Google рамзи сарчашмаи лоиҳаи HIBA (Host Identity Based Authorization) -ро нашр кард, ки татбиқи механизми иҷозатдиҳии иловагии ташкили дастрасии корбарон тавассути SSH дар робита бо ҳостҳоро пешниҳод мекунад (санҷидани он, ки оё дастрасӣ ба манбаи мушаххас ҳангоми тасдиқи аутентификатсия иҷозат дода шудааст ё не. бо истифода аз калидҳои ҷамъиятӣ). Интегратсия бо OpenSSH тавассути муайян кардани коркарди HIBA дар дастури AuthorizedPrincipalsCommand дар /etc/ssh/sshd_config таъмин карда мешавад. Рамзи лоиҳа дар C навишта шудааст ва таҳти иҷозатномаи BSD паҳн карда мешавад.
HIBA механизмҳои стандартии аутентификатсияро дар асоси сертификатҳои OpenSSH барои идоракунии фасеҳ ва мутамаркази иҷозати корбар нисбат ба ҳостҳо истифода мебарад, аммо тағироти даврии калидҳои authorized_keys ва authorized_users файлҳои дар паҳлӯи ҳостҳое, ки пайвастшавӣ ба онҳо сурат мегирад, талаб намекунад. Ба ҷои нигоҳ доштани рӯйхати калидҳои кушодаи эътибор ва шартҳои дастрасӣ дар файлҳои ваколатдор_(калидҳо|корбарон), HIBA маълумотро дар бораи пайвандҳои корбар-ҳост мустақиман ба худи сертификатҳо ҳамгиро мекунад. Аз ҷумла, васеъкуниҳо барои сертификатҳои ҳост ва сертификатҳои корбар пешниҳод шудаанд, ки параметрҳо ва шартҳои дастрасии корбарро нигоҳ медоранд.
Санҷиши тарафи мизбон тавассути занг задан ба коркарди hiba-chk, ки дар дастури AuthorizedPrincipalsCommand нишон дода шудааст, оғоз мешавад. Ин протсессор васеъкуниҳои ба сертификатҳо муттаҳидшударо рамзкушо мекунад ва дар асоси онҳо дар бораи додан ё бастани дастрасӣ қарор қабул мекунад. Қоидаҳои дастрасӣ ба таври мутамарказ дар сатҳи мақомоти сертификатсия (CA) муайян карда мешаванд ва дар марҳилаи тавлиди онҳо ба сертификатҳо ворид карда мешаванд.
Дар паҳлӯи маркази сертификатсия рӯйхати умумии ваколатҳои мавҷуда (ҳостҳое, ки ба онҳо пайвастшавӣ иҷозат дода шудааст) ва рӯйхати корбароне, ки иҷозати истифодаи ин ваколатҳоро доранд, нигоҳ дошта мешавад. Барои тавлиди шаҳодатномаҳои сертификатсияшуда бо маълумоти ҳамгирошуда дар бораи эътимоднома, утилитаи hiba-gen пешниҳод карда мешавад ва функсияи зарурӣ барои эҷоди мақомоти сертификатсия ба скрипти iba-ca.sh дохил карда шудааст.
Вақте ки корбар пайваст мешавад, салоҳияти дар сертификат нишондодашуда бо имзои рақамии мақоми сертификатсия тасдиқ карда мешавад, ки он имкон медиҳад, ки ҳама санҷишҳо комилан дар тарафи ҳости мақсаднок, ки пайвастшавӣ ба он сурат мегирад, бидуни муроҷиат ба хидматҳои беруна анҷом дода шавад. Рӯйхати калидҳои кушодаи мақомоти сертификатсия, ки сертификатҳои SSH-ро тасдиқ мекунад, тавассути дастури TrustedUserCAKeys муайян карда мешавад.
Илова ба пайвастани мустақими корбарон ба ҳостҳо, HIBA ба шумо имкон медиҳад, ки қоидаҳои дастрасии фасењтарро муайян кунед. Масалан, маълумот ба монанди макон ва намуди хидмат метавонад бо ҳостҳо алоқаманд бошад ва ҳангоми муайян кардани қоидаҳои дастрасии корбар, пайвастшавӣ ба ҳама ҳостҳо бо навъи хидмати додашуда ё ба ҳостҳо дар макони муайян иҷозат дода мешавад.
Манбаъ: opennet.ru