Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
La función AcceptSecurityContext (General) permite al componente de servidor de una aplicación de transporte establecer un contexto de seguridad entre el servidor y un cliente remoto. El cliente remoto usa la función InitializeSecurityContext (General) para iniciar el proceso de establecimiento de un contexto de seguridad. El servidor puede requerir uno o varios tokens de respuesta del cliente remoto para completar el establecimiento del contexto de seguridad.
Para obtener información sobre el uso de esta función con un proveedor de soporte técnico de seguridad (SSP) específico, consulte los temas siguientes.
| Tema | Descripción |
|---|---|
| AcceptSecurityContext (CredSSP) | Permite que el componente de servidor de una aplicación de transporte establezca un contexto de seguridad entre el servidor y un cliente remoto mediante el proveedor de soporte técnico de seguridad de credenciales (CredSSP). |
| AcceptSecurityContext (Resumen) | Permite que el componente de servidor de una aplicación de transporte establezca un contexto de seguridad entre el servidor y un cliente remoto que use Digest. |
| AcceptSecurityContext (Kerberos) | Permite que el componente de servidor de una aplicación de transporte establezca un contexto de seguridad entre el servidor y un cliente remoto que usa Kerberos. |
| AcceptSecurityContext (Negotiate) | Permite que el componente de servidor de una aplicación de transporte establezca un contexto de seguridad entre el servidor y un cliente remoto que use Negotiate. |
| AcceptSecurityContext (NTLM) | Permite que el componente de servidor de una aplicación de transporte establezca un contexto de seguridad entre el servidor y un cliente remoto que usa NTLM. |
| AcceptSecurityContext (Schannel) | Permite que el componente de servidor de una aplicación de transporte establezca un contexto de seguridad entre el servidor y un cliente remoto que usa Schannel. |
Sintaxis
SECURITY_STATUS SEC_Entry AcceptSecurityContext(
_In_opt_ PCredHandle phCredential,
_Inout_opt_ PCtxtHandle phContext,
_In_opt_ PSecBufferDesc pInput,
_In_ ULONG fContextReq,
_In_ ULONG TargetDataRep,
_Inout_opt_ PCtxtHandle phNewContext,
_Inout_opt_ PSecBufferDesc pOutput,
_Out_ PULONG pfContextAttr,
_Out_opt_ PTimeStamp ptsExpiry
);
Parámetros
phCredential[in, optional]
Identificador de las credenciales del servidor. El servidor llama a la función AcquireCredentialsHandle (General) con la marca SECPKG_CRED_INBOUND o SECPKG_CRED_BOTH establecida para recuperar este identificador.
phContext[in, out]
Puntero a una estructura CtxtHandle. En la primera llamada a AcceptSecurityContext (General), este puntero es NULL. En las llamadas posteriores, phContext es el identificador del contexto parcialmente formado devuelto por la primera llamada en el parámetro phNewContext.
Advertencia
No use el mismo identificador de contexto en llamadas simultáneas a AcceptSecurityContext (General). La implementación de API en los proveedores de servicios de seguridad no es segura para subprocesos.
pInput[in, optional]
Puntero a una estructura SecBufferDesc generada por una llamada de cliente a InitializeSecurityContext (General) que contiene el descriptor de búfer de entrada.
Al usar el SSP de Schannel, el primer búfer debe ser de tipo SECBUFFER_TOKEN y contener el token de seguridad recibido del cliente. El segundo búfer debe ser de tipo SECBUFFER_EMPTY.
Al usar los SSP Negotiate, Kerberos o NTLM, se puede especificar información de enlace de canal pasando una estructura SecBuffer de tipo SECBUFFER_CHANNEL_BINDINGS además de los búferes generados por la llamada a la función InitializeSecurityContext (General). La información de enlace de canal para el búfer de enlace de canal se puede obtener llamando a la función QueryContextAttributes (Schannel) en el contexto de Schannel que el cliente usó para autenticarse.
fContextReq[in]
Marcas de bits que especifican los atributos requeridos por el servidor para establecer el contexto. Las marcas de bits se pueden combinar usando operaciones OR bit a bit. Este parámetro puede ser uno o más de los siguientes valores.
| Valor | Significado |
|---|---|
| ASC_REQ_ALLOCATE_MEMORY | Digest y Schannel asignarán búferes de salida. Cuando haya terminado de usar los búferes de salida, puede liberarlos llamando a la función FreeContextBuffer . |
| ASC_REQ_ALLOW_MISSING_BINDINGS | Indica que Digest no requiere enlaces de canal para canales internos y externos. Este valor se usa para la compatibilidad con versiones anteriores cuando no se conoce la compatibilidad con el enlace de canal del punto de conexión. Este valor es mutuamente excluyente con ASC_REQ_PROXY_BINDINGS. Este valor solo es compatible con el SSP de síntesis. Windows Server 2008, Windows Vista, Windows Server 2003 y Windows XP: Este valor no se admite. |
| ASC_REQ_CONFIDENTIALITY | Cifra y descifra mensajes. El SSP de Digest solo admite esta marca para SASL. |
| ASC_REQ_CONNECTION | El contexto de seguridad no controlará los mensajes de formato. |
| ASC_REQ_DELEGATE | El servidor está autorizado a suplantar al cliente. Válido para Kerberos. Omita esta marca para la delegación restringida. |
| ASC_REQ_EXTENDED_ERROR | Cuando se produzcan errores, se notificará a la entidad remota. |
| ASC_REQ_HTTP (0x10000000) | Usar Digest para HTTP. Omita esta marca para usar Digest como un mecanismo SASL. |
| ASC_REQ_INTEGRITY | Firma mensajes y comprueba firmas. Schannel no admite esta marca. |
| ASC_REQ_MUTUAL_AUTH | El cliente es necesario para proporcionar un certificado que se usará para la autenticación de cliente. Esta marca solo es compatible con Schannel. |
| ASC_REQ_PROXY_BINDINGS | Indica que Digest requiere enlace de canal. Este valor es mutuamente excluyente con ASC_REQ_ALLOW_MISSING_BINDINGS. Este valor solo es compatible con el SSP de síntesis. Windows Server 2008, Windows Vista, Windows Server 2003 y Windows XP: Este valor no se admite. |
| ASC_REQ_REPLAY_DETECT | Detecta paquetes reproducidos. |
| ASC_REQ_SEQUENCE_DETECT | Detectar los mensajes recibidos fuera de la secuencia. |
| ASC_REQ_STREAM | Compatibilidad con una conexión orientada a flujos. Esta marca solo es compatible con Schannel. |
Para ver las posibles marcas de atributos y sus significados, consulte Requisitos de contexto. Las marcas usadas para este parámetro tienen como prefijo ASC_REQ, por ejemplo, ASC_REQ_DELEGATE.
Es posible que el cliente no admita los atributos solicitados. Para más información, consulte el parámetro pfContextAttr.
TargetDataRep[in]
Representación de datos, como orden de bytes, en el destino. Este parámetro puede ser SECURITY_NATIVE_DREP o SECURITY_NETWORK_DREP.
Este parámetro no se usa con Schannel o Digest SSP. Cuando use Schannel o Digest SSP, especifique cero para este parámetro.
phNewContext[in, out, optional]
Puntero a una estructura CtxtHandle. En la primera llamada a AcceptSecurityContext (General), este puntero recibe el nuevo identificador de contexto. En llamadas posteriores, phNewContext puede coincidir con el identificador especificado en el parámetro phContext.
phNewContext nunca debe ser NULL.
pOutput[in, out, optional]
Puntero a una estructura SecBufferDesc que contiene el descriptor de búfer de salida. Este búfer se envía al cliente para la entrada en llamadas adicionales a InitializeSecurityContext (General). Se puede generar un búfer de salida incluso si la función devuelve SEC_E_OK. Cualquier búfer generado se debe devolver a la aplicación cliente.
Cuando se usa Schannel, en la salida, este búfer recibe un token para el contexto de seguridad. El token se debe enviar al cliente. La función también puede devolver un búfer de tipo SECBUFFER_EXTRA. Además, el autor de la llamada debe pasar un búfer de tipo SECBUFFER_ALERT. En la salida, si se genera una alerta, este búfer contiene información sobre esa alerta y se produce un error en la función.
pfContextAttr[out]
Puntero a una variable que recibe un conjunto de marcas de bits que indican los atributos del contexto establecido. Para ver descripciones adicionales de los distintos atributos, consulte Requisitos de contexto. Las marcas usadas para este parámetro tienen como prefijo ASC_RET, por ejemplo, ASC_RET_DELEGATE.
No compruebe si hay atributos relacionados con la seguridad hasta que la llamada de función final se devuelva correctamente. Las marcas de atributo no relacionadas con la seguridad, como la marca ASC_RET_ALLOCATED_MEMORY, se pueden comprobar antes de la devolución final.
ptsTimeStamp[out, optional]
Puntero a una estructura TimeStamp que recibe la hora de expiración del contexto. Se recomienda que el paquete de seguridad devuelva siempre este valor en hora local.
Este parámetro se establece en un tiempo máximo constante. No hay tiempo de caducidad para los contextos de seguridad o las credenciales de Digest o al usar el SSP de Digest.
Esto es opcional cuando se usa el SSP de Schannel. Cuando la entidad remota ha proporcionado un certificado que se va a usar para la autenticación, este parámetro recibe la hora de expiración de ese certificado. Si no se proporcionó ningún certificado, se devuelve un valor de tiempo máximo.
Nota:
Hasta la última llamada del proceso de autenticación, la hora de caducidad del contexto puede ser incorrecta, ya que se proporcionará más información durante las fases posteriores de la negociación. Por lo tanto, ptsTimeStamp debe ser NULL hasta la última llamada a la función.
Valor devuelto
Esta función devuelve uno de los siguientes valores.
| Código/valor de retorno | Descripción |
|---|---|
| Se produjo un error en la función. No se cumplió la directiva de enlace de canales. |
| La función se ha realizado correctamente. Los datos del búfer de entrada están incompletos. La aplicación debe leer datos adicionales del cliente y llamar de nuevo a [AcceptSecurityContext (General)](acceptsecuritycontext--general.md). Este valor se puede devolver cuando se usa el SSP de Schannel. Para obtener más información sobre este valor devuelto, vea [AcceptSecurityContext (Schannel)](acceptsecuritycontext--schannel.md). |
| Se produjo un error en la función. No hay suficiente memoria disponible para realizar la acción solicitada. |
| Se produjo un error en la función. Se produjo un error al que no se le ha asignado un código de error SSPI. |
| Se produjo un error en la función. La controlador pasado a la función no es válido. |
| Se produjo un error en la función. El token transferido a la función no es válido. |
| Error de inicio de sesión. |
| Se produjo un error en la función. No se pudo establecer contacto con ninguna autoridad para la autenticación. Esto puede deberse a los siguientes motivos:
|
| Se produjo un error en la función. El identificador de credenciales especificado en el parámetro phCredential no es válido. Este valor se puede devolver cuando se usa el SSP implícita o Schannel. |
| La función se ha realizado correctamente. [*contexto de seguridad*](.. /secgloss/s-gly.md) recibido del cliente. Si la función generó un token de salida, se debe enviar al proceso de cliente. |
| Se produjo un error en la función. Se ha especificado una marca de atributo de contexto que no es válida en el parámetro fContextReq. Este valor se puede devolver cuando se usa el SSP de síntesis. |
| Se produjo un error en la función. Se especificó una marca de atributo de contexto que no es válida (ASC_REQ_DELEGATE o ASC_REQ_PROMPT_FOR_CREDS) en el parámetro fContextReq . Este valor se puede devolver cuando se usa el SSP de Schannel. |
| La función se ha realizado correctamente. El servidor debe llamar a [CompleteAuthToken](/windows/win32/api/sspi/nf-sspi-completeauthtoken) y pasar el token de salida al cliente. A continuación, el servidor espera un token de retorno del cliente y, a continuación, realiza otra llamada a [AcceptSecurityContext (General)](acceptsecuritycontext--general.md). |
| La función se ha realizado correctamente. El servidor debe terminar de compilar el mensaje desde el cliente y, a continuación, llamar a la función [CompleteAuthToken](/windows/win32/api/sspi/nf-sspi-completeauthtoken). |
| La función se ha realizado correctamente. El servidor debe enviar el token de salida al cliente y esperar a que se devuelva un token. El token devuelto debe pasarse en pInput para otra llamada a [AcceptSecurityContext (General)](acceptsecuritycontext--general.md). |
| Se produjo un error en la función. Se llamó a la función [AcceptSecurityContext (General)](acceptsecuritycontext--general.md) después de establecer el contexto especificado. Este valor se puede devolver cuando se usa el SSP de síntesis. |
Observaciones
La función AcceptSecurityContext (General) es el homólogo del servidor de la función InitializeSecurityContext (General).
Cuando el servidor recibe una solicitud de un cliente, el servidor usa el parámetro fContextReq para especificar lo que requiere de la sesión. De este modo, un servidor puede especificar que los clientes deben ser capaces de usar una sesión confidencial o con comprobación de integridad, y puede rechazar los clientes que no puedan satisfacer esa demanda. Como alternativa, un servidor puede no requerir nada, y lo que el cliente pueda proporcionar o requiera se devuelve en el parámetro pfContextAttr.
Para un paquete que admita la autenticación múltiple, como la autenticación mutua, la secuencia de llamadas es la siguiente:
- El cliente transmite un token al servidor.
- El servidor llama a AcceptSecurityContext (General) la primera vez, que genera un token de respuesta que se envía al cliente.
- El cliente recibe el token y lo pasa a InitializeSecurityContext (General). Si InitializeSecurityContext (General) devuelve SEC_E_OK, se ha completado la autenticación mutua y se puede iniciar una sesión segura. Si InitializeSecurityContext (General) devuelve un código de error, finaliza la negociación de autenticación mutua. De lo contrario, el token de seguridad devuelto por InitializeSecurityContext (General) se envía al cliente y se repiten los pasos 2 y 3.
- No use el valor phContext en llamadas simultáneas a AcceptSecurityContext (General). La implementación en los proveedores de seguridad no es segura para subprocesos.
Los parámetros fContextReq y pfContextAttr son máscaras de bits que representan varios atributos de contexto. Para ver descripciones adicionales de los distintos atributos, consulte Requisitos de contexto.
Nota:
El parámetro pfContextAttr es válido en cualquier devolución correcta, pero las marcas relacionadas con los aspectos de seguridad del contexto solo se deben examinar en la devolución correcta final. Las devoluciones intermedias pueden establecer, por ejemplo, la marca ISC_RET_ALLOCATED_MEMORY.
El autor de la llamada es responsable de determinar si los atributos de contexto finales son suficientes. Si, por ejemplo, se solicitó la confidencialidad (cifrado), pero no se pudo establecer, algunas aplicaciones pueden optar por cerrar la conexión inmediatamente. Si no se puede establecer el contexto de seguridad, el servidor debe liberar el contexto creado parcialmente llamando a la función DeleteSecurityContext. Para obtener información sobre cuándo llamar a la función DeleteSecurityContext, consulte DeleteSecurityContext.
Una vez establecido el contexto de seguridad, la aplicación de servidor puede usar la función QuerySecurityContextToken para recuperar un identificador de la cuenta de usuario a la que se asignó el certificado de cliente. Además, el servidor puede usar la función ImpersonateSecurityContext para suplantar al usuario.
Requisitos
| Requisito | Valor |
|---|---|
| Mínima versión de cliente admitida | Windows XP [solo aplicaciones de escritorio] |
| Servidor mínimo admitido | Windows Server 2003 [solo aplicaciones de escritorio] |
| Cabecera | Sspi.h (incluye Security.h) |
| Biblioteca | Secur32.lib |
| DLL | Secur32.dll |