docs-xml/smbdotconf/winbind/rejectmd5servers.xml

   1 <samba:parameter name="reject md5 servers"
   2                  context="G"
   3                  type="boolean"
   4                  xmlns:samba="http://www.samba.org/samba/DTD/samba-doc">
   5 <description>
   6         <para>This option controls whether winbindd requires support
   7         for aes support for the netlogon secure channel.</para>
   8
   9         <para>The following flags will be required NETLOGON_NEG_ARCFOUR,
  10         NETLOGON_NEG_SUPPORTS_AES, NETLOGON_NEG_PASSWORD_SET2 and NETLOGON_NEG_AUTHENTICATED_RPC.</para>
  11
  12         <para>You can set this to yes if all domain controllers support aes.
  13         This will prevent downgrade attacks.</para>
  14
  15         <para>The behavior can be controlled per netbios domain
  16         by using 'reject md5 servers:NETBIOSDOMAIN = no' as option.</para>
  17
  18         <para>The default changed from 'no' to 'yes, with the patches for CVE-2022-38023,
  19         see https://bugzilla.samba.org/show_bug.cgi?id=15240</para>
  20
  21         <para>This option overrides the <smbconfoption name="require strong key"/> option.</para>
  22 </description>
  23
  24 <value type="default">yes</value>
  25 </samba:parameter>