<html>

  <head>

    <meta content="text/html; charset=windows-1252"

      http-equiv="Content-Type">

  </head>

  <body bgcolor="#FFFFFF" text="#000000">

    <div class="moz-cite-prefix">On 21/06/16 10:21, Christopher Davies

      wrote:<br>

    </div>

    <blockquote

cite="mid:CAN9XQgza2Pzaeev8BBruHjOyrq0034Z5AJe4FVH1R=8j+kDN=Q@mail.gmail.com"

      type="cite">

      <div dir="ltr">I am looking to use KeyCloak backed by an AD

        server.

        <div>Can I check a few things that I understand are correct.</div>

        <div><br>

        </div>

        <div>1) Using the  User Federation SPI I import the following

          from ActiveDirectory into the KeyCloak database : first name,

          surname, email, username and password.</div>

      </div>

    </blockquote>

    By default you are importing first name, surname, email and

    username. You can import more attributes by creating additional LDAP

    mappers. But no password imported from MSAD to Keycloak DB<br>

    <blockquote

cite="mid:CAN9XQgza2Pzaeev8BBruHjOyrq0034Z5AJe4FVH1R=8j+kDN=Q@mail.gmail.com"

      type="cite">

      <div dir="ltr">

        <div>2) Password checks are made against the Keycloak database

          and not the <span style="line-height:1.5">ActiveDirectory

            system</span></div>

      </div>

    </blockquote>

    No, password checks are made against ActiveDirectory. Just if you

    have editMode UNSYNCED and you change the password of the user (or

    he change it himself in account management), then the new password

    will be saved into Keycloak DB and will be used in favor of the old

    password from MSAD.<br>

    <blockquote

cite="mid:CAN9XQgza2Pzaeev8BBruHjOyrq0034Z5AJe4FVH1R=8j+kDN=Q@mail.gmail.com"

      type="cite">

      <div dir="ltr">

        <div>3) Enabling kerberos authentication will allow me to do

          paswordless login using my web browser from my windows box</div>

      </div>

    </blockquote>

    Yes. See our Kerberos documentation for more details [1].<br>

    <br>

    [1]

<a class="moz-txt-link-freetext" href="https://keycloak.gitbooks.io/server-adminstration-guide/content/topics/authentication/kerberos.html">https://keycloak.gitbooks.io/server-adminstration-guide/content/topics/authentication/kerberos.html</a><br>

    <br>

    Marek<br>

    <blockquote

cite="mid:CAN9XQgza2Pzaeev8BBruHjOyrq0034Z5AJe4FVH1R=8j+kDN=Q@mail.gmail.com"

      type="cite">

      <div dir="ltr">

        <div><br>

        </div>

        <div>Hope I am not to far from the mark</div>

        <div><br>

        </div>

        <div>Chris</div>

      </div>

      <br>

      <fieldset class="mimeAttachmentHeader"></fieldset>

      <br>

      <pre wrap="">_______________________________________________

keycloak-user mailing list

<a class="moz-txt-link-abbreviated" href="mailto:keycloak-user@lists.jboss.org">keycloak-user@lists.jboss.org</a>

<a class="moz-txt-link-freetext" href="https://lists.jboss.org/mailman/listinfo/keycloak-user">https://lists.jboss.org/mailman/listinfo/keycloak-user</a></pre>

    </blockquote>

    <br>

  </body>

</html>