Compartir a través de


Ejemplo: Uso de la codificación de autenticación SSPI con BITS

Puede usar métodos de autenticación de interfaz de proveedor de soporte técnico de seguridad (SSPI) y servicio de transferencia inteligente en segundo plano (BITS) para obtener las credenciales de un usuario, codificar las credenciales y establecer las credenciales codificadas en un trabajo de transferencia de BITS. La codificación es necesaria para convertir la estructura de credenciales en cadenas que se pueden pasar a un trabajo de transferencia de BITS.

Para obtener más información sobre la autenticación y los métodos de SSPI, consulte SSPI.

El siguiente procedimiento solicita las credenciales del usuario mediante el paquete de seguridad Negotiate. El programa crea una estructura de identidad de autenticación y rellena la estructura con las cadenas codificadas que representan el nombre de usuario, el dominio y la contraseña del usuario. A continuación, el programa crea un trabajo de descarga de BITS y establece el nombre de usuario y la contraseña codificados como las credenciales del trabajo. El programa libera la estructura de identidad de autenticación después de que ya no se necesite.

En este ejemplo se usa el encabezado y la implementación definidos en Ejemplo: Clases comunes.

Para usar la codificación de autenticación SSPI con trabajos de transferencia de BITS

  1. Inicialice los parámetros COM mediante una llamada a la función CCoInitializer. Para obtener más información sobre la función CCoInitializer, vea Ejemplo: Clases comunes.
  2. Obtenga punteros para las interfaces IBackgroundCopyManager, IBackgroundCopyJob y IBackgroundCopyJob2 . En este ejemplo se usa la clase CComPtr para administrar punteros de interfaz COM.
  3. Cree una estructura de CREDUI_INFO que contenga información para personalizar la apariencia del cuadro de diálogo para la función SspiPromptForCredentials. A continuación, solicite las credenciales del usuario. Para obtener más información, consulte la función SspiPromptForCredentials.
  4. Codifique la estructura de credenciales como cadenas que se pueden pasar a un trabajo de transferencia de BITS mediante la función SspiEncodeAuthIdentityAsStrings .
  5. Prepare una estructura de BG_AUTH_CREDENTIALS .
  6. Inicialice la seguridad del proceso COM mediante una llamada a CoInitializeSecurity. BITS requiere al menos el nivel IMPERSONATE de suplantación. BITS produce un error E_ACCESSDENIED si no se establece el nivel de suplantación correcto.
  7. Obtenga el localizador inicial a BITS mediante una llamada a la función CoCreateInstance .
  8. Cree un trabajo de transferencia de BITS llamando al método IBackgroundCopyManager::CreateJob .
  9. Obtenga el identificador de la interfaz IBackgroundCopyJob2 y llame al método IBackgroundCopyJob::QueryInterface .
  10. Rellene la estructura de BG_AUTH_CREDENTIALS con las cadenas de nombre de usuario y contraseña codificadas y establezca el esquema de autenticación en Negotiate (BG_AUTH_SCHEME_NEGOTIATE).
  11. Use el puntero IBackgroundCopyJob2 para realizar solicitudes a BITS. Este programa usa el método IBackgroundCopyJob2::SetCredentials para establecer las credenciales del trabajo de transferencia de BITS.
  12. Agregar archivos, modificar propiedades o reanudar el trabajo de transferencia de BITS.
  13. Una vez completado el trabajo de transferencia de BITS, quite el trabajo de la cola llamando a IBackgroundCopyJob::Complete.
  14. Por último, libere la estructura de identidad de autenticación mediante una llamada a la función SspiFreeAuthIdentity .

En el ejemplo de código siguiente se muestra cómo usar la codificación de autenticación SSPI con trabajos de transferencia de BITS.

#define SECURITY_WIN32
#define _SEC_WINNT_AUTH_TYPES

#include <windows.h>
#include <ntsecapi.h>
#include <bits.h>
#include <sspi.h>
#include <wincred.h>
#include <iostream>
#include <atlbase.h>
#include "CommonCode.h"

void PromptForCredentials(PWSTR pwTargetName)
{
    HRESULT hr;
    
    // If CoInitializeEx fails, the exception is unhandled and the program terminates
    CCoInitializer coInitializer(COINIT_APARTMENTTHREADED);
    
    CComPtr<IBackgroundCopyManager> pQueueMgr;
    CComPtr<IBackgroundCopyJob> pJob;
    CComPtr<IBackgroundCopyJob2> pJob2;

    PSEC_WINNT_AUTH_IDENTITY_OPAQUE pAuthIdentityEx2 = NULL;
    DWORD dwFlags = 0;
    BOOL fSave = FALSE;
    BOOL bReturn = TRUE;

    CREDUI_INFO creduiInfo = { 0 };
    creduiInfo.cbSize = sizeof(creduiInfo);
    // Change the message text and caption to the actual text for your dialog.
    creduiInfo.pszMessageText = pwTargetName;
    creduiInfo.pszCaptionText = L"SSPIPFC title for the dialog box";

    try {
        // Prompt for credentials from user using Negotiate security package.
        DWORD dwRet = SspiPromptForCredentials(
            pwTargetName,
            &creduiInfo,
            0,
            L"Negotiate", 
            NULL,
            &pAuthIdentityEx2,
            &fSave,
            dwFlags
            );

        if (SEC_E_OK != dwRet) 
        {
            // Prompt for credentials failed.
            throw MyException(dwRet, L"SspiPromptForCredentials");
        }

        if (NULL != pAuthIdentityEx2) 
        {
            GUID guidJob;
            BG_AUTH_CREDENTIALS authCreds;

            PCWSTR pwUserName = NULL;
            PCWSTR pwDomainName = NULL;
            PCWSTR pwPassword = NULL;

            // Encode credential structure as strings that can
            // be passed to a BITS job.
            SECURITY_STATUS secStatus = SspiEncodeAuthIdentityAsStrings(
                pAuthIdentityEx2,
                &pwUserName,
                &pwDomainName,
                &pwPassword
                );

            if(SEC_E_OK != secStatus) 
            {
                // Encode authentication identity as strings.
                throw MyException(secStatus, L"SspiEncodeAuthIdentityAsStrings");   
            }

            // Show the encoded user name and domain name.
            wprintf(
                L"User Name: %s\nDomain Name: %s",
                pwUserName,
                pwDomainName
                );

            //The impersonation level must be at least RPC_C_IMP_LEVEL_IMPERSONATE.
            HRESULT hr = CoInitializeSecurity(
                NULL,
                -1,
                NULL,
                NULL,
                RPC_C_AUTHN_LEVEL_CONNECT,
                RPC_C_IMP_LEVEL_IMPERSONATE,
                NULL,
                EOAC_DYNAMIC_CLOAKING,
                0
                );
            
            if (FAILED(hr))
            {
                throw MyException(hr, L"CoInitializeSecurity");
            }

            // Connect to BITS.
            hr = CoCreateInstance(__uuidof(BackgroundCopyManager), NULL,
                CLSCTX_LOCAL_SERVER,
                __uuidof(IBackgroundCopyManager),
                (void**) &pQueueMgr);

            if (FAILED(hr))
            {
                // Failed to connect.
                throw MyException(hr, L"CoCreateInstance");
            }

            // Create a job.
            hr = pQueueMgr->CreateJob(
                L"EncodeSample", 
                BG_JOB_TYPE_DOWNLOAD, 
                &guidJob, 
                &pJob
                );

            if(FAILED(hr))
            {   
                // Failed to create a BITS job.
                throw MyException(hr, L"CreateJob");
            }

            // Get IBackgroundCopyJob2 interface.
            hr = pJob->QueryInterface(__uuidof(IBackgroundCopyJob2), (void**)&pJob2);
            if (FAILED(hr)) 
            {
                // Failed to get a reference to the IBackgroundCopyJob2 interface.
                throw MyException(hr, L"QueryInterface(IBackgroundCopyJob2)");
            }

            // Create a BITS authentication structure from the encoded strings.
            authCreds.Target = BG_AUTH_TARGET_SERVER;
            authCreds.Scheme = BG_AUTH_SCHEME_NEGOTIATE;
            authCreds.Credentials.Basic.UserName = (LPWSTR)pwUserName;
            authCreds.Credentials.Basic.Password = (LPWSTR)pwPassword;

            // Set the credentials for the job.
            hr = pJob2->SetCredentials(&authCreds);
            if (FAILED(hr)) 
            {
                // Failed to set credentials.
                throw MyException(hr, L"SetCredentials");
            }

            // Modify the job's property values.
            // Add files to the job.
            // Activate (resume) the job in the transfer queue.

            // Remove the job from the transfer queue.
            hr = pJob->Complete();
            if (FAILED(hr)) 
            {
                // Failed to complete the job.
                throw MyException(hr, L"Complete");
            }
        }
    }
    catch(std::bad_alloc &)
    {
        wprintf(L"Memory allocation failed");
        if (pJob != NULL)
        {
            pJob->Cancel();
        }
    }
    catch(MyException &ex)
    {
        wprintf(L"Error %x occurred during operation", ex.Error);
        if (pJob != NULL)
        {
            pJob->Cancel();
        }
    }

    // Free the auth identity structure.
    if (NULL != pAuthIdentityEx2)
    {
        SspiFreeAuthIdentity(pAuthIdentityEx2);
        pAuthIdentityEx2 = NULL;
    }

    return;
}

void _cdecl _tmain(int argc, LPWSTR* argv)
{
    PromptForCredentials(L"Target");
}

SSPI

IBackgroundCopyManager

IBackgroundCopyJob

IBackgroundCopyJob2

Ejemplo: Clases comunes