АвтоАвтоматизацияАрхитектураАстрономияАудитБиологияБухгалтерияВоенное делоГенетикаГеографияГеологияГосударствоДомДругоеЖурналистика и СМИИзобретательствоИностранные языкиИнформатикаИскусствоИсторияКомпьютерыКулинарияКультураЛексикологияЛитератураЛогикаМаркетингМатематикаМашиностроениеМедицинаМенеджментМеталлы и СваркаМеханикаМузыкаНаселениеОбразованиеОхрана безопасности жизниОхрана ТрудаПедагогикаПолитикаПравоПриборостроениеПрограммированиеПроизводствоПромышленностьПсихологияРадиоРегилияСвязьСоциологияСпортСтандартизацияСтроительствоТехнологииТорговляТуризмФизикаФизиологияФилософияФинансыХимияХозяйствоЦеннообразованиеЧерчениеЭкологияЭконометрикаЭкономикаЭлектроникаЮриспунденкция

Вход в систему по паролю

Читайте также:
  1. Аліса й Боб вибирають криптосистему.
  2. Б) правовую систему, которая состоит только из норм законов и в которую не проникают явления из иных сфер знания (политологии, социологии, психологии, этики)
  3. Взаимодействие 3.1 Включенность населения в систему СМИ
  4. Влияние алкоголя на репродуктивную систему.
  5. Влияние спирта на головной мозг и нервную систему.
  6. Вплив політичної культури на політичну систему
  7. Вход в систему с помощью смарт-карты
  8. Дать определение файловой системы. Описать файловую систему FAT.
  9. Дать определение файловой системы. Описать файловую систему NTFS.
  10. Единить в систему врач — пациент.
  11. Нагрузка на нервную систему

Предположим, что Алиса имеет учетную запись в домене «Запад». Там же находится и учетная запись сервера Боб, с которым она обычно работает. Вход в сеть Алиса начинает с нажатия клавиш CTRL+ALT+DEL, комбинация которых в стандартной конфигурации Windows 2000 генерирует сигнал SAS (Secure Attention Sequence – последовательность обращения к системе безопасности).

В ответ служба Winlogon компьютера переключается на настольную систему, с которой поступил сигнал SAS, и направляет на нее динамически подключаемую библиотеку GINA (Graphical Identification and Authentication – графическая идентификация и аутентификация) – компонент, загружаемый службой Winlogon. GINA служит для получения от пользователя данных регистрации, их упаковки в структуру данных и отправки в подсистему LSA на проверку. На экране появляется стандартное диалоговое окно входа в систему. Алиса вводит имя пользователя и пароль, а в ниспадающем списке доменов выбирает «Запад». После щелчка на кнопке ОК библиотека MSGINA пересылает введенные данные в службу Winlogon. Та, в свою очередь, вызывает метод LsaLogonUser и с его помощью направляет регистрационную информацию в подсистему LSA для проверки.

Получив пакет с данными регистрации Алисы, подсистема LSA преобразует текстовый пароль в секретный ключ, для чего производит его хеширование. Полученный результат сохраняется в кэш-памяти удостоверений, откуда он может быть извлечен при необходимости обновления билета TGT или аутентификации по протоколу NTLM, если потребуется подключиться к серверу, не поддерживающему протокол Kerberos.

Чтобы проверить регистрационные данные Алисы и начать сеанс ее работы на компьютере, подсистеме LSA необходимо получить:

· билет TGT, который нужно представить в службу выдачи билетов;

· сеансовый билет, открывающий доступ к серверу Боб.

Подсистема LSA получает эти билеты через Kerberos SSP, который обменивается сообщениями непосредственно со службой KDC домена «Запад».

Рис. 8. Интерактивная регистрация в домене

Обмен сообщениями осуществляется в следующем порядке:

1. Подсистема LSA направляет в службу KDC домена «Запад» сообщение KRB_AS_REQ.

В сообщении указываются:

· пользовательское имя Алисы – Alice;

· имя домена с учетной записью Алисы – West.

· данные предварительной аутентификации, зашифрованные посредством секретного ключа, который был создан на основе пароля Алисы.

2. Если данные предварительной аутентификации клиента верны, служба KDC отвечает сообщением KRB_AS_REP.

В сообщение включаются:

· сеансовый ключ для связи Алисы со службой KDC, зашифрованный с помощью секретного ключа, который был создан на основе пароля Алисы.

· билет TGT для службы KDC домена «Запад», зашифрованный с помощью секретного ключа службы KDC.

В билете TGT указываются:

· сеансовый ключ для связи Алисы со службой KDC;

· данные авторизации Алисы.

Данные авторизации включают в себя:

· идентификатор SID учетной записи Алисы;

· идентификаторы SID групп безопасности домена «Запад», членом которых состоит Алиса;

· идентификаторы SID универсальных групп, в которые входит либо сама Алиса, либо одна из ее групп домена.

3. Подсистема LSA направляет в службу KDC домена «Запад» сообщение KRB_TGS_REQ.

В сообщение включаются:

· имя компьютера, к которому нужно подключиться, – Bob;

· имя домена этого компьютера – West;

· билет TGT Алисы;

· аутентификатор, зашифрованный с сеансовым ключом, который используется для связи Алисы с данной службой KDC.

4. Служба KDC отвечает сообщением KRB_TGS_REP.

В сообщении указываются:

· сеансовый ключ Алисы и Боба, зашифрованный посредством сеансового ключа, который Алиса использует для связи со службой KDC;

· сеансовый билет Алисы для компьютера Боб, зашифрованный с сеансовым ключом, который используется для связи Боба со службой KDC.

Сеансовый билет содержит:

· сеансовый ключ, общий для Боба и Алисы;

· данные авторизации, скопированные из билета TGT Алисы.

Получив сеансовый билет Алисы, подсистема LSA расшифровывает его с помощью секретного ключа этого компьютера и извлекает данные авторизации Алисы. Затем она обращается в локальную базу данных диспетчера учетных записей безопасности SAM (Security Account Manager). Здесь она проверяет, не является ли Алиса членом какой-либо группы безопасности, локальной для данного компьютера, и не имеет ли она специальных привилегий на этой машине. Если проверка дает положительный результат, подсистема LSA добавляет обнаруженные идентификаторы SID в список данных авторизации, извлеченный из билета. Пополненный таким образом список используется для генерации маркера доступа, описатель которого возвращается в Winlogon вместе с идентификатором сеанса регистрации Алисы и подтверждением подлинности введенных ею данных.

В ответ Winlogon создает для Алисы оконную станцию (windows station) и несколько объектов настольной системы, прикрепляет ее маркер доступа и запускает процесс, который позволит Алисе взаимодействовать с компьютером Боб. Маркер доступа Алисы впоследствии будет включаться во все прикладные процессы, запускаемые в ходе текущего сеанса.


1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | 16 | 17 | 18 | 19 | 20 |

Поиск по сайту:

Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Студалл.Орг (0.003 сек.)