estructura KERB_EXTERNAL_TICKET (ntsecapi.h)

  • Artículo

La estructura KERB_EXTERNAL_TICKET contiene información sobre un vale externo.

Un vale externo es un vale kerberos exportado a usuarios externos. El vale kerberos se define en Internet RFC 4120. Para obtener más información, vea http://www.ietf.org. Esta estructura la usa la estructura KERB_RETRIEVE_TKT_RESPONSE .

Sintaxis

typedef struct _KERB_EXTERNAL_TICKET {
  PKERB_EXTERNAL_NAME ServiceName;
  PKERB_EXTERNAL_NAME TargetName;
  PKERB_EXTERNAL_NAME ClientName;
  UNICODE_STRING      DomainName;
  UNICODE_STRING      TargetDomainName;
  UNICODE_STRING      AltTargetDomainName;
  KERB_CRYPTO_KEY     SessionKey;
  ULONG               TicketFlags;
  ULONG               Flags;
  LARGE_INTEGER       KeyExpirationTime;
  LARGE_INTEGER       StartTime;
  LARGE_INTEGER       EndTime;
  LARGE_INTEGER       RenewUntil;
  LARGE_INTEGER       TimeSkew;
  ULONG               EncodedTicketSize;
  PUCHAR              EncodedTicket;
} KERB_EXTERNAL_TICKET, *PKERB_EXTERNAL_TICKET;

Miembros

ServiceName

Estructura de KERB_EXTERNAL_NAME que contiene una parte múltiple, canónica, nombre de servicio devuelto.

TargetName

Estructura KERB_EXTERNAL_NAME que contiene el nombre de entidad de seguridad de servicio (SPN) de varias partes.

ClientName

Estructura KERB_EXTERNAL_NAME que contiene el nombre de cliente en el vale. Este nombre es relativo al dominio actual.

DomainName

Un UNICODE_STRING que contiene el nombre del dominio que corresponde al miembro ServiceName . Este es el dominio que emitió el vale.

TargetDomainName

Un UNICODE_STRING que contiene el nombre del dominio en el que el vale es válido. Para un vale de interdominio, este es el dominio de destino.

AltTargetDomainName

Un UNICODE_STRING que contiene un sinónimo del dominio de destino. Cada dominio tiene dos nombres: un nombre DNS y un nombre NetBIOS. Si el nombre devuelto en el vale es diferente del nombre usado para solicitar el vale (el Centro de distribución de claves Kerberos (KDC) puede realizar la asignación de nombres), esta cadena contiene el nombre original.

SessionKey

Estructura KERB_CRYPTO_KEY que contiene la clave de sesión del vale.

TicketFlags

Marcas de vale, tal como se define en Internet RFC 4120. Este parámetro puede ser uno o más de los siguientes valores.

Valor Significado
KERB_TICKET_FLAGS_forwardable (0x40000000)
 El servidor de concesión de vales puede emitir un nuevo vale de concesión de vales con una dirección de red diferente, en función del vale presentado.
KERB_TICKET_FLAGS_forwarded (0x20000000)
 El vale se ha reenviado o se ha emitido en función de la autenticación que implicaba un vale de concesión de vales reenviado.
KERB_TICKET_FLAGS_hw_authent (0x00100000)
 El protocolo empleado para la autenticación inicial requiere que el cliente con nombre posea únicamente el hardware esperado. El KDC selecciona el método de autenticación de hardware y no se indica la intensidad del método.
KERB_TICKET_FLAGS_initial (0x00400000)
 El vale se emitió mediante el protocolo de servicio de autenticación en lugar de basarse en un vale de concesión de vales.
KERB_TICKET_FLAGS_invalid (0x01000000)
 El vale no es válido.
KERB_TICKET_FLAGS_may_postdate (0x04000000)
 Indica al servidor de concesión de vales que se puede emitir un vale publicado en función de este vale de concesión de vales.
KERB_TICKET_FLAGS_ok_as_delegate (0x00040000)
 El destino del vale es de confianza para el servicio de directorio para la delegación. Por lo tanto, los clientes pueden delegar sus credenciales en el servidor, lo que permite al servidor actuar como cliente cuando se habla con otros servicios.
KERB_TICKET_FLAGS_postdated (0x02000000)
 El vale se ha contabilizado. El servicio final puede comprobar el miembro authtime del vale para determinar cuándo se produjo la autenticación original.
KERB_TICKET_FLAGS_pre_authent (0x00200000)
 Durante la autenticación inicial, el KDC autenticó el cliente antes de que se emitiera un vale. La intensidad del método de autenticación previa no se indica, pero es aceptable para el KDC.
KERB_TICKET_FLAGS_proxiable (0x10000000)
 Indica al servidor de concesión de vales que solo se pueden emitir vales que no conceden vales con diferentes direcciones de red.
KERB_TICKET_FLAGS_proxy (0x08000000)
 El vale es un proxy.
KERB_TICKET_FLAGS_renewable (0x00800000)
 El billete es renovable. Si se establece esta marca, el límite de tiempo para renovar el vale se establece en el miembro RenewTime de una estructura de KERB_TICKET_CACHE_INFO . Se puede usar un vale renovable para obtener un vale de reemplazo que expire en una fecha posterior.
KERB_TICKET_FLAGS_reserved (0x80000000)
 Reservado para uso futuro. No establezca esta marca.
KERB_TICKET_FLAGS_reserved1 (0x00000001)
 Reservado.

Flags

Reservado para uso futuro. Establezca este miembro en cero.

KeyExpirationTime

Estructura FILETIME que contiene la hora en la que expira la clave.

StartTime

Estructura FILETIME que contiene la hora en la que el vale se convierte en válido.

EndTime

Estructura FILETIME que contiene la hora en que expira el vale.

RenewUntil

Estructura FILETIME que contiene la última vez que se puede renovar un vale. Las solicitudes de renovación enviadas después de este tiempo se rechazarán.

TimeSkew

Estructura FILETIME que contiene la diferencia de tiempo medida entre la hora actual en el equipo que emite el vale y el equipo donde se usará el vale.

EncodedTicketSize

Tamaño, en bytes, del vale codificado.

EncodedTicket

Un búfer que contiene el vale codificado con notación de sintaxis abstracta Uno (ASN.1).

Requisitos

Requisito Value
Cliente mínimo compatible Windows XP [solo aplicaciones de escritorio]
Servidor mínimo compatible Windows Server 2003 [solo aplicaciones de escritorio]
Encabezado ntsecapi.h