search:
summary | log | graphiclog1 | graphiclog2 | commit | commitdiff | tree | refs | edit | fork
history | raw | HEAD
docs-xml: add 'tls trust system cas' and 'tls ca directories' options
[samba.git] / docs-xml / smbdotconf / security / tlsverifypeer.xml
blob8ff7afaaf84ab62397efbf461e0c380c11e1f58b
1 <samba:parameter name="tls verify peer"
2                  context="G"
3                  type="enum"
4                  enumlist="enum_tls_verify_peer_vals"
5                  xmlns:samba="http://www.samba.org/samba/DTD/samba-doc">
6 <description>
7         <para>This controls if and how strict the client will verify the peer's certificate and name.
8         Possible values are (in increasing order):
9         <constant>no_check</constant>,
10         <constant>ca_only</constant>,
11         <constant>ca_and_name_if_available</constant>,
12         <constant>ca_and_name</constant>
13         and
14         <constant>as_strict_as_possible</constant>.</para>
15
16         <para>When set to <constant>no_check</constant> the certificate is not verified at
17         all, which allows trivial man in the middle attacks.
18         </para>
19
20         <para>When set to <constant>ca_only</constant> the certificate is verified to
21         be signed from a ca specified in the <smbconfoption name="tls ca file"/> option.
22         As alternative <smbconfoption name="tls ca directories"/> or
23         <smbconfoption name="tls trust system cas"/> can be used.
24         Providing at least one valid CA certificate is required.
25         The certificate lifetime is also verified. If the <smbconfoption name="tls crl file"/>
26         option is configured, the certificate is also verified against the ca crl.
27         </para>
28
29         <para>When set to <constant>ca_and_name_if_available</constant> all checks from
30         <constant>ca_only</constant> are performed. In addition, the peer hostname is verified
31         against the certificate's name, if it is provided by the application layer and
32         not given as an ip address string.
33         </para>
34
35         <para>When set to <constant>ca_and_name</constant> all checks from
36         <constant>ca_and_name_if_available</constant> are performed.
37         In addition the peer hostname needs to be provided and even an ip
38         address is checked against the certificate's name.
39         </para>
40
41         <para>When set to <constant>as_strict_as_possible</constant> all checks from
42         <constant>ca_and_name</constant> are performed. In addition the
43         <smbconfoption name="tls crl file"/> needs to be configured.
44         Future versions of Samba may implement additional checks.
45         </para>
46 </description>
47
48  <related>tls trust system cas</related>
49  <related>tls ca directories</related>
50  <related>tls cafile</related>
51  <related>tls crlfile</related>
52 <value type="default">as_strict_as_possible</value>
53 </samba:parameter>
Samba git mirror