Generieren der Digest-Challenge
Die Microsoft Digest-Challenge wird durch den anfänglichen Aufruf der AcceptSecurityContext -Funktion (Digest) des Servers generiert. Dieser Funktionsaufruf generiert eine Nonce, bei der es sich um einen eindeutigen Wert handelt, der Informationen enthält, die zum Erkennen von Sicherheitsverletzungen verwendet werden können. Dieser Aufruf generiert auch einen teilweisen Sicherheitskontext , der zum Verwalten von Zustandsinformationen verwendet wird. Beim Aufrufen von AcceptSecurityContext (Digest) geben Sie Kontextanforderungen-Flags an, um das Verhalten von Microsoft Digest zu steuern und die Schutzqualität festzulegen. Weitere Informationen finden Sie unter Digest Challenge Context Requirements( Digest Challenge Context Requirements).
Die Ausgabe des ersten Aufrufs der Funktion AcceptSecurityContext (Digest) ist ein Sicherheitspuffer, der ein Token enthält, das mit einer HTTP 401-Antwort (Zugriff verweigert) an den Client gesendet wird.
Hinweis
Aufrufe von AcceptSecurityContext (Digest), die keine Informationen in den Eingabepuffern enthalten, geben eine Digest-Challenge zurück.
Kontextanforderungen für Digest-Herausforderungen
Kontextanforderungen sind Flags, die Folgendes bestimmen:
- Gibt an, ob Microsoft Digest als SASL-Mechanismus oder HTTP-Authentifizierungsprotokoll funktioniert.
- Die Qualität des Schutzes, die vom Vom Client und Server gemeinsam genutzten Sicherheitskontext unterstützt wird.
Standardmäßig funktioniert Microsoft Digest als SASL-Mechanismus. Um es für die HTTP-Authentifizierung zu verwenden, muss das ASC_REQ_HTTP-Flag (0x10000000) vom Server festgelegt werden.
Kontextanforderungen werden als Flags angegeben, die an den fContextReq-Parameter der AcceptSecurityContext -Funktion (Digest) übergeben werden. Die Flags wirken sich auf die Schutzqualität des Sicherheitskontexts aus, indem sie die qop-Direktive in der Herausforderung steuern.
Standardmäßig ist die qop-Direktive auf "auth" festgelegt. Um eine Challenge zu generieren, die die qop-Direktive auf "auth-int" festlegt, muss der Server mindestens eins der folgenden Flags angeben:
- ASC_REQ_INTEGRITY
- ASC_REQ_REPLAY_DETECT
- ASC_REQ_SEQUENCE_DETECT
Nur für SASL: Generieren Sie eine Challenge, bei der die qop-Direktive auf "auth-conf" festgelegt ist, indem Sie das ASC_REQ_CONFIDENTIALITY Kontextanforderungsflag angeben. Da dieses Flag für die HTTP-Authentifizierung nicht gültig ist, kann es nicht mit dem ASC_REQ_HTTP-Flag verwendet werden.
Weitere Informationen zur qop-Direktive finden Sie unter Qualität des Schutzes und Verschlüsselungen.
Weitere Informationen zu Herausforderungen finden Sie unter Inhalt einer Digest challenge.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für