search:
summary | log | graphiclog1 | graphiclog2 | commit | commitdiff | tree | refs | edit | fork
history | raw | HEAD
ctdb-server: Remove duplicate logic
[samba4-gss.git] / docs-xml / smbdotconf / security / lanmanauth.xml
blob045e89d94d61bd8029377965992de4112fb5831f
1 <samba:parameter name="lanman auth"
2                  context="G"
3                  type="boolean"
4                  function="_lanman_auth"
5                  deprecated="1"
6                  xmlns:samba="http://www.samba.org/samba/DTD/samba-doc">
7 <description>
8     <para>This parameter has been deprecated since Samba 4.11 and
9     support for LanMan (as distinct from NTLM, NTLMv2 or
10     Kerberos authentication)
11     will be removed in a future Samba release.</para>
12     <para>That is, in the future, the current default of
13     <command>lanman auth = no</command>
14     will be the enforced behaviour.</para>
15
16     <para>This parameter determines whether or not <citerefentry><refentrytitle>smbd</refentrytitle>
17     <manvolnum>8</manvolnum></citerefentry> will attempt to
18     authenticate users or permit password changes
19     using the LANMAN password hash. If disabled, only clients which support NT 
20     password hashes (e.g. Windows NT/2000 clients, smbclient, but not 
21     Windows 95/98 or the MS DOS network client) will be able to
22     connect to the Samba host.</para>
23
24     <para>The LANMAN encrypted response is easily broken, due to its
25     case-insensitive nature, and the choice of algorithm.  Servers
26     without Windows 95/98/ME or MS DOS clients are advised to disable
27     this option.  </para>
28
29     <para>When this parameter is set to <value>no</value> this
30     will also result in sambaLMPassword in Samba's passdb being
31     blanked after the next password change. As a result of that
32     lanman clients won't be able to authenticate, even if lanman
33     auth is re-enabled later on.
34     </para>
35                 
36     <para>Unlike the <parameter moreinfo="none">encrypt
37     passwords</parameter> option, this parameter cannot alter client
38     behaviour, and the LANMAN response will still be sent over the
39     network.  See the <command moreinfo="none">client lanman
40     auth</command> to disable this for Samba's clients (such as smbclient)</para>
41
42     <para>This parameter is overridden by <parameter moreinfo="none">ntlm
43     auth</parameter>, so unless that it is also set to
44     <constant>ntlmv1-permitted</constant> or <constant>yes</constant>,
45     then only NTLMv2 logins will be permitted and no LM hash will be
46     stored.  All modern clients support NTLMv2, and but some older
47     clients require special configuration to use it.</para>
48
49     <para><emphasis>This parameter has no impact on the Samba AD DC,
50     LM authentication is always disabled and no LM password is ever
51     stored.</emphasis></para>
52 </description>
53
54 <value type="default">no</value>
55 </samba:parameter>
GSS-enabled samba4