Поделиться через

Пакеты проверки подлинности

  • Статья

Пакеты проверки подлинности содержатся в библиотеках динамической компоновки. Локальный центр безопасности (LSA) загружает пакеты проверки подлинности с использованием сведений о конфигурации, хранящихся в реестре. Загрузка нескольких пакетов проверки подлинности позволяет LSA поддерживать несколько процессов входа и несколько протоколов безопасности.

Процессы входа используют пакеты проверки подлинности для анализа данных входа. Новые процессы входа добавляются в систему путем добавления GINA для сбора необходимых данных входа и, при необходимости, путем добавления нового пакета проверки подлинности для анализа данных.

Протоколы безопасности реализуются пакетами проверки подлинности. Пакет проверки подлинности анализирует данные входа в систему, следуя правилам и процедурам, изложенным в протоколе безопасности.

Пакеты проверки подлинности отвечают за следующие задачи:

  • Анализ данных входа для определения того, разрешено ли субъекту безопасности выполнять вход в систему.
  • Создание нового сеанса входа и создание уникального идентификатора входа для успешно прошедшего проверку подлинности субъекта.
  • Передача сведений о безопасности в LSA для маркера безопасности субъекта.

Когда пользователь пытается выполнить интерактивный вход, LSA вызывает пакет проверки подлинности, чтобы определить, следует ли разрешить пользователю войти в систему. MSV1_0, например, — это пакет проверки подлинности, установленный в операционной системе Microsoft Windows. Пакет MSV1_0 принимает имя пользователя и хэшированные пароли. Он ищет сочетание имени пользователя и хэшированного пароля в базе данных диспетчера учетных записей безопасности (SAM). Если данные входа соответствуют сохраненным учетным данным, пакет проверки подлинности позволяет успешно выполнить вход.

После успешной проверки подлинности учетных данных субъекта безопасности пакет проверки подлинности отвечает за создание нового сеанса входа LSA для субъекта и выделение идентификатора входа , который однозначно идентифицирует сеанс входа. Пакет проверки подлинности может связать учетные данные с сеансом входа для последующих запросов проверки подлинности. Например, пакет проверки подлинности MSV1_0 (предоставляемый корпорацией Майкрософт) связывает имя учетной записи пользователя и хэш пароля пользователя с каждым сеансом входа.

Пакет проверки подлинности также предоставляет набор идентификаторов безопасности (SID) и другую информацию, подходящую для включения в маркер безопасности, созданный LSA. Этот маркер будет представлять контекст безопасности субъекта для доступа к операциям Windows.

После создания сеанса входа и связывания с субъектом последующие запросы проверки подлинности, выполненные от имени субъекта, обрабатываются иначе, чем при первоначальном входе. Пакет проверки подлинности не создает новый сеанс входа и не возвращает сведения для создания маркера. Однако пакет проверки подлинности может связать дополнительные учетные данные , полученные во время последующей проверки подлинности, с существующим сеансом входа субъекта. Дополнительные учетные данные получаются, когда для доступа к запрашиваемому ресурсу требуются сведения, превышающие учетные данные, установленные при первоначальном входе. Например, когда пользователь, вошедший в систему, запрашивает вход в сеть Novell, можно вызвать пакет проверки подлинности, зависящий от Novell, и учетные данные novell могут быть проверены и связаны с сеансом входа. На эти учетные данные может ссылаться перенаправитель Novell (с помощью пакета проверки подлинности Novell), когда пользователь обращается к сети Novell.

В следующих разделах рассматриваются различные типы пакетов проверки подлинности.