Condividi tramite

Pacchetti di autenticazione

  • Articolo

I pacchetti di autenticazione sono contenuti nelle librerie di collegamento dinamico. L'Autorità di sicurezza locale carica i pacchetti di autenticazione usando le informazioni di configurazione archiviate nel Registro di sistema. Il caricamento di più pacchetti di autenticazione consente all'LSA di supportare più processi di accesso e più protocolli di sicurezza.

I processi di accesso usano i pacchetti di autenticazione per analizzare i dati di accesso. I nuovi processi di accesso vengono aggiunti a un sistema aggiungendo un'GINA per raccogliere i dati di accesso necessari e, se necessario, aggiungendo un nuovo pacchetto di autenticazione per analizzare i dati.

I protocolli di sicurezza vengono implementati dai pacchetti di autenticazione. Un pacchetto di autenticazione analizza i dati di accesso seguendo le regole e le procedure definite in un protocollo di sicurezza.

I pacchetti di autenticazione sono responsabili delle attività seguenti:

  • Analisi dei dati di accesso per determinare se un'entità di sicurezza può accedere a un sistema.
  • Definizione di una nuova sessione di accesso e creazione di un identificatore di accesso univoco per l'entità autenticata correttamente.
  • Passaggio delle informazioni di sicurezza all'LSA per il token di sicurezza dell'entità.

Quando un utente tenta un accesso interattivo, LSA chiama un pacchetto di autenticazione per determinare se consentire all'utente di accedere. MSV1_0, ad esempio, è un pacchetto di autenticazione installato con il sistema operativo Microsoft Windows. Il pacchetto MSV1_0 accetta un nome utente e una password hash. Cerca la combinazione di password con nome utente e hash nel database Di Gestione account di sicurezza (SAM). Se i dati di accesso corrispondono alle credenziali archiviate, il pacchetto di autenticazione consente l'esito positivo dell'accesso.

Dopo aver autenticato correttamente le credenziali di un'entità di sicurezza , un pacchetto di autenticazione è responsabile della creazione di una nuova sessione di accesso LSA per l'entità e l'assegnazione dell'identificatore di accesso che identifica in modo univoco la sessione di accesso. Il pacchetto di autenticazione può associare le informazioni delle credenziali alla sessione di accesso per le richieste di autenticazione successive. Ad esempio, il pacchetto di autenticazione MSV1_0 (fornito da Microsoft) associa il nome dell'account utente e un hash della password dell'utente a ogni sessione di accesso.

Il pacchetto di autenticazione fornisce anche un set di identificatori di sicurezza (SID) e altre informazioni appropriate per l'inclusione nel token di sicurezza creato dall'LSA. Questo token rappresenta il contesto di sicurezza dell'entità per l'accesso alle operazioni di Windows.

Dopo aver creato una sessione di accesso e associata a un'entità, le richieste di autenticazione successive effettuate per conto dell'entità vengono gestite in modo diverso rispetto all'accesso iniziale. Il pacchetto di autenticazione non crea una nuova sessione di accesso né restituisce informazioni per la creazione di un token. Il pacchetto di autenticazione può tuttavia associare le credenziali supplementari ottenute durante un'autenticazione successiva alla sessione di accesso esistente dell'entità. Le credenziali supplementari vengono ottenute quando l'accesso a una risorsa richiesta richiede informazioni oltre le credenziali stabilite dall'accesso iniziale. Ad esempio, quando un utente connesso richiede un accesso alla rete Novell, un pacchetto di autenticazione specifico di Novell può essere chiamato e le credenziali specifiche di Novell possono essere autenticate e associate alla sessione di accesso. Queste credenziali possono essere a cui fa riferimento un reindirizzamento Novell (tramite il pacchetto di autenticazione Di Novell) quando l'utente accede alla rete Novell.

Gli argomenti seguenti illustrano i vari tipi di pacchetti di autenticazione: