Dela via

Autentiseringspaket

  • Artikel

Autentiseringspaket finns i dynamiska länkbibliotek. Local Security Authority (LSA) läser in autentiseringspaket med hjälp av konfigurationsinformation som lagras i registret. Om du läser in flera autentiseringspaket kan LSA stödja flera inloggningsprocesser och flera säkerhetsprotokoll.

Inloggningsprocesser använder autentiseringspaket för att analysera inloggningsdata. Nya inloggningsprocesser läggs till i ett system genom att lägga till en GINA- för att samla in nödvändiga inloggningsdata och, om det behövs, genom att lägga till ett nytt autentiseringspaket för att analysera data.

Säkerhetsprotokoll implementeras av autentiseringspaket. Ett autentiseringspaket analyserar inloggningsdata genom att följa de regler och procedurer som anges i ett säkerhetsprotokoll.

Autentiseringspaket ansvarar för följande uppgifter:

När en användare försöker logga in interaktivt anropar LSA ett autentiseringspaket för att avgöra om användaren ska kunna logga in. MSV1_0 är till exempel ett autentiseringspaket installerat med Microsoft Windows-operativsystemet. MSV1_0-paketet accepterar ett användarnamn och ett hashade lösenord. Den letar upp användarnamnet och hash-lösenordskombinationen i SAM-databasen (Security Accounts Manager). Om inloggningsdata matchar de lagrade autentiseringsuppgifternatillåter autentiseringspaketet inloggningen att lyckas.

När du har autentiserat en säkerhetsobjektets autentiseringsuppgifter ansvarar ett autentiseringspaket för att skapa en ny LSA-inloggningssession för huvudkontot och allokera inloggningsidentifierare som unikt identifierar inloggningssessionen. Autentiseringspaketet kan associera information om autentiseringsuppgifter med inloggningssessionen för efterföljande autentiseringsbegäranden. Till exempel associerar MSV1_0-autentiseringspaketet (som tillhandahålls av Microsoft) användarnamnet och en hash för användarens lösenord med varje inloggningssession.

Autentiseringspaketet innehåller också en uppsättning säkerhetsidentifierare (SID) och annan information som är lämplig för att inkluderas i den säkerhetstoken som skapats av LSA. Den här token representerar huvudnamnets säkerhetskontext för åtkomst till Windows-åtgärder.

När en inloggningssession har skapats och associerats med ett huvudnamn hanteras efterföljande autentiseringsbegäranden som görs för huvudkontot på ett annat sätt än den första inloggningen. Autentiseringspaketet skapar ingen ny inloggningssession eller returnerar information för att skapa en token. Autentiseringspaketet kan dock associera kompletterande autentiseringsuppgifter erhålls under en efterföljande autentisering med huvudnamnets befintliga inloggningssession. Kompletterande autentiseringsuppgifter erhålls när åtkomst till en begärd resurs kräver information utöver de autentiseringsuppgifter som fastställts av den första inloggningen. När en inloggad användare till exempel begär en Novell-nätverksinloggning kan ett Novell-specifikt autentiseringspaket anropas och Novell-specifika autentiseringsuppgifter kan autentiseras och associeras med inloggningssessionen. Dessa autentiseringsuppgifter kan refereras av en Novell-omdirigering (via Novell-autentiseringspaketet) när användaren kommer åt Novell-nätverket.

I följande avsnitt beskrivs de olika typerna av -autentiseringspaket: