ntlm-back-connection-hostnames-20040713
authorJeffrey Altman <jaltman@mit.edu>
Tue, 13 Jul 2004 07:22:53 +0000 (07:22 +0000)
committerJeffrey Altman <jaltman@secure-endpoints.com>
Tue, 13 Jul 2004 07:22:53 +0000 (07:22 +0000)
commit10e32e99cea35cfe0da7726171fb2343f5e52a35
treeddea46bae7d47d9c13d148a84b8771bfc11f4602
parent229051032dbf6a56e99fa3231990df6c61b6fa9b
ntlm-back-connection-hostnames-20040713

Add function configureBackConnectionHostNames(void)

On Windows XP SP2, Windows 2003 SP1, and all future Windows operating systems
there is a restriction on the use of SMB authentication on loopback connections.
There are two work arounds available:

  (1) We can disable the check for matching host names.  This does not
  require a reboot:
  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
    "DisableLoopbackCheck"=dword:00000001

  (2) We can add the AFS SMB/CIFS service name to an approved list.  This
  does require a reboot:
  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0]
    "BackConnectionHostNames"=multi-sz

The algorithm will be:
  Check to see if cm_NetbiosName exists in the BackConnectionHostNames list
   If not, add it to the list.  (This will not take effect until the next reboot.)
      and check to see if DisableLoopbackCheck is set.
      If not set, set the DisableLoopbackCheck value to 0x1
                  and create HKLM\SOFTWARE\OpenAFS\Client  UnsetDisableLoopbackCheck
   else If cm_NetbiosName exists in the BackConnectionHostNames list,
      check for the UnsetDisableLoopbackCheck value.
      If set, set the DisableLoopbackCheck flag to 0x0
      and delete the UnsetDisableLoopbackCheck value
src/WINNT/afsd/afsd_init.c