Sdílet prostřednictvím

Ověřovací balíčky

  • Článek

ověřovací balíčky jsou obsaženy v knihovnách dynamického propojení. Místní autorita zabezpečení (LSA) načte ověřovací balíčky pomocí konfiguračních informací uložených v registru. Načítání více ověřovacích balíčků umožňuje LSA podporovat více přihlašovacích procesů a více protokolů zabezpečení .

Přihlašovací procesy používají ověřovací balíčky k analýze přihlašovacích dat. Nové přihlašovací procesy se do systému přidají přidáním GINA ke shromažďování požadovaných přihlašovacích dat a v případě potřeby přidáním nového ověřovacího balíčku pro analýzu dat.

Protokoly zabezpečení se implementují ověřovacími balíčky. Ověřovací balíček analyzuje přihlašovací data podle pravidel a postupů stanovených v protokolu zabezpečení.

Balíčky ověřování zodpovídají za následující úlohy:

  • Analýza přihlašovacích dat za účelem určení, jestli se objekt zabezpečení může přihlásit k systému.
  • Vytvoření nové přihlašovací relace a vytvoření jedinečného identifikátoru přihlášení pro úspěšně ověřený objekt zabezpečení.
  • Předání informací o zabezpečení do LSA pro token zabezpečení objektu zabezpečení.

Když se uživatel pokusí o interaktivní přihlášení, LSA zavolá ověřovací balíček, který určí, jestli se má uživatel přihlásit. MSV1_0 je například ověřovací balíček nainstalovaný s operačním systémem Microsoft Windows. Balíček MSV1_0 přijímá uživatelské jméno a hashované heslo. Vyhledá kombinaci uživatelského jména a hashovaného hesla v databázi Správce účtů zabezpečení (SAM). Pokud přihlašovací data odpovídají uloženým přihlašovacím údajům, ověřovací balíček umožňuje úspěšné přihlášení.

Po úspěšném ověření přihlašovacích údajů objektu zabezpečení je ověřovací balíček zodpovědný za vytvoření nové přihlašovací relace LSA pro objekt zabezpečení a přidělení identifikátoru přihlášení, který jedinečně identifikuje přihlašovací relaci. Ověřovací balíček může přidružit informace o přihlašovacích údaji k přihlašovací relaci pro následné žádosti o ověření. Například ověřovací balíček MSV1_0 (poskytnutý Microsoftem) přidruží k jednotlivým přihlašovacím relacím uživatelské jméno a hodnotu hash hesla uživatele.

Ověřovací balíček také poskytuje sadu identifikátorů zabezpečení (SID) a dalších informací vhodných pro zahrnutí do tokenu zabezpečení vytvořeného LSA. Tento token bude představovat kontext zabezpečení objektu zabezpečení pro přístup k operacím s Windows.

Po vytvoření přihlašovací relace a přidružení k objektu zabezpečení se následné žádosti o ověření provedené jménem objektu zabezpečení zpracovávají jinak než při počátečním přihlášení. Ověřovací balíček nevytvoří novou přihlašovací relaci ani nevrací informace pro vytvoření tokenu. Ověřovací balíček však může přidružit dodatečné přihlašovací údaje získané během následného ověřování s existující přihlašovací relací objektu zabezpečení. Doplňkové přihlašovací údaje jsou získány, když přístup k požadovanému prostředku vyžaduje informace nad rámec přihlašovacích údajů vytvořených počátečním přihlášením. Pokud například přihlášený uživatel požádá o přihlášení k síti Novell, lze volat ověřovací balíček specifický pro Novell a přihlašovací údaje specifické pro Novell lze ověřit a přidružit k přihlašovací relaci. Na tyto přihlašovací údaje může odkazovat přesměrovač Novellu (prostřednictvím ověřovacího balíčku Novellu), když uživatel přistupuje k síti Novell.

Následující témata popisují různé typy balíčků ověřování :