Compartilhar via


Pacotes de autenticação

Os pacotes de autenticação estão contidos em bibliotecas de link dinâmico. A LSA (Autoridade de Segurança Local ) carrega pacotes de autenticação usando informações de configuração armazenadas no registro. O carregamento de vários pacotes de autenticação permite que a LSA dê suporte a vários processos de logon e vários protocolos de segurança.

Os processos de logon usam pacotes de autenticação para analisar dados de logon. Novos processos de logon são adicionados a um sistema adicionando um GINA para coletar os dados de logon necessários e, se necessário, adicionando um novo pacote de autenticação para analisar os dados.

Os protocolos de segurança são implementados por pacotes de autenticação. Um pacote de autenticação analisa os dados de logon seguindo as regras e procedimentos estabelecidos em um protocolo de segurança.

Os pacotes de autenticação são responsáveis pelas seguintes tarefas:

  • Analisando dados de logon para determinar se uma entidade de segurança tem permissão para fazer logon em um sistema.
  • Estabelecendo uma nova sessão de logon e criando um identificador de logon exclusivo para a entidade de segurança autenticada com êxito.
  • Passando informações de segurança para a LSA para o token de segurança da entidade de segurança.

Quando um usuário tenta um logon interativo, a LSA chama um pacote de autenticação para determinar se o usuário deve fazer logon. MSV1_0, por exemplo, é um pacote de autenticação instalado com o sistema operacional Microsoft Windows. O pacote MSV1_0 aceita um nome de usuário e uma senha com hash . Ele pesquisa a combinação de nome de usuário e senha com hash no banco de dados SAM (Gerenciador de Contas de Segurança). Se os dados de logon corresponderem às credenciais armazenadas, o pacote de autenticação permitirá que o logon seja bem-sucedido.

Depois de autenticar com êxito as credenciais de uma entidade de segurança , um pacote de autenticação é responsável por criar uma nova sessão de logon LSA para a entidade de segurança e alocar o identificador de logon que identifica exclusivamente a sessão de logon. O pacote de autenticação pode associar informações de credencial à sessão de logon para solicitações de autenticação subsequentes. Por exemplo, o pacote de autenticação MSV1_0 (fornecido pela Microsoft) associa o nome da conta de usuário e um hash da senha do usuário a cada sessão de logon.

O pacote de autenticação também fornece um conjunto de SIDs ( identificadores de segurança ) e outras informações apropriadas para inclusão no token de segurança criado pela LSA. Esse token representará o contexto de segurança da entidade de segurança para acesso às operações do Windows.

Depois que uma sessão de logon é criada e associada a uma entidade de segurança, as solicitações de autenticação subsequentes feitas em nome da entidade de segurança são tratadas de forma diferente do logon inicial. O pacote de autenticação não cria uma nova sessão de logon nem retorna informações para criar um token. No entanto, o pacote de autenticação pode associar credenciais complementares obtidas durante uma autenticação subsequente à sessão de logon existente da entidade de segurança. Credenciais complementares são obtidas quando o acesso a um recurso solicitado requer informações além das credenciais estabelecidas pelo logon inicial. Por exemplo, quando um usuário conectado solicita um logon de rede Novell, um pacote de autenticação específico do Novell pode ser chamado e as credenciais específicas de Novell podem ser autenticadas e associadas à sessão de logon. Essas credenciais podem ser referenciadas por um redirecionador Novell (por meio do pacote de autenticação Novell) quando o usuário acessa a rede Novell.

Os tópicos a seguir discutem os vários tipos de pacotes de autenticação: