Paquetes de autenticación

  • Artículo

Los paquetes de autenticación se incluyen en bibliotecas de vínculos dinámicos. La autoridad de seguridad local (LSA) carga paquetes de autenticación mediante la información de configuración almacenada en el registro. La carga de varios paquetes de autenticación permite que el LSA admita varios procesos de inicio de sesión y varios protocolos de seguridad.

Los procesos de inicio de sesión usan paquetes de autenticación para analizar los datos de inicio de sesión. Los nuevos procesos de inicio de sesión se agregan a un sistema agregando una GINA para recopilar los datos de inicio de sesión necesarios y, si es necesario, agregando un nuevo paquete de autenticación para analizar los datos.

Los paquetes de autenticación implementan protocolos de seguridad. Un paquete de autenticación analiza los datos de inicio de sesión siguiendo las reglas y procedimientos establecidos en un protocolo de seguridad.

Los paquetes de autenticación son responsables de las siguientes tareas:

Cuando un usuario intenta un inicio de sesión interactivo, el LSA llama a un paquete de autenticación para determinar si se permite que el usuario inicie sesión. MSV1_0, por ejemplo, es un paquete de autenticación instalado con el sistema operativo Microsoft Windows. El paquete MSV1_0 acepta un nombre de usuario y una contraseña con hash . Busca el nombre de usuario y la combinación de contraseñas con hash en la base de datos administrador de cuentas de seguridad (SAM). Si los datos de inicio de sesión coinciden con las credenciales almacenadas, el paquete de autenticación permite que el inicio de sesión se realice correctamente.

Después de autenticar correctamente las credenciales de una entidad de seguridad , un paquete de autenticación es responsable de crear una nueva sesión de inicio de sesión de LSA para la entidad de seguridad y asignar el identificador de inicio de sesión que identifica de forma única la sesión de inicio de sesión. El paquete de autenticación puede asociar la información de credenciales a la sesión de inicio de sesión para las solicitudes de autenticación posteriores. Por ejemplo, el paquete de autenticación de MSV1_0 (proporcionado por Microsoft) asocia el nombre de la cuenta de usuario y un hash de la contraseña del usuario con cada sesión de inicio de sesión.

El paquete de autenticación también proporciona un conjunto de identificadores de seguridad (SID) y otra información adecuada para su inclusión en el token de seguridad creado por LSA. Este token representará el contexto de seguridad de la entidad de seguridad para el acceso a las operaciones de Windows.

Una vez creada una sesión de inicio de sesión y asociada a una entidad de seguridad, las solicitudes de autenticación posteriores realizadas en nombre de la entidad de seguridad se controlan de forma diferente a la inicial del inicio de sesión. El paquete de autenticación no crea una nueva sesión de inicio de sesión ni devuelve información para crear un token. Sin embargo, el paquete de autenticación puede asociar credenciales complementarias obtenidas durante una autenticación posterior con la sesión de inicio de sesión existente de la entidad de seguridad. Las credenciales complementarias se obtienen cuando el acceso a un recurso solicitado requiere información más allá de las credenciales establecidas por el inicio de sesión inicial. Por ejemplo, cuando un usuario que ha iniciado sesión solicita un inicio de sesión de red de Novell, se puede llamar a un paquete de autenticación específico de Novell y se pueden autenticar credenciales específicas de Novell y asociarse a la sesión de inicio de sesión. Se puede hacer referencia a estas credenciales mediante un redirector novell (a través del paquete de autenticación Novell) cuando el usuario accede a la red Novell.

En los temas siguientes se describen los distintos tipos de paquetes de autenticación: