docs-xml/smbdotconf/security/ntlmauth.xml

   1 <samba:parameter name="ntlm auth"
   2                  context="G"
   3                  type="enum"
   4                  enumlist="enum_ntlm_auth"
   5                  xmlns:samba="http://www.samba.org/samba/DTD/samba-doc">
   6 <description>
   7     <para>This parameter determines whether or not <citerefentry><refentrytitle>smbd</refentrytitle>
   8     <manvolnum>8</manvolnum></citerefentry> will attempt to
   9     authenticate users using the NTLM encrypted password response for
  10     this local passdb (SAM or account database). </para>
  11
  12     <para>If disabled, both NTLM and LanMan authencication against the
  13     local passdb is disabled.</para>
  14
  15     <para>Note that these settings apply only to local users,
  16     authentication will still be forwarded to and NTLM authentication
  17     accepted against any domain we are joined to, and any trusted
  18     domain, even if disabled or if NTLMv2-only is enforced here.  To
  19     control NTLM authentiation for domain users, this must option must
  20     be configured on each DC.</para>
  21
  22     <para>By default with <command moreinfo="none">ntlm auth</command> set to
  23     <constant>ntlmv2-only</constant> only NTLMv2 logins will be
  24     permitted.  All modern clients support NTLMv2 by default, but some older
  25     clients will require special configuration to use it.</para>
  26
  27     <para>The primary user of NTLMv1 is MSCHAPv2 for VPNs and 802.1x.</para>
  28
  29     <para>The available settings are:</para>
  30
  31     <itemizedlist>
  32         <listitem>
  33           <para><constant>ntlmv1-permitted</constant>
  34           (alias <constant>yes</constant>) - Allow NTLMv1 and above for all clients.</para>
  35
  36           <para>This is the required setting for to enable the <parameter
  37           moreinfo="none">lanman auth</parameter> parameter.</para>
  38
  39         </listitem>
  40
  41         <listitem>
  42           <para><constant>ntlmv2-only</constant>
  43           (alias <constant>no</constant>) - Do not allow NTLMv1 to be used,
  44           but permit NTLMv2.</para>
  45         </listitem>
  46
  47         <listitem>
  48             <para><constant>mschapv2-and-ntlmv2-only</constant> - Only
  49             allow NTLMv1 when the client promises that it is providing
  50             MSCHAPv2 authentication (such as the <command
  51             moreinfo="none">ntlm_auth</command> tool).</para>
  52         </listitem>
  53
  54         <listitem>
  55           <para><constant>disabled</constant> - Do not accept NTLM (or
  56           LanMan) authentication of any level, nor permit
  57           NTLM password changes.</para>
  58         </listitem>
  59
  60     </itemizedlist>
  61
  62     <para>The default changed from <constant>yes</constant> to
  63     <constant>no</constant> with Samba 4.5. The default changed again
  64     to <constant>ntlmv2-only</constant> with Samba 4.7, however the
  65     behaviour is unchanged.</para>
  66 </description>
  67
  68 <related>lanman auth</related>
  69 <related>raw NTLMv2 auth</related>
  70 <value type="default">ntlmv2-only</value>
  71 </samba:parameter>