Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Met de functie AcceptSecurityContext (NTLM) kan het serveronderdeel van een transporttoepassing een beveiligingscontext tussen de server en een externe client tot stand brengen. De externe client gebruikt de functie InitializeSecurityContext (NTLM) om het proces van het tot stand brengen van een beveiligingscontext te starten. De server kan een of meer antwoordtokens van de externe client vereisen om de beveiligingscontext tot stand te brengen.
Syntaxis
SECURITY_STATUS SEC_Entry AcceptSecurityContext(
_In_opt_ PCredHandle phCredential,
_Inout_opt_ PCtxtHandle phContext,
_In_opt_ PSecBufferDesc pInput,
_In_ ULONG fContextReq,
_In_ ULONG TargetDataRep,
_Inout_opt_ PCtxtHandle phNewContext,
_Inout_opt_ PSecBufferDesc pOutput,
_Out_ PULONG pfContextAttr,
_Out_opt_ PTimeStamp ptsTimeStamp
);
Parameterwaarden
phCredential-[in, optional]
Een ingang naar de referenties van de server. De server roept de functie AcquireCredentialsHandle (NTLM) aan met de vlag SECPKG_CRED_INBOUND of SECPKG_CRED_BOTH ingesteld om deze ingang op te halen.
phContext-[in, out, optional]
Een aanwijzer naar een CtxtHandle structuur. Bij de eerste aanroep van AcceptSecurityContext (NTLM) is NULLdeze aanwijzer. Bij volgende aanroepen is phContext de ingang voor de gedeeltelijk gevormde context die is geretourneerd in de parameter phNewContext door de eerste aanroep.
Waarschuwing
Gebruik niet dezelfde contextgreep in gelijktijdige aanroepen naar AcceptSecurityContext (NTLM). De API-implementatie in de beveiligingsserviceproviders is niet thread-safe.
[in, optional]
Een aanwijzer naar een SecBufferDesc-structuur die wordt gegenereerd door een clientaanroep naar InitializeSecurityContext (NTLM) die de ingevoerde bufferdescriptor bevat.
Informatie over kanaalbindingen kan worden opgegeven door een SecBuffer-structuur van het type SECBUFFER_CHANNEL_BINDINGS naast de buffers die door de aanroep naar de functie InitializeSecurityContext (Algemeen) worden doorgegeven. De kanaalbindingsinformatie voor de kanaalbindingsbuffer kan worden verkregen door de functie QueryContextAttributes (Schannel) aan te roepen in de Schannel-context die de client heeft gebruikt om te verifiëren.
fContextReq-[in]
Bitvlagken die de kenmerken opgeven die door de server zijn vereist om de context tot stand te brengen. Bitvlagmen kunnen worden gecombineerd met bitwise-OF bewerkingen. Deze parameter kan een of meer van de volgende waarden zijn.
| Waarde | Betekenis |
|---|---|
| ASC_REQ_CONFIDENTIALITY | Berichten versleutelen en ontsleutelen. |
| ASC_REQ_CONNECTION | De beveiligingscontext verwerkt geen opmaakberichten. |
| ASC_REQ_EXTENDED_ERROR | Wanneer er fouten optreden, wordt de externe partij op de hoogte gesteld. |
| ASC_REQ_INTEGRITY | Onderteken berichten en verifieer handtekeningen. |
| ASC_REQ_REPLAY_DETECT | Detecteer opnieuw afgespeelde pakketten. |
| ASC_REQ_SEQUENCE_DETECT | Detecteer berichten die niet op volgorde zijn ontvangen. |
Zie Contextvereistenvoor mogelijke kenmerkvlagmen en betekenissen. Vlaggen die voor deze parameter worden gebruikt, worden voorafgegaan door ASC_REQ, bijvoorbeeld ASC_REQ_DELEGATE.
De aangevraagde kenmerken worden mogelijk niet ondersteund door de client. Zie de parameter pfContextAttr voor meer informatie.
TargetDataRep-[in]
De gegevensweergave, zoals bytevolgorde, op het doel. Deze parameter kan worden SECURITY_NATIVE_DREP of SECURITY_NETWORK_DREP.
phNewContext-[in, out, optional]
Een aanwijzer naar een CtxtHandle structuur. Bij de eerste aanroep van AcceptSecurityContext (NTLM) ontvangt deze aanwijzer de nieuwe contextgreep. Bij volgende aanroepen kan phNewContext- hetzelfde zijn als de ingang die is opgegeven in de parameter phContext.
phNewContext mag nooit zijn NULL.
pOutput-[in, out, optional]
Een aanwijzer naar een SecBufferDesc structuur die de uitvoerbufferdescriptor bevat. Deze buffer wordt naar de client verzonden voor invoer in aanvullende aanroepen naar InitializeSecurityContext (NTLM). Er kan een uitvoerbuffer worden gegenereerd, zelfs als de functie SEC_E_OK retourneert. Elke gegenereerde buffer moet worden teruggestuurd naar de clienttoepassing.
pfContextAttr-[out]
Een aanwijzer naar een variabele die een set bitvlaggen ontvangt die de kenmerken van de tot stand gebrachte context aangeven. Zie Contextvereistenvoor een beschrijving van de verschillende kenmerken. Vlaggen die voor deze parameter worden gebruikt, worden voorafgegaan door ASC_RET, bijvoorbeeld ASC_RET_DELEGATE.
Controleer pas op beveiligingskenmerken als de laatste functie-aanroep is geretourneerd. Kenmerkvlagmen die niet zijn gerelateerd aan beveiliging, zoals de vlag ASC_RET_ALLOCATED_MEMORY, kunnen worden gecontroleerd voordat de definitieve terugkeer wordt uitgevoerd.
ptsTimeStamp[out, optional]
Een aanwijzer naar een TimeStamp structuur die de verlooptijd van de context ontvangt. Het is raadzaam dat het beveiligingspakket deze waarde altijd in lokale tijd retourneert.
Opmerking
Tot de laatste aanroep van het verificatieproces kan de verlooptijd voor de context onjuist zijn, omdat er in latere fasen van de onderhandeling meer informatie wordt verstrekt. Daarom moet ptsTimeStamp- worden NULL tot de laatste aanroep van de functie.
Retourwaarde
Deze functie retourneert een van de volgende waarden.
| Retourcode/waarde | Beschrijving |
|---|---|
| De functie is mislukt. Er is onvoldoende geheugen beschikbaar om de aangevraagde actie te voltooien. |
| De functie is mislukt. Er is een fout opgetreden die niet is toegewezen aan een SSPI-foutcode. |
| De functie is mislukt. De greep die aan de functie is doorgegeven, is ongeldig. |
| De functie is mislukt. Het token dat aan de functie is doorgegeven, is ongeldig. |
| De aanmelding is mislukt. |
| De functie is mislukt. Er kan geen contact worden gemaakt met de instantie voor verificatie. Dit kan worden veroorzaakt door de volgende voorwaarden:
|
| De functie is geslaagd. De [*beveiligingscontext*](.. /secgloss/s-gly.md) ontvangen van de client is geaccepteerd. Als een uitvoertoken is gegenereerd door de functie, moet het naar het clientproces worden verzonden. |
| De functie is geslaagd. De server moet [CompleteAuthToken](/windows/win32/api/sspi/nf-sspi-completeauthtoken) aanroepen en het uitvoertoken doorgeven aan de client. De server wacht vervolgens op een retourtoken van de client en voert vervolgens een andere aanroep uit naar [AcceptSecurityContext (NTLM)](acceptsecuritycontext--ntlm.md). |
| De functie is geslaagd. De server moet het bouwen van het bericht van de client voltooien en vervolgens de functie [CompleteAuthToken](/windows/win32/api/sspi/nf-sspi-completeauthtoken) aanroepen. |
| De functie is geslaagd. De server moet het uitvoertoken naar de client verzenden en wachten op een geretourneerd token. Het geretourneerde token moet worden doorgegeven in pInput voor een andere aanroep naar [AcceptSecurityContext (NTLM)](acceptsecuritycontext--ntlm.md). |
Opmerkingen
De functie AcceptSecurityContext (NTLM) is de server tegenhanger van de functie InitializeSecurityContext (NTLM).
Wanneer de server een aanvraag van een client ontvangt, gebruikt de server de parameter fContextReq om op te geven wat de sessie vereist. Op deze manier kan een server opgeven dat clients in staat moeten zijn om een vertrouwelijke of integriteitscheckte sessie te gebruiken en clients die niet aan die vraag kunnen voldoen, kunnen weigeren. Een server kan ook niets vereisen en wat de client ook kan opgeven of vereisen, wordt geretourneerd in de parameter pfContextAttr .
Voor een pakket dat ondersteuning biedt voor meervoudige verificatie, zoals wederzijdse verificatie, is de aanroepvolgorde als volgt:
- De client verzendt een token naar de server.
- De server roept AcceptSecurityContext (NTLM) de eerste keer aan, waarmee een antwoordtoken wordt gegenereerd dat vervolgens naar de client wordt verzonden.
- De client ontvangt het token en geeft dit door aan InitializeSecurityContext (NTLM). Als InitializeSecurityContext (NTLM) SEC_E_OK retourneert, is wederzijdse verificatie voltooid en kan er een beveiligde sessie worden gestart. Als InitializeSecurityContext (NTLM) een foutcode retourneert, wordt de wederzijdse verificatieonderhandeling beëindigd. Anders wordt het beveiligingstoken dat wordt geretourneerd door InitializeSecurityContext (NTLM) naar de client verzonden en worden stap 2 en 3 herhaald.
- Gebruik de phContext-waarde niet in gelijktijdige aanroepen naar AcceptSecurityContext (NTLM). De implementatie in de beveiligingsproviders is niet thread-safe.
De parameters fContextReq en pfContextAttr zijn bitmaskers die verschillende contextkenmerken vertegenwoordigen. Zie Contextvereistenvoor een beschrijving van de verschillende kenmerken.
Opmerking
De parameter pfContextAttr is geldig voor een geslaagde retour, maar alleen bij de uiteindelijke geslaagde retour moet u de vlaggen onderzoeken die betrekking hebben op beveiligingsaspecten van de context. Tussenliggende retourneert kan bijvoorbeeld de ISC_RET_ALLOCATED_MEMORY vlag instellen.
De aanroeper is verantwoordelijk voor het bepalen of de uiteindelijke contextkenmerken voldoende zijn. Als bijvoorbeeld vertrouwelijkheid (versleuteling) is aangevraagd, maar niet tot stand kon worden gebracht, kunnen sommige toepassingen ervoor kiezen om de verbinding onmiddellijk af te sluiten. Als de beveiligingscontext niet tot stand kan worden gebracht, moet de server de gedeeltelijk gemaakte context vrij maken door de functie DeleteSecurityContext aan te roepen. Zie DeleteSecurityContextvoor informatie over wanneer u de functie DeleteSecurityContext aanroept.
Nadat de beveiligingscontext tot stand is gebracht, kan de servertoepassing de functie QuerySecurityContextToken gebruiken om een ingang op te halen voor het gebruikersaccount waaraan het clientcertificaat is toegewezen. De server kan ook de functie ImpersonateSecurityContext gebruiken om de gebruiker te imiteren.
Vereisten
| Voorwaarde | Waarde |
|---|---|
| Minimaal ondersteunde client | Windows XP [alleen desktop-apps] |
| Minimaal ondersteunde server | Windows Server 2003 [alleen desktop-apps] |
| Koptekst | Sspi.h (inclusief Security.h) |
| Bibliotheek | Secur32.lib |
| DLL | Secur32.dll |