docs-xml/smbdotconf/security/clientntlmv2auth.xml

   1 <samba:parameter name="client NTLMv2 auth"
   2                  context="G"
   3                  type="boolean"
   4                  xmlns:samba="http://www.samba.org/samba/DTD/samba-doc">
   5 <description>
   6     <para>This parameter determines whether or not <citerefentry><refentrytitle>smbclient</refentrytitle>
   7     <manvolnum>8</manvolnum></citerefentry> will attempt to
   8     authenticate itself to servers using the NTLMv2 encrypted password
   9     response.</para>
  10
  11     <para>If enabled, only an NTLMv2 and LMv2 response (both much more
  12     secure than earlier versions) will be sent.  Older servers
  13     (including NT4 &lt; SP4, Win9x and Samba 2.2) are not compatible with
  14     NTLMv2 when not in an NTLMv2 supporting domain</para>
  15
  16     <para>Similarly, if enabled, NTLMv1, <command
  17     moreinfo="none">client lanman auth</command> and <command
  18     moreinfo="none">client plaintext auth</command>
  19     authentication will be disabled.  This also disables share-level
  20     authentication. </para>
  21
  22     <para>If disabled, an NTLM response (and possibly a LANMAN response)
  23     will be sent by the client, depending on the value of <command
  24     moreinfo="none">client lanman auth</command>.  </para>
  25
  26     <para>Note that Windows Vista and later versions already use
  27     NTLMv2 by default, and some sites (particularly those following
  28     'best practice' security polices) only allow NTLMv2 responses, and
  29     not the weaker LM or NTLM.</para>
  30
  31     <para>When <smbconfoption name="client use spnego"/> is also set to
  32     <constant>yes</constant> extended security (SPNEGO) is required
  33     in order to use NTLMv2 only within NTLMSSP. This behavior was
  34     introduced with the patches for CVE-2016-2111.</para>
  35 </description>
  36 <value type="default">yes</value>
  37 </samba:parameter>