docs-xml/smbdotconf/security/serverschannelrequireseal.xml

   1 <samba:parameter name="server schannel require seal"
   2                  context="G"
   3                  type="boolean"
   4                  deprecated="1"
   5                  xmlns:samba="http://www.samba.org/samba/DTD/samba-doc">
   6 <description>
   7
   8         <para>
   9         This option is deprecated and will be removed in future,
  10         as it is a security problem if not set to "yes" (which will be
  11         the hardcoded behavior in future).
  12         </para>
  13
  14         <para>
  15         This option controls whether the netlogon server, will reject the usage
  16         of netlogon secure channel without privacy/enryption.
  17         </para>
  18
  19         <para>
  20         The option is modelled after the registry key available on Windows.
  21         </para>
  22
  23         <programlisting>
  24         HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSeal=2
  25         </programlisting>
  26
  27         <para>
  28         <emphasis>Avoid using this option!</emphasis> Use the per computer account specific option
  29         '<smbconfoption name="server schannel require seal:COMPUTERACCOUNT"/>' instead!
  30         Which is available with the patches for
  31         <ulink url="https://www.samba.org/samba/security/CVE-2022-38023.html">CVE-2022-38023</ulink>
  32         see <ulink url="https://bugzilla.samba.org/show_bug.cgi?id=15240">https://bugzilla.samba.org/show_bug.cgi?id=15240</ulink>.
  33         </para>
  34
  35         <para>
  36         Samba will log an error in the log files at log level 0
  37         if legacy a client is rejected or allowed without an explicit,
  38         '<smbconfoption name="server schannel require seal:COMPUTERACCOUNT">no</smbconfoption>' option
  39         for the client. The message will indicate
  40         the explicit '<smbconfoption name="server schannel require seal:COMPUTERACCOUNT">no</smbconfoption>'
  41         line to be added, if the legacy client software requires it. (The log level can be adjusted with
  42         '<smbconfoption name="CVE_2022_38023:error_debug_level">1</smbconfoption>'
  43         in order to complain only at a higher log level).
  44         </para>
  45
  46         <para>This allows admins to use "no" only for a short grace period,
  47         in order to collect the explicit
  48         '<smbconfoption name="server schannel require seal:COMPUTERACCOUNT">no</smbconfoption>' options.</para>
  49
  50         <para>
  51         When set to 'yes' this option overrides the
  52         '<smbconfoption name="server require schannel:COMPUTERACCOUNT"/>' and
  53         '<smbconfoption name="server schannel"/>' options and implies
  54         '<smbconfoption name="server require schannel:COMPUTERACCOUNT">yes</smbconfoption>'.
  55         </para>
  56
  57         <para>
  58         This option is over-ridden by the <smbconfoption name="server schannel require seal:COMPUTERACCOUNT"/> option.
  59         </para>
  60
  61 </description>
  62
  63 <value type="default">yes</value>
  64 </samba:parameter>
  65
  66 <samba:parameter name="server schannel require seal:COMPUTERACCOUNT"
  67                  context="G"
  68                  type="string"
  69                  xmlns:samba="http://www.samba.org/samba/DTD/samba-doc">
  70 <description>
  71
  72         <para>
  73         If you still have legacy domain members, which required "server schannel require seal = no" before,
  74         it is possible to specify explicit exception per computer account
  75         by using 'server schannel require seal:COMPUTERACCOUNT = no' as option.
  76         Note that COMPUTERACCOUNT has to be the sAMAccountName value of
  77         the computer account (including the trailing '$' sign).
  78         </para>
  79
  80         <para>
  81         Samba will log a complaint in the log files at log level 0
  82         about the security problem if the option is set to "no",
  83         but the related computer does not require it.
  84         (The log level can be adjusted with
  85         '<smbconfoption name="CVE_2022_38023:warn_about_unused_debug_level">1</smbconfoption>'
  86         in order to complain only at a higher log level).
  87         </para>
  88
  89         <para>
  90         Samba will warn in the log files at log level 5,
  91         if a setting is still needed for the specified computer account.
  92         </para>
  93
  94         <para>
  95         See <ulink url="https://www.samba.org/samba/security/CVE-2022-38023.html">CVE-2022-38023</ulink>,
  96         <ulink url="https://bugzilla.samba.org/show_bug.cgi?id=15240">https://bugzilla.samba.org/show_bug.cgi?id=15240</ulink>.
  97         </para>
  98
  99         <para>
 100         This option overrides the '<smbconfoption name="server schannel require seal"/>' option.
 101         </para>
 102
 103         <para>
 104         When set to 'yes' this option overrides the
 105         '<smbconfoption name="server require schannel:COMPUTERACCOUNT"/>' and
 106         '<smbconfoption name="server schannel"/>' options and implies
 107         '<smbconfoption name="server require schannel:COMPUTERACCOUNT">yes</smbconfoption>'.
 108         </para>
 109
 110         <programlisting>
 111         server require schannel seal:LEGACYCOMPUTER1$ = no
 112         server require schannel seal:NASBOX$ = no
 113         server require schannel seal:LEGACYCOMPUTER2$ = no
 114         </programlisting>
 115 </description>
 116
 117 </samba:parameter>