Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die AcquireCredentialsHandle (General) -Funktion erwirbt ein Handle zum Vorabexistenz von Anmeldeinformationen eines Sicherheitsprinzipals. Dieses Handle wird von den Funktionen InitializeSecurityContext (General) und AcceptSecurityContext (General) benötigt. Hierbei kann es sich entweder um bereits vorhandene Anmeldeinformationen handeln, die über eine Systemanmeldung eingerichtet werden, die hier nicht beschrieben wird, oder der Aufrufer kann alternative Anmeldeinformationen bereitstellen.
Hinweis
Dies ist kein "Anmelden am Netzwerk" und impliziert nicht das Sammeln von Anmeldeinformationen.
Informationen zur Verwendung dieser Funktion mit einem bestimmten SSP (Security Support Provider ) finden Sie in den folgenden Themen.
| Thema | BESCHREIBUNG |
|---|---|
|
AcquireCredentialsHandle (CredSSP) |
Erwirbt ein Handle zum Vorabexistenz von Anmeldeinformationen eines Sicherheitsprinzipals, der den Credential Security Support Provider (CredSSP) verwendet. |
|
AcquireCredentialsHandle (Digest) |
Erwirbt ein Handle zum Vorabexistenz von Anmeldeinformationen eines Sicherheitsprinzipals, der Digest verwendet. |
|
AcquireCredentialsHandle (Kerberos) |
Beschafft ein Handle zum Vorabexistenz von Anmeldeinformationen eines Sicherheitsprinzipals, der Kerberos verwendet. |
|
AcquireCredentialsHandle (Negotiate) |
Erwirbt ein Handle zum Vorabexistenz von Anmeldeinformationen eines Sicherheitsprinzipals, der Negotiate verwendet. |
|
AcquireCredentialsHandle (NTLM) |
Beschafft ein Handle zum Vorabexistenz von Anmeldeinformationen eines Sicherheitsprinzipals, der NTLM verwendet. |
|
AcquireCredentialsHandle (Schannel) |
Erwirbt ein Handle zum Vorabexistenz von Anmeldeinformationen eines Sicherheitsprinzipals, der Schannel verwendet. |
Syntax
SECURITY_STATUS SEC_Entry AcquireCredentialsHandle(
_In_ SEC_CHAR *pszPrincipal,
_In_ SEC_CHAR *pszPackage,
_In_ ULONG fCredentialUse,
_In_ PLUID pvLogonID,
_In_ PVOID pAuthData,
_In_ SEC_GET_KEY_FN pGetKeyFn,
_In_ PVOID pvGetKeyArgument,
_Out_ PCredHandle phCredential,
_Out_ PTimeStamp ptsExpiry
);
Die Parameter
-
pszPrincipal [in]
-
Ein Zeiger auf eine mit Null beendete Zeichenfolge, die den Namen des Prinzipals angibt, auf dessen Anmeldeinformationen das Handle verweist.
Bei Verwendung des Digest-SSP ist dieser Parameter optional.
Bei Verwendung des Schannel-SSP wird dieser Parameter nicht verwendet und sollte auf NULL festgelegt werden.
Hinweis
Wenn der Prozess, der das Handle anfordert, keinen Zugriff auf die Anmeldeinformationen hat, gibt die Funktion einen Fehler zurück. Eine NULL-Zeichenfolge gibt an, dass für den Prozess ein Handle für die Anmeldeinformationen des Benutzers erforderlich ist, unter dessen Sicherheitskontext er ausgeführt wird.
-
pszPackage [in]
-
Ein Zeiger auf eine mit Null beendete Zeichenfolge, die den Namen des Sicherheitspakets angibt, mit dem diese Anmeldeinformationen verwendet werden. Dies ist ein Sicherheitspaketname , der im Name-Element einer SecPkgInfo-Struktur zurückgegeben wird, die von der Funktion EnumerateSecurityPackages zurückgegeben wird. Nachdem ein Kontext eingerichtet wurde, kann QueryContextAttributes (General) mit ulAttribute-Set auf SECPKG_ATTR_PACKAGE_INFO aufgerufen werden, um Informationen zum verwendeten Sicherheitspaket zurückzugeben.
Wenn Sie den Digest-SSP verwenden, legen Sie diesen Parameter auf WDIGEST_SP_NAME fest.
Wenn Sie den Schannel-SSP verwenden, legen Sie diesen Parameter auf UNISP_NAME fest.
-
fCredentialUse [in]
-
Ein Flag, das angibt, wie diese Anmeldeinformationen verwendet werden. Dieser Parameter kann einer der folgenden Werte sein:
Wert Bedeutung - SECPKG_CRED_AUTOLOGON_RESTRICTED
- 0x00000010
Die Sicherheit verwendet keine Standardanmeldeinformationen oder Anmeldeinformationen aus dem Anmeldeinformations-Manager.
Dieser Wert wird nur von der eingeschränkten Aushandlungsdelegierung unterstützt.
Windows Server 2008, Windows Vista, Windows Server 2003 und Windows XP: Dieser Wert wird nicht unterstützt.- SECPKG_CRED_BOTH
Überprüfen Sie eingehende Anmeldeinformationen, oder verwenden Sie lokale Anmeldeinformationen, um ein ausgehendes Token vorzubereiten. Diese Kennzeichnung ermöglicht beide anderen Flags. Diese Kennzeichnung ist mit den Digest- und Schannel-SSPs ungültig. - SECPKG_CRED_INBOUND
Überprüfen sie die Anmeldeinformationen eines Posteingangsservers. Eingehende Anmeldeinformationen können mithilfe einer Authentifizierungsautorität überprüft werden, wenn InitializeSecurityContext (General) oder AcceptSecurityContext (General) aufgerufen wird. Wenn eine solche Autorität nicht verfügbar ist, schlägt die Funktion fehl und gibt SEC_E_NO_AUTHENTICATING_AUTHORITY zurück. Die Überprüfung ist paketspezifisch. - SECPKG_CRED_OUTBOUND
Zulassen, dass lokale Clientanmeldeinformationen ein ausgehendes Token vorbereiten. - SECPKG_CRED_PROCESS_POLICY_ONLY
- 0x00000020
Die Funktion verarbeitet die Serverrichtlinie und gibt SEC_E_NO_CREDENTIALS zurück, die angibt, dass die Anwendung zur Eingabe von Anmeldeinformationen aufgefordert werden soll.
Dieser Wert wird nur von der eingeschränkten Aushandlungsdelegierung unterstützt.
Windows Server 2008, Windows Vista, Windows Server 2003 und Windows XP: Dieser Wert wird nicht unterstützt. -
pvLogonID [in]
-
Ein Zeiger auf einen lokal eindeutigen Bezeichner (LUID), der den Benutzer identifiziert. Dieser Parameter wird für Dateisystemprozesse wie Netzwerkumleitungen bereitgestellt. Dieser Parameter kann NULL-sein.
Bei Verwendung des Schannel-SSP wird dieser Parameter nicht verwendet und sollte auf NULL festgelegt werden.
-
pAuthData [in]
-
Ein Zeiger auf paketspezifische Daten. Dieser Parameter kann NULL sein, was angibt, dass die Standardanmeldeinformationen für dieses Sicherheitspaket verwendet werden müssen. Um die angegebenen Anmeldeinformationen zu verwenden, übergeben Sie eine SEC_WINNT_AUTH_IDENTITY Struktur, die diese Anmeldeinformationen in diesem Parameter enthält. Die RPC-Laufzeit übergibt alles, was in RpcBindingSetAuthInfo bereitgestellt wurde.
Bei Verwendung des Digest-SSP ist dieser Parameter ein Zeiger auf eine SEC_WINNT_AUTH_IDENTITY Struktur, die Authentifizierungsinformationen enthält, die zum Suchen der Anmeldeinformationen verwendet werden sollen.
Geben Sie bei Verwendung des Schannel-SSP eine SCHANNEL_CRED Struktur an, die das zu verwendende Protokoll und die Einstellungen für verschiedene anpassbare Kanalfeatures angibt.
Bei Verwendung der NTLM- oder Negotiate-Pakete sind die maximalen Zeichenlängen für Benutzername, Kennwort und Domäne 256, 256 bzw. 15.
-
pGetKeyFn [in]
-
Dieser Parameter wird nicht verwendet und sollte auf NULL festgelegt werden.
-
pvGetKeyArgument [in]
-
Dieser Parameter wird nicht verwendet und sollte auf NULL festgelegt werden.
-
phCredential [out]
-
Ein Zeiger auf eine CredHandle-Struktur zum Empfangen des Anmeldeinformationshandles.
-
ptsExpiry [out]
-
Ein Zeiger auf eine TimeStamp-Struktur , die den Zeitpunkt empfängt, zu dem die zurückgegebenen Anmeldeinformationen ablaufen. Der in dieser TimeStamp-Struktur zurückgegebene Wert hängt von der eingeschränkten Delegierung ab. Das Sicherheitspaket muss diesen Wert in der lokalen Zeit zurückgeben.
Dieser Parameter wird auf eine konstante maximale Zeit festgelegt. Es gibt keine Ablaufzeit für Digestsicherheitskontexteoder Anmeldeinformationen oder bei Verwendung des Digest-SSP.
Bei Verwendung des Schannel-SSP ist dieser Parameter optional. Wenn die für die Authentifizierung zu verwendenden Anmeldeinformationen ein Zertifikat sind, empfängt dieser Parameter die Ablaufzeit für dieses Zertifikat. Wenn kein Zertifikat angegeben wurde, wird ein maximaler Zeitwert zurückgegeben.
Rückgabewert
Wenn die Funktion erfolgreich ist, gibt die Funktion SEC_E_OK zurück.
Wenn die Funktion fehlschlägt, wird eine der folgenden Fehlercodes zurückgegeben.
| Rückgabecode | BESCHREIBUNG |
|---|---|
|
Es steht nicht genügend Arbeitsspeicher zur Verfügung, um die angeforderte Aktion abzuschließen. |
|
Ein Fehler ist aufgetreten, der keinem SSPI-Fehlercode zugeordnet wurde. |
|
In der eingeschränkten Delegierung sind keine Anmeldeinformationen verfügbar. |
|
Der Aufrufer der Funktion verfügt nicht über die erforderlichen Anmeldeinformationen. |
|
Das angeforderte Sicherheitspaket ist nicht vorhanden. |
|
Die für das Paket bereitgestellten Anmeldeinformationen wurden nicht erkannt. |
Bemerkungen
Die Funktion AcquireCredentialsHandle (General) gibt ein Handle an die Anmeldeinformationen eines Prinzipals zurück, z. B. ein Benutzer oder Client, wie es von einer bestimmten eingeschränkten Delegierung verwendet wird. Dies kann das Handle für bereits vorhandene Anmeldeinformationen sein, oder die Funktion kann einen neuen Satz von Anmeldeinformationen erstellen und zurückgeben. Dieses Handle kann in nachfolgenden Aufrufen der Funktionen AcceptSecurityContext (General) und InitializeSecurityContext (General) verwendet werden.
Im Allgemeinen lässt AcquireCredentialsHandle (Allgemein) keinen Prozess zum Abrufen eines Handles für die Anmeldeinformationen anderer Benutzer zu, die sich auf demselben Computer angemeldet haben. Ein Aufrufer mit SE_TCB_NAME Berechtigung hat jedoch die Möglichkeit, den Anmeldebezeichner (LUID) eines vorhandenen Anmeldesitzungstokens anzugeben, um ein Handle für die Anmeldeinformationen dieser Sitzung abzurufen. Dies wird in der Regel von Kernelmodusmodulen verwendet, die im Namen eines angemeldeten Benutzers handeln müssen.
Ein Paket ruft möglicherweise die Funktion in pGetKeyFn auf, die vom RPC-Laufzeittransport bereitgestellt wird. Wenn der Transport den Begriff des Rückrufs zum Abrufen von Anmeldeinformationen nicht unterstützt, muss dieser Parameter NULL sein.
Bei Kernelmodusaufrufern müssen die folgenden Unterschiede beachtet werden:
- Die beiden Zeichenfolgenparameter müssen Unicode-Zeichenfolgen sein.
- Die Pufferwerte müssen im virtuellen Prozessspeicher zugewiesen werden, nicht aus dem Pool.
Wenn Sie die zurückgegebenen Anmeldeinformationen verwendet haben, geben Sie den von den Anmeldeinformationen verwendeten Arbeitsspeicher frei, indem Sie die FreeCredentialsHandle-Funktion aufrufen.
Anforderungen
| Anforderung | Wert |
|---|---|
| Mindest unterstützter Client |
Windows XP [nur Desktop-Apps] |
| Unterstützter Server (Mindestversion) |
Windows Server 2003 [Nur Desktop-Apps] |
| Kopfzeile |
|
| Bibliothek |
|
| DLL |
|
| Unicode- und ANSI-Namen |
AcquireCredentialsHandleW (Unicode) und AcquireCredentialsHandleA (ANSI) |
Siehe auch