Funzione AcquireCredentialsHandle (Digest)

Articolo
06/13/2023

La funzione AcquireCredentialsHandle (Digest) acquisisce un handle per anteporre le credenziali di un'entità di sicurezza. Questo handle è richiesto dalle funzioni AcceptSecurityContext (Digest) e InitializeSecurityContext (Digest). Possono trattarsi di credenziali preesistenti, stabilite tramite un accesso di sistema non descritto qui oppure il chiamante può fornire credenziali alternative.

Nota

Non si tratta di un "accesso alla rete" e non implica la raccolta di credenziali.

Sintassi

SECURITY_STATUS SEC_Entry AcquireCredentialsHandle(
  _In_  SEC_CHAR       *pszPrincipal,
  _In_  SEC_CHAR       *pszPackage,
  _In_  ULONG          fCredentialUse,
  _In_  PLUID          pvLogonID,
  _In_  PVOID          pAuthData,
  _In_  SEC_GET_KEY_FN pGetKeyFn,
  _In_  PVOID          pvGetKeyArgument,
  _Out_ PCredHandle    phCredential,
  _Out_ PTimeStamp     ptsExpiry
);

Parametri

pszPrincipal [in]

Puntatore a una stringa con terminazione Null che specifica il nome dell'entità di cui farà riferimento l'handle.

Quando si usa il provider di servizi condivisi digest, questo parametro è facoltativo.

Nota

Se il processo che richiede l'handle non ha accesso alle credenziali, la funzione restituisce un errore. Una stringa Null indica che il processo richiede un handle per le credenziali dell'utente con il contesto di sicurezza in cui è in esecuzione.

pszPackage [in]

Puntatore a una stringa con terminazione Null che specifica il nome del pacchetto di sicurezza con cui verranno usate queste credenziali. Si tratta di un nome del pacchetto di sicurezza restituito nel membro Name di una struttura SecPkgInfo restituita dalla funzione EnumerateSecurityPackages . Dopo aver stabilito un contesto, QueryContextAttributes (Digest) può essere chiamato con ulAttribute impostato su SECPKG_ATTR_PACKAGE_INFO per restituire informazioni sul pacchetto di sicurezza in uso.

Quando si usa il provider di servizi condivisi digest, impostare questo parametro su WDIGEST_SP_NAME.

fCredentialUse [in]

Flag che indica come verranno usate queste credenziali. Questo parametro può avere uno dei valori seguenti.

Valore	Significato
SECPKG_CRED_INBOUND	Convalidare le credenziali del server in ingresso. È possibile convalidare le credenziali in ingresso usando un'autorità di autenticazione quando viene chiamato InitializeSecurityContext (Digest) o AcceptSecurityContext (Digest). Se tale autorità non è disponibile, la funzione avrà esito negativo e restituirà SEC_E_NO_AUTHENTICATING_AUTHORITY. La convalida è specifica del pacchetto.
SECPKG_CRED_OUTBOUND	Consentire a una credenziale client locale di preparare un token in uscita.

Valore

Significato

SECPKG_CRED_INBOUND

Convalidare le credenziali del server in ingresso. È possibile convalidare le credenziali in ingresso usando un'autorità di autenticazione quando viene chiamato InitializeSecurityContext (Digest) o AcceptSecurityContext (Digest). Se tale autorità non è disponibile, la funzione avrà esito negativo e restituirà SEC_E_NO_AUTHENTICATING_AUTHORITY. La convalida è specifica del pacchetto.

SECPKG_CRED_OUTBOUND

Consentire a una credenziale client locale di preparare un token in uscita.

pvLogonID [in]

Puntatore a un identificatore univoco locale (LUID) che identifica l'utente. Questo parametro viene fornito per i processi del file system, ad esempio i reindirizzamenti di rete. Questo parametro può essere NULL.

pAuthData [in]

Puntatore a dati specifici del pacchetto. Questo parametro può essere NULL, che indica che è necessario usare le credenziali predefinite per il pacchetto di sicurezza . Per usare le credenziali fornite, passare una struttura SEC_WINNT_AUTH_IDENTITY che include tali credenziali in questo parametro. Il tempo di esecuzione RPC passa qualsiasi elemento fornito in RpcBindingSetAuthInfo.

Quando si usa il provider di servizi condivisi digest, questo parametro è un puntatore a una struttura SEC_WINNT_AUTH_IDENTITY contenente le informazioni di autenticazione da usare per individuare le credenziali.

pGetKeyFn [in]

Questo parametro non viene usato e deve essere impostato su NULL.

pvGetKeyArgument [in]

Questo parametro non viene usato e deve essere impostato su NULL.

phCredential [out]

Puntatore a una struttura CredHandle per ricevere l'handle delle credenziali.

ptsExpiry [out]

Puntatore a una struttura TimeStamp che riceve il momento in cui le credenziali restituite scadono. Il valore restituito in questa struttura TimeStamp dipende dalla delega vincolata. Il pacchetto di sicurezza deve restituire questo valore nell'ora locale.

Questo parametro è impostato su un tempo massimo costante. Non è prevista alcuna scadenza per il contesto di sicurezzadel digest o le credenziali o quando si usa il provider di servizi condivisi del digest.

Valore restituito

Se la funzione ha esito positivo, la funzione restituisce SEC_E_OK.

Se la funzione ha esito negativo, restituisce uno dei codici di errore seguenti.

Codice restituito	Descrizione
SEC_E_INSUFFICIENT_MEMORY	Memoria insufficiente per completare l'azione richiesta.
SEC_E_INTERNAL_ERROR	Si è verificato un errore che non è stato mappato a un codice di errore SSPI.
SEC_E_NO_CREDENTIALS	Nessuna credenziale è disponibile nella delega vincolata.
SEC_E_NOT_OWNER	Il chiamante della funzione non dispone delle credenziali necessarie.
SEC_E_SECPKG_NOT_FOUND	Il pacchetto di sicurezza richiesto non esiste.
SEC_E_UNKNOWN_CREDENTIALS	Le credenziali fornite al pacchetto non sono state riconosciute.

Commenti

La funzione AcquireCredentialsHandle (Digest) restituisce un handle alle credenziali di un'entità, ad esempio un utente o un client, come usato da una delega vincolata specifica. Può trattarsi dell'handle di credenziali preesistenti oppure la funzione può creare un nuovo set di credenziali e restituirlo. Questo handle può essere usato nelle chiamate successive alle funzioni AcceptSecurityContext (Digest) e InitializeSecurityContext (Digest).

In generale , AcquireCredentialsHandle (Digest) non consente a un processo di ottenere un handle per le credenziali di altri utenti connessi allo stesso computer. Tuttavia, un chiamante con privilegi SE_TCB_NAME ha la possibilità di specificare l'identificatore di accesso (LUID) di qualsiasi token di sessione di accesso esistente per ottenere un handle per le credenziali di tale sessione. In genere, questo viene usato dai moduli in modalità kernel che devono agire per conto di un utente connesso.

Un pacchetto potrebbe chiamare la funzione in pGetKeyFn fornita dal trasporto rpc in fase di esecuzione. Se il trasporto non supporta la nozione di callback per recuperare le credenziali, questo parametro deve essere NULL.

Per i chiamanti in modalità kernel, è necessario notare le differenze seguenti:

I due parametri stringa devono essere stringhe Unicode .
I valori del buffer devono essere allocati nella memoria virtuale del processo, non dal pool.

Al termine dell'uso delle credenziali restituite, liberare la memoria usata dalle credenziali chiamando la funzione FreeCredentialsHandle .

Requisiti

Requisito	Valore
Client minimo supportato	Windows XP [solo app desktop]
Server minimo supportato	Windows Server 2003 [solo app desktop]
Intestazione	Sspi.h (include Security.h)
Libreria	Secur32.lib
DLL	Secur32.dll
Nomi Unicode e ANSI	AcquireCredentialsHandleW (Unicode) e AcquireCredentialsHandleA (ANSI)

Vedi anche

Funzioni SSPI
AcceptSecurityContext (digest)
InitializeSecurityContext (digest)
FreeCredentialsHandle

Condividi tramite