdar, låter HIBA dig definiera mer flexibla åtkomstregler. Till exempel kan information som plats och tjänsttyp associeras med värdar, och när man definierar användaråtkomstregler kan anslutningar tillåtas till alla värdar med en given tjänsttyp eller till värdar på en angiven plats.
Källa: opennet.ru