인증 패키지
인증 패키지는 동적 링크 라이브러리에 포함되어 있습니다. LSA( 로컬 보안 기관 )는 레지스트리에 저장된 구성 정보를 사용하여 인증 패키지를 로드합니다. 여러 인증 패키지를 로드하면 LSA가 여러 로그온 프로세스 및 여러 보안 프로토콜을 지원할 수 있습니다.
로그온 프로세스는 인증 패키지를 사용하여 로그온 데이터를 분석합니다. GINA를 추가하여 필요한 로그온 데이터를 수집하고 필요한 경우 데이터를 분석하는 새 인증 패키지를 추가하여 새 로그온 프로세스가 시스템에 추가됩니다.
보안 프로토콜은 인증 패키지에 의해 구현됩니다. 인증 패키지는 보안 프로토콜에 명시된 규칙 및 절차에 따라 로그온 데이터를 분석합니다.
인증 패키지는 다음 작업을 담당합니다.
- 로그온 데이터를 분석하여 보안 주체 가 시스템에 로그온할 수 있는지 여부를 확인합니다.
- 새 로그온 세션을 설정하고 성공적으로 인증된 보안 주체에 대한 고유한 로그온 식별자를 만듭니다.
- 보안 주체의 보안 토큰에 대한 보안 정보를 LSA에 전달합니다.
사용자가 대화형 로그온을 시도할 때 LSA는 인증 패키지를 호출하여 사용자가 로그온할 수 있도록 허용할지 여부를 결정합니다. 예를 들어 MSV1_0 Microsoft Windows 운영 체제와 함께 설치된 인증 패키지입니다. MSV1_0 패키지는 사용자 이름과 해시된 암호를 허용합니다. SAM(보안 계정 관리자) 데이터베이스에서 사용자 이름과 해시된 암호 조합을 조회합니다. 로그온 데이터가 저장된 자격 증명과 일치하는 경우 인증 패키지는 로그온이 성공하도록 허용합니다.
보안 주체의 자격 증명을 성공적으로 인증한 후 인증 패키지는 보안 주체에 대한 새 LSA 로그온 세션을 만들고 로그온 세션을 고유하게 식별하는 로그온 식별자를 할당해야 합니다. 인증 패키지는 후속 인증 요청에 대한 로그온 세션과 자격 증명 정보를 연결할 수 있습니다. 예를 들어 microsoft에서 제공하는 MSV1_0 인증 패키지는 사용자 계정 이름과 사용자 암호 해시를 각 로그온 세션에 연결합니다.
또한 인증 패키지는 LSA에서 만든 보안 토큰에 포함하기에 적합한 SID(보안 식별자 ) 및 기타 정보 집합을 제공합니다. 이 토큰은 Windows 작업에 액세스하기 위한 보안 컨텍스트 를 나타냅니다.
로그온 세션을 만들고 보안 주체와 연결한 후 보안 주체를 대신하여 수행한 후속 인증 요청은 초기 로그온과 다르게 처리됩니다. 인증 패키지는 새 로그온 세션을 만들거나 토큰을 만들기 위한 정보를 반환하지 않습니다. 그러나 인증 패키지는 후속 인증 중에 얻은 추가 자격 증명 을 보안 주체의 기존 로그온 세션과 연결할 수 있습니다. 요청된 리소스에 액세스하려면 초기 로그온에서 설정한 자격 증명 이외의 정보가 필요한 경우 추가 자격 증명을 얻습니다. 예를 들어 로그온한 사용자가 Novell 네트워크 로그온을 요청하는 경우 Novell 관련 인증 패키지를 호출하고 Novell 관련 자격 증명을 인증하고 로그온 세션과 연결할 수 있습니다. 이러한 자격 증명은 사용자가 Novell 네트워크에 액세스할 때 Novell 리디렉터(Novell 인증 패키지를 통해)에서 참조할 수 있습니다.
다음 topics 다양한 유형의 인증 패키지에 대해 설명합니다.