Поделиться через


Пакеты проверки подлинности

пакеты проверки подлинности содержатся в библиотеках динамической компоновки. локальный центр безопасности (LSA) загружает пакеты проверки подлинности с помощью сведений о конфигурации, хранящихся в реестре. Загрузка нескольких пакетов проверки подлинности позволяет LSA поддерживать несколько процессов входа и несколько протоколов безопасности .

Процессы входа используют пакеты проверки подлинности для анализа данных входа. Новые процессы входа добавляются в систему путем добавления GINA для сбора необходимых данных входа и при необходимости путем добавления нового пакета проверки подлинности для анализа данных.

Протоколы безопасности реализуются пакетами проверки подлинности. Пакет проверки подлинности анализирует данные входа, следуя правилам и процедурам, указанным в протоколе безопасности.

Пакеты проверки подлинности отвечают за следующие задачи:

  • Анализ данных входа, чтобы определить, разрешено ли субъекту безопасности войти в систему.
  • Создание нового сеанса входаи создание уникальногоидентификатора входадля успешно прошедшего проверку подлинности субъекта.
  • Передача сведений о безопасности в LSA для маркера безопасности субъекта.

Когда пользователь пытается выполнить интерактивный вход, LSA вызывает пакет проверки подлинности, чтобы определить, разрешать ли пользователю войти в систему. MSV1_0, например, это пакет проверки подлинности, установленный с операционной системой Microsoft Windows. Пакет MSV1_0 принимает имя пользователя и пароль хэшированного. Он ищет имя пользователя и хэшированную комбинацию паролей в базе данных диспетчера учетных записей безопасности (SAM). Если данные входа соответствуют сохраненным учетным данным , пакет проверки подлинности разрешает успешному входу.

После успешной проверки подлинностиучетных данных субъекта безопасности пакет проверки подлинности отвечает за создание нового сеанса входа LSA для субъекта и выделение идентификатора входа, который однозначно идентифицирует сеанс входа. Пакет проверки подлинности может связать учетные данные с сеансом входа в систему для последующих запросов проверки подлинности. Например, пакет проверки подлинности MSV1_0 (предоставленный корпорацией Майкрософт) связывает имя учетной записи пользователя и хэш пароля пользователя с каждым сеансом входа.

Пакет проверки подлинности также предоставляет набор идентификаторов безопасности (SID) и другие сведения, соответствующие включению в маркер безопасности, созданный LSA. Этот маркер будет представлятьконтексте безопасности субъекта для доступа к операциям Windows.

После создания и связи сеанса входа с субъектом последующие запросы проверки подлинности, сделанные от имени субъекта, обрабатываются не так, как первоначальный вход. Пакет проверки подлинности не создает новый сеанс входа и не возвращает сведения для создания маркера. Однако пакет проверки подлинности может связать дополнительные учетные данные, полученные во время последующей проверки подлинности с существующим сеансом входа субъекта. Дополнительные учетные данные получаются при доступе к запрашиваемому ресурсу, требуя сведений за пределами учетных данных, установленных начальным входом. Например, если пользователь, вошедший в систему, запрашивает вход в сеть Novell, можно вызвать пакет проверки подлинности, зависящий от Novell, и учетные данные, относящиеся к Романлу, можно пройти проверку подлинности и связаться с сеансом входа. Эти учетные данные можно ссылаться на средство перенаправления Novell (путем пакета проверки подлинности Novell), когда пользователь обращается к сети Novell.

В следующих разделах рассматриваются различные типы пакетов проверки подлинности :