問題タブ [credential-providers]

ユーザーがウェブカメラ（顔認識）またはユーザー名とパスワードを使用できるように、カスタムWindowsログインを開発しています。ログイン画面で必要なすべてのコントロールを含むウィンドウを表示できますが、提供されたユーザー名とパスワードで認証する方法がわかりません。Window は、この目的のためにGetSerialize()関数を使用します。

上記は関数シグネチャです。ご覧のとおり、システムはユーザー名とパスワードに関する情報を取得するためにポインタCREDENTIAL_PROVIDER_GET_SERIALIZATION_RESPONSE*とポインタを使用しています。CREDENTIAL_PROVIDER_CREDENTIAL_SERIALIZATION*認証のためにこれを呼び出す方法。または、ログイン時にこれを行うための代替方法はありますか。

ログインを許可する前にインターネット経由で認証する資格情報プロバイダーDLLを作成しています。ただし、WinHTTPリクエストが送信されないため、これは期待どおりに機能しませんでした。これはwiresharkを使用して確認しました。しかし、なぜそれがリクエストを送信しないのか理解できません。私のコードが実際に関数を正しく呼び出していることを確認しました-そしてそれらはそうです。しかし、httpリクエストがそれをオフにすることはありません。この時点で少し混乱していて、ログイン時にhttpsリクエストに対して包括的なブロックがあるかどうかを知りたいと思っています。

カスタム Windows 資格情報プロバイダーの作成に関するドキュメントはどこにありますか? これまでに見つけたものはすべて、カスタム資格情報プロバイダーの作成方法に関する同じ記事を指しています ( MSDN マガジン:「Windows Vista の資格情報プロバイダーを使用してカスタム ログイン エクスペリエンスを作成する」 )。物事が実際にどのように機能するかについて。せいぜいいくつかのコード サンプルがありますが、それらは資格情報プロバイダーの完全なメカニズムを説明したり、独自の方法を有効に示したりするものではありません。

というわけで、シナリオはこちら。Windows 7 でログオン システムを開発しています。資格情報を 1 つ含む資格情報プロバイダーを作成しました。資格情報には、ユーザー名、パスワード、および PIN の 3 つの入力フィールドがあります。

私がドキュメント (CMIIW) から学んだことは、フィールドに入力してログオンをクリックすると、WINLOGON がユーザー名とパスワードを取得し、LSALogonUser() を呼び出して認証することで LSA に送信するということです。次に LSA は、認証パッケージ KERBEROS (リモート ログオンの場合) または MSV1_0 (ローカル ログオンの場合) とのネゴシエーションを試みます。

ここでは、ローカル シナリオのみを想定します。ユーザー名とパスワードは MSV1_0 に渡され、SAM データベース内のものと照合されます。問題は、SAMデータベースでチェックしたくないということです。トリプレットとしてエントリを含むファイル C:\users.txt があるとします: {username ; パスワード; ピン}。ここにあるすべてのユーザー名は、Windows の既存のユーザーです。認証が私のやり方に従うようにするにはどうすればよいですか (ファイル C:\users.txt.

私が間違っていなければ、MSV1_0 を「ラップ」する独自の認証パッケージを作成できます。そのためのサンプルコードはありますか？または、別のより適切な方法はありますか？

ありがとうございます。

Microsoftからいくつかの例を見つけましたが、開始方法がわかりません。

VS プロジェクトのように見えるものと、レジストリ エントリを含むファイルがあります。メイクファイルは含まれておらず、ビルド方法についての指示もありません。

MinGW で G++ コンパイラを使用しようとしています。ユース ケースは単純な http 認証です。これは、私のpam-http projectを使用して Linux で動作しています。

• 単純な資格情報プロバイダーをコンパイルするにはどうすればよいですか?
• ビルド スクリプト/メイクファイルを提供するチュートリアルはありますか?

可能な場合は FOSS を使用することを非常に好みます。そのため、MinGW と g++ を使用します。また、Windows でのコンパイルの経験はほとんどありません (私は数年前に仕事で VS を使用していました)。最終的には cURL でリンクしたいと思っていますが、何かをビルドしたら、それを理解できます。

ノート：

これらを見つけましたが、g++ を使用したビルド スクリプトを探しています。

• Windows 7 用のカスタム資格情報プロバイダーの構築
• http://msdn.microsoft.com/en-us/magazine/cc163489.aspx

kbersonさんの気持ちに共感します。

編集：

これは MinGW の Web サイトで見つけたもので、MS VC で作成された DLL とのリンクが可能であると書かれています。

Visual Studio を使用したくありません。特定のビルド ツール (ANT や make など) に縛られていないコマンド ライン コンパイル ツールを使用したいと思います。

システムサービスからカスタムクレデンシャルプロバイダーと通信するための最良の方法は何ですか？メッセージポンプを介してメッセージを送信することは可能ですか？名前付きパイプを使用できますか？任意の提案をいただければ幸いです。

私は、cpp を使用して Windows 7 の資格情報プロバイダーに取り組んでいます。システムがバックグラウンドで動作している間、テキストボックスと送信ボタンを無効にしたい。このために、私は以下のコードを使用しようとしました:

ここでSFI_EDIT_TEXTは、プロパティを変更したいオブジェクトを表し、CPFIS_DISABLED無効にする必要があることを示しています（少なくともそうであると思います）。しかし、有用な結果は得られませんでした。誰でも助けることができますか？

まず、私の希望する解決策を説明しましょう。

ログオン資格情報を外部認証サーバーに送信し、同じ資格情報といくつかの追加の認証パラメーターを資格情報プロバイダーに渡すことで、ユーザーを認証するカスタム資格情報プロバイダーを作成しています。次に、資格情報プロバイダーはこれらの資格情報をローカルセキュリティ機関に送信します。ローカルセキュリティ機関は、カスタム認証パッケージに基づいてユーザーを認証します。

私はWindowsでのプログラミングにまったく慣れていませんが、クレデンシャルプロバイダーのテクニカルリファレンスを勉強しているので、それがどのように機能するかをある程度理解しています。私がまだ理解していないのはこれです：カスタムクレデンシャルプロバイダーをプログラミングするとき、上記の例で提案したように外部と通信するようにプログラムできますか？WinHTTPを使用して資格情報プロバイダーとの間でデータを送受信できることをどこかで読みました。これは正しいです？

よろしく、bagzera

Windows 7 用のカスタム資格情報プロバイダーを開発しています。私の目標は、特定のハードウェア イベントが発生したときにユーザーを自動的にログインさせることです。これに関連する MSDN の記事をすべて読み、外部デバイスとやり取りしてユーザー名とパスワードを取得し、それを WinLogon に渡す単純な資格情報プロバイダーを実装しました。

しかし、私はまだパズルの最後のピースで立ち往生しています。現在、ユーザーはログオン ボタンを押して自分でログインする必要があります。これを自動的に行う最善の方法は何ですか?

Q. Windows 資格情報ダイアログ(WinForms32)によって提供されるセキュリティ機能を WPF で再利用するにはどうすればよいですか?

ブレインストーミング (これらのいずれかが可能かどうかは不明):

1. 独自の WPF ダイアログ内で WinForms32 ダイアログをホストします。MSDN には、WinFormsコントロール(つまり、テキスト ボックスなど)をホストする方法を説明する記事がありますが、WinForms ダイアログはホストしません。はい、これは醜いでしょうが、今のところ見た目は心配していません.

2. WinForms ダイアログをラップする WPF GUI を提供します。ログイン時に、WPF ユーザー名テキスト ボックスと WPFSecurePasswordテキスト ボックスは、内部で対応する WinForms に転送されます。機密データを移動すると、セキュリティ上のリスクが生じる可能性があります (ただし、攻撃者がパスワードを盗む方法は他にもたくさんあると主張する人もいます)。

3. WinForms のユーザー名とパスワードのテキスト ボックスを WPF ダイアログに移動します (既存のテキスト ボックスを「再親化」します)。

提案やコメント (私の考えに対する批判を含む) は大歓迎です!