winbindd: Change value of "ldap sasl wrapping" to sign
authorAndrew Bartlett <abartlet@samba.org>
Fri, 5 Sep 2014 05:38:38 +0000 (17:38 +1200)
committerStefan Metzmacher <metze@samba.org>
Tue, 30 Sep 2014 10:32:05 +0000 (12:32 +0200)
This is to disrupt MITM attacks between us and our DC

Pair-programmed-with: Garming Sam <garming@catalyst.net.nz>
Signed-off-by: Garming Sam <garming@catalyst.net.nz>
Signed-off-by: Andrew Bartlett <abartlet@samba.org>
docs-xml/smbdotconf/ldap/clientldapsaslwrapping.xml
lib/param/loadparm.c
source3/param/loadparm.c

index 076b05c..e0ce700 100644 (file)
        </para>
 
        <para>
-       The default value is <emphasis>plain</emphasis> which is not irritable 
-       to KRB5 clock skew errors. That implies synchronizing the time
-       with the KDC in the case of using <emphasis>sign</emphasis> or 
-       <emphasis>seal</emphasis>.
+       The default value is <emphasis>sign</emphasis>. That implies synchronizing the time
+       with the KDC in the case of using <emphasis>Kerberos</emphasis>.
        </para>
 </description>
-<value type="default">plain</value>
+<value type="default">sign</value>
 </samba:parameter>
index 7b86a1e..9953053 100644 (file)
@@ -2665,6 +2665,8 @@ struct loadparm_context *loadparm_init(TALLOC_CTX *mem_ctx)
 
        lpcfg_do_global_parameter(lp_ctx, "ldap debug threshold", "10");
 
+       lpcfg_do_global_parameter(lp_ctx, "client ldap sasl wrapping", "sign");
+
        lpcfg_do_global_parameter(lp_ctx, "follow symlinks", "yes");
 
        lpcfg_do_global_parameter(lp_ctx, "machine password timeout", "604800");
index 94d3b8d..5ab0de7 100644 (file)
@@ -739,6 +739,8 @@ static void init_globals(struct loadparm_context *lp_ctx, bool reinit_globals)
        Globals.ldap_debug_level = 0;
        Globals.ldap_debug_threshold = 10;
 
+       Globals.client_ldap_sasl_wrapping = ADS_AUTH_SASL_SIGN;
+
        /* This is what we tell the afs client. in reality we set the token 
         * to never expire, though, when this runs out the afs client will 
         * forget the token. Set to 0 to get NEVERDATE.*/