LSA_AP_LOGON_USER fonction de rappel (ntsecpkg.h)

Article
08/25/2023

Authentifie les informations d’identification d’ouverture de session d’un utilisateur.

Cette fonction est appelée uniquement pour l’ouverture de session initiale d’un utilisateur. Les demandes d’authentification suivantes doivent utiliser LsaCallAuthenticationPackage.

Si LsaApLogonUser réussit, une session d’ouverture de session est créée. Elle retourne également les informations utilisées pour générer le jeton représentant l’utilisateur nouvellement connecté.

Syntaxe

LSA_AP_LOGON_USER LsaApLogonUser;

NTSTATUS LsaApLogonUser(
  [in]  PLSA_CLIENT_REQUEST ClientRequest,
  [in]  SECURITY_LOGON_TYPE LogonType,
  [in]  PVOID AuthenticationInformation,
  [in]  PVOID ClientAuthenticationBase,
  [in]  ULONG AuthenticationInformationLength,
  [out] PVOID *ProfileBuffer,
  [out] PULONG ProfileBufferLength,
  [out] PLUID LogonId,
  [out] PNTSTATUS SubStatus,
  [out] PLSA_TOKEN_INFORMATION_TYPE TokenInformationType,
  [out] PVOID *TokenInformation,
  [out] PLSA_UNICODE_STRING *AccountName,
  [out] PLSA_UNICODE_STRING *AuthenticatingAuthority
)
{...}

Paramètres

[in] ClientRequest

Pointeur vers une mémoire tampon LSA_CLIENT_REQUEST opaque qui représente la requête du client LSA. Votre package d’authentification peut passer cette valeur à AllocateClientBuffer et FreeClientBuffer afin d’identifier le processus client dans lequel la mémoire doit être allouée ou libérée.

[in] LogonType

Valeur SECURITY_LOGON_TYPE identifiant le type d’ouverture de session demandée.

[in] AuthenticationInformation

Fournit les informations d’authentification spécifiques au package d’authentification. La LSA libère cette mémoire tampon. Il s’agit de la même mémoire tampon d’entrée passée dans LsaLogonUser.

[in] ClientAuthenticationBase

Fournit l’adresse des informations d’authentification dans le processus client. Cela peut être nécessaire pour remapper les pointeurs dans la mémoire tampon AuthenticationInformation .

[in] AuthenticationInformationLength

Indique la longueur, en octets, de la mémoire tampon AuthenticationInformation .

[out] ProfileBuffer

Pointeur qui reçoit l’adresse de la mémoire tampon de profil dans le processus client. Le package d’authentification est chargé d’allouer la mémoire tampon ProfileBuffer dans le processus client en appelant la fonction AllocateClientBuffer . Toutefois, si LSA rencontre par la suite une erreur qui empêche une ouverture de session réussie, la LSA libère cette mémoire tampon.

Le contenu de cette mémoire tampon est déterminé par le package d’authentification. La LSA ne modifie pas cette mémoire tampon ; il retourne simplement la valeur à la fonction LsaLogonUser .

[out] ProfileBufferLength

Pointeur vers un ULONG qui reçoit la longueur de la mémoire tampon ProfileBuffer , en octets.

[out] LogonId

Pointeur vers un LUID qui reçoit le nouvel ID d’ouverture de session qui identifie de façon unique cette session d’ouverture de session. Le package d’authentification est chargé d’allouer ce LUID et de créer la session d’ouverture de session pour cette ouverture de session.

[out] SubStatus

Pointeur vers un NTSTATUS qui reçoit la raison des défaillances dues à des restrictions de compte. Les valeurs retournées dans SubStatus sont déterminées par le package d’authentification.

Le tableau suivant répertorie les valeurs SubStatus pour les packages d’authentification MSV1_0 et Kerberos.

Valeur	Signification
STATUS_INVALID_LOGON_HOURS	Le compte d’utilisateur a des restrictions de temps ; il ne peut pas être utilisé pour se connecter pour l’instant.
STATUS_INVALID_WORKSTATION	Le compte d’utilisateur a des restrictions de station de travail ; il ne peut pas être utilisé pour se connecter à la station de travail actuelle.
STATUS_PASSWORD_EXPIRED	Le mot de passe du compte d’utilisateur a expiré.
STATUS_ACCOUNT_DISABLED	Le compte d’utilisateur est actuellement désactivé et ne peut pas être utilisé pour se connecter.

Vous trouverez plus d’informations sur les codes NTSTATUS dans le fichier d’en-tête Subauth.h fourni avec le Kit de développement logiciel (SDK) platform.

La fonction LsaNtStatusToWinError convertit un code NTSTATUS en code d’erreur Windows.

[out] TokenInformationType

Pointeur qui reçoit l’adresse d’un LSA_TOKEN_INFORMATION_TYPE valeur qui indique le type d’informations retournées pour l’inclusion dans le jeton à créer. Les informations sont retournées dans la mémoire tampon TokenInformation .

[out] TokenInformation

Pointeur qui reçoit des informations à inclure dans le jeton. Le format et le contenu de la mémoire tampon TokenInformation sont indiqués par le paramètre TokenInformationType . Votre package d’authentification est responsable de l’allocation de la mémoire utilisée par TokenInformation ; Toutefois, cette mémoire sera libérée par l’ASE.

[out] AccountName

Pointeur vers une structure LSA_UNICODE_STRING qui reçoit le nom du compte d’utilisateur. AccountName doit toujours être retourné indépendamment de la réussite ou de l’échec de l’appel ; sa chaîne est incluse dans l’enregistrement d’audit pour une tentative d’authentification. Votre package d’authentification est responsable de l’allocation de la mémoire utilisée par AccountName ; Toutefois, cette mémoire sera libérée par l’ASE.

[out] AuthenticatingAuthority

Optionnel. Pointeur vers une structure LSA_UNICODE_STRING qui reçoit la description de l’autorité d’authentification pour l’ouverture de session. Ce paramètre peut être NULL. Cette chaîne est incluse dans l’enregistrement d’audit pour une tentative d’authentification. Votre package d’authentification est chargé d’allouer la mémoire utilisée par AuthenticatingAuthority ; Toutefois, cette mémoire sera libérée par l’ASE.

Le package d’authentification MSV1_0 retourne le nom de domaine du domaine qui valide le compte. Le package d’authentification Kerberos retourne le nom de domaine NetBIOS.

Valeur retournée

Si la fonction réussit, elle doit retourner STATUS_SUCCESS.

Si la fonction échoue, elle doit retourner un code d’erreur NTSTATUS, qui peut être l’une des valeurs suivantes ou l’une des valeurs de retour de la fonction de stratégie LSA.

Code de retour	Description
STATUS_NO_MEMORY	Impossible de terminer l’ouverture de session, car le quota de mémoire du client est insuffisant pour allouer la mémoire tampon de retour.
STATUS_NO_LOGON_SERVERS	Aucun contrôleur de domaine n’est disponible pour traiter la demande d’authentification.
STATUS_LOGON_FAILURE	La tentative d’ouverture de session a échoué. La raison de l’échec n’est pas spécifiée ; les raisons courantes incluent des noms d’utilisateur et des mots de passe mal orthographiés.
STATUS_ACCOUNT_RESTRICTION	Le compte d’utilisateur et le mot de passe étaient légitimes, mais les restrictions de compte d’utilisateur empêchent l’ouverture de session pour le moment. Pour plus d’informations, consultez le paramètre SubStatus .
STATUS_BAD_VALIDATION_CLASS	Les informations d’authentification fournies ne sont pas reconnues par le package d’authentification spécifié.

Les applications appelantes peuvent utiliser la fonction LsaNtStatusToWinError pour convertir le code NTSTATUS en code d’erreur Windows.

Notes

Les packages d’authentification doivent implémenter l’une des fonctions suivantes : LsaApLogonUser, LsaApLogonUserEx ou LsaApLogonUserEx2.

Spécifications


Client minimal pris en charge	Windows XP [applications de bureau uniquement]
Serveur minimal pris en charge	Windows Server 2003 [applications de bureau uniquement]
Plateforme cible	Windows
En-tête	ntsecpkg.h