Funzione InitializeSecurityContext (Kerberos)
La funzione InitializeSecurityContext (Kerberos) avvia il contesto di sicurezza in uscita dal lato client da un handle di credenziali. La funzione viene usata per creare un contesto di sicurezza tra l'applicazione client e un peer remoto. InitializeSecurityContext (Kerberos) restituisce un token che il client deve passare al peer remoto, che il peer a sua volta invia all'implementazione della sicurezza locale tramite la chiamata AcceptSecurityContext (Kerberos). Il token generato deve essere considerato opaco da tutti i chiamanti.
In genere, la funzione InitializeSecurityContext (Kerberos) viene chiamata in un ciclo fino a quando non viene stabilito un contesto di sicurezza sufficiente.
Sintassi
SECURITY_STATUS SEC_Entry InitializeSecurityContext(
_In_opt_ PCredHandle phCredential,
_In_opt_ PCtxtHandle phContext,
_In_ SEC_CHAR *pszTargetName,
_In_ ULONG fContextReq,
_In_ ULONG Reserved1,
_In_ ULONG TargetDataRep,
_In_opt_ PSecBufferDesc pInput,
_In_ ULONG Reserved2,
_Inout_opt_ PCtxtHandle phNewContext,
_Inout_opt_ PSecBufferDesc pOutput,
_Out_ PULONG pfContextAttr,
_Out_opt_ PTimeStamp ptsExpiry
);
Parametri
phCredential[in, optional]
Handle per le credenziali restituite da AcquireCredentialsHandle (Kerberos). Questo handle viene usato per compilare il contesto di sicurezza. La funzione InitializeSecurityContext (Kerberos) richiede almeno credenziali IN USCITA.
phContext[in, optional]
Puntatore a una struttura CtxtHandle . Nella prima chiamata a InitializeSecurityContext (Kerberos), questo puntatore è NULL
. Nella seconda chiamata, questo parametro è un puntatore all'handle al contesto parzialmente formato restituito nel parametro phNewContext dalla prima chiamata.
Avviso
Non usare lo stesso handle di contesto nelle chiamate simultanee a InitializeSecurityContext (Kerberos). L'implementazione dell'API nei provider di servizi di sicurezza non è thread-safe.
pszTargetName[in]
Puntatore a una stringa con terminazione null che indica il nome dell'entità servizio (SPN) o il contesto di sicurezza del server di destinazione.
Usare un nome di destinazione completo perché i nomi brevi non sono supportati tra foreste.
fContextReq[in]
Flag di bit che indicano le richieste per il contesto. Non tutti i pacchetti possono supportare tutti i requisiti. I flag usati per questo parametro sono preceduti da ISC_REQ_, ad esempio ISC_REQ_DELEGATE. Questo parametro può essere uno o più dei flag di attributi seguenti.
Valore | Significato |
---|---|
ISC_REQ_ALLOCATE_MEMORY | Il pacchetto di sicurezza alloca i buffer di output per l'utente. Al termine dell'uso dei buffer di output, liberarli chiamando la funzione FreeContextBuffer . |
ISC_REQ_CONFIDENTIALITY | Crittografare i messaggi usando la funzione EncryptMessage . |
ISC_REQ_CONNECTION | Il contesto di sicurezza non gestisce i messaggi di formattazione. Questo è il valore predefinito. |
ISC_REQ_DELEGATE | Il server può usare il contesto per eseguire l'autenticazione ad altri server come client. Il flag ISC_REQ_MUTUAL_AUTH deve essere impostato per il funzionamento del flag. Valido per Kerberos. Ignorare questo flag per la delega vincolata. |
ISC_REQ_EXTENDED_ERROR | Quando si verificano errori, la parte remota riceverà una notifica. |
ISC_REQ_INTEGRITY | Firmare i messaggi e verificare le firme usando le funzioni EncryptMessage e MakeSignature . |
ISC_REQ_MUTUAL_AUTH | I criteri di autenticazione reciproca del servizio saranno soddisfatti. ATTENZIONE: Ciò non significa necessariamente che l'autenticazione reciproca venga eseguita, solo che i criteri di autenticazione del servizio siano soddisfatti. Per assicurarsi che venga eseguita l'autenticazione reciproca, chiamare la funzione QueryContextAttributes (Kerberos). |
ISC_REQ_NO_INTEGRITY | Se questo flag è impostato, il flag di ISC_REQ_INTEGRITY viene ignorato. |
ISC_REQ_REPLAY_DETECT | Rilevare i messaggi riprodotti codificati usando le funzioni EncryptMessage o MakeSignature . |
ISC_REQ_SEQUENCE_DETECT | Rilevare i messaggi ricevuti fuori dalla sequenza. |
ISC_REQ_STREAM | Supportare una connessione orientata al flusso. |
ISC_REQ_USE_SESSION_KEY | È necessario negoziare una nuova chiave di sessione . |
Gli attributi richiesti potrebbero non essere supportati dal client. Per altre informazioni, vedere il parametro pfContextAttr .
Per altre descrizioni dei vari attributi, vedere Requisiti di contesto.
Riservato1[in]
Questo parametro è riservato e deve essere impostato su zero.
TargetDataRep[in]
Rappresentazione dei dati, ad esempio l'ordinamento di byte, nella destinazione. Questo parametro può essere SECURITY_NATIVE_DREP o SECURITY_NETWORK_DREP.
pInput[in, optional]
Puntatore a una struttura SecBufferDesc che contiene puntatori ai buffer forniti come input al pacchetto. A meno che il contesto client non sia stato avviato dal server, il valore di questo parametro deve trovarsi NULL
nella prima chiamata alla funzione. Nelle chiamate successive alla funzione o quando il contesto client è stato avviato dal server, il valore di questo parametro è un puntatore a un buffer allocato con memoria sufficiente per contenere il token restituito dal computer remoto.
Riservato2[in]
Questo parametro è riservato e deve essere impostato su zero.
phNewContext[in, out, optional]
Puntatore a una struttura CtxtHandle . Nella prima chiamata a InitializeSecurityContext (Kerberos), questo puntatore riceve il nuovo handle di contesto. Nella seconda chiamata phNewContext può essere uguale all'handle specificato nel parametro phContext .
phNewContext non deve mai essere NULL
.
pOutput[in, out, optional]
Puntatore a una struttura SecBufferDesc che contiene puntatori alla struttura SecBuffer che riceve i dati di output. Se un buffer è stato digitato come SEC_READWRITE nell'input, sarà presente nell'output. Il sistema allocherà un buffer per il token di sicurezza se richiesto (tramite ISC_REQ_ALLOCATE_MEMORY) e inserire l'indirizzo nel descrittore del buffer per il token di sicurezza.
pfContextAttr[out]
Puntatore a una variabile per ricevere un set di flag di bit che indicano gli attributi del contesto stabilito. Per una descrizione dei vari attributi, vedere Requisiti di contesto.
I flag usati per questo parametro sono preceduti da ISC_RET, ad esempio ISC_RET_DELEGATE. Per un elenco di valori validi, vedere il parametro fContextReq .
Non controllare gli attributi correlati alla sicurezza fino a quando la chiamata di funzione finale non restituisce correttamente. I flag di attributo non correlati alla sicurezza, ad esempio il flag ASC_RET_ALLOCATED_MEMORY, possono essere controllati prima della restituzione finale.
Nota
Gli attributi di contesto specifici possono cambiare durante la negoziazione con un peer remoto.
ptsExpiry[out, optional]
Puntatore a una struttura TimeStamp che riceve l'ora di scadenza del contesto. È consigliabile che il pacchetto di sicurezza restituisca sempre questo valore in ora locale. Poiché questo parametro è facoltativo, NULL
deve essere passato per i client di breve durata.
Valore restituito
Se la funzione ha esito positivo, la funzione restituisce uno dei codici di esito positivo seguenti.
Codice restituito | Descrizione |
---|---|
SEC_E_OK | Il contesto di sicurezza è stato inizializzato correttamente. Non è necessaria un'altra chiamata InitializeSecurityContext (Kerberos). Se la funzione restituisce un token di output, ovvero se il SECBUFFER_TOKEN in pOutput è di lunghezza diversa da zero, tale token deve essere inviato al server. |
SEC_I_COMPLETE_AND_CONTINUE | Il client deve chiamare CompleteAuthToken e quindi passare l'output al server. Il client attende quindi un token restituito e lo passa, in un'altra chiamata, a InitializeSecurityContext (Kerberos). |
SEC_I_COMPLETE_NEEDED | Il client deve completare la compilazione del messaggio e quindi chiamare la funzione CompleteAuthToken . |
SEC_I_CONTINUE_NEEDED | Il client deve inviare il token di output al server e attendere un token restituito. Il token restituito viene quindi passato in un'altra chiamata a InitializeSecurityContext (Kerberos). Il token di output può essere vuoto. |
SEC_I_INCOMPLETE_CREDENTIALS | Usare con Schannel. Il server ha richiesto l'autenticazione client e le credenziali fornite non includono un certificato o il certificato non è stato emesso da un'autorità di certificazione (CA) attendibile dal server. Per altre informazioni, vedere Osservazioni. |
Se la funzione ha esito negativo, la funzione restituisce uno dei codici di errore seguenti.
Codice restituito | Descrizione |
---|---|
SEC_E_INSUFFICIENT_MEMORY | Memoria insufficiente per completare l'azione richiesta. |
SEC_E_INTERNAL_ERROR | Si è verificato un errore che non è stato mappato a un codice di errore SSPI. |
SEC_E_INVALID_HANDLE | L'handle passato alla funzione non è valido. |
SEC_E_INVALID_TOKEN | L'errore è dovuto a un token di input in formato non valido, ad esempio un token danneggiato in transito, un token di dimensioni non corrette o un token passato alla delega vincolata errata. Il passaggio di un token al pacchetto errato può verificarsi se il client e il server non hanno negoziato la delega vincolata appropriata. |
SEC_E_LOGON_DENIED | Accesso non riuscito. |
SEC_E_NO_AUTHENTICATING_AUTHORITY | Non è stato possibile contattare alcuna autorità per l'autenticazione. Il nome di dominio della parte di autenticazione potrebbe essere errato, il dominio potrebbe non essere raggiungibile o potrebbe essersi verificato un errore di relazione di trust. |
SEC_E_NO_CREDENTIALS | Nessuna credenziale è disponibile nella delega vincolata. |
SEC_E_TARGET_UNKNOWN | La destinazione non è stata riconosciuta. |
SEC_E_UNSUPPORTED_FUNCTION | Nel parametro fContextReq è stato specificato un flag di attributo di contesto non valido (ISC_REQ_DELEGATE o ISC_REQ_PROMPT_FOR_CREDS). |
SEC_E_WRONG_PRINCIPAL | L'entità che ha ricevuto la richiesta di autenticazione non corrisponde a quella passata nel parametro pszTargetName . Questo indica un errore nell'autenticazione reciproca. |
Commenti
Il chiamante è responsabile della determinazione se gli attributi di contesto finali sono sufficienti. Se, ad esempio, è stata richiesta la riservatezza, ma non è stato possibile stabilire, alcune applicazioni possono scegliere di arrestare immediatamente la connessione.
Se gli attributi del contesto di sicurezza non sono sufficienti, il client deve liberare il contesto parzialmente creato chiamando la funzione DeleteSecurityContext .
La funzione InitializeSecurityContext (Kerberos) viene utilizzata da un client per inizializzare un contesto in uscita.
Per un contesto di sicurezza a due gambe, la sequenza chiamante è la seguente:
- Il client chiama la funzione con phContext impostato su
NULL
e riempie il descrittore del buffer con il messaggio di input. - Il pacchetto di sicurezza esamina i parametri e costruisce un token opaco, inserendolo nell'elemento TOKEN nella matrice di buffer. Se il parametro fContextReq include il flag ISC_REQ_ALLOCATE_MEMORY, il pacchetto di sicurezza alloca la memoria e restituisce il puntatore nell'elemento TOKEN.
- Il client invia il token restituito nel buffer pOutput al server di destinazione. Il server passa quindi il token come argomento di input in una chiamata alla funzione AcceptSecurityContext (Kerberos).
- AcceptSecurityContext (Kerberos) può restituire un token che il server invia al client per una seconda chiamata a InitializeSecurityContext (Kerberos) se la prima chiamata ha restituito SEC_I_CONTINUE_NEEDED.
Per il contesto di sicurezzaa più gambe, ad esempio l'autenticazione reciproca, la sequenza chiamante è la seguente:
- Il client chiama la funzione come descritto in precedenza, ma il pacchetto restituisce il codice SEC_I_CONTINUE_NEEDED operazione riuscita.
- Il client invia il token di output al server e attende la risposta del server.
- Al ricevimento della risposta del server, il client chiama nuovamente InitializeSecurityContext (Kerberos), con phContext impostato sull'handle restituito dall'ultima chiamata. Il token ricevuto dal server viene fornito nel parametro pInput .
- Non usare il valore phContext nelle chiamate simultanee a InitializeSecurityContext (Kerberos). L'implementazione nei provider di sicurezza non è thread-safe.
Se il server ha risposto correttamente, il pacchetto di sicurezza restituisce SEC_E_OK e viene stabilita una sessione sicura.
Se la funzione restituisce una delle risposte di errore, la risposta del server non viene accettata e la sessione non viene stabilita.
Se la funzione restituisce SEC_I_CONTINUE_NEEDED, SEC_I_COMPLETE_NEEDED o SEC_I_COMPLETE_AND_CONTINUE, i passaggi 2 e 3 vengono ripetuti.
Per inizializzare un contesto di sicurezza, potrebbero essere necessarie più chiamate a questa funzione, a seconda del meccanismo di autenticazione sottostante e delle scelte specificate nel parametro fContextReq .
I parametri fContextReq e pfContextAttributes sono maschera di bit che rappresentano vari attributi di contesto. Per una descrizione dei vari attributi, vedere Requisiti di contesto. Il parametro pfContextAttributes è valido per qualsiasi risultato restituito correttamente, ma solo sul risultato finale è necessario esaminare i flag relativi agli aspetti di sicurezza del contesto. I valori intermedi possono essere impostati, ad esempio, il flag ISC_RET_ALLOCATED_MEMORY.
Se il flag ISC_REQ_USE_SUPPLIED_CREDS è impostato, il pacchetto di sicurezza deve cercare un tipo di buffer SECBUFFER_PKG_PARAMS nel buffer di input pInput . Questa non è una soluzione generica, ma consente un'associazione avanzata di pacchetti di sicurezza e applicazione quando appropriato.
Se è stato specificato ISC_REQ_ALLOCATE_MEMORY, il chiamante deve liberare la memoria chiamando la funzione FreeContextBuffer .
Ad esempio, il token di input potrebbe essere la richiesta da un gestore LAN. In questo caso, il token di output sarà la risposta crittografata NTLM alla richiesta.
L'azione eseguita dal client dipende dal codice restituito da questa funzione. Se il codice restituito è SEC_E_OK, non sarà prevista alcuna seconda chiamata InitializeSecurityContext (Kerberos) e non è prevista alcuna risposta dal server. Se il codice restituito è SEC_I_CONTINUE_NEEDED, il client prevede un token in risposta dal server e lo passa in una seconda chiamata a InitializeSecurityContext (Kerberos).If the return code is SEC_I_CONTINUE_NEEDED, the client expects a token in response from the server and pass it in a second call to InitializeSecurityContext (Kerberos). Il codice restituito SEC_I_COMPLETE_NEEDED indica che il client deve completare la compilazione del messaggio e chiamare la funzione CompleteAuthToken . Il codice SEC_I_COMPLETE_AND_CONTINUE incorpora entrambe queste azioni.
Se InitializeSecurityContext (Kerberos) restituisce l'esito positivo della prima chiamata (o solo), il chiamante deve infine chiamare la funzione DeleteSecurityContext sull'handle restituito, anche se la chiamata ha esito negativo in una fase successiva dello scambio di autenticazione.
Il client può chiamare nuovamente InitializeSecurityContext (Kerberos) dopo il completamento. Ciò indica al pacchetto di sicurezza che è necessario eseguire una nuova autenticazione.
I chiamanti in modalità kernel presentano le differenze seguenti: il nome della destinazione è una stringa Unicode che deve essere allocata nella memoria virtuale usando VirtualAlloc; non deve essere allocata dal pool. I buffer passati e forniti in pInput e pOutput devono essere in memoria virtuale, non nel pool.
Requisiti
Requisito | Valore |
---|---|
Client minimo supportato | Windows XP [solo app desktop] |
Server minimo supportato | Windows Server 2003 [solo app desktop] |
Intestazione | Sspi.h (include Security.h) |
Libreria | Secur32.lib |
DLL | Secur32.dll |
Vedi anche
AcceptSecurityContext (Kerberos)