Partager via


LSA_AP_LOGON_USER_EX fonction de rappel (ntsecpkg.h)

Authentifie les informations d’identification d’ouverture de session d’un utilisateur.

Cette fonction est appelée par l’autorité de sécurité locale (LSA) uniquement pour l’ouverture de session initiale d’un utilisateur. Les demandes d’authentification suivantes doivent utiliser LsaCallAuthenticationPackage. Si LsaApLogonUserEx réussit, il crée une session d’ouverture de session et retourne les informations utilisées pour générer le jeton représentant l’utilisateur nouvellement connecté.

Cette fonction diffère de LsaApLogonUser en ce que le nom de la machine est ajouté à l’enregistrement d’audit pour la tentative d’ouverture de session.

Syntaxe

LSA_AP_LOGON_USER_EX LsaApLogonUserEx;

NTSTATUS LsaApLogonUserEx(
  [in]  PLSA_CLIENT_REQUEST ClientRequest,
  [in]  SECURITY_LOGON_TYPE LogonType,
  [in]  PVOID AuthenticationInformation,
  [in]  PVOID ClientAuthenticationBase,
  [in]  ULONG AuthenticationInformationLength,
  [out] PVOID *ProfileBuffer,
  [out] PULONG ProfileBufferLength,
  [out] PLUID LogonId,
  [out] PNTSTATUS SubStatus,
  [out] PLSA_TOKEN_INFORMATION_TYPE TokenInformationType,
  [out] PVOID *TokenInformation,
  [out] PUNICODE_STRING *AccountName,
  [out] PUNICODE_STRING *AuthenticatingAuthority,
  [out] PUNICODE_STRING *MachineName
)
{...}

Paramètres

[in] ClientRequest

Pointeur vers un type de données opaque LSA_CLIENT_REQUEST représentant la requête du client LSA.

[in] LogonType

Structure SECURITY_LOGON_TYPE qui identifie le type de connexion tentée.

[in] AuthenticationInformation

Fournit les informations d’authentification spécifiques au package d’authentification. La LSA libère cette mémoire tampon.

[in] ClientAuthenticationBase

Fournit l’adresse des informations d’authentification dans le processus client. Cela peut être nécessaire pour remapper les pointeurs dans la mémoire tampon AuthenticationInformation .

[in] AuthenticationInformationLength

Indique la longueur de la mémoire tampon AuthenticationInformation .

[out] ProfileBuffer

Pointeur qui reçoit l’adresse de la mémoire tampon de profil dans le processus client. Le package d’authentification est chargé d’allouer la mémoire tampon ProfileBuffer dans le processus client en appelant la fonction AllocateClientBuffer . Toutefois, si LSA rencontre par la suite une erreur qui empêche une ouverture de session réussie, la LSA se chargera de libérer cette mémoire tampon.

Le contenu de cette mémoire tampon est déterminé par le package d’authentification. La LSA ne modifie pas cette mémoire tampon ; il retourne simplement la valeur à la fonction LsaLogonUser .

[out] ProfileBufferLength

Pointeur vers un ULONG qui reçoit la longueur de la mémoire tampon ProfileBuffer , en octets.

[out] LogonId

Pointeur vers une variable LUID qui reçoit le nouvel ID d’ouverture de session qui identifie de manière unique cette session d’ouverture de session. Le package d’authentification est chargé d’allouer ce LUID et de créer la session d’ouverture de session LSA pour cette ouverture de session.

[out] SubStatus

Pointeur vers un NTSTATUS qui reçoit la raison des défaillances dues à des restrictions de compte. Les valeurs retournées dans SubStatus sont déterminées par le package d’authentification.

Voici les valeurs SubStatus pour les packages d’authentification MSV1_0 et Kerberos.

Valeur Signification
STATUS_INVALID_LOGON_HOURS
Le compte d’utilisateur a des restrictions de temps et ne peut pas être utilisé pour se connecter pour l’instant.
STATUS_INVALID_WORKSTATION
Le compte d’utilisateur a des restrictions de station de travail et ne peut pas être utilisé pour se connecter à partir de la station de travail actuelle.
STATUS_PASSWORD_EXPIRED
Le mot de passe du compte d’utilisateur a expiré.
STATUS_ACCOUNT_DISABLED
Le compte d’utilisateur est actuellement désactivé et ne peut pas être utilisé pour se connecter.
 

Vous trouverez plus d’informations sur les codes NTSTATUS dans le fichier d’en-tête Subauth.h fourni avec le Kit de développement logiciel (SDK) platform.

[out] TokenInformationType

Pointeur qui reçoit l’adresse d’un LSA_TOKEN_INFORMATION_TYPE valeur qui indique le type d’informations retournées pour l’inclusion dans le jeton à créer. Les informations sont retournées au moyen du paramètre TokenInformation .

[out] TokenInformation

Pointeur qui reçoit l’adresse des informations à inclure dans le jeton. Le format et le contenu de TokenInformation sont indiqués par le paramètre TokenInformationType . Votre package d’authentification est responsable de l’allocation de la mémoire utilisée par TokenInformation ; Toutefois, cette mémoire sera libérée par l’ASE.

[out] AccountName

Pointeur vers une structure LSA_UNICODE_STRING qui reçoit le nom du compte d’utilisateur. AccountName doit toujours être retourné indépendamment de la réussite ou de l’échec de l’appel ; sa chaîne est incluse dans l’enregistrement d’audit pour une tentative d’authentification. Votre package d’authentification est responsable de l’allocation de la mémoire utilisée par AccountName Il sera libéré par la LSA.

[out] AuthenticatingAuthority

facultatif. Pointeur vers une structure LSA_UNICODE_STRING qui reçoit la description de l’autorité d’authentification pour l’ouverture de session. Ce paramètre peut être NULL. Cette chaîne est incluse dans l’enregistrement d’audit pour une tentative d’authentification. Votre package d’authentification est chargé d’allouer la mémoire utilisée par AuthenticatingAuthority ; Toutefois, cette mémoire sera libérée par l’ASE.

Le package d’authentification MSV1_0 retourne le nom de domaine du domaine qui valide le compte. Le package d’authentification Kerberos retourne le nom de domaine NetBIOS.

[out] MachineName

facultatif. Pointeur qui reçoit l’adresse d’une structure de LSA_UNICODE_STRING contenant le nom de la station de travail du client. Ces informations sont incluses dans l’enregistrement d’audit pour une tentative d’authentification. Votre package d’authentification est responsable de l’allocation de la mémoire utilisée par MachineName ; Toutefois, cette mémoire sera libérée par l’ASE.

Le package d’authentification MSV1_0 retourne le nom NetBIOS de la station de travail du client.

Valeur retournée

Si la fonction réussit, elle doit retourner STATUS_SUCCESS.

Sinon, il doit retourner un code d’erreur NTSTATUS, qui peut être l’une des valeurs suivantes ou l’une des valeurs de retour de la fonction de stratégie LSA.

Code de retour Description
STATUS_NO_MEMORY
Impossible de terminer l’ouverture de session, car le quota de mémoire du client est insuffisant pour allouer la mémoire tampon de retour.
STATUS_NO_LOGON_SERVERS
Aucun contrôleur de domaine n’est disponible pour traiter la demande d’authentification.
STATUS_LOGON_FAILURE
La tentative d’ouverture de session a échoué. La raison de l’échec n’est pas spécifiée ; les raisons courantes incluent des noms d’utilisateur et des mots de passe mal orthographiés.
STATUS_ACCOUNT_RESTRICTION
Le compte d’utilisateur et le mot de passe sont légitimes, mais les restrictions de compte d’utilisateur empêchent l’ouverture de session réussie pour l’instant.
STATUS_BAD_VALIDATION_CLASS
Les informations d’authentification fournies sont reconnues par le package d’authentification.
 

Les applications appelantes peuvent utiliser la fonction LsaNtStatusToWinError pour convertir le code NTSTATUS en code d’erreur Windows.

Remarques

Les packages d’authentification doivent implémenter l’une des fonctions suivantes : LsaApLogonUser, LsaApLogonUserEx ou LsaApLogonUserEx2.

LsaApLogonUserEx a été ajouté pour la certification C2. C2 est une classification de sécurité définie par le gouvernement États-Unis.

Configuration requise

Condition requise Valeur
Client minimal pris en charge Windows XP [applications de bureau uniquement]
Serveur minimal pris en charge Windows Server 2003 [applications de bureau uniquement]
Plateforme cible Windows
En-tête ntsecpkg.h

Voir aussi

LSA_CLIENT_REQUEST

LSA_TOKEN_INFORMATION_TYPE

LSA_UNICODE_STRING

LsaApLogonUser

LsaApLogonUserEx2

LsaCallAuthenticationPackage