docs-xml/smbdotconf/security/kerberosencryptiontypes.xml

   1 <samba:parameter name="kerberos encryption types"
   2                  context="G"
   3                  type="enum"
   4                  enumlist="enum_kerberos_encryption_types_vals"
   5                  xmlns:samba="http://www.samba.org/samba/DTD/samba-doc">
   6 <description>
   7     <para>This parameter determines the encryption types to use when operating
   8     as a Kerberos client. Possible values are <emphasis>all</emphasis>,
   9     <emphasis>strong</emphasis>, and <emphasis>legacy</emphasis>.
  10     </para>
  11
  12     <para>Samba uses a Kerberos library (MIT or Heimdal) to obtain Kerberos
  13     tickets. This library is normally configured outside of Samba, using
  14     the krb5.conf file. This file may also include directives to configure
  15     the encryption types to be used. However, Samba implements Active Directory
  16     protocols and algorithms to locate a domain controller. In order to
  17     force the Kerberos library into using the correct domain controller,
  18     some Samba processes, such as
  19     <citerefentry><refentrytitle>winbindd</refentrytitle>
  20     <manvolnum>8</manvolnum></citerefentry> and
  21     <citerefentry><refentrytitle>net</refentrytitle>
  22     <manvolnum>8</manvolnum></citerefentry>, build a private krb5.conf
  23     file for use by the Kerberos library while being invoked from Samba.
  24     This private file controls all aspects of the Kerberos library operation,
  25     and this parameter controls how the encryption types are configured
  26     within this generated file, and therefore also controls the encryption
  27     types negotiable by Samba.
  28     </para>
  29
  30     <para>When set to <constant>all</constant>, all active directory
  31     encryption types are allowed.
  32     </para>
  33
  34     <para>When set to <constant>strong</constant>, only AES-based encyption
  35     types are offered. This can be used in hardened environments to prevent
  36     downgrade attacks.
  37     </para>
  38
  39     <para>When set to <constant>legacy</constant>, only RC4-HMAC-MD5
  40     is allowed. Avoiding AES this way has one a very specific use.
  41     Normally, the encryption type is negotiated between the peers.
  42     However, there is one scenario in which a Windows read-only domain
  43     controller (RODC) advertises AES encryption, but then proxies the
  44     request to a writeable DC which may not support AES encryption,
  45     leading to failure of the handshake. Setting this parameter to
  46     <constant>legacy</constant> would cause samba not to negotiate AES
  47     encryption. It is assumed of course that the weaker legacy
  48     encryption types are acceptable for the setup.
  49     </para>
  50 </description>
  51
  52 <value type="default">all</value>
  53 </samba:parameter>