← Back to branch summary

~ubuntu-branches/ubuntu/gutsy/samba/gutsy-updates

« back to all changes in this revision

Viewing changes to docs/htmldocs/manpages/smb.conf.5.html

  • Committer: Bazaar Package Importer
  • Author(s): Andrew Mitchell
  • Date: 2006-11-28 20:14:37 UTC
  • mfrom: (0.10.1 upstream)
  • Revision ID: james.westby@ubuntu.com-20061128201437-a6x4lzlhempazocp
Tags: 3.0.23d-1ubuntu1
* Merge from debian unstable.
* Drop python2.4-samba, replace with python-samba. Added Conflicts/Replaces
  on python2.4-samba
* Drop track-connection-dos.patch, ubuntu-winbind-panic.patch, 
  ubuntu-fix-ldap.patch, ubuntu-setlocale.patch, ubuntu-setlocale-fixes.patch
* Remaining Ubuntu changes:
  - Revert Debian's installation of mount.cifs and umount.cifs as suid
  - Comment out the default [homes] shares and add more verbose comments to
    explain what they do and how they work (closes: launchpad.net/27608)
  - Add a "valid users = %S" stanza to the commented-out [homes] section, to
    show users how to restrict access to \\server\username to only username.
  - Change the (commented-out) "printer admin" example to use "@lpadmin"
    instead of "@ntadmin", since the lpadmin group is used for spool admin.
  - Alter the panic-action script to encourage users to report their
    bugs in Ubuntu packages to Ubuntu, rather than reporting to Debian.
    Modify text to more closely match the Debian script
  - Munge our init script to deal with the fact that our implementation
    (or lack thereof) of log_daemon_msg and log_progress_msg differs
    from Debian's implementation of the same (Ubuntu #19691)
  - Kept ubuntu-auxsrc.patch: some auxilliary sources (undocumented in 
    previous changelogs)
  - Set default workgroup to MSHOME

Show diffs side-by-side

added added

removed removed

Lines of Context:
docs/htmldocs/manpages/smb.conf.5.html
1
 
<html><head><meta http-equiv="Content-Type" content="text/html; charset=ISO-8859-1"><title>smb.conf</title><link rel="stylesheet" href="samba.css" type="text/css"><meta name="generator" content="DocBook XSL Stylesheets V1.68.1"></head><body bgcolor="white" text="black" link="#0000FF" vlink="#840084" alink="#0000FF"><div class="refentry" lang="en"><a name="smb.conf.5"></a><div class="titlepage"></div><div class="refnamediv"><h2>Name</h2><p>smb.conf &#8212; The configuration file for the Samba suite</p></div><div class="refsect1" lang="en"><a name="id2489019"></a><h2>SYNOPSIS</h2><p>
 
1
<html><head><meta http-equiv="Content-Type" content="text/html; charset=ISO-8859-1"><title>smb.conf</title><link rel="stylesheet" href="samba.css" type="text/css"><meta name="generator" content="DocBook XSL Stylesheets V1.70.1"></head><body bgcolor="white" text="black" link="#0000FF" vlink="#840084" alink="#0000FF"><div class="refentry" lang="en"><a name="smb.conf.5"></a><div class="titlepage"></div><div class="refnamediv"><h2>Name</h2><p>smb.conf &#8212; The configuration file for the Samba suite</p></div><div class="refsect1" lang="en"><a name="id2526271"></a><h2>SYNOPSIS</h2><p>
2
2
        The <code class="filename">smb.conf</code> file is a configuration  file for the Samba suite. <code class="filename">smb.conf</code> contains  runtime configuration information for the Samba programs. The
3
3
        <code class="filename">smb.conf</code> file is designed to be configured and  administered by the
4
4
        <a href="swat.8.html"><span class="citerefentry"><span class="refentrytitle">swat</span>(8)</span></a> program. The
26
26
        The values following the equals sign in parameters are all either a string (no quotes needed) or a boolean,
27
27
        which may be given as yes/no, 0/1 or true/false. Case is not significant in boolean values, but is preserved
28
28
        in string values. Some items such as create masks are numeric.
29
 
        </p></div><div class="refsect1" lang="en"><a name="id2450646"></a><h2>SECTION DESCRIPTIONS</h2><p>
 
29
        </p></div><div class="refsect1" lang="en"><a name="id2488083"></a><h2>SECTION DESCRIPTIONS</h2><p>
30
30
        Each section in the configuration file (except for the [global] section) describes a shared resource (known as
31
31
        a &#8220;<span class="quote">share</span>&#8221;). The section name is the name of the shared resource and the parameters within the
32
32
        section define the shares attributes.
55
55
        The following sample section defines a file space share.  The user has write access to the path <code class="filename">/home/bar</code>.  The share is accessed via the share name <code class="literal">foo</code>:
56
56
</p><pre class="programlisting">
57
57
        <em class="parameter"><code>[foo]</code></em>
58
 
        <a class="indexterm" name="id2450748"></a>path = /home/bar
59
 
        <a class="indexterm" name="id2450755"></a>read only = no
 
58
        <a class="indexterm" name="id2488185"></a>path = /home/bar
 
59
        <a class="indexterm" name="id2488192"></a>read only = no
60
60
</pre><p>
61
61
        </p><p>
62
62
        The following sample section defines a printable share.  The share is read-only, but printable. That is,
64
64
        ok</em></span> parameter means access will be permitted as the default guest user (specified elsewhere):
65
65
</p><pre class="programlisting">
66
66
        <em class="parameter"><code>[aprinter]</code></em>
67
 
        <a class="indexterm" name="id2450854"></a>path = /usr/spool/public
68
 
        <a class="indexterm" name="id2450861"></a>read only = yes
69
 
        <a class="indexterm" name="id2450868"></a>printable = yes
70
 
        <a class="indexterm" name="id2450876"></a>guest ok = yes
 
67
        <a class="indexterm" name="id2488297"></a>path = /usr/spool/public
 
68
        <a class="indexterm" name="id2488304"></a>read only = yes
 
69
        <a class="indexterm" name="id2488312"></a>printable = yes
 
70
        <a class="indexterm" name="id2488319"></a>guest ok = yes
71
71
</pre><p>
72
 
        </p></div><div class="refsect1" lang="en"><a name="id2450886"></a><h2>SPECIAL SECTIONS</h2><div class="refsect2" lang="en"><a name="id2450892"></a><h3>The [global] section</h3><p>
 
72
        </p></div><div class="refsect1" lang="en"><a name="id2488329"></a><h2>SPECIAL SECTIONS</h2><div class="refsect2" lang="en"><a name="id2488335"></a><h3>The [global] section</h3><p>
73
73
                Parameters in this section apply to the server as a whole, or are defaults for sections that do not
74
74
                specifically define certain items. See the notes under PARAMETERS for more information.
75
75
                </p></div><div class="refsect2" lang="en"><a name="HOMESECT"></a><h3>The [homes] section</h3><p>
105
105
                than others. The following is a typical and suitable [homes] section:
106
106
</p><pre class="programlisting">
107
107
<em class="parameter"><code>[homes]</code></em>
108
 
<a class="indexterm" name="id2451002"></a>read only = no
 
108
<a class="indexterm" name="id2488446"></a>read only = no
109
109
</pre><p>
110
110
                </p><p>
111
111
                An important point is that if guest access is specified in the [homes] section, all home directories will be 
137
137
                it. A typical [printers] entry looks like this:
138
138
</p><pre class="programlisting">
139
139
<em class="parameter"><code>[printers]</code></em>
140
 
<a class="indexterm" name="id2451119"></a>path = /usr/spool/public
141
 
<a class="indexterm" name="id2451126"></a>guest ok = yes
142
 
<a class="indexterm" name="id2451134"></a>printable = yes
 
140
<a class="indexterm" name="id2488562"></a>path = /usr/spool/public
 
141
<a class="indexterm" name="id2488570"></a>guest ok = yes
 
142
<a class="indexterm" name="id2488577"></a>printable = yes
143
143
</pre><p>
144
144
                </p><p>
145
145
                All aliases given for a printer in the printcap file are legitimate printer names as far as the server is concerned. 
160
160
                On SYSV systems which use lpstat to determine what printers are defined on the system you may be able to use
161
161
                <code class="literal">printcap name = lpstat</code> to automatically obtain a list of printers. See the
162
162
                <code class="literal">printcap name</code> option for more details.
163
 
                </p></div></div></div><div class="refsect1" lang="en"><a name="id2451415"></a><h2>PARAMETERS</h2><p>Parameters define the specific attributes of sections.</p><p>
 
163
                </p></div></div></div><div class="refsect1" lang="en"><a name="id2488859"></a><h2>USERSHARES</h2><p>Starting with Samba version 3.0.23 the capability for non-root users to add, modify, and delete
 
164
        their own share definitions has been added. This capability is called <span class="emphasis"><em>usershares</em></span> and
 
165
        is controlled by a set of parameters in the <em class="parameter"><code></code></em> section of the smb.conf.
 
166
        The relevant parameters are :
 
167
        </p><div class="variablelist"><dl><dt><span class="term">usershare allow guests</span></dt><dd><p>Controls if usershares can permit guest access.</p></dd><dt><span class="term">usershare max shares</span></dt><dd><p>Maximum number of user defined shares allowed.</p></dd><dt><span class="term">usershare owner only</span></dt><dd><p>If set only directories owned by the sharing user can be shared.</p></dd><dt><span class="term">usershare path</span></dt><dd><p>Points to the directory containing the user defined share definitions.
 
168
                The filesystem permissions on this directory control who can create user defined shares.</p></dd><dt><span class="term">usershare prefix allow list</span></dt><dd><p>Comma-separated list of abolute pathnames restricting what directories
 
169
                can be shared. Only directories below the pathnames in this list are permitted.</p></dd><dt><span class="term">usershare prefix deny list</span></dt><dd><p>Comma-separated list of abolute pathnames restricting what directories
 
170
                can be shared. Directories below the pathnames in this list are prohibited.</p></dd><dt><span class="term">usershare template share</span></dt><dd><p>Names a pre-existing share used as a template for creating new usershares.
 
171
                All other share parameters not specified in the user defined share definition
 
172
                are copied from this named share.</p></dd></dl></div><p>To allow members of the UNIX group <code class="literal">foo</code> to create user defined
 
173
        shares, create the directory to contain the share definitions as follows:
 
174
        </p><p>Become root:</p><pre class="programlisting">
 
175
mkdir /usr/local/samba/lib/usershares
 
176
chgrp foo /usr/local/samba/lib/usershares
 
177
chmod 1770 /usr/local/samba/lib/usershares
 
178
</pre><p>Then add the parameters 
 
179
 
 
180
</p><pre class="programlisting">
 
181
        <a class="indexterm" name="id2489007"></a>usershare path = /usr/local/samba/lib/usershares
 
182
        <a class="indexterm" name="id2489015"></a>usershare max shares = 10 # (or the desired number of shares)
 
183
</pre><p> 
 
184
 
 
185
        to the global
 
186
        section of your <code class="filename">smb.conf</code>. Members of the group foo may then manipulate the user defined shares
 
187
        using the following commands.</p><div class="variablelist"><dl><dt><span class="term">net usershare add sharename path [comment] [acl] [guest_ok=[y|n]]</span></dt><dd><p>To create or modify (overwrite) a user defined share.</p></dd><dt><span class="term">net usershare delete sharename</span></dt><dd><p>To delete a user defined share.</p></dd><dt><span class="term">net usershare list wildcard-sharename</span></dt><dd><p>To list user defined shares.</p></dd><dt><span class="term">net usershare info wildcard-sharename</span></dt><dd><p>To print information about user defined shares.</p></dd></dl></div></div><div class="refsect1" lang="en"><a name="id2489086"></a><h2>PARAMETERS</h2><p>Parameters define the specific attributes of sections.</p><p>
164
188
        Some parameters are specific to the [global] section (e.g., <span class="emphasis"><em>security</em></span>).  Some parameters
165
189
        are usable in all sections (e.g., <span class="emphasis"><em>create mask</em></span>). All others are permissible only in normal
166
190
        sections. For the purposes of the following descriptions the [homes] and [printers] sections will be
172
196
        Parameters are arranged here in alphabetical order - this may not create best bedfellows, but at least you can
173
197
        find them! Where there are synonyms, the preferred synonym is described, others refer to the preferred
174
198
        synonym.
175
 
        </p></div><div class="refsect1" lang="en"><a name="id2451464"></a><h2>VARIABLE SUBSTITUTIONS</h2><p>
 
199
        </p></div><div class="refsect1" lang="en"><a name="id2489135"></a><h2>VARIABLE SUBSTITUTIONS</h2><p>
176
200
        Many of the strings that are settable in the config file can take substitutions. For example the option
177
201
        &#8220;<span class="quote">path = /tmp/%u</span>&#8221; is interpreted as &#8220;<span class="quote">path = /tmp/john</span>&#8221; if the user connected with the
178
202
        username john.
229
253
                </p></dd><dt><span class="term">default case = upper/lower</span></dt><dd><p>
230
254
                controls what the default case is for new filenames (ie. files that don't currently exist in the filesystem).
231
255
                Default <span class="emphasis"><em>lower</em></span>.  IMPORTANT NOTE: This option will be used to modify the case of
232
 
                <span class="emphasis"><em>all</em></span> incoming client filenames, not just new filenames if the options <a class="indexterm" name="id2498574"></a>case sensitive = yes, <a class="indexterm" name="id2498582"></a>preserve case = No,
233
 
                <a class="indexterm" name="id2498589"></a>short preserve case = No are set.  This change is needed as part of the
 
256
                <span class="emphasis"><em>all</em></span> incoming client filenames, not just new filenames if the options <a class="indexterm" name="id2536061"></a>case sensitive = yes, <a class="indexterm" name="id2536069"></a>preserve case = No,
 
257
                <a class="indexterm" name="id2536076"></a>short preserve case = No are set.  This change is needed as part of the
234
258
                optimisations for directories containing large numbers of files.
235
259
                </p></dd><dt><span class="term">preserve case = yes/no</span></dt><dd><p>
236
260
                controls whether new files (ie. files that don't currently exist in the filesystem) are created with the case
276
300
                </p></li><li><p>
277
301
                If the service is a guest service, a connection is made as the username given in the <code class="literal">guest account
278
302
                =</code> for the service, irrespective of the supplied password.
279
 
                </p></li></ol></div></div><div class="refsect1" lang="en"><a name="id2498809"></a><h2>EXPLANATION OF EACH PARAMETER</h2><div class="variablelist"><dl><dt><span class="term"><a name="ABORTSHUTDOWNSCRIPT"></a>abort shutdown script (G)</span></dt><dd><p>This a full path name to a script called by <a href="smbd.8.html"><span class="citerefentry"><span class="refentrytitle">smbd</span>(8)</span></a> that
280
 
        should stop a shutdown procedure issued by the <a class="indexterm" name="id2498852"></a>shutdown script.</p><p>If the connected user posseses the <code class="constant">SeRemoteShutdownPrivilege</code>,
 
303
                </p></li></ol></div></div><div class="refsect1" lang="en"><a name="id2536296"></a><h2>EXPLANATION OF EACH PARAMETER</h2><div class="variablelist"><dl><dt><span class="term"><a name="ABORTSHUTDOWNSCRIPT"></a>abort shutdown script (G)</span></dt><dd><p>This a full path name to a script called by <a href="smbd.8.html"><span class="citerefentry"><span class="refentrytitle">smbd</span>(8)</span></a> that
 
304
        should stop a shutdown procedure issued by the <a class="indexterm" name="id2536339"></a>shutdown script.</p><p>If the connected user posseses the <code class="constant">SeRemoteShutdownPrivilege</code>,
281
305
        right, this command will be run as user.</p><p>Default: <span class="emphasis"><em><em class="parameter"><code>abort shutdown script</code></em> = 
282
306
</em></span>
283
307
</p><p>Example: <span class="emphasis"><em><em class="parameter"><code>abort shutdown script</code></em> = /sbin/shutdown -c
327
351
        directory hierarchy in much the same was as Windows. This allows all members of a UNIX group to
328
352
        control the permissions on a file or directory they have group ownership on.
329
353
        </p><p>
330
 
        This parameter is best used with the <a class="indexterm" name="id2499084"></a>inherit owner option and also
 
354
        This parameter is best used with the <a class="indexterm" name="id2536571"></a>inherit owner option and also
331
355
        on on a share containing directories with the UNIX <span class="emphasis"><em>setgid bit</em></span> bit set
332
356
        on them, which causes new files and directories created within it to inherit the group
333
357
        ownership from the containing directory. 
334
358
        </p><p>
335
 
        This is a new parameter introduced in Samba 3.0.20.
336
 
        </p><p>
337
 
        This can be particularly useful to allow groups to manage their own security on a part
338
 
        of the filesystem they have group ownership of, removing the bottleneck of having only
339
 
        the user owner or superuser able to reset permissions.
 
359
        This is parameter has been marked deprecated in Samba 3.0.23.  The same behavior is now
 
360
        implemented by the <em class="parameter"><code>dos filemode</code></em> option.
340
361
        </p><p>Default: <span class="emphasis"><em><em class="parameter"><code>acl group control</code></em> = no
341
362
</em></span>
342
363
</p></dd><dt><span class="term"><a name="ACLMAPFULLCONTROL"></a>acl map full control (S)</span></dt><dd><p>This boolean parameter controls whether <a href="smbd.8.html"><span class="citerefentry"><span class="refentrytitle">smbd</span>(8)</span></a>maps a POSIX ACE entry of "rwx" (read/write/execute),
362
383
</em></span>
363
384
</p><p>Example: <span class="emphasis"><em><em class="parameter"><code>add machine script</code></em> = /usr/sbin/adduser -n -g machines -c Machine -d /var/lib/nobody -s /bin/false %u
364
385
</em></span>
 
386
</p></dd><dt><span class="term"><a name="ADDPORTCOMMAND"></a>add port command (G)</span></dt><dd><p>Samba 3.0.23 introduces support for adding printer ports
 
387
        remotely using the Windows "Add Standard TCP/IP Port Wizard".
 
388
        This option defines an external program to be executed when
 
389
        smbd receives a request to add a new Port to the system.
 
390
        he script is passed two parameters:
 
391
    </p><div class="itemizedlist"><ul type="disc"><li><p><em class="parameter"><code>port name</code></em></p></li><li><p><em class="parameter"><code>device URI</code></em></p></li></ul></div><p>The deviceURI is in the for of socket://&lt;hostname&gt;[:&lt;portnumber&gt;]
 
392
        or lpd://&lt;hostname&gt;/&lt;queuename&gt;.</p><p>Default: <span class="emphasis"><em><em class="parameter"><code>add port command</code></em> = 
 
393
</em></span>
 
394
</p><p>Example: <span class="emphasis"><em><em class="parameter"><code>add port command</code></em> = /etc/samba/scripts/addport.sh
 
395
</em></span>
365
396
</p></dd><dt><span class="term"><a name="ADDPRINTERCOMMAND"></a>add printer command (G)</span></dt><dd><p>With the introduction of MS-RPC based printing
366
397
    support for Windows NT/2000 clients in Samba 2.2, The MS Add
367
398
    Printer Wizard (APW) icon is now also available in the 
401
432
        uid == 0).
402
433
        </p><p>
403
434
        When executed, <span><strong class="command">smbd</strong></span> will automatically invoke the 
404
 
        <em class="parameter"><code>add share command</code></em> with four parameters.
 
435
        <em class="parameter"><code>add share command</code></em> with five parameters.
405
436
        </p><div class="itemizedlist"><ul type="disc"><li><p><em class="parameter"><code>configFile</code></em> - the location 
406
437
                        of the global <code class="filename">smb.conf</code> file. 
407
438
                        </p></li><li><p><em class="parameter"><code>shareName</code></em> - the name of the new 
410
441
                        directory on disk.
411
442
                        </p></li><li><p><em class="parameter"><code>comment</code></em> - comment string to associate 
412
443
                        with the new share.
 
444
                        </p></li><li><p><em class="parameter"><code>max
 
445
                        connections</code></em>
 
446
                        Number of maximum simultaneous connections to this
 
447
                        share.
413
448
                        </p></li></ul></div><p>
414
449
        This parameter is only used for add file shares.  To add printer shares, 
415
 
        see the <a class="indexterm" name="id2499601"></a>addprinter command.
 
450
        see the <a class="indexterm" name="id2537313"></a>addprinter command.
416
451
        </p><p>Default: <span class="emphasis"><em><em class="parameter"><code>add share command</code></em> = 
417
452
</em></span>
418
453
</p><p>Example: <span class="emphasis"><em><em class="parameter"><code>add share command</code></em> = /usr/local/bin/addshare
429
464
        <span class="emphasis"><em>ON DEMAND</em></span> when a user accesses the Samba server.
430
465
        </p><p>
431
466
        In order to use this option, <a href="smbd.8.html"><span class="citerefentry"><span class="refentrytitle">smbd</span>(8)</span></a> must <span class="emphasis"><em>NOT</em></span> be set to 
432
 
        <a class="indexterm" name="id2499696"></a>security = share and <a class="indexterm" name="id2499704"></a>add user script 
 
467
        <a class="indexterm" name="id2537408"></a>security = share and <a class="indexterm" name="id2537416"></a>add user script 
433
468
        must be set to a full pathname for a script that will create a UNIX user given one argument of 
434
469
        <em class="parameter"><code>%u</code></em>, which expands into the UNIX user name to create.
435
470
        </p><p>
436
471
        When the Windows user attempts to access the Samba server, at login (session setup in 
437
 
        the SMB protocol) time, <a href="smbd.8.html"><span class="citerefentry"><span class="refentrytitle">smbd</span>(8)</span></a> contacts the <a class="indexterm" name="id2499732"></a>password server 
 
472
        the SMB protocol) time, <a href="smbd.8.html"><span class="citerefentry"><span class="refentrytitle">smbd</span>(8)</span></a> contacts the <a class="indexterm" name="id2537444"></a>password server 
438
473
        and attempts to authenticate the given user with the given password. If the authentication 
439
474
        succeeds then <span><strong class="command">smbd</strong></span> attempts to find a UNIX user in the UNIX 
440
475
        password database to map the Windows user into. If this lookup fails, and 
441
 
        <a class="indexterm" name="id2499750"></a>add user script is set then <span><strong class="command">smbd</strong></span> will
 
476
        <a class="indexterm" name="id2537462"></a>add user script is set then <span><strong class="command">smbd</strong></span> will
442
477
        call the specified script <span class="emphasis"><em>AS ROOT</em></span>, expanding any 
443
478
        <em class="parameter"><code>%u</code></em> argument to be the user name to create.
444
479
        </p><p>
446
481
        continue on as though the UNIX user already existed. In this way, UNIX users are dynamically created to
447
482
        match existing Windows NT accounts.
448
483
        </p><p>
449
 
        See also <a class="indexterm" name="id2499790"></a>security, <a class="indexterm" name="id2499797"></a>password server,
450
 
        <a class="indexterm" name="id2499804"></a>delete user script.
 
484
        See also <a class="indexterm" name="id2537502"></a>security, <a class="indexterm" name="id2537509"></a>password server,
 
485
        <a class="indexterm" name="id2537516"></a>delete user script.
451
486
        </p><p>Default: <span class="emphasis"><em><em class="parameter"><code>add user script</code></em> = 
452
487
</em></span>
453
488
</p><p>Example: <span class="emphasis"><em><em class="parameter"><code>add user script</code></em> = /usr/local/samba/bin/add_user %u
468
503
    administrative privileges on the share. This means that they 
469
504
    will do all file operations as the super-user (root).</p><p>You should use this option very carefully, as any user in 
470
505
    this list will be able to do anything they like on the share, 
471
 
    irrespective of file permissions.</p><p>This parameter will not work with the <a class="indexterm" name="id2499954"></a>security = share in
 
506
    irrespective of file permissions.</p><p>This parameter will not work with the <a class="indexterm" name="id2537666"></a>security = share in
472
507
    Samba 3.0.  This is by design.</p><p>Default: <span class="emphasis"><em><em class="parameter"><code>admin users</code></em> = 
473
508
</em></span>
474
509
</p><p>Example: <span class="emphasis"><em><em class="parameter"><code>admin users</code></em> = jason
518
553
# (to disable roundups)
519
554
</em></span>
520
555
</p></dd><dt><span class="term"><a name="ALLOWTRUSTEDDOMAINS"></a>allow trusted domains (G)</span></dt><dd><p>
521
 
    This option only takes effect when the <a class="indexterm" name="id2500228"></a>security option is set to 
 
556
    This option only takes effect when the <a class="indexterm" name="id2537940"></a>security option is set to 
522
557
    <code class="constant">server</code>,<code class="constant">domain</code> or <code class="constant">ads</code>.  
523
558
    If it is set to no, then attempts to connect to a resource from 
524
559
    a domain or workgroup other than the one which smbd is running 
553
588
</em></span>
554
589
</p></dd><dt><span class="term"><a name="AUTHMETHODS"></a>auth methods (G)</span></dt><dd><p>
555
590
    This option allows the administrator to chose what authentication methods <span><strong class="command">smbd</strong></span> 
556
 
    will use when authenticating a user. This option defaults to sensible values based on <a class="indexterm" name="id2500552"></a>security.  
 
591
    will use when authenticating a user. This option defaults to sensible values based on <a class="indexterm" name="id2538127"></a>security.  
557
592
    This should be considered a developer option and used only in rare circumstances.  In the majority (if not all) 
558
593
    of production servers, the default setting should be adequate.
559
594
    </p><p>
581
616
        to limit what interfaces on a machine will serve SMB requests. It 
582
617
        affects file service <a href="smbd.8.html"><span class="citerefentry"><span class="refentrytitle">smbd</span>(8)</span></a> and name service <a href="nmbd.8.html"><span class="citerefentry"><span class="refentrytitle">nmbd</span>(8)</span></a> in a slightly different ways.</p><p>
583
618
        For name service it causes <span><strong class="command">nmbd</strong></span> to bind to ports 137 and 138 on the
584
 
        interfaces listed in the <a class="indexterm" name="id2500718"></a>interfaces parameter. <span><strong class="command">nmbd</strong></span>
 
619
        interfaces listed in the <a class="indexterm" name="id2538294"></a>interfaces parameter. <span><strong class="command">nmbd</strong></span>
585
620
        also binds to the "all addresses" interface (0.0.0.0) on ports 137 and 138 for the purposes of
586
621
        reading broadcast messages.  If this option is not set then <span><strong class="command">nmbd</strong></span> will
587
 
        service name requests on all of these sockets. If <a class="indexterm" name="id2500741"></a>bind interfaces only is set then
 
622
        service name requests on all of these sockets. If <a class="indexterm" name="id2538316"></a>bind interfaces only is set then
588
623
        <span><strong class="command">nmbd</strong></span> will check the source address of any packets coming in on the
589
624
        broadcast sockets and discard any that don't match the broadcast addresses of the interfaces in the
590
 
        <a class="indexterm" name="id2500757"></a>interfaces parameter list.  As unicast packets are received on the other sockets it
 
625
        <a class="indexterm" name="id2538333"></a>interfaces parameter list.  As unicast packets are received on the other sockets it
591
626
        allows <span><strong class="command">nmbd</strong></span> to refuse to serve names to machines that send packets that
592
 
        arrive through any interfaces not listed in the <a class="indexterm" name="id2500773"></a>interfaces list.  IP Source address
 
627
        arrive through any interfaces not listed in the <a class="indexterm" name="id2538349"></a>interfaces list.  IP Source address
593
628
        spoofing does defeat this simple check, however, so it must not be used seriously as a security feature for
594
629
        <span><strong class="command">nmbd</strong></span>.
595
630
        </p><p>
596
 
        For file service it causes <a href="smbd.8.html"><span class="citerefentry"><span class="refentrytitle">smbd</span>(8)</span></a> to bind only to the interface list given in the <a class="indexterm" name="id2500801"></a>interfaces parameter. This restricts the networks that <span><strong class="command">smbd</strong></span> will
 
631
        For file service it causes <a href="smbd.8.html"><span class="citerefentry"><span class="refentrytitle">smbd</span>(8)</span></a> to bind only to the interface list given in the <a class="indexterm" name="id2538377"></a>interfaces parameter. This restricts the networks that <span><strong class="command">smbd</strong></span> will
597
632
        serve to packets coming in those interfaces.  Note that you should not use this parameter for machines that
598
633
        are serving PPP or other intermittent or non-broadcast network interfaces as it will not cope with
599
634
        non-permanent interfaces.
600
635
        </p><p>
601
 
        If <a class="indexterm" name="id2500822"></a>bind interfaces only is set then unless the network address
602
 
        <span class="emphasis"><em>127.0.0.1</em></span> is added to the <a class="indexterm" name="id2500834"></a>interfaces parameter list
 
636
        If <a class="indexterm" name="id2538398"></a>bind interfaces only is set then unless the network address
 
637
        <span class="emphasis"><em>127.0.0.1</em></span> is added to the <a class="indexterm" name="id2538410"></a>interfaces parameter list
603
638
        <a href="smbpasswd.8.html"><span class="citerefentry"><span class="refentrytitle">smbpasswd</span>(8)</span></a> and
604
639
        <a href="swat.8.html"><span class="citerefentry"><span class="refentrytitle">swat</span>(8)</span></a> may not work as
605
640
        expected due to the reasons covered below.
606
641
        </p><p>
607
642
        To change a users SMB password, the <span><strong class="command">smbpasswd</strong></span> by default connects to the
608
643
        <span class="emphasis"><em>localhost - 127.0.0.1</em></span> address as an SMB client to issue the password change request. If
609
 
        <a class="indexterm" name="id2500874"></a>bind interfaces only is set then unless the network address
610
 
        <span class="emphasis"><em>127.0.0.1</em></span> is added to the <a class="indexterm" name="id2500886"></a>interfaces parameter list then <span><strong class="command"> smbpasswd</strong></span> will fail to connect in it's default mode.  <span><strong class="command">smbpasswd</strong></span> can be forced to use the primary IP interface of the local host by using
 
644
        <a class="indexterm" name="id2538450"></a>bind interfaces only is set then unless the network address
 
645
        <span class="emphasis"><em>127.0.0.1</em></span> is added to the <a class="indexterm" name="id2538462"></a>interfaces parameter list then <span><strong class="command"> smbpasswd</strong></span> will fail to connect in it's default mode.  <span><strong class="command">smbpasswd</strong></span> can be forced to use the primary IP interface of the local host by using
611
646
        its <a href="smbpasswd.8.html"><span class="citerefentry"><span class="refentrytitle">smbpasswd</span>(8)</span></a>    <em class="parameter"><code>-r <em class="replaceable"><code>remote machine</code></em></code></em> parameter, with <em class="replaceable"><code>remote
612
647
        machine</code></em> set to the IP name of the primary interface of the local host.
613
648
        </p><p>
639
674
    is an experimental option it may be removed in a future release.
640
675
    </p><p>Changing this option does not change the disk free reporting
641
676
    size, just the block size unit reported to the client.
642
 
    </p><p><span class="emphasis"><em>No default</em></span></p></dd><dt><span class="term"><a name="BROWSABLE"></a>browsable</span></dt><dd><p>This parameter is a synonym for browseable.</p></dd><dt><span class="term"><a name="BROWSEABLE"></a>browseable (S)</span></dt><dd><p>This controls whether this share is seen in 
 
677
    </p><p>Default: <span class="emphasis"><em><em class="parameter"><code>block size</code></em> = 1024
 
678
</em></span>
 
679
</p><p>Example: <span class="emphasis"><em><em class="parameter"><code>block size</code></em> = 4096
 
680
</em></span>
 
681
</p></dd><dt><span class="term"><a name="BROWSABLE"></a>browsable</span></dt><dd><p>This parameter is a synonym for browseable.</p></dd><dt><span class="term"><a name="BROWSEABLE"></a>browseable (S)</span></dt><dd><p>This controls whether this share is seen in 
643
682
        the list of available shares in a net view and in the browse list.</p><p>Default: <span class="emphasis"><em><em class="parameter"><code>browseable</code></em> = yes
644
683
</em></span>
645
684
</p></dd><dt><span class="term"><a name="BROWSELIST"></a>browse list (G)</span></dt><dd><p>This controls whether <a href="smbd.8.html"><span class="citerefentry"><span class="refentrytitle">smbd</span>(8)</span></a> will serve a browse list to 
647
686
        set to <code class="constant">yes</code>. You should never need to change 
648
687
        this.</p><p>Default: <span class="emphasis"><em><em class="parameter"><code>browse list</code></em> = yes
649
688
</em></span>
650
 
</p></dd><dt><span class="term"><a name="CASESIGNAMES"></a>casesignames</span></dt><dd><p>This parameter is a synonym for case sensitive.</p></dd><dt><span class="term"><a name="CASESENSITIVE"></a>case sensitive (S)</span></dt><dd><p>See the discussion in the section <a class="indexterm" name="id2501267"></a>name mangling.</p><p>Default: <span class="emphasis"><em><em class="parameter"><code>case sensitive</code></em> = no
 
689
</p></dd><dt><span class="term"><a name="CASESIGNAMES"></a>casesignames</span></dt><dd><p>This parameter is a synonym for case sensitive.</p></dd><dt><span class="term"><a name="CASESENSITIVE"></a>case sensitive (S)</span></dt><dd><p>See the discussion in the section <a class="indexterm" name="id2538861"></a>name mangling.</p><p>Default: <span class="emphasis"><em><em class="parameter"><code>case sensitive</code></em> = no
651
690
</em></span>
652
 
</p></dd><dt><span class="term"><a name="CHANGENOTIFYTIMEOUT"></a>change notify timeout (G)</span></dt><dd><p>This SMB allows a client to tell a server to 
 
691
</p></dd><dt><span class="term"><a name="CHANGENOTIFYTIMEOUT"></a>change notify timeout (S)</span></dt><dd><p>This SMB allows a client to tell a server to 
653
692
    "watch" a particular directory for any changes and only reply to
654
693
    the SMB request when a change has occurred. Such constant scanning of
655
694
    a directory is expensive under UNIX, hence an <a href="smbd.8.html"><span class="citerefentry"><span class="refentrytitle">smbd</span>(8)</span></a> daemon only performs such a scan 
656
695
    on each requested directory once every <em class="parameter"><code>change notify 
657
 
    timeout</code></em> seconds.</p><p>Default: <span class="emphasis"><em><em class="parameter"><code>change notify timeout</code></em> = 60
 
696
    timeout</code></em> seconds. Note that in 3.0.23 this has been changed to a
 
697
    per-share parameter and setting this to zero prevents any change notify directory
 
698
    scans completely on a share. This is to allow this paramter to be set to zero on
 
699
    shares configured for very large directories, where a Windows client will re-scan
 
700
    the entire directory after every delete operation (when deleting many files) due to
 
701
    the change notify triggering. This is an extremely expensive operation on some
 
702
    systems.</p><p>Default: <span class="emphasis"><em><em class="parameter"><code>change notify timeout</code></em> = 60
658
703
</em></span>
659
704
</p><p>Example: <span class="emphasis"><em><em class="parameter"><code>change notify timeout</code></em> = 300
660
705
# Would change the scan time to every 5 minutes.
669
714
        uid == 0).
670
715
        </p><p>
671
716
        When executed, <span><strong class="command">smbd</strong></span> will automatically invoke the 
672
 
        <em class="parameter"><code>change share command</code></em> with four parameters.
 
717
        <em class="parameter"><code>change share command</code></em> with five parameters.
673
718
        </p><div class="itemizedlist"><ul type="disc"><li><p><em class="parameter"><code>configFile</code></em> - the location 
674
719
                        of the global <code class="filename">smb.conf</code> file. 
675
720
                        </p></li><li><p><em class="parameter"><code>shareName</code></em> - the name of the new 
678
723
                        directory on disk.
679
724
                        </p></li><li><p><em class="parameter"><code>comment</code></em> - comment string to associate 
680
725
                        with the new share.
 
726
                        </p></li><li><p><em class="parameter"><code>max
 
727
                        connections</code></em>
 
728
                        Number of maximum simultaneous connections to this
 
729
                        share.
681
730
                        </p></li></ul></div><p>
682
731
        This parameter is only used modify existing file shares definitions.  To modify 
683
732
        printer shares, use the "Printers..." folder as seen when browsing the Samba host.
724
773
</em></span>
725
774
</p></dd><dt><span class="term"><a name="CLIENTSCHANNEL"></a>client schannel (G)</span></dt><dd><p>
726
775
    This controls whether the client offers or even demands the use of the netlogon schannel.
727
 
    <a class="indexterm" name="id2501788"></a>client schannel = no does not offer the schannel, 
728
 
    <a class="indexterm" name="id2501796"></a>client schannel = auto offers the schannel but does not
729
 
    enforce it, and <a class="indexterm" name="id2501805"></a>client schannel = yes denies access 
 
776
    <a class="indexterm" name="id2539403"></a>client schannel = no does not offer the schannel, 
 
777
    <a class="indexterm" name="id2539411"></a>client schannel = auto offers the schannel but does not
 
778
    enforce it, and <a class="indexterm" name="id2539420"></a>client schannel = yes denies access 
730
779
    if the server is not able to speak netlogon schannel. 
731
780
    </p><p>Default: <span class="emphasis"><em><em class="parameter"><code>client schannel</code></em> = auto
732
781
</em></span>
750
799
        when a client does a queries the server, either via the network 
751
800
        neighborhood or via <span><strong class="command">net view</strong></span> to list what shares 
752
801
        are available.</p><p>If you want to set the string that is displayed next to the 
753
 
                machine name then see the <a class="indexterm" name="id2501963"></a>server string parameter.</p><p>Default: <span class="emphasis"><em><em class="parameter"><code>comment</code></em> = 
 
802
                machine name then see the <a class="indexterm" name="id2539578"></a>server string parameter.</p><p>Default: <span class="emphasis"><em><em class="parameter"><code>comment</code></em> = 
754
803
# No comment
755
804
</em></span>
756
805
</p><p>Example: <span class="emphasis"><em><em class="parameter"><code>comment</code></em> = Fred's Files
785
834
        write and execute bits from the UNIX modes.
786
835
        </p><p>
787
836
        Following this Samba will bit-wise 'OR' the UNIX mode created from this parameter with the value of the
788
 
        <a class="indexterm" name="id2502186"></a>force create mode parameter which is set to 000 by default.
 
837
        <a class="indexterm" name="id2539801"></a>force create mode parameter which is set to 000 by default.
789
838
        </p><p>
790
 
        This parameter does not affect directory masks. See the parameter <a class="indexterm" name="id2502198"></a>directory mask
 
839
        This parameter does not affect directory masks. See the parameter <a class="indexterm" name="id2539813"></a>directory mask
791
840
        for details.
792
841
        </p><p>
793
842
        Note that this parameter does not apply to permissions set by Windows NT/2000 ACL editors. If the
794
 
        administrator wishes to enforce a mask on access control lists also, they need to set the <a class="indexterm" name="id2502213"></a>security mask.
 
843
        administrator wishes to enforce a mask on access control lists also, they need to set the <a class="indexterm" name="id2539828"></a>security mask.
795
844
        </p><p>Default: <span class="emphasis"><em><em class="parameter"><code>create mask</code></em> = 0744
796
845
</em></span>
797
846
</p><p>Example: <span class="emphasis"><em><em class="parameter"><code>create mask</code></em> = 0775
803
852
        These values correspond to those used on Windows servers.
804
853
        </p><p>
805
854
        For example, shares containing roaming profiles can have offline caching disabled using 
806
 
        <a class="indexterm" name="id2502281"></a>csc policy = disable.
 
855
        <a class="indexterm" name="id2539896"></a>csc policy = disable.
807
856
        </p><p>Default: <span class="emphasis"><em><em class="parameter"><code>csc policy</code></em> = manual
808
857
</em></span>
809
858
</p><p>Example: <span class="emphasis"><em><em class="parameter"><code>csc policy</code></em> = programs
810
859
</em></span>
811
860
</p></dd><dt><span class="term"><a name="CUPSOPTIONS"></a>cups options (S)</span></dt><dd><p>
812
 
    This parameter is only applicable if <a class="indexterm" name="id2502334"></a>printing is 
 
861
    This parameter is only applicable if <a class="indexterm" name="id2539949"></a>printing is 
813
862
    set to <code class="constant">cups</code>.  Its value is a free form string of options
814
863
    passed directly to the cups library.  
815
864
    </p><p>
828
877
</p><p>Example: <span class="emphasis"><em><em class="parameter"><code>cups options</code></em> = "raw,media=a4,job-sheets=secret,secret"
829
878
</em></span>
830
879
</p></dd><dt><span class="term"><a name="CUPSSERVER"></a>cups server (G)</span></dt><dd><p>
831
 
    This parameter is only applicable if <a class="indexterm" name="id2502423"></a>printing is set to <code class="constant">cups</code>.
 
880
    This parameter is only applicable if <a class="indexterm" name="id2540038"></a>printing is set to <code class="constant">cups</code>.
832
881
    </p><p>
833
882
   If set, this option overrides the ServerName option in the CUPS <code class="filename">client.conf</code>. This is 
834
883
   necessary if you have virtual samba servers that connect to different CUPS daemons.
 
884
   </p><p>Optionally, a port can be specified by separating the server name 
 
885
           and port number with a colon. If no port was specified, 
 
886
           the default port for IPP (631) will be used.
835
887
   </p><p>Default: <span class="emphasis"><em><em class="parameter"><code>cups server</code></em> = ""
836
888
</em></span>
837
 
</p><p>Example: <span class="emphasis"><em><em class="parameter"><code>cups server</code></em> = MYCUPSSERVER
 
889
</p><p>Example: <span class="emphasis"><em><em class="parameter"><code>cups server</code></em> = mycupsserver
 
890
</em></span>
 
891
</p><p>Example: <span class="emphasis"><em><em class="parameter"><code>cups server</code></em> = mycupsserver:1631
838
892
</em></span>
839
893
</p></dd><dt><span class="term"><a name="DEADTIME"></a>deadtime (G)</span></dt><dd><p>The value of the parameter (a decimal integer) 
840
894
    represents the number of minutes of inactivity before a connection 
852
906
    Sometimes the timestamps in the log messages are needed with a resolution of higher that seconds, this 
853
907
    boolean parameter adds microsecond resolution to the timestamp  message header when turned on.
854
908
    </p><p>
855
 
    Note that the parameter <a class="indexterm" name="id2502568"></a>debug timestamp must be on for this to have an effect.
 
909
    Note that the parameter <a class="indexterm" name="id2540200"></a>debug timestamp must be on for this to have an effect.
856
910
    </p><p>Default: <span class="emphasis"><em><em class="parameter"><code>debug hires timestamp</code></em> = no
857
911
</em></span>
858
912
</p></dd><dt><span class="term"><a name="DEBUGPID"></a>debug pid (G)</span></dt><dd><p>
860
914
    message. This boolean parameter is adds the process-id to the timestamp message headers in the
861
915
    logfile when turned on.
862
916
    </p><p>
863
 
    Note that the parameter <a class="indexterm" name="id2502625"></a>debug timestamp must be on for this to have an effect.
 
917
    Note that the parameter <a class="indexterm" name="id2540257"></a>debug timestamp must be on for this to have an effect.
864
918
    </p><p>Default: <span class="emphasis"><em><em class="parameter"><code>debug pid</code></em> = no
865
919
</em></span>
866
920
</p></dd><dt><span class="term"><a name="TIMESTAMPLOGS"></a>timestamp logs</span></dt><dd><p>This parameter is a synonym for debug timestamp.</p></dd><dt><span class="term"><a name="DEBUGTIMESTAMP"></a>debug timestamp (G)</span></dt><dd><p>
867
921
    Samba debug log messages are timestamped by default. If you are running at a high 
868
 
    <a class="indexterm" name="id2502691"></a>debug level these timestamps can be distracting. This 
 
922
    <a class="indexterm" name="id2540323"></a>debug level these timestamps can be distracting. This 
869
923
    boolean parameter allows timestamping to be turned off.
870
924
        </p><p>Default: <span class="emphasis"><em><em class="parameter"><code>debug timestamp</code></em> = yes
871
925
</em></span>
873
927
    Samba is sometimes run as root and sometime run as the connected user, this boolean parameter inserts the 
874
928
    current euid, egid, uid and gid to the timestamp message headers in the log file if turned on.
875
929
    </p><p>
876
 
    Note that the parameter <a class="indexterm" name="id2502740"></a>debug timestamp must be on for this to have an effect.
 
930
    Note that the parameter <a class="indexterm" name="id2540372"></a>debug timestamp must be on for this to have an effect.
877
931
    </p><p>Default: <span class="emphasis"><em><em class="parameter"><code>debug uid</code></em> = no
878
932
</em></span>
879
 
</p></dd><dt><span class="term"><a name="DEFAULTCASE"></a>default case (S)</span></dt><dd><p>See the section on <a class="indexterm" name="id2502782"></a>name mangling
880
 
                . Also note the <a class="indexterm" name="id2502789"></a>short preserve case parameter.</p><p>Default: <span class="emphasis"><em><em class="parameter"><code>default case</code></em> = lower
 
933
</p></dd><dt><span class="term"><a name="DEFAULTCASE"></a>default case (S)</span></dt><dd><p>See the section on <a class="indexterm" name="id2540414"></a>name mangling
 
934
                . Also note the <a class="indexterm" name="id2540421"></a>short preserve case parameter.</p><p>Default: <span class="emphasis"><em><em class="parameter"><code>default case</code></em> = lower
881
935
</em></span>
882
 
</p></dd><dt><span class="term"><a name="DEFAULTDEVMODE"></a>default devmode (S)</span></dt><dd><p>This parameter is only applicable to <a class="indexterm" name="id2502831"></a>printable services.
 
936
</p></dd><dt><span class="term"><a name="DEFAULTDEVMODE"></a>default devmode (S)</span></dt><dd><p>This parameter is only applicable to <a class="indexterm" name="id2540463"></a>printable services.
883
937
    When smbd is serving Printer Drivers to Windows NT/2k/XP clients, each printer on the Samba
884
938
    server has a Device Mode which defines things such as paper size and
885
939
    orientation and duplex settings.  The device mode can only correctly be
908
962
        given in the parameter value (see example below).</p><p>There is no default value for this parameter. If this 
909
963
        parameter is not given, attempting to connect to a nonexistent 
910
964
        service results in an error.</p><p>
911
 
        Typically the default service would be a <a class="indexterm" name="id2502954"></a>guest ok, <a class="indexterm" name="id2502961"></a>read-only service.</p><p>Also note that the apparent service name will be changed to equal
 
965
        Typically the default service would be a <a class="indexterm" name="id2540586"></a>guest ok, <a class="indexterm" name="id2540593"></a>read-only service.</p><p>Also note that the apparent service name will be changed to equal
912
966
        that of the requested service, this is very useful as it allows you to use macros like <em class="parameter"><code>%S</code></em> to make a wildcard service.
913
967
        </p><p>Note also that any "_" characters in the name of the service 
914
968
        used in the default service will get mapped to a "/". This allows for
940
994
    possible to delete printer at run time by issuing the 
941
995
    DeletePrinter() RPC call.</p><p>For a Samba host this means that the printer must be 
942
996
    physically deleted from underlying printing system.  The 
943
 
    <a class="indexterm" name="id2503147"></a>deleteprinter command defines a script to be run which 
 
997
    <a class="indexterm" name="id2540779"></a>deleteprinter command defines a script to be run which 
944
998
    will perform the necessary operations for removing the printer
945
999
    from the print system and from <code class="filename">smb.conf</code>.
946
 
    </p><p>The <a class="indexterm" name="id2503167"></a>deleteprinter command is 
947
 
    automatically called with only one parameter: <a class="indexterm" name="id2503175"></a>printer name.
948
 
        </p><p>Once the <a class="indexterm" name="id2503186"></a>deleteprinter command has 
 
1000
    </p><p>The <a class="indexterm" name="id2540799"></a>deleteprinter command is 
 
1001
    automatically called with only one parameter: <a class="indexterm" name="id2540807"></a>printer name.
 
1002
        </p><p>Once the <a class="indexterm" name="id2540818"></a>deleteprinter command has 
949
1003
    been executed, <span><strong class="command">smbd</strong></span> will reparse the <code class="filename">
950
1004
    smb.conf</code> to associated printer no longer exists.  
951
1005
    If the sharename is still valid, then <span><strong class="command">smbd
975
1029
                        the existing service.
976
1030
                        </p></li></ul></div><p>
977
1031
        This parameter is only used to remove file shares.  To delete printer shares, 
978
 
        see the <a class="indexterm" name="id2503387"></a>deleteprinter command.
 
1032
        see the <a class="indexterm" name="id2541019"></a>deleteprinter command.
979
1033
        </p><p>Default: <span class="emphasis"><em><em class="parameter"><code>delete share command</code></em> = 
980
1034
</em></span>
981
1035
</p><p>Example: <span class="emphasis"><em><em class="parameter"><code>delete share command</code></em> = /usr/local/bin/delshare
1000
1054
</em></span>
1001
1055
</p></dd><dt><span class="term"><a name="DELETEVETOFILES"></a>delete veto files (S)</span></dt><dd><p>This option is used when Samba is attempting to 
1002
1056
        delete a directory that contains one or more vetoed directories 
1003
 
        (see the <a class="indexterm" name="id2503587"></a>veto files
 
1057
        (see the <a class="indexterm" name="id2541219"></a>veto files
1004
1058
        option).  If this option is set to <code class="constant">no</code> (the default) then if a vetoed 
1005
1059
        directory contains any non-vetoed files or directories then the 
1006
1060
        directory delete will fail. This is usually what you want.</p><p>If this option is set to <code class="constant">yes</code>, then Samba 
1008
1062
        the vetoed directory. This can be useful for integration with file 
1009
1063
        serving systems such as NetAtalk which create meta-files within 
1010
1064
        directories you might normally veto DOS/Windows users from seeing 
1011
 
        (e.g. <code class="filename">.AppleDouble</code>)</p><p>Setting <a class="indexterm" name="id2503622"></a>delete veto files = yes allows these 
 
1065
        (e.g. <code class="filename">.AppleDouble</code>)</p><p>Setting <a class="indexterm" name="id2541254"></a>delete veto files = yes allows these 
1012
1066
        directories to be  transparently deleted when the parent directory 
1013
1067
        is deleted (so long as the user has permissions to do so).</p><p>Default: <span class="emphasis"><em><em class="parameter"><code>delete veto files</code></em> = no
1014
1068
</em></span>
1020
1074
        </p><p>
1021
1075
        This is a new parameter introduced in Samba version 3.0.21.  It specifies in seconds the time that smbd will
1022
1076
        cache the output of a disk free query. If set to zero (the default) no caching is done. This allows a heavily
1023
 
        loaded server to prevent rapid spawning of <a class="indexterm" name="id2503684"></a>dfree command scripts increasing the load.
 
1077
        loaded server to prevent rapid spawning of <a class="indexterm" name="id2541316"></a>dfree command scripts increasing the load.
1024
1078
        </p><p>
1025
1079
        By default this parameter is zero, meaning no caching will be done.
1026
1080
        </p><p><span class="emphasis"><em>No default</em></span></p><p>Example: <span class="emphasis"><em><em class="parameter"><code>dfree cache time</code></em> = dfree cache time = 60
1036
1090
        function.
1037
1091
        </p><p>
1038
1092
        In Samba version 3.0.21 this parameter has been changed to be a per-share parameter, and in addition the
1039
 
        parameter <a class="indexterm" name="id2503764"></a>dfree cache time was added to allow the output of this script to be cached
 
1093
        parameter <a class="indexterm" name="id2541391"></a>dfree cache time was added to allow the output of this script to be cached
1040
1094
        for systems under heavy load.
1041
1095
        </p><p>
1042
1096
        The external program will be passed a single parameter indicating a directory in the filesystem being queried.
1074
1128
    created.</p><p>The default value of this parameter removes the 'group' 
1075
1129
    and 'other' write bits from the UNIX mode, allowing only the 
1076
1130
    user who owns the directory to modify it.</p><p>Following this Samba will bit-wise 'OR' the UNIX mode 
1077
 
    created from this parameter with the value of the <a class="indexterm" name="id2503910"></a>force directory mode parameter. 
 
1131
    created from this parameter with the value of the <a class="indexterm" name="id2541537"></a>force directory mode parameter. 
1078
1132
    This parameter is set to 000 by default (i.e. no extra mode bits are added).</p><p>Note that this parameter does not apply to permissions
1079
1133
    set by Windows NT/2000 ACL editors. If the administrator wishes to enforce
1080
 
    a mask on access control lists also, they need to set the <a class="indexterm" name="id2503926"></a>directory security mask.</p><p>Default: <span class="emphasis"><em><em class="parameter"><code>directory mask</code></em> = 0755
 
1134
    a mask on access control lists also, they need to set the <a class="indexterm" name="id2541553"></a>directory security mask.</p><p>Default: <span class="emphasis"><em><em class="parameter"><code>directory mask</code></em> = 0755
1081
1135
</em></span>
1082
1136
</p><p>Example: <span class="emphasis"><em><em class="parameter"><code>directory mask</code></em> = 0775
1083
1137
</em></span>
1086
1140
    permission on a directory using the native NT security dialog 
1087
1141
    box.</p><p>
1088
1142
        This parameter is applied as a mask (AND'ed with) to the changed permission bits, thus preventing any bits not
1089
 
        in this mask from being modified.  Make sure not to mix up this parameter with <a class="indexterm" name="id2503988"></a>force  directory security mode, which works similar like this one but uses logical OR instead of AND.
 
1143
        in this mask from being modified.  Make sure not to mix up this parameter with <a class="indexterm" name="id2541616"></a>force  directory security mode, which works similar like this one but uses logical OR instead of AND.
1090
1144
        Essentially, zero bits in this mask may be treated as a set of bits the user is not allowed to change.
1091
1145
        </p><p>If not set explicitly this parameter is set to 0777
1092
1146
    meaning a user is allowed to modify all the user/group/world
1107
1161
</p></dd><dt><span class="term"><a name="DISABLESPOOLSS"></a>disable spoolss (G)</span></dt><dd><p>Enabling this parameter will disable Samba's support
1108
1162
    for the SPOOLSS set of MS-RPC's and will yield identical behavior
1109
1163
    as Samba 2.0.x.  Windows NT/2000 clients will downgrade to using
1110
 
    Lanman style printing commands. Windows 9x/ME will be uneffected by
 
1164
    Lanman style printing commands. Windows 9x/ME will be unaffected by
1111
1165
    the parameter. However, this will also disable the ability to upload
1112
1166
    printer drivers to a Samba server via the Windows NT Add Printer
1113
1167
    Wizard or by using the NT printer properties dialog window.  It will
1118
1172
</em></span>
1119
1173
</p></dd><dt><span class="term"><a name="DISPLAYCHARSET"></a>display charset (G)</span></dt><dd><p>Specifies the charset that samba will use 
1120
1174
        to print messages to stdout and stderr and SWAT will use. 
1121
 
        Should generally be the same as the <a class="indexterm" name="id2504157"></a>unix charset.
 
1175
        Should generally be the same as the <a class="indexterm" name="id2541784"></a>unix charset.
1122
1176
</p><p>Default: <span class="emphasis"><em><em class="parameter"><code>display charset</code></em> = ASCII
1123
1177
</em></span>
1124
1178
</p><p>Example: <span class="emphasis"><em><em class="parameter"><code>display charset</code></em> = UTF8
1125
1179
</em></span>
 
1180
</p></dd><dt><span class="term"><a name="DMAPISUPPORT"></a>dmapi support (S)</span></dt><dd><p>This parameter specifies whether Samba should use DMAPI to
 
1181
        determine whether a file is offline or not. This would typically
 
1182
        be used in conjunction with a hierarchical storage system that
 
1183
        automatically migrates files to tape.
 
1184
        </p><p>Note that Samba infers the status of a file by examining the
 
1185
        events that a DMAPI application has registered interest in. This
 
1186
        heuristic is satisfactory for a number of hierarchical storage
 
1187
        systems, but there may be system for which it will fail. In this
 
1188
        case, Samba may erroneously report files to be offline.
 
1189
        </p><p>This parameter is only available if a supported DMAPI
 
1190
        implementation was found at compilation time. It will only be used
 
1191
        if DMAPI is found to enabled on the system at run time.
 
1192
        </p><p>
 
1193
        </p><p>Default: <span class="emphasis"><em><em class="parameter"><code>dmapi support</code></em> = no
 
1194
</em></span>
1126
1195
</p></dd><dt><span class="term"><a name="DNSPROXY"></a>dns proxy (G)</span></dt><dd><p>Specifies that <a href="nmbd.8.html"><span class="citerefentry"><span class="refentrytitle">nmbd</span>(8)</span></a> when acting as a WINS server and 
1127
1196
        finding that a NetBIOS name has not been registered, should treat the 
1128
1197
        NetBIOS name word-for-word as a DNS name and do a lookup with the DNS server 
1135
1204
</p></dd><dt><span class="term"><a name="DOMAINLOGONS"></a>domain logons (G)</span></dt><dd><p>
1136
1205
        If set to <code class="constant">yes</code>, the Samba server will
1137
1206
        provide the netlogon service for Windows 9X network logons for the
1138
 
        <a class="indexterm" name="id2504276"></a>workgroup it is in.
 
1207
        <a class="indexterm" name="id2541958"></a>workgroup it is in.
1139
1208
        This will also cause the Samba server to act as a domain
1140
1209
        controller for NT4 style domain services. For more details on
1141
1210
        setting up this feature see the Domain Control chapter of the
1146
1215
        Tell <a href="smbd.8.html"><span class="citerefentry"><span class="refentrytitle">smbd</span>(8)</span></a> to enable
1147
1216
        WAN-wide browse list collation. Setting this option causes <span><strong class="command">nmbd</strong></span> to claim a
1148
1217
        special domain specific NetBIOS name that identifies it as a domain master browser for its given
1149
 
        <a class="indexterm" name="id2504337"></a>workgroup. Local master browsers in the same <a class="indexterm" name="id2504345"></a>workgroup on
 
1218
        <a class="indexterm" name="id2542020"></a>workgroup. Local master browsers in the same <a class="indexterm" name="id2542028"></a>workgroup on
1150
1219
        broadcast-isolated subnets will give this <span><strong class="command">nmbd</strong></span> their local browse lists,
1151
1220
        and then ask <a href="smbd.8.html"><span class="citerefentry"><span class="refentrytitle">smbd</span>(8)</span></a> for a
1152
1221
        complete copy of the browse list for the whole wide area network.  Browser clients will then contact their
1153
1222
        local master browser, and will receive the domain-wide browse list, instead of just the list for their
1154
1223
        broadcast-isolated subnet.
1155
1224
        </p><p>
1156
 
        Note that Windows NT Primary Domain Controllers expect to be able to claim this <a class="indexterm" name="id2504376"></a>workgroup specific special NetBIOS name that identifies them as domain master browsers for that
1157
 
        <a class="indexterm" name="id2504384"></a>workgroup by default (i.e. there is no way to prevent a Windows NT PDC from attempting
 
1225
        Note that Windows NT Primary Domain Controllers expect to be able to claim this <a class="indexterm" name="id2542059"></a>workgroup specific special NetBIOS name that identifies them as domain master browsers for that
 
1226
        <a class="indexterm" name="id2542067"></a>workgroup by default (i.e. there is no way to prevent a Windows NT PDC from attempting
1158
1227
        to do this). This means that if this parameter is set and <span><strong class="command">nmbd</strong></span> claims the
1159
 
        special name for a <a class="indexterm" name="id2504400"></a>workgroup before a Windows NT PDC is able to do so then cross
 
1228
        special name for a <a class="indexterm" name="id2542083"></a>workgroup before a Windows NT PDC is able to do so then cross
1160
1229
        subnet browsing will behave strangely and may fail.
1161
1230
        </p><p>
1162
 
        If <a class="indexterm" name="id2504413"></a>domain logons = yes, then the default behavior is to enable the
1163
 
        <a class="indexterm" name="id2504421"></a>domain master parameter.  If <a class="indexterm" name="id2504428"></a>domain logons is not enabled (the
1164
 
        default setting), then neither will <a class="indexterm" name="id2504437"></a>domain master be enabled by default.
 
1231
        If <a class="indexterm" name="id2542095"></a>domain logons = yes, then the default behavior is to enable the
 
1232
        <a class="indexterm" name="id2542103"></a>domain master parameter.  If <a class="indexterm" name="id2542111"></a>domain logons is not enabled (the
 
1233
        default setting), then neither will <a class="indexterm" name="id2542119"></a>domain master be enabled by default.
1165
1234
        </p><p>
1166
 
        When <a class="indexterm" name="id2504448"></a>domain logons = Yes the default setting for this parameter is
1167
 
        Yes, with the result that Samba will be a PDC. If <a class="indexterm" name="id2504457"></a>domain master = No,
 
1235
        When <a class="indexterm" name="id2542130"></a>domain logons = Yes the default setting for this parameter is
 
1236
        Yes, with the result that Samba will be a PDC. If <a class="indexterm" name="id2542139"></a>domain master = No,
1168
1237
        Samba will function as a BDC. In general, this parameter should be set to 'No' only on a BDC.
1169
1238
        </p><p>Default: <span class="emphasis"><em><em class="parameter"><code>domain master</code></em> = auto
1170
1239
</em></span>
1189
1258
        able to change the permissions on it.  However, this behavior
1190
1259
        is often confusing to  DOS/Windows users.  Enabling this parameter 
1191
1260
        allows a user who has write access to the file (by whatever 
1192
 
        means) to modify the permissions on it.  Note that a user
 
1261
        means) to modify the permissions (including ACL) on it.  Note that a user
1193
1262
        belonging to the group owning the file will not be allowed to
1194
1263
        change permissions if the group is only granted read access.
1195
 
        Ownership of the file/directory is not changed, only the permissions 
1196
 
        are modified.</p><p>Default: <span class="emphasis"><em><em class="parameter"><code>dos filemode</code></em> = no
 
1264
        Ownership of the file/directory may also be changed.</p><p>Default: <span class="emphasis"><em><em class="parameter"><code>dos filemode</code></em> = no
1197
1265
</em></span>
1198
1266
</p></dd><dt><span class="term"><a name="DOSFILETIMERESOLUTION"></a>dos filetime resolution (S)</span></dt><dd><p>Under the DOS and Windows FAT filesystem, the finest 
1199
1267
        granularity on time resolution is two seconds. Setting this parameter 
1237
1305
    behavior in smbd for many years.  However, certain Microsoft applications
1238
1306
    such as the Print Migrator tool require that the remote server support
1239
1307
    an [ADMIN$} file share.  Disabling this parameter allows for creating 
1240
 
    an [ADMIN$] file share in smb.conf.</p><p>Default: <span class="emphasis"><em><em class="parameter"><code>enable asu support</code></em> = yes
1241
 
</em></span>
1242
 
</p></dd><dt><span class="term"><a name="ENABLEPRIVILEGES"></a>enable privileges (G)</span></dt><dd><p>This parameter controls whether or not smbd will honor
1243
 
        privileges assigned to specific SIDs via either <span><strong class="command">net rpc rights</strong></span>
1244
 
        or one of the Windows user and group manager tools.  This parameter is 
1245
 
        disabled by default to prevent members of the Domain Admins group from 
1246
 
        being able to assign privileges to users or groups which can then result in certain
1247
 
        smbd operations running as root that would normally run under the context 
1248
 
        of the connected user.  </p><p>An example of how privileges can be used is to assign
1249
 
        the right to join clients to a Samba controlled domain without
1250
 
        providing root access to the server via smbd.</p><p>Please read the extended description provided in the
1251
 
        Samba documentation before enabling this option.</p><p>Default: <span class="emphasis"><em><em class="parameter"><code>enable privileges</code></em> = no
1252
 
</em></span>
1253
 
</p></dd><dt><span class="term"><a name="ENABLERIDALGORITHM"></a>enable rid algorithm (G)</span></dt><dd><p>This option is used to control whether or not smbd in Samba 3.0 should fallback
1254
 
        to the algorithm used by Samba 2.2 to generate user and group RIDs.  The longterm
1255
 
        development goal is to remove the algorithmic mappings of RIDs altogether, but 
1256
 
        this has proved to be difficult.  This parameter is mainly provided so that
1257
 
        developers can turn the algorithm on and off and see what breaks.  This parameter
1258
 
        should not be disabled by non-developers because certain features in Samba will fail 
1259
 
        to work without it.
1260
 
        </p><p>Default: <span class="emphasis"><em><em class="parameter"><code>enable rid algorithm</code></em> = yes
 
1308
    an [ADMIN$] file share in smb.conf.</p><p>Default: <span class="emphasis"><em><em class="parameter"><code>enable asu support</code></em> = no
 
1309
</em></span>
 
1310
</p></dd><dt><span class="term"><a name="ENABLEPRIVILEGES"></a>enable privileges (G)</span></dt><dd><p>
 
1311
        This parameter controls whether or not smbd will honor privileges assigned to specific SIDs via either
 
1312
        <span><strong class="command">net rpc rights</strong></span> or one of the Windows user and group manager tools.  This parameter is
 
1313
        enabled by default. It can be disabled to prevent members of the Domain Admins group from being able to
 
1314
        assign privileges to users or groups which can then result in certain smbd operations running as root that
 
1315
        would normally run under the context of the connected user.
 
1316
        </p><p>
 
1317
        An example of how privileges can be used is to assign the right to join clients to a Samba controlled
 
1318
        domain without providing root access to the server via smbd.
 
1319
        </p><p>
 
1320
        Please read the extended description provided in the Samba HOWTO documentation.
 
1321
        </p><p>Default: <span class="emphasis"><em><em class="parameter"><code>enable privileges</code></em> = yes
1261
1322
</em></span>
1262
1323
</p></dd><dt><span class="term"><a name="ENCRYPTPASSWORDS"></a>encrypt passwords (G)</span></dt><dd><p>This boolean controls whether encrypted passwords 
1263
1324
    will be negotiated with the client. Note that Windows NT 4.0 SP3 and 
1278
1339
    </p><p>In order for encrypted passwords to work correctly
1279
1340
    <a href="smbd.8.html"><span class="citerefentry"><span class="refentrytitle">smbd</span>(8)</span></a> must either 
1280
1341
    have access to a local <a href="smbpasswd.5.html"><span class="citerefentry"><span class="refentrytitle">smbpasswd</span>(5)</span></a> file (see the <a href="smbpasswd.8.html"><span class="citerefentry"><span class="refentrytitle">smbpasswd</span>(8)</span></a> program for information on how to set up 
1281
 
    and maintain this file), or set the <a class="indexterm" name="id2505029"></a>security = [server|domain|ads] parameter which 
 
1342
    and maintain this file), or set the <a class="indexterm" name="id2542668"></a>security = [server|domain|ads] parameter which 
1282
1343
    causes <span><strong class="command">smbd</strong></span> to authenticate against another 
1283
1344
        server.</p><p>Default: <span class="emphasis"><em><em class="parameter"><code>encrypt passwords</code></em> = yes
1284
1345
</em></span>
1315
1376
</p></dd><dt><span class="term"><a name="EVENTLOGLIST"></a>eventlog list (G)</span></dt><dd><p>This option defines a list of log names that Samba will 
1316
1377
    report to the Microsoft EventViewer utility.  The listed 
1317
1378
    eventlogs will be associated with tdb file on disk in the 
1318
 
    <code class="filename">$(libdir)/eventlog</code>.
 
1379
    <code class="filename">$(lockdir)/eventlog</code>.
1319
1380
    </p><p>
1320
1381
    The administrator must use an external process to parse the normal 
1321
1382
    Unix logs such as <code class="filename">/var/log/messages</code>
1354
1415
        cache file data. With some oplock types the client may even cache 
1355
1416
        file open/close operations. This can give enormous performance benefits.
1356
1417
        </p><p>When you set <span><strong class="command">fake oplocks = yes</strong></span>, <a href="smbd.8.html"><span class="citerefentry"><span class="refentrytitle">smbd</span>(8)</span></a> will
1357
 
        always grant oplock requests no matter how many clients are using the file.</p><p>It is generally much better to use the real <a class="indexterm" name="id2505382"></a>oplocks support rather 
 
1418
        always grant oplock requests no matter how many clients are using the file.</p><p>It is generally much better to use the real <a class="indexterm" name="id2543013"></a>oplocks support rather 
1358
1419
        than this parameter.</p><p>If you enable this option on all read-only shares or 
1359
1420
        shares that you know will only be accessed from one client at a 
1360
1421
        time such as physically read-only media like CDROMs, you will see 
1363
1424
        files read-write at the same time you can get data corruption. Use 
1364
1425
        this option carefully!</p><p>Default: <span class="emphasis"><em><em class="parameter"><code>fake oplocks</code></em> = no
1365
1426
</em></span>
 
1427
</p></dd><dt><span class="term"><a name="FAMCHANGENOTIFY"></a>fam change notify (G)</span></dt><dd><p>This parameter specifies whether Samba should ask the 
 
1428
        FAM daemon change notifications in directories so that
 
1429
        SMB clients can refresh whenever the data on the server changes.
 
1430
        </p><p>This parameter is only used when your system supports 
 
1431
        change notification to user programs, using the FAM daemon. If the FAM
 
1432
        daemon is not running, this parameter is automatically disabled. The
 
1433
        <em class="parameter"><code>kernel change notify</code></em>
 
1434
        parameter will take precedence if it is also enabled.
 
1435
        </p><p>Default: <span class="emphasis"><em><em class="parameter"><code>fam change notify</code></em> = yes
 
1436
</em></span>
1366
1437
</p></dd><dt><span class="term"><a name="FOLLOWSYMLINKS"></a>follow symlinks (S)</span></dt><dd><p>
1367
1438
        This parameter allows the Samba administrator to stop <a href="smbd.8.html"><span class="citerefentry"><span class="refentrytitle">smbd</span>(8)</span></a>    from following symbolic links in a particular share. Setting this 
1368
1439
        parameter to <code class="constant">no</code> prevents any file or directory that is a symbolic link from being 
1404
1475
        the UNIX permission on a directory using the native NT security dialog box.
1405
1476
        </p><p>
1406
1477
        This parameter is applied as a mask (OR'ed with) to the changed permission bits, thus forcing any bits in this
1407
 
        mask that the user may have modified to be on.  Make sure not to mix up this parameter with <a class="indexterm" name="id2505650"></a>directory security mask, which works in a similar manner to this one, but uses a logical AND instead
 
1478
        mask that the user may have modified to be on.  Make sure not to mix up this parameter with <a class="indexterm" name="id2543331"></a>directory security mask, which works in a similar manner to this one, but uses a logical AND instead
1408
1479
        of an OR. 
1409
1480
        </p><p>
1410
1481
        Essentially, this mask may be treated as a set of bits that, when modifying security on a directory, 
1438
1509
    that only users who are already in group sys will have their default
1439
1510
    primary group assigned to sys when accessing this Samba share. All
1440
1511
    other users will retain their ordinary primary group.</p><p>
1441
 
        If the <a class="indexterm" name="id2505789"></a>force user parameter is also set the group specified in 
 
1512
        If the <a class="indexterm" name="id2543460"></a>force user parameter is also set the group specified in 
1442
1513
    <em class="parameter"><code>force group</code></em> will override the primary group
1443
1514
    set in <em class="parameter"><code>force user</code></em>.</p><p>Default: <span class="emphasis"><em><em class="parameter"><code>force group</code></em> = 
1444
1515
</em></span>
1472
1543
    the UNIX permission on a file using the native NT security dialog box.
1473
1544
        </p><p>
1474
1545
        This parameter is applied as a mask (OR'ed with) to the changed permission bits, thus forcing any bits in this
1475
 
        mask that the user may have modified to be on.  Make sure not to mix up this parameter with <a class="indexterm" name="id2505948"></a>security mask, which works similar like this one but uses logical AND instead of OR. 
 
1546
        mask that the user may have modified to be on.  Make sure not to mix up this parameter with <a class="indexterm" name="id2543619"></a>security mask, which works similar like this one but uses logical AND instead of OR. 
1476
1547
        </p><p>
1477
1548
        Essentially, one bits in this mask may be treated as a set of bits that, when modifying security on a file,
1478
1549
        the user has always set to be on.
1540
1611
</p></dd><dt><span class="term"><a name="GETWDCACHE"></a>getwd cache (G)</span></dt><dd><p>This is a tuning option. When this is enabled a 
1541
1612
    caching algorithm will be used to reduce the time taken for getwd() 
1542
1613
    calls. This can have a significant impact on performance, especially 
1543
 
    when the <a class="indexterm" name="id2506390"></a>wide smbconfoptions parameter is set to <code class="constant">no</code>.</p><p>Default: <span class="emphasis"><em><em class="parameter"><code>getwd cache</code></em> = yes
 
1614
    when the <a class="indexterm" name="id2544069"></a>wide smbconfoptions parameter is set to <code class="constant">no</code>.</p><p>Default: <span class="emphasis"><em><em class="parameter"><code>getwd cache</code></em> = yes
1544
1615
</em></span>
1545
1616
</p></dd><dt><span class="term"><a name="GUESTACCOUNT"></a>guest account (G)</span></dt><dd><p>This is a username which will be used for access 
1546
 
    to services which are specified as <a class="indexterm" name="id2506435"></a>guest ok (see below). Whatever privileges this 
 
1617
    to services which are specified as <a class="indexterm" name="id2544115"></a>guest ok (see below). Whatever privileges this 
1547
1618
    user has will be available to any client connecting to the guest service. 
1548
1619
    This user must exist in the password file, but does not require
1549
1620
    a valid login. The user account "ftp" is often a good choice 
1562
1633
</em></span>
1563
1634
</p></dd><dt><span class="term"><a name="PUBLIC"></a>public</span></dt><dd><p>This parameter is a synonym for guest ok.</p></dd><dt><span class="term"><a name="GUESTOK"></a>guest ok (S)</span></dt><dd><p>If this parameter is <code class="constant">yes</code> for 
1564
1635
    a service, then no password is required to connect to the service. 
1565
 
    Privileges will be those of the <a class="indexterm" name="id2506551"></a>guest account.</p><p>This paramater nullifies the benifits of setting
1566
 
    <a class="indexterm" name="id2506563"></a>restrict anonymous = 2
1567
 
        </p><p>See the section below on <a class="indexterm" name="id2506574"></a>security for more information about this option.
 
1636
    Privileges will be those of the <a class="indexterm" name="id2544231"></a>guest account.</p><p>This paramater nullifies the benifits of setting
 
1637
    <a class="indexterm" name="id2544242"></a>restrict anonymous = 2
 
1638
        </p><p>See the section below on <a class="indexterm" name="id2544253"></a>security for more information about this option.
1568
1639
        </p><p>Default: <span class="emphasis"><em><em class="parameter"><code>guest ok</code></em> = no
1569
1640
</em></span>
1570
1641
</p></dd><dt><span class="term"><a name="ONLYGUEST"></a>only guest</span></dt><dd><p>This parameter is a synonym for guest only.</p></dd><dt><span class="term"><a name="GUESTONLY"></a>guest only (S)</span></dt><dd><p>If this parameter is <code class="constant">yes</code> for 
1571
1642
    a service, then only guest connections to the service are permitted. 
1572
 
    This parameter will have no effect if <a class="indexterm" name="id2506642"></a>guest ok is not set for the service.</p><p>See the section below on <a class="indexterm" name="id2506653"></a>security for more information about this option.
 
1643
    This parameter will have no effect if <a class="indexterm" name="id2544321"></a>guest ok is not set for the service.</p><p>See the section below on <a class="indexterm" name="id2544332"></a>security for more information about this option.
1573
1644
        </p><p>Default: <span class="emphasis"><em><em class="parameter"><code>guest only</code></em> = no
1574
1645
</em></span>
1575
1646
</p></dd><dt><span class="term"><a name="HIDEDOTFILES"></a>hide dot files (S)</span></dt><dd><p>This is a boolean parameter that controls whether 
1611
1682
    </p><p>Default: <span class="emphasis"><em><em class="parameter"><code>hide unwriteable files</code></em> = no
1612
1683
</em></span>
1613
1684
</p></dd><dt><span class="term"><a name="HOMEDIRMAP"></a>homedir map (G)</span></dt><dd><p>
1614
 
        If <a class="indexterm" name="id2506917"></a>nis homedir is <code class="constant">yes</code>, and <a href="smbd.8.html"><span class="citerefentry"><span class="refentrytitle">smbd</span>(8)</span></a> is also acting        as a Win95/98 <em class="parameter"><code>logon server</code></em> 
 
1685
        If <a class="indexterm" name="id2544596"></a>nis homedir is <code class="constant">yes</code>, and <a href="smbd.8.html"><span class="citerefentry"><span class="refentrytitle">smbd</span>(8)</span></a> is also acting        as a Win95/98 <em class="parameter"><code>logon server</code></em> 
1615
1686
        then this parameter specifies the NIS (or YP) map from which the server for the user's  home directory should be extracted.  
1616
1687
        At present, only the Sun auto.home map format is understood. The form of the map is:
1617
1688
</p><pre class="programlisting">
1629
1700
        If set to <code class="constant">yes</code>, Samba will act as a Dfs server, and allow Dfs-aware clients to browse
1630
1701
        Dfs trees hosted on the server.
1631
1702
        </p><p>
1632
 
        See also the <a class="indexterm" name="id2507021"></a>msdfs root share  level  parameter.  For more  information  on
 
1703
        See also the <a class="indexterm" name="id2544701"></a>msdfs root share  level  parameter.  For more  information  on
1633
1704
        setting  up a Dfs tree on Samba, refer to the MSFDS chapter in the book Samba3-HOWTO.
1634
 
        </p><p>Default: <span class="emphasis"><em><em class="parameter"><code>host msdfs</code></em> = no
 
1705
        </p><p>Default: <span class="emphasis"><em><em class="parameter"><code>host msdfs</code></em> = yes
1635
1706
</em></span>
1636
1707
</p></dd><dt><span class="term"><a name="HOSTNAMELOOKUPS"></a>hostname lookups (G)</span></dt><dd><p>Specifies whether samba should use (expensive)
1637
1708
    hostname lookups or use the ip addresses instead. An example place
1641
1712
</em></span>
1642
1713
</p><p>Example: <span class="emphasis"><em><em class="parameter"><code>hostname lookups</code></em> = yes
1643
1714
</em></span>
1644
 
</p></dd><dt><span class="term"><a name="ALLOWHOSTS"></a>allow hosts</span></dt><dd><p>This parameter is a synonym for hosts allow.</p></dd><dt><span class="term"><a name="HOSTSALLOW"></a>hosts allow (S)</span></dt><dd><p>A synonym for this parameter is <a class="indexterm" name="id2507147"></a>allow hosts.</p><p>This parameter is a comma, space, or tab delimited 
 
1715
</p></dd><dt><span class="term"><a name="ALLOWHOSTS"></a>allow hosts</span></dt><dd><p>This parameter is a synonym for hosts allow.</p></dd><dt><span class="term"><a name="HOSTSALLOW"></a>hosts allow (S)</span></dt><dd><p>A synonym for this parameter is <a class="indexterm" name="id2544826"></a>allow hosts.</p><p>This parameter is a comma, space, or tab delimited 
1645
1716
    set of hosts which are permitted to access a service.</p><p>If specified in the [global] section then it will
1646
1717
    apply to all services, regardless of whether the individual 
1647
1718
    service has a different setting.</p><p>You can specify the hosts by name or IP number. For 
1651
1722
    page <code class="filename">hosts_access(5)</code>. Note that this man
1652
1723
    page may not be present on your system, so a brief description will
1653
1724
    be given here also.</p><p>Note that the localhost address 127.0.0.1 will always 
1654
 
    be allowed access unless specifically denied by a <a class="indexterm" name="id2507191"></a>hosts deny option.</p><p>You can also specify hosts by network/netmask pairs and 
 
1725
    be allowed access unless specifically denied by a <a class="indexterm" name="id2544870"></a>hosts deny option.</p><p>You can also specify hosts by network/netmask pairs and 
1655
1726
    by netgroup names if your system supports netgroups. The 
1656
1727
    <span class="emphasis"><em>EXCEPT</em></span> keyword can also be used to limit a 
1657
1728
    wildcard list. The following examples may provide some help:</p><p>Example 1: allow all IPs in 150.203.*.*; except one</p><p><span><strong class="command">hosts allow = 150.203. EXCEPT 150.203.6.66</strong></span></p><p>Example 2: allow hosts that match the given network/netmask</p><p><span><strong class="command">hosts allow = 150.203.15.0/255.255.255.0</strong></span></p><p>Example 3: allow a couple of hosts</p><p><span><strong class="command">hosts allow = lapland, arvidsjaur</strong></span></p><p>Example 4: allow only hosts in NIS netgroup "foonet", but 
1668
1739
        list takes precedence.</p><p>
1669
1740
        In the event that it is necessary to deny all by default, use the keyword
1670
1741
        ALL (or the netmask <code class="literal">0.0.0.0/0</code>) and then explicitly specify
1671
 
        to the <a class="indexterm" name="id2507378"></a>hosts allow = hosts allow parameter those hosts
 
1742
        to the <a class="indexterm" name="id2545058"></a>hosts allow = hosts allow parameter those hosts
1672
1743
        that should be permitted access.
1673
1744
        </p><p>Default: <span class="emphasis"><em><em class="parameter"><code>hosts deny</code></em> = 
1674
1745
# none (i.e., no hosts specifically excluded)
1675
1746
</em></span>
1676
1747
</p><p>Example: <span class="emphasis"><em><em class="parameter"><code>hosts deny</code></em> = 150.203.4. badhost.mynet.edu.au
1677
1748
</em></span>
1678
 
</p></dd><dt><span class="term"><a name="HOSTSEQUIV"></a>hosts equiv (G)</span></dt><dd><p>If this global parameter is a non-null string, 
1679
 
    it specifies the name of a file to read for the names of hosts 
1680
 
    and users who will be allowed access without specifying a password.
1681
 
    </p><p>This is not be confused with <a class="indexterm" name="id2507440"></a>hosts allow which is about hosts 
1682
 
    access to services and is more useful for guest services. <em class="parameter"><code>
1683
 
    hosts equiv</code></em> may be useful for NT clients which will 
1684
 
    not supply passwords to Samba.</p><div class="note" style="margin-left: 0.5in; margin-right: 0.5in;"><h3 class="title">Note</h3><p>The use of <em class="parameter"><code>hosts equiv
1685
 
    </code></em> can be a major security hole. This is because you are 
1686
 
    trusting the PC to supply the correct username. It is very easy to 
1687
 
    get a PC to supply a false username. I recommend that the 
1688
 
    <em class="parameter"><code>hosts equiv</code></em> option be only used if you really 
1689
 
    know what you are doing, or perhaps on a home network where you trust 
1690
 
    your spouse and kids. And only if you <span class="emphasis"><em>really</em></span> trust 
1691
 
        them :-).</p></div><p>Default: <span class="emphasis"><em><em class="parameter"><code>hosts equiv</code></em> = 
1692
 
# no host equivalences
1693
 
</em></span>
1694
 
</p><p>Example: <span class="emphasis"><em><em class="parameter"><code>hosts equiv</code></em> = hosts equiv = /etc/hosts.equiv
1695
 
</em></span>
1696
1749
</p></dd><dt><span class="term"><a name="IDMAPBACKEND"></a>idmap backend (G)</span></dt><dd><p>
1697
1750
        The purpose of the idmap backend parameter is to allow idmap to NOT use the local idmap
1698
 
        tdb file to obtain SID to UID / GID mappings, but instead to obtain them from a common
 
1751
        tdb file to obtain SID to UID / GID mappings for unmapped SIDs, but instead to obtain them from a common
1699
1752
        LDAP backend. This way all domain members and controllers will have the same UID and GID
1700
1753
        to SID mappings. This avoids the risk of UID / GID inconsistencies across UNIX / Linux
1701
1754
        systems that are sharing information over protocols other than SMB/CIFS (ie: NFS).
1702
1755
        </p><p>
1703
 
        An alternate method of SID to UID / GID  mapping can be achieved using the idmap_rid
 
1756
        An alternate method of SID to UID / GID  mapping can be achieved using the rid
1704
1757
        plug-in. This plug-in uses the account RID to derive the UID and GID by adding the
1705
1758
        RID to a base value specified. This utility requires that the parameter
1706
1759
        &#8220;<span class="quote">allow trusted domains = No</span>&#8221; must be specified, as it is not compatible
1707
1760
        with multiple domain environments. The idmap uid and idmap gid ranges must also be
1708
1761
        specified.
1709
1762
        </p><p>
1710
 
        Finally, using the idmap_ad module, the UID and GID can directly
 
1763
        Finally, using the ad module, the UID and GID can directly
1711
1764
        be retrieved from an Active Directory LDAP Server that supports an
1712
 
        RFC2307 compliant LDAP schema. idmap_ad supports "Services for Unix"
 
1765
        RFC2307 compliant LDAP schema. ad supports "Services for Unix"
1713
1766
        (SFU) version 2.x and 3.0.  
1714
1767
        </p><p>Default: <span class="emphasis"><em><em class="parameter"><code>idmap backend</code></em> = 
1715
1768
</em></span>
1716
1769
</p><p>Example: <span class="emphasis"><em><em class="parameter"><code>idmap backend</code></em> = ldap:ldap://ldapslave.example.com
1717
1770
</em></span>
1718
 
</p><p>Example: <span class="emphasis"><em><em class="parameter"><code>idmap backend</code></em> = idmap_rid:BUILTIN=1000-1999,DOMNAME=2000-100000000
 
1771
</p><p>Example: <span class="emphasis"><em><em class="parameter"><code>idmap backend</code></em> = rid:"BUILTIN=1000-1999,DOMNAME=2000-100000000"
1719
1772
</em></span>
1720
 
</p><p>Example: <span class="emphasis"><em><em class="parameter"><code>idmap backend</code></em> = idmap_ad
 
1773
</p><p>Example: <span class="emphasis"><em><em class="parameter"><code>idmap backend</code></em> = ad
1721
1774
</em></span>
1722
1775
</p></dd><dt><span class="term"><a name="WINBINDGID"></a>winbind gid</span></dt><dd><p>This parameter is a synonym for idmap gid.</p></dd><dt><span class="term"><a name="IDMAPGID"></a>idmap gid (G)</span></dt><dd><p>The idmap gid parameter specifies the range of group ids that are allocated for
1723
1776
        the purpose of mapping UNX groups to NT group SIDs. This range of group ids should have no 
1759
1812
        roaming profile directory are actually owner by the user.</p><p>Default: <span class="emphasis"><em><em class="parameter"><code>inherit owner</code></em> = no
1760
1813
</em></span>
1761
1814
</p></dd><dt><span class="term"><a name="INHERITPERMISSIONS"></a>inherit permissions (S)</span></dt><dd><p>
1762
 
        The permissions on new files and directories are normally governed by <a class="indexterm" name="id2507922"></a>create mask,
1763
 
        <a class="indexterm" name="id2507929"></a>directory mask, <a class="indexterm" name="id2507936"></a>force create mode and <a class="indexterm" name="id2507944"></a>force directory mode but the boolean inherit permissions parameter overrides this.
 
1815
        The permissions on new files and directories are normally governed by <a class="indexterm" name="id2545507"></a>create mask,
 
1816
        <a class="indexterm" name="id2545513"></a>directory mask, <a class="indexterm" name="id2545521"></a>force create mode and <a class="indexterm" name="id2545528"></a>force directory mode but the boolean inherit permissions parameter overrides this.
1764
1817
        </p><p>New directories inherit the mode of the parent directory,
1765
1818
    including bits such as setgid.</p><p>
1766
1819
        New files inherit their read/write bits from the parent directory.  Their execute bits continue to be
1767
 
        determined by <a class="indexterm" name="id2507963"></a>map archive, <a class="indexterm" name="id2507970"></a>map hidden and <a class="indexterm" name="id2507977"></a>map system as usual.
 
1820
        determined by <a class="indexterm" name="id2545547"></a>map archive, <a class="indexterm" name="id2545554"></a>map hidden and <a class="indexterm" name="id2545562"></a>map system as usual.
1768
1821
        </p><p>Note that the setuid bit is <span class="emphasis"><em>never</em></span> set via 
1769
1822
    inheritance (the code explicitly prohibits this).</p><p>This can be particularly useful on large systems with 
1770
1823
    many users, perhaps several thousand, to allow a single [homes] 
1815
1868
</p><p>Example: <span class="emphasis"><em><em class="parameter"><code>invalid users</code></em> = root fred admin @wheel
1816
1869
</em></span>
1817
1870
</p></dd><dt><span class="term"><a name="IPRINTSERVER"></a>iprint server (G)</span></dt><dd><p>
1818
 
    This parameter is only applicable if <a class="indexterm" name="id2508239"></a>printing is set to <code class="constant">iprint</code>.
 
1871
    This parameter is only applicable if <a class="indexterm" name="id2545824"></a>printing is set to <code class="constant">iprint</code>.
1819
1872
    </p><p>
1820
1873
   If set, this option overrides the ServerName option in the CUPS <code class="filename">client.conf</code>. This is 
1821
1874
   necessary if you have virtual samba servers that connect to different CUPS daemons.
1828
1881
    packets. If this parameter is zero, no keepalive packets will be 
1829
1882
    sent. Keepalive packets, if sent, allow the server to tell whether 
1830
1883
    a client is still present and responding.</p><p>Keepalives should, in general, not be needed if the socket 
1831
 
    has the SO_KEEPALIVE attribute set on it by default. (see <a class="indexterm" name="id2508323"></a>socket options). 
 
1884
    has the SO_KEEPALIVE attribute set on it by default. (see <a class="indexterm" name="id2545908"></a>socket options). 
1832
1885
Basically you should only use this option if you strike difficulties.</p><p>Default: <span class="emphasis"><em><em class="parameter"><code>keepalive</code></em> = 300
1833
1886
</em></span>
1834
1887
</p><p>Example: <span class="emphasis"><em><em class="parameter"><code>keepalive</code></em> = 600
1840
1893
        change notification to user programs, using the F_NOTIFY fcntl.
1841
1894
        </p><p>Default: <span class="emphasis"><em><em class="parameter"><code>kernel change notify</code></em> = yes
1842
1895
</em></span>
1843
 
</p></dd><dt><span class="term"><a name="KERNELOPLOCKS"></a>kernel oplocks (G)</span></dt><dd><p>For UNIXes that support kernel based <a class="indexterm" name="id2508420"></a>oplocks
 
1896
</p></dd><dt><span class="term"><a name="KERNELOPLOCKS"></a>kernel oplocks (G)</span></dt><dd><p>For UNIXes that support kernel based <a class="indexterm" name="id2546004"></a>oplocks
1844
1897
        (currently only IRIX and the Linux 2.4 kernel), this parameter 
1845
1898
        allows the use of them to be turned on or off.</p><p>Kernel oplocks support allows Samba <em class="parameter"><code>oplocks
1846
1899
        </code></em> to be broken whenever a local UNIX process or NFS operation 
1877
1930
        tested as some other Samba code paths.</p><p>Default: <span class="emphasis"><em><em class="parameter"><code>large readwrite</code></em> = yes
1878
1931
</em></span>
1879
1932
</p></dd><dt><span class="term"><a name="LDAPADMINDN"></a>ldap admin dn (G)</span></dt><dd><p>
1880
 
        The <a class="indexterm" name="id2508631"></a>ldap admin dn defines the Distinguished  Name (DN) name used by Samba to contact
1881
 
        the ldap server when retreiving  user account information. The <a class="indexterm" name="id2508640"></a>ldap admin dn is used
 
1933
        The <a class="indexterm" name="id2546215"></a>ldap admin dn defines the Distinguished  Name (DN) name used by Samba to contact
 
1934
        the ldap server when retreiving  user account information. The <a class="indexterm" name="id2546225"></a>ldap admin dn is used
1882
1935
        in conjunction with the admin dn password stored in the <code class="filename">private/secrets.tdb</code>
1883
1936
        file.  See the <a href="smbpasswd.8.html"><span class="citerefentry"><span class="refentrytitle">smbpasswd</span>(8)</span></a>
1884
1937
        man page for more information on how  to accomplish this.
1885
1938
        </p><p>
1886
 
        The <a class="indexterm" name="id2508667"></a>ldap admin dn requires a fully specified DN. The <a class="indexterm" name="id2508675"></a>ldap  suffix is not appended to the <a class="indexterm" name="id2508683"></a>ldap admin dn.
 
1939
        The <a class="indexterm" name="id2546252"></a>ldap admin dn requires a fully specified DN. The <a class="indexterm" name="id2546260"></a>ldap  suffix is not appended to the <a class="indexterm" name="id2546267"></a>ldap admin dn.
1887
1940
        </p><p><span class="emphasis"><em>No default</em></span></p></dd><dt><span class="term"><a name="LDAPDELETEDN"></a>ldap delete dn (G)</span></dt><dd><p> This parameter specifies whether a delete
1888
1941
        operation in the ldapsam deletes the complete entry or only the attributes
1889
1942
        specific to Samba.
1890
1943
        </p><p>Default: <span class="emphasis"><em><em class="parameter"><code>ldap delete dn</code></em> = no
1891
1944
</em></span>
1892
 
</p></dd><dt><span class="term"><a name="LDAPGROUPSUFFIX"></a>ldap group suffix (G)</span></dt><dd><p>This parameters specifies the suffix that is 
 
1945
</p></dd><dt><span class="term"><a name="LDAPGROUPSUFFIX"></a>ldap group suffix (G)</span></dt><dd><p>This parameter specifies the suffix that is 
1893
1946
        used for groups when these are added to the LDAP directory.
1894
 
        If this parameter is unset, the value of <a class="indexterm" name="id2508756"></a>ldap suffix will be used instead.  The suffix string is pre-pended to the
1895
 
        <a class="indexterm" name="id2508764"></a>ldap suffix string so use a partial DN.</p><p>Default: <span class="emphasis"><em><em class="parameter"><code>ldap group suffix</code></em> = 
 
1947
        If this parameter is unset, the value of <a class="indexterm" name="id2546340"></a>ldap suffix will be used instead.  The suffix string is pre-pended to the
 
1948
        <a class="indexterm" name="id2546349"></a>ldap suffix string so use a partial DN.</p><p>Default: <span class="emphasis"><em><em class="parameter"><code>ldap group suffix</code></em> = 
1896
1949
</em></span>
1897
1950
</p><p>Example: <span class="emphasis"><em><em class="parameter"><code>ldap group suffix</code></em> = ou=Groups
1898
1951
</em></span>
1899
1952
</p></dd><dt><span class="term"><a name="LDAPIDMAPSUFFIX"></a>ldap idmap suffix (G)</span></dt><dd><p>
1900
1953
        This parameters specifies the suffix that is used when storing idmap mappings. If this parameter 
1901
 
        is unset, the value of <a class="indexterm" name="id2508820"></a>ldap suffix will be used instead.  The suffix 
1902
 
        string is pre-pended to the <a class="indexterm" name="id2508828"></a>ldap suffix string so use a partial DN.
 
1954
        is unset, the value of <a class="indexterm" name="id2546404"></a>ldap suffix will be used instead.  The suffix 
 
1955
        string is pre-pended to the <a class="indexterm" name="id2546412"></a>ldap suffix string so use a partial DN.
1903
1956
        </p><p>Default: <span class="emphasis"><em><em class="parameter"><code>ldap idmap suffix</code></em> = 
1904
1957
</em></span>
1905
1958
</p><p>Example: <span class="emphasis"><em><em class="parameter"><code>ldap idmap suffix</code></em> = ou=Idmap
1906
1959
</em></span>
1907
1960
</p></dd><dt><span class="term"><a name="LDAPMACHINESUFFIX"></a>ldap machine suffix (G)</span></dt><dd><p>
1908
1961
        It specifies where machines should be added to the ldap tree.  If this parameter is unset, the value of
1909
 
        <a class="indexterm" name="id2508882"></a>ldap suffix will be used instead.  The suffix string is pre-pended to the
1910
 
        <a class="indexterm" name="id2508890"></a>ldap suffix string so use a partial DN.
 
1962
        <a class="indexterm" name="id2546467"></a>ldap suffix will be used instead.  The suffix string is pre-pended to the
 
1963
        <a class="indexterm" name="id2546475"></a>ldap suffix string so use a partial DN.
1911
1964
        </p><p>Default: <span class="emphasis"><em><em class="parameter"><code>ldap machine suffix</code></em> = 
1912
1965
</em></span>
1913
1966
</p><p>Example: <span class="emphasis"><em><em class="parameter"><code>ldap machine suffix</code></em> = ou=Computers
1917
1970
        and LM hashes for normal accounts (NOT for workstation, server or domain trusts) on a password
1918
1971
        change via SAMBA.  
1919
1972
        </p><p>
1920
 
        The <a class="indexterm" name="id2508951"></a>ldap passwd sync can be set to one of three values: 
 
1973
        The <a class="indexterm" name="id2546535"></a>ldap passwd sync can be set to one of three values: 
1921
1974
        </p><div class="itemizedlist"><ul type="disc"><li><p><em class="parameter"><code>Yes</code></em>  =  Try 
1922
1975
                        to update the LDAP, NT and LM passwords and update the pwdLastSet time.</p></li><li><p><em class="parameter"><code>No</code></em> = Update NT and 
1923
1976
                        LM passwords and update the pwdLastSet time.</p></li><li><p><em class="parameter"><code>Only</code></em> = Only update 
1924
1977
                        the LDAP password and let the LDAP server do the rest.</p></li></ul></div><p>Default: <span class="emphasis"><em><em class="parameter"><code>ldap passwd sync</code></em> = no
1925
1978
</em></span>
1926
 
</p></dd><dt><span class="term"><a name="LDAPPORT"></a>ldap port (G)</span></dt><dd><p>
1927
 
        This parameter is only available if Samba has been configure to include the 
1928
 
        <span><strong class="command">--with-ldapsam</strong></span> option at compile time.
1929
 
        </p><p>
1930
 
        This option is used to control the tcp port number used to contact the 
1931
 
        <a class="indexterm" name="id2509044"></a>ldap server. The default is to use the stand LDAPS port 636.
1932
 
        </p><p>Default: <span class="emphasis"><em><em class="parameter"><code>ldap port</code></em> = 636
1933
 
# if ldap ssl = on
1934
 
</em></span>
1935
 
</p><p>Default: <span class="emphasis"><em><em class="parameter"><code>ldap port</code></em> = 389
1936
 
# if ldap ssl = off
1937
 
</em></span>
1938
1979
</p></dd><dt><span class="term"><a name="LDAPREPLICATIONSLEEP"></a>ldap replication sleep (G)</span></dt><dd><p>
1939
1980
        When Samba is asked to write to a read-only LDAP replica, we are redirected to talk to the read-write master server.
1940
1981
        This server then replicates our changes back to the 'local' server, however the replication might take some seconds, 
1956
1997
        counterparts in LDAP. UNIX has optimized functions to enumerate group membership. Sadly, other functions that
1957
1998
        are used to deal with user and group attributes lack such optimization.
1958
1999
        </p><p>
1959
 
        o make Samba scale well in large environments, the <a class="indexterm" name="id2509166"></a>ldapsam:trusted = yes
 
2000
        o make Samba scale well in large environments, the <a class="indexterm" name="id2546686"></a>ldapsam:trusted = yes
1960
2001
        option assumes that the complete user and group database that is relevant to Samba is stored in LDAP with the
1961
2002
        standard posixAccount/posixGroup attributes. It further assumes that the Samba auxiliary object classes are 
1962
2003
        stored together with the POSIX data in the same LDAP object. If these assumptions are met, 
1963
 
        <a class="indexterm" name="id2509179"></a>ldapsam:trusted = yes can be activated and Samba can completely bypass the 
 
2004
        <a class="indexterm" name="id2546699"></a>ldapsam:trusted = yes can be activated and Samba can completely bypass the 
1964
2005
        NSS system to query user information. Optimized LDAP queries can greatly speed up domain logon and 
1965
2006
        administration tasks. Depending on the size of the LDAP database a factor of 100 or more for common queries 
1966
2007
        is easily achieved.
1967
2008
        </p><p>Default: <span class="emphasis"><em><em class="parameter"><code>ldapsam:trusted</code></em> = no
1968
2009
</em></span>
1969
 
</p></dd><dt><span class="term"><a name="LDAPSERVER"></a>ldap server (G)</span></dt><dd><p>This parameter is only available if Samba has been
1970
 
        configure to include the <span><strong class="command">--with-ldapsam</strong></span> 
1971
 
        option at compile time.</p><p>This parameter should contain the FQDN of the ldap directory
1972
 
        server which should be queried to locate user account information.
1973
 
</p><p>Default: <span class="emphasis"><em><em class="parameter"><code>ldap server</code></em> = localhost
1974
 
</em></span>
1975
2010
</p></dd><dt><span class="term"><a name="LDAPSSL"></a>ldap ssl (G)</span></dt><dd><p>This option is used to define whether or not Samba should
1976
2011
        use SSL when connecting to the ldap server
1977
2012
        This is <span class="emphasis"><em>NOT</em></span> related to
1978
2013
        Samba's previous SSL support which was enabled by specifying the 
1979
2014
        <span><strong class="command">--with-ssl</strong></span> option to the <code class="filename">configure</code> 
1980
 
        script.</p><p>The <a class="indexterm" name="id2509294"></a>ldap ssl can be set to one of three values:</p><div class="itemizedlist"><ul type="disc"><li><p><em class="parameter"><code>Off</code></em> = Never 
 
2015
        script.</p><p>The <a class="indexterm" name="id2546767"></a>ldap ssl can be set to one of three values:</p><div class="itemizedlist"><ul type="disc"><li><p><em class="parameter"><code>Off</code></em> = Never 
1981
2016
                        use SSL when querying the directory.</p></li><li><p><em class="parameter"><code>Start_tls</code></em> = Use 
1982
2017
                        the LDAPv3 StartTLS extended operation (RFC2830) for 
1983
2018
                        communicating with the directory server.</p></li><li><p><em class="parameter"><code>On</code></em>  = Use SSL 
1984
2019
                        on the ldaps port when contacting the <em class="parameter"><code>ldap server</code></em>. Only available when the 
1985
2020
                        backwards-compatiblity <span><strong class="command">--with-ldapsam</strong></span> option is specified
1986
 
                to configure. See <a class="indexterm" name="id2509352"></a>passdb backend</p></li></ul></div><p>Default: <span class="emphasis"><em><em class="parameter"><code>ldap ssl</code></em> = start_tls
 
2021
                to configure. See <a class="indexterm" name="id2546826"></a>passdb backend</p></li></ul></div><p>Default: <span class="emphasis"><em><em class="parameter"><code>ldap ssl</code></em> = start_tls
1987
2022
</em></span>
1988
2023
</p></dd><dt><span class="term"><a name="LDAPSUFFIX"></a>ldap suffix (G)</span></dt><dd><p>Specifies the base for all ldap suffixes and for storing the sambaDomain object.</p><p>
1989
 
        The ldap suffix will be appended to the values specified for the <a class="indexterm" name="id2509401"></a>ldap user suffix,
1990
 
        <a class="indexterm" name="id2509408"></a>ldap group suffix, <a class="indexterm" name="id2509416"></a>ldap machine suffix, and the
1991
 
        <a class="indexterm" name="id2509423"></a>ldap idmap suffix. Each of these should be given only a DN relative to the
1992
 
        <a class="indexterm" name="id2509432"></a>ldap suffix.
 
2024
        The ldap suffix will be appended to the values specified for the <a class="indexterm" name="id2546876"></a>ldap user suffix,
 
2025
        <a class="indexterm" name="id2546883"></a>ldap group suffix, <a class="indexterm" name="id2546890"></a>ldap machine suffix, and the
 
2026
        <a class="indexterm" name="id2546898"></a>ldap idmap suffix. Each of these should be given only a DN relative to the
 
2027
        <a class="indexterm" name="id2546906"></a>ldap suffix.
1993
2028
        </p><p>Default: <span class="emphasis"><em><em class="parameter"><code>ldap suffix</code></em> = 
1994
2029
</em></span>
1995
2030
</p><p>Example: <span class="emphasis"><em><em class="parameter"><code>ldap suffix</code></em> = dc=samba,dc=org
2002
2037
</em></span>
2003
2038
</p></dd><dt><span class="term"><a name="LDAPUSERSUFFIX"></a>ldap user suffix (G)</span></dt><dd><p>
2004
2039
        This parameter specifies where users are added to the tree. If this parameter is unset, 
2005
 
        the value of <a class="indexterm" name="id2509525"></a>ldap suffix will be used instead.  The suffix 
2006
 
        string is pre-pended to the  <a class="indexterm" name="id2509533"></a>ldap suffix string so use a partial DN.
 
2040
        the value of <a class="indexterm" name="id2546999"></a>ldap suffix will be used instead.  The suffix 
 
2041
        string is pre-pended to the  <a class="indexterm" name="id2547008"></a>ldap suffix string so use a partial DN.
2007
2042
        </p><p>Default: <span class="emphasis"><em><em class="parameter"><code>ldap user suffix</code></em> = 
2008
2043
</em></span>
2009
2044
</p><p>Example: <span class="emphasis"><em><em class="parameter"><code>ldap user suffix</code></em> = ou=people
2022
2057
        or waited for) and told to break their oplocks to "none" and 
2023
2058
        delete any read-ahead caches.</p><p>It is recommended that this parameter be turned on to
2024
2059
        speed access to shared executables.</p><p>For more discussions on level2 oplocks see the CIFS spec.</p><p>
2025
 
        Currently, if <a class="indexterm" name="id2509620"></a>kernel oplocks are supported then
 
2060
        Currently, if <a class="indexterm" name="id2547093"></a>kernel oplocks are supported then
2026
2061
        level2 oplocks are not granted (even if this parameter is set to
2027
 
        <code class="constant">yes</code>).  Note also, the <a class="indexterm" name="id2509632"></a>oplocks
 
2062
        <code class="constant">yes</code>).  Note also, the <a class="indexterm" name="id2547106"></a>oplocks
2028
2063
        parameter must be set to <code class="constant">yes</code> on this share in order for 
2029
2064
        this parameter to have any effect.</p><p>Default: <span class="emphasis"><em><em class="parameter"><code>level2 oplocks</code></em> = yes
2030
2065
</em></span>
2036
2071
        If set to <code class="constant">no</code> Samba will never produce these 
2037
2072
        broadcasts. If set to <code class="constant">yes</code> Samba will produce 
2038
2073
        Lanman announce broadcasts at a frequency set by the parameter 
2039
 
        <a class="indexterm" name="id2509712"></a>lm interval. If set to <code class="constant">auto</code> 
 
2074
        <a class="indexterm" name="id2547186"></a>lm interval. If set to <code class="constant">auto</code> 
2040
2075
        Samba will not send Lanman announce broadcasts by default but will 
2041
2076
        listen for them. If it hears such a broadcast on the wire it will 
2042
2077
        then start sending them at a frequency set by the parameter 
2043
 
        <a class="indexterm" name="id2509726"></a>lm interval.</p><p>Default: <span class="emphasis"><em><em class="parameter"><code>lm announce</code></em> = auto
 
2078
        <a class="indexterm" name="id2547200"></a>lm interval.</p><p>Default: <span class="emphasis"><em><em class="parameter"><code>lm announce</code></em> = auto
2044
2079
</em></span>
2045
2080
</p><p>Example: <span class="emphasis"><em><em class="parameter"><code>lm announce</code></em> = yes
2046
2081
</em></span>
2047
2082
</p></dd><dt><span class="term"><a name="LMINTERVAL"></a>lm interval (G)</span></dt><dd><p>If Samba is set to produce Lanman announce 
2048
2083
        broadcasts needed by OS/2 clients (see the 
2049
 
                <a class="indexterm" name="id2509780"></a>lm announce parameter) then this 
 
2084
                <a class="indexterm" name="id2547254"></a>lm announce parameter) then this 
2050
2085
        parameter defines the frequency in seconds with which they will be 
2051
2086
        made.  If this is set to zero then no Lanman announcements will be 
2052
 
        made despite the setting of the <a class="indexterm" name="id2509790"></a>lm announce 
 
2087
        made despite the setting of the <a class="indexterm" name="id2547264"></a>lm announce 
2053
2088
        parameter.</p><p>Default: <span class="emphasis"><em><em class="parameter"><code>lm interval</code></em> = 60
2054
2089
</em></span>
2055
2090
</p><p>Example: <span class="emphasis"><em><em class="parameter"><code>lm interval</code></em> = 120
2056
2091
</em></span>
2057
2092
</p></dd><dt><span class="term"><a name="LOADPRINTERS"></a>load printers (G)</span></dt><dd><p>A boolean variable that controls whether all 
2058
2093
    printers in the printcap will be loaded for browsing by default. 
2059
 
    See the <a class="indexterm" name="id2509845"></a>printers section for 
 
2094
    See the <a class="indexterm" name="id2547318"></a>printers section for 
2060
2095
    more details.</p><p>Default: <span class="emphasis"><em><em class="parameter"><code>load printers</code></em> = yes
2061
2096
</em></span>
2062
2097
</p></dd><dt><span class="term"><a name="LOCALMASTER"></a>local master (G)</span></dt><dd><p>This option allows <a href="nmbd.8.html"><span class="citerefentry"><span class="refentrytitle">nmbd</span>(8)</span></a> to try and become a local master browser 
2071
2106
</em></span>
2072
2107
</p></dd><dt><span class="term"><a name="LOCKDIR"></a>lock dir</span></dt><dd><p>This parameter is a synonym for lock directory.</p></dd><dt><span class="term"><a name="LOCKDIRECTORY"></a>lock directory (G)</span></dt><dd><p>This option specifies the directory where lock 
2073
2108
        files will be placed.  The lock files are used to implement the 
2074
 
        <a class="indexterm" name="id2510003"></a>max connections option.
 
2109
        <a class="indexterm" name="id2547477"></a>max connections option.
2075
2110
        </p><p>Default: <span class="emphasis"><em><em class="parameter"><code>lock directory</code></em> = ${prefix}/var/locks
2076
2111
</em></span>
2077
2112
</p><p>Example: <span class="emphasis"><em><em class="parameter"><code>lock directory</code></em> = /var/run/samba/locks
2086
2121
        CDROM drives), although setting this parameter of <code class="constant">no</code> 
2087
2122
        is not really recommended even in this case.</p><p>Be careful about disabling locking either globally or in a 
2088
2123
        specific service, as lack of locking may result in data corruption. 
2089
 
        You should never need to set this parameter.</p><p><span class="emphasis"><em>No default</em></span></p></dd><dt><span class="term"><a name="LOCKSPINCOUNT"></a>lock spin count (G)</span></dt><dd><p>This parameter controls the number of times
2090
 
        that smbd should attempt to gain a byte range lock on the 
2091
 
        behalf of a client request.  Experiments have shown that
2092
 
        Windows 2k servers do not reply with a failure if the lock
2093
 
        could not be immediately granted, but try a few more times
2094
 
        in case the lock could later be acquired.  This behavior
2095
 
        is used to support PC database formats such as MS Access
2096
 
        and FoxPro.
2097
 
        </p><p>Default: <span class="emphasis"><em><em class="parameter"><code>lock spin count</code></em> = 3
 
2124
        You should never need to set this parameter.</p><p><span class="emphasis"><em>No default</em></span></p></dd><dt><span class="term"><a name="LOCKSPINCOUNT"></a>lock spin count (G)</span></dt><dd><p>This parameter has been made inoperative in Samba 3.0.24.
 
2125
        The functionality it contolled is now controlled by the parameter
 
2126
        <a class="indexterm" name="id2547606"></a>lock spin time.
 
2127
        </p><p>Default: <span class="emphasis"><em><em class="parameter"><code>lock spin count</code></em> = 0
2098
2128
</em></span>
2099
2129
</p></dd><dt><span class="term"><a name="LOCKSPINTIME"></a>lock spin time (G)</span></dt><dd><p>The time in microseconds that smbd should 
2100
 
        pause before attempting to gain a failed lock.  See
2101
 
        <a class="indexterm" name="id2510180"></a>lock spin count for more details.</p><p>Default: <span class="emphasis"><em><em class="parameter"><code>lock spin time</code></em> = 10
 
2130
        keep waiting to see if a failed lock request can
 
2131
        be granted. This parameter has changed in default
 
2132
        value from Samba 3.0.23 from 10 to 200. The associated
 
2133
        <a class="indexterm" name="id2547651"></a>lock spin count parameter is
 
2134
        no longer used in Samba 3.0.24. You should not need
 
2135
        to change the value of this parameter.</p><p>Default: <span class="emphasis"><em><em class="parameter"><code>lock spin time</code></em> = 200
2102
2136
</em></span>
2103
2137
</p></dd><dt><span class="term"><a name="LOGFILE"></a>log file (G)</span></dt><dd><p>
2104
2138
    This option allows you to override the name of the Samba log file (also known as the debug file).
2117
2151
</em></span>
2118
2152
</p></dd><dt><span class="term"><a name="LOGONDRIVE"></a>logon drive (G)</span></dt><dd><p>
2119
2153
        This parameter specifies the local path to which the home directory will be
2120
 
        connected (see <a class="indexterm" name="id2510342"></a>logon home) and is only used by NT
 
2154
        connected (see <a class="indexterm" name="id2547815"></a>logon home) and is only used by NT
2121
2155
        Workstations.
2122
2156
        </p><p>
2123
2157
        Note that this option is only useful if Samba is set up as a logon server.
2124
 
        </p><p>Default: <span class="emphasis"><em><em class="parameter"><code>logon drive</code></em> = z:
 
2158
        </p><p>Default: <span class="emphasis"><em><em class="parameter"><code>logon drive</code></em> = 
2125
2159
</em></span>
2126
2160
</p><p>Example: <span class="emphasis"><em><em class="parameter"><code>logon drive</code></em> = h:
2127
2161
</em></span>
2144
2178
        in a NetUserGetInfo request.  Win9X clients truncate the info to \\server\share when a user does 
2145
2179
        <span><strong class="command">net use /home</strong></span> but use the whole string when dealing with profiles.
2146
2180
        </p><p>
2147
 
        Note that in prior versions of Samba, the <a class="indexterm" name="id2510458"></a>logon path was returned rather than 
 
2181
        Note that in prior versions of Samba, the <a class="indexterm" name="id2547931"></a>logon path was returned rather than 
2148
2182
        <em class="parameter"><code>logon home</code></em>.  This broke <span><strong class="command">net use /home</strong></span> 
2149
2183
        but allowed profiles outside the home directory. The current implementation is correct, and can be used for 
2150
2184
        profiles if you use the above trick.
2151
2185
        </p><p>
2152
 
        Disable this feature by setting <a class="indexterm" name="id2510485"></a>logon home = "" - using the empty string.
 
2186
        Disable this feature by setting <a class="indexterm" name="id2547957"></a>logon home = "" - using the empty string.
2153
2187
        </p><p>
2154
2188
        This option is only useful if Samba is set up as a logon server.
2155
2189
        </p><p>Default: <span class="emphasis"><em><em class="parameter"><code>logon home</code></em> = \\%N\%U
2160
2194
        This parameter specifies the directory where roaming profiles (Desktop, NTuser.dat, etc) are 
2161
2195
        stored.  Contrary to previous versions of these manual pages, it has nothing to do with Win 9X roaming
2162
2196
        profiles.  To find out how to handle roaming profiles for Win 9X system, see the
2163
 
        <a class="indexterm" name="id2510547"></a>logon home parameter.
 
2197
        <a class="indexterm" name="id2548019"></a>logon home parameter.
2164
2198
        </p><p>
2165
2199
        This option takes the standard substitutions, allowing you to have separate logon scripts for each user or
2166
2200
        machine.  It also specifies the directory from which the "Application Data", (<code class="filename">desktop</code>, <code class="filename">start menu</code>, <code class="filename">network neighborhood</code>, <code class="filename">programs</code> and other
2189
2223
        provided system tool.
2190
2224
        </p></div><p>Note that this option is only useful if Samba is set up as a domain controller.</p><p>
2191
2225
        Disable the use of roaming profiles by setting the value of this parameter to the empty string. For
2192
 
        example, <a class="indexterm" name="id2510641"></a>logon path = "". Take note that even if the default setting
 
2226
        example, <a class="indexterm" name="id2548113"></a>logon path = "". Take note that even if the default setting
2193
2227
        in the smb.conf file is the empty string, any value specified in the user account settings in the passdb
2194
2228
        backend will over-ride the effect of setting this parameter to null. Disabling of all roaming profile use
2195
2229
        requires that the user account settings must also be blank.
2206
2240
        must contain the DOS style CR/LF line endings. Using a DOS-style editor to create the file is recommended.
2207
2241
        </p><p>
2208
2242
        The script must be a relative path to the <em class="parameter"><code>[netlogon]</code></em> service.  If the [netlogon]
2209
 
        service specifies a <a class="indexterm" name="id2510724"></a>path of <code class="filename">/usr/local/samba/netlogon</code>, and <a class="indexterm" name="id2510737"></a>logon  script = STARTUP.BAT, then the file that will be downloaded is:
 
2243
        service specifies a <a class="indexterm" name="id2548196"></a>path of <code class="filename">/usr/local/samba/netlogon</code>, and <a class="indexterm" name="id2548209"></a>logon  script = STARTUP.BAT, then the file that will be downloaded is:
2210
2244
</p><pre class="programlisting">
2211
2245
        /usr/local/samba/netlogon/STARTUP.BAT
2212
2246
</pre><p>
2246
2280
    will have the SPOOLED or PRINTING status.</p><p>Note that it is good practice to include the absolute path 
2247
2281
    in the lppause command as the PATH may not be available to the server.</p><p>Default: <span class="emphasis"><em><em class="parameter"><code>lppause command</code></em> = 
2248
2282
# Currently no default value is given to 
2249
 
    this string, unless the value of the <a class="indexterm" name="id2510907"></a>printing 
 
2283
    this string, unless the value of the <a class="indexterm" name="id2548380"></a>printing 
2250
2284
    parameter is <code class="constant">SYSV</code>, in which case the default is : 
2251
2285
    <span><strong class="command">lp -i %p-%j -H hold</strong></span> or if the value of the 
2252
2286
    <em class="parameter"><code>printing</code></em> parameter is 
2294
2328
    executed on the server host in order to restart or continue 
2295
2329
    printing or spooling a specific print job.</p><p>This command should be a program or script which takes 
2296
2330
    a printer name and job number to resume the print job. See 
2297
 
    also the <a class="indexterm" name="id2511207"></a>lppause command parameter.</p><p>If a <em class="parameter"><code>%p</code></em> is given then the printer name 
 
2331
    also the <a class="indexterm" name="id2548679"></a>lppause command parameter.</p><p>If a <em class="parameter"><code>%p</code></em> is given then the printer name 
2298
2332
    is put in its place. A <em class="parameter"><code>%j</code></em> is replaced with 
2299
2333
    the job number (an integer).</p><p>Note that it is good practice to include the absolute path 
2300
2334
    in the <em class="parameter"><code>lpresume command</code></em> as the PATH may not 
2301
 
    be available to the server.</p><p>See also the <a class="indexterm" name="id2511245"></a>printing parameter.</p><p>Default: Currently no default value is given 
 
2335
    be available to the server.</p><p>See also the <a class="indexterm" name="id2548718"></a>printing parameter.</p><p>Default: Currently no default value is given 
2302
2336
    to this string, unless the value of the <em class="parameter"><code>printing</code></em> 
2303
2337
    parameter is <code class="constant">SYSV</code>, in which case the default is :</p><p><span><strong class="command">lp -i %p-%j -H resume</strong></span></p><p>or if the value of the <em class="parameter"><code>printing</code></em> parameter 
2304
2338
    is <code class="constant">SOFTQ</code>, then the default is:</p><p><span><strong class="command">qstat -s -j%j -r</strong></span></p><p>Default: <span class="emphasis"><em><em class="parameter"><code>lpresume command</code></em> = lpresume command = /usr/bin/lpalt %p-%j -p2
2321
2355
        </p><p>Default: <span class="emphasis"><em><em class="parameter"><code>lprm command</code></em> =  determined by printing parameter
2322
2356
</em></span>
2323
2357
</p></dd><dt><span class="term"><a name="MACHINEPASSWORDTIMEOUT"></a>machine password timeout (G)</span></dt><dd><p>
2324
 
        If a Samba server is a member of a Windows NT Domain (see the <a class="indexterm" name="id2511411"></a>security = domain parameter) then periodically a running smbd process will try and change
 
2358
        If a Samba server is a member of a Windows NT Domain (see the <a class="indexterm" name="id2548884"></a>security = domain parameter) then periodically a running smbd process will try and change
2325
2359
        the MACHINE ACCOUNT PASSWORD stored in the TDB called <code class="filename">private/secrets.tdb
2326
2360
        </code>.  This parameter specifies how often this password will be changed, in seconds. The default is one
2327
2361
        week (expressed in seconds), the same as a Windows NT Domain member server.
2328
2362
        </p><p>
2329
2363
        See also <a href="smbpasswd.8.html"><span class="citerefentry"><span class="refentrytitle">smbpasswd</span>(8)</span></a>,
2330
 
        and the <a class="indexterm" name="id2511441"></a>security = domain parameter.
 
2364
        and the <a class="indexterm" name="id2548913"></a>security = domain parameter.
2331
2365
        </p><p>Default: <span class="emphasis"><em><em class="parameter"><code>machine password timeout</code></em> = 604800
2332
2366
</em></span>
2333
2367
</p></dd><dt><span class="term"><a name="MAGICOUTPUT"></a>magic output (S)</span></dt><dd><p>
2334
2368
        This parameter specifies the name of a file which will contain output created by a magic script (see the 
2335
 
        <a class="indexterm" name="id2511483"></a>magic script parameter below).
 
2369
        <a class="indexterm" name="id2548956"></a>magic script parameter below).
2336
2370
        </p><div class="warning" style="margin-left: 0.5in; margin-right: 0.5in;"><h3 class="title">Warning</h3><p>If two clients use the same <em class="parameter"><code>magic script
2337
2371
        </code></em> in the same directory the output file content is undefined.
2338
2372
        </p></div><p>Default: <span class="emphasis"><em><em class="parameter"><code>magic output</code></em> = &lt;magic script name&gt;.out
2345
2379
        executed on behalf of the connected user.</p><p>Scripts executed in this way will be deleted upon 
2346
2380
        completion assuming that the user has the appropriate level 
2347
2381
        of privilege and the file permissions allow the deletion.</p><p>If the script generates output, output will be sent to 
2348
 
        the file specified by the <a class="indexterm" name="id2511564"></a>magic output
 
2382
        the file specified by the <a class="indexterm" name="id2549036"></a>magic output
2349
2383
        parameter (see above).</p><p>Note that some shells are unable to interpret scripts 
2350
2384
        containing CR/LF instead of CR as 
2351
2385
        the end-of-line marker. Magic scripts must be executable 
2366
2400
        So to map <code class="filename">html</code> to <code class="filename">htm</code> 
2367
2401
        you would use:
2368
2402
        </p><p>
2369
 
        <a class="indexterm" name="id2511675"></a>mangled map = (*.html *.htm).
 
2403
        <a class="indexterm" name="id2549148"></a>mangled map = (*.html *.htm).
2370
2404
        </p><p>
2371
2405
        One very useful case is to remove the annoying <code class="filename">;1</code> off 
2372
2406
        the ends of filenames on some CDROMs (only visible under some UNIXes). To do this use a map of 
2378
2412
</em></span>
2379
2413
</p></dd><dt><span class="term"><a name="MANGLEDNAMES"></a>mangled names (S)</span></dt><dd><p>This controls whether non-DOS names under UNIX 
2380
2414
        should be mapped to DOS-compatible names ("mangled") and made visible, 
2381
 
        or whether non-DOS names should simply be ignored.</p><p>See the section on <a class="indexterm" name="id2511746"></a>name mangling for 
 
2415
        or whether non-DOS names should simply be ignored.</p><p>See the section on <a class="indexterm" name="id2549218"></a>name mangling for 
2382
2416
        details on how to control the mangling process.</p><p>If mangling is used then the mangling algorithm is as follows:</p><div class="itemizedlist"><ul type="disc"><li><p>The first (up to) five alphanumeric characters 
2383
2417
                        before the rightmost dot of the filename are preserved, forced 
2384
2418
                        to upper case, and appear as the first (up to) five characters 
2388
2422
                        extension). The final extension is included in the hash calculation
2389
2423
                        only if it contains any upper case characters or is longer than three
2390
2424
                        characters.</p><p>Note that the character to use may be specified using 
2391
 
                                the <a class="indexterm" name="id2511786"></a>mangling char
 
2425
                                the <a class="indexterm" name="id2549259"></a>mangling char
2392
2426
                        option, if you don't like '~'.</p></li><li><p>Files whose UNIX name begins with a dot will be 
2393
2427
                        presented as DOS hidden files. The mangled name will be created as 
2394
2428
                        for other filenames, but with the leading dot removed and "___" as 
2412
2446
</p><p>Example: <span class="emphasis"><em><em class="parameter"><code>mangle prefix</code></em> = 4
2413
2447
</em></span>
2414
2448
</p></dd><dt><span class="term"><a name="MANGLINGCHAR"></a>mangling char (S)</span></dt><dd><p>This controls what character is used as 
2415
 
        the <span class="emphasis"><em>magic</em></span> character in <a class="indexterm" name="id2511919"></a>name mangling. The 
 
2449
        the <span class="emphasis"><em>magic</em></span> character in <a class="indexterm" name="id2549391"></a>name mangling. The 
2416
2450
        default is a '~' but this may interfere with some software. Use this option to set 
2417
2451
        it to whatever you prefer. This is effective only when mangling method is hash.</p><p>Default: <span class="emphasis"><em><em class="parameter"><code>mangling char</code></em> = ~
2418
2452
</em></span>
2445
2479
        any file it touches from becoming executable under UNIX.  This can 
2446
2480
        be quite annoying for shared source code, documents, etc...
2447
2481
        </p><p>
2448
 
        Note that this requires the <a class="indexterm" name="id2512097"></a>create mask       parameter to be set such that owner 
 
2482
        Note that this requires the <a class="indexterm" name="id2549560"></a>create mask       parameter to be set such that owner 
2449
2483
        execute bit is not masked out (i.e. it must include 100). See the parameter 
2450
 
        <a class="indexterm" name="id2512105"></a>create mask for details.
 
2484
        <a class="indexterm" name="id2549569"></a>create mask for details.
2451
2485
        </p><p>Default: <span class="emphasis"><em><em class="parameter"><code>map archive</code></em> = yes
2452
2486
</em></span>
2453
2487
</p></dd><dt><span class="term"><a name="MAPHIDDEN"></a>map hidden (S)</span></dt><dd><p>
2454
2488
        This controls whether DOS style hidden files should be mapped to the UNIX world execute bit.
2455
2489
        </p><p>
2456
 
        Note that this requires the <a class="indexterm" name="id2512152"></a>create mask to be set such that the world execute 
2457
 
        bit is not masked out (i.e. it must include 001). See the parameter <a class="indexterm" name="id2512160"></a>create mask 
 
2490
        Note that this requires the <a class="indexterm" name="id2549616"></a>create mask to be set such that the world execute 
 
2491
        bit is not masked out (i.e. it must include 001). See the parameter <a class="indexterm" name="id2549624"></a>create mask 
2458
2492
        for details.
2459
2493
        </p><p><span class="emphasis"><em>No default</em></span></p></dd><dt><span class="term"><a name="MAPREADONLY"></a>map read only (S)</span></dt><dd><p>
2460
2494
        This controls how the DOS read only attribute should be mapped from a UNIX filesystem.
2461
2495
        </p><p>
2462
2496
        This parameter can take three different values, which tell <a href="smbd.8.html"><span class="citerefentry"><span class="refentrytitle">smbd</span>(8)</span></a> how to display the read only attribute on files, where either
2463
 
        <a class="indexterm" name="id2512208"></a>store dos attributes is set to <code class="constant">No</code>, or no extended attribute is
2464
 
        present. If <a class="indexterm" name="id2512220"></a>store dos attributes is set to <code class="constant">yes</code> then this
 
2497
        <a class="indexterm" name="id2549672"></a>store dos attributes is set to <code class="constant">No</code>, or no extended attribute is
 
2498
        present. If <a class="indexterm" name="id2549684"></a>store dos attributes is set to <code class="constant">yes</code> then this
2465
2499
        parameter is <span class="emphasis"><em>ignored</em></span>. This is a new parameter introduced in Samba version 3.0.21.
2466
2500
        </p><p>The three settings are :</p><div class="itemizedlist"><ul type="disc"><li><p>
2467
2501
                <code class="constant">Yes</code> - The read only DOS attribute is mapped to the inverse of the user
2474
2508
                is reported as being set on the file.
2475
2509
                </p></li><li><p>
2476
2510
                <code class="constant">No</code> - The read only DOS attribute is unaffected by permissions, and can only be set by
2477
 
                the <a class="indexterm" name="id2512283"></a>store dos attributes method. This may be useful for exporting mounted CDs.
 
2511
                the <a class="indexterm" name="id2549747"></a>store dos attributes method. This may be useful for exporting mounted CDs.
2478
2512
                </p></li></ul></div><p>Default: <span class="emphasis"><em><em class="parameter"><code>map read only</code></em> = yes
2479
2513
</em></span>
2480
2514
</p></dd><dt><span class="term"><a name="MAPSYSTEM"></a>map system (S)</span></dt><dd><p>
2481
2515
        This controls whether DOS style system files should be mapped to the UNIX group execute bit.
2482
2516
        </p><p>
2483
 
        Note that this requires the <a class="indexterm" name="id2512332"></a>create mask       to be set such that the group 
 
2517
        Note that this requires the <a class="indexterm" name="id2549795"></a>create mask       to be set such that the group 
2484
2518
        execute bit is not masked out (i.e. it must include 010). See the parameter 
2485
 
        <a class="indexterm" name="id2512340"></a>create mask for details.
 
2519
        <a class="indexterm" name="id2549804"></a>create mask for details.
2486
2520
        </p><p>Default: <span class="emphasis"><em><em class="parameter"><code>map system</code></em> = no
2487
2521
</em></span>
2488
 
</p></dd><dt><span class="term"><a name="MAPTOGUEST"></a>map to guest (G)</span></dt><dd><p>This parameter is only useful in <a class="indexterm" name="id2512381"></a>SECURITY = 
 
2522
</p></dd><dt><span class="term"><a name="MAPTOGUEST"></a>map to guest (G)</span></dt><dd><p>This parameter is only useful in <a class="indexterm" name="id2549845"></a>SECURITY = 
2489
2523
    security modes other than <em class="parameter"><code>security = share</code></em> 
2490
2524
    - i.e. <code class="constant">user</code>, <code class="constant">server</code>, 
2491
2525
    and <code class="constant">domain</code>.</p><p>This parameter can take four different values, which tell
2495
2529
            default.</p></li><li><p><code class="constant">Bad User</code> - Means user
2496
2530
            logins with an invalid password are rejected, unless the username 
2497
2531
            does not exist, in which case it is treated as a guest login and 
2498
 
            mapped into the <a class="indexterm" name="id2512447"></a>guest account.</p></li><li><p><code class="constant">Bad Password</code> - Means user logins 
 
2532
            mapped into the <a class="indexterm" name="id2549911"></a>guest account.</p></li><li><p><code class="constant">Bad Password</code> - Means user logins 
2499
2533
            with an invalid password are treated as a guest login and mapped 
2500
 
            into the <a class="indexterm" name="id2512465"></a>guest account. Note that 
 
2534
            into the <a class="indexterm" name="id2549929"></a>guest account. Note that 
2501
2535
            this can cause problems as it means that any user incorrectly typing 
2502
2536
            their password will be silently logged on as "guest" - and 
2503
2537
            will not know the reason they cannot access files they think
2527
2561
    If <em class="parameter"><code>max connections</code></em> is greater than 0 then connections
2528
2562
    will be refused if this number of connections to the service are already open. A value 
2529
2563
    of zero mean an unlimited number of connections may be made.</p><p>Record lock files are used to implement this feature. The lock files will be stored in 
2530
 
    the directory specified by the <a class="indexterm" name="id2512610"></a>lock directory option.</p><p>Default: <span class="emphasis"><em><em class="parameter"><code>max connections</code></em> = 0
 
2564
    the directory specified by the <a class="indexterm" name="id2550074"></a>lock directory option.</p><p>Default: <span class="emphasis"><em><em class="parameter"><code>max connections</code></em> = 0
2531
2565
</em></span>
2532
2566
</p><p>Example: <span class="emphasis"><em><em class="parameter"><code>max connections</code></em> = 10
2533
2567
</em></span>
2617
2651
        never need to change this parameter. The default is 3 days.</p><p>Default: <span class="emphasis"><em><em class="parameter"><code>max ttl</code></em> = 259200
2618
2652
</em></span>
2619
2653
</p></dd><dt><span class="term"><a name="MAXWINSTTL"></a>max wins ttl (G)</span></dt><dd><p>This option tells <a href="smbd.8.html"><span class="citerefentry"><span class="refentrytitle">smbd</span>(8)</span></a> when acting as a WINS server
2620
 
        (<a class="indexterm" name="id2513314"></a>wins support = yes) what the maximum
 
2654
        (<a class="indexterm" name="id2550778"></a>wins support = yes) what the maximum
2621
2655
    'time to live' of NetBIOS names that <span><strong class="command">nmbd</strong></span> 
2622
2656
    will grant will be (in seconds). You should never need to change this
2623
2657
        parameter.  The default is 6 days (518400 seconds).</p><p>Default: <span class="emphasis"><em><em class="parameter"><code>max wins ttl</code></em> = 518400
2624
2658
</em></span>
2625
2659
</p></dd><dt><span class="term"><a name="MAXXMIT"></a>max xmit (G)</span></dt><dd><p>This option controls the maximum packet size 
2626
 
    that will be negotiated by Samba. The default is 65535, which 
2627
 
    is the maximum. In some cases you may find you get better performance 
2628
 
    with a smaller value. A value below 2048 is likely to cause problems.
2629
 
</p><p>Default: <span class="emphasis"><em><em class="parameter"><code>max xmit</code></em> = 65535
 
2660
    that will be negotiated by Samba. The default is 16644, which 
 
2661
    matches the behavior of Windows 2000.  A value below 2048 is likely to cause problems.
 
2662
    You should never need to change this parameter from its default value.
 
2663
</p><p>Default: <span class="emphasis"><em><em class="parameter"><code>max xmit</code></em> = 16644
2630
2664
</em></span>
2631
2665
</p><p>Example: <span class="emphasis"><em><em class="parameter"><code>max xmit</code></em> = 8192
2632
2666
</em></span>
2678
2712
</em></span>
2679
2713
</p></dd><dt><span class="term"><a name="MINPROTOCOL"></a>min protocol (G)</span></dt><dd><p>The value of the parameter (a string) is the 
2680
2714
    lowest SMB protocol dialect than Samba will support.  Please refer
2681
 
    to the <a class="indexterm" name="id2513663"></a>max protocol
 
2715
    to the <a class="indexterm" name="id2551128"></a>max protocol
2682
2716
    parameter for a list of valid protocol names and a brief description
2683
2717
    of each.  You may also wish to refer to the C source code in
2684
2718
    <code class="filename">source/smbd/negprot.c</code> for a listing of known protocol
2685
2719
    dialects supported by clients.</p><p>If you are viewing this parameter as a security measure, you should
2686
 
    also refer to the <a class="indexterm" name="id2513685"></a>lanman auth parameter.  Otherwise, you should never need 
 
2720
    also refer to the <a class="indexterm" name="id2551149"></a>lanman auth parameter.  Otherwise, you should never need 
2687
2721
    to change this parameter.</p><p>Default: <span class="emphasis"><em><em class="parameter"><code>min protocol</code></em> = CORE
2688
2722
</em></span>
2689
2723
</p><p>Example: <span class="emphasis"><em><em class="parameter"><code>min protocol</code></em> = NT1
2690
2724
</em></span>
2691
2725
</p></dd><dt><span class="term"><a name="MINWINSTTL"></a>min wins ttl (G)</span></dt><dd><p>This option tells <a href="nmbd.8.html"><span class="citerefentry"><span class="refentrytitle">nmbd</span>(8)</span></a>
2692
 
    when acting as a WINS server (<a class="indexterm" name="id2513746"></a>wins support = yes) what the minimum 'time to live' 
 
2726
    when acting as a WINS server (<a class="indexterm" name="id2551211"></a>wins support = yes) what the minimum 'time to live' 
2693
2727
    of NetBIOS names that <span><strong class="command">nmbd</strong></span> will grant will be (in 
2694
2728
    seconds). You should never need to change this parameter.  The default 
2695
2729
    is 6 hours (21600 seconds).</p><p>Default: <span class="emphasis"><em><em class="parameter"><code>min wins ttl</code></em> = 21600
2699
2733
        the value of the parameter. When clients attempt to connect to
2700
2734
        this share, they are redirected to the proxied share using
2701
2735
        the SMB-Dfs protocol.</p><p>Only Dfs roots can act as proxy shares. Take a look at the
2702
 
        <a class="indexterm" name="id2513806"></a>msdfs root and <a class="indexterm" name="id2513813"></a>host msdfs
 
2736
        <a class="indexterm" name="id2551270"></a>msdfs root and <a class="indexterm" name="id2551277"></a>host msdfs
2703
2737
        options to find out how to set up a Dfs root share.</p><p><span class="emphasis"><em>No default</em></span></p><p>Example: <span class="emphasis"><em><em class="parameter"><code>msdfs proxy</code></em> = \otherserver\someshare
2704
2738
</em></span>
2705
2739
</p></dd><dt><span class="term"><a name="MSDFSROOT"></a>msdfs root (S)</span></dt><dd><p>If set to <code class="constant">yes</code>, Samba treats the
2708
2742
        Dfs links are specified in the share directory by symbolic
2709
2743
        links of the form <code class="filename">msdfs:serverA\\shareA,serverB\\shareB</code>
2710
2744
        and so on.  For more information on setting up a Dfs tree on
2711
 
        Samba, refer to the MSDFS chapter in the Samba3-HOWTO book.</p><p>Default: <span class="emphasis"><em><em class="parameter"><code>msdfs root</code></em> = no
 
2745
        Samba, refer to the MSDFS chapter in the Samba3-HOWTO book.</p><p>Default: <span class="emphasis"><em><em class="parameter"><code>msdfs root</code></em> = yes
2712
2746
</em></span>
2713
2747
</p></dd><dt><span class="term"><a name="NAMECACHETIMEOUT"></a>name cache timeout (G)</span></dt><dd><p>Specifies the number of seconds it takes before 
2714
2748
    entries in samba's hostname resolve cache time out. If 
2735
2769
                useful for active directory domains and results in a DNS query for the SRV RR entry matching
2736
2770
                _ldap._tcp.domain.
2737
2771
        </p></li><li><p><code class="constant">wins</code> : Query a name with 
2738
 
            the IP address listed in the <a class="indexterm" name="id2514021"></a>WINSSERVER parameter.  If no WINS server has
 
2772
            the IP address listed in the <a class="indexterm" name="id2551485"></a>WINSSERVER parameter.  If no WINS server has
2739
2773
            been specified this method will be ignored.</p></li><li><p><code class="constant">bcast</code> : Do a broadcast on 
2740
 
            each of the known local interfaces listed in the <a class="indexterm" name="id2514040"></a>interfaces 
 
2774
            each of the known local interfaces listed in the <a class="indexterm" name="id2551504"></a>interfaces 
2741
2775
            parameter. This is the least reliable of the name resolution 
2742
2776
            methods as it depends on the target host being on a locally 
2743
2777
            connected subnet.</p></li></ul></div><p>The example below will cause the local lmhosts file to be examined 
2789
2823
        it will be mounted on the Samba client directly from the directory 
2790
2824
        server. When Samba is returning the home share to the client, it 
2791
2825
        will consult the NIS map specified in
2792
 
        <a class="indexterm" name="id2514316"></a>homedir map and return the server 
 
2826
        <a class="indexterm" name="id2551780"></a>homedir map and return the server 
2793
2827
        listed there.</p><p>Note that for this option to work there must be a working 
2794
2828
        NIS system and the Samba server with this option must also 
2795
2829
        be a logon server.</p><p>Default: <span class="emphasis"><em><em class="parameter"><code>nis homedir</code></em> = no
2796
2830
</em></span>
2797
2831
</p></dd><dt><span class="term"><a name="NTACLSUPPORT"></a>nt acl support (S)</span></dt><dd><p>This boolean parameter controls whether <a href="smbd.8.html"><span class="citerefentry"><span class="refentrytitle">smbd</span>(8)</span></a> will attempt to map 
2798
 
    UNIX permissions into Windows NT access control lists.
2799
 
    This parameter was formally a global parameter in releases
2800
 
    prior to 2.2.2.</p><p>Default: <span class="emphasis"><em><em class="parameter"><code>nt acl support</code></em> = yes
 
2832
    UNIX permissions into Windows NT access control lists.  The UNIX
 
2833
    permissions considered are the the traditional UNIX owner and
 
2834
    group permissions, as well as POSIX ACLs set on any files or
 
2835
    directories.  This parameter was formally a global parameter in
 
2836
    releases prior to 2.2.2.</p><p>Default: <span class="emphasis"><em><em class="parameter"><code>nt acl support</code></em> = yes
2801
2837
</em></span>
2802
2838
</p></dd><dt><span class="term"><a name="NTLMAUTH"></a>ntlm auth (G)</span></dt><dd><p>This parameter determines whether or not <a href="smbd.8.html"><span class="citerefentry"><span class="refentrytitle">smbd</span>(8)</span></a> will attempt to
2803
2839
    authenticate users using the NTLM encrypted password response.
2826
2862
    should obey PAM's account and session management directives.  The 
2827
2863
    default behavior is to use PAM for clear text authentication only
2828
2864
    and to ignore any account or session management.  Note that Samba
2829
 
    always ignores PAM for authentication in the case of <a class="indexterm" name="id2514619"></a>encrypt passwords = yes.  The reason 
 
2865
    always ignores PAM for authentication in the case of <a class="indexterm" name="id2552086"></a>encrypt passwords = yes.  The reason 
2830
2866
    is that PAM modules cannot support the challenge/response
2831
2867
    authentication mechanism needed in the presence of SMB password encryption.
2832
2868
</p><p>Default: <span class="emphasis"><em><em class="parameter"><code>obey pam restrictions</code></em> = no
2837
2873
    client can supply a username to be used by the server.  Enabling
2838
2874
    this parameter will force the server to only use the login 
2839
2875
    names from the <em class="parameter"><code>user</code></em> list and is only really
2840
 
    useful in <a class="indexterm" name="id2514680"></a>security = share level security.</p><p>Note that this also means Samba won't try to deduce 
 
2876
    useful in <a class="indexterm" name="id2552147"></a>security = share level security.</p><p>Note that this also means Samba won't try to deduce 
2841
2877
    usernames from the service name. This can be annoying for 
2842
2878
    the [homes] section. To get around this you could use <span><strong class="command">user =
2843
2879
    %S</strong></span> which means your <em class="parameter"><code>user</code></em> list
2844
2880
    will be just the service name, which for home directories is the 
2845
2881
    name of the user.</p><p>Default: <span class="emphasis"><em><em class="parameter"><code>only user</code></em> = no
2846
2882
</em></span>
 
2883
</p></dd><dt><span class="term"><a name="OPENFILESDATABASEHASHSIZE"></a>open files database hash size (G)</span></dt><dd><p>This parameter was added in Samba 3.0.23. This is an internal tuning parameter that sets
 
2884
        the hash size of the tdb used for the open file databases. The presence of this parameter
 
2885
        allows tuning of the system for very large (thousands of concurrent users) Samba setups.
 
2886
        The default setting of this parameter should be sufficient for most normal environments.
 
2887
        It is advised not to change this parameter unless advised to by a Samba Team member.</p><p>Default: <span class="emphasis"><em><em class="parameter"><code>open files database hash size</code></em> = 10007
 
2888
</em></span>
 
2889
</p><p>Example: <span class="emphasis"><em><em class="parameter"><code>open files database hash size</code></em> = 1338457
 
2890
</em></span>
2847
2891
</p></dd><dt><span class="term"><a name="OPLOCKBREAKWAITTIME"></a>oplock break wait time (G)</span></dt><dd><p>
2848
2892
        This is a tuning parameter added due to bugs in both Windows 9x and WinNT. If Samba responds to a client too 
2849
2893
        quickly when that client issues an SMB that can cause an oplock break request, then the network client can 
2877
2921
        <code class="filename">docs/</code> directory.
2878
2922
        </p><p>
2879
2923
        Oplocks may be selectively turned off on certain files with a share. See 
2880
 
        the <a class="indexterm" name="id2514893"></a>veto oplock files parameter. On some systems 
 
2924
        the <a class="indexterm" name="id2552414"></a>veto oplock files parameter. On some systems 
2881
2925
        oplocks are recognized by the underlying operating system. This 
2882
2926
        allows data synchronization between all access to oplocked files, 
2883
2927
        whether it be via Samba or NFS or a local UNIX process. See the 
2884
 
        <a class="indexterm" name="id2514905"></a>kernel oplocks parameter for details.
 
2928
        <a class="indexterm" name="id2552425"></a>kernel oplocks parameter for details.
2885
2929
        </p><p>Default: <span class="emphasis"><em><em class="parameter"><code>oplocks</code></em> = yes
2886
2930
</em></span>
2887
2931
</p></dd><dt><span class="term"><a name="OS2DRIVERMAP"></a>os2 driver map (G)</span></dt><dd><p>The parameter is used to define the absolute
2897
2941
</p></dd><dt><span class="term"><a name="OSLEVEL"></a>os level (G)</span></dt><dd><p>This integer value controls what level Samba 
2898
2942
        advertises itself as for browse elections. The value of this 
2899
2943
        parameter determines whether <a href="nmbd.8.html"><span class="citerefentry"><span class="refentrytitle">nmbd</span>(8)</span></a> 
2900
 
has a chance of becoming a local master browser for the <a class="indexterm" name="id2515017"></a>workgroup in the local broadcast area.</p><p><span class="emphasis"><em>
 
2944
has a chance of becoming a local master browser for the <a class="indexterm" name="id2552537"></a>workgroup in the local broadcast area.</p><p><span class="emphasis"><em>
2901
2945
        Note :</em></span>By default, Samba will win a local master browsing election over all Microsoft operating
2902
2946
        systems except a Windows NT 4.0/2000 Domain Controller.  This means that a misconfigured Samba host can
2903
2947
        effectively isolate a subnet for browsing purposes. This parameter is largely auto-configured in the Samba-3
2911
2955
    this parameter, it is possible to use PAM's password change control 
2912
2956
    flag for Samba.  If enabled, then PAM will be used for password
2913
2957
    changes when requested by an SMB client instead of the program listed in 
2914
 
    <a class="indexterm" name="id2515089"></a>passwd program. 
 
2958
    <a class="indexterm" name="id2552610"></a>passwd program. 
2915
2959
    It should be possible to enable this without changing your 
2916
 
    <a class="indexterm" name="id2515097"></a>passwd chat parameter for most setups.</p><p>Default: <span class="emphasis"><em><em class="parameter"><code>pam password change</code></em> = no
 
2960
    <a class="indexterm" name="id2552618"></a>passwd chat parameter for most setups.</p><p>Default: <span class="emphasis"><em><em class="parameter"><code>pam password change</code></em> = no
2917
2961
</em></span>
2918
2962
</p></dd><dt><span class="term"><a name="PANICACTION"></a>panic action (G)</span></dt><dd><p>This is a Samba developer option that allows a 
2919
2963
        system command to be called when either <a href="smbd.8.html"><span class="citerefentry"><span class="refentrytitle">smbd</span>(8)</span></a> or <a href="smbd.8.html"><span class="citerefentry"><span class="refentrytitle">smbd</span>(8)</span></a>        crashes. This is usually used to 
2930
2974
    this check, which involves deliberatly attempting a
2931
2975
    bad logon to the remote server.</p><p>Default: <span class="emphasis"><em><em class="parameter"><code>paranoid server security</code></em> = yes
2932
2976
</em></span>
2933
 
</p></dd><dt><span class="term"><a name="PASSDBBACKEND"></a>passdb backend (G)</span></dt><dd><p>This option allows the administrator to chose which backends
2934
 
    to retrieve and store passwords with. This allows (for example) both 
2935
 
    smbpasswd and tdbsam to be used without a recompile. Multiple
2936
 
    backends can be specified, separated by spaces. The backends will be
2937
 
    searched in the order they are specified. New users are always added
2938
 
        to the first backend specified. </p><p>This parameter is in two parts, the backend's name, and a 'location'
 
2977
</p></dd><dt><span class="term"><a name="PASSDBBACKEND"></a>passdb backend (G)</span></dt><dd><p>This option allows the administrator to chose which backend
 
2978
    will be used for storing user and possibly group information.  This allows 
 
2979
    you to swap between dfferent storage mechanisms without recompile. </p><p>The parameter value is divided into two parts, the backend's name, and a 'location'
2939
2980
    string that has meaning only to that particular backed.  These are separated
2940
2981
    by a : character.</p><p>Available backends can include:
2941
2982
        </p><div class="itemizedlist"><ul type="disc"><li><p><span><strong class="command">smbpasswd</strong></span> - The default smbpasswd
2942
2983
                backend. Takes a path to the smbpasswd file as an optional argument.
2943
2984
                </p></li><li><p><span><strong class="command">tdbsam</strong></span> - The TDB based password storage
2944
2985
                backend.  Takes a path to the TDB as an optional argument (defaults to passdb.tdb 
2945
 
                in the <a class="indexterm" name="id2515289"></a>private dir directory.</p></li><li><p><span><strong class="command">ldapsam</strong></span> - The LDAP based passdb 
 
2986
                in the <a class="indexterm" name="id2552807"></a>private dir directory.</p></li><li><p><span><strong class="command">ldapsam</strong></span> - The LDAP based passdb 
2946
2987
                backend.  Takes an LDAP URL as an optional argument (defaults to 
2947
2988
                <span><strong class="command">ldap://localhost</strong></span>)</p><p>LDAP connections should be secured where possible.  This may be done using either
2948
 
                Start-TLS (see <a class="indexterm" name="id2515324"></a>ldap ssl) or by
 
2989
                Start-TLS (see <a class="indexterm" name="id2552842"></a>ldap ssl) or by
2949
2990
                specifying <em class="parameter"><code>ldaps://</code></em> in
2950
2991
                the URL argument. </p><p>Multiple servers may also be specified in double-quotes, if your
2951
2992
                LDAP libraries supports the LDAP URL notation.
2952
2993
                (OpenLDAP does).   
2953
 
                </p></li><li><p><span><strong class="command">nisplussam</strong></span> -
2954
 
                The NIS+ based passdb backend. Takes name NIS domain as
2955
 
                an optional argument. Only works with sun NIS+ servers.
2956
 
                </p></li><li><p><span><strong class="command">mysql</strong></span> - 
2957
 
                The MySQL based passdb backend. Takes an identifier as 
2958
 
                argument. Read the Samba HOWTO Collection for configuration
2959
 
                details.
2960
2994
                </p></li></ul></div><p>
2961
2995
 
2962
2996
    </p>
2963
2997
        Examples of use are:
2964
2998
<pre class="programlisting">
2965
 
passdb backend = tdbsam:/etc/samba/private/passdb.tdb \
2966
 
    smbpasswd:/etc/samba/smbpasswd
2967
 
 
2968
 
or
2969
 
 
2970
 
passdb backend = ldapsam:ldaps://ldap.example.com
2971
 
 
2972
 
or
2973
 
 
2974
 
passdb backend = ldapsam:"ldap://ldap-1.example.com \
2975
 
    ldap://ldap-2.example.com"
2976
 
 
2977
 
or
2978
 
 
2979
 
passdb backend = mysql:my_plugin_args tdbsam
 
2999
passdb backend = tdbsam:/etc/samba/private/passdb.tdb 
 
3000
 
 
3001
or
 
3002
 
 
3003
passdb backend = ldapsam:"ldap://ldap-1.example.com ldap://ldap-2.example.com"
2980
3004
</pre><p>Default: <span class="emphasis"><em><em class="parameter"><code>passdb backend</code></em> = smbpasswd
2981
3005
</em></span>
2982
3006
</p></dd><dt><span class="term"><a name="PASSDBEXPANDEXPLICIT"></a>passdb expand explicit (G)</span></dt><dd><p>
2983
3007
        This parameter controls whether Samba substitutes %-macros in the passdb fields if they are explicitly set. We
2984
3008
        used to expand macros here, but this turned out to be a bug because the Windows client can expand a variable
2985
3009
        %G_osver% in which %G would have been substituted by the user's primary group.
2986
 
    </p><p>
2987
 
    This parameter is set to "yes" by default, but this is about to change in the future.
2988
 
    </p><p>Default: <span class="emphasis"><em><em class="parameter"><code>passdb expand explicit</code></em> = yes
 
3010
    </p><p>Default: <span class="emphasis"><em><em class="parameter"><code>passdb expand explicit</code></em> = no
2989
3011
</em></span>
2990
3012
</p></dd><dt><span class="term"><a name="PASSWDCHAT"></a>passwd chat (G)</span></dt><dd><p>This string controls the <span class="emphasis"><em>"chat"</em></span> 
2991
3013
    conversation that takes places between <a href="smbd.8.html"><span class="citerefentry"><span class="refentrytitle">smbd</span>(8)</span></a> and the local password changing
2992
3014
    program to change the user's password. The string describes a 
2993
3015
    sequence of response-receive pairs that <a href="smbd.8.html"><span class="citerefentry"><span class="refentrytitle">smbd</span>(8)</span></a> uses to determine what to send to the 
2994
 
    <a class="indexterm" name="id2515484"></a>passwd program and what to expect back. If the expected output is not 
 
3016
    <a class="indexterm" name="id2552974"></a>passwd program and what to expect back. If the expected output is not 
2995
3017
    received then the password is not changed.</p><p>This chat sequence is often quite site specific, depending 
2996
3018
    on what local methods are used for password control (such as NIS 
2997
 
    etc).</p><p>Note that this parameter only is only used if the <a class="indexterm" name="id2515502"></a>unix password sync parameter is set  to <code class="constant">yes</code>. This sequence is 
 
3019
    etc).</p><p>Note that this parameter only is only used if the <a class="indexterm" name="id2552993"></a>unix password sync parameter is set  to <code class="constant">yes</code>. This sequence is 
2998
3020
    then called <span class="emphasis"><em>AS ROOT</em></span> when the SMB password  in the 
2999
3021
    smbpasswd file is being changed, without access to the old password
3000
3022
    cleartext. This means that root must be able to reset the user's password without
3001
3023
    knowing the text of the previous password. In the presence of
3002
 
    NIS/YP,  this means that the <a class="indexterm" name="id2515522"></a>passwd program must
 
3024
    NIS/YP,  this means that the <a class="indexterm" name="id2553013"></a>passwd program must
3003
3025
    be executed on the NIS master.
3004
3026
    </p><p>The string can contain the macro <em class="parameter"><code>%n</code></em> which is substituted 
3005
3027
    for the new password.  The chat sequence can also contain the standard 
3008
3030
    a '*' which matches any sequence of characters. Double quotes can be used to collect strings with spaces 
3009
3031
    in them into a single string.</p><p>If the send string in any part of the chat sequence  is a full
3010
3032
    stop ".",  then no string is sent. Similarly,  if the
3011
 
    expect string is a full stop then no string is expected.</p><p>If the <a class="indexterm" name="id2515556"></a>pam password change parameter is set to <code class="constant">yes</code>, the
 
3033
    expect string is a full stop then no string is expected.</p><p>If the <a class="indexterm" name="id2553047"></a>pam password change parameter is set to <code class="constant">yes</code>, the
3012
3034
        chat pairs may be matched in any order, and success is determined by the PAM result, not any particular
3013
3035
        output. The \n macro is ignored for PAM conversions.
3014
3036
    </p><p>Default: <span class="emphasis"><em><em class="parameter"><code>passwd chat</code></em> = *new*password* %n\n*new*password* %n\n *changed*
3019
3041
    parameter is run in <span class="emphasis"><em>debug</em></span> mode. In this mode the 
3020
3042
    strings passed to and received from the passwd chat are printed 
3021
3043
    in the <a href="smbd.8.html"><span class="citerefentry"><span class="refentrytitle">smbd</span>(8)</span></a> log with a 
3022
 
    <a class="indexterm" name="id2515632"></a>debug level 
 
3044
    <a class="indexterm" name="id2553122"></a>debug level 
3023
3045
    of 100. This is a dangerous option as it will allow plaintext passwords 
3024
3046
    to be seen in the <span><strong class="command">smbd</strong></span> log. It is available to help 
3025
3047
    Samba admins debug their <em class="parameter"><code>passwd chat</code></em> scripts 
3026
3048
    when calling the <em class="parameter"><code>passwd program</code></em> and should 
3027
3049
    be turned off after this has been done. This option has no effect if the 
3028
 
    <a class="indexterm" name="id2515662"></a>pam password change
 
3050
    <a class="indexterm" name="id2553152"></a>pam password change
3029
3051
        paramter is set. This parameter is off by default.</p><p>Default: <span class="emphasis"><em><em class="parameter"><code>passwd chat debug</code></em> = no
3030
3052
</em></span>
3031
3053
</p></dd><dt><span class="term"><a name="PASSWDCHATTIMEOUT"></a>passwd chat timeout (G)</span></dt><dd><p>This integer specifies the number of seconds smbd will wait for an initial
3072
3094
    process a new connection.</p><p>A value of zero will cause only two attempts to be 
3073
3095
    made - the password as is and the password in all-lower case.</p><p>This parameter is used only when using plain-text passwords. It is
3074
3096
    not at all used when encrypted passwords as in use (that is the default
3075
 
    since samba-3.0.0). Use this only when <a class="indexterm" name="id2515933"></a>encrypt passwords = No.</p><p>Default: <span class="emphasis"><em><em class="parameter"><code>password level</code></em> = 0
 
3097
    since samba-3.0.0). Use this only when <a class="indexterm" name="id2553423"></a>encrypt passwords = No.</p><p>Default: <span class="emphasis"><em><em class="parameter"><code>password level</code></em> = 0
3076
3098
</em></span>
3077
3099
</p><p>Example: <span class="emphasis"><em><em class="parameter"><code>password level</code></em> = 4
3078
3100
</em></span>
3088
3110
    Samba will use the standard LDAP port of tcp/389.  Note that port numbers
3089
3111
    have no effect on password servers for Windows NT 4.0 domains or netbios 
3090
3112
    connections.</p><p>If parameter is a name, it is looked up using the 
3091
 
    parameter <a class="indexterm" name="id2516013"></a>name resolve order and so may resolved
 
3113
    parameter <a class="indexterm" name="id2553504"></a>name resolve order and so may resolved
3092
3114
    by any method and order described in that parameter.</p><p>The password server must be a machine capable of using 
3093
3115
    the "LM1.2X002" or the "NT LM 0.12" protocol, and it must be in 
3094
3116
    user level security mode.</p><div class="note" style="margin-left: 0.5in; margin-right: 0.5in;"><h3 class="title">Note</h3><p>Using a password server  means your UNIX box (running
3150
3172
        on this connection. Any occurrences of <em class="parameter"><code>%m</code></em> 
3151
3173
        will be replaced by the NetBIOS name of the machine they are 
3152
3174
        connecting from. These replacements are very useful for setting 
3153
 
        up pseudo home directories for users.</p><p>Note that this path will be based on <a class="indexterm" name="id2516328"></a>root dir
 
3175
        up pseudo home directories for users.</p><p>Note that this path will be based on <a class="indexterm" name="id2553819"></a>root dir
3154
3176
         if one was specified.</p><p>Default: <span class="emphasis"><em><em class="parameter"><code>path</code></em> = 
3155
3177
</em></span>
3156
3178
</p><p>Example: <span class="emphasis"><em><em class="parameter"><code>path</code></em> = /home/fred
3184
3206
        <span><strong class="command">preexec = csh -c 'echo \"Welcome to %S!\" |
3185
3207
        /usr/local/samba/bin/smbclient -M %m -I %I' &amp; </strong></span>
3186
3208
        </p><p>Of course, this could get annoying after a while :-)</p><p>
3187
 
        See also <a class="indexterm" name="id2516584"></a>preexec close and <a class="indexterm" name="id2516592"></a>postexec.
 
3209
        See also <a class="indexterm" name="id2554075"></a>preexec close and <a class="indexterm" name="id2554082"></a>postexec.
3188
3210
        </p><p>Default: <span class="emphasis"><em><em class="parameter"><code>preexec</code></em> = 
3189
3211
</em></span>
3190
3212
</p><p>Example: <span class="emphasis"><em><em class="parameter"><code>preexec</code></em> = echo \"%u connected to %S from %m (%I)\" &gt;&gt; /tmp/log
3191
3213
</em></span>
3192
3214
</p></dd><dt><span class="term"><a name="PREEXECCLOSE"></a>preexec close (S)</span></dt><dd><p>
3193
 
        This boolean option controls whether a non-zero return code from <a class="indexterm" name="id2516646"></a>preexec 
 
3215
        This boolean option controls whether a non-zero return code from <a class="indexterm" name="id2554137"></a>preexec 
3194
3216
        should close the service being connected to.
3195
3217
        </p><p>Default: <span class="emphasis"><em><em class="parameter"><code>preexec close</code></em> = no
3196
3218
</em></span>
3199
3221
        </p><p>
3200
3222
        If this is set to <code class="constant">yes</code>, on startup, <span><strong class="command">nmbd</strong></span> will force
3201
3223
        an election, and it will have a slight advantage in winning the election.  It is recommended that this
3202
 
        parameter is used in conjunction with <a class="indexterm" name="id2516735"></a>domain master = yes, so that
 
3224
        parameter is used in conjunction with <a class="indexterm" name="id2554226"></a>domain master = yes, so that
3203
3225
        <span><strong class="command">nmbd</strong></span> can guarantee becoming a domain master.
3204
3226
        </p><p>
3205
3227
        Use this option with caution, because if there are several hosts (whether Samba servers, Windows 95 or NT)
3213
3235
        for homes and printers services that would otherwise not be 
3214
3236
        visible.</p><p>
3215
3237
        Note that if you just want all printers in your 
3216
 
        printcap file loaded then the <a class="indexterm" name="id2516822"></a>load printers
 
3238
        printcap file loaded then the <a class="indexterm" name="id2554312"></a>load printers
3217
3239
         option is easier.
3218
3240
        </p><p>Default: <span class="emphasis"><em><em class="parameter"><code>preload</code></em> = 
3219
3241
</em></span>
3227
3249
</em></span>
3228
3250
</p></dd><dt><span class="term"><a name="PRESERVECASE"></a>preserve case (S)</span></dt><dd><p>
3229
3251
        This controls if new filenames are created with the case that the client passes, or if 
3230
 
        they are forced to be the <a class="indexterm" name="id2516926"></a>default case.
 
3252
        they are forced to be the <a class="indexterm" name="id2554416"></a>default case.
3231
3253
        </p><p>
3232
3254
        See the section on <a href="#NAMEMANGLINGSECT" title="NAME MANGLING">NAME MANGLING</a> for a fuller discussion.
3233
3255
        </p><p>Default: <span class="emphasis"><em><em class="parameter"><code>preserve case</code></em> = yes
3236
3258
    clients may open, write to and submit spool files on the directory 
3237
3259
    specified for the service. </p><p>Note that a printable service will ALWAYS allow writing 
3238
3260
    to the service path (user privileges permitting) via the spooling 
3239
 
    of print data. The <a class="indexterm" name="id2517114"></a>read only parameter controls only non-printing access to 
 
3261
    of print data. The <a class="indexterm" name="id2554604"></a>read only parameter controls only non-printing access to 
3240
3262
    the resource.</p><p>Default: <span class="emphasis"><em><em class="parameter"><code>printable</code></em> = no
3241
3263
</em></span>
3242
3264
</p></dd><dt><span class="term"><a name="PRINTCAPCACHETIME"></a>printcap cache time (G)</span></dt><dd><p>This option specifies the number of seconds before the printing
3254
3276
        <code class="filename"> /etc/printcap</code>). See the discussion of the <a href="#PRINTERSSECT" title="The [printers] section">[printers]</a> section above for reasons why you might want to do this.
3255
3277
        </p><p>
3256
3278
        To use the CUPS printing interface set <span><strong class="command">printcap name = cups </strong></span>. This should
3257
 
        be supplemented by an addtional setting <a class="indexterm" name="id2517261"></a>printing = cups in the [global]
 
3279
        be supplemented by an addtional setting <a class="indexterm" name="id2554752"></a>printing = cups in the [global]
3258
3280
        section.  <span><strong class="command">printcap name = cups</strong></span> will use the  "dummy" printcap
3259
3281
        created by CUPS, as specified in your CUPS configuration file.
3260
3282
    </p><p>
3307
3329
    printable service nor a global print command, spool files will 
3308
3330
    be created but not processed and (most importantly) not removed.</p><p>Note that printing may fail on some UNIXes from the 
3309
3331
    <code class="constant">nobody</code> account. If this happens then create 
3310
 
    an alternative guest account that can print and set the <a class="indexterm" name="id2517496"></a>guest account 
 
3332
    an alternative guest account that can print and set the <a class="indexterm" name="id2554987"></a>guest account 
3311
3333
    in the [global] section.</p><p>You can form quite complex print commands by realizing 
3312
3334
    that they are just passed to a shell. For example the following 
3313
3335
    will log a print job, print the file, then remove it. Note that 
3314
3336
    ';' is the usual separator for command in shell scripts.</p><p><span><strong class="command">print command = echo Printing %s &gt;&gt; 
3315
3337
    /tmp/print.log; lpr -P %p %s; rm %s</strong></span></p><p>You may have to vary this command considerably depending 
3316
3338
    on how you normally print files on your system. The default for 
3317
 
    the parameter varies depending on the setting of the <a class="indexterm" name="id2517528"></a>printing
 
3339
    the parameter varies depending on the setting of the <a class="indexterm" name="id2555019"></a>printing
3318
3340
        parameter.</p><p>Default: For <span><strong class="command">printing = BSD, AIX, QNX, LPRNG 
3319
3341
    or PLP :</strong></span></p><p><span><strong class="command">print command = lpr -r -P%p %s</strong></span></p><p>For <span><strong class="command">printing = SYSV or HPUX :</strong></span></p><p><span><strong class="command">print command = lp -c -d%p %s; rm %s</strong></span></p><p>For <span><strong class="command">printing = SOFTQ :</strong></span></p><p><span><strong class="command">print command = lp -d%p -s %s; rm %s</strong></span></p><p>For printing = CUPS :   If SAMBA is compiled against
3320
 
    libcups, then <a class="indexterm" name="id2517588"></a>printcap = cups 
 
3342
    libcups, then <a class="indexterm" name="id2555078"></a>printcap = cups 
3321
3343
    uses the CUPS API to
3322
3344
    submit jobs, etc.  Otherwise it maps to the System V
3323
3345
    commands with the -oraw option for printing, i.e. it
3349
3371
        If specified in the [global] section, the printer name given will be used for any printable service that
3350
3372
        does not have its own printer name specified.
3351
3373
        </p><p>
3352
 
        The default value of the <a class="indexterm" name="id2517741"></a>printer name may be <code class="literal">lp</code> on many
 
3374
        The default value of the <a class="indexterm" name="id2555232"></a>printer name may be <code class="literal">lp</code> on many
3353
3375
        systems.
3354
3376
        </p><p>Default: <span class="emphasis"><em><em class="parameter"><code>printer name</code></em> = none
3355
3377
</em></span>
3416
3438
</p></dd><dt><span class="term"><a name="QUEUERESUMECOMMAND"></a>queueresume command (S)</span></dt><dd><p>This parameter specifies the command to be 
3417
3439
    executed on the server host in order to resume the printer queue. It 
3418
3440
    is the command to undo the behavior that is caused by the 
3419
 
    previous parameter (<a class="indexterm" name="id2518119"></a>queuepause command).</p><p>This command should be a program or script which takes 
 
3441
    previous parameter (<a class="indexterm" name="id2555610"></a>queuepause command).</p><p>This command should be a program or script which takes 
3420
3442
    a printer name as its only parameter and resumes the printer queue, 
3421
3443
    such that queued jobs are resubmitted to the printer.</p><p>This command is not supported by Windows for Workgroups, 
3422
3444
    but can be issued from the Printers window under Windows 95 
3436
3458
</em></span>
3437
3459
</p></dd><dt><span class="term"><a name="READLIST"></a>read list (S)</span></dt><dd><p>
3438
3460
        This is a list of users that are given read-only access to a service. If the connecting user is in this list
3439
 
        then they will not be given write access, no matter what the <a class="indexterm" name="id2518251"></a>read only option is set
3440
 
        to. The list can include group names using the syntax described in the <a class="indexterm" name="id2518259"></a>invalid users
 
3461
        then they will not be given write access, no matter what the <a class="indexterm" name="id2555742"></a>read only option is set
 
3462
        to. The list can include group names using the syntax described in the <a class="indexterm" name="id2555750"></a>invalid users
3441
3463
        parameter.
3442
 
        </p><p>This parameter will not work with the <a class="indexterm" name="id2518271"></a>security = share in 
 
3464
        </p><p>This parameter will not work with the <a class="indexterm" name="id2555761"></a>security = share in 
3443
3465
    Samba 3.0.  This is by design.</p><p>Default: <span class="emphasis"><em><em class="parameter"><code>read list</code></em> = 
3444
3466
</em></span>
3445
3467
</p><p>Example: <span class="emphasis"><em><em class="parameter"><code>read list</code></em> = mary, @students
3446
3468
</em></span>
3447
 
</p></dd><dt><span class="term"><a name="READONLY"></a>read only (S)</span></dt><dd><p>An inverted synonym is <a class="indexterm" name="id2518324"></a>writeable.</p><p>If this parameter is <code class="constant">yes</code>, then users 
 
3469
</p></dd><dt><span class="term"><a name="READONLY"></a>read only (S)</span></dt><dd><p>An inverted synonym is <a class="indexterm" name="id2555815"></a>writeable.</p><p>If this parameter is <code class="constant">yes</code>, then users 
3448
3470
    of a service may not create or modify files in the service's 
3449
3471
    directory.</p><p>Note that a printable service (<span><strong class="command">printable = yes</strong></span>)
3450
3472
    will <span class="emphasis"><em>ALWAYS</em></span> allow writing to the directory 
3480
3502
</pre><p>
3481
3503
        the above line would cause <span><strong class="command">nmbd</strong></span> to announce itself 
3482
3504
        to the two given IP addresses using the given workgroup names. If you leave out the 
3483
 
        workgroup name then the one given in the <a class="indexterm" name="id2518536"></a>workgroup parameter 
 
3505
        workgroup name then the one given in the <a class="indexterm" name="id2556027"></a>workgroup parameter 
3484
3506
        is used instead.
3485
3507
        </p><p>
3486
3508
        The IP addresses you choose would normally be the broadcast addresses of the remote 
3517
3539
        that the remote machine is available, is listening, nor that it 
3518
3540
        is in fact the browse master on its segment.
3519
3541
        </p><p>
3520
 
        The <a class="indexterm" name="id2518647"></a>remote browse sync may be used on networks
 
3542
        The <a class="indexterm" name="id2556138"></a>remote browse sync may be used on networks
3521
3543
        where there is no WINS server, and may be used on disjoint networks where
3522
3544
        each network has its own WINS server.
3523
3545
        </p><p>Default: <span class="emphasis"><em><em class="parameter"><code>remote browse sync</code></em> = 
3579
3601
        means.
3580
3602
        </p><div class="note" style="margin-left: 0.5in; margin-right: 0.5in;"><h3 class="title">Note</h3><p>
3581
3603
    The security advantage of using restrict anonymous = 2 is removed
3582
 
    by setting <a class="indexterm" name="id2518849"></a>guest ok = yes on any share.
 
3604
    by setting <a class="indexterm" name="id2556340"></a>guest ok = yes on any share.
3583
3605
        </p></div><p>Default: <span class="emphasis"><em><em class="parameter"><code>restrict anonymous</code></em> = 0
3584
3606
</em></span>
3585
3607
</p></dd><dt><span class="term"><a name="ROOT"></a>root</span></dt><dd><p>This parameter is a synonym for root directory.</p></dd><dt><span class="term"><a name="ROOTDIR"></a>root dir</span></dt><dd><p>This parameter is a synonym for root directory.</p></dd><dt><span class="term"><a name="ROOTDIRECTORY"></a>root directory (G)</span></dt><dd><p>The server will <span><strong class="command">chroot()</strong></span> (i.e. 
3589
3611
    It may also check for, and deny access to, soft links to other 
3590
3612
    parts of the filesystem, or attempts to use ".." in file names 
3591
3613
    to access other directories (depending on the setting of the
3592
 
        <a class="indexterm" name="id2518949"></a>wide smbconfoptions parameter).
 
3614
        <a class="indexterm" name="id2556439"></a>wide smbconfoptions parameter).
3593
3615
    </p><p>Adding a <em class="parameter"><code>root directory</code></em> entry other 
3594
3616
    than "/" adds an extra level of security, but at a price. It 
3595
3617
    absolutely ensures that no access is given to files not in the 
3644
3666
    want to mainly setup shares without a password (guest shares). This 
3645
3667
    is commonly used for a shared printer server. It is more difficult 
3646
3668
    to setup guest shares with <span><strong class="command">security = user</strong></span>, see 
3647
 
    the <a class="indexterm" name="id2519282"></a>map to guestparameter for details.</p><p>It is possible to use <span><strong class="command">smbd</strong></span> in a <span class="emphasis"><em>
 
3669
    the <a class="indexterm" name="id2556773"></a>map to guestparameter for details.</p><p>It is possible to use <span><strong class="command">smbd</strong></span> in a <span class="emphasis"><em>
3648
3670
    hybrid mode</em></span> where it is offers both user and share 
3649
 
    level security under different <a class="indexterm" name="id2519305"></a>NetBIOS aliases. </p><p>The different settings will now be explained.</p><p><a name="SECURITYEQUALSSHARE"></a><span class="emphasis"><em>SECURITY = SHARE</em></span></p><p>When clients connect to a share level security server they 
 
3671
    level security under different <a class="indexterm" name="id2556795"></a>NetBIOS aliases. </p><p>The different settings will now be explained.</p><p><a name="SECURITYEQUALSSHARE"></a><span class="emphasis"><em>SECURITY = SHARE</em></span></p><p>When clients connect to a share level security server they 
3650
3672
    need not log onto the server with a valid username and password before 
3651
3673
    attempting to connect to a shared resource (although modern clients 
3652
3674
    such as Windows 95/98 and Windows NT will send a logon request with 
3659
3681
    in share level security, <span><strong class="command">smbd</strong></span> uses several
3660
3682
    techniques to determine the correct UNIX user to use on behalf
3661
3683
    of the client.</p><p>A list of possible UNIX usernames to match with the given
3662
 
    client password is constructed using the following methods :</p><div class="itemizedlist"><ul type="disc"><li><p>If the <a class="indexterm" name="id2519389"></a>guest only parameter is set, then all the other 
3663
 
            stages are missed and only the <a class="indexterm" name="id2519397"></a>guest account username is checked.
 
3684
    client password is constructed using the following methods :</p><div class="itemizedlist"><ul type="disc"><li><p>If the <a class="indexterm" name="id2556880"></a>guest only parameter is set, then all the other 
 
3685
            stages are missed and only the <a class="indexterm" name="id2556888"></a>guest account username is checked.
3664
3686
            </p></li><li><p>Is a username is sent with the share connection 
3665
 
            request, then this username (after mapping - see <a class="indexterm" name="id2519413"></a>username map), 
 
3687
            request, then this username (after mapping - see <a class="indexterm" name="id2556904"></a>username map), 
3666
3688
            is added as a potential username.
3667
3689
            </p></li><li><p>If the client did a previous <span class="emphasis"><em>logon
3668
3690
            </em></span> request (the SessionSetup SMB call) then the 
3671
3693
            added as a potential username.
3672
3694
            </p></li><li><p>The NetBIOS name of the client is added to 
3673
3695
            the list as a potential username.
3674
 
            </p></li><li><p>Any users on the <a class="indexterm" name="id2519457"></a>user list are added as potential usernames.
 
3696
            </p></li><li><p>Any users on the <a class="indexterm" name="id2556948"></a>user list are added as potential usernames.
3675
3697
            </p></li></ul></div><p>If the <em class="parameter"><code>guest only</code></em> parameter is 
3676
3698
    not set, then this list is then tried with the supplied password. 
3677
3699
    The first user for whom the password matches will be used as the 
3683
3705
    be used in granting access.</p><p>See also the section <a href="#VALIDATIONSECT" title="NOTE ABOUT USERNAME/PASSWORD VALIDATION">
3684
3706
    NOTE ABOUT USERNAME/PASSWORD VALIDATION</a>.</p><p><a name="SECURITYEQUALSUSER"></a><span class="emphasis"><em>SECURITY = USER</em></span></p><p>This is the default security setting in Samba 3.0. 
3685
3707
    With user-level security a client must first "log-on" with a 
3686
 
    valid username and password (which can be mapped using the <a class="indexterm" name="id2519534"></a>username map 
3687
 
    parameter). Encrypted passwords (see the <a class="indexterm" name="id2519542"></a>encrypted passwords parameter) can also
3688
 
    be used in this security mode. Parameters such as <a class="indexterm" name="id2519551"></a>user and <a class="indexterm" name="id2519558"></a>guest only if set    are then applied and 
 
3708
    valid username and password (which can be mapped using the <a class="indexterm" name="id2557025"></a>username map 
 
3709
    parameter). Encrypted passwords (see the <a class="indexterm" name="id2557033"></a>encrypted passwords parameter) can also
 
3710
    be used in this security mode. Parameters such as <a class="indexterm" name="id2557042"></a>user and <a class="indexterm" name="id2557049"></a>guest only if set    are then applied and 
3689
3711
    may change the UNIX user to use on this connection, but only after 
3690
3712
    the user has been successfully authenticated.</p><p><span class="emphasis"><em>Note</em></span> that the name of the resource being 
3691
3713
    requested is <span class="emphasis"><em>not</em></span> sent to the server until after 
3692
3714
    the server has successfully authenticated the client. This is why 
3693
3715
    guest shares don't work in user level security without allowing 
3694
 
    the server to automatically map unknown users into the <a class="indexterm" name="id2519582"></a>guest account. 
3695
 
    See the <a class="indexterm" name="id2519589"></a>map to guest parameter for details on doing this.</p><p>See also the section <a href="#VALIDATIONSECT" title="NOTE ABOUT USERNAME/PASSWORD VALIDATION">NOTE ABOUT USERNAME/PASSWORD VALIDATION</a>.</p><p><a name="SECURITYEQUALSDOMAIN"></a><span class="emphasis"><em>SECURITY = DOMAIN</em></span></p><p>This mode will only work correctly if <a href="net.8.html"><span class="citerefentry"><span class="refentrytitle">net</span>(8)</span></a> has been used to add this
3696
 
    machine into a Windows NT Domain. It expects the <a class="indexterm" name="id2519631"></a>encrypted passwords
 
3716
    the server to automatically map unknown users into the <a class="indexterm" name="id2557072"></a>guest account. 
 
3717
    See the <a class="indexterm" name="id2557080"></a>map to guest parameter for details on doing this.</p><p>See also the section <a href="#VALIDATIONSECT" title="NOTE ABOUT USERNAME/PASSWORD VALIDATION">NOTE ABOUT USERNAME/PASSWORD VALIDATION</a>.</p><p><a name="SECURITYEQUALSDOMAIN"></a><span class="emphasis"><em>SECURITY = DOMAIN</em></span></p><p>This mode will only work correctly if <a href="net.8.html"><span class="citerefentry"><span class="refentrytitle">net</span>(8)</span></a> has been used to add this
 
3718
    machine into a Windows NT Domain. It expects the <a class="indexterm" name="id2557122"></a>encrypted passwords
3697
3719
        parameter to be set to <code class="constant">yes</code>. In this 
3698
3720
    mode Samba will try to validate the username/password by passing
3699
3721
    it to a Windows NT Primary or Backup Domain Controller, in exactly 
3707
3729
    requested is <span class="emphasis"><em>not</em></span> sent to the server until after 
3708
3730
    the server has successfully authenticated the client. This is why 
3709
3731
    guest shares don't work in user level security without allowing 
3710
 
    the server to automatically map unknown users into the <a class="indexterm" name="id2519689"></a>guest account. 
3711
 
    See the <a class="indexterm" name="id2519696"></a>map to guest parameter for details on doing this.</p><p>See also the section <a href="#VALIDATIONSECT" title="NOTE ABOUT USERNAME/PASSWORD VALIDATION">
3712
 
    NOTE ABOUT USERNAME/PASSWORD VALIDATION</a>.</p><p>See also the <a class="indexterm" name="id2519719"></a>password server parameter and
3713
 
         the <a class="indexterm" name="id2519727"></a>encrypted passwords parameter.</p><p><a name="SECURITYEQUALSSERVER"></a><span class="emphasis"><em>SECURITY = SERVER</em></span></p><p>
 
3732
    the server to automatically map unknown users into the <a class="indexterm" name="id2557179"></a>guest account. 
 
3733
    See the <a class="indexterm" name="id2557187"></a>map to guest parameter for details on doing this.</p><p>See also the section <a href="#VALIDATIONSECT" title="NOTE ABOUT USERNAME/PASSWORD VALIDATION">
 
3734
    NOTE ABOUT USERNAME/PASSWORD VALIDATION</a>.</p><p>See also the <a class="indexterm" name="id2557210"></a>password server parameter and
 
3735
         the <a class="indexterm" name="id2557218"></a>encrypted passwords parameter.</p><p><a name="SECURITYEQUALSSERVER"></a><span class="emphasis"><em>SECURITY = SERVER</em></span></p><p>
3714
3736
        In this mode Samba will try to validate the username/password by passing it to another SMB server, such as an
3715
3737
        NT box. If this fails it will revert to <span><strong class="command">security = user</strong></span>. It expects the
3716
 
        <a class="indexterm" name="id2519757"></a>encrypted passwords parameter to be set to <code class="constant">yes</code>, unless the remote
 
3738
        <a class="indexterm" name="id2557248"></a>encrypted passwords parameter to be set to <code class="constant">yes</code>, unless the remote
3717
3739
        server does not support them.  However note that if encrypted passwords have been negotiated then Samba cannot
3718
3740
        revert back to checking the UNIX password file, it must have a valid <code class="filename">smbpasswd</code> file to check users against. See the chapter about the User Database in
3719
3741
        the Samba HOWTO Collection for details on how to set this up.
3720
3742
</p><div class="note" style="margin-left: 0.5in; margin-right: 0.5in;"><h3 class="title">Note</h3><p>This mode of operation has
3721
 
    significant pitfalls, due to the fact that is activly initiates a
3722
 
    man-in-the-middle attack on the remote SMB server.  In particular,
 
3743
    significant pitfalls since it is more vulnerable to
 
3744
    man-in-the-middle attacks and server impersonation.  In particular,
3723
3745
    this mode of operation can cause significant resource consuption on
3724
3746
    the PDC, as it must maintain an active connection for the duration
3725
3747
    of the user's session.  Furthermore, if this connection is lost,
3726
 
    there is no way to reestablish it, and futher authenticaions to the
3727
 
    Samba server may fail.  (From a single client, till it disconnects).
 
3748
    there is no way to reestablish it, and futher authentications to the
 
3749
    Samba server may fail (from a single client, till it disconnects).
3728
3750
        </p></div><div class="note" style="margin-left: 0.5in; margin-right: 0.5in;"><h3 class="title">Note</h3><p>From the client's point of 
3729
3751
    view <span><strong class="command">security = server</strong></span> is the
3730
3752
    same as <span><strong class="command">security = user</strong></span>.  It
3733
3755
    requested is <span class="emphasis"><em>not</em></span> sent to the server until after 
3734
3756
    the server has successfully authenticated the client. This is why 
3735
3757
    guest shares don't work in user level security without allowing 
3736
 
    the server to automatically map unknown users into the <a class="indexterm" name="id2519826"></a>guest account. 
3737
 
    See the <a class="indexterm" name="id2519834"></a>map to guest parameter for details on doing this.</p><p>See also the section <a href="#VALIDATIONSECT" title="NOTE ABOUT USERNAME/PASSWORD VALIDATION">
3738
 
    NOTE ABOUT USERNAME/PASSWORD VALIDATION</a>.</p><p>See also the <a class="indexterm" name="id2519856"></a>password server parameter and the 
3739
 
        <a class="indexterm" name="id2519864"></a>encrypted passwords parameter.</p><p><a name="SECURITYEQUALSADS"></a><span class="emphasis"><em>SECURITY = ADS</em></span></p><p>In this mode, Samba will act as a domain member in an ADS realm. To operate 
 
3758
    the server to automatically map unknown users into the <a class="indexterm" name="id2557316"></a>guest account. 
 
3759
    See the <a class="indexterm" name="id2557324"></a>map to guest parameter for details on doing this.</p><p>See also the section <a href="#VALIDATIONSECT" title="NOTE ABOUT USERNAME/PASSWORD VALIDATION">
 
3760
    NOTE ABOUT USERNAME/PASSWORD VALIDATION</a>.</p><p>See also the <a class="indexterm" name="id2557347"></a>password server parameter and the 
 
3761
        <a class="indexterm" name="id2557354"></a>encrypted passwords parameter.</p><p><a name="SECURITYEQUALSADS"></a><span class="emphasis"><em>SECURITY = ADS</em></span></p><p>In this mode, Samba will act as a domain member in an ADS realm. To operate 
3740
3762
                in this mode, the machine running Samba will need to have Kerberos installed 
3741
3763
                and configured and Samba will need to be joined to the ADS realm using the 
3742
3764
                net utility. </p><p>Note that this mode does NOT make Samba operate as a Active Directory Domain 
3749
3771
        UNIX permission on a file using the native NT security dialog box.
3750
3772
        </p><p>
3751
3773
        This parameter is applied as a mask (AND'ed with) to the changed permission bits, thus preventing any bits not
3752
 
        in this mask from being modified.  Make sure not to mix up this parameter with <a class="indexterm" name="id2519953"></a>force  security mode, which works in a manner similar to this one but uses a logical OR instead of an AND. 
 
3774
        in this mask from being modified.  Make sure not to mix up this parameter with <a class="indexterm" name="id2557444"></a>force  security mode, which works in a manner similar to this one but uses a logical OR instead of an AND. 
3753
3775
        </p><p>
3754
3776
        Essentially, zero bits in this mask may be treated as a set of bits the user is not allowed to change.
3755
3777
        </p><p>
3764
3786
</em></span>
3765
3787
</p></dd><dt><span class="term"><a name="SERVERSCHANNEL"></a>server schannel (G)</span></dt><dd><p>
3766
3788
        This controls whether the server offers or even demands the use of the netlogon schannel.
3767
 
        <a class="indexterm" name="id2520033"></a>server schannel = no does not offer the schannel, <a class="indexterm" name="id2520041"></a>server schannel = auto offers the schannel but does not enforce it, and <a class="indexterm" name="id2520049"></a>server schannel = yes denies access if the client is not able to speak netlogon schannel.
 
3789
        <a class="indexterm" name="id2557523"></a>server schannel = no does not offer the schannel, <a class="indexterm" name="id2557531"></a>server schannel = auto offers the schannel but does not enforce it, and <a class="indexterm" name="id2557540"></a>server schannel = yes denies access if the client is not able to speak netlogon schannel.
3768
3790
        This is only the case for Windows NT4 before SP4.
3769
3791
        </p><p>
3770
3792
        Please note that with this set to <code class="literal">no</code> you will have to apply the WindowsXP
3838
3860
</p></dd><dt><span class="term"><a name="SHORTPRESERVECASE"></a>short preserve case (S)</span></dt><dd><p>This boolean parameter controls if new files 
3839
3861
        which conform to 8.3 syntax, that is all in upper case and of 
3840
3862
        suitable length, are created upper case, or if they are forced 
3841
 
        to be the <a class="indexterm" name="id2520620"></a>default case
3842
 
        . This  option can be use with <a class="indexterm" name="id2520628"></a>preserve case = yes
 
3863
        to be the <a class="indexterm" name="id2558111"></a>default case
 
3864
        . This  option can be use with <a class="indexterm" name="id2558118"></a>preserve case = yes
3843
3865
         to permit long filenames to retain their case, while short 
3844
3866
        names are lowered. </p><p>See the section on <a href="#NAMEMANGLINGSECT" title="NAME MANGLING">NAME MANGLING</a>.</p><p>Default: <span class="emphasis"><em><em class="parameter"><code>short preserve case</code></em> = yes
3845
3867
</em></span>
3939
3961
</p></dd><dt><span class="term"><a name="STOREDOSATTRIBUTES"></a>store dos attributes (S)</span></dt><dd><p>
3940
3962
        If this parameter is set Samba attempts to first read DOS attributes (SYSTEM, HIDDEN, ARCHIVE or
3941
3963
        READ-ONLY) from a filesystem extended attribute, before mapping DOS attributes to UNIX permission bits (such
3942
 
        as occurs with <a class="indexterm" name="id2521278"></a>map hidden and <a class="indexterm" name="id2521285"></a>map readonly).  When set, DOS
 
3964
        as occurs with <a class="indexterm" name="id2558769"></a>map hidden and <a class="indexterm" name="id2558775"></a>map readonly).  When set, DOS
3943
3965
        attributes will be stored onto an extended attribute in the UNIX filesystem, associated with the file or
3944
 
        directory.  For no other mapping to occur as a fall-back, the parameters <a class="indexterm" name="id2521296"></a>map hidden,
3945
 
        <a class="indexterm" name="id2521303"></a>map system, <a class="indexterm" name="id2521310"></a>map archive and <a class="indexterm" name="id2521317"></a>map  readonly must be set to off.  This parameter writes the DOS attributes as a string into the extended
 
3966
        directory.  For no other mapping to occur as a fall-back, the parameters <a class="indexterm" name="id2558786"></a>map hidden,
 
3967
        <a class="indexterm" name="id2558793"></a>map system, <a class="indexterm" name="id2558800"></a>map archive and <a class="indexterm" name="id2558808"></a>map  readonly must be set to off.  This parameter writes the DOS attributes as a string into the extended
3946
3968
        attribute named "user.DOSATTRIB". This extended attribute is explicitly hidden from smbd clients requesting an
3947
3969
        EA list. On Linux the filesystem must have been mounted with the mount option user_xattr in order for
3948
3970
        extended attributes to work, also extended attributes must be compiled into the Linux kernel.
3961
3983
    of users.</p><p>Default: <span class="emphasis"><em><em class="parameter"><code>strict allocate</code></em> = no
3962
3984
</em></span>
3963
3985
</p></dd><dt><span class="term"><a name="STRICTLOCKING"></a>strict locking (S)</span></dt><dd><p>
3964
 
        This is a boolean that controls the handling of file locking in the server. When this is set to <code class="constant">yes</code>,
 
3986
        This is an enumerated type that controls the handling of file locking in the server. When this is set to <code class="constant">yes</code>,
3965
3987
        the server will check every read and write access for file locks, and deny access if locks exist. This can be slow on 
3966
3988
        some systems.
3967
3989
        </p><p>
 
3990
        When strict locking is set to Auto (the default), the server performs file lock checks only on non-oplocked files.
 
3991
        As most Windows redirectors perform file locking checks locally on oplocked files this is a good trade off for
 
3992
        inproved performance.
 
3993
        </p><p>
3968
3994
        When strict locking is disabled, the server performs file lock checks only when the client explicitly asks for them.
3969
3995
        </p><p>
3970
3996
        Well-behaved clients always ask for lock checks when it is important.  So in the vast majority of cases, 
 
3997
        <span><strong class="command">strict locking = Auto</strong></span> or
3971
3998
        <span><strong class="command">strict locking = no</strong></span> is acceptable.
3972
 
        </p><p>Default: <span class="emphasis"><em><em class="parameter"><code>strict locking</code></em> = yes
 
3999
        </p><p>Default: <span class="emphasis"><em><em class="parameter"><code>strict locking</code></em> = Auto
3973
4000
</em></span>
3974
4001
</p></dd><dt><span class="term"><a name="STRICTSYNC"></a>strict sync (S)</span></dt><dd><p>Many Windows applications (including the Windows 98 explorer
3975
4002
    shell) seem to confuse flushing buffer contents to disk with doing
4079
4106
        passwords to be made over a longer period.  Once all users have encrypted representations of their passwords
4080
4107
        in the smbpasswd file this parameter should be set to <code class="constant">no</code>.
4081
4108
        </p><p>
4082
 
        In order for this parameter to be operative the <a class="indexterm" name="id2522134"></a>encrypt passwords parameter must 
4083
 
    be set to <code class="constant">no</code>. The default value of <a class="indexterm" name="id2522145"></a>encrypt  passwords = Yes. Note: This must be set to <code class="constant">no</code> for this <a class="indexterm" name="id2522157"></a>update encrypted to work.
 
4109
        In order for this parameter to be operative the <a class="indexterm" name="id2559631"></a>encrypt passwords parameter must 
 
4110
    be set to <code class="constant">no</code>. The default value of <a class="indexterm" name="id2559642"></a>encrypt  passwords = Yes. Note: This must be set to <code class="constant">no</code> for this <a class="indexterm" name="id2559654"></a>update encrypted to work.
4084
4111
        </p><p>
4085
4112
        Note that even when this parameter is set a user authenticating to <span><strong class="command">smbd</strong></span>
4086
4113
        must still enter a valid password in order to connect correctly, and to update their hashed (smbpasswd)
4152
4179
    they will be able to do no more damage than if they started a 
4153
4180
    telnet session. The daemon runs as the user that they log in as, 
4154
4181
    so they cannot do anything that user cannot do.</p><p>To restrict a service to a particular set of users you 
4155
 
    can use the <a class="indexterm" name="id2522486"></a>valid users parameter.</p><p>If any of the usernames begin with a '@' then the name 
 
4182
    can use the <a class="indexterm" name="id2559995"></a>valid users parameter.</p><p>If any of the usernames begin with a '@' then the name 
4156
4183
    will be looked up first in the NIS netgroups list (if Samba 
4157
4184
    is compiled with netgroup support), followed by a lookup in 
4158
4185
    the UNIX groups database and will expand to a list of all users 
4242
4269
        Note that the remapping is applied to all occurrences of usernames.  Thus if you connect to \\server\fred and
4243
4270
        <code class="constant">fred</code> is remapped to <code class="constant">mary</code> then you will actually be connecting to
4244
4271
        \\server\mary and will need to supply a password suitable for <code class="constant">mary</code> not
4245
 
        <code class="constant">fred</code>. The only exception to this is the username passed to the <a class="indexterm" name="id2522819"></a>password server (if you have one). The password server will receive whatever username the client
 
4272
        <code class="constant">fred</code>. The only exception to this is the username passed to the <a class="indexterm" name="id2560327"></a>password server (if you have one). The password server will receive whatever username the client
4246
4273
        supplies without  modification.
4247
4274
    </p><p>
4248
4275
        Also note that no reverse mapping is done. The main effect this has is with printing. Users who have been
4270
4297
# no username map
4271
4298
</em></span>
4272
4299
</p></dd><dt><span class="term"><a name="USERNAMEMAPSCRIPT"></a>username map script (G)</span></dt><dd><p>This script is a mutually exclusive alternative to the 
4273
 
        <a class="indexterm" name="id2522908"></a>username map parameter.  This parameter 
 
4300
        <a class="indexterm" name="id2560417"></a>username map parameter.  This parameter 
4274
4301
        specifies and external program or script that must accept a single 
4275
4302
        command line option (the username transmitted in the authentication
4276
4303
        request) and return a line line on standard output (the name to which 
4280
4307
</em></span>
4281
4308
</p><p>Example: <span class="emphasis"><em><em class="parameter"><code>username map script</code></em> = /etc/samba/scripts/mapusers.sh
4282
4309
</em></span>
 
4310
</p></dd><dt><span class="term"><a name="USERSHAREALLOWGUESTS"></a>usershare allow guests (G)</span></dt><dd><p>This parameter controls whether user defined shares are allowed
 
4311
        to be accessed by non-authenticated users or not. It is the equivalent
 
4312
        of allowing people who can create a share the option of setting
 
4313
        <em class="parameter"><code>guest ok = yes</code></em> in a share
 
4314
        definition. Due to the security sensitive nature of this the default
 
4315
        is set to off.</p><p>Default: <span class="emphasis"><em><em class="parameter"><code>usershare allow guests</code></em> = no
 
4316
</em></span>
 
4317
</p></dd><dt><span class="term"><a name="USERSHAREMAXSHARES"></a>usershare max shares (G)</span></dt><dd><p>This parameter specifies the number of user defined shares
 
4318
        that are allowed to be created by users belonging to the group owning the
 
4319
        usershare directory. If set to zero (the default) user defined shares are ignored.
 
4320
        </p><p>Default: <span class="emphasis"><em><em class="parameter"><code>usershare max shares</code></em> = 0
 
4321
</em></span>
 
4322
</p></dd><dt><span class="term"><a name="USERSHAREOWNERONLY"></a>usershare owner only (G)</span></dt><dd><p>This parameter controls whether the pathname exported by
 
4323
        a user defined shares must be owned by the user creating the
 
4324
        user defined share or not. If set to True (the default) then
 
4325
        smbd checks that the directory path being shared is owned by
 
4326
        the user who owns the usershare file defining this share and
 
4327
        refuses to create the share if not. If set to False then no
 
4328
        such check is performed and any directory path may be exported
 
4329
        regardless of who owns it.
 
4330
        </p><p>Default: <span class="emphasis"><em><em class="parameter"><code>usershare owner only</code></em> = True
 
4331
</em></span>
 
4332
</p></dd><dt><span class="term"><a name="USERSHAREPATH"></a>usershare path (G)</span></dt><dd><p>This parameter specifies the absolute path of the directory on the
 
4333
        filesystem used to store the user defined share definition files.
 
4334
        This directory must be owned by root, and have no access for
 
4335
        other, and be writable only by the group owner. In addition the
 
4336
        "sticky" bit must also be set, restricting rename and delete to
 
4337
        owners of a file (in the same way the /tmp directory is usually configured).
 
4338
        Members of the group owner of this directory are the users allowed to create
 
4339
        usershares. If this parameter is undefined then no user defined
 
4340
        shares are allowed.
 
4341
        </p><p>
 
4342
        For example, a valid usershare directory might be /usr/local/samba/lib/usershares,
 
4343
        set up as follows.
 
4344
        </p><p>
 
4345
        </p><pre class="programlisting">
 
4346
        ls -ld /usr/local/samba/lib/usershares/
 
4347
        drwxrwx--T  2 root power_users 4096 2006-05-05 12:27 /usr/local/samba/lib/usershares/
 
4348
        </pre><p>
 
4349
        </p><p>
 
4350
        In this case, only members of the group "power_users" can create user defined shares.
 
4351
        </p><p>Default: <span class="emphasis"><em><em class="parameter"><code>usershare path</code></em> = NULL
 
4352
</em></span>
 
4353
</p></dd><dt><span class="term"><a name="USERSHAREPREFIXALLOWLIST"></a>usershare prefix allow list (G)</span></dt><dd><p>This parameter specifies a list of absolute pathnames
 
4354
        the root of which are allowed to be exported by user defined share definitions.
 
4355
        If the pathname exported doesn't start with one of the strings in this
 
4356
        list the user defined share will not be allowed. This allows the Samba
 
4357
        administrator to restrict the directories on the system that can be
 
4358
        exported by user defined shares.
 
4359
        </p><p>
 
4360
        If there is a "usershare prefix deny list" and also a
 
4361
        "usershare prefix allow list" the deny list is processed
 
4362
        first, followed by the allow list, thus leading to the most
 
4363
        restrictive interpretation.
 
4364
        </p><p>Default: <span class="emphasis"><em><em class="parameter"><code>usershare prefix allow list</code></em> = NULL
 
4365
</em></span>
 
4366
</p><p>Example: <span class="emphasis"><em><em class="parameter"><code>usershare prefix allow list</code></em> = /home /data /space
 
4367
</em></span>
 
4368
</p></dd><dt><span class="term"><a name="USERSHAREPREFIXDENYLIST"></a>usershare prefix deny list (G)</span></dt><dd><p>This parameter specifies a list of absolute pathnames
 
4369
        the root of which are NOT allowed to be exported by user defined share definitions.
 
4370
        If the pathname exported starts with one of the strings in this
 
4371
        list the user defined share will not be allowed. Any pathname not
 
4372
        starting with one of these strings will be allowed to be exported
 
4373
        as a usershare. This allows the Samba administrator to restrict the
 
4374
        directories on the system that can be exported by user defined shares.
 
4375
        </p><p>
 
4376
        If there is a "usershare prefix deny list" and also a
 
4377
        "usershare prefix allow list" the deny list is processed
 
4378
        first, followed by the allow list, thus leading to the most
 
4379
        restrictive interpretation.
 
4380
        </p><p>Default: <span class="emphasis"><em><em class="parameter"><code>usershare prefix deny list</code></em> = NULL
 
4381
</em></span>
 
4382
</p><p>Example: <span class="emphasis"><em><em class="parameter"><code>usershare prefix deny list</code></em> = /etc /dev /private
 
4383
</em></span>
 
4384
</p></dd><dt><span class="term"><a name="USERSHARETEMPLATESHARE"></a>usershare template share (G)</span></dt><dd><p>User defined shares only have limited possible parameters
 
4385
        such as path, guest ok etc. This parameter allows usershares to
 
4386
        "cloned" from an existing share. If "usershare template share"
 
4387
        is set to the name of an existing share, then all usershares
 
4388
        created have their defaults set from the parameters set on this
 
4389
        share.
 
4390
        </p><p>
 
4391
        The target share may be set to be invalid for real file
 
4392
        sharing by setting the parameter "-valid = False" on the template
 
4393
        share definition. This causes it not to be seen as a real exported
 
4394
        share but to be able to be used as a template for usershares.
 
4395
        </p><p>Default: <span class="emphasis"><em><em class="parameter"><code>usershare template share</code></em> = NULL
 
4396
</em></span>
 
4397
</p><p>Example: <span class="emphasis"><em><em class="parameter"><code>usershare template share</code></em> = template_share
 
4398
</em></span>
4283
4399
</p></dd><dt><span class="term"><a name="USESENDFILE"></a>use sendfile (S)</span></dt><dd><p>If this parameter is <code class="constant">yes</code>, and the <code class="constant">sendfile()</code> 
4284
4400
    system call is supported by the underlying operating system, then some SMB read calls 
4285
4401
    (mainly ReadAndX and ReadRaw) will use the more efficient sendfile system call for files that
4354
4470
        Each entry must be a unix path, not a DOS path and must <span class="emphasis"><em>not</em></span> include the  
4355
4471
        unix directory  separator '/'.
4356
4472
        </p><p>
4357
 
        Note that the <a class="indexterm" name="id2523316"></a>case sensitive option is applicable in vetoing files.
 
4473
        Note that the <a class="indexterm" name="id2561205"></a>case sensitive option is applicable in vetoing files.
4358
4474
        </p><p>
4359
4475
        One feature of the veto files parameter that it is important to be aware of is Samba's behaviour when
4360
4476
        trying to delete a directory. If a directory that is to be deleted contains nothing but veto files this
4361
 
        deletion will <span class="emphasis"><em>fail</em></span> unless you also set the <a class="indexterm" name="id2523335"></a>delete veto files 
 
4477
        deletion will <span class="emphasis"><em>fail</em></span> unless you also set the <a class="indexterm" name="id2561224"></a>delete veto files 
4362
4478
        parameter to <em class="parameter"><code>yes</code></em>.
4363
4479
        </p><p>
4364
4480
        Setting this parameter will affect the performance of Samba, as it will be forced to check all files 
4378
4494
        </p><p>Default: <span class="emphasis"><em><em class="parameter"><code>veto files</code></em> = No files or directories are vetoed.
4379
4495
</em></span>
4380
4496
</p></dd><dt><span class="term"><a name="VETOOPLOCKFILES"></a>veto oplock files (S)</span></dt><dd><p>
4381
 
        This parameter is only valid when the <a class="indexterm" name="id2523404"></a>oplocks
 
4497
        This parameter is only valid when the <a class="indexterm" name="id2561292"></a>oplocks
4382
4498
        parameter is turned on for a share. It allows the Samba administrator
4383
4499
        to selectively turn off the granting of oplocks on selected files that
4384
4500
        match a wildcarded list, similar to the wildcarded list used in the
4385
 
        <a class="indexterm" name="id2523415"></a>veto files parameter.
 
4501
        <a class="indexterm" name="id2561303"></a>veto files parameter.
4386
4502
        </p><p>
4387
4503
        You might want to do this on files that you know will be heavily contended 
4388
4504
        for by clients. A good example of this is in the NetBench SMB benchmark 
4430
4546
        <span><strong class="command">endgrent()</strong></span> group of system calls.  If
4431
4547
        the <em class="parameter"><code>winbind enum groups</code></em> parameter is
4432
4548
        <code class="constant">no</code>, calls to the <span><strong class="command">getgrent()</strong></span> system
4433
 
        call will not return any data. </p><div class="warning" style="margin-left: 0.5in; margin-right: 0.5in;"><h3 class="title">Warning</h3><p>Turning off group enumeration may cause some programs to behave oddly.  </p></div><p>Default: <span class="emphasis"><em><em class="parameter"><code>winbind enum groups</code></em> = yes
 
4549
        call will not return any data. </p><div class="warning" style="margin-left: 0.5in; margin-right: 0.5in;"><h3 class="title">Warning</h3><p>Turning off group enumeration may cause some programs to behave oddly.  </p></div><p>Default: <span class="emphasis"><em><em class="parameter"><code>winbind enum groups</code></em> = no
4434
4550
</em></span>
4435
4551
</p></dd><dt><span class="term"><a name="WINBINDENUMUSERS"></a>winbind enum users (G)</span></dt><dd><p>On large installations using <a href="winbindd.8.html"><span class="citerefentry"><span class="refentrytitle">winbindd</span>(8)</span></a> it may be
4436
4552
        necessary to suppress the enumeration of users through the <span><strong class="command">setpwent()</strong></span>,
4442
4558
        enumeration may cause some programs to behave oddly.  For
4443
4559
        example, the finger program relies on having access to the
4444
4560
        full user list when searching for matching
4445
 
        usernames. </p></div><p>Default: <span class="emphasis"><em><em class="parameter"><code>winbind enum users</code></em> = yes
 
4561
        usernames. </p></div><p>Default: <span class="emphasis"><em><em class="parameter"><code>winbind enum users</code></em> = no
4446
4562
</em></span>
4447
4563
</p></dd><dt><span class="term"><a name="WINBINDNESTEDGROUPS"></a>winbind nested groups (G)</span></dt><dd><p>If set to yes, this parameter activates the support for nested
4448
4564
                 groups. Nested groups are also called local groups or
4450
4566
                 groups are defined locally on any machine (they are shared
4451
4567
                 between DC's through their SAM) and can contain users and
4452
4568
                 global groups from any trusted SAM. To be able to use nested
4453
 
                 groups, you need to run nss_winbind.</p><p>Please note that per 3.0.3 this is a new feature, so 
4454
 
                 handle with care.</p><p>Default: <span class="emphasis"><em><em class="parameter"><code>winbind nested groups</code></em> = no
 
4569
                 groups, you need to run nss_winbind.</p><p>Default: <span class="emphasis"><em><em class="parameter"><code>winbind nested groups</code></em> = yes
4455
4570
</em></span>
4456
4571
</p></dd><dt><span class="term"><a name="WINBINDNSSINFO"></a>winbind nss info (G)</span></dt><dd><p>This parameter is designed to control how Winbind retrieves Name
4457
4572
        Service Information to construct a user's home directory and login shell. 
4473
4588
</em></span>
4474
4589
</p><p>Example: <span class="emphasis"><em><em class="parameter"><code>winbind nss info</code></em> = template sfu
4475
4590
</em></span>
 
4591
</p></dd><dt><span class="term"><a name="WINBINDOFFLINELOGON"></a>winbind offline logon (G)</span></dt><dd><p>This parameter is designed to control whether Winbind should
 
4592
        allow to login with the <em class="parameter"><code>pam_winbind</code></em> 
 
4593
        module using Cached Credentials. If enabled, winbindd will store user credentials
 
4594
        from successful logins encrypted in a local cache.
 
4595
        </p><p>Default: <span class="emphasis"><em><em class="parameter"><code>winbind offline logon</code></em> = false
 
4596
</em></span>
 
4597
</p><p>Example: <span class="emphasis"><em><em class="parameter"><code>winbind offline logon</code></em> = true
 
4598
</em></span>
 
4599
</p></dd><dt><span class="term"><a name="WINBINDREFRESHTICKETS"></a>winbind refresh tickets (G)</span></dt><dd><p>This parameter is designed to control whether Winbind should refresh Kerberos Tickets
 
4600
        retrieved using the <em class="parameter"><code>pam_winbind</code></em> module.
 
4601
 
 
4602
</p><p>Default: <span class="emphasis"><em><em class="parameter"><code>winbind refresh tickets</code></em> = false
 
4603
</em></span>
 
4604
</p><p>Example: <span class="emphasis"><em><em class="parameter"><code>winbind refresh tickets</code></em> = true
 
4605
</em></span>
4476
4606
</p></dd><dt><span class="term"><a name="WINBINDSEPARATOR"></a>winbind separator (G)</span></dt><dd><p>This parameter allows an admin to define the character 
4477
4607
        used when listing a username of the form of <em class="replaceable"><code>DOMAIN
4478
4608
        </code></em>\<em class="replaceable"><code>user</code></em>.  This parameter 
4554
4684
</p></dd><dt><span class="term"><a name="WORKGROUP"></a>workgroup (G)</span></dt><dd><p>This controls what workgroup your server will 
4555
4685
        appear to be in when queried by clients. Note that this parameter 
4556
4686
        also controls the Domain name used with 
4557
 
        the <a class="indexterm" name="id2524492"></a>security = domain
 
4687
        the <a class="indexterm" name="id2562486"></a>security = domain
4558
4688
                setting.</p><p>Default: <span class="emphasis"><em><em class="parameter"><code>workgroup</code></em> = WORKGROUP
4559
4689
</em></span>
4560
4690
</p><p>Example: <span class="emphasis"><em><em class="parameter"><code>workgroup</code></em> = MYGROUP
4561
4691
</em></span>
4562
 
</p></dd><dt><span class="term"><a name="WRITABLE"></a>writable</span></dt><dd><p>This parameter is a synonym for writeable.</p></dd><dt><span class="term"><a name="WRITEABLE"></a>writeable (S)</span></dt><dd><p>Inverted synonym for <a class="indexterm" name="id2524566"></a>read only.</p><p><span class="emphasis"><em>No default</em></span></p></dd><dt><span class="term"><a name="WRITECACHESIZE"></a>write cache size (S)</span></dt><dd><p>If this integer parameter is set to non-zero value,
 
4692
</p></dd><dt><span class="term"><a name="WRITABLE"></a>writable</span></dt><dd><p>This parameter is a synonym for writeable.</p></dd><dt><span class="term"><a name="WRITEABLE"></a>writeable (S)</span></dt><dd><p>Inverted synonym for <a class="indexterm" name="id2562560"></a>read only.</p><p><span class="emphasis"><em>No default</em></span></p></dd><dt><span class="term"><a name="WRITECACHESIZE"></a>write cache size (S)</span></dt><dd><p>If this integer parameter is set to non-zero value,
4563
4693
    Samba will create an in-memory cache for each oplocked file 
4564
4694
    (it does <span class="emphasis"><em>not</em></span> do this for 
4565
4695
    non-oplocked files). All writes that the client does not request 
4580
4710
</p></dd><dt><span class="term"><a name="WRITELIST"></a>write list (S)</span></dt><dd><p>
4581
4711
    This is a list of users that are given read-write access to a service. If the 
4582
4712
    connecting user is in this list then they will be given write access, no matter 
4583
 
    what the <a class="indexterm" name="id2524673"></a>read only option is set to. The list can 
 
4713
    what the <a class="indexterm" name="id2562667"></a>read only option is set to. The list can 
4584
4714
    include group names using the @group syntax.
4585
4715
    </p><p>
4586
4716
    Note that if a user is in both the read list and the write list then they will be 
4587
4717
    given write access.
4588
4718
    </p><p>
4589
4719
    By design, this parameter will not work with the 
4590
 
    <a class="indexterm" name="id2524691"></a>security = share in Samba 3.0.
 
4720
    <a class="indexterm" name="id2562685"></a>security = share in Samba 3.0.
4591
4721
    </p><p>Default: <span class="emphasis"><em><em class="parameter"><code>write list</code></em> = 
4592
4722
</em></span>
4593
4723
</p><p>Example: <span class="emphasis"><em><em class="parameter"><code>write list</code></em> = admin, root, @staff
4608
4738
</em></span>
4609
4739
</p><p>Example: <span class="emphasis"><em><em class="parameter"><code>wtmp directory</code></em> = /var/log/wtmp
4610
4740
</em></span>
4611
 
</p></dd></dl></div></div><div class="refsect1" lang="en"><a name="id2524832"></a><h2>WARNINGS</h2><p>
 
4741
</p></dd></dl></div></div><div class="refsect1" lang="en"><a name="id2562826"></a><h2>WARNINGS</h2><p>
4612
4742
        Although the configuration file permits service names to contain spaces, your client software may not.
4613
4743
        Spaces will be ignored in comparisons anyway, so it shouldn't be a problem - but be aware of the possibility.
4614
4744
        </p><p>
4621
4751
        for an administrator easy, but the various combinations of default attributes can be tricky. Take extreme
4622
4752
        care when designing these sections. In particular, ensure that the permissions on spool directories are
4623
4753
        correct.
4624
 
        </p></div><div class="refsect1" lang="en"><a name="id2524882"></a><h2>VERSION</h2><p>This man page is correct for version 3.0 of the Samba suite.</p></div><div class="refsect1" lang="en"><a name="id2524893"></a><h2>SEE ALSO</h2><p>
4625
 
        <a href="samba.7.html"><span class="citerefentry"><span class="refentrytitle">samba</span>(7)</span></a>, <a href="smbpasswd.8.html"><span class="citerefentry"><span class="refentrytitle">smbpasswd</span>(8)</span></a>, <a href="swat.8.html"><span class="citerefentry"><span class="refentrytitle">swat</span>(8)</span></a>, <a href="smbd.8.html"><span class="citerefentry"><span class="refentrytitle">smbd</span>(8)</span></a>, <a href="nmbd.8.html"><span class="citerefentry"><span class="refentrytitle">nmbd</span>(8)</span></a>, <a href="smbclient.1.html"><span class="citerefentry"><span class="refentrytitle">smbclient</span>(1)</span></a>, <a href="nmblookup.1.html"><span class="citerefentry"><span class="refentrytitle">nmblookup</span>(1)</span></a>, <a href="testparm.1.html"><span class="citerefentry"><span class="refentrytitle">testparm</span>(1)</span></a>, <a href="testprns.1.html"><span class="citerefentry"><span class="refentrytitle">testprns</span>(1)</span></a>.</p></div><div class="refsect1" lang="en"><a name="id2524972"></a><h2>AUTHOR</h2><p>
 
4754
        </p></div><div class="refsect1" lang="en"><a name="id2562876"></a><h2>VERSION</h2><p>This man page is correct for version 3.0 of the Samba suite.</p></div><div class="refsect1" lang="en"><a name="id2562887"></a><h2>SEE ALSO</h2><p>
 
4755
        <a href="samba.7.html"><span class="citerefentry"><span class="refentrytitle">samba</span>(7)</span></a>, <a href="smbpasswd.8.html"><span class="citerefentry"><span class="refentrytitle">smbpasswd</span>(8)</span></a>, <a href="swat.8.html"><span class="citerefentry"><span class="refentrytitle">swat</span>(8)</span></a>, <a href="smbd.8.html"><span class="citerefentry"><span class="refentrytitle">smbd</span>(8)</span></a>, <a href="nmbd.8.html"><span class="citerefentry"><span class="refentrytitle">nmbd</span>(8)</span></a>, <a href="smbclient.1.html"><span class="citerefentry"><span class="refentrytitle">smbclient</span>(1)</span></a>, <a href="nmblookup.1.html"><span class="citerefentry"><span class="refentrytitle">nmblookup</span>(1)</span></a>, <a href="testparm.1.html"><span class="citerefentry"><span class="refentrytitle">testparm</span>(1)</span></a>, <a href="testprns.1.html"><span class="citerefentry"><span class="refentrytitle">testprns</span>(1)</span></a>.</p></div><div class="refsect1" lang="en"><a name="id2562967"></a><h2>AUTHOR</h2><p>
4626
4756
        The original Samba software and related utilities were created by Andrew Tridgell. Samba is now developed
4627
4757
        by the Samba Team as an Open Source project similar to the way the Linux kernel is developed.
4628
4758
        </p><p>