Compartilhar via

Pacotes de autenticação

  • Artigo

pacotes de autenticação estão contidos em bibliotecas de vínculo dinâmico. O LSA (Local Security Authority) carrega pacotes de autenticação usando informações de configuração armazenadas no registro. O carregamento de vários pacotes de autenticação permite que a LSA dê suporte a vários processos de logon e vários protocolos de segurança .

Os processos de logon usam pacotes de autenticação para analisar dados de logon. Novos processos de logon são adicionados a um sistema adicionando um GINA para coletar os dados de logon necessários e, se necessário, adicionando um novo pacote de autenticação para analisar os dados.

Os protocolos de segurança são implementados por pacotes de autenticação. Um pacote de autenticação analisa os dados de logon seguindo as regras e os procedimentos definidos em um protocolo de segurança.

Os pacotes de autenticação são responsáveis pelas seguintes tarefas:

  • A análise de dados de logon para determinar se uma entidade de segurança tem permissão para fazer logon em um sistema.
  • Estabelecer uma nova sessão de logon e criar um identificador de logon exclusivo para a entidade de segurança autenticada com êxito.
  • Passando informações de segurança para a LSA para o token de segurança da entidade de segurança.

Quando um usuário tenta um logon interativo, o LSA chama um pacote de autenticação para determinar se o usuário deve fazer logon. MSV1_0, por exemplo, é um pacote de autenticação instalado com o sistema operacional Microsoft Windows. O pacote MSV1_0 aceita um nome de usuário e uma senha decom hash. Ele pesquisa o nome de usuário e a combinação de senha de hash no banco de dados sam (Gerenciador de Contas de Segurança). Se os dados de logon corresponderem às credenciais de armazenadas, o pacote de autenticação permitirá que o logon seja bem-sucedido.

Depois de autenticar com êxito as credenciais dede uma entidade de segurança, um pacote de autenticação é responsável por criar uma nova sessão de logon LSA para a entidade de segurança e alocar o identificador de logon que identifica exclusivamente a sessão de logon. O pacote de autenticação pode associar informações de credencial à sessão de logon para solicitações de autenticação subsequentes. Por exemplo, o pacote de autenticação MSV1_0 (fornecido pela Microsoft) associa o nome da conta de usuário e um hash da senha do usuário a cada sessão de logon.

O pacote de autenticação também fornece um conjunto de sids (identificadores de segurança) e outras informações apropriadas para inclusão no token de segurança criado pela LSA. Esse token representará a segurança da entidade de segurança contexto para acesso às operações do Windows.

Depois que uma sessão de logon é criada e associada a uma entidade de segurança, as solicitações de autenticação subsequentes feitas em nome da entidade de segurança são tratadas de forma diferente do logon inicial. O pacote de autenticação não cria uma nova sessão de logon nem retorna informações para criar um token. No entanto, o pacote de autenticação pode associar credenciais complementares obtidas durante uma autenticação subsequente com a sessão de logon existente da entidade de segurança. Credenciais complementares são obtidas quando o acesso a um recurso solicitado requer informações além das credenciais estabelecidas pelo logon inicial. Por exemplo, quando um usuário conectado solicita um logon de rede Novell, um pacote de autenticação específico de Novell pode ser chamado e credenciais específicas de Novell podem ser autenticadas e associadas à sessão de logon. Essas credenciais podem ser referenciadas por um redirecionador Novell (por meio do pacote de autenticação Novell) quando o usuário acessa a rede Novell.

Os tópicos a seguir discutem os vários tipos de pacotes de Autenticação :