Génération du défi Digest
Le défi Microsoft Digest est généré par l’appel initial de la fonction AcceptSecurityContext (Digest) par le serveur. Cet appel de fonction génère un nonce, qui est une valeur unique qui contient des informations qui peuvent être utilisées pour détecter les violations de sécurité. Cet appel génère également un contexte de sécurité partiel utilisé pour conserver les informations d’état. Lorsque vous appelez AcceptSecurityContext (Digest), vous spécifiez des indicateurs d'exigences de contexte pour contrôler le comportement de Microsoft Digest et définir la qualité de la protection. Pour obtenir plus d’informations, veuillez consulter la page Exigences de contexte du défi Digest.
La sortie de l’appel initial à la fonction AcceptSecurityContext (Digest) est une mémoire tampon de sécurité qui contient un jeton envoyé au client avec une réponse HTTP 401 (accès refusé).
Notes
Les appels à AcceptSecurityContext (Digest) qui ne contiennent pas d’informations dans les mémoires tampons d’entrée retournent un défi Digest.
Les exigences de contexte sont des indicateurs qui déterminent :
- Si Microsoft Digest fonctionne comme un mécanisme SASL ou un protocole d’authentification HTTP.
- La qualité de la protection prise en charge par le contexte de sécurité partagé par le client et le serveur.
Par défaut, Microsoft Digest fonctionne comme un mécanisme SASL. Pour l’utiliser pour l’authentification HTTP, l’indicateur ASC_REQ_HTTP (0x10000000) doit être défini par le serveur.
Les exigences de contexte sont spécifiées en tant qu’indicateurs passés au paramètre fContextReq de la fonction AcceptSecurityContext (Digest). Les indicateurs affectent la qualité de la protection du contexte de sécurité en contrôlant la directive qop dans le défi.
Par défaut, la directive qop est définie sur « auth ». Pour générer un défi qui définit la directive qop sur « auth-int », le serveur doit spécifier un ou plusieurs des indicateurs suivants :
- ASC_REQ_INTEGRITY
- ASC_REQ_REPLAY_DETECT
- ASC_REQ_SEQUENCE_DETECT
Pour SASL uniquement : générez un défi avec la directive qop définie sur « auth-conf » en spécifiant l’indicateur d'exigence de contexte ASC_REQ_CONFIDENTIALITY. Étant donné que cet indicateur n’est pas valide pour l’authentification HTTP, il ne peut pas être utilisé avec l’indicateur ASC_REQ_HTTP.
Pour obtenir plus d’informations sur la directive qop, veuillez consulter la page Qualité de la protection et des chiffrements.
Pour obtenir plus d’informations sur les défis, veuillez consulter la page Contenu d’un défi Digest.