다음을 통해 공유


인증 패키지

인증 패키지는 동적 연결 라이브러리에 포함되어 있습니다. LSA(로컬 보안 기관)는 레지스트리에 저장된 구성 정보를 사용하여 인증 패키지를 로드합니다. 여러 인증 패키지를 로드하면 LSA가 여러 로그온 프로세스 및 여러 보안 프로토콜지원할 수 있습니다.

로그온 프로세스는 인증 패키지를 사용하여 로그온 데이터를 분석합니다. 새 로그온 프로세스는 필요한 로그온 데이터를 수집하는 GINA 추가하고 필요한 경우 데이터를 분석하는 새 인증 패키지를 추가하여 시스템에 추가됩니다.

보안 프로토콜은 인증 패키지에 의해 구현됩니다. 인증 패키지는 보안 프로토콜에 명시된 규칙 및 절차에 따라 로그온 데이터를 분석합니다.

인증 패키지는 다음 작업을 담당합니다.

  • 로그온 데이터를 분석하여 보안 주체 시스템에 로그온할 수 있는지 여부를 확인합니다.
  • 로그온 세션 설정하고 성공적으로 인증된 보안 주체에 대한 고유한 로그온 식별자 만듭니다.
  • 보안 주체의 보안 토큰에 대한 보안 정보를 LSA에 전달합니다.

사용자가 대화형 로그온을 시도할 때 LSA는 인증 패키지를 호출하여 사용자가 로그온할 수 있도록 허용할지 여부를 결정합니다. 예를 들어 MSV1_0 Microsoft Windows 운영 체제와 함께 설치된 인증 패키지입니다. MSV1_0 패키지는 사용자 이름과 해시된 암호를 허용합니다. SAM(보안 계정 관리자) 데이터베이스에서 사용자 이름과 해시된 암호 조합을 조회합니다. 로그온 데이터가 저장된 자격 증명일치하는 경우 인증 패키지는 로그온이 성공하도록 허용합니다.

보안 주체의 자격 증명을 성공적으로 인증한 후 인증 패키지는 보안 주체에 대한 새 LSA 로그온 세션을 만들고 로그온 세션을 고유하게 식별하는 로그온 식별자 할당합니다. 인증 패키지는 후속 인증 요청에 대해 자격 증명 정보를 로그온 세션과 연결할 수 있습니다. 예를 들어 microsoft에서 제공하는 MSV1_0 인증 패키지는 사용자 계정 이름과 사용자 암호 해시를 각 로그온 세션과 연결합니다.

또한 인증 패키지는 SID(보안 식별자) 및 LSA에서 만든 보안 토큰에 포함하기에 적합한 기타 정보 집합을 제공합니다. 이 토큰은 Windows 작업에 액세스하기 위한 보안 컨텍스트 나타냅니다.

로그온 세션이 만들어지고 보안 주체와 연결되면 보안 주체를 대신하여 수행한 후속 인증 요청이 초기 로그온과 다르게 처리됩니다. 인증 패키지는 새 로그온 세션을 만들거나 토큰을 만들기 위한 정보를 반환하지 않습니다. 그러나 인증 패키지는 후속 인증 중에 얻은 추가 자격 증명 보안 주체의 기존 로그온 세션과 연결할 수 있습니다. 요청된 리소스에 액세스하려면 초기 로그온에서 설정한 자격 증명 이외의 정보가 필요한 경우 추가 자격 증명을 가져옵니다. 예를 들어 로그온한 사용자가 Novell 네트워크 로그온을 요청하는 경우 Novell 관련 인증 패키지를 호출할 수 있으며 Novell 관련 자격 증명을 인증하고 로그온 세션과 연결할 수 있습니다. 이러한 자격 증명은 사용자가 Novell 네트워크에 액세스할 때 Novell 리디렉터(Novell 인증 패키지를 통해)에서 참조할 수 있습니다.

다음 항목에서는다양한 유형의인증 패키지에 대해 설명합니다.