Эквивалент модуля, требуемого для сеанса PAM, в Windows

Я думаю, что вы ищете пакет дополнительной аутентификации, но вы можете добиться большего с помощью поставщика учетных данных.

Пакет субаутентификации — это динамически подключаемая библиотека, которую локальный орган безопасности или центр распространения ключей Kerberos (KDC) будут вызывать после успешной аутентификации, но до того, как пользователю будет предоставлен доступ.

Windows будет аутентифицировать пользователя локально или через Kerberos, в зависимости от вашей конфигурации. Вы должны создать DLL, которая экспортирует две функции:

• Msv1_0SubAuthenticationRoutine (не вызывается для интерактивного входа или Керберос)
• Msv1_0SubAuthenticationFilter

Вы помещаете свой код в эту DLL и возвращаете STATUS_SUCCESS, если пользователю разрешен вход в систему, или один из других кодов ошибок. Вы не можете предполагать, что у вас будет доступ к паролю.

Если вы входите в систему через Kerberos, вы должны зарегистрировать свою DLL на KDC. Это затрудняет аутентификацию по некоторой локальной информации, такой как аппаратное или биометрическое устройство.

Так что, возможно, Credential Provider мог бы вам помочь, но это не самые элегантные решения. Он был разработан для сбора учетных данных и передачи их в пакет проверки подлинности. Но Microsoft позаботилась о том, чтобы поставщик учетных данных не блокировал пользователя, поэтому он не всегда может вызываться (в безопасном режиме), и пользователь может установить другой CP и т. д. Поэтому я упоминаю об этом для полноты картины.