Freigeben über

Authentifizierungspakete

  • Artikel

Authentifizierungspakete in Dynamic Link Libraries enthalten sind. Die lokale Sicherheitsbehörde (LSA) lädt Authentifizierungspakete mithilfe von konfigurationsinformationen, die in der Registrierung gespeichert sind. Durch das Laden mehrerer Authentifizierungspakete kann die LSA mehrere Anmeldeprozesse und mehrere Sicherheitsprotokolleunterstützen.

Anmeldeprozesse verwenden Authentifizierungspakete, um Anmeldedaten zu analysieren. Neue Anmeldeprozesse werden einem System hinzugefügt, indem ein GINA- hinzugefügt wird, um die erforderlichen Anmeldedaten zu sammeln, und bei Bedarf ein neues Authentifizierungspaket zum Analysieren der Daten hinzuzufügen.

Sicherheitsprotokolle werden von Authentifizierungspaketen implementiert. Ein Authentifizierungspaket analysiert Anmeldedaten anhand der regeln und verfahren, die in einem Sicherheitsprotokoll festgelegt sind.

Authentifizierungspakete sind für die folgenden Aufgaben verantwortlich:

  • Das Analysieren von Anmeldedaten, um zu bestimmen, ob ein Sicherheitsprinzipal sich bei einem System anmelden darf.
  • Erstellen einer neuen Anmeldesitzung und Erstellen eines eindeutigen Anmeldebezeichners für den erfolgreich authentifizierten Prinzipal.
  • Übergeben von Sicherheitsinformationen an die LSA für das Sicherheitstoken des Prinzipals.

Wenn ein Benutzer eine interaktive Anmeldung versucht, ruft die LSA ein Authentifizierungspaket auf, um festzustellen, ob der Benutzer sich anmelden kann. MSV1_0 ist beispielsweise ein Authentifizierungspaket, das mit dem Microsoft Windows-Betriebssystem installiert ist. Das MSV1_0-Paket akzeptiert einen Benutzernamen und ein kennworthashed. Er sucht die Kombination aus Benutzername und Kennworthash in der SAM-Datenbank (Security Accounts Manager). Wenn die Anmeldedaten mit den gespeicherten Anmeldeinformationenübereinstimmen, ermöglicht das Authentifizierungspaket die erfolgreiche Anmeldung.

Nach der erfolgreichen Authentifizierung derAnmeldeinformationen einesSicherheitsprinzipals ist ein Authentifizierungspaket für das Erstellen einer neuen LSA-Anmeldesitzung für den Prinzipal verantwortlich und das Zuordnen der Anmelde-ID, die die Anmeldesitzung eindeutig identifiziert. Das Authentifizierungspaket kann Anmeldeinformationen der Anmeldesitzung für nachfolgende Authentifizierungsanforderungen zuordnen. Beispielsweise ordnet das MSV1_0 Authentifizierungspaket (bereitgestellt von Microsoft) den Benutzernamen und einen Hash des Kennworts des Benutzers jeder Anmeldesitzung zu.

Das Authentifizierungspaket bietet außerdem eine Reihe von Sicherheitsbezeichnern (SIDs) und andere Informationen, die für die Aufnahme in das von der LSA erstellte Sicherheitstoken geeignet sind. Dieses Token stellt die Sicherheit des Prinzipals Kontext für den Zugriff auf Windows-Vorgänge dar.

Nachdem eine Anmeldesitzung erstellt und einem Prinzipal zugeordnet ist, werden nachfolgende Authentifizierungsanforderungen, die im Auftrag des Prinzipals vorgenommen werden, anders behandelt als die anfängliche Anmeldung. Das Authentifizierungspaket erstellt keine neue Anmeldesitzung oder gibt keine Informationen zum Erstellen eines Tokens zurück. Das Authentifizierungspaket kann jedoch zusätzliche Anmeldeinformationen zuordnen, während einer nachfolgenden Authentifizierung mit der vorhandenen Anmeldesitzung des Prinzipals abgerufen wurden. Zusätzliche Anmeldeinformationen werden abgerufen, wenn der Zugriff auf eine angeforderte Ressource Informationen über die anmeldeinformationen hinaus erfordert, die von der anfänglichen Anmeldung festgelegt wurden. Wenn beispielsweise ein angemeldeter Benutzer eine Novell-Netzwerkanmeldung anfordert, kann ein Novell-spezifisches Authentifizierungspaket aufgerufen werden, und Novell-spezifische Anmeldeinformationen können authentifiziert und der Anmeldesitzung zugeordnet werden. Auf diese Anmeldeinformationen kann von einem Novell-Umleitungsmodul (über das Novell-Authentifizierungspaket) verwiesen werden, wenn der Benutzer auf das Novell-Netzwerk zugreift.

In den folgenden Themen werden die verschiedenen Arten von Authentifizierungspaketenbehandelt: