Partager via

structure KERB_EXTERNAL_TICKET (ntsecapi.h)

  • Article

La structure KERB_EXTERNAL_TICKET contient des informations sur un ticket externe.

Un ticket externe est un ticket Kerberos exporté vers des utilisateurs externes. Le ticket Kerberos est défini dans Internet RFC 4120. Pour plus d’informations, consultez http://www.ietf.org. Cette structure est utilisée par la structure KERB_RETRIEVE_TKT_RESPONSE .

Syntaxe

typedef struct _KERB_EXTERNAL_TICKET {
  PKERB_EXTERNAL_NAME ServiceName;
  PKERB_EXTERNAL_NAME TargetName;
  PKERB_EXTERNAL_NAME ClientName;
  UNICODE_STRING      DomainName;
  UNICODE_STRING      TargetDomainName;
  UNICODE_STRING      AltTargetDomainName;
  KERB_CRYPTO_KEY     SessionKey;
  ULONG               TicketFlags;
  ULONG               Flags;
  LARGE_INTEGER       KeyExpirationTime;
  LARGE_INTEGER       StartTime;
  LARGE_INTEGER       EndTime;
  LARGE_INTEGER       RenewUntil;
  LARGE_INTEGER       TimeSkew;
  ULONG               EncodedTicketSize;
  PUCHAR              EncodedTicket;
} KERB_EXTERNAL_TICKET, *PKERB_EXTERNAL_TICKET;

Membres

ServiceName

Structure KERB_EXTERNAL_NAME qui contient un nom de service retourné en plusieurs parties, canoniques.

TargetName

Structure KERB_EXTERNAL_NAME qui contient le nom de principal de service (SPN) en plusieurs parties.

ClientName

Une structure KERB_EXTERNAL_NAME qui contient le nom du client dans le ticket. Ce nom est relatif au domaine actuel.

DomainName

Une UNICODE_STRING qui contient le nom du domaine qui correspond au membre ServiceName . Il s’agit du domaine qui a émis le ticket.

TargetDomainName

Une UNICODE_STRING qui contient le nom du domaine dans lequel le ticket est valide. Pour un ticket interdomaine, il s’agit du domaine de destination.

AltTargetDomainName

Une UNICODE_STRING qui contient un synonyme pour le domaine de destination. Chaque domaine a deux noms : un nom DNS et un nom NetBIOS. Si le nom retourné dans le ticket est différent du nom utilisé pour demander le ticket (le centre de distribution de clés Kerberos (KDC) peut effectuer le mappage de noms), cette chaîne contient le nom d’origine.

SessionKey

Structure KERB_CRYPTO_KEY qui contient la clé de session du ticket.

TicketFlags

Indicateurs de ticket, tels que définis dans Internet RFC 4120. Ce paramètre peut prendre une ou plusieurs des valeurs suivantes.

Valeur Signification
KERB_TICKET_FLAGS_forwardable (0x40000000)
 Le serveur d’octroi de tickets peut émettre un nouveau ticket d’octroi de ticket avec une autre adresse réseau, en fonction du ticket présenté.
KERB_TICKET_FLAGS_forwarded (0x20000000)
 Le ticket a été transféré ou a été émis en fonction de l’authentification impliquant un ticket d’octroi de ticket transféré.
KERB_TICKET_FLAGS_hw_authent (0x00100000)
 Le protocole utilisé pour l’authentification initiale exigeait l’utilisation du matériel qui devrait être possédé uniquement par le client nommé. La méthode d’authentification matérielle est sélectionnée par le KDC et la force de la méthode n’est pas indiquée.
KERB_TICKET_FLAGS_initial (0x00400000)
 Le ticket a été émis à l’aide du protocole du service d’authentification au lieu d’être basé sur un ticket d’octroi de ticket.
KERB_TICKET_FLAGS_invalid (0x01000000)
 Le ticket n’est pas valide.
KERB_TICKET_FLAGS_may_postdate (0x04000000)
 Indique au serveur d’octroi de ticket qu’un ticket postdé peut être émis en fonction de ce ticket d’octroi de ticket.
KERB_TICKET_FLAGS_ok_as_delegate (0x00040000)
 La cible du ticket est approuvée par le service d’annuaire pour la délégation. Ainsi, les clients peuvent déléguer leurs informations d’identification au serveur, ce qui permet au serveur d’agir en tant que client lors de la conversation avec d’autres services.
KERB_TICKET_FLAGS_postdated (0x02000000)
 Le ticket a été postdé. Le service de fin peut case activée le membre d’authentification du ticket pour déterminer quand l’authentification d’origine s’est produite.
KERB_TICKET_FLAGS_pre_authent (0x00200000)
 Lors de l’authentification initiale, le client a été authentifié par le KDC avant l’émission d’un ticket. La force de la méthode de préauthentification n’est pas indiquée, mais elle est acceptable pour le KDC.
KERB_TICKET_FLAGS_proxiable (0x10000000)
 Indique au serveur d’octroi de tickets que seuls les tickets non liés à l’octroi de billet peuvent être émis avec différentes adresses réseau.
KERB_TICKET_FLAGS_proxy (0x08000000)
 Le ticket est un proxy.
KERB_TICKET_FLAGS_renewable (0x00800000)
 Le ticket est renouvelable. Si cet indicateur est défini, la limite de temps de renouvellement du ticket est définie dans le membre RenewTime d’une structure KERB_TICKET_CACHE_INFO . Un ticket renouvelable peut être utilisé pour obtenir un ticket de remplacement qui expire à une date ultérieure.
KERB_TICKET_FLAGS_reserved (0x80000000)
 Réservé pour un usage futur. Ne définissez pas cet indicateur.
KERB_TICKET_FLAGS_reserved1 (0x00000001)
 Réservé.

Flags

Réservé pour un usage futur. Définissez ce membre sur zéro.

KeyExpirationTime

Structure FILETIME qui contient l’heure à laquelle la clé expire.

StartTime

Structure FILETIME qui contient l’heure à laquelle le ticket devient valide.

EndTime

Structure FILETIME qui contient l’heure à laquelle le ticket expire.

RenewUntil

Structure FILETIME qui contient la dernière heure de renouvellement d’un ticket. Les demandes de renouvellement envoyées après ce délai seront rejetées.

TimeSkew

Structure FILETIME qui contient la différence de temps mesurée entre l’heure actuelle sur l’ordinateur qui émet le ticket et l’ordinateur où le ticket sera utilisé.

EncodedTicketSize

Taille, en octets, du ticket encodé.

EncodedTicket

Mémoire tampon qui contient le ticket encodé ASN.1 ( Abstract Syntax Notation One ).

Configuration requise

Condition requise Valeur
Client minimal pris en charge Windows XP [applications de bureau uniquement]
Serveur minimal pris en charge Windows Server 2003 [applications de bureau uniquement]
En-tête ntsecapi.h