Add missing blanks
[Samba/bjacke.git] / docs / smbdotconf / ldap / clientldapsaslwrapping.xml
blob5c363b13e28fa61e60f05446fe9e92604ba33134
1 <samba:parameter name="client ldap sasl wrapping"
2                  context="G"
3                  type="string"
4                  advanced="1" 
5                  xmlns:samba="http://www.samba.org/samba/DTD/samba-doc">
6 <description>
7         <para>
8         The <smbconfoption name="client ldap sasl wrapping"/> defines whether
9         ldap traffic will be signed or signed and encrypted (sealed). 
10         Possible values are <emphasis>plain</emphasis>, <emphasis>sign</emphasis> 
11         and <emphasis>seal</emphasis>.  
12         </para>
14         <para>
15         The values <emphasis>sign</emphasis> and <emphasis>seal</emphasis> are 
16         only available if Samba has been compiled against a modern 
17         OpenLDAP version (2.3.x or higher).
18         </para>
19         
20         <para>
21         This option is needed in the case of Domain Controllers enforcing 
22         the usage of signed LDAP connections (e.g. Windows 2000 SP3 or higher).
23         LDAP sign and seal can be controlled with the registry key
24         "HKLM\System\CurrentControlSet\Services\NTDS\Parameters\LDAPServerIntegrity"
25         on the Windows server side.  
26         </para>
28         <para>
29         Depending on the used KRB5 library (MIT and older Heimdal versions)
30         it is possible that the message "integrity only" is not supported. 
31         In this case, <emphasis>sign</emphasis> is just an alias for 
32         <emphasis>seal</emphasis>.
33         </para>
35         <para>
36         The default value is <emphasis>plain</emphasis> which is not irritable 
37         to KRB5 clock skew errors. That implies synchronizing the time
38         with the KDC in the case of using <emphasis>sign</emphasis> or 
39         <emphasis>seal</emphasis>.
40         </para>
41 </description>
42 <value type="default">plain</value>
43 </samba:parameter>