docs-xml/smbdotconf/winbind/requirestrongkey.xml

   1 <samba:parameter name="require strong key"
   2                  context="G"
   3                  type="boolean"
   4                  advanced="1"
   5                  xmlns:samba="http://www.samba.org/samba/DTD/samba-doc">
   6 <description>
   7         <para>This option controls whether winbindd requires support
   8         for md5 strong key support for the netlogon secure channel.</para>
   9
  10         <para>The following flags will be required NETLOGON_NEG_STRONG_KEYS,
  11         NETLOGON_NEG_ARCFOUR and NETLOGON_NEG_AUTHENTICATED_RPC.</para>
  12
  13         <para>You can set this to no if some domain controllers only support des.
  14         This might allows weak crypto to be negotiated, may via downgrade attacks.</para>
  15
  16         <para>The behavior can be controlled per netbios domain
  17         by using 'require strong key:NETBIOSDOMAIN = no' as option.</para>
  18
  19         <para>Note for active directory domain this option is hardcoded to 'yes'</para>
  20
  21         <para>This option yields precedence to the <smbconfoption name="reject md5 servers"/> option.</para>
  22
  23         <para>This option takes precedence to the <smbconfoption name="client schannel"/> option.</para>
  24 </description>
  25
  26 <value type="default">yes</value>
  27 </samba:parameter>