Google imechapisha msimbo wa chanzo wa mradi wa HIBA (Host Identity Based Authorization), ambao unapendekeza utekelezaji wa utaratibu wa ziada wa uidhinishaji wa kupanga ufikiaji wa mtumiaji kupitia SSH kuhusiana na wapangishi (kuangalia ikiwa ufikiaji wa rasilimali mahususi unaruhusiwa au la wakati wa uthibitishaji. kutumia funguo za umma). Ujumuishaji na OpenSSH hutolewa kwa kubainisha kidhibiti cha HIBA katika maagizo ya AuthorizedPrincipalsCommand katika /etc/ssh/sshd_config. Msimbo wa mradi umeandikwa kwa C na kusambazwa chini ya leseni ya BSD.
HIBA hutumia mbinu za kawaida za uthibitishaji kulingana na vyeti vya OpenSSH kwa usimamizi unaonyumbulika na wa kati wa uidhinishaji wa mtumiaji kuhusiana na wapangishi, lakini hauhitaji mabadiliko ya mara kwa mara kwa funguo_ zilizoidhinishwa na faili za watumiaji walioidhinishwa kwenye upande wa seva pangishi ambapo muunganisho unafanywa. Badala ya kuhifadhi orodha ya funguo halali za umma na masharti ya ufikiaji katika faili zilizoidhinishwa_(vifunguo|watumiaji), HIBA huunganisha maelezo kuhusu vifungo vya mwenyeji wa mtumiaji moja kwa moja kwenye vyeti vyenyewe. Hasa, viendelezi vimependekezwa kwa vyeti vya mwenyeji na vyeti vya mtumiaji, ambavyo huhifadhi vigezo na masharti ya kumpa mtumiaji ufikiaji.
Kuangalia upande wa seva pangishi huanzishwa kwa kupigia simu kidhibiti cha hiba-chk kilichobainishwa katika maagizo ya Amri ya Walioidhinishwa. Kichakataji hiki huamua viendelezi vilivyounganishwa kwenye vyeti na, kwa kuzingatia, hufanya uamuzi kuhusu kutoa au kuzuia ufikiaji. Sheria za ufikiaji huamuliwa kuu katika kiwango cha mamlaka ya uthibitishaji (CA) na hujumuishwa katika vyeti katika hatua ya kizazi chao.
Kwa upande wa kituo cha uthibitisho, orodha ya jumla ya mamlaka zinazopatikana hudumishwa (wapangishi ambao miunganisho yao inaruhusiwa) na orodha ya watumiaji wanaoruhusiwa kutumia mamlaka haya. Ili kutengeneza vyeti vilivyoidhinishwa vilivyo na maelezo jumuishi kuhusu vitambulisho, matumizi ya hiba-gen yanapendekezwa, na utendakazi unaohitajika ili kuunda mamlaka ya uthibitishaji umejumuishwa katika hati ya iba-ca.sh.
Mtumiaji anapounganisha, mamlaka iliyobainishwa katika cheti inathibitishwa na saini ya dijiti ya mamlaka ya uthibitishaji, ambayo inaruhusu ukaguzi wote kutekelezwa kwa upande wa mwenyeji lengwa ambapo muunganisho unafanywa, bila kutumia huduma za nje. Orodha ya funguo za umma za mamlaka ya uidhinishaji inayoidhinisha vyeti vya SSH imebainishwa kupitia mwongozo wa TrustedUserCAKeys.
Mbali na kuunganisha watumiaji moja kwa moja kwa wapangishaji, HIBA hukuruhusu kufafanua sheria rahisi zaidi za ufikiaji. Kwa mfano, maelezo kama vile eneo na aina ya huduma yanaweza kuhusishwa na wapangishi, na wakati wa kufafanua sheria za ufikiaji wa mtumiaji, miunganisho inaweza kuruhusiwa kwa wapangishi wote walio na aina fulani ya huduma au kwa wapangishi katika eneo mahususi.
Chanzo: opennet.ru