2

Windows-7 ログイン用のサブ認証パッケージを作成しました。ローカル アカウントのログインでは正常に機能しました。次に、Windows Server 2008 r2 の Active Directory に同じサブ認証パッケージを実装しようとしました。このMicrosoft ドキュメントでサブ認証 dll について説明されているように、DLL をWindows\System32\フォルダーに配置し、Kerberos のレジストリ値を変更しました。

設定した値はHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\KerberosValue: Auth0set to C:\Windows\System32\SubAuth.dll(am I right here?) にありました。

しかし、認証中に、AD に対してクライアント マシンでユーザーを認証するときに 2 番目の要素を要求されないため、サブ認証パッケージが呼び出されないことに気付きました。

セットアップで何かが足りないのでしょうか、それともサブ認証パッケージで何か変更しなければならないことがありますか?

ここで情報を見逃した場合はお知らせください。

PS: サブ認証パッケージは、Microsoft の資格情報プロバイダーのドキュメント (Msv1_0SubAuthenticationFilter ルーチン内) に従って開発されています。

4

2 に答える 2

0

これは仕様のようです - kerberos\ssv1_0 サブ認証パッケージの Msv1_0SubAuthenticationFilter ルーチンは、キャッシュされたドメインの対話型ログオンでは呼び出されません。

対話型ログオンの場合、すべてのチェーンは次のようになります。

LsaApLogonUserEx2->MsvSamValidate->MsvpSamValidate->MsvpPasswordValidate
LsaApLogonUserEx2->MsvSamValidate->MsvpSamValidate->Msv1_0SubAuthenticationRoutine

しかし、キャッシュされた対話型ログオンの場合、すべてのチェーンは次のようになります。

LsaApLogonUserEx2->MsvpPasswordValidate 
<and there is no call to Msv1_0SubAuthenticationRoutine here>
于 2017-09-06T07:41:31.917 に答える