1

Windows-7ログイン用のサブ認証パッケージを作成しました。ローカルアカウントログインで正常に機能しました。 その後、Windowsサーバー2008 r2のアクティブディレクトリに同じサブ認証パッケージを実装しようとしました。 Windows\System32\フォルダにDLLを配置し、Kerberosのレジストリ値をthisと変更しました。Microsoftの文書では、サブ認証dllについて説明しています。アクティブディレクトリカスタム認証

私が設定した値はHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberosで、値はAuth0で、C:\Windows\System32\SubAuth.dllに設定されています(私はここにいますか?)。

認証中に私はサブ認証パッケージが呼び出されないことに気づきました。なぜなら、クライアントマシン上でADに対してユーザーを認証する際に第2の要因を求められないからです。

セットアップに何か不足していますか、サブ認証パッケージで変更する必要があります。

私はここに何か情報を見逃しているかどうか教えてください。

PS:サブ認証パッケージは、Microsoftの資格プロバイダのドキュメント(Msv1_0SubAuthenticationFilterルーチン内)に従って開発されています。

答えて

0

これは設計上のようです - kerberos \ ssv1_0サブauthパッケージのMsv1_0SubAuthenticationFilterルーチンは、キャッシュされたドメインの対話型ログオンのために呼び出されません。対話型ログオンのсallチェーンの

のようなものになります。

LsaApLogonUserEx2->MsvSamValidate->MsvpSamValidate->MsvpPasswordValidate 
LsaApLogonUserEx2->MsvSamValidate->MsvpSamValidate->Msv1_0SubAuthenticationRoutine 

しかし、キャッシュされた対話型ログオンのсallチェーンのようになっています

LsaApLogonUserEx2->MsvpPasswordValidate 
<and there is no call to Msv1_0SubAuthenticationRoutine here> 
関連する問題