Requisitos de contexto
Los requisitos de contexto se expresan como una combinación de marcas de bits pasadas a la función InitializeSecurityContext (General) o AcceptSecurityContext (General). Estas marcas afectan al contexto de varias maneras. No todas las marcas se aplican a todos los contextos. Algunos solo son válidos para el servidor, otros solo para el cliente.
El llamador usa el parámetro fContextReq de la llamada InitializeSecurityContext (General) o AcceptSecurityContext (General) para especificar un conjunto de marcas que indican las funcionalidades necesarias. Cuando la función devuelve, el parámetro pfContextAttr indica los atributos del contexto establecido. El autor de la llamada determina si los atributos de contexto finales son aceptables.
Las marcas solicitadas desde o devueltas por InitializeSecurityContext (General) tienen el prefijo ISC. Los solicitados desde o devueltos por AcceptSecurityContext (General) tienen el prefijo ASC. Las marcas pasadas a una función incluyen REQ, mientras que las marcas devueltas incluyen RET. Por ejemplo, se ISC_REQ_MUTUAL_AUTH una marca de solicitud para la autenticación mutua que se pasa a InitializeSecurityContext (General ). Un servidor que solicita autenticación mutua pasa ASC_REQ_MUTUAL_AUTH a AcceptSecurityContext (General). Si se logra la autenticación mutua, InitializeSecurityContext (General) devuelve ISC_RET_MUTUAL_AUTH y AcceptSecurityContext (General) devuelve ASC_RET_MUTUAL_AUTH. Si el autor de la llamada solicita autenticación mutua, pero el paquete de seguridad indica que no se puede realizar, el autor de la llamada debe decidir si cancelar el contexto o continuar.
En la tabla siguiente se describen las distintas marcas de requisitos de contexto.
| Marca | Descripción |
|---|---|
| DELEGADO |
El servidor de la aplicación de transporte puede crear nuevos contextos de seguridad suplantando al cliente que otros servidores aceptarán como contextos del cliente. El delegado solo funciona si se establece MUTUAL_AUTH. DELEGATE solo es compatible actualmente con Kerberos. Además, Kerberos solo delegará en un servidor que tenga la marca TRUSTED_FOR_DELEGATION. No use esta marca para la delegación restringida. |
| MUTUAL_AUTH |
Las partes que se comunican deben autenticar sus identidades entre sí. Sin MUTUAL_AUTH, el cliente autentica su identidad en el servidor. Con MUTUAL_AUTH, el servidor también debe autenticar su identidad en el cliente. Cuando se usa el paquete de seguridad de Schannel , el servidor establece la constante ASC_RET_MUTUAL_AUTH solo en la última llamada a AcceptSecurityContext (Negotiate), una vez completada correctamente la asignación de certificados. |
| REPLAY_DETECT |
El paquete de seguridad detecta paquetes reproducidos y notifica al autor de la llamada si se ha reproducido un paquete. El uso de esta marca implica todas las condiciones especificadas por la marca INTEGRITY. |
| SEQUENCE_DETECT |
El contexto debe permitirse detectar la entrega desordenado de paquetes más adelante a través de las funciones de compatibilidad de mensajes. El uso de esta marca implica todas las condiciones especificadas por la marca INTEGRITY. |
| CONFIDENCIALIDAD |
El contexto puede proteger los datos mientras están en tránsito mediante las funciones EncryptMessage (General) y DecryptMessage (General). La marca CONFIDENCIALIDAD no funciona si el contexto generado es para la cuenta de invitado. |
| USE_SESSION_KEY |
Se debe negociar una nueva clave de sesión . |
| PROMPT_FOR_CREDS |
Si el cliente es un usuario interactivo, el paquete de seguridad debe, si es posible, solicitar al usuario las credenciales adecuadas. |
| USE_SUPPLIED_CREDS |
La información de credenciales específica del paquete está disponible en el búfer de entrada. El paquete de seguridad puede usar estas credenciales para autenticar la conexión. |
| SAVE_SUPPLIED_CREDS |
Las credenciales proporcionadas deben almacenarse en caché con las credenciales complementarias. |
| ALLOCATE_MEMORY |
El paquete de seguridad debe asignar memoria. El autor de la llamada debe llamar finalmente a la función FreeContextBuffer para liberar memoria asignada por el paquete de seguridad. |
| USE_DCE_STYLE |
El autor de la llamada espera una transacción de autenticación de tres patas. |
| DATAGRAMA |
Se debe usar la semántica del datagrama. Para obtener más información, vea Contextos de datagrama. |
| CONNECTION |
Se debe usar la semántica de conexión. Para obtener más información, vea Contextos orientados a conexiones. |
| Stream |
Se debe usar la semántica de secuencia. Para obtener más información, vea Contextos de secuencia. |
| EXTENDED_ERROR |
Los mensajes de respuesta de error para el elemento del mismo nivel deben generarse si se produce un error en el contexto. |
| INTEGRIDAD |
La integridad del búfer se puede comprobar, pero no se habilita la secuenciación ni la detección de respuestas. |
| NO_INTEGRITY |
Se omite el requisito DE INTEGRIDAD . |
| IDENTIFICAR |
Cuando un servidor suplanta un contexto que tiene este conjunto de marcas, esa suplantación produce un acceso extremadamente limitado. La suplantación con el conjunto IDENTIFY se usa para comprobar la identidad del cliente. |
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de