Stattdessen lassen sich unterschiedliche Authentifizierungskomponenten verschiedener Hersteller flexibel miteinander kombinieren. GINA ist die Komponente, die bisher für die grafische Anmeldung zuständig war. Solange man mit der Standardauthentifizierung von Windows arbeitete, also mit einer Kombination von Benutzername und Kennwort, war das auch unproblematisch. Und auch das Thema Smartcards hatte Microsoft zumindest bei Windows XP relativ gut gelöst.
Doch man kommt eben nicht in allen Situationen mit diesen Varianten der Authentifizierung aus. Microsoft hat daher sehr früh offengelegt, wie man die GINA erweitern und die Standardvariante durch spezifische Versionen ersetzen kann. Dabei ergaben sich aber zwei Probleme:
-
Viele Unternehmen haben veränderte GINAs nicht zugelassen. Dafür gibt es zwei Gründe: das Risiko der Instabilität sowie generelle Regeln, die eine Veränderung so zentraler Systemkomponenten durch Produkte von Drittherstellern untersagen – natürlich meist auch mit dem Argument des Risikos einer sinkenden Stabilität.
-
Die GINA kann immer nur durch eine andere Datei ersetzt werden, weil eben immer auf eine DLL Bezug genommen wird. Wenn man aber nun Mechanismen verschiedener Hersteller miteinander kombinieren möchte, klappt das mit der GINA nicht.
Neues Authentifizierungsmodell
Microsoft hat daher bei Windows Vista ein neues Authentifizierungsmodell definiert, bei dem es eine direkte Kommunikation zwischen der Schnittstelle für die Authentifizierung und Win- Logon als der eigentlichen systeminternen Komponente definiert. Entwickler, die die Authentifizierung erweitern möchten, müssen die bisherige Schnittstelle nicht mehr ersetzen. Vielmehr muss man nur beschreiben, in welcher Form die speziellen benötigten Anmeldeinformationen übergeben werden müssen. Diese so entstehenden Anmeldeinformationsanbieter sind additiv.
Man kann also mehrere Anbieter einrichten, die vom Benutzer ausgewählt oder bestimmten Systemereignissen entsprechend angezeigt werden können. Wenn es also beispielsweise gerade keinen angeschlossenen Smartcard-Reader gibt, wird das Modul nicht angezeigt. Wenn der Fingerabdruck- Leser angeschlossen ist, wird – basierend auf dem entsprechenden Ereignis im System – das entsprechende Modul angezeigt. Mit Windows Vista werden zwei Module geliefert. Eines wird für die Benutzername-/Kennwort- Authentifizierung verwendet, das andere für Smartcards. Weitere Module können von Drittherstellern beschrieben werden.
Bisherige GINA-Module nicht mehr unterstützt
Für die Migration zu Windows Vista ist wichtig, dass bisherige GINA-Module nicht mehr unterstützt werden. Man benötigt also ein neu geschriebenes Authentifizierungsmodul, das der neuen Architektur folgt. Einige Knowledge Base- Artikel befassen sich mit diesem Thema, so zum Beispiel die Artikel 926673 und 925520. Es ist ausgesprochen wichtig, sich vor der Aktualisierung auf Windows Vista mit diesem Thema vertraut zu machen, falls spezielle GINAs eingesetzt werden, wie sie beispielsweise mit dem Novell Client for Windows und vielen biometrischen Geräten geliefert werden.
Denn man muss bei der Umstellung sicherstellen, dass die Authentifizierung auch weiterhin funktioniert, indem man beispielsweise gleich das herstellerspezifische Modul für die Authentifizierung unter Windows Vista mit installiert. Wenn man die Umstellung aber erst einmal gemacht hat, profitiert man davon, weil es eben sehr viel einfacher wird, unterschiedliche Authentifizierungsmechanismen einzusetzen und damit auch auf eine stärkere Authentifizierung umzustellen.
Viel aufwendiger als der Schritt von der GINA zu den neuen Authentifizierungsmodulen sind ohnehin die Anpassungen im Backend, falls man beispielsweise, wie dies von Microsoft propagiert wird, flächendeckend mit Smartcards als Authentifizierungsmechanismus arbeiten möchte. Denn dazu braucht es eine Smartcard-Infrastruktur, mit der alle Erstellungs- und Änderungsprozesse rund um Smartcards abgewickelt werden können.