Udostępnij za pośrednictwem

Pakiety uwierzytelniania

  • Artykuł

pakiety uwierzytelniania znajdują się w bibliotekach linków dynamicznych. lokalnego urzędu zabezpieczeń (LSA) ładuje pakiety uwierzytelniania przy użyciu informacji o konfiguracji przechowywanych w rejestrze. Ładowanie wielu pakietów uwierzytelniania umożliwia LSA obsługę wielu procesów logowania i wiele protokołów zabezpieczeń .

Procesy logowania używają pakietów uwierzytelniania do analizowania danych logowania. Nowe procesy logowania są dodawane do systemu przez dodanie GINA w celu zbierania wymaganych danych logowania i, w razie potrzeby, przez dodanie nowego pakietu uwierzytelniania w celu przeanalizowania danych.

Protokoły zabezpieczeń są implementowane przez pakiety uwierzytelniania. Pakiet uwierzytelniania analizuje dane logowania, postępując zgodnie z regułami i procedurami określonymi w protokole zabezpieczeń.

Pakiety uwierzytelniania są odpowiedzialne za następujące zadania:

  • Analizowanie danych logowania w celu ustalenia, czy podmiot zabezpieczeń może zalogować się do systemu.
  • Ustanowienie nowej sesji logowaniai utworzenie unikatowego identyfikatora logowania dla pomyślnie uwierzytelnionego podmiotu zabezpieczeń.
  • Przekazywanie informacji zabezpieczających do LSA dla tokenu zabezpieczającego podmiotu zabezpieczeń.

Gdy użytkownik próbuje zalogować się interakcyjnie, LSA wywołuje pakiet uwierzytelniania, aby określić, czy zezwolić użytkownikowi na logowanie. na przykład MSV1_0 jest pakietem uwierzytelniania zainstalowanym w systemie operacyjnym Microsoft Windows. Pakiet MSV1_0 akceptuje nazwę użytkownika i hasło skrótem. Wyszukuje nazwę użytkownika i kombinację skrótów haseł w bazie danych Menedżera kont zabezpieczeń (SAM). Jeśli dane logowania są zgodne z przechowywanymi poświadczeniami , pakiet uwierzytelniania zezwala na pomyślne zalogowanie.

Po pomyślnym uwierzytelnieniu poświadczeńpodmiotu zabezpieczeńpodmiotu zabezpieczeń pakiet uwierzytelniania jest odpowiedzialny za utworzenie nowej sesji logowania LSA dla podmiotu zabezpieczeń i przydzielenie identyfikatora logowania , który jednoznacznie identyfikuje sesję logowania. Pakiet uwierzytelniania może skojarzyć informacje o poświadczeniach z sesją logowania na potrzeby kolejnych żądań uwierzytelniania. Na przykład pakiet uwierzytelniania MSV1_0 (dostarczony przez firmę Microsoft) kojarzy nazwę konta użytkownika i skrót hasła użytkownika z każdą sesją logowania.

Pakiet uwierzytelniania zawiera również zestaw identyfikatorów zabezpieczeń (SID) i inne informacje odpowiednie do dołączenia do tokenu zabezpieczającego utworzonego przez LSA. Ten token będzie reprezentować kontekst zabezpieczeń podmiotu zabezpieczeń w celu uzyskania dostępu do operacji systemu Windows.

Po utworzeniu sesji logowania i skojarzeniu z podmiotem zabezpieczeń kolejne żądania uwierzytelniania wysyłane w imieniu podmiotu zabezpieczeń są obsługiwane inaczej niż początkowe logowanie. Pakiet uwierzytelniania nie tworzy nowej sesji logowania ani nie zwraca informacji o tworzeniu tokenu. Pakiet uwierzytelniania może jednak skojarzyć poświadczenia uzupełniające uzyskane podczas kolejnego uwierzytelniania z istniejącą sesją logowania podmiotu zabezpieczeń. Poświadczenia uzupełniające są uzyskiwane, gdy dostęp do żądanego zasobu wymaga informacji poza poświadczeniami ustalonymi przez początkowe logowanie. Na przykład gdy zalogowany użytkownik zażąda logowania do sieci Firmy Novell, można wywołać pakiet uwierzytelniania specyficzny dla firmy Novell, a poświadczenia specyficzne dla firmy Novell można uwierzytelnić i skojarzyć z sesją logowania. Te poświadczenia można odwoływać się do przekierowania Firmy Novell (za pomocą pakietu uwierzytelniania Firmy Novell), gdy użytkownik uzyskuje dostęp do sieci Novell.

W poniższych tematach omówiono różne typy pakietów uwierzytelniania :