Ignore:
Timestamp:
Jun 9, 2016, 2:23:12 PM (9 years ago)
Author:
Silvan Scherrer
Message:

Samba Server: apply latest security patches to trunk

Location:
trunk/server
Files:
2 edited

Legend:

Unmodified
Added
Removed

  • trunk/server

  • trunk/server/source3/param/loadparm.c

    r918 r920  
    6565#include "dbwrap.h"
    6666#include "smbldap.h"
     67#include "../lib/util/bitmap.h"
    6768
    6869#ifdef HAVE_SYS_SYSCTL_H
     
    219220        bool bWinbindRefreshTickets;
    220221        bool bWinbindOfflineLogon;
     222        bool bWinbindSealedPipes;
    221223        bool bWinbindNormalizeNames;
    222224        bool bWinbindRpcOnly;
     
    340342        bool bLanmanAuth;
    341343        bool bNTLMAuth;
     344        bool bRawNTLMv2Auth;
    342345        bool bUseSpnego;
    343346        bool bClientLanManAuth;
     
    357360        bool bHostnameLookups;
    358361        bool bUnixExtensions;
     362        bool bAllowDcerpcAuthLevelConnect;
    359363        bool bDisableNetbios;
    360364        char * szDedicatedKeytabFile;
     
    369373        int name_cache_timeout;
    370374        int client_signing;
     375        int client_ipc_signing;
    371376        int server_signing;
    372377        int client_ldap_sasl_wrapping;
     
    13871392        },
    13881393        {
     1394                .label          = "raw NTLMv2 auth",
     1395                .type           = P_BOOL,
     1396                .p_class        = P_GLOBAL,
     1397                .ptr            = &Globals.bRawNTLMv2Auth,
     1398                .special        = NULL,
     1399                .enum_list      = NULL,
     1400                .flags          = FLAG_ADVANCED,
     1401        },
     1402        {
    13891403                .label          = "client NTLMv2 auth",
    13901404                .type           = P_BOOL,
     
    22952309        },
    22962310        {
     2311                .label          = "allow dcerpc auth level connect",
     2312                .type           = P_BOOL,
     2313                .p_class        = P_GLOBAL,
     2314                .ptr            = &Globals.bAllowDcerpcAuthLevelConnect,
     2315                .special        = NULL,
     2316                .enum_list      = NULL,
     2317                .flags          = FLAG_ADVANCED,
     2318        },
     2319        {
    22972320                .label          = "use spnego",
    22982321                .type           = P_BOOL,
     
    23082331                .p_class        = P_GLOBAL,
    23092332                .ptr            = &Globals.client_signing,
     2333                .special        = NULL,
     2334                .enum_list      = enum_smb_signing_vals,
     2335                .flags          = FLAG_ADVANCED,
     2336        },
     2337        {
     2338                .label          = "client ipc signing",
     2339                .type           = P_ENUM,
     2340                .p_class        = P_GLOBAL,
     2341                .ptr            = &Globals.client_ipc_signing,
    23102342                .special        = NULL,
    23112343                .enum_list      = enum_smb_signing_vals,
     
    47544786                .p_class        = P_GLOBAL,
    47554787                .ptr            = &Globals.bWinbindOfflineLogon,
     4788                .special        = NULL,
     4789                .enum_list      = NULL,
     4790                .flags          = FLAG_ADVANCED,
     4791        },
     4792        {
     4793                .label          = "winbind sealed pipes",
     4794                .type           = P_BOOL,
     4795                .p_class        = P_GLOBAL,
     4796                .ptr            = &Globals.bWinbindSealedPipes,
    47564797                .special        = NULL,
    47574798                .enum_list      = NULL,
     
    53815422        Globals.bLanmanAuth = False;    /* Do NOT use the LanMan hash, even if it is supplied */
    53825423        Globals.bNTLMAuth = True;       /* Do use NTLMv1 if it is supplied by the client (otherwise NTLMv2) */
     5424        Globals.bRawNTLMv2Auth = false; /* Allow NTLMv2 without NTLMSSP */
    53835425        Globals.bClientNTLMv2Auth = True; /* Client should always use use NTLMv2, as we can't tell that the server supports it, but most modern servers do */
    53845426        /* Note, that we will also use NTLM2 session security (which is different), if it is available */
     5427
     5428        Globals.bAllowDcerpcAuthLevelConnect = false; /* we don't allow this by default */
    53855429
    53865430        Globals.map_to_guest = 0;       /* By Default, "Never" */
     
    54255469        Globals.ldap_debug_threshold = 10;
    54265470
     5471        Globals.client_ldap_sasl_wrapping = ADS_AUTH_SASL_SIGN;
     5472
    54275473        /* This is what we tell the afs client. in reality we set the token
    54285474         * to never expire, though, when this runs out the afs client will
     
    54895535        Globals.bWinbindRefreshTickets = False;
    54905536        Globals.bWinbindOfflineLogon = False;
     5537        Globals.bWinbindSealedPipes = True;
    54915538
    54925539        Globals.iIdmapCacheTime = 86400 * 7; /* a week by default */
     
    55015548
    55025549        Globals.client_signing = Auto;
     5550        Globals.client_ipc_signing = Required;
    55035551        Globals.server_signing = False;
    55045552
     
    57545802FN_GLOBAL_STRING(lp_check_password_script, &Globals.szCheckPasswordScript)
    57555803
     5804FN_GLOBAL_BOOL(lp_allow_dcerpc_auth_level_connect, &Globals.bAllowDcerpcAuthLevelConnect)
    57565805FN_GLOBAL_STRING(lp_wins_hook, &Globals.szWINSHook)
    57575806FN_GLOBAL_CONST_STRING(lp_template_homedir, &Globals.szTemplateHomedir)
     
    57675816FN_GLOBAL_BOOL(lp_winbind_refresh_tickets, &Globals.bWinbindRefreshTickets)
    57685817FN_GLOBAL_BOOL(lp_winbind_offline_logon, &Globals.bWinbindOfflineLogon)
     5818FN_GLOBAL_BOOL(lp_winbind_sealed_pipes, &Globals.bWinbindSealedPipes)
    57695819FN_GLOBAL_BOOL(lp_winbind_normalize_names, &Globals.bWinbindNormalizeNames)
    57705820FN_GLOBAL_BOOL(lp_winbind_rpc_only, &Globals.bWinbindRpcOnly)
     
    58635913FN_GLOBAL_BOOL(lp_lanman_auth, &Globals.bLanmanAuth)
    58645914FN_GLOBAL_BOOL(lp_ntlm_auth, &Globals.bNTLMAuth)
     5915FN_GLOBAL_BOOL(lp_raw_ntlmv2_auth, &Globals.bRawNTLMv2Auth)
    58655916FN_GLOBAL_BOOL(lp_client_plaintext_auth, &Globals.bClientPlaintextAuth)
    58665917FN_GLOBAL_BOOL(lp_client_lanman_auth, &Globals.bClientLanManAuth)
     
    61016152FN_GLOBAL_INTEGER(lp_name_cache_timeout, &Globals.name_cache_timeout)
    61026153FN_GLOBAL_INTEGER(lp_client_signing, &Globals.client_signing)
     6154FN_GLOBAL_INTEGER(lp_client_ipc_signing, &Globals.client_ipc_signing)
    61036155FN_GLOBAL_INTEGER(lp_server_signing, &Globals.server_signing)
    61046156FN_GLOBAL_INTEGER(lp_client_ldap_sasl_wrapping, &Globals.client_ldap_sasl_wrapping)
     
    97539805        }
    97549806#endif
     9807
     9808        if (!lp_is_in_client()) {
     9809                switch (lp_client_ipc_signing()) {
     9810                case Required:
     9811                        lp_set_cmdline("client signing", "mandatory");
     9812                        break;
     9813                case Auto:
     9814                        lp_set_cmdline("client signing", "auto");
     9815                        break;
     9816                case False:
     9817                        lp_set_cmdline("client signing", "disabled");
     9818                        break;
     9819                }
     9820        }
     9821
    97559822        init_iconv();
    97569823
Note: See TracChangeset for help on using the changeset viewer.