Kerberos チケット許可コンテキスト変数

以下の表では、Kerberos チケットの許可変数について説明します。
gateway
以下の表では、Kerberos チケットの許可変数について説明します。
変数
説明
${kerberos.data.authorizations}
チケットに格納されている許可データのリストを返します。 次のように、インデックスを使用してアクセスできます:
${kerberos.data.authorizations.0.pac.logoninfo.user.name}
ログオン情報属性
${kerberos.data.authorizations.
<
index
>
.pac.logoninfo.logontime}
ユーザのログオン時刻を、1970 年 1 月 1 日からのミリ秒で返します。
${kerberos.data.authorizations.
<
index
>
.pac.logoninfo.logofftime}
クライアントのログオン セッションが期限切れになる時刻を、1970 年 1 月 1 日からのミリ秒で返します。
${kerberos.data.authorizations.
<
index
>
.pac.logoninfo.kickofftime}
サーバが強制的にクライアントをログオフさせる時刻を、1970 年 1 月 1 日からのミリ秒で返します。 クライアントがログオフを強制されていない場合、この変数は NULL を返します。
${kerberos.data.authorizations.
<
index
>
.pac.logoninfo.pwdlastchangetime}
クライアントのパスワードが最後に設定された時刻を、1970 年 1 月 1 日からのミリ秒で返します。 パスワードが一度も設定されていない場合、この変数は NULL を返します。
${kerberos.data.authorizations.
<
index
>
.pac.logoninfo.pwdcanchangetime}
クライアントのパスワードが変更可能になる時刻を、1970 年 1 月 1 日からのミリ秒で返します。 クライアントのパスワード変更の制限がない場合、この変数はログオン時刻に設定されます。
${kerberos.data.authorizations.
<
index
>
.pac.logoninfo.
pwdmustchangetime}
クライアントのパスワードが期限切れになる時刻を、1970 年 1 月 1 日からのミリ秒で返します。 パスワードが期限切れにならない場合、この変数は NULL を返します。
${kerberos.data.authorizations.
<
index
>
.pac.logoninfo.user.displayname}
クライアントのフレンドリ名が Active Directory で定義されている場合、そのフレンドリ名を返します。 この名前は表示用にのみ使用され、セキュリティ目的では使用されません。
${kerberos.data.authorizations.
<
index
>
.pac.logoninfo.user.name}
SamAccountName プロパティでのクライアントの Windows 2000 UserName が Active Directory で定義されている場合、その値を返します。
${kerberos.data.authorizations
.<i
ndex
>
.pac.logoninfo.logonscript}
クライアントのログオン スクリプトのパスが Active Directory で定義されている場合、そのパスを返します。
${kerberos.data.authorizations.
<
index
>
.pac.logoninfo.profilepath}
クライアントのプロファイルのパスが Active Directory で定義されている場合、そのパスを返します。
${kerberos.data.authorizations.
<i
ndex
>
.pac.logoninfo.homedir}
クライアントのホーム ディレクトリのパスが Active Directory で定義されている場合、そのパスを返します。 これは、ローカル パス名または UNC パス名のいずれかです。
${kerberos.data.authorizations.
<
index
>
.pac.logoninfo.homedrive}
クライアントのホーム ディレクトリが UNC パス名である場合、この変数で指定されているローカル ドライブ文字にマッピングされている、リモート ファイル サーバ上の共有を返します。 それが Active Directory で定義されている場合にのみ、この変数は値を返します。
${kerberos.data.authorizations.
<
index
>
.pac.logoninfo.logoncount}
クライアントが現在までにログオンした回数を返します。
この統計値は、Windows 2000 では正確に保持されていないため、信頼できない可能性があります。
${kerberos.data.authorizations.
<i
ndex
>
.pac.logoninfo.badpasswordcount}
最後の正常な試行以降の、不正なパスワードによるログオンまたはパスワード変更の試行回数を返します。
${kerberos.data.authorizations.
<
index
>
.pac.logoninfo.userid}
クライアントの相対 ID を返します。
${kerberos.data.authorizations
.<
index
>
.pac.logoninfo.groupid}
このクライアントのプライマリ グループの相対 ID を返します。
${kerberos.data.authorizations.
<
index
>
.pac.logoninfo.groupcount}
このクライアントがメンバであるクライアントのドメイン内のグループの数を返します。
${kerberos.data.authorizations
.<
index
>.
pac.logoninfo.groupids}
このクライアントがメンバであるクライアントのドメイン内の、グループの相対 ID および属性の配列を返します。
${kerberos.data.authorizations.
<
index
>
.pac.logoninfo.user.flags}
この構造体のどのフィールドが有効であるかの情報を返します。 設定される可能性がある 2 つのビットを以下に示します。 これらのフラグが設定されていると、KERB_VALIDATION_INFO 構造体に対応するフィールドが存在し、かつ有効であることを表しています。
define LOGON_EXTRA_SIDS 0x0020
define LOGON_RESOURCE_GROUPS 0x0200
${kerberos.data.authorizations.
<
index
>
.pac.logoninfo.servername}
AS チケット リクエストを実行した KDC の NETBIOS 名を返します。
${kerberos.data.authorizations
.<index>
.pac.logoninfo.domain}
クライアントのドメインの NETBIOS 名を返します。
${kerberos.data.authorizations.
<
index
>
.pac.logoninfo.user.accountcontrol}
クライアントのアカウントに関する情報のビット フィールドを返します。 この値は、以下の値の任意の組み合わせです。
USER_ACCOUNT_DISABLED (0x00000001)
USER_HOME_DIRECTORY_REQUIRED (0x00000002)
USER_PASSWORD_NOT_REQUIRED (0x00000004)
USER_TEMP_DUPLICATE_ACCOUNT (0x00000008)
USER_NORMAL_ACCOUNT (0x00000010)
USER_MNS_LOGON_ACCOUNT (0x00000020)
USER_INTERDOMAIN_TRUST_ACCOUNT (0x00000040)
USER_WORKSTATION_TRUST_ACCOUNT (0x00000080)
USER_SERVER_TRUST_ACCOUNT (0x00000100)
USER_DONT_EXPIRE_PASSWORD (0x00000200)
USER_ACCOUNT_AUTO_LOCKED (0x00000400)
USER_ENCRYPTED_TEXT_PASSWORD_ALLOWED (0x00000800)
USER_SMARTCARD_REQUIRED (0x00001000)
USER_TRUSTED_FOR_DELEGATION (0x00002000)
USER_NOT_DELEGATED (0x00004000)
USER_USE_DES_KEY_ONLY (0x00008000)
USER_DONT_REQUIRE_PREAUTH (0x00010000)
${kerberos.data.authorizations.
<
index
>
.pac.logoninfo.extrasids}
このユーザがメンバであるグループの SID のリストを返します。 Active Directory で UserFlags フィールドに LOGON_EXTRA_SIDS フラグが設定されている場合にのみ、この変数は値を返します。
${kerberos.data.authorizations.
<
index
>
.pac.logoninfo.resourcesids}
このリソースがメンバであるリソース ドメイン内のグループの相対 ID および属性の配列を返します。
シグネチャ属性
${kerberos.data.authorizations.
<
index
>
.pac.kdc.signature.checksum}
チェックサム データが含まれるバイトの配列を返します。 この値は Base64 形式でエンコードされています。
${kerberos.data.authorizations.
<
index
>
.pac.kdc.signature.type}
シグネチャの作成に使用されるチェックサムのタイプを返します。 このチェックサムは、キー付きのチェックサムになります。
${kerberos.data.authorizations.<
index
>
.pac.server.signature.checksum}
チェックサム データが含まれるバイトの配列を返します。 この値は Base64 形式でエンコードされています。
関連する属性
${kerberos.data.authorizations.
<
index
>
.relevant.<pac authorizations>}
許可が含まれている関連部分を、logoninfo またはシグネチャも含まれている可能性がある PAC 許可データの形式で返します。 以下に例を示します。
{kerberos.data.authorizations.1.relevant.
authorizations.0.pac.logoninfo.user.name}
- PAC logoninfo のユーザ名属性が含まれています