Generieren der Digest-Herausforderung

  • Artikel

Die Microsoft-Digest-Herausforderung wird vom anfänglichen Aufruf des Servers an die Funktion AcceptSecurityContext (Digest) generiert. Dieser Funktionsaufruf generiert eine Nonce, bei der es sich um einen eindeutigen Wert mit Informationen handelt, mit denen Sicherheitsverletzungen erkannt werden können. Dieser Aufruf generiert auch einen teilweisen Sicherheitskontext, der zum Verwalten von Statusinformationen verwendet wird. Beim Aufrufen von AcceptSecurityContext (Digest) geben Sie Flags für Kontextanforderungen an, um das Verhalten von Microsoft Digest zu steuern und die Qualität des Schutzes festzulegen. Weitere Informationen finden Sie unter Digest-Herausforderung – Kontextanforderungen.

Die Ausgabe des anfänglichen Aufrufs der AcceptSecurityContext (Digest) Funktion ist ein Sicherheitspuffer, der ein Token enthält, welches mit der Antwort HTTP 401 (Zugriff verweigert) an den Client gesendet wird.

Hinweis

Aufrufe an AcceptSecurityContext (Digest), die keine Informationen in den Eingabepuffern enthalten, geben eine Digest-Herausforderung zurück.

 

Digest-Herausforderung – Kontextanforderungen

Kontextanforderungen sind Flags, die Folgendes bestimmen:

  • Ob Microsoft Digest als SASL-Mechanismus oder HTTP-Authentifizierungsprotokoll fungiert.
  • Die Qualität des Schutzes, den der gemeinsame Sicherheitskontext von Client und Server bietet.

Standardmäßig funktioniert Microsoft Digest als SASL-Mechanismus. Um sie für die HTTP-Authentifizierung zu verwenden, muss die Flag ASC_REQ_HTTP (0x10000000) vom Server festgelegt werden.

Kontextanforderungen werden als Flags angegeben, die an den fContextReq-Parameter der AcceptSecurityContext (Digest)-Funktion übergeben werden. Flags wirken sich auf die Qualität des Schutzes des Sicherheitskontexts aus, indem sie die qop-Direktive in der Herausforderung steuern.

Standardmäßig ist die qop-Anweisung auf „auth“ festgelegt. Um eine Herausforderung zu generieren, die die qop-Anweisung auf „auth-int“ festlegt, muss der Server eine oder mehrere der folgenden Flags angeben:

  • ASC_REQ_INTEGRITY
  • ASC_REQ_REPLAY_DETECT
  • ASC_REQ_SEQUENCE_DETECT

Nur für SASL: Generieren Sie eine Herausforderungsantwort mit der qop-Anweisung, die auf „auth-conf“ gesetzt ist, indem Sie die Kontextanforderungsflag ASC_REQ_CONFIDENTIALITY angeben. Da diese Flag für die HTTP-Authentifizierung nicht gültig ist, kann sie nicht mit der ASC_REQ_HTTP-Flag verwendet werden.

Weitere Informationen zur qop-Anweisung finden Sie unter Schutzqualität und Chiffren.

Weitere Informationen zu Herausforderungen finden Sie unter Inhalte einer Digest-Herausforderung.