ローカルサービスの暗号化と認証としての SSH トンネリング

背景：

私のサーバーでは、ドメイン ソケットで着信接続をリッスンし、接続したユーザーと対話するサービスが稼働しています/srv/socket。このサービスは私が作成したもの (C++ で) なので、サービスの動作を簡単に変更できます。現在、このサービスでは認証や権限のチェックは行われません (すぐにわかるように、これは変更する必要があります)。一緒に仕事をしている数人の開発者 (5 人から 10 人くらい) は、インターネット上の別の場所にあるコンピューターからこのサービス (このサービスのみ) にアクセスする必要があります。このサービスでは開発者にかなりの権限が与えられるため、認証をできるだけ強力にして、接続を暗号化する必要があります。根本的な疑問は (XY 問題を回避するために)、これをどのように設定するかです。

アイデアとそれに関する質問:

当初の私のアイデアは、独自の認証を提供し、暗号化に TLS を使用するというものでした (もちろん、サービスを外部ポートに公開します)。ただし、独自の認証を作成すると、セキュリティ上の欠陥が生じる可能性が高く、TLS 経由で接続を動作するように設定するのは面倒です。

2 つ目のアイデアは、SSH を使用するというものでした。SSH にはすでに非常に強力な認証と暗号化機能があり、基本的に必要な機能を果たします。残念ながら、これをどのように設定すればよいかよくわかりません。まず、開発者に完全なシェル アクセスを与えたくないので、デフォルトのシェルを/bin/false(このサイトや関連サイトの他の回答に従って) に変更します。ただし、関連するソケットに接続できるようにする必要があります。SSH トンネリングについて調べましたが、必要なものではないようです。また、「プロキシとしての SSH」に似た他の検索では、すべて関連しているが同じではない問題が見つかります。この場合、何をするのが正しいのでしょうか。もちろん、「シェル」として機能するカスタム実行可能ファイルを作成し、それらのユーザーを自分のサービスに接続するだけで済みますが、このコードはセキュリティ上重要なので、可能であれば自分で作成することは避けたいと思います。

最良のシナリオ:

理想的には、次のようになることを望みます。

1. ユーザーはクライアント上で何らかのコマンドを実行します。
2. サーバー上のプロキシ サービスへの暗号化された接続が作成され、ユーザーはこのサービスに対して自分自身を認証します (理想的には、これは十分に安全であることがわかっている、十分に確立されたサービスです)。
3. プロキシ サービスはサービスへの接続を開き、ユーザー名 (または何らかのユーザー識別子) を転送し、クライアントに接続します。

これを実行する最善の方法は何でしょうか?