说了这么多,我再谈一谈针对win2000域环境下本地交互登陆的机制,众所周知,win2000对于用户登陆的验证采用的是kerberos协议,当一个本地用户登陆到域服务器,GINA(Graphical identification and authentication)图形标示符及身份验证Dll收到登陆请求,就会将其转发到LSA(本地权威机构),而在WIN2000下由于Kerberos是默认的验证机制,所以就请求kerberos来验证身份,而kerberos收到身份验证请求之后,便会出现错误信息,因为kerberos是用来验证域用户账号而非本地账号,此时LSA收到错误信息,会将其转发到GINA,GINA在将指定了MSV1_0协议的LSA来验证身份,如果通过则完成本地交互式登陆。
交互式就是不能用键盘本机登录啦,必须从网络登录,可以去组策略修改1、windows域登录与SSO服务器整合
11 分析:windows域登录过程采用Kerberose v5协议进行登录,过程非常复杂,并且登录中身份认证以及域的权
限整合在一起。要剥离身份认证和权限赋权非常困难。要整合现有的SSO服务器,可以考虑,采用windows域控制器
统一管理用户,SSO服务器采用该域控制器的Active Directory中的用户信息。windows工作站(比如winxp)登录
域过程中,保持原域登录的过程,在其中添加SSO服务器的登录过程。
12 实现:通过修改GINA模块,在windows工作站(比如winxp)登录域过程中,winlogon调用GINA组模块,把用户
提供的账号和密码传达给GINA,由GINA负责在域控制器中以及SSO服务器中账号和密码的有效性验证,然后把验证
结果反馈给Winlogon程序,只有域控制器和SSO服务器同时认证成功,才是登录成功。
另外开发一个DLL程序,暂时称为SSOLogin模块,GINA在登录成功后,将SSO的登录信息传递给SSOLogin模块,动力
工作站在启动时,首先调用SSOLogin模块,判断已经登录的用户,然后通过动力工作站访问其他应用时,就可以通
过SSO服务器进行单点登录。
13 技术点:
(1)通过jCIFS实现SSO服务器在Active Directory进行域登录。
(2)采用WFC开发框架对GINAdll进行修改,在注册表中进行注册
14 风险难点:(1)、windows域登录过程的分析与改造。(2)、windows的应用不开源,代码分析会比较困难。
15 其他:是否还考虑linux *** 作系统加入windows域的过程?
16 winxp登录域过程如下:
(1)用户首先按Ctrl+Alt+Del组合键。
(2)Winlogon检测到用户按下SAS键,就调用GINA,由GINA显示登录对话
框,以便用户输入账号和密码。
(3)用户选择所要登录的域和填写账号与密码,确定后,GINA将用户输入的
信息发送给LSA进行验证。
(4)在用户登录到本机的情况下,LSA将请求发送给Kerberos验证程序包。
通过散列算法,根据用户信息生成一个密钥,并将密钥存储在证书缓存区中。
(5)Kerberos验证程序向KDC(Key Distribution Center--密钥分配中心)发
送一个包含用户身份信息和验证预处理数据的验证服务请求,其中包含用户证
书和散列算法加密时间的标记。
(6)KDC接收到数据后,利用自己的密钥对请求中的时间标记进行解密,通
过解密的时间标记是否正确,就可以判断用户是否有效。
(7)如果用户有效,KDC将向用户发送一个TGT(Ticket-Granting Ticket--
票据授予票据)。该TGT(AS_REP)将用户的密钥进行解密,其中包含会话密钥、
该会话密钥指向的用户名称、该票据的最大生命期以及其他一些可能需要的数
据和设置等。用户所申请的票据在KDC的密钥中被加密,并附着在AS_REP中。
在TGT的授权数据部分包含用户账号的SID以及该用户所属的全局组和通用组的
SID。注意,返回到LSA的SID包含用户的访问令牌。票据的最大生命期是由域
策略决定的。如果票据在活动的会话中超过期限,用户就必须申请新的票据。
(8)当用户试图访问资源时,客户系统使用TGT从域控制器上的Kerberos
TGS请求服务票据(TGS_REQ)。然后TGS将服务票据(TGS_REP)发送给客户。该
服务票据是使用服务器的密钥进行加密的。同时,SID被Kerberos服务从TGT复
制到所有的Kerberos服务包含的子序列服务票据中。
(9)客户将票据直接提交到需要访问的网络服务上,通过服务票据就能证明
用户的标识和针对该服务的权限,以及服务对应用户的标识。一般Windows XP停用欢迎屏幕和快速用户切换主要是由于安装无线网卡或者是一些病毒修改了电脑的注册表所导致的。大致情况有2种:
1、决解"netware客户服务禁用了欢迎屏幕和快速用户切换"方法
问题:开机帐户上的欢迎屏幕消失,进入“用户帐户”中重设提示“netware客户服务禁用了欢迎屏幕和快速用户切换。要恢复这些功能,您必须卸载netware客户服务。”
解决办法:网络邻居-〉属性,本地连接-〉属性-〉网络,netware客户端-〉卸载
Netware是NOVELL公司推出的网络 *** 作系统。Netware最重要的特征是基于基本模块设计思想的开放式系统结构。Netware是一个开放的网络服务器平台,可以方便地对其进行扩充。 Netware系统对不同的工作平台(如D0S、0S/2、Macintosh等),不同的网络协议环境如TCP/IP以及各种工作站 *** 作系统提供了一致的服务。该系统 内可以增加自选的扩充服务(如替补备份、数据库、电子邮件以及记帐等),这些服务可以取自Netware本身,也可取自第三方开发者。
这种技术满足了广大用户在不同种类网络间实现互相通信的需要,实现了各种不同网络的无缝通信,即把各种网络协议紧密地连接起来,可以方便地与各种小型机、中大型机连接通信。NetWare可以不用专用服务器,任何一种PC机均可作为服务器。NetWare服务器对无盘站和游戏的支持较好,常用于教学网和游戏厅。所以在日常上网时可以不必使用此协议。
2、由于注册表被修改而禁用欢迎屏幕和快速用户切换
问题:安装完2413无线网卡驱动驱重新启动后,Windows XP 由其特有的欢迎登录界面变成经典的窗口登录模式。切在控制面板“用户设置”点“更改用户登录或注销的方式”,d出如此对话框提示:"一个最新安装的程序已停用欢迎屏幕和快速用户切换您必须卸载该程序以恢复这写功能下列文件名可以帮你识别该程序所做的修改:athginadll”
原因:驱动程序安装时会用其自带的 athginadll 文件取代 Windows XP 自身的 msginadll 并写入注册表从而改变 GINA 的行为。GINA 的全称为“Graphical Identification and Authentication”——图形化识别和验证。它是几个动态数据库文件,被 winlogonexe 所调用,为其提供能够对用户身份进行识别和验证的函数,并将用户的帐号和密码反馈给 winlogonexe。在登录过程中,“欢迎屏幕”和“登录对话框”就是 GINA 显示的。无线网卡的驱动程序安装自己的动态链接库来控制 GINA,推测可能是为了获取用户登录的用户名密码以便在登录有身份验证的无线网络时使用。
解决办法:
a 单击“开始”,然后单击“运行”。
b 在“打开”框中,键入 regedit,然后单击“确定”。
c 找到并单击下面的注册表项:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\WinLogon
d 在右窗格中,右键单击“GinaDLL”,然后单击“删除”。
e 在提示您确定删除时,单击“是”。
f 在“文件”菜单上,单击“退出”以退出“注册表编辑器”。
即可到控制面板里重新设置欢迎登录界面和用户快速切换。
方案2:开始-运行-Control userpasswords2
去掉“要使用本机,用户必须输入用户名和密码” 前面的勾。启用自动登录。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)