Partager via

Packages d’authentification

  • Article

packages d’authentification sont contenus dans les bibliothèques de liens dynamiques. L'Autorité de sécurité locale (LSA) charge les packages d’authentification à l’aide d’informations de configuration stockées dans le Registre. Le chargement de plusieurs packages d’authentification permet au LSA de prendre en charge plusieurs processus d’ouverture de session et plusieurs protocoles de sécurité .

Les processus d’ouverture de session utilisent des packages d’authentification pour analyser les données d’ouverture de session. De nouveaux processus d’ouverture de session sont ajoutés à un système en ajoutant un GINA pour collecter les données d’ouverture de session requises et, si nécessaire, en ajoutant un nouveau package d’authentification pour analyser les données.

Les protocoles de sécurité sont implémentés par les packages d’authentification. Un package d’authentification analyse les données d’ouverture de session en suivant les règles et procédures définies dans un protocole de sécurité.

Les packages d’authentification sont responsables des tâches suivantes :

  • L’analyse des données d’ouverture de session pour déterminer si un principal de sécurité est autorisé à se connecter à un système.
  • Établissement d’une nouvelle session d’ouverture de session et création d’un identificateur d’ouverture de session unique pour le principal authentifié.
  • Passage d’informations de sécurité au LSA pour le jeton de sécurité du principal.

Lorsqu’un utilisateur tente une ouverture de session interactive, l’authentification LSA appelle un package d’authentification pour déterminer s’il faut autoriser l’utilisateur à se connecter. MSV1_0, par exemple, est un package d’authentification installé avec le système d’exploitation Microsoft Windows. Le package MSV1_0 accepte un nom d’utilisateur et un hachage mot de passe. Il recherche le nom d’utilisateur et la combinaison de mots de passe hachés dans la base de données SAM (Security Accounts Manager). Si les données d’ouverture de session correspondent aux informations d’identification stockées , le package d’authentification permet à l’ouverture de session de réussir.

Une fois l’authentification réussie d’une principal de sécurité informations d’identification, un package d’authentification est chargé de créer une session d’ouverture de session LSA pour le principal et d’allouer l’identificateur d’ouverture de session qui identifie de manière unique la session d’ouverture de session. Le package d’authentification peut associer des informations d’identification à la session d’ouverture de session pour les demandes d’authentification suivantes. Par exemple, le package d’authentification MSV1_0 (fourni par Microsoft) associe le nom du compte d’utilisateur et un hachage du mot de passe de l’utilisateur à chaque session d’ouverture de session.

Le package d’authentification fournit également un ensemble d’identificateurs de sécurité (SID) et d’autres informations appropriées pour l’inclusion dans le jeton de sécurité créé par l’ASA. Ce jeton représente le contexte de sécurité du principal pour l’accès aux opérations Windows.

Une fois qu’une session d’ouverture de session est créée et associée à un principal, les demandes d’authentification suivantes effectuées au nom du principal sont gérées différemment de celle de l’ouverture de session initiale. Le package d’authentification ne crée pas de session d’ouverture de session ni retourne des informations pour la création d’un jeton. Toutefois, le package d’authentification peut associer informations d’identification supplémentaires obtenues lors d’une authentification ultérieure à la session d’ouverture de session existante du principal. Les informations d’identification supplémentaires sont obtenues lorsque l’accès à une ressource demandée nécessite des informations au-delà des informations d’identification établies par l’ouverture de session initiale. Par exemple, lorsqu’un utilisateur connecté demande une ouverture de session réseau Novell, un package d’authentification spécifique à Novell peut être appelé et les informations d’identification spécifiques à Novell peuvent être authentifiées et associées à la session d’ouverture de session. Ces informations d’identification peuvent être référencées par un redirecteur Novell (par le biais du package d’authentification Novell) lorsque l’utilisateur accède au réseau Novell.

Les rubriques suivantes décrivent les différents types de packages d’authentification :