Condividi tramite

Pacchetti di autenticazione

  • Articolo

pacchetti di autenticazione sono contenuti nelle librerie a collegamento dinamico. Il 'autorità di sicurezza locale (LSA) carica i pacchetti di autenticazione usando le informazioni di configurazione archiviate nel Registro di sistema. Il caricamento di più pacchetti di autenticazione consente a LSA di supportare più processi di accesso e più protocolli di sicurezza .

I processi di accesso usano pacchetti di autenticazione per analizzare i dati di accesso. I nuovi processi di accesso vengono aggiunti a un sistema aggiungendo un GINA per raccogliere i dati di accesso necessari e, se necessario, aggiungendo un nuovo pacchetto di autenticazione per analizzare i dati.

I protocolli di sicurezza vengono implementati dai pacchetti di autenticazione. Un pacchetto di autenticazione analizza i dati di accesso seguendo le regole e le procedure definite in un protocollo di sicurezza.

I pacchetti di autenticazione sono responsabili delle attività seguenti:

  • Analisi dei dati di accesso per determinare se un 'entità di sicurezza è autorizzato ad accedere a un sistema.
  • Definizione di una nuova sessione di accessoe creazione di un identificatore di accesso univoco per l'entità autenticata.
  • Passaggio delle informazioni di sicurezza all'LSA per il token di sicurezza dell'entità.

Quando un utente tenta un accesso interattivo, LSA chiama un pacchetto di autenticazione per determinare se consentire all'utente di eseguire l'accesso. MSV1_0, ad esempio, è un pacchetto di autenticazione installato con il sistema operativo Microsoft Windows. Il pacchetto MSV1_0 accetta un nome utente e una passwordcon hash. Cerca la combinazione di nome utente e password con hash nel database sam (Security Accounts Manager). Se i dati di accesso corrispondono alle credenziali archiviate, il pacchetto di autenticazione consente l'esito positivo dell'accesso.

Dopo aver autenticato correttamente le credenziali didi un'entità di sicurezza di, un pacchetto di autenticazione è responsabile della creazione di una nuova sessione di accesso LSA per l'entità di sicurezza e l'allocazione dell'identificatore di accesso che identifica in modo univoco la sessione di accesso. Il pacchetto di autenticazione può associare le informazioni sulle credenziali alla sessione di accesso per le successive richieste di autenticazione. Ad esempio, il pacchetto di autenticazione MSV1_0 (fornito da Microsoft) associa il nome dell'account utente e un hash della password dell'utente a ogni sessione di accesso.

Il pacchetto di autenticazione fornisce anche un set di identificatori di sicurezza (SID) e altre informazioni appropriate per l'inclusione nel token di sicurezza creato dall'LSA. Questo token rappresenterà il contesto di sicurezza dell'entità per l'accesso alle operazioni di Windows.

Dopo la creazione e l'associazione di una sessione di accesso a un'entità di sicurezza, le successive richieste di autenticazione effettuate per conto dell'entità vengono gestite in modo diverso rispetto all'accesso iniziale. Il pacchetto di autenticazione non crea una nuova sessione di accesso né restituisce informazioni per la creazione di un token. Il pacchetto di autenticazione può tuttavia associare credenziali supplementari ottenute durante un'autenticazione successiva con la sessione di accesso esistente dell'entità. Le credenziali supplementari vengono ottenute quando l'accesso a una risorsa richiesta richiede informazioni oltre le credenziali stabilite dall'accesso iniziale. Ad esempio, quando un utente connesso richiede un accesso alla rete Novell, è possibile chiamare un pacchetto di autenticazione specifico di Novell e autenticare le credenziali specifiche di Novell e associarsi alla sessione di accesso. Queste credenziali possono essere referenziate da un reindirizzamento Novell (tramite il pacchetto di autenticazione Novell) quando l'utente accede alla rete Novell.

Gli argomenti seguenti illustrano i vari tipi di pacchetti di autenticazione :