Freigeben über


Authentifizierungspakete

Authentifizierungspakete sind in Dynamic Link-Bibliotheken enthalten. Die lokale Sicherheitsautorität (LSA ) lädt Authentifizierungspakete mithilfe der in der Registrierung gespeicherten Konfigurationsinformationen. Das Laden mehrerer Authentifizierungspakete ermöglicht es der LSA, mehrere Anmeldeprozesse und mehrere Sicherheitsprotokolle zu unterstützen.

Anmeldeprozesse verwenden Authentifizierungspakete, um Anmeldedaten zu analysieren. Neue Anmeldeprozesse werden einem System hinzugefügt, indem eine GINA hinzugefügt wird, um die erforderlichen Anmeldedaten zu sammeln, und bei Bedarf ein neues Authentifizierungspaket zum Analysieren der Daten hinzufügen.

Sicherheitsprotokolle werden von Authentifizierungspaketen implementiert. Ein Authentifizierungspaket analysiert Anmeldedaten anhand der Regeln und Verfahren, die in einem Sicherheitsprotokoll festgelegt sind.

Authentifizierungspakete sind für die folgenden Aufgaben verantwortlich:

  • Analysieren von Anmeldedaten, um zu bestimmen, ob sich ein Sicherheitsprinzipal bei einem System anmelden darf.
  • Einrichten einer neuen Anmeldesitzung und Erstellen eines eindeutigen Anmeldebezeichners für den erfolgreich authentifizierten Prinzipal.
  • Übergeben von Sicherheitsinformationen an den LSA für das Sicherheitstoken des Prinzipals.

Wenn ein Benutzer versucht, sich interaktiv anzumelden, ruft die LSA ein Authentifizierungspaket auf, um zu bestimmen, ob der Benutzer sich anmelden kann. MSV1_0 ist beispielsweise ein Authentifizierungspaket, das mit dem Microsoft Windows-Betriebssystem installiert ist. Das MSV1_0-Paket akzeptiert einen Benutzernamen und ein Hashkennwort . Es sucht die Kombination aus Benutzername und Hashkennwort in der Sam-Datenbank (Security Accounts Manager). Wenn die Anmeldedaten mit den gespeicherten Anmeldeinformationen übereinstimmen, lässt das Authentifizierungspaket die erfolgreiche Anmeldung zu.

Nach der erfolgreichen Authentifizierung der Anmeldeinformationen eines Sicherheitsprinzipals ist ein Authentifizierungspaket für das Erstellen einer neuen LSA-Anmeldesitzung für den Prinzipal und das Zuweisen des Anmeldebezeichners verantwortlich, der die Anmeldesitzung eindeutig identifiziert. Das Authentifizierungspaket kann anmeldeinformationen der Anmeldesitzung für nachfolgende Authentifizierungsanforderungen zuordnen. Das MSV1_0-Authentifizierungspaket (bereitgestellt von Microsoft) ordnet z. B. jeder Anmeldesitzung den Benutzernamen und einen Hash des Kennworts des Benutzers zu.

Das Authentifizierungspaket enthält auch eine Reihe von Sicherheits-IDs (SIDs) und andere Informationen, die für die Aufnahme in das von der LSA erstellte Sicherheitstoken geeignet sind. Dieses Token stellt den Sicherheitskontext des Prinzipals für den Zugriff auf Windows-Vorgänge dar.

Nachdem eine Anmeldesitzung erstellt und einem Prinzipal zugeordnet wurde, werden nachfolgende Authentifizierungsanforderungen, die im Namen des Prinzipals durchgeführt werden, anders behandelt als die anfängliche Anmeldung. Das Authentifizierungspaket erstellt keine neue Anmeldesitzung und gibt keine Informationen zum Erstellen eines Tokens zurück. Das Authentifizierungspaket kann jedoch zusätzliche Anmeldeinformationen , die während einer nachfolgenden Authentifizierung abgerufen wurden, der vorhandenen Anmeldesitzung des Prinzipals zuordnen. Zusätzliche Anmeldeinformationen werden abgerufen, wenn für den Zugriff auf eine angeforderte Ressource Informationen erforderlich sind, die über die bei der ersten Anmeldung festgelegten Anmeldeinformationen hinausgehen. Wenn beispielsweise ein angemeldeter Benutzer eine Novell-Netzwerkanmeldung anfordert, kann ein Novell-spezifisches Authentifizierungspaket aufgerufen werden, und Novell-spezifische Anmeldeinformationen können authentifiziert und der Anmeldesitzung zugeordnet werden. Auf diese Anmeldeinformationen kann von einem Novell-Redirector (über das Novell-Authentifizierungspaket) verwiesen werden, wenn der Benutzer auf das Novell-Netzwerk zugreift.

In den folgenden Themen werden die verschiedenen Arten von Authentifizierungspaketen erläutert: