Пакеты проверки подлинности
пакеты проверки подлинности содержатся в библиотеках динамической компоновки. локальный центр безопасности (LSA) загружает пакеты проверки подлинности с помощью сведений о конфигурации, хранящихся в реестре. Загрузка нескольких пакетов проверки подлинности позволяет LSA поддерживать несколько процессов входа и несколько протоколов безопасности .
Процессы входа используют пакеты проверки подлинности для анализа данных входа. Новые процессы входа добавляются в систему путем добавления GINA для сбора необходимых данных входа и при необходимости путем добавления нового пакета проверки подлинности для анализа данных.
Протоколы безопасности реализуются пакетами проверки подлинности. Пакет проверки подлинности анализирует данные входа, следуя правилам и процедурам, указанным в протоколе безопасности.
Пакеты проверки подлинности отвечают за следующие задачи:
- Анализ данных входа, чтобы определить, разрешено ли субъекту безопасности войти в систему.
- Создание нового сеанса входаи создание уникальногоидентификатора входадля успешно прошедшего проверку подлинности субъекта.
- Передача сведений о безопасности в LSA для маркера безопасности субъекта.
Когда пользователь пытается выполнить интерактивный вход, LSA вызывает пакет проверки подлинности, чтобы определить, разрешать ли пользователю войти в систему. MSV1_0, например, это пакет проверки подлинности, установленный с операционной системой Microsoft Windows. Пакет MSV1_0 принимает имя пользователя и пароль хэшированного. Он ищет имя пользователя и хэшированную комбинацию паролей в базе данных диспетчера учетных записей безопасности (SAM). Если данные входа соответствуют сохраненным учетным данным , пакет проверки подлинности разрешает успешному входу.
После успешной проверки подлинностиучетных данных субъекта безопасности пакет проверки подлинности отвечает за создание нового сеанса входа LSA для субъекта и выделение идентификатора входа, который однозначно идентифицирует сеанс входа. Пакет проверки подлинности может связать учетные данные с сеансом входа в систему для последующих запросов проверки подлинности. Например, пакет проверки подлинности MSV1_0 (предоставленный корпорацией Майкрософт) связывает имя учетной записи пользователя и хэш пароля пользователя с каждым сеансом входа.
Пакет проверки подлинности также предоставляет набор идентификаторов безопасности (SID) и другие сведения, соответствующие включению в маркер безопасности, созданный LSA. Этот маркер будет представлятьконтексте безопасности субъекта для доступа к операциям Windows.
После создания и связи сеанса входа с субъектом последующие запросы проверки подлинности, сделанные от имени субъекта, обрабатываются не так, как первоначальный вход. Пакет проверки подлинности не создает новый сеанс входа и не возвращает сведения для создания маркера. Однако пакет проверки подлинности может связать дополнительные учетные данные, полученные во время последующей проверки подлинности с существующим сеансом входа субъекта. Дополнительные учетные данные получаются при доступе к запрашиваемому ресурсу, требуя сведений за пределами учетных данных, установленных начальным входом. Например, если пользователь, вошедший в систему, запрашивает вход в сеть Novell, можно вызвать пакет проверки подлинности, зависящий от Novell, и учетные данные, относящиеся к Романлу, можно пройти проверку подлинности и связаться с сеансом входа. Эти учетные данные можно ссылаться на средство перенаправления Novell (путем пакета проверки подлинности Novell), когда пользователь обращается к сети Novell.
В следующих разделах рассматриваются различные типы пакетов проверки подлинности :
- пакеты проверки подлинности Windows
- поставщик поддержки безопасности и пакеты проверки подлинности
- пакеты проверки подлинности , предоставляемые корпорацией Майкрософт
- пакеты вложенных пакетов проверки подлинности