Požadavky na kontext
Kontextové požadavky jsou vyjádřeny jako kombinace bitových příznaků předanýchInitializeSecurityContext (Obecné) nebo AcceptSecurityContext (Obecné) funkce. Tyto příznaky ovlivňují kontext mnoha způsoby. Ne všechny příznaky platí pro všechny kontexty. Některé jsou platné pouze pro server, jiné pouze pro klienta.
Volající používá parametr fContextReqInitializeSecurityContext (Obecné) nebo AcceptSecurityContext (Obecné) k určení sady příznaků, které označují požadované možnosti. Když funkce vrátí, pfContextAttr parametr indikuje atributy vytvořeného kontextu. Volající určuje, zda jsou konečné kontextové atributy přijatelné.
Příznaky požadovanéInitializeSecurityContext (Obecné) mají předponu ISC. Ty, které požaduje nebo vrací AcceptSecurityContext (Obecné) jsou předponou ASC. Příznaky předané do funkce zahrnují REQ, zatímco vrácené příznaky zahrnují RET. Například příznak požadavku pro vzájemné ověřování předaný InitializeSecurityContext (obecné) je ISC_REQ_MUTUAL_AUTH. Server, který žádá o vzájemné ověřování, předává ASC_REQ_MUTUAL_AUTH AcceptSecurityContext (obecné). Pokud se dosáhne vzájemného ověřování, InitializeSecurityContext (Obecné) vrátí ISC_RET_MUTUAL_AUTH a AcceptSecurityContext (Obecné) vrátí ASC_RET_MUTUAL_AUTH. Pokud volající požaduje vzájemné ověřování, ale balíček zabezpečení indikuje, že ho nelze provést, volající se musí rozhodnout, zda má zrušit kontext nebo pokračovat.
Následující tabulka popisuje různé příznaky požadavků kontextu.
| Vlajka | Popis |
|---|---|
| DELEGOVAT |
Server v přenosové aplikaci může vytvořit nové kontexty zabezpečení, které zosobní klienta, které ostatní servery přijmou jako kontexty klienta. Delegát funguje jenom v případě, že je nastavený MUTUAL_AUTH. Funkce DELEGATE je aktuálně podporována pouze protokolem Kerberos. Protokol Kerberos bude dále delegovat pouze na server, který má příznak TRUSTED_FOR_DELEGATION. Nepoužívejte tento příznak pro omezené delegování. |
| MUTUAL_AUTH |
Komunikující strany musí navzájem ověřovat své identity. Bez MUTUAL_AUTH klient ověří svou identitu na serveru. Při MUTUAL_AUTH musí server také ověřit svoji identitu pro klienta. Při použití balíčku zabezpečení Schannel server nastaví konstantu ASC_RET_MUTUAL_AUTH pouze při posledním volání AcceptSecurityContext (Negotiate), po úspěšném dokončení mapování certifikátu. |
| REPLAY_DETECT |
Balíček zabezpečení detekuje přehrání paketů a upozorní volajícího, pokud byl přehrání paketu přehrání. Použití tohoto příznaku znamená všechny podmínky určené příznakem INTEGRITY. |
| SEQUENCE_DETECT |
Kontext musí být povolený k pozdějšímu zjištění doručení paketů mimo objednávku prostřednictvím funkcí podpory zpráv. Použití tohoto příznaku znamená všechny podmínky určené příznakem INTEGRITY. |
| DŮVĚRNOST |
Kontext může chránit data při přenosu pomocí funkcí EncryptMessage (Obecné) aDecryptMessage (Obecné). Příznak DŮVĚRNÉ INFORMACE nefunguje, pokud je vygenerovaný kontext pro účet hosta. |
| USE_SESSION_KEY |
Je nutné vyjednat nový klíč relace . |
| PROMPT_FOR_CREDS |
Pokud je klient interaktivním uživatelem, musí balíček zabezpečení (pokud je to možné) vyzvat uživatele k zadání příslušných přihlašovacích údajů . |
| USE_SUPPLIED_CREDS |
Informace o přihlašovacích údajích specifických pro balíček jsou k dispozici ve vstupní vyrovnávací paměti. Balíček zabezpečení může k ověření připojení použít tyto přihlašovací údaje. |
| SAVE_SUPPLIED_CREDS |
Zadané přihlašovací údaje by se měly ukládat do mezipaměti s dodatečnými přihlašovacími údaji. |
| ALLOCATE_MEMORY |
Balíček zabezpečení musí přidělit paměť. Volající musí nakonec zavolat funkci FreeContextBuffer uvolnit paměť přidělenou balíčkem zabezpečení. |
| USE_DCE_STYLE |
Volající očekává třínožné ověřování transakce. |
| DATAGRAM |
musí být použita sémantika Datagramu. Další informace najdete v tématu kontexty datagramu. |
| PŘIPOJENÍ |
Je nutné použít sémantiku připojení. Další informace naleznete v tématu Connection-Oriented Kontexty. |
| PROUD |
Je nutné použít sémantiku datového proudu. Další informace naleznete v tématu kontexty streamu. |
| EXTENDED_ERROR |
Pokud kontext selže, musí se vygenerovat chybové zprávy pro partnerský vztah. |
| INTEGRITA |
Integritu vyrovnávací paměti je možné ověřit, ale není povolena žádná sekvencování ani detekce odpovědí. |
| NO_INTEGRITY |
Požadavek INTEGRITY se ignoruje. |
| IDENTIFIKOVAT |
Když server zosobní kontext, který má tuto sadu příznaků, získá tato zosobnění extrémně omezený přístup. Zosobnění se sadou IDENTIFY slouží k ověření identity klienta. |