Nai-publish ng Google ang source code ng proyekto ng HIBA (Host Identity Based Authorization), na nagmumungkahi ng pagpapatupad ng karagdagang mekanismo ng awtorisasyon para sa pagsasaayos ng access ng user sa pamamagitan ng SSH na may kaugnayan sa mga host (pagsusuri kung pinapayagan o hindi ang pag-access sa isang partikular na mapagkukunan kapag nagpapatotoo. gamit ang mga pampublikong susi). Ang pagsasama sa OpenSSH ay ibinibigay sa pamamagitan ng pagtukoy sa HIBA handler sa AuthorizedPrincipalsCommand na direktiba sa /etc/ssh/sshd_config. Ang code ng proyekto ay nakasulat sa C at ipinamahagi sa ilalim ng lisensya ng BSD.
Gumagamit ang HIBA ng mga karaniwang mekanismo ng pagpapatotoo batay sa mga OpenSSH na certificate para sa flexible at sentralisadong pamamahala ng awtorisasyon ng user na may kaugnayan sa mga host, ngunit hindi nangangailangan ng mga pana-panahong pagbabago sa mga authorized_keys at authorized_users na mga file sa gilid ng mga host kung saan ginawa ang koneksyon. Sa halip na mag-imbak ng listahan ng mga wastong pampublikong key at mga kundisyon sa pag-access sa mga authorized_(keys|users) na mga file, direktang isinasama ng HIBA ang impormasyon tungkol sa mga binding ng user-host sa mismong mga certificate. Sa partikular, ang mga extension ay iminungkahi para sa mga host certificate at user certificate, na nag-iimbak ng mga parameter ng host at kundisyon para sa pagbibigay ng access ng user.
Ang pagsuri sa panig ng host ay sinisimulan sa pamamagitan ng pagtawag sa hiba-chk handler na tinukoy sa AuthorizedPrincipalsCommand na direktiba. Ang processor na ito ay nagde-decode ng mga extension na isinama sa mga certificate at, batay sa mga ito, ay gumagawa ng desisyon tungkol sa pagbibigay o pagharang ng access. Ang mga panuntunan sa pag-access ay tinutukoy nang sentral sa antas ng awtoridad ng sertipikasyon (CA) at isinama sa mga sertipiko sa yugto ng kanilang henerasyon.
Sa gilid ng certification center, pinapanatili ang isang pangkalahatang listahan ng mga available na awtoridad (mga host kung saan pinapayagan ang mga koneksyon) at isang listahan ng mga user na pinapayagang gumamit ng mga awtoridad na ito. Upang makabuo ng mga sertipikadong sertipiko na may pinagsamang impormasyon tungkol sa mga kredensyal, ang hiba-gen utility ay iminungkahi, at ang functionality na kinakailangan upang lumikha ng awtoridad sa sertipikasyon ay kasama sa iba-ca.sh script.
Kapag kumonekta ang isang user, ang awtoridad na tinukoy sa sertipiko ay kinukumpirma ng isang digital na lagda mula sa awtoridad ng sertipikasyon, na nagpapahintulot sa lahat ng mga pagsusuri na ganap na maisagawa sa gilid ng target na host kung saan ginawa ang koneksyon, nang hindi gumagamit ng mga panlabas na serbisyo. Ang listahan ng mga pampublikong key ng awtoridad sa sertipikasyon na nagpapatunay sa mga sertipiko ng SSH ay tinukoy sa pamamagitan ng direktiba ng TrustedUserCAKeys.
Bilang karagdagan sa direktang pagli-link ng mga user sa mga host, binibigyang-daan ka ng HIBA na tukuyin ang mas nababaluktot na mga panuntunan sa pag-access. Halimbawa, maaaring iugnay ang impormasyon tulad ng lokasyon at uri ng serbisyo sa mga host, at kapag tinutukoy ang mga panuntunan sa pag-access ng user, maaaring payagan ang mga koneksyon sa lahat ng host na may ibinigay na uri ng serbisyo o sa mga host sa isang tinukoy na lokasyon.
Pinagmulan: opennet.ru