Generazione della sfida digest
La richiesta di verifica di Microsoft Digest viene generata dalla chiamata iniziale del server alla funzione AcceptSecurityContext (Digest). Questa chiamata di funzione genera un nonce, ovvero un valore univoco che contiene informazioni che possono essere usate per rilevare violazioni di sicurezza. Questa chiamata genera anche un contesto di sicurezza parziale che viene usato per mantenere le informazioni sullo stato. Quando si chiama AcceptSecurityContext (Digest) si specificano i flag dei requisiti di contesto per controllare il comportamento di Microsoft Digest e per impostare la qualità della protezione. Per altre informazioni, vedere Digest Challenge Context Requirements.For more information, see Digest Challenge Context Requirements.
L'output della chiamata iniziale alla funzione AcceptSecurityContext (Digest) è un buffer di sicurezza che contiene un token inviato al client con una risposta HTTP 401 (Accesso negato).
Nota
Le chiamate a AcceptSecurityContext (Digest) che non contengono informazioni nei buffer di input restituiscono una richiesta digest.
Requisiti del contesto della richiesta di verifica del digest
I requisiti di contesto sono flag che determinano:
- Indica se Microsoft Digest funziona come meccanismo SASL o protocollo di autenticazione HTTP.
- Qualità della protezione supportata dal contesto di sicurezza condiviso dal client e dal server.
Per impostazione predefinita, Microsoft Digest funziona come meccanismo SASL. Per usarlo per l'autenticazione HTTP, il flag ASC_REQ_HTTP ( 0x10000000) deve essere impostato dal server.
I requisiti di contesto vengono specificati come flag passati al parametro fContextReq della funzione AcceptSecurityContext (Digest). I flag influiscono sulla qualità della protezione del contesto di sicurezza controllando la direttiva qop nella richiesta.
Per impostazione predefinita, la direttiva qop è impostata su "auth". Per generare una richiesta di verifica che imposta la direttiva qop su "auth-int", il server deve specificare uno o più dei flag seguenti:
- ASC_REQ_INTEGRITY
- ASC_REQ_REPLAY_DETECT
- ASC_REQ_SEQUENCE_DETECT
Solo per SASL: generare una richiesta di verifica con la direttiva qop impostata su "auth-conf" specificando il flag del requisito di contesto ASC_REQ_CONFIDENTIALITY. Poiché questo flag non è valido per l'autenticazione HTTP, non può essere usato con il flag ASC_REQ_HTTP.
Per altre informazioni sulla direttiva qop, vedere Qualità della protezione e crittografie.
Per altre informazioni sulle sfide, vedere Contenuto di una sfida digest.