Google, ana bilgisayarlarla bağlantılı olarak SSH aracılığıyla kullanıcı erişimini düzenlemek için ek bir yetkilendirme mekanizmasının uygulanmasını öneren HIBA (Ana Bilgisayar Kimliğine Dayalı Yetkilendirme) projesinin kaynak kodunu yayınladı (kimlik doğrulama sırasında belirli bir kaynağa erişime izin verilip verilmediğinin kontrol edilmesi) ortak anahtarları kullanarak). OpenSSH ile entegrasyon, /etc/ssh/sshd_config dosyasındaki AuthorizedPrincipalsCommand yönergesinde HIBA işleyicisi belirtilerek sağlanır. Proje kodu C dilinde yazılmıştır ve BSD lisansı altında dağıtılmaktadır.
HIBA, ana bilgisayarlara ilişkin kullanıcı yetkilendirmesinin esnek ve merkezi yönetimi için OpenSSH sertifikalarına dayalı standart kimlik doğrulama mekanizmalarını kullanır, ancak bağlantının yapıldığı ana bilgisayarların tarafındaki yetkili_anahtarlar ve yetkili_kullanıcılar dosyalarında periyodik değişiklikler yapılmasını gerektirmez. HIBA, geçerli genel anahtarların ve erişim koşullarının bir listesini yetkili_(anahtarlar|kullanıcılar) dosyalarında depolamak yerine, kullanıcı-ana bilgisayar bağlantıları hakkındaki bilgileri doğrudan sertifikaların kendilerine entegre eder. Özellikle, ana makine parametrelerini ve kullanıcı erişimi verme koşullarını saklayan ana makine sertifikaları ve kullanıcı sertifikaları için uzantılar önerilmiştir.
Ana bilgisayar tarafında kontrol, AuthorizedPrincipalsCommand yönergesinde belirtilen hiba-chk işleyicisinin çağrılmasıyla başlatılır. Bu işlemci, sertifikalara entegre edilmiş uzantıların kodunu çözer ve bunlara dayanarak erişimin verilmesi veya engellenmesi konusunda karar verir. Erişim kuralları, sertifika yetkilisi (CA) düzeyinde merkezi olarak belirlenir ve sertifikalara oluşturulma aşamasında entegre edilir.
Sertifika merkezinin yanında, kullanılabilir güçlerin genel bir listesi (bağlantılara izin verilen ana bilgisayarlar) ve bu yetkileri kullanmasına izin verilen kullanıcıların bir listesi bulunur. Kimlik bilgileri hakkında entegre bilgiler içeren sertifikalı sertifikalar oluşturmak için hiba-gen yardımcı programı önerildi ve bir sertifika yetkilisi oluşturmak için gerekli işlevsellik iba-ca.sh komut dosyasına dahil edildi.
Bir kullanıcı bağlandığında, sertifikada belirtilen yetki, sertifika yetkilisinin dijital imzası ile onaylanır ve bu, tüm kontrollerin, harici hizmetlere başvurmadan, tamamen bağlantının yapıldığı hedef ana bilgisayar tarafında yapılmasına olanak tanır. SSH sertifikalarını sertifikalandıran sertifika yetkilisinin ortak anahtarlarının listesi TrustedUserCAKeys yönergesi aracılığıyla belirtilir.
HIBA, kullanıcıları doğrudan ana bilgisayarlara bağlamanın yanı sıra, daha esnek erişim kuralları tanımlamanıza da olanak tanır. Örneğin, konum ve hizmet türü gibi bilgiler ana bilgisayarlarla ilişkilendirilebilir ve kullanıcı erişim kuralları tanımlanırken, belirli bir hizmet türüne sahip tüm ana bilgisayarlara veya belirli bir konumdaki ana bilgisayarlara bağlantılara izin verilebilir.
Kaynak: opennet.ru