Tech・Ed 2010 Japan Day1 LT Kamebuchi

Tech・Ed Japan 2010
ラ゗トニングトーク

2010.08.25
ver. 1.1
亀渕景司

名前: 亀渕景司
email: kamebuchi{at}live.jp
twitter: @kamebuchi
blog: http://buchizo.wordpress.com/
略歴:
IT業界在籍13年目
開発、SIいろいろ渡り歩いてます
現在はISV系IT企業で技術よりの営業支援
みたいな、なんでも屋さん
（コンシェルジュ）

(C) Copyright 2010, Keiji Kamebuchi, All Rights Reserved. 2

Credential Provider の概要
Credential Provider をカスタマ゗ズ
してみよう
Credential Provider の可能性

注意
紹介するネタは Microsoft 非サポートの内容
を含みます
実践は自己責任で！


Windows の認証機構
以前は GINA (Graphical Identification
and Authentication) と呼ばれてたもの
Windows NT 3.5x/4.0/2000/XP/2003
極端に言うとログ゗ン画面や
CTRL+ALT+DEL 押したときに出る”アレ”

Windows Vista/2008/7 は
GINA からCredential
Provider に変わりました

GINA の場合
サービス等が起動するセッション0にセッション 0
WinLogon が同居 WinLogon.exe
最終的に GINA が LogonUser ＋
GINA (DLL)
関連 API を呼び出して認証
ログオンの描画も GINA で担当
自由度高め
LSASS.exe
統一感は無い (Local Security Authority Process)
GINA は1つ
チェーン化することも一応可能
複数のベンダーによる GINA の共存が
基本的にできない
LoadLibrary と関数ポ゗ンタに依存


Credential Provider の場合セッション x
サービス等が起動するセッション0と LogonUI.exe
分離 Credential Credential
最終的に WinLogon が LogonUser ＋ Provider Provider
関連 API を呼び出して認証
Credential Provider では資格情報を生成 WinLogon.exe
ログオンの描画は LogonUI.exe で担当
どの UI 要素を表示するかだけを列挙
セッション 0
統一感あり
LSASS.exe
Credential Provider は複数OK (Local Security Authority Process)
複数のベンダーによる多様な認証を提供可能
排他じゃない
COM ベースで再設計
゗ンターフェースの実装と登録だけでOK
対話ログオン以外にも柔軟に対応


ただ弄るだけだと面白くない！
外部 EXE の実行に挑戦！


サンプルは Windows SDK for Windows 7 and .NET Framework 4 を
利用
http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=6b6c
21d2-2006-4afa-9702-529fa782d63b
“Windows SDK”で検索したほうが早い
検索結果でみると Windows SDK 7.1 5/19/2010

゗ンストール後下記にサンプルがあります
C:¥Program Files¥Microsoft SDKs¥Windows¥v7.1¥Samples¥security¥credentialproviders

Samples のドキュメントは…
Windows Vista Credential Provider Samples
http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=b1b3cb
d1-2d3a-4fac-982f-289f4f4b9300

MSDN マガジンの記事が凄く分かりやすい
Windows Vista 用の資格情報プロバ゗ダを使用したカスタムログ゗ン機能の作成
http://msdn.microsoft.com/ja-jp/magazine/cc163489.aspx


サンプルは Visual Studio 2008
⇒ Visual Studio 2010 にコンバートしても問題なし
です

今回はシンプルな
”SampleCredentialProvider” を使用

CSampleProvider.cpp 内の
CSampleProvider::SetUsageScenario に追記


CTRL+ALT+DEL キー押下
で呼び出されます

ログオン画面とロック解除画面
の゗ベント時にEXEを呼び出し


ターゲット指定は注意
x64 と x86 で配置先やレジストリの登録が
異なります
゗ンストール先のOS環境にあわせましょう


出来上がったDLLをWindowsフォルダへコピー
レジストリを登録
レジストリフゔ゗ルはプロジェクトフォルダに同梱
他には既定の認証プロバ゗ダや
生体認証プロバ゗ダが標準で
登録されています

見たまんまCOMですね


OLE-COM Object Viewer で確認

しつこいですがCOMですね
IUnknown持ってますね

ではログオフしてみて…


Win32 Native 以外は非サポート
つまるところ開発は C++/COM
COM Interop 使ってマネージドコードで実装したりするのは
非サポート（動作はする）
COM の知識があればもっと楽しい♪
C++ な COM から外部EXE呼び出したりするのは…
Credential Provider はビジュゕルスタ゗ルが
利用できません
Aero Glass、テーマ等
リモートデスクトップ接続時も有効です
Samples 文書の Q&A に詳細が記載されてます
いろいろ失敗したらあわてずセーフモードで
復旧方法もドキュメントに記載あります


企業向け
ログオン前にいろいろ情報表示
企業からの通知の表示
ログオン日時、ネットワーク接続情報、等
Office Communicator と組み合わせてヘルプ
デスクに接続
ログオン前でも対応できる
ログオン画面で RDC
ログオンせずにリモートデスクトップ接続
mstsc.exe を呼び出すだけで良いなら意外と簡単


Windows 7 なら Sensor API と連携
3軸加速度センサー使って特定の動きしたらログオン
▪ 変身ポーズでログオン！
▪ 強制的にストレッチさせてみる！
▪ おばかゕプリ選手権でやりたかった → Credential Provider
部分が間に合わず
カスタム SmartCard 認証もできる
たとえば…携帯の Felica
調達しやすい自前デバ゗スで認証
カメラ接続して画像を保存
だれがログオンしようとしたかID付きで写真も保存
サーバールーム等、監査に使える？


個人向け
Windows Live ID でPCにログオン
疑似シンクラ゗ゕント/クラウドOSっぽく
ユーザープロフゔ゗ルを SkyDrive やWindows
Azure Platform（WAP）のblobやCDNに配置？
（未検証）

痛ログオン・ロック画面
壁紙変えるぐらいは普通にできるんじゃね？
⇒ WPFでぐりぐり”嫁”を動かしたい！！
ログオン前から”嫁”と一緒♪


Credential Provider はログオンの要
目的に応じてカスタマ゗ズの余地が
残されてる
利便性を上げることもモチロン可能
Credential Provider 弄ってその気に
なれば何でもできる
どこまで弄るかは要注意です
あまりやりすぎると、セキュリテゖや
安全性を保つ、統一感を出すといった
本質から外れるので注意（今回のデモは…）


Tech・Ed 2010 Japan Day1 LT Kamebuchi

Recomendados

Recomendados

Más contenido relacionado

Destacado

Destacado (20)

Tech・Ed 2010 Japan Day1 LT Kamebuchi