AcceptSecurityContext(NTLM) 함수
AcceptSecurityContext(NTLM) 함수를 사용하면 전송 애플리케이션의 서버 구성 요소가 서버와 원격 클라이언트 간에 보안 컨텍스트를 설정할 수 있습니다. 원격 클라이언트는 NTLM(InitializeSecurityContext) 함수를 사용하여 보안 컨텍스트를 설정하는 프로세스를 시작합니다. 서버는 보안 컨텍스트 설정을 완료하기 위해 원격 클라이언트에서 하나 이상의 회신 토큰을 요구할 수 있습니다.
구문
SECURITY_STATUS SEC_Entry AcceptSecurityContext(
_In_opt_ PCredHandle phCredential,
_Inout_opt_ PCtxtHandle phContext,
_In_opt_ PSecBufferDesc pInput,
_In_ ULONG fContextReq,
_In_ ULONG TargetDataRep,
_Inout_opt_ PCtxtHandle phNewContext,
_Inout_opt_ PSecBufferDesc pOutput,
_Out_ PULONG pfContextAttr,
_Out_opt_ PTimeStamp ptsTimeStamp
);
매개 변수
phCredential[in, optional]
서버의 자격 증명에 대한 핸들입니다. 서버는 SECPKG_CRED_INBOUND 또는 SECPKG_CRED_BOTH 플래그가 설정된 NTLM(AcquireCredentialsHandle) 함수를 호출하여 이 핸들을 검색합니다.
phContext[in, out, optional]
CtxtHandle 구조체에 대한 포인터입니다.
AcceptSecurityContext(NTLM)에 대한 첫 번째 호출에서 이 포인터는 입니다NULL. 후속 호출에서 phContext 는 첫 번째 호출에 의해 phNewContext 매개 변수에 반환된 부분적으로 구성된 컨텍스트에 대한 핸들입니다.
경고
AcceptSecurityContext(NTLM)에 대한 동시 호출에서 동일한 컨텍스트 핸들을 사용하지 마세요. 보안 서비스 공급자의 API 구현은 스레드로부터 안전하지 않습니다.
pInput[in, optional]
입력 버퍼 설명자가 포함된 NTLM(InitializeSecurityContext)에 대한 클라이언트 호출에 의해 생성된 SecBufferDesc 구조체에 대한 포인터입니다.
채널 바인딩 정보는 InitializeSecurityContext(일반) 함수를 호출하여 생성된 버퍼 외에도 SECBUFFER_CHANNEL_BINDINGS 형식의 SecBuffer 구조를 전달하여 지정할 수 있습니다. 채널 바인딩 버퍼에 대한 채널 바인딩 정보는 클라이언트가 인증하는 데 사용한 Schannel 컨텍스트에서 QueryContextAttributes(Schannel) 함수를 호출하여 가져올 수 있습니다.
fContextReq[in]
컨텍스트를 설정하는 데 서버에서 요구하는 특성을 지정하는 비트 플래그입니다. 비트 OR 연산을 사용하여 비트 플래그를 결합할 수 있습니다. 이 매개 변수는 다음 값 중 하나 이상일 수 있습니다.
| 값 | 의미 |
|---|---|
| ASC_REQ_CONFIDENTIALITY | 메시지를 암호화하고 암호를 해독합니다. |
| ASC_REQ_CONNECTION | 보안 컨텍스트는 메시지 서식을 처리하지 않습니다. |
| ASC_REQ_EXTENDED_ERROR | 오류가 발생하면 원격 당사자에게 알림이 표시됩니다. |
| ASC_REQ_INTEGRITY | 메시지에 서명하고 서명을 확인합니다. |
| ASC_REQ_REPLAY_DETECT | 재생된 패킷을 검색합니다. |
| ASC_REQ_SEQUENCE_DETECT | 시퀀스에서 수신된 메시지를 검색합니다. |
가능한 특성 플래그 및 해당 의미는 컨텍스트 요구 사항을 참조하세요. 이 매개 변수에 사용되는 플래그에는 접두사로 ASC_REQ(예: ASC_REQ_DELEGATE)가 있습니다.
요청된 특성은 클라이언트에서 지원되지 않을 수 있습니다. 자세한 내용은 pfContextAttr 매개 변수를 참조하세요.
TargetDataRep[in]
대상의 바이트 순서 지정과 같은 데이터 표현입니다. 이 매개 변수는 SECURITY_NATIVE_DREP 또는 SECURITY_NETWORK_DREP 수 있습니다.
phNewContext[in, out, optional]
CtxtHandle 구조체에 대한 포인터입니다.
AcceptSecurityContext(NTLM)에 대한 첫 번째 호출에서 이 포인터는 새 컨텍스트 핸들을 받습니다. 후속 호출에서 phNewContext 는 phContext 매개 변수에 지정된 핸들과 같을 수 있습니다.
phNewContext는 해서는 안 됩니다 NULL.
pOutput[in, out, optional]
출력 버퍼 설명 자를 포함하는 SecBufferDesc 구조체에 대한 포인터입니다. 이 버퍼는 NTLM(InitializeSecurityContext)에 대한 추가 호출에 대한 입력을 위해 클라이언트로 전송됩니다. 함수가 SEC_E_OK 반환하는 경우에도 출력 버퍼가 생성될 수 있습니다. 생성된 모든 버퍼를 클라이언트 애플리케이션으로 다시 보내야 합니다.
pfContextAttr[out]
설정된 컨텍스트의 특성을 나타내는 비트 플래그 집합을 수신하는 변수에 대한 포인터입니다. 다양한 특성에 대한 설명은 컨텍스트 요구 사항을 참조하세요. 이 매개 변수에 사용되는 플래그에는 ASC_RET 접두사로 지정됩니다(예: ASC_RET_DELEGATE).
최종 함수 호출이 성공적으로 반환될 때까지 보안 관련 특성에 대해 검사 않습니다. 보안과 관련이 없는 특성 플래그(예: ASC_RET_ALLOCATED_MEMORY 플래그)는 최종 반환 전에 확인할 수 있습니다.
ptsTimeStamp[out, optional]
컨텍스트의 만료 시간을 수신하는 TimeStamp 구조체에 대한 포인터입니다. 보안 패키지는 항상 현지 시간에 이 값을 반환하는 것이 좋습니다.
참고
인증 프로세스의 마지막 호출까지는 협상의 이후 단계에서 추가 정보가 제공되므로 컨텍스트의 만료 시간이 올바르지 않을 수 있습니다. 따라서 ptsTimeStamp 는 함수에 대한 마지막 호출까지여야 합니다 NULL .
반환 값
이 함수는 다음 값 중 하나를 반환합니다.
| 반환 코드/값 | 설명 |
|---|---|
| 함수가 실패했습니다. 요청된 작업을 완료하는 데 사용할 수 있는 메모리가 부족합니다. |
| 함수가 실패했습니다. SSPI 오류 코드에 매핑되지 않은 오류가 발생했습니다. |
| 함수가 실패했습니다. 함수에 전달된 핸들이 잘못되었습니다. |
| 함수가 실패했습니다. 함수에 전달된 토큰이 잘못되었습니다. |
| 로그온에 실패했습니다. |
| 함수가 실패했습니다. 인증을 위해 연락할 수 있는 권한은 없습니다. 이는 다음과 같은 조건 때문일 수 있습니다.
|
| 함수가 성공했습니다. [*보안 컨텍스트*](.. 클라이언트로부터 받은 /secgloss/s-gly.md)가 수락되었습니다. 함수에서 출력 토큰을 생성한 경우 클라이언트 프로세스로 보내야 합니다. |
| 함수가 성공했습니다. 서버는 [CompleteAuthToken](/windows/win32/api/sspi/nf-sspi-completeauthtoken)을 호출하고 출력 토큰을 클라이언트에 전달해야 합니다. 그런 다음 서버는 클라이언트에서 반환 토큰을 기다린 다음 [AcceptSecurityContext(NTLM)](acceptsecuritycontext--ntlm.md)를 다시 호출합니다. |
| 함수가 성공했습니다. 서버는 클라이언트에서 메시지 빌드를 완료한 다음 [CompleteAuthToken](/windows/win32/api/sspi/nf-sspi-completeauthtoken) 함수를 호출해야 합니다. |
| 함수가 성공했습니다. 서버는 출력 토큰을 클라이언트에 보내고 반환된 토큰을 기다려야 합니다. 반환된 토큰은 [AcceptSecurityContext(NTLM)](acceptsecuritycontext--ntlm.md)에 대한 다른 호출을 위해 pInput으로 전달되어야 합니다. |
설명
AcceptSecurityContext(NTLM) 함수는 NTLM(InitializeSecurityContext) 함수에 대응하는 서버입니다.
서버가 클라이언트로부터 요청을 받으면 서버는 fContextReq 매개 변수를 사용하여 세션에 필요한 항목을 지정합니다. 이러한 방식으로 서버는 클라이언트가 기밀 또는 무결성 검사 세션을 사용할 수 있어야 하며 해당 요구를 충족할 수 없는 클라이언트를 거부할 수 있도록 지정할 수 있습니다. 또는 서버에 아무 것도 필요하지 않으며 클라이언트가 제공하거나 요구하는 모든 것이 pfContextAttr 매개 변수에 반환됩니다.
상호 인증과 같은 다중 다리 인증을 지원하는 패키지의 경우 호출 시퀀스는 다음과 같습니다.
- 클라이언트는 토큰을 서버로 전송합니다.
- 서버는 처음으로 AcceptSecurityContext(NTLM) 를 호출하여 클라이언트로 전송되는 회신 토큰을 생성합니다.
- 클라이언트는 토큰을 수신하고 NTLM(InitializeSecurityContext)에 전달합니다. NTLM(InitializeSecurityContext)이 SEC_E_OK 반환하는 경우 상호 인증이 완료되고 보안 세션을 시작할 수 있습니다. NTLM(InitializeSecurityContext)이 오류 코드를 반환하면 상호 인증 협상이 종료됩니다. 그렇지 않으면 NTLM(InitializeSecurityContext) 에서 반환된 보안 토큰이 클라이언트로 전송되고 2단계와 3단계가 반복됩니다.
- NTLM(AcceptSecurityContext)에 대한 동시 호출에는 phContext 값을 사용하지 마세요. 보안 공급자의 구현은 스레드로부터 안전하지 않습니다.
fContextReq 및 pfContextAttr 매개 변수는 다양한 컨텍스트 특성을 나타내는 비트 마스크입니다. 다양한 특성에 대한 설명은 컨텍스트 요구 사항을 참조하세요.
참고
pfContextAttr 매개 변수는 성공적인 반환에 유효하지만 컨텍스트의 보안 측면과 관련된 플래그를 검사해야 최종 성공적인 반환에만 유효합니다. 중간 반환은 ISC_RET_ALLOCATED_MEMORY 플래그와 같이 설정할 수 있습니다.
호출자는 최종 컨텍스트 특성이 충분한지 여부를 결정합니다. 예를 들어 기밀성(암호화)이 요청되었지만 설정할 수 없는 경우 일부 애플리케이션은 연결을 즉시 종료하도록 선택할 수 있습니다. 보안 컨텍스트를 설정할 수 없는 경우 서버는 DeleteSecurityContext 함수를 호출하여 부분적으로 만든 컨텍스트를 해제해야 합니다. DeleteSecurityContext 함수를 호출하는 시기에 대한 자세한 내용은 DeleteSecurityContext를 참조하세요.
보안 컨텍스트가 설정된 후 서버 애플리케이션은 QuerySecurityContextToken 함수를 사용하여 클라이언트 인증서가 매핑된 사용자 계정에 대한 핸들을 검색할 수 있습니다. 또한 서버는 ImpersonateSecurityContext 함수를 사용하여 사용자를 가장할 수 있습니다.
요구 사항
| 요구 사항 | 값 |
|---|---|
| 지원되는 최소 클라이언트 | Windows XP [데스크톱 앱만 해당] |
| 지원되는 최소 서버 | Windows Server 2003 [데스크톱 앱만 해당] |
| 헤더 | Sspi.h(Security.h 포함) |
| 라이브러리 | Secur32.lib |
| DLL | Secur32.dll |