Compartilhar via


estrutura KERB_TICKET_LOGON (ntsecapi.h)

A estrutura KERB_TICKET_LOGON contém informações de perfil para um logon de rede.

Ele é usado pela função LsaLogonUser .

Sintaxe

typedef struct _KERB_TICKET_LOGON {
  KERB_LOGON_SUBMIT_TYPE MessageType;
  ULONG                  Flags;
  ULONG                  ServiceTicketLength;
  ULONG                  TicketGrantingTicketLength;
  PUCHAR                 ServiceTicket;
  PUCHAR                 TicketGrantingTicket;
} KERB_TICKET_LOGON, *PKERB_TICKET_LOGON;

Membros

MessageType

KERB_LOGON_SUBMIT_TYPE valor que identifica o tipo de solicitação de logon que está sendo feita. Esse membro deve ser definido como KerbTicketLogon.

Flags

ULONG que pode ser definido como KERB_LOGON_FLAG_ALLOW_EXPIRED_TICKET para permitir que uma estação de trabalho bloqueada faça logon novamente com tíquete expirado. Outros valores são ignorados.

ServiceTicketLength

Indica o comprimento do buffer ServiceTicket .

TicketGrantingTicketLength

Indica o comprimento do buffer TicketGrantingTicket . Deve ser definido como zero para um buffer vazio.

ServiceTicket

Tíquete necessário para o "host" do serviço ou o SPN (nome da entidade de serviço ) da conta de computador na forma de um tíquete Kerberos codificado em ASN.1 . Os tíquetes expirados serão aceitáveis se o membro Flags estiver definido como KERB_LOGON_FLAG_ALLOW_EXPIRED_TICKET.

TicketGrantingTicket

Buffer opcional que contém uma mensagem de KRB_CRED codificada em ASN.1 que contém o tíquete de concessão de tíquete Kerberos do usuário (KRBTGT) a ser usado para inicializar o cache de credenciais. O tíquete deve ter o sinalizador "encaminhado" definido nas opções de tíquete. A mensagem KRB_CRED é definida na Seção 5.8 da Internet RFC 4120. Para obter mais informações, consulte http://www.ietf.org.

Comentários

O tíquete de serviço deve ser para o SPN do host do computador. Se o tíquete incluir um PAC (Certificado de Atributo com Privilégios do Windows), ele será usado para construir o token de logon do usuário. Caso contrário, um token anônimo será criado usando o nome da entidade de segurança do cliente no tíquete.

Se um TGT (tíquete de concessão de tíquete) for fornecido como uma mensagem de KRB_CRED, ele será colocado no cache de credenciais de sessão de logon . Se o TGT for omitido, o logon será somente para o computador local.

Requisitos

Requisito Valor
Cliente mínimo com suporte Windows XP [somente aplicativos da área de trabalho]
Servidor mínimo com suporte Windows Server 2003 [somente aplicativos da área de trabalho]
Cabeçalho ntsecapi.h