search:
summary | log | graphiclog1 | graphiclog2 | commit | commitdiff | tree | refs | edit | fork
history | raw | HEAD
ctdb-server: Remove duplicate logic
[samba4-gss.git] / docs-xml / smbdotconf / ldap / ldapserverrequirestrongauth.xml
blob18f8903dcaab64a1752050778d7932ca4f0d598c
1 <samba:parameter name="ldap server require strong auth"
2                  context="G"
3                  type="enum"
4                  enumlist="enum_ldap_server_require_strong_auth_vals"
5                  xmlns:samba="http://www.samba.org/samba/DTD/samba-doc">
6 <description>
7         <para>
8         The <smbconfoption name="ldap server require strong auth"/> defines whether
9         the ldap server requires ldap traffic to be signed or signed and encrypted (sealed).
10         Possible values are <emphasis>no</emphasis>,
11         <emphasis>allow_sasl_without_tls_channel_bindings</emphasis>
12         and <emphasis>yes</emphasis>.
13         </para>
14
15         <para>Windows has <emphasis>LdapEnforceChannelBinding</emphasis> under
16         <emphasis>HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\</emphasis>.
17         </para>
18
19         <para>A value of <emphasis>no</emphasis> allows simple and sasl binds over
20         all transports. This matches LdapEnforceChannelBinding=0.</para>
21
22         <para>A value of <emphasis>allow_sasl_without_tls_channel_bindings</emphasis>
23         allows simple and sasl binds (without sign or seal) over TLS encrypted connections.
24         Missing tls channel bindings are ignored, so only use this if a value of
25         <emphasis>yes</emphasis> is not possible.
26         Unencrypted connections only allow sasl binds with sign or seal.
27         This matches LdapEnforceChannelBinding=1.
28         </para>
29
30         <para>Before support for tls channel bindings existed in Samba,
31         a value of <emphasis>allow_sasl_over_tls</emphasis> was possible in order
32         to allow sasl binds without tls channel bindings. This now misleading
33         as a value of <emphasis>yes</emphasis> will now allow sasl binds
34         with tls channel bindings. Configurations should be changed to
35         <emphasis>yes</emphasis> instead or
36         <emphasis>allow_sasl_without_tls_channel_bindings</emphasis>
37         if really required. Currently <emphasis>allow_sasl_over_tls</emphasis>
38         is just an alias of <emphasis>allow_sasl_without_tls_channel_bindings</emphasis>,
39         but it will be removed in future versions.
40         </para>
41
42         <para>A value of <emphasis>yes</emphasis> allows only simple binds
43         and sasl binds with correct tls channel bindings
44         over TLS encrypted connections. sasl binds without tls channel bindings
45         are not allowed. Unencrypted connections only
46         allow sasl binds with sign or seal. This matches LdapEnforceChannelBinding=2.
47         </para>
48 </description>
49 <value type="default">yes</value>
50 </samba:parameter>
GSS-enabled samba4