Ignore:
Timestamp:
Jun 9, 2016, 2:17:22 PM (9 years ago)
Author:
Silvan Scherrer
Message:

Samba Server: apply latest security patches to vendor

File:
1 edited

Legend:

Unmodified
Added
Removed

  • vendor/current/source3/param/loadparm.c

    r917 r919  
    6565#include "dbwrap.h"
    6666#include "smbldap.h"
     67#include "../lib/util/bitmap.h"
    6768
    6869#ifdef HAVE_SYS_SYSCTL_H
     
    215216        bool bWinbindRefreshTickets;
    216217        bool bWinbindOfflineLogon;
     218        bool bWinbindSealedPipes;
    217219        bool bWinbindNormalizeNames;
    218220        bool bWinbindRpcOnly;
     
    336338        bool bLanmanAuth;
    337339        bool bNTLMAuth;
     340        bool bRawNTLMv2Auth;
    338341        bool bUseSpnego;
    339342        bool bClientLanManAuth;
     
    353356        bool bHostnameLookups;
    354357        bool bUnixExtensions;
     358        bool bAllowDcerpcAuthLevelConnect;
    355359        bool bDisableNetbios;
    356360        char * szDedicatedKeytabFile;
     
    365369        int name_cache_timeout;
    366370        int client_signing;
     371        int client_ipc_signing;
    367372        int server_signing;
    368373        int client_ldap_sasl_wrapping;
     
    13831388        },
    13841389        {
     1390                .label          = "raw NTLMv2 auth",
     1391                .type           = P_BOOL,
     1392                .p_class        = P_GLOBAL,
     1393                .ptr            = &Globals.bRawNTLMv2Auth,
     1394                .special        = NULL,
     1395                .enum_list      = NULL,
     1396                .flags          = FLAG_ADVANCED,
     1397        },
     1398        {
    13851399                .label          = "client NTLMv2 auth",
    13861400                .type           = P_BOOL,
     
    22912305        },
    22922306        {
     2307                .label          = "allow dcerpc auth level connect",
     2308                .type           = P_BOOL,
     2309                .p_class        = P_GLOBAL,
     2310                .ptr            = &Globals.bAllowDcerpcAuthLevelConnect,
     2311                .special        = NULL,
     2312                .enum_list      = NULL,
     2313                .flags          = FLAG_ADVANCED,
     2314        },
     2315        {
    22932316                .label          = "use spnego",
    22942317                .type           = P_BOOL,
     
    23042327                .p_class        = P_GLOBAL,
    23052328                .ptr            = &Globals.client_signing,
     2329                .special        = NULL,
     2330                .enum_list      = enum_smb_signing_vals,
     2331                .flags          = FLAG_ADVANCED,
     2332        },
     2333        {
     2334                .label          = "client ipc signing",
     2335                .type           = P_ENUM,
     2336                .p_class        = P_GLOBAL,
     2337                .ptr            = &Globals.client_ipc_signing,
    23062338                .special        = NULL,
    23072339                .enum_list      = enum_smb_signing_vals,
     
    47504782                .p_class        = P_GLOBAL,
    47514783                .ptr            = &Globals.bWinbindOfflineLogon,
     4784                .special        = NULL,
     4785                .enum_list      = NULL,
     4786                .flags          = FLAG_ADVANCED,
     4787        },
     4788        {
     4789                .label          = "winbind sealed pipes",
     4790                .type           = P_BOOL,
     4791                .p_class        = P_GLOBAL,
     4792                .ptr            = &Globals.bWinbindSealedPipes,
    47524793                .special        = NULL,
    47534794                .enum_list      = NULL,
     
    53375378        Globals.bLanmanAuth = False;    /* Do NOT use the LanMan hash, even if it is supplied */
    53385379        Globals.bNTLMAuth = True;       /* Do use NTLMv1 if it is supplied by the client (otherwise NTLMv2) */
     5380        Globals.bRawNTLMv2Auth = false; /* Allow NTLMv2 without NTLMSSP */
    53395381        Globals.bClientNTLMv2Auth = True; /* Client should always use use NTLMv2, as we can't tell that the server supports it, but most modern servers do */
    53405382        /* Note, that we will also use NTLM2 session security (which is different), if it is available */
     5383
     5384        Globals.bAllowDcerpcAuthLevelConnect = false; /* we don't allow this by default */
    53415385
    53425386        Globals.map_to_guest = 0;       /* By Default, "Never" */
     
    53815425        Globals.ldap_debug_threshold = 10;
    53825426
     5427        Globals.client_ldap_sasl_wrapping = ADS_AUTH_SASL_SIGN;
     5428
    53835429        /* This is what we tell the afs client. in reality we set the token
    53845430         * to never expire, though, when this runs out the afs client will
     
    54455491        Globals.bWinbindRefreshTickets = False;
    54465492        Globals.bWinbindOfflineLogon = False;
     5493        Globals.bWinbindSealedPipes = True;
    54475494
    54485495        Globals.iIdmapCacheTime = 86400 * 7; /* a week by default */
     
    54575504
    54585505        Globals.client_signing = Auto;
     5506        Globals.client_ipc_signing = Required;
    54595507        Globals.server_signing = False;
    54605508
     
    57105758FN_GLOBAL_STRING(lp_check_password_script, &Globals.szCheckPasswordScript)
    57115759
     5760FN_GLOBAL_BOOL(lp_allow_dcerpc_auth_level_connect, &Globals.bAllowDcerpcAuthLevelConnect)
    57125761FN_GLOBAL_STRING(lp_wins_hook, &Globals.szWINSHook)
    57135762FN_GLOBAL_CONST_STRING(lp_template_homedir, &Globals.szTemplateHomedir)
     
    57235772FN_GLOBAL_BOOL(lp_winbind_refresh_tickets, &Globals.bWinbindRefreshTickets)
    57245773FN_GLOBAL_BOOL(lp_winbind_offline_logon, &Globals.bWinbindOfflineLogon)
     5774FN_GLOBAL_BOOL(lp_winbind_sealed_pipes, &Globals.bWinbindSealedPipes)
    57255775FN_GLOBAL_BOOL(lp_winbind_normalize_names, &Globals.bWinbindNormalizeNames)
    57265776FN_GLOBAL_BOOL(lp_winbind_rpc_only, &Globals.bWinbindRpcOnly)
     
    58195869FN_GLOBAL_BOOL(lp_lanman_auth, &Globals.bLanmanAuth)
    58205870FN_GLOBAL_BOOL(lp_ntlm_auth, &Globals.bNTLMAuth)
     5871FN_GLOBAL_BOOL(lp_raw_ntlmv2_auth, &Globals.bRawNTLMv2Auth)
    58215872FN_GLOBAL_BOOL(lp_client_plaintext_auth, &Globals.bClientPlaintextAuth)
    58225873FN_GLOBAL_BOOL(lp_client_lanman_auth, &Globals.bClientLanManAuth)
     
    60576108FN_GLOBAL_INTEGER(lp_name_cache_timeout, &Globals.name_cache_timeout)
    60586109FN_GLOBAL_INTEGER(lp_client_signing, &Globals.client_signing)
     6110FN_GLOBAL_INTEGER(lp_client_ipc_signing, &Globals.client_ipc_signing)
    60596111FN_GLOBAL_INTEGER(lp_server_signing, &Globals.server_signing)
    60606112FN_GLOBAL_INTEGER(lp_client_ldap_sasl_wrapping, &Globals.client_ldap_sasl_wrapping)
     
    96869738        }
    96879739
     9740        if (!lp_is_in_client()) {
     9741                switch (lp_client_ipc_signing()) {
     9742                case Required:
     9743                        lp_set_cmdline("client signing", "mandatory");
     9744                        break;
     9745                case Auto:
     9746                        lp_set_cmdline("client signing", "auto");
     9747                        break;
     9748                case False:
     9749                        lp_set_cmdline("client signing", "disabled");
     9750                        break;
     9751                }
     9752        }
     9753
    96889754        init_iconv();
    96899755
Note: See TracChangeset for help on using the changeset viewer.