docs-xml/smbdotconf/security/clientusepsnegoprincipal.xml

   1 <samba:parameter name="client use spnego principal"
   2                  context="G"
   3                  type="boolean"
   4                  xmlns:samba="http://www.samba.org/samba/DTD/samba-doc">
   5 <description>
   6     <para>This parameter determines whether or not
   7     <citerefentry><refentrytitle>smbclient</refentrytitle>
   8     <manvolnum>8</manvolnum></citerefentry> and other samba components
   9     acting as a client will attempt to use the server-supplied
  10     principal sometimes given in the SPNEGO exchange.</para>
  11
  12     <para>If enabled, Samba can attempt to use Kerberos to contact
  13     servers known only by IP address.  Kerberos relies on names, so
  14     ordinarily cannot function in this situation. </para>
  15
  16     <para>This is a VERY BAD IDEA for security reasons, and so this
  17     parameter SHOULD NOT BE USED. It will be removed in a future
  18     version of Samba.</para>
  19
  20     <para>If disabled, Samba will use the name used to look up the
  21     server when asking the KDC for a ticket.  This avoids situations
  22     where a server may impersonate another, soliciting authentication
  23     as one principal while being known on the network as another.
  24     </para>
  25
  26     <para>Note that Windows XP SP2 and later versions already follow
  27     this behaviour, and Windows Vista and later servers no longer
  28     supply this 'rfc4178 hint' principal on the server side.</para>
  29
  30     <para>This parameter is deprecated in Samba 4.2.1 and will be removed
  31     (along with the functionality) in a later release of Samba.</para>
  32 </description>
  33 <value type="default">no</value>
  34 </samba:parameter>