Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Met de functie AcceptSecurityContext (Schannel) kan het serveronderdeel van een transporttoepassing een beveiligingscontext tussen de server en een externe client tot stand brengen. De externe client gebruikt de functie InitializeSecurityContext (Schannel) om het proces van het tot stand brengen van een beveiligingscontext te starten. De server kan een of meer antwoordtokens van de externe client vereisen om de beveiligingscontext tot stand te brengen.
Syntaxis
SECURITY_STATUS SEC_Entry AcceptSecurityContext(
_In_opt_ PCredHandle phCredential,
_Inout_opt_ PCtxtHandle phContext,
_In_opt_ PSecBufferDesc pInput,
_In_ ULONG fContextReq,
_In_ ULONG TargetDataRep,
_Inout_opt_ PCtxtHandle phNewContext,
_Inout_opt_ PSecBufferDesc pOutput,
_Out_ PULONG pfContextAttr,
_Out_opt_ PTimeStamp ptsTimeStamp
);
Parameterwaarden
phCredential-[in, optional]
Een ingang naar de referenties van de server. De server roept de functie AcquireCredentialsHandle (Schannel) aan met de SECPKG_CRED_INBOUND of SECPKG_CRED_BOTH vlag die is ingesteld om deze ingang op te halen.
phContext-[in, out, optional]
Een aanwijzer naar een CtxtHandle structuur. Bij de eerste aanroep van AcceptSecurityContext (Schannel) is NULLdeze aanwijzer. Bij volgende aanroepen is phContext de ingang voor de gedeeltelijk gevormde context die is geretourneerd in de parameter phNewContext door de eerste aanroep.
Waarschuwing
Gebruik niet dezelfde contextgreep in gelijktijdige aanroepen naar AcceptSecurityContext (Schannel). De API-implementatie in de beveiligingsserviceproviders is niet thread-safe.
[in, optional]
Een aanwijzer naar een SecBufferDesc-structuur die wordt gegenereerd door een clientaanroep omSecurityContext (Schannel) te initialiseren die de descriptor voor de invoerbuffer bevat.
Wanneer u de Schannel-provider voor beveiligingsondersteuning (SSP) gebruikt, moet de eerste buffer van het type SECBUFFER_TOKEN zijn en het beveiligingstoken bevatten dat van de client is ontvangen. De tweede buffer moet van het type SECBUFFER_EMPTY zijn.
fContextReq-[in]
Bitvlagken die de kenmerken opgeven die door de server zijn vereist om de context tot stand te brengen. Bitvlagmen kunnen worden gecombineerd met bitwise-OF bewerkingen. Deze parameter kan een of meer van de volgende waarden zijn.
| Waarde | Betekenis |
|---|---|
| ASC_REQ_ALLOCATE_MEMORY | Digest en Schannel wijzen uitvoerbuffers voor u toe. Wanneer u klaar bent met het gebruik van de uitvoerbuffers, kunt u deze gratis maken door de functie FreeContextBuffer aan te roepen. |
| ASC_REQ_CONFIDENTIALITY | Berichten versleutelen en ontsleutelen. De Digest-SSP ondersteunt deze vlag alleen voor SASL. |
| ASC_REQ_CONNECTION | De beveiligingscontext verwerkt geen opmaakberichten. |
| ASC_REQ_EXTENDED_ERROR | Wanneer er fouten optreden, wordt de externe partij op de hoogte gesteld. |
| ASC_REQ_MUTUAL_AUTH | De client moet een certificaat opgeven dat moet worden gebruikt voor clientverificatie. |
| ASC_REQ_REPLAY_DETECT | Detecteer opnieuw afgespeelde pakketten. |
| ASC_REQ_SEQUENCE_DETECT | Detecteer berichten die niet op volgorde zijn ontvangen. |
| ASC_REQ_STREAM | Ondersteuning voor een streamgeoriënteerde verbinding. Deze vlag wordt alleen ondersteund door Schannel. |
Zie Contextvereistenvoor mogelijke kenmerkvlagmen en betekenissen. Vlaggen die voor deze parameter worden gebruikt, worden voorafgegaan door ASC_REQ, bijvoorbeeld ASC_REQ_DELEGATE.
De aangevraagde kenmerken worden mogelijk niet ondersteund door de client. Zie de parameter pfContextAttr voor meer informatie.
TargetDataRep-[in]
Deze parameter wordt niet gebruikt met Schannel. Geef nul op voor deze parameter.
phNewContext-[in, out, optional]
Een aanwijzer naar een CtxtHandle structuur. Bij de eerste aanroep van AcceptSecurityContext (Schannel) ontvangt deze aanwijzer de nieuwe contextgreep. Bij volgende aanroepen kan phNewContext- hetzelfde zijn als de ingang die is opgegeven in de parameter phContext.
phNewContext mag nooit zijn NULL.
pOutput-[in, out, optional]
Een aanwijzer naar een SecBufferDesc structuur die de uitvoerbufferdescriptor bevat. Deze buffer wordt naar de client verzonden voor invoer in aanvullende aanroepen naar InitializeSecurityContext (Schannel). Er kan een uitvoerbuffer worden gegenereerd, zelfs als de functie SEC_E_OK retourneert. Elke gegenereerde buffer moet worden teruggestuurd naar de clienttoepassing.
Bij uitvoer ontvangt deze buffer een token voor de beveiligingscontext. Het token moet naar de client worden verzonden. De functie kan ook een buffer van het type SECBUFFER_EXTRA retourneren. Bovendien moet de beller een buffer van het type SECBUFFER_ALERT doorgeven. Als er een waarschuwing wordt gegenereerd, bevat deze buffer informatie over die waarschuwing en mislukt de functie.
pfContextAttr-[out]
Een aanwijzer naar een variabele die een set bitvlaggen ontvangt die de kenmerken van de tot stand gebrachte context aangeven. Zie Contextvereistenvoor een beschrijving van de verschillende kenmerken. Vlaggen die voor deze parameter worden gebruikt, worden voorafgegaan door ASC_RET, bijvoorbeeld ASC_RET_DELEGATE.
Controleer pas op beveiligingskenmerken als de laatste functie-aanroep is geretourneerd. Kenmerkvlagmen die niet zijn gerelateerd aan beveiliging, zoals de vlag ASC_RET_ALLOCATED_MEMORY, kunnen worden gecontroleerd voordat de definitieve terugkeer wordt uitgevoerd.
ptsTimeStamp[out, optional]
Een aanwijzer naar een TimeStamp structuur die de verlooptijd van de context ontvangt. Het is raadzaam dat het beveiligingspakket deze waarde altijd in lokale tijd retourneert.
Dit is optioneel wanneer u de Schannel-SSP gebruikt. Wanneer de externe partij een certificaat heeft opgegeven dat moet worden gebruikt voor verificatie, ontvangt deze parameter de verlooptijd voor dat certificaat. Als er geen certificaat is opgegeven, wordt een maximale tijdwaarde geretourneerd.
Opmerking
Tot de laatste aanroep van het verificatieproces kan de verlooptijd voor de context onjuist zijn, omdat er in latere fasen van de onderhandeling meer informatie wordt verstrekt. Daarom moet ptsTimeStamp- worden NULL tot de laatste aanroep van de functie.
Retourwaarde
Deze functie retourneert een van de volgende waarden.
| Retourcode/waarde | Beschrijving |
|---|---|
| De functie is geslaagd. De gegevens in de invoerbuffer zijn onvolledig. De toepassing moet aanvullende gegevens van de client lezen en [AcceptSecurityContext (Schannel)](acceptsecuritycontext--schannel.md) opnieuw aanroepen. Wanneer deze waarde wordt geretourneerd, bevat de pInput-buffer een structuur [SecBuffer](/windows/win32/api/sspi/ns-sspi-secbuffer) met een BufferType-lid van SECBUFFER_MISSING. Het cbBuffer-lid van SecBuffer bevat een waarde die het aantal extra bytes aangeeft dat de functie moet lezen van de client voordat deze functie slaagt. Hoewel dit getal niet altijd nauwkeurig is, kan het gebruik ervan de prestaties helpen door meerdere aanroepen naar deze functie te voorkomen. |
| De functie is mislukt. Er is onvoldoende geheugen beschikbaar om de aangevraagde actie te voltooien. |
| De functie is mislukt. Er is een fout opgetreden die niet is toegewezen aan een SSPI-foutcode. |
| De functie is mislukt. De greep die aan de functie is doorgegeven, is ongeldig. |
| De functie is mislukt. Het token dat aan de functie is doorgegeven, is ongeldig. |
| De aanmelding is mislukt. |
| De functie is mislukt. Er kan geen contact worden gemaakt met de instantie voor verificatie. Dit kan worden veroorzaakt door de volgende voorwaarden:
|
| De functie is mislukt. De referenties-ingang die is opgegeven in de parameter phCredential is ongeldig. Deze waarde kan worden geretourneerd wanneer u de SSP Digest of Schannel gebruikt. |
| De functie is geslaagd. De [*beveiligingscontext*](.. /secgloss/s-gly.md) ontvangen van de client is geaccepteerd. Als een uitvoertoken is gegenereerd door de functie, moet het naar het clientproces worden verzonden. |
| De functie is mislukt. Er is een contextkenmerkvlag opgegeven die ongeldig is (ASC_REQ_DELEGATE of ASC_REQ_PROMPT_FOR_CREDS) in de parameter fContextReq . |
| Er bestaat geen algemeen toepassingsprotocol tussen de client en de server. |
| De functie is geslaagd. De server moet [CompleteAuthToken](/windows/win32/api/sspi/nf-sspi-completeauthtoken) aanroepen en het uitvoertoken doorgeven aan de client. De server wacht vervolgens op een retourtoken van de client en voert vervolgens een andere aanroep uit naar [AcceptSecurityContext (Schannel)](acceptsecuritycontext--schannel.md). |
| De functie is geslaagd. De server moet het bouwen van het bericht van de client voltooien en vervolgens de functie [CompleteAuthToken](/windows/win32/api/sspi/nf-sspi-completeauthtoken) aanroepen. |
| De functie is geslaagd. De server moet het uitvoertoken naar de client verzenden en wachten op een geretourneerd token. Het geretourneerde token moet worden doorgegeven in pInput voor een andere aanroep naar [AcceptSecurityContext (Schannel)](acceptsecuritycontext--schannel.md). |
| De functie is mislukt. De functie [AcceptSecurityContext (Schannel)](acceptsecuritycontext--schannel.md) is aangeroepen nadat de opgegeven context tot stand is gebracht. Deze waarde kan worden geretourneerd wanneer u de digest-SSP gebruikt. |
Opmerkingen
De functie AcceptSecurityContext (Schannel) is de server tegenhanger van de functie InitializeSecurityContext (Schannel ).
Wanneer de server een aanvraag van een client ontvangt, gebruikt de server de parameter fContextReq om op te geven wat de sessie vereist. Op deze manier kan een server opgeven dat clients in staat moeten zijn om een vertrouwelijke of integriteitscheckte sessie te gebruiken en clients die niet aan die vraag kunnen voldoen, kunnen weigeren. Een server kan ook niets vereisen en wat de client ook kan opgeven of vereisen, wordt geretourneerd in de parameter pfContextAttr .
Voor een pakket dat ondersteuning biedt voor meervoudige verificatie, zoals wederzijdse verificatie, is de aanroepvolgorde als volgt:
- De client verzendt een token naar de server.
- De server roept AcceptSecurityContext (Schannel) de eerste keer aan, waarmee een antwoordtoken wordt gegenereerd dat vervolgens naar de client wordt verzonden.
- De client ontvangt het token en geeft het door aan InitializeSecurityContext (Schannel). Als InitializeSecurityContext (Schannel) SEC_E_OK retourneert, is wederzijdse verificatie voltooid en kan er een beveiligde sessie worden gestart. Als InitializeSecurityContext (Schannel) een foutcode retourneert, wordt de wederzijdse verificatieonderhandeling beëindigd. Anders wordt het beveiligingstoken dat wordt geretourneerd door InitializeSecurityContext (Schannel) naar de client verzonden en worden stap 2 en 3 herhaald.
- Gebruik de phContext-waarde niet in gelijktijdige aanroepen naar AcceptSecurityContext (Schannel). De implementatie in de beveiligingsproviders is niet thread-safe.
De parameters fContextReq en pfContextAttr zijn bitmaskers die verschillende contextkenmerken vertegenwoordigen. Zie Contextvereistenvoor een beschrijving van de verschillende kenmerken.
Opmerking
De parameter pfContextAttr is geldig voor een geslaagde retour, maar alleen bij de uiteindelijke geslaagde retour moet u de vlaggen onderzoeken die betrekking hebben op beveiligingsaspecten van de context. Tussenliggende retourneert kan bijvoorbeeld de ISC_RET_ALLOCATED_MEMORY vlag instellen.
De aanroeper is verantwoordelijk voor het bepalen of de uiteindelijke contextkenmerken voldoende zijn. Als bijvoorbeeld vertrouwelijkheid (versleuteling) is aangevraagd, maar niet tot stand kon worden gebracht, kunnen sommige toepassingen ervoor kiezen om de verbinding onmiddellijk af te sluiten. Als de beveiligingscontext niet tot stand kan worden gebracht, moet de server de gedeeltelijk gemaakte context vrij maken door de functie DeleteSecurityContext aan te roepen. Zie DeleteSecurityContextvoor informatie over wanneer u de functie DeleteSecurityContext aanroept.
Nadat de beveiligingscontext tot stand is gebracht, kan de servertoepassing de functie QuerySecurityContextToken gebruiken om een ingang op te halen voor het gebruikersaccount waaraan het clientcertificaat is toegewezen. De server kan ook de functie ImpersonateSecurityContext gebruiken om de gebruiker te imiteren.
Vereisten
| Voorwaarde | Waarde |
|---|---|
| Minimaal ondersteunde client | Windows 8.1 [alleen desktop-apps] |
| Minimaal ondersteunde server | Windows Server 2012 R2 [alleen desktop-apps] |
| Koptekst | Sspi.h (inclusief Security.h) |
| Bibliotheek | Secur32.lib |
| DLL | Secur32.dll |