docs-xml/smbdotconf/security/serverschannel.xml

   1 <samba:parameter name="server schannel"
   2                  context="G"
   3                  type="enum"
   4                  enumlist="enum_bool_auto"
   5                  deprecated="1"
   6                  xmlns:samba="http://www.samba.org/samba/DTD/samba-doc">
   7 <description>
   8
   9     <para>
  10         This option is deprecated and will be removed in future,
  11         as it is a security problem if not set to "yes" (which will be
  12         the hardcoded behavior in future).
  13     </para>
  14
  15     <para><emphasis>Avoid using this option!</emphasis> Use explicit '<smbconfoption name="server require schannel:COMPUTERACCOUNT">no</smbconfoption>' instead!
  16     </para>
  17
  18     <para>
  19         Samba will log an error in the log files at log level 0
  20         if legacy a client is rejected or allowed without an explicit,
  21         '<smbconfoption name="server require schannel:COMPUTERACCOUNT">no</smbconfoption>' option
  22         for the client. The message will indicate
  23         the explicit '<smbconfoption name="server require schannel:COMPUTERACCOUNT">no</smbconfoption>'
  24         line to be added, if the legacy client software requires it. (The log level can be adjusted with
  25         '<smbconfoption name="CVE_2020_1472:error_debug_level">1</smbconfoption>'
  26         in order to complain only at a higher log level).
  27         </para>
  28
  29     <para>
  30         This allows admins to use "auto" only for a short grace period,
  31         in order to collect the explicit
  32         '<smbconfoption name="server require schannel:COMPUTERACCOUNT">no</smbconfoption>' options.
  33     </para>
  34
  35     <para>
  36         See <ulink url="https://www.samba.org/samba/security/CVE-2020-1472.html">CVE-2020-1472(ZeroLogon)</ulink>,
  37         <ulink url="https://bugzilla.samba.org/show_bug.cgi?id=14497">https://bugzilla.samba.org/show_bug.cgi?id=14497</ulink>.
  38     </para>
  39
  40     <para>This option is over-ridden by the <smbconfoption name="server require schannel:COMPUTERACCOUNT"/> option.</para>
  41
  42     <para>This option is over-ridden by the effective value of 'yes' from
  43     the '<smbconfoption name="server schannel require seal:COMPUTERACCOUNT"/>'
  44     and/or '<smbconfoption name="server schannel require seal"/>' options.</para>
  45
  46 </description>
  47
  48 <value type="default">yes</value>
  49 </samba:parameter>
  50
  51 <samba:parameter name="server require schannel:COMPUTERACCOUNT"
  52                  context="G"
  53                  type="string"
  54                  xmlns:samba="http://www.samba.org/samba/DTD/samba-doc">
  55 <description>
  56
  57     <para>If you still have legacy domain members, which required "server schannel = auto" before,
  58         it is possible to specify explicit exception per computer account
  59         by using 'server require schannel:COMPUTERACCOUNT = no' as option.
  60         Note that COMPUTERACCOUNT has to be the sAMAccountName value of
  61         the computer account (including the trailing '$' sign).
  62     </para>
  63
  64     <para>
  65         Samba will complain in the log files at log level 0,
  66         about the security problem if the option is not set to "no",
  67         but the related computer is actually using the netlogon
  68         secure channel (schannel) feature.
  69         (The log level can be adjusted with
  70         '<smbconfoption name="CVE_2020_1472:warn_about_unused_debug_level">1</smbconfoption>'
  71         in order to complain only at a higher log level).
  72     </para>
  73
  74     <para>
  75         Samba will warn in the log files at log level 5,
  76         if a setting is still needed for the specified computer account.
  77     </para>
  78
  79     <para>
  80         See <ulink url="https://www.samba.org/samba/security/CVE-2020-1472.html">CVE-2020-1472(ZeroLogon)</ulink>,
  81         <ulink url="https://bugzilla.samba.org/show_bug.cgi?id=14497">https://bugzilla.samba.org/show_bug.cgi?id=14497</ulink>.
  82     </para>
  83
  84     <para>This option overrides the <smbconfoption name="server schannel"/> option.</para>
  85
  86     <para>This option is over-ridden by the effective value of 'yes' from
  87     the '<smbconfoption name="server schannel require seal:COMPUTERACCOUNT"/>'
  88     and/or '<smbconfoption name="server schannel require seal"/>' options.</para>
  89     <para>Which means '<smbconfoption name="server require schannel:COMPUTERACCOUNT">no</smbconfoption>'
  90     is only useful in combination with '<smbconfoption name="server schannel require seal:COMPUTERACCOUNT">no</smbconfoption>'</para>
  91
  92     <programlisting>
  93         server require schannel:LEGACYCOMPUTER1$ = no
  94         server require schannel seal:LEGACYCOMPUTER1$ = no
  95         server require schannel:NASBOX$ = no
  96         server require schannel seal:NASBOX$ = no
  97         server require schannel:LEGACYCOMPUTER2$ = no
  98         server require schannel seal:LEGACYCOMPUTER2$ = no
  99     </programlisting>
 100 </description>
 101
 102 </samba:parameter>