Funzione AcceptSecurityContext (Digest)
La funzione AcceptSecurityContext (Digest) consente al componente server di un'applicazione di trasporto di stabilire un contesto di sicurezza tra il server e un client remoto. Il client remoto usa la funzione InitializeSecurityContext (Digest) per avviare il processo di definizione di un contesto di sicurezza. Il server può richiedere uno o più token di risposta dal client remoto per completare la definizione del contesto di sicurezza.
Sintassi
SECURITY_STATUS SEC_Entry AcceptSecurityContext(
_In_opt_ PCredHandle phCredential,
_Inout_opt_ PCtxtHandle phContext,
_In_opt_ PSecBufferDesc pInput,
_In_ ULONG fContextReq,
_In_ ULONG TargetDataRep,
_Inout_opt_ PCtxtHandle phNewContext,
_Inout_opt_ PSecBufferDesc pOutput,
_Out_ PULONG pfContextAttr,
_Out_opt_ PTimeStamp ptsExpiry
);
Parametri
phCredential[in, optional]
Handle per le credenziali del server. Il server chiama la funzione AcquireCredentialsHandle (Digest) con il flag SECPKG_CRED_INBOUND o SECPKG_CRED_BOTH impostato per recuperare questo handle.
phContext[in, out, optional]
Puntatore a una struttura CtxtHandle . Nella prima chiamata a AcceptSecurityContext (Digest), questo puntatore è NULL. Nelle chiamate successive , phContext è l'handle per il contesto parzialmente formato restituito nel parametro phNewContext dalla prima chiamata.
Avviso
Non usare lo stesso handle di contesto nelle chiamate simultanee a AcceptSecurityContext (Digest).Do not use the same context handle in concurrent calls to AcceptSecurityContext (Digest). L'implementazione dell'API nei provider di servizi di sicurezza non è thread-safe.
pInput[in, optional]
Puntatore a una struttura SecBufferDesc generata da una chiamata client a InitializeSecurityContext (Digest) che contiene il descrittore del buffer di input.
La tabella seguente illustra la configurazione del buffer per Il digest HTTP. Il primo buffer deve essere di tipo SECBUFFER_TOKEN e il resto deve essere di tipo SECBUFFER_PKG_PARAMS. SASL richiede solo buffer zero.
| Buffer #/tipo di buffer | Significato |
|---|---|
| 0 SECBUFFER_TOKEN |
Vuoto per la prima chiamata e la risposta di richiesta ricevuta dal client per la seconda chiamata. |
| 1 SECBUFFER_PKG_PARAMS |
Metodo. I caratteri sono in formato wireline dalla riga di richiesta. Caratteri a byte singolo US ASCII. |
| 2 SECBUFFER_PKG_PARAMS |
Riservato. |
| 3 SECBUFFER_PKG_PARAMS |
HEntity. Rappresentazione esadecimale di H(entity-body). Caratteri a byte singolo US ASCII. |
| 4 SECBUFFER_PKG_PARAMS |
Regno. Stringa dell'area di autenticazione per la sfida. Stringa Unicode che deve essere rappresentabile in US ASCII. |
| 5 | SECBUFFER_CHANNEL_BINDINGS SECBUFFER_READONLY |
Contiene il valore del token di associazione del canale. Windows Server 2008, Windows Vista, Windows Server 2003 e Windows XP: Questo valore non è supportato. |
fContextReq[in]
Flag di bit che specificano gli attributi richiesti dal server per stabilire il contesto. I flag di bit possono essere combinati usando operazioni OR bit per bit. Questo parametro può essere uno o più dei valori seguenti.
| Valore | Significato |
|---|---|
| ASC_REQ_ALLOCATE_MEMORY | Il digest alloca i buffer di output. Al termine dell'uso dei buffer di output, liberarli chiamando la funzione FreeContextBuffer . |
| ASC_REQ_ALLOW_MISSING_BINDINGS | Indica che Digest non richiede associazioni di canale sia per i canali interni che per i canali esterni. Questo valore viene usato per la compatibilità con le versioni precedenti quando il supporto per l'associazione del canale dell'endpoint non è noto. Questo valore si escludono a vicenda con ASC_REQ_PROXY_BINDINGS. Windows Server 2008, Windows Vista, Windows Server 2003 e Windows XP: Questo valore non è supportato. |
| ASC_REQ_CONFIDENTIALITY | Crittografare e decrittografare i messaggi. Il provider di servizi condivisi digest supporta questo flag solo per SASL. |
| ASC_REQ_PROXY_BINDINGS | Indica che Digest richiede l'associazione del canale. Questo valore si escludono a vicenda con ASC_REQ_ALLOW_MISSING_BINDINGS. Windows Server 2008, Windows Vista, Windows Server 2003 e Windows XP: Questo valore non è supportato. |
| ASC_REQ_CONNECTION | Il contesto di sicurezza non gestirà i messaggi di formattazione. |
| ASC_REQ_EXTENDED_ERROR | Quando si verificano errori, l'entità remota riceverà una notifica. |
| ASC_REQ_HTTP (0x10000000) | Usare digest per HTTP. Omettere questo flag per usare Digest come meccanismo SASL. |
| ASC_REQ_INTEGRITY | Firmare i messaggi e verificare le firme. |
| ASC_REQ_REPLAY_DETECT | Rilevare i pacchetti riprodotti. |
| ASC_REQ_SEQUENCE_DETECT | Rilevare i messaggi ricevuti fuori sequenza. |
Per i possibili flag di attributo e i relativi significati, vedere Requisiti di contesto. I flag usati per questo parametro sono preceduti da ASC_REQ, ad esempio ASC_REQ_DELEGATE.
Gli attributi richiesti potrebbero non essere supportati dal client. Per altre informazioni, vedere il parametro pfContextAttr .
TargetDataRep[in]
Rappresentazione dei dati, ad esempio l'ordinamento dei byte, nella destinazione. Questo parametro può essere SECURITY_NATIVE_DREP o SECURITY_NETWORK_DREP.
Questo parametro non viene usato con il provider di servizi condivisi digest. Quando si usa il provider di servizi condivisi digest, specificare zero per questo parametro.
phNewContext[in, out, optional]
Puntatore a una struttura CtxtHandle . Nella prima chiamata a AcceptSecurityContext (Digest), questo puntatore riceve il nuovo handle di contesto. Nelle chiamate successive , phNewContext può essere uguale all'handle specificato nel parametro phContext . phNewContext non deve mai essere NULL.
pOutput[in, out, optional]
Puntatore a una struttura SecBufferDesc che contiene il descrittore del buffer di output. Questo buffer viene inviato al client per l'input in chiamate aggiuntive a InitializeSecurityContext (Digest).This buffer is sent to the client for input into additional calls to InitializeSecurityContext (Digest). È possibile generare un buffer di output anche se la funzione restituisce SEC_E_OK. Qualsiasi buffer generato deve essere inviato di nuovo all'applicazione client.
pfContextAttr[out]
Puntatore a una variabile che riceve un set di flag di bit che indicano gli attributi del contesto stabilito. Per una descrizione dei vari attributi, vedere Requisiti di contesto. I flag usati per questo parametro sono preceduti da ASC_RET, ad esempio ASC_RET_DELEGATE.
Non verificare la presenza di attributi correlati alla sicurezza finché la chiamata di funzione finale non viene restituita correttamente. I flag di attributo non correlati alla sicurezza, ad esempio il flag ASC_RET_ALLOCATED_MEMORY, possono essere controllati prima della restituzione finale.
ptsTimeStamp[out, optional]
Puntatore a una struttura TimeStamp che riceve l'ora di scadenza del contesto. È consigliabile che il pacchetto di sicurezza restituisca sempre questo valore nell'ora locale.
Questo parametro è impostato su un tempo massimo costante. Non è prevista alcuna scadenza per il contesto di sicurezzadel digest o le credenziali o quando si usa il provider di servizi condivisi del digest.
Nota
Fino all'ultima chiamata del processo di autenticazione, l'ora di scadenza del contesto può essere errata perché durante le fasi successive della negoziazione verranno fornite ulteriori informazioni. Pertanto , ptsTimeStamp deve essere NULL fino all'ultima chiamata alla funzione.
Valore restituito
Questa funzione restituisce uno dei valori seguenti:
| Codice restituito + valore | Descrizione |
|---|---|
SEC_E_INSUFFICIENT_MEMORY0x80090300L |
La funzione non è riuscita. Memoria insufficiente per completare l'azione richiesta. |
SEC_E_INTERNAL_ERROR0x80090304L |
La funzione non è riuscita. Si è verificato un errore che non è stato mappato a un codice di errore SSPI. |
SEC_E_INVALID_HANDLE0x80100003L |
La funzione non è riuscita. L'handle passato alla funzione non è valido. |
SEC_E_INVALID_TOKEN0x80090308L |
La funzione non è riuscita. Il token passato alla funzione non è valido. |
SEC_E_LOGON_DENIED0x8009030CL |
Accesso non riuscito. |
SEC_E_NO_AUTHENTICATING_AUTHORITY0x80090311L |
La funzione non è riuscita. Non è stato possibile contattare alcuna autorità per l'autenticazione. Ciò potrebbe essere dovuto alle condizioni seguenti: -Il nome di dominio dell'entità di autenticazione non è corretto. -Il dominio non è disponibile. -La relazione di trust non è riuscita. |
SEC_E_NO_CREDENTIALS0x8009030EL |
La funzione non è riuscita. L'handle delle credenziali specificato nel parametro phCredential non è valido. |
SEC_E_OK0x00000000L |
Funzione completata. Il contesto di sicurezza ricevuto dal client è stato accettato. Se un token di output è stato generato dalla funzione, deve essere inviato al processo client. |
SEC_E_SECURITY_QOS_FAILED0x80090332L |
La funzione non è riuscita. Un flag di attributo di contesto non valido è stato specificato nel parametro fContextReq . |
SEC_I_COMPLETE_AND_CONTINUE0x00090314L |
Funzione completata. Il server deve chiamare CompleteAuthToken e passare il token di output al client. Il server attende quindi un token restituito dal client e quindi effettua un'altra chiamata a AcceptSecurityContext (Digest).The server then wait for a return token from the client and then makes another call to AcceptSecurityContext (Digest). |
SEC_I_COMPLETE_NEEDED0x00090313L |
Funzione completata. Il server deve completare la compilazione del messaggio dal client e quindi chiamare la funzione CompleteAuthToken . |
SEC_I_CONTINUE_NEEDED0x00090312L |
Funzione completata. Il server deve inviare il token di output al client e attendere un token restituito. Il token restituito deve essere passato in pInput per un'altra chiamata a AcceptSecurityContext (Digest).The returned token should be pass in pInput for another call to AcceptSecurityContext (Digest). |
STATUS_LOGON_FAILURE0xC000006DL |
La funzione non è riuscita. La funzione AcceptSecurityContext (Digest) è stata chiamata dopo che è stato stabilito il contesto specificato. |
SEC_E_BAD_BINDINGS0x80090346L |
La funzione non è riuscita. I criteri di associazione del canale non sono stati soddisfatti. |
Commenti
La funzione AcceptSecurityContext (Digest) è la controparte del server alla funzione InitializeSecurityContext (Digest).
Quando il server riceve una richiesta da un client, il server usa il parametro fContextReq per specificare le richieste della sessione. In questo modo, un server può specificare che i client devono essere in grado di usare una sessione riservata o controllata dall'integrità e possono rifiutare i client che non possono soddisfare tale richiesta. In alternativa, un server non può richiedere nulla e qualsiasi elemento che il client possa fornire o richiede venga restituito nel parametro pfContextAttr .
Per un pacchetto che supporta l'autenticazione a più gambe, ad esempio l'autenticazione reciproca, la sequenza chiamante è la seguente:
- Il client trasmette un token al server.
- Il server chiama AcceptSecurityContext (Digest) la prima volta, che genera un token di risposta che viene quindi inviato al client.
- Il client riceve il token e lo passa a InitializeSecurityContext (Digest).The client receive the token and pass it to InitializeSecurityContext (Digest). Se InitializeSecurityContext (Digest) restituisce SEC_E_OK, l'autenticazione reciproca è stata completata e può iniziare una sessione sicura. Se InitializeSecurityContext (Digest) restituisce un codice di errore, la negoziazione di autenticazione reciproca termina. In caso contrario, il token di sicurezza restituito da InitializeSecurityContext (Digest) viene inviato al client e i passaggi 2 e 3 vengono ripetuti.
- Non usare il valore phContext nelle chiamate simultanee a AcceptSecurityContext (Digest).Do not use the phContext value in concurrent calls to AcceptSecurityContext (Digest). L'implementazione nei provider di sicurezza non è thread-safe.
I parametri fContextReq e pfContextAttr sono maschera di bit che rappresentano vari attributi di contesto. Per una descrizione dei vari attributi, vedere Requisiti di contesto.
Nota
Il parametro pfContextAttr è valido per qualsiasi risultato restituito correttamente, ma solo sul risultato finale è necessario esaminare i flag relativi agli aspetti di sicurezza del contesto. I valori intermedi possono essere impostati, ad esempio, il flag ISC_RET_ALLOCATED_MEMORY.
Il chiamante è responsabile della determinazione se gli attributi di contesto finali sono sufficienti. Se, ad esempio, è stata richiesta la riservatezza (crittografia), ma non è stato possibile stabilire, alcune applicazioni possono scegliere di arrestare immediatamente la connessione. Se non è possibile stabilire il contesto di sicurezza , il server deve liberare il contesto parzialmente creato chiamando la funzione DeleteSecurityContext . Per informazioni su quando chiamare la funzione DeleteSecurityContext , vedere DeleteSecurityContext.
Dopo aver stabilito il contesto di sicurezza , l'applicazione server può usare la funzione QuerySecurityContextToken per recuperare un handle per l'account utente a cui è stato eseguito il mapping del certificato client. Inoltre, il server può usare la funzione ImpersonateSecurityContext per rappresentare l'utente.
Requisiti
| Requisito | Valore |
|---|---|
| Client minimo supportato | Windows XP [solo app desktop] |
| Server minimo supportato | Windows Server 2003 [solo app desktop] |
| Intestazione | Sspi.h (include Security.h) |
| Libreria | Secur32.lib |
| DLL | Secur32.dll |
Vedi anche
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per