Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Met de functie AcceptSecurityContext (Kerberos) kan het serveronderdeel van een transporttoepassing een beveiligingscontext tot stand brengen tussen de server en een externe client. De externe client gebruikt de functie InitializeSecurityContext (Kerberos) om het proces van het instellen van een beveiligingscontext te starten. De server kan een of meer antwoordtokens van de externe client vereisen om de beveiligingscontext tot stand te brengen.
Syntaxis
SECURITY_STATUS SEC_Entry AcceptSecurityContext(
_In_opt_ PCredHandle phCredential,
_In_opt_ PCtxtHandle phContext,
_In_opt_ PSecBufferDesc pInput,
_In_ ULONG fContextReq,
_In_ ULONG TargetDataRep,
_Inout_opt_ PCtxtHandle phNewContext,
_Inout_opt_ PSecBufferDesc pOutput,
_Out_ PULONG pfContextAttr,
_Out_opt_ PTimeStamp ptsExpiry
);
Parameterwaarden
phCredential-[in, optional]
Een ingang naar de referenties van de server. De server roept de functie AcquireCredentialsHandle (Kerberos) aan met de SECPKG_CRED_INBOUND of SECPKG_CRED_BOTH vlag ingesteld om deze handle op te halen.
phContext-[in, out, optional]
Een aanwijzer naar een CtxtHandle structuur. Bij de eerste aanroep van AcceptSecurityContext (Kerberos) is NULLdeze aanwijzer . Bij volgende aanroepen is phContext de ingang voor de gedeeltelijk gevormde context die is geretourneerd in de parameter phNewContext door de eerste aanroep.
Waarschuwing
Gebruik niet dezelfde contexthandle in gelijktijdige aanroepen naar AcceptSecurityContext (Kerberos). De API-implementatie in de beveiligingsserviceproviders is niet thread-safe.
[in, optional]
Een aanwijzer naar een SecBufferDesc-structuur die wordt gegenereerd door een clientaanroep naar InitializeSecurityContext (Kerberos) die de invoerbufferdescriptor bevat.
Informatie over kanaalbindingen kan worden opgegeven door een SecBuffer-structuur van het type SECBUFFER_CHANNEL_BINDINGS naast de buffers die door de aanroep naar de functie InitializeSecurityContext (Algemeen) worden doorgegeven. De kanaalbindingsinformatie voor de kanaalbindingsbuffer kan worden verkregen door de functie QueryContextAttributes (Schannel) aan te roepen in de Schannel-context die de client heeft gebruikt om te verifiëren.
fContextReq-[in]
Bitvlagken die de kenmerken opgeven die door de server zijn vereist om de context tot stand te brengen. Bitvlagmen kunnen worden gecombineerd met bitwise-OF bewerkingen. Deze parameter kan een of meer van de volgende waarden zijn.
| Waarde | Betekenis |
|---|---|
| ASC_REQ_CONFIDENTIALITY | Berichten versleutelen en ontsleutelen. |
| ASC_REQ_CONNECTION | De beveiligingscontext verwerkt geen opmaakberichten. |
| ASC_REQ_DELEGATE | De server mag de client imiteren. Geldig voor Kerberos. Negeer deze vlag voor beperkte delegering. |
| ASC_REQ_EXTENDED_ERROR | Wanneer er fouten optreden, wordt de externe partij op de hoogte gesteld. |
| ASC_REQ_INTEGRITY | Onderteken berichten en verifieer handtekeningen. |
| ASC_REQ_REPLAY_DETECT | Detecteer opnieuw afgespeelde pakketten. |
| ASC_REQ_SEQUENCE_DETECT | Detecteer berichten die niet op volgorde zijn ontvangen. |
Zie Contextvereistenvoor mogelijke kenmerkvlagmen en betekenissen. Vlaggen die voor deze parameter worden gebruikt, worden voorafgegaan door ASC_REQ, bijvoorbeeld ASC_REQ_DELEGATE.
De aangevraagde kenmerken worden mogelijk niet ondersteund door de client. Zie de parameter pfContextAttr voor meer informatie.
TargetDataRep-[in]
De gegevensweergave, zoals bytevolgorde, op het doel. Deze parameter kan worden SECURITY_NATIVE_DREP of SECURITY_NETWORK_DREP.
phNewContext-[in, out, optional]
Een aanwijzer naar een CtxtHandle structuur. Bij de eerste aanroep van AcceptSecurityContext (Kerberos) ontvangt deze aanwijzer de nieuwe contextnaam. Bij volgende aanroepen kan phNewContext- hetzelfde zijn als de ingang die is opgegeven in de parameter phContext.
phNewContext mag nooit zijn NULL.
pOutput-[in, out, optional]
Een aanwijzer naar een SecBufferDesc structuur die de uitvoerbufferdescriptor bevat. Deze buffer wordt naar de client verzonden voor invoer in extra aanroepen naar InitializeSecurityContext (Kerberos). Er kan een uitvoerbuffer worden gegenereerd, zelfs als de functie SEC_E_OK retourneert. Elke gegenereerde buffer moet worden teruggestuurd naar de clienttoepassing.
pfContextAttr-[out]
Een aanwijzer naar een variabele die een set bitvlaggen ontvangt die de kenmerken van de tot stand gebrachte context aangeven. Zie Contextvereistenvoor een beschrijving van de verschillende kenmerken. Vlaggen die voor deze parameter worden gebruikt, worden voorafgegaan door ASC_RET, bijvoorbeeld ASC_RET_DELEGATE.
Controleer pas op beveiligingskenmerken als de laatste functie-aanroep is geretourneerd. Kenmerkvlagmen die niet zijn gerelateerd aan beveiliging, zoals de vlag ASC_RET_ALLOCATED_MEMORY, kunnen worden gecontroleerd voordat de definitieve terugkeer wordt uitgevoerd.
ptsTijdstempel[out, optional]
Een aanwijzer naar een TimeStamp structuur die de verlooptijd van de context ontvangt. Het is raadzaam dat het beveiligingspakket deze waarde altijd in lokale tijd retourneert.
Opmerking
Tot de laatste aanroep van het verificatieproces kan de verlooptijd voor de context onjuist zijn, omdat er in latere fasen van de onderhandeling meer informatie wordt verstrekt. Daarom moet ptsTimeStamp- worden NULL tot de laatste aanroep van de functie.
Retourwaarde
Deze functie retourneert een van de volgende waarden.
| Retourcode/waarde | Beschrijving |
|---|---|
SEC_E_INSUFFICIENT_MEMORY0x80090300L |
De functie is mislukt. Er is onvoldoende geheugen beschikbaar om de aangevraagde actie te voltooien. |
SEC_E_INTERNAL_ERROR0x80090304L |
De functie is mislukt. Er is een fout opgetreden die niet is toegewezen aan een SSPI-foutcode. |
SEC_E_INVALID_HANDLE0x80100003L |
De functie is mislukt. De greep die aan de functie is doorgegeven, is ongeldig. |
SEC_E_INVALID_TOKEN0x80090308L |
De functie is mislukt. Het token dat aan de functie is doorgegeven, is ongeldig. |
SEC_E_LOGON_DENIED0x8009030CL |
De aanmelding is mislukt. |
SEC_E_NO_AUTHENTICATING_AUTHORITY0x80090311L |
De functie is mislukt. Er kan geen contact worden gemaakt met de instantie voor verificatie. Dit kan worden veroorzaakt door de volgende voorwaarden: -De domeinnaam van de verifiërende partij is onjuist. -Het domein is niet beschikbaar. -De vertrouwensrelatie is mislukt. |
SEC_E_OK0x00000000L |
De functie is geslaagd. De beveiligingscontext die van de client is ontvangen, is geaccepteerd. Als een uitvoertoken is gegenereerd door de functie, moet het naar het clientproces worden verzonden. |
SEC_E_UNSUPPORTED_FUNCTION0x80090302L |
De functie is mislukt. Er is een contextkenmerkvlag opgegeven die ongeldig is (ASC_REQ_DELEGATE of ASC_REQ_PROMPT_FOR_CREDS) in de parameter fContextReq . Deze waarde kan worden geretourneerd bij gebruik van de Schannel SSP. |
SEC_I_COMPLETE_AND_CONTINUE0x00090314L |
De functie is geslaagd. De server moet CompleteAuthToken aanroepen en het uitvoertoken doorgeven aan de client. De server wacht vervolgens op een retourtoken van de client en roept vervolgens AcceptSecurityContext (Kerberos) opnieuw aan. |
SEC_I_COMPLETE_NEEDED0x00090313L |
De functie is geslaagd. De server moet het bouwen van het bericht van de client voltooien en vervolgens de functie CompleteAuthToken aanroepen. |
SEC_I_CONTINUE_NEEDED0x00090312L |
De functie is geslaagd. De server moet het uitvoertoken naar de client verzenden en wachten op een geretourneerd token. Het geretourneerde token moet worden doorgegeven in pInput voor een nieuwe aanroep naar AcceptSecurityContext (Kerberos). |
Opmerkingen
De functie AcceptSecurityContext (Kerberos) is de servertegenhanger van de functie InitializeSecurityContext (Kerberos).
Wanneer de server een aanvraag van een client ontvangt, gebruikt de server de parameter fContextReq om op te geven wat de sessie vereist. Op deze manier kan een server opgeven dat clients in staat moeten zijn om een vertrouwelijke of op integriteit gecontroleerde sessie te gebruiken, en kan deze clients weigeren die niet aan die vraag kunnen voldoen. Een server kan ook niets vereisen en wat de client ook kan opgeven of vereisen, wordt geretourneerd in de parameter pfContextAttr .
Voor een pakket dat ondersteuning biedt voor meervoudige verificatie, zoals wederzijdse verificatie, is de aanroepvolgorde als volgt:
- De client verzendt een token naar de server.
- De server roept AcceptSecurityContext (Kerberos) de eerste keer aan, waardoor een antwoordtoken wordt gegenereerd dat vervolgens naar de client wordt verzonden.
- De client ontvangt het token en geeft het door aan InitializeSecurityContext (Kerberos). Als InitializeSecurityContext (Kerberos) SEC_E_OK retourneert, is de onderlinge verificatie voltooid en kan een beveiligde sessie worden gestart. Als InitializeSecurityContext (Kerberos) een foutcode retourneert, wordt de onderhandeling over wederzijdse verificatie beëindigd. Anders wordt het beveiligingstoken dat door InitializeSecurityContext (Kerberos) wordt geretourneerd, naar de client verzonden en worden stap 2 en 3 herhaald.
- Gebruik de phContext-waarde niet in gelijktijdige aanroepen naar AcceptSecurityContext (Kerberos). De implementatie in de beveiligingsproviders is niet thread-safe.
De parameters fContextReq en pfContextAttr zijn bitmaskers die verschillende contextkenmerken vertegenwoordigen. Zie Contextvereistenvoor een beschrijving van de verschillende kenmerken.
Opmerking
De parameter pfContextAttr is geldig voor een geslaagde retour, maar alleen bij de uiteindelijke geslaagde retour moet u de vlaggen onderzoeken die betrekking hebben op beveiligingsaspecten van de context. Tussenliggende retourneert kan bijvoorbeeld de ISC_RET_ALLOCATED_MEMORY vlag instellen.
De aanroeper is verantwoordelijk voor het bepalen of de uiteindelijke contextkenmerken voldoende zijn. Als bijvoorbeeld vertrouwelijkheid (versleuteling) is aangevraagd, maar niet tot stand kon worden gebracht, kunnen sommige toepassingen ervoor kiezen om de verbinding onmiddellijk af te sluiten. Als de beveiligingscontext niet kan worden vastgesteld, moet de server de gedeeltelijk gemaakte context vrijmaken door de functie DeleteSecurityContext aan te roepen. Zie DeleteSecurityContextvoor informatie over wanneer u de functie DeleteSecurityContext aanroept.
Nadat de beveiligingscontext is vastgesteld, kan de servertoepassing de functie QuerySecurityContextToken gebruiken om een ingang op te halen voor de gebruikersaccount waaraan het clientcertificaat is toegewezen. De server kan ook de functie ImpersonateSecurityContext gebruiken om zich voor te doen als de gebruiker.
Behoeften
| Voorwaarde | Waarde |
|---|---|
| Minimaal ondersteunde client | Windows XP [alleen desktop-apps] |
| Minimaal ondersteunde server | Windows Server 2003 [alleen desktop-apps] |
| Koptekst | Sspi.h (inclusief Security.h) |
| Bibliotheek | Secur32.lib |
| DLL | Secur32.dll |