Google HIBA (Host Identity Based Authorization) loyihasining manba kodini chop etdi, u xostlar bilan bog‘liq holda SSH orqali foydalanuvchi kirishini tashkil qilish uchun qo‘shimcha avtorizatsiya mexanizmini joriy qilishni taklif qiladi (autentifikatsiya qilishda ma’lum bir resursga kirishga ruxsat berilgan yoki yo‘qligini tekshirish) ochiq kalitlardan foydalanish). OpenSSH bilan integratsiya /etc/ssh/sshd_config da AuthorizedPrincipalsCommand direktivasida HIBA ishlov beruvchisini belgilash orqali ta'minlanadi. Loyiha kodi C tilida yozilgan va BSD litsenziyasi ostida tarqatiladi.
HIBA xostlarga nisbatan foydalanuvchi avtorizatsiyasini moslashuvchan va markazlashtirilgan boshqarish uchun OpenSSH sertifikatlariga asoslangan standart autentifikatsiya mexanizmlaridan foydalanadi, lekin ulanish amalga oshirilgan xostlar tomonidagi avtorizatsiyalangan_kalitlar va avtorizatsiyalangan_foydalanuvchilar fayllariga davriy oʻzgartirishlar kiritishni talab qilmaydi. Ruxsat berilgan_(kalitlar|foydalanuvchilar) fayllarida amaldagi ochiq kalitlar roʻyxati va kirish shartlarini saqlash oʻrniga, HIBA foydalanuvchi-xost ulanishlari haqidagi maʼlumotlarni toʻgʻridan-toʻgʻri sertifikatlarning oʻziga birlashtiradi. Xususan, xost parametrlari va foydalanuvchiga ruxsat berish shartlarini saqlaydigan xost sertifikatlari va foydalanuvchi sertifikatlari uchun kengaytmalar taklif qilingan.
Xost tomonida tekshirish AuthorizedPrincipalsCommand direktivasida ko'rsatilgan hiba-chk ishlov beruvchisini chaqirish orqali boshlanadi. Ushbu protsessor sertifikatlarga birlashtirilgan kengaytmalarni dekodlaydi va ularga asoslanib, ruxsat berish yoki blokirovka qilish to'g'risida qaror qabul qiladi. Kirish qoidalari sertifikatlashtirish organi (CA) darajasida markazlashtirilgan tarzda belgilanadi va ularni yaratish bosqichida sertifikatlarga birlashtiriladi.
Sertifikatlash markazining yon tomonida mavjud vakolatlarning umumiy ro'yxati (ulanishga ruxsat berilgan xostlar) va ushbu vakolatlardan foydalanishga ruxsat berilgan foydalanuvchilar ro'yxati saqlanadi. Hisob ma'lumotlari haqida integratsiyalangan ma'lumotlarga ega sertifikatlangan sertifikatlarni yaratish uchun hiba-gen yordam dasturi taklif etiladi va sertifikatlashtirish organini yaratish uchun zarur bo'lgan funksionallik iba-ca.sh skriptiga kiritilgan.
Foydalanuvchi ulanganda sertifikatda ko‘rsatilgan vakolat sertifikatlashtirish organining raqamli imzosi bilan tasdiqlanadi, bu barcha tekshiruvlarni tashqi xizmatlarga murojaat qilmasdan, ulanish amalga oshirilgan maqsadli xost tomonida to‘liq amalga oshirish imkonini beradi. SSH sertifikatlarini tasdiqlovchi sertifikatlash organining ochiq kalitlari ro'yxati TrustedUserCAKeys direktivasi orqali belgilanadi.
Foydalanuvchilarni xostlar bilan bevosita bog‘lashdan tashqari, HIBA sizga yanada moslashuvchan kirish qoidalarini belgilash imkonini beradi. Masalan, joylashuv va xizmat turi kabi ma'lumotlar xostlar bilan bog'lanishi mumkin va foydalanuvchiga kirish qoidalarini belgilashda ma'lum bir xizmat turiga ega bo'lgan barcha xostlarga yoki belgilangan joylashuvdagi xostlarga ulanishga ruxsat berilishi mumkin.
Manba: opennet.ru