docs-xml/smbdotconf/logon/rejectmd5clients.xml

   1 <samba:parameter name="reject md5 clients"
   2                  context="G"
   3                  type="boolean"
   4                  deprecated="1"
   5                  xmlns:samba="http://www.samba.org/samba/DTD/samba-doc">
   6 <description>
   7         <para>
   8         This option is deprecated and will be removed in a future release,
   9         as it is a security problem if not set to "yes" (which will be
  10         the hardcoded behavior in the future).
  11         </para>
  12
  13         <para>This option controls whether the netlogon server (currently
  14         only in 'active directory domain controller' mode), will
  15         reject clients which does not support NETLOGON_NEG_SUPPORTS_AES.</para>
  16
  17         <para>Support for NETLOGON_NEG_SUPPORTS_AES was added in Windows
  18         starting with Server 2008R2 and Windows 7, it's available in Samba
  19         starting with 4.0, however third party domain members like NetApp ONTAP
  20         still uses RC4 (HMAC-MD5), see
  21         <ulink url="https://www.samba.org/samba/security/CVE-2022-38023.html">https://www.samba.org/samba/security/CVE-2022-38023.html</ulink>
  22         for more details.
  23         </para>
  24
  25         <para>The default changed from 'no' to 'yes', with the patches for
  26         <ulink url="https://www.samba.org/samba/security/CVE-2022-38023.html">CVE-2022-38023</ulink>
  27         see <ulink url="https://bugzilla.samba.org/show_bug.cgi?id=15240">https://bugzilla.samba.org/show_bug.cgi?id=15240</ulink>.
  28         </para>
  29
  30         <para><emphasis>Avoid using this option!</emphasis> Use an explicit per machine account
  31         '<smbconfoption name="server reject md5 schannel:COMPUTERACCOUNT"/>' instead!
  32         Which is available with the patches for
  33         <ulink url="https://www.samba.org/samba/security/CVE-2022-38023.html">CVE-2022-38023</ulink>
  34         see <ulink url="https://bugzilla.samba.org/show_bug.cgi?id=15240">https://bugzilla.samba.org/show_bug.cgi?id=15240</ulink>.
  35         </para>
  36
  37         <para>
  38         Samba will log an error in the log files at log level 0
  39         if legacy a client is rejected or allowed without an explicit,
  40         '<smbconfoption name="server reject md5 schannel:COMPUTERACCOUNT">no</smbconfoption>' option
  41         for the client. The message will indicate
  42         the explicit '<smbconfoption name="server reject md5 schannel:COMPUTERACCOUNT">no</smbconfoption>'
  43         line to be added, if the legacy client software requires it. (The log level can be adjusted with
  44         '<smbconfoption name="CVE_2022_38023:error_debug_level">1</smbconfoption>'
  45         in order to complain only at a higher log level).
  46         </para>
  47
  48         <para>This allows admins to use "no" only for a short grace period,
  49         in order to collect the explicit
  50         '<smbconfoption name="server reject md5 schannel:COMPUTERACCOUNT">no</smbconfoption>' options.</para>
  51
  52         <para>When set to 'yes' this option overrides the
  53         '<smbconfoption name="allow nt4 crypto:COMPUTERACCOUNT"/>' and
  54         '<smbconfoption name="allow nt4 crypto"/>' options and implies
  55         '<smbconfoption name="allow nt4 crypto:COMPUTERACCOUNT">no</smbconfoption>'.
  56         </para>
  57 </description>
  58
  59 <value type="default">yes</value>
  60 </samba:parameter>
  61
  62 <samba:parameter name="server reject md5 schannel:COMPUTERACCOUNT"
  63                  context="G"
  64                  type="string"
  65                  xmlns:samba="http://www.samba.org/samba/DTD/samba-doc">
  66 <description>
  67
  68     <para>If you still have legacy domain members or trusted domains,
  69         which required "reject md5 clients = no" before,
  70         it is possible to specify an explicit exception per computer account
  71         by setting 'server reject md5 schannel:COMPUTERACCOUNT = no'.
  72         Note that COMPUTERACCOUNT has to be the sAMAccountName value of
  73         the computer account (including the trailing '$' sign).
  74     </para>
  75
  76     <para>
  77         Samba will log a complaint in the log files at log level 0
  78         about the security problem if the option is set to "no",
  79         but the related computer does not require it.
  80         (The log level can be adjusted with
  81         '<smbconfoption name="CVE_2022_38023:warn_about_unused_debug_level">1</smbconfoption>'
  82         in order to complain only at a higher log level).
  83     </para>
  84
  85     <para>
  86         Samba will log a warning in the log files at log level 5
  87         if a setting is still needed for the specified computer account.
  88     </para>
  89
  90     <para>
  91         See <ulink url="https://www.samba.org/samba/security/CVE-2022-38023.html">CVE-2022-38023</ulink>,
  92         <ulink url="https://bugzilla.samba.org/show_bug.cgi?id=15240">https://bugzilla.samba.org/show_bug.cgi?id=15240</ulink>.
  93     </para>
  94
  95     <para>This option overrides the <smbconfoption name="reject md5 clients"/> option.</para>
  96
  97     <para>When set to 'yes' this option overrides the
  98     '<smbconfoption name="allow nt4 crypto:COMPUTERACCOUNT"/>' and
  99     '<smbconfoption name="allow nt4 crypto"/>' options and implies
 100     '<smbconfoption name="allow nt4 crypto:COMPUTERACCOUNT">no</smbconfoption>'.
 101     </para>
 102
 103     <programlisting>
 104         server reject md5 schannel:LEGACYCOMPUTER1$ = no
 105         server reject md5 schannel:NASBOX$ = no
 106         server reject md5 schannel:LEGACYCOMPUTER2$ = no
 107     </programlisting>
 108 </description>
 109
 110 </samba:parameter>