Partager via


Packages d’authentification

Les packages d’authentification sont contenus dans des bibliothèques de liens dynamiques. L’autorité de sécurité locale (LSA) charge les packages d’authentification à l’aide des informations de configuration stockées dans le Registre. Le chargement de plusieurs packages d’authentification permet à LSA de prendre en charge plusieurs processus d’ouverture de session et plusieurs protocoles de sécurité.

Les processus d’ouverture de session utilisent des packages d’authentification pour analyser les données d’ouverture de session. De nouveaux processus d’ouverture de session sont ajoutés à un système en ajoutant un GINA pour collecter les données d’ouverture de session requises et, si nécessaire, en ajoutant un nouveau package d’authentification pour analyser les données.

Les protocoles de sécurité sont implémentés par les packages d’authentification. Un package d’authentification analyse les données d’ouverture de session en suivant les règles et procédures définies dans un protocole de sécurité.

Les packages d’authentification sont responsables des tâches suivantes :

Lorsqu’un utilisateur tente une ouverture de session interactive, la LSA appelle un package d’authentification pour déterminer s’il faut autoriser l’utilisateur à se connecter. MSV1_0, par exemple, est un package d’authentification installé avec le système d’exploitation Microsoft Windows. Le package MSV1_0 accepte un nom d’utilisateur et un mot de passe haché . Il recherche le nom d’utilisateur et la combinaison de mots de passe hachés dans la base de données du Gestionnaire des comptes de sécurité (SAM). Si les données d’ouverture de session correspondent aux informations d’identification stockées, le package d’authentification permet à l’ouverture de session de réussir.

Après avoir correctement authentifié les informations d’identification d’un principal de sécurité, un package d’authentification est chargé de créer une session d’ouverture de session LSA pour le principal et d’allouer l’identificateur d’ouverture de session qui identifie la session d’ouverture de session de manière unique. Le package d’authentification peut associer des informations d’identification à la session d’ouverture de session pour les demandes d’authentification suivantes. Par exemple, le package d’authentification MSV1_0 (fourni par Microsoft) associe le nom du compte d’utilisateur et un hachage du mot de passe de l’utilisateur à chaque session d’ouverture de session.

Le package d’authentification fournit également un ensemble d’identificateurs de sécurité (SID) et d’autres informations appropriées pour l’inclusion dans le jeton de sécurité créé par LSA. Ce jeton représente le contexte de sécurité du principal pour l’accès aux opérations Windows.

Une fois qu’une session d’ouverture de session est créée et associée à un principal, les demandes d’authentification suivantes effectuées pour le compte du principal sont gérées différemment de l’ouverture de session initiale. Le package d’authentification ne crée pas de session d’ouverture de session et ne retourne pas d’informations pour la création d’un jeton. Toutefois, le package d’authentification peut associer des informations d’identification supplémentaires obtenues lors d’une authentification ultérieure à la session d’ouverture de session existante du principal. Des informations d’identification supplémentaires sont obtenues lorsque l’accès à une ressource demandée nécessite des informations au-delà des informations d’identification établies par l’ouverture de session initiale. Par exemple, lorsqu’un utilisateur connecté demande une ouverture de session réseau Novell, un package d’authentification spécifique à Novell peut être appelé et les informations d’identification spécifiques à Novell peuvent être authentifiées et associées à la session d’ouverture de session. Ces informations d’identification peuvent être référencées par un redirecteur Novell (via le package d’authentification Novell) lorsque l’utilisateur accède au réseau Novell.

Les rubriques suivantes traitent des différents types de packages d’authentification :