docs-xml/smbdotconf/security/syncmachinepasswordtokeytab.xml

   1 <samba:parameter name="sync machine password to keytab"
   2                  context="G"
   3                  type="cmdlist"
   4                  xmlns:samba="http://www.samba.org/samba/DTD/samba-doc">
   5 <description>
   6 <para>
   7 This option allows you to describe what keytabs and how should be updated when
   8 machine account is changed via one of these commands
   9
  10 <programlisting>
  11 wbinfo --change-secret
  12 rpcclient --machine-pass -c change_trust_pw
  13 net rpc changetrustpw
  14 net ads changetrustpw
  15 </programlisting>
  16
  17 or by winbindd doing regular updates (see <smbconfoption name="machine password timeout"/>)
  18 </para>
  19
  20 <para>
  21 The option takes a list of keytab strings to describe how to synchronize
  22 content of those keytabs or a single 'disabled' value to disable the
  23 synchronization.
  24
  25 Each string has this form:
  26 <programlisting>
  27 absolute_path_to_keytab:spn_spec[:sync_etypes][:sync_kvno][:netbios_aliases][:additional_dns_hostnames][:machine_password]
  28 </programlisting>
  29
  30 where spn_spec can have exactly one of these four forms:
  31 <programlisting>
  32 account_name
  33 sync_spns
  34 spn_prefixes=value1[,value2[...]]
  35 spns=value1[,value2[...]]
  36 </programlisting>
  37 No other combinations are allowed.
  38 </para>
  39
  40 <para>
  41 Specifiers:
  42 <programlisting>
  43 account_name - creates entry using principal 'computer$@REALM'.
  44 sync_spns    - uses principals received from AD DC.
  45 spn_prefixes - creates principals from the prefixes and adds netbios_aliases or additional_dns_hostnames if specified.
  46 spns         - creates only the principals defined in the list.
  47 </programlisting>
  48 </para>
  49
  50 <para>
  51 Options:
  52 <programlisting>
  53 sync_etypes              - parameter "msDS-SupportedEncryptionTypes" is read from DC and is used to find the highest common enc type for AD and KRB5 lib.
  54 sync_kvno                - the key version number ("msDS-KeyVersionNumber") is synchronized from DC, otherwise is set to -1.
  55 netbios_aliases          - evaluated only for SPN_SPEC_PREFIX. If present, PREFIX/netbiosname@REALM and PREFIX/netbiosname.domainname@REALM are added for each alias. See <smbconfoption name="netbios aliases"/>
  56 additional_dns_hostnames - evaluated only for SPN_SPEC_PREFIX. If present, PREFIX/dnshostname@REALM is  added for each dns name. See <smbconfoption name="additional dns hostnames"/>
  57 machine_password         - mandatory, if missing the entry is ignored. For future use.
  58 </programlisting>
  59 </para>
  60
  61 <para>
  62 Example:
  63 <programlisting>
  64 "/path/to/keytab0:account_name:machine_password",
  65 "/path/to/keytab1:account_name:sync_etypes:sync_kvno:machine_password",
  66 "/path/to/keytab2:sync_spns:machine_password",
  67 "/path/to/keytab3:sync_spns:sync_kvno:machine_password",
  68 "/path/to/keytab4:spn_prefixes=imap,smtp:machine_password",
  69 "/path/to/keytab5:spn_prefixes=imap,smtp:netbios_aliases:additional_dns_hostnames:sync_kvno:machine_password",
  70 "/path/to/keytab6:spns=wurst/brot@REALM:machine_password",
  71 "/path/to/keytab7:spns=wurst/brot@REALM,wurst2/brot@REALM:sync_kvno:machine_password"
  72 </programlisting>
  73 If sync_etypes or sync_kvno or sync_spns is present then winbind connects to DC. For "offline domain join" it might be useful not to use these options.
  74 </para>
  75
  76 <para>
  77 If no value is present and <smbconfoption name="kerberos method"/> is different from
  78 'secrets only', the behavior differs between winbind and net utility:
  79 </para>
  80 <itemizedlist>
  81         <listitem>
  82                 <para><userinput>winbind</userinput> uses value
  83                       <programlisting>/path/to/keytab:sync_spns:sync_kvno:machine_password</programlisting>
  84                       where the path to the keytab is obtained either from the krb5 library or from
  85                       <smbconfoption name="dedicated keytab file"/>.
  86                 </para>
  87         </listitem>
  88         <listitem>
  89                 <para><userinput>net changesecretpw -f</userinput> command uses the default 'disabled' value.</para>
  90         </listitem>
  91         <listitem><para>No other <userinput>net</userinput> subcommands use the 'disabled' value.</para></listitem>
  92 </itemizedlist>
  93
  94 <para>
  95 If a single value 'disabled' is present, the synchronization process is
  96 disabled. This is required for FreeIPA domain member setup where keytab
  97 synchronization uses a protocol not implemented by Samba.
  98 </para>
  99
 100 <para>
 101     Suggested configuration is together with <smbconfoption name="kerberos method"/> set to the default value 'secrets only'.
 102 </para>
 103
 104 <para>
 105     In clustered environments it is recommended to set <smbconfoption name="sync machine password script"/> to update the machine password on all nodes.
 106 </para>
 107 </description>
 108 </samba:parameter>