Authentifizierungspakete
Authentifizierungspakete sind in Dynamic Link-Bibliotheken enthalten. Die lokale Sicherheitsstelle (Local Security Authority, LSA) lädt Authentifizierungspakete mithilfe der in der Registrierung gespeicherten Konfigurationsinformationen. Durch das Laden mehrerer Authentifizierungspakete kann das LSA mehrere Anmeldeprozesse und mehrere Sicherheitsprotokolle unterstützen.
Anmeldeprozesse verwenden Authentifizierungspakete, um Anmeldedaten zu analysieren. Neue Anmeldeprozesse werden einem System hinzugefügt, indem eine GINA hinzugefügt wird, um die erforderlichen Anmeldedaten zu sammeln, und bei Bedarf durch Hinzufügen eines neuen Authentifizierungspakets zum Analysieren der Daten.
Sicherheitsprotokolle werden durch Authentifizierungspakete implementiert. Ein Authentifizierungspaket analysiert Anmeldedaten, indem die in einem Sicherheitsprotokoll festgelegten Regeln und Verfahren befolgen.
Authentifizierungspakete sind für die folgenden Aufgaben verantwortlich:
- Analysieren von Anmeldedaten, um zu bestimmen, ob sich ein Sicherheitsprinzipal bei einem System anmelden darf.
- Einrichten einer neuen Anmeldesitzung und Erstellen eines eindeutigen Anmeldebezeichners für den erfolgreich authentifizierten Prinzipal.
- Übergeben von Sicherheitsinformationen an das LSA für das Sicherheitstoken des Prinzipals.
Wenn ein Benutzer eine interaktive Anmeldung versucht, ruft die LSA ein Authentifizierungspaket auf, um zu bestimmen, ob der Benutzer sich anmelden kann. MSV1 0 ist beispielsweise ein Authentifizierungspaket, das mit dem Microsoft Windows _ installiert wird. Das MSV1 _ 0-Paket akzeptiert einen Benutzernamen und ein Hashkennwort. Er sucht die Kombination aus Benutzername und Kennworthash in der SAM-Datenbank (Security Accounts Manager). Wenn die Anmeldedaten den gespeicherten Anmeldeinformationen entspricht,lässt das Authentifizierungspaket zu, dass die Anmeldung erfolgreich ist.
Nach der erfolgreichen Authentifizierung der Anmeldeinformationen eines Sicherheitsprinzipals ist ein Authentifizierungspaket dafür verantwortlich, eine neue LSA-Anmeldesitzung für den Prinzipal zu erstellen und den Anmeldebezeichner zu zuordnen, der die Anmeldesitzung eindeutig identifiziert. Das Authentifizierungspaket kann der Anmeldesitzung Anmeldeinformationen für nachfolgende Authentifizierungsanforderungen zuordnen. Beispielsweise ordnet das Authentifizierungspaket MSV1 0 (von Microsoft bereitgestellt) den Benutzernamen und einen Hash des Kennworts des Benutzers jeder _ Anmeldesitzung zu.
Das Authentifizierungspaket stellt auch eine Reihe von Sicherheits-IDs (SIDs) und andere Informationen zur Verfügung, die für die Aufnahme in das vom LSA erstellte Sicherheitstoken geeignet sind. Dieses Token stellt den Sicherheitskontext des Prinzipals für den Zugriff auf Windows dar.
Nachdem eine Anmeldesitzung erstellt und einem Prinzipal zugeordnet wurde, werden nachfolgende Authentifizierungsanforderungen, die im Auftrag des Prinzipals vorgenommen werden, anders behandelt als die erste Anmeldung. Das Authentifizierungspaket erstellt keine neue Anmeldesitzung und gibt keine Informationen zum Erstellen eines Tokens zurück. Das Authentifizierungspaket kann jedoch zusätzliche Anmeldeinformationen, die während einer nachfolgenden Authentifizierung erhalten wurden, der vorhandenen Anmeldesitzung des Prinzipals zuordnen. Zusätzliche Anmeldeinformationen werden erhalten, wenn für den Zugriff auf eine angeforderte Ressource Informationen erforderlich sind, die über die anmeldeinformationen hinausgehen, die bei der ersten Anmeldung festgelegt wurden. Wenn ein angemeldeter Benutzer z. B. eine Anmeldung über das Netzwerk anklangt, kann ein Protokoll-spezifisches Authentifizierungspaket aufgerufen werden, und Es können anmeldespezifische Anmeldeinformationen authentifiziert und der Anmeldesitzung zugeordnet werden. Auf diese Anmeldeinformationen kann (über dasKtor-Authentifizierungspaket) von einem Bein-Redirector verwiesen werden, wenn der Benutzer auf das Netzwerk vonAuthent zutritt.
In den folgenden Themen werden die verschiedenen Typen von Authentifizierungspaketen behandelt: