Compartir a través de

Paquetes de autenticación

  • Artículo

los paquetes de autenticación se encuentran en las bibliotecas de vínculos dinámicos. La entidad de seguridad local (LSA) carga los paquetes de autenticación mediante la información de configuración almacenada en el Registro. La carga de varios paquetes de autenticación permite que LSA admita varios procesos de inicio de sesión y varios protocolos de seguridad de .

Los procesos de inicio de sesión usan paquetes de autenticación para analizar los datos de inicio de sesión. Los nuevos procesos de inicio de sesión se agregan a un sistema agregando un GINA para recopilar los datos de inicio de sesión necesarios y, si es necesario, agregando un nuevo paquete de autenticación para analizar los datos.

Los paquetes de autenticación implementan protocolos de seguridad. Un paquete de autenticación analiza los datos de inicio de sesión siguiendo las reglas y procedimientos establecidos en un protocolo de seguridad.

Los paquetes de autenticación son responsables de las siguientes tareas:

  • Analizar los datos de inicio de sesión para determinar si una entidad de seguridad de puede iniciar sesión en un sistema.
  • Establecer una nueva sesión de inicio desesión dey crear un identificador de inicio de sesión único para la entidad de seguridad autenticada correctamente.
  • Pasar información de seguridad al LSA para el token de seguridad de la entidad de seguridad.

Cuando un usuario intenta iniciar sesión interactiva, LSA llama a un paquete de autenticación para determinar si se permite al usuario iniciar sesión. MSV1_0, por ejemplo, es un paquete de autenticación instalado con el sistema operativo Microsoft Windows. El paquete MSV1_0 acepta un nombre de usuario y una contraseña de hash. Busca el nombre de usuario y la combinación de contraseñas hash en la base de datos Administrador de cuentas de seguridad (SAM). Si los datos de inicio de sesión coinciden con las credenciales almacenadas , el paquete de autenticación permite que el inicio de sesión se realice correctamente.

Después de autenticar correctamente las credenciales dede una entidad de seguridad de, un paquete de autenticación es responsable de crear una nueva sesión de inicio de sesión de LSA para la entidad de seguridad y asignar el identificador de inicio de sesión de que identifica de forma única la sesión de inicio de sesión. El paquete de autenticación puede asociar información de credenciales a la sesión de inicio de sesión para las solicitudes de autenticación posteriores. Por ejemplo, el paquete de autenticación de MSV1_0 (proporcionado por Microsoft) asocia el nombre de la cuenta de usuario y un hash de la contraseña del usuario con cada sesión de inicio de sesión.

El paquete de autenticación también proporciona un conjunto de identificadores de seguridad (SID) y otra información adecuada para la inclusión en el token de seguridad creado por LSA. Este token representará el contexto de de seguridad de la entidad de seguridad para acceder a las operaciones de Windows.

Una vez creada una sesión de inicio de sesión y asociada a una entidad de seguridad, las solicitudes de autenticación posteriores realizadas en nombre de la entidad de seguridad se controlan de forma diferente a la inicial del inicio de sesión. El paquete de autenticación no crea una nueva sesión de inicio de sesión ni devuelve información para crear un token. Sin embargo, el paquete de autenticación puede asociar credenciales complementarias obtenidos durante una autenticación posterior con la sesión de inicio de sesión existente de la entidad de seguridad. Las credenciales complementarias se obtienen cuando el acceso a un recurso solicitado requiere información más allá de las credenciales establecidas por el inicio de sesión inicial. Por ejemplo, cuando un usuario que ha iniciado sesión solicita un inicio de sesión de red Novell, se puede llamar a un paquete de autenticación específico de Novell y se pueden autenticar credenciales específicas de Novell y asociarse a la sesión de inicio de sesión. Se puede hacer referencia a estas credenciales mediante un redirector novell (mediante el paquete de autenticación Novell) cuando el usuario accede a la red Novell.

En los temas siguientes se describen los distintos tipos de paquetes de autenticación de :