Revert "Update the scp command to work by default."
[openafs-wiki.git] / admin / ActiveDirectory.mdwn
1 As of Windows NT version 5.0, normally known by the name Windows 2000, the domain controller (aka [[ActiveDirectory]]) uses [[KerberosV]] for authentication.
2
3 The resulting TGT tickets use a proprietary authorization data format. There was a big flamefest on this issue, though [[KerberosDCE]] also uses the V5 ticket's authorization data field to store group membership data, the details of Microsoft's format was murky. It is now documented by a paper which essentially requires you to agree to never use the information if you read it, making it similarly useless.
4
5 Nathan Neulinger has used Windows 2000 to provide authentication for AFS. See his [message](http://lists.openafs.org/pipermail/openafs-info/2002-January/002893.html) to [[OpenAFSInfo]] for details.
6
7 Douglas Engert posted some [details](http://lists.openafs.org/pipermail/openafs-info/2002-March/003836.html) on doing this including a pointer to gsiklog which uses GSSAPI to get an K4/AFS token.
8
9 More from Douglas in the same [thread](http://lists.openafs.org/pipermail/openafs-info/2002-March/003904.html).
10
11 > > _I suppose this means krb524d must share knowledge of the key used to encrypt the K5 token. How, in practice, does one share such a key with active directory?_
12 >
13 > You get a key from the [[W2K]] much like you get a key for a host. Its just for afs/cell@REALM. The MS documents talk about how to do thisfor a host. The process of adding the afs/cell@realm can output a keytab file, or it can print the key on the screen.
14 >
15 > You can then use the MIT ktutil addent -key to add this to a keytab file.
16
17 -- Ted Anderson - 23 Jan 2002<br /> -- Derrick Brashear - 24 Jan 2002 added the information about the paper.<br /> -- Ted Anderson - 18,22 Mar 2002 added Engert pointer.<br />
18
19 ----
20
21 See [[KerberosV]], [[KerberosDCE]], [[WindowsRoamingProfiles]].