docs-xml/smbdotconf/security/passwordserver.xml

   1 <samba:parameter name="password server"
   2                  context="G"
   3                                  type="list"
   4                  advanced="1" wizard="1" developer="1"
   5                  xmlns:samba="http://www.samba.org/samba/DTD/samba-doc">
   6 <description>
   7     <para>By specifying the name of another SMB server
   8     or Active Directory domain controller with this option,
   9     and using <command moreinfo="none">security = [ads|domain|server]</command>
  10     it is possible to get Samba
  11     to do all its username/password validation using a specific remote server.</para>
  12
  13     <para>This option sets the name or IP address of the password server to use.
  14     New syntax has been added to support defining the port to use when connecting
  15     to the server the case of an ADS realm.  To define a port other than the
  16     default LDAP port of 389, add the port number using a colon after the
  17     name or IP address (e.g. 192.168.1.100:389).  If you do not specify a port,
  18     Samba will use the standard LDAP port of tcp/389.  Note that port numbers
  19     have no effect on password servers for Windows NT 4.0 domains or netbios
  20     connections.</para>
  21
  22     <para>If parameter is a name, it is looked up using the
  23     parameter <smbconfoption name="name resolve order"/> and so may resolved
  24     by any method and order described in that parameter.</para>
  25
  26     <para>The password server must be a machine capable of using
  27     the &quot;LM1.2X002&quot; or the &quot;NT LM 0.12&quot; protocol, and it must be in
  28     user level security mode.</para>
  29
  30     <note><para>Using a password server  means your UNIX box (running
  31     Samba) is only as secure as your  password server. <emphasis>DO NOT
  32     CHOOSE A PASSWORD SERVER THAT  YOU DON'T COMPLETELY TRUST</emphasis>.
  33     </para></note>
  34
  35     <para>Never point a Samba server at itself for password serving.
  36     This will cause a loop and could lock up your Samba  server!</para>
  37
  38     <para>The name of the password server takes the standard
  39     substitutions, but probably the only useful one is <parameter moreinfo="none">%m
  40     </parameter>, which means the Samba server will use the incoming
  41     client as the password server. If you use this then you better
  42     trust your clients, and you had better restrict them with hosts allow!</para>
  43
  44     <para>If the <parameter moreinfo="none">security</parameter> parameter is set to
  45     <constant>domain</constant> or <constant>ads</constant>, then the list of machines in this
  46     option must be a list of Primary or Backup Domain controllers for the
  47     Domain or the character '*', as the Samba server is effectively
  48     in that domain, and will use cryptographically authenticated RPC calls
  49     to authenticate the user logging on. The advantage of using <command moreinfo="none">
  50     security = domain</command> is that if you list several hosts in the
  51     <parameter moreinfo="none">password server</parameter> option then <command moreinfo="none">smbd
  52     </command> will try each in turn till it finds one that responds.  This
  53     is useful in case your primary server goes down.</para>
  54
  55     <para>If the <parameter moreinfo="none">password server</parameter> option is set
  56     to the character '*', then Samba will attempt to auto-locate the
  57     Primary or Backup Domain controllers to authenticate against by
  58     doing a query for the name <constant>WORKGROUP&lt;1C&gt;</constant>
  59     and then contacting each server returned in the list of IP
  60     addresses from the name resolution source. </para>
  61
  62     <para>If the list of servers contains both names/IP's and the '*'
  63     character, the list is treated as a list of preferred
  64     domain controllers, but an auto lookup of all remaining DC's
  65     will be added to the list as well.  Samba will not attempt to optimize
  66     this list by locating the closest DC.</para>
  67
  68     <para>If the <parameter moreinfo="none">security</parameter> parameter is
  69     set to <constant>server</constant>, then there are different
  70     restrictions that <command moreinfo="none">security = domain</command> doesn't
  71     suffer from:</para>
  72
  73     <itemizedlist>
  74         <listitem>
  75             <para>You may list several password servers in
  76             the <parameter moreinfo="none">password server</parameter> parameter, however if an
  77             <command moreinfo="none">smbd</command> makes a connection to a password server,
  78             and then the password server fails, no more users will be able
  79             to be authenticated from this <command moreinfo="none">smbd</command>.  This is a
  80             restriction of the SMB/CIFS protocol when in <command moreinfo="none">security = server
  81             </command> mode and cannot be fixed in Samba.</para>
  82         </listitem>
  83
  84         <listitem>
  85             <para>If you are using a Windows NT server as your
  86             password server then you will have to ensure that your users
  87             are able to login from the Samba server, as when in <command moreinfo="none">
  88             security = server</command>  mode the network logon will appear to
  89             come from there rather than from the users workstation.</para>
  90         </listitem>
  91     </itemizedlist>
  92 </description>
  93
  94 <related>security</related>
  95 <value type="default">*</value>
  96 <value type="example">NT-PDC, NT-BDC1, NT-BDC2, *</value>
  97 <value type="example">windc.mydomain.com:389 192.168.1.101 *</value>
  98 </samba:parameter>