12章対話型認証
Windowsシステムへ認証する場合はログオンインターフェイスに資格情報を入力し、認証に成功したらデスクトップが表示されるという流れが一般的です。しかし、その認証の裏には様々な処理が発生しています。資格情報をTokenオブジェクトに変換し、アクセス検証などの認証システムと連携するための仕組みが対話型認証(Interactive Authentication)です。
Windowsでは目的に応じて様々な種類の対話型認証が用いられます。例えば、ユーザーが対話型デスクトップを作成する際に用いられる方法や、ネットワークに公開されているサービスに資格情報が提供された際に用いられる方法が存在します。この章ではまず、Windowsシステムへの認証時に、Windows OSがどのように対話型デスクトップを作成しているのかについて解説します。続けて、対話型認証がLsaLogonUser APIを通じてどのように実現されているかについて触れます。最後に、様々な種類の対話型認証について、それらの差異と使用される状況などを確認します。
12.1 ユーザーのデスクトップの作成
Windowsシステムを操作する最も一般的な方法は、デスクトップ上のユーザーインターフェイスを介することです。図12-1は、ユーザーデスクトップを作成する処理の概要を示しています。
図12-1 対話型デスクトップ作成の概要
3章で解説した通り、Windowsシステムが起動するとセッションマネージャーはコンソールセッションを作成します。コンソールセッションによりWinlogonプロセスのインスタンスを開始し、資格情報を収集します。認証に成功するとユーザーのプロセスが開始され、WinlogonプロセスはUIを表示するためにLogonUIプロセスを開始します。LogonUIプロセスは、ユーザーから資格情報を読み取りWinlogonプロセスに渡します(❶)。 ...
Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,
and much more.
Read now
Unlock full access