Механизм идентификации и аутентификации
в ОС Windows NT.Общее описание
При входе в систему пользователь передает в системную
функцию LogonUser свое имя, пароль и имя рабочей
станции или домена, в котором данный пользователь зарегистрирован. Если
пользователь успешно идентифицирован, функция LogonUser
возвращает указатель на маркер доступа пользователя, который в
дальнейшем используется при любом его обращении к защищенным объектам
системы.
Механизм идентификации и аутентификации пользователя в ОС Windows
NT реализуется специальным процессом Winlogon,
который активизируется на начальном этапе загрузки ОС и остается активным
на протяжении всего периода ее функционирования. Ядро операционной системы
регулярно проверяет состояние данного процесса и в случае его аварийного
завершения происходит аварийное завершение работы всей операционной системы.
Помимо идентификации пользователя Winlogon
реализует целый ряд других функций, таких, как переключение рабочих полей
(desktop), активизация хранителей экрана, а также ряд сетевых функций.
Процесс Winlogon состоит из следующих модулей:
ядра процесса Winlogon.exe;
библиотеки GINA (Graphic Identification aNd Autentication
- графической библиотеки идентификации и аутентификации) - динамической
библиотеки функций, используемых для «локальной» идентификации пользователя
(идентификации пользователя на рабочей станции);
библиотек сетевой поддержки (Network Provider DLLs),
реализующих «удаленную» идентификацию пользователей (идентификацию пользователей,
обращающихся к ресурсам сервера через сеть).
Библиотека GINA и библиотеки сетевой поддержки являются
заменяемыми компонентами процесса Winlogon.
Конфигурация библиотек сетевой поддержки определяется протоколами и видами
сервиса поддерживаемой сети, конфигурация библиотеки GINA определяется
требованиями к механизму локальной идентификации. |