Функция AcceptSecurityContext (NTLM)
Функция AcceptSecurityContext (NTLM) позволяет компоненту сервера транспортного приложения устанавливать контекст безопасности между сервером и удаленным клиентом. Удаленный клиент использует функцию InitializeSecurityContext (NTLM) для запуска процесса создания контекста безопасности. Сервер может потребовать один или несколько маркеров ответа от удаленного клиента для завершения установки контекста безопасности.
Синтаксис
SECURITY_STATUS SEC_Entry AcceptSecurityContext(
_In_opt_ PCredHandle phCredential,
_Inout_opt_ PCtxtHandle phContext,
_In_opt_ PSecBufferDesc pInput,
_In_ ULONG fContextReq,
_In_ ULONG TargetDataRep,
_Inout_opt_ PCtxtHandle phNewContext,
_Inout_opt_ PSecBufferDesc pOutput,
_Out_ PULONG pfContextAttr,
_Out_opt_ PTimeStamp ptsTimeStamp
);
Параметры
phCredential[in, optional]
Дескриптор учетных данных сервера. Сервер вызывает функцию AcquireCredentialsHandle (NTLM) с флагом SECPKG_CRED_INBOUND или SECPKG_CRED_BOTH, установленным для получения этого дескриптора.
phContext[in, out, optional]
Указатель на структуру CtxtHandle . При первом вызове AcceptSecurityContext (NTLM) этот указатель имеет значение NULL. При последующих вызовах phContext — это дескриптор частично сформированного контекста, который был возвращен в параметре phNewContext при первом вызове.
Предупреждение
Не используйте один и тот же дескриптор контекста в параллельных вызовах AcceptSecurityContext (NTLM). Реализация API в поставщиках служб безопасности не является потокобезопасной.
pInput[in, optional]
Указатель на структуру SecBufferDesc , созданную вызовом клиента метода InitializeSecurityContext (NTLM), который содержит дескриптор входного буфера.
Сведения о привязке канала можно указать, передав структуру SecBuffer типа SECBUFFER_CHANNEL_BINDINGS в дополнение к буферам, созданным вызовом функции InitializeSecurityContext (General). Сведения о привязке канала для буфера привязки канала можно получить, вызвав функцию QueryContextAttributes (Schannel) в контексте Schannel, который клиент использовал для проверки подлинности.
fContextReq[in]
Битовые флаги, указывающие атрибуты, необходимые серверу для установления контекста. Битовые флаги можно объединить с помощью побитовых операций ИЛИ . Этот параметр может быть одним или несколькими из следующих значений.
| Значение | Значение |
|---|---|
| ASC_REQ_CONFIDENTIALITY | Шифрование и расшифровка сообщений. |
| ASC_REQ_CONNECTION | Контекст безопасности не будет обрабатывать сообщения форматирования. |
| ASC_REQ_EXTENDED_ERROR | При возникновении ошибок удаленная сторона будет уведомлена. |
| ASC_REQ_INTEGRITY | Подписывая сообщения и проверяя подписи. |
| ASC_REQ_REPLAY_DETECT | Обнаружение повторно воспроизводимых пакетов. |
| ASC_REQ_SEQUENCE_DETECT | Обнаружение сообщений, полученных вне последовательности. |
Возможные флаги атрибутов и их значения см. в разделе Требования к контексту. Флаги, используемые для этого параметра, имеют префикс ASC_REQ, например ASC_REQ_DELEGATE.
Запрошенные атрибуты могут не поддерживаться клиентом. Дополнительные сведения см. в параметре pfContextAttr .
TargetDataRep[in]
Представление данных, например порядок байтов, в целевом объекте. Этот параметр может быть SECURITY_NATIVE_DREP или SECURITY_NETWORK_DREP.
phNewContext[in, out, optional]
Указатель на структуру CtxtHandle . При первом вызове AcceptSecurityContext (NTLM) этот указатель получает новый дескриптор контекста. При последующих вызовах phNewContext может совпадать с дескриптором, указанным в параметре phContext . PhNewContext никогда не должен иметь значение NULL.
pOutput[in, out, optional]
Указатель на структуру SecBufferDesc , содержащую дескриптор выходного буфера. Этот буфер отправляется клиенту для ввода в дополнительные вызовы InitializeSecurityContext (NTLM). Выходной буфер может быть создан, даже если функция возвращает SEC_E_OK. Любой созданный буфер должен быть отправлен обратно в клиентское приложение.
pfContextAttr[out]
Указатель на переменную, получающую набор битовых флагов, указывающих атрибуты установленного контекста. Описание различных атрибутов см. в разделе Требования к контексту. Флаги, используемые для этого параметра, имеют префикс ASC_RET, например ASC_RET_DELEGATE.
Не проверка атрибутов, связанных с безопасностью, пока не будет успешно возвращен окончательный вызов функции. Флаги атрибутов, не связанные с безопасностью, например флаг ASC_RET_ALLOCATED_MEMORY, можно проверить перед окончательным возвратом.
ptsTimeStamp[out, optional]
Указатель на структуру TimeStamp , которая получает время истечения срока действия контекста. Рекомендуется, чтобы пакет безопасности всегда возвращал это значение в местное время.
Примечание
До последнего вызова процесса проверки подлинности срок действия контекста может быть неправильным, так как на более поздних этапах согласования будут предоставлены дополнительные сведения. Таким образом, значение ptsTimeStamp должно находиться NULL до последнего вызова функции.
Возвращаемое значение
Эта функция возвращает одно из следующих значений.
| Возвращаемый код или значение | Описание |
|---|---|
| Сбой функции. Недостаточно памяти для выполнения запрошенного действия. |
| Сбой функции. Произошла ошибка, не сопоставленная с кодом ошибки SSPI. |
| Сбой функции. Дескриптор, переданный функции, недопустим. |
| Сбой функции. Маркер, переданный в функцию, недопустим. |
| Сбой входа. |
| Сбой функции. Невозможно связаться с центром для проверки подлинности. Это может быть вызвано следующими условиями:
|
| Функция выполнена успешно. [*контекст безопасности*](.. Был принят параметр /secgloss/s-gly.md), полученный от клиента. Если выходной маркер был создан функцией, он должен быть отправлен в клиентский процесс. |
| Функция выполнена успешно. Сервер должен вызвать [CompleteAuthToken](/windows/win32/api/sspi/nf-sspi-completeauthtoken) и передать выходной маркер клиенту. Затем сервер ожидает возврата маркера от клиента и выполняет еще один вызов [AcceptSecurityContext (NTLM)](acceptsecuritycontext--ntlm.md). |
| Функция выполнена успешно. Сервер должен завершить сборку сообщения от клиента, а затем вызвать функцию [CompleteAuthToken](/windows/win32/api/sspi/nf-sspi-completeauthtoken). |
| Функция выполнена успешно. Сервер должен отправить выходной маркер клиенту и дождаться возвращенного маркера. Возвращенный маркер должен быть передан в pInput для другого вызова [AcceptSecurityContext (NTLM)](acceptsecuritycontext--ntlm.md). |
Комментарии
Функция AcceptSecurityContext (NTLM) является серверным аналогом функции InitializeSecurityContext (NTLM).
Когда сервер получает запрос от клиента, сервер использует параметр fContextReq , чтобы указать, что требуется для сеанса. Таким образом, сервер может указать, что клиенты должны иметь возможность использовать конфиденциальный сеанс или сеанс проверки целостности, и он может отклонять клиентов, которые не могут удовлетворить эти требования. Кроме того, сервер может ничего не требовать, и все, что клиент может предоставить или требует, возвращается в параметре pfContextAttr .
Для пакета, поддерживающего многоуровневую проверку подлинности, например взаимную проверку подлинности, последовательность вызовов выглядит следующим образом:
- Клиент передает маркер серверу.
- Сервер вызывает AcceptSecurityContext (NTLM) в первый раз, что создает маркер ответа, который затем отправляется клиенту.
- Клиент получает маркер и передает его в Приложение InitializeSecurityContext (NTLM). Если Функция InitializeSecurityContext (NTLM) возвращает SEC_E_OK, взаимная проверка подлинности завершена и может начаться безопасный сеанс. Если Функция InitializeSecurityContext (NTLM) возвращает код ошибки, согласование взаимной проверки подлинности завершается. В противном случае маркер безопасности, возвращенный методом InitializeSecurityContext (NTLM), отправляется клиенту, а шаги 2 и 3 повторяются.
- Не используйте значение phContext в параллельных вызовах AcceptSecurityContext (NTLM). Реализация в поставщиках безопасности не является потокобезопасной.
Параметры fContextReq и pfContextAttr представляют собой битовые маски, представляющие различные атрибуты контекста. Описание различных атрибутов см. в разделе Требования к контексту.
Примечание
Параметр pfContextAttr действителен при любом успешном возвращении, но только при окончательном успешном возвращении, если вы изучите флаги, относящиеся к аспектам безопасности контекста. Промежуточные возвраты могут задавать, например, флаг ISC_RET_ALLOCATED_MEMORY.
Вызывающий объект отвечает за определение достаточности атрибутов конечного контекста. Например, если была запрошена конфиденциальность (шифрование), но не удалось установить, некоторые приложения могут немедленно завершить подключение. Если не удается установить контекст безопасности , сервер должен освободить частично созданный контекст, вызвав функцию DeleteSecurityContext . Сведения о том, когда следует вызывать функцию DeleteSecurityContext , см. в разделе DeleteSecurityContext.
После установки контекста безопасности серверное приложение может использовать функцию QuerySecurityContextToken , чтобы получить дескриптор учетной записи пользователя, с которой был сопоставлен сертификат клиента. Кроме того, сервер может использовать функцию ImpersonateSecurityContext для олицетворения пользователя.
Требования
| Требование | Значение |
|---|---|
| Минимальная версия клиента | Windows XP [только классические приложения] |
| Минимальная версия сервера | Windows Server 2003 [только классические приложения] |
| Заголовок | Sspi.h (включая Security.h) |
| Библиотека | Secur32.lib |
| DLL | Secur32.dll |
См. также раздел
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по