|
|||||||
АвтоАвтоматизацияАрхитектураАстрономияАудитБиологияБухгалтерияВоенное делоГенетикаГеографияГеологияГосударствоДомДругоеЖурналистика и СМИИзобретательствоИностранные языкиИнформатикаИскусствоИсторияКомпьютерыКулинарияКультураЛексикологияЛитератураЛогикаМаркетингМатематикаМашиностроениеМедицинаМенеджментМеталлы и СваркаМеханикаМузыкаНаселениеОбразованиеОхрана безопасности жизниОхрана ТрудаПедагогикаПолитикаПравоПриборостроениеПрограммированиеПроизводствоПромышленностьПсихологияРадиоРегилияСвязьСоциологияСпортСтандартизацияСтроительствоТехнологииТорговляТуризмФизикаФизиологияФилософияФинансыХимияХозяйствоЦеннообразованиеЧерчениеЭкологияЭконометрикаЭкономикаЭлектроникаЮриспунденкция |
Вход в систему по паролюПредположим, что Алиса имеет учетную запись в домене «Запад». Там же находится и учетная запись сервера Боб, с которым она обычно работает. Вход в сеть Алиса начинает с нажатия клавиш CTRL+ALT+DEL, комбинация которых в стандартной конфигурации Windows 2000 генерирует сигнал SAS (Secure Attention Sequence – последовательность обращения к системе безопасности). В ответ служба Winlogon компьютера переключается на настольную систему, с которой поступил сигнал SAS, и направляет на нее динамически подключаемую библиотеку GINA (Graphical Identification and Authentication – графическая идентификация и аутентификация) – компонент, загружаемый службой Winlogon. GINA служит для получения от пользователя данных регистрации, их упаковки в структуру данных и отправки в подсистему LSA на проверку. На экране появляется стандартное диалоговое окно входа в систему. Алиса вводит имя пользователя и пароль, а в ниспадающем списке доменов выбирает «Запад». После щелчка на кнопке ОК библиотека MSGINA пересылает введенные данные в службу Winlogon. Та, в свою очередь, вызывает метод LsaLogonUser и с его помощью направляет регистрационную информацию в подсистему LSA для проверки. Получив пакет с данными регистрации Алисы, подсистема LSA преобразует текстовый пароль в секретный ключ, для чего производит его хеширование. Полученный результат сохраняется в кэш-памяти удостоверений, откуда он может быть извлечен при необходимости обновления билета TGT или аутентификации по протоколу NTLM, если потребуется подключиться к серверу, не поддерживающему протокол Kerberos. Чтобы проверить регистрационные данные Алисы и начать сеанс ее работы на компьютере, подсистеме LSA необходимо получить: · билет TGT, который нужно представить в службу выдачи билетов; · сеансовый билет, открывающий доступ к серверу Боб. Подсистема LSA получает эти билеты через Kerberos SSP, который обменивается сообщениями непосредственно со службой KDC домена «Запад». Рис. 8. Интерактивная регистрация в домене Обмен сообщениями осуществляется в следующем порядке: 1. Подсистема LSA направляет в службу KDC домена «Запад» сообщение KRB_AS_REQ. В сообщении указываются: · пользовательское имя Алисы – Alice; · имя домена с учетной записью Алисы – West. · данные предварительной аутентификации, зашифрованные посредством секретного ключа, который был создан на основе пароля Алисы. 2. Если данные предварительной аутентификации клиента верны, служба KDC отвечает сообщением KRB_AS_REP. В сообщение включаются: · сеансовый ключ для связи Алисы со службой KDC, зашифрованный с помощью секретного ключа, который был создан на основе пароля Алисы. · билет TGT для службы KDC домена «Запад», зашифрованный с помощью секретного ключа службы KDC. В билете TGT указываются: · сеансовый ключ для связи Алисы со службой KDC; · данные авторизации Алисы. Данные авторизации включают в себя: · идентификатор SID учетной записи Алисы; · идентификаторы SID групп безопасности домена «Запад», членом которых состоит Алиса; · идентификаторы SID универсальных групп, в которые входит либо сама Алиса, либо одна из ее групп домена. 3. Подсистема LSA направляет в службу KDC домена «Запад» сообщение KRB_TGS_REQ. В сообщение включаются: · имя компьютера, к которому нужно подключиться, – Bob; · имя домена этого компьютера – West; · билет TGT Алисы; · аутентификатор, зашифрованный с сеансовым ключом, который используется для связи Алисы с данной службой KDC. 4. Служба KDC отвечает сообщением KRB_TGS_REP. В сообщении указываются: · сеансовый ключ Алисы и Боба, зашифрованный посредством сеансового ключа, который Алиса использует для связи со службой KDC; · сеансовый билет Алисы для компьютера Боб, зашифрованный с сеансовым ключом, который используется для связи Боба со службой KDC. Сеансовый билет содержит: · сеансовый ключ, общий для Боба и Алисы; · данные авторизации, скопированные из билета TGT Алисы. Получив сеансовый билет Алисы, подсистема LSA расшифровывает его с помощью секретного ключа этого компьютера и извлекает данные авторизации Алисы. Затем она обращается в локальную базу данных диспетчера учетных записей безопасности SAM (Security Account Manager). Здесь она проверяет, не является ли Алиса членом какой-либо группы безопасности, локальной для данного компьютера, и не имеет ли она специальных привилегий на этой машине. Если проверка дает положительный результат, подсистема LSA добавляет обнаруженные идентификаторы SID в список данных авторизации, извлеченный из билета. Пополненный таким образом список используется для генерации маркера доступа, описатель которого возвращается в Winlogon вместе с идентификатором сеанса регистрации Алисы и подтверждением подлинности введенных ею данных. В ответ Winlogon создает для Алисы оконную станцию (windows station) и несколько объектов настольной системы, прикрепляет ее маркер доступа и запускает процесс, который позволит Алисе взаимодействовать с компьютером Боб. Маркер доступа Алисы впоследствии будет включаться во все прикладные процессы, запускаемые в ходе текущего сеанса. Поиск по сайту: |
Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Студалл.Орг (0.004 сек.) |