This commit was manufactured by cvs2svn to create branch 'SAMBA_3_0'.(This used to...
[samba.git] / docs / docbook / projdoc / ServerType.sgml
1 <chapter id="ServerType">
2 <chapterinfo>
3         <author>
4                 <firstname>John H</firstname><surname>Terpstra</surname>
5                 <affiliation>
6                         <orgname>Samba Team</orgname>
7                         <address><email>jht@samba.org</email></address>
8                 </affiliation>
9         </author>
10 </chapterinfo>
11
12 <title>Nomenclature of Server Types</title>
13
14 <para>Adminstrators of Microsoft networks often refer to there being three
15 different type of servers:</para>
16
17 <itemizedlist>
18         <listitem><para>Stand Alone Server</para></listitem>
19         <listitem><para>Domain Member Server</para></listitem>
20         <listitem><para>Domain Controller</para>
21                 <itemizedlist>
22                         <listitem><para>Primary Domain Controller</para></listitem>
23                         <listitem><para>Backup Domain Controller</para></listitem>
24                         <listitem><para>ADS Domain Controller</para></listitem>
25                 </itemizedlist>
26         </listitem>
27 </itemizedlist>
28
29 <para>A network administrator who is familiar with these terms and who
30 wishes to migrate to or use Samba will want to know what these terms mean
31 within a Samba context.</para>
32
33 <sect1>
34 <title>Stand Alone Server</title>
35
36 <para>
37 The term <emphasis>stand alone server</emphasis> means that the server
38 will provide local authentication and access control for all resources
39 that are available from it. In general this means that there will be a
40 local user database. In more technical terms, it means that resources
41 on the machine will either be made available in either SHARE mode or in
42 USER mode. SHARE mode and USER mode security are documented under
43 discussions regarding "security mode". The smb.conf configuration parameters
44 that control security mode are: "security = user" and "security = share".
45 </para>
46
47 <para>
48 Samba tends to blur the distinction a little in respect of what is
49 a stand alone server. This is because the authentication database may be
50 local or on a remote server, even if from the samba protocol perspective
51 the samba server is NOT a member of a domain security context.
52 </para>
53
54 <para>
55 Through the use of PAM (Pluggable Authentication Modules) and nsswitch
56 (the name service switcher) the source of authentication may reside on 
57 another server. We would be inclined to call this the authentication server.
58 This means that the samba server may use the local Unix/Linux system
59 password database (/etc/passwd or /etc/shadow), may use a local smbpasswd
60 file (/etc/samba/smbpasswd or /usr/local/samba/lib/private/smbpasswd), or
61 may use an LDAP back end, or even via PAM and Winbind another CIFS/SMB
62 server for authentication.
63 </para>
64
65 </sect1>
66
67 <sect1>
68 <title>Domain Member Server</title>
69
70 <para>
71 This mode of server operation involves the samba machine being made a member
72 of a domain security context. This means by definition that all user authentication
73 will be done from a centrally defined authentication regime. The authentication
74 regime may come from an NT3/4 style (old domain technology) server, or it may be
75 provided from an Active Directory server (ADS) running on MS Windows 2000 or later.
76 >/para>
77
78 <para><emphasis>
79 Of course it should be clear that the authentication back end itself could be from any
80 distributed directory architecture server that is supported by Samba. This can be
81 LDAP (from OpenLDAP), or Sun's iPlanet, of NetWare Directory Server, etc.
82 </emphasis></para>
83
84 <para>
85 Please refer to the section on Howto configure Samba as a Primary Domain Controller
86 and for more information regarding how to create a domain machine account for a
87 domain member server as well as for information regading how to enable the samba
88 domain member machine to join the domain and to be fully trusted by it.
89 </para>
90
91 </sect1>
92
93 <sect1>
94 <title>Domain Controller</title>
95
96 <para>
97 Over the years public perceptions of what Domain Control really is has taken on an
98 almost mystical nature. Before we branch into a brief overview of what Domain Control
99 is the following types of controller are known:
100 </para>
101
102 <sect2>
103 <title>Domain Controller Types</title>
104
105 <simplelist>
106         <member>Primary Domain Controller</member>
107         <member>Backup Domain Controller</member>
108         <member>ADS Domain Controller</member>
109 </simplelist>
110
111 <para>
112 The <emphasis>Primary Domain Controller</emphasis> or PDC plays an important role in the MS 
113 Windows NT3 and NT4 Domain Control architecture, but not in the manner that so many
114 expect. The PDC seeds the Domain Control database (a part of the Windows registry) and
115 it plays a key part in synchronisation of the domain authentication database. 
116 </para>
117
118 <para>
119 New to Samba-3.0.0 is the ability to use a back-end file that holds the same type of data as
120 the NT4 style SAM (Security Account Manager) database (one of the registry files).
121 The samba-3.0.0 SAM can be specified via the smb.conf file parameter "passwd backend" and
122 valid options include <emphasis> smbpasswd tdbsam ldapsam nisplussam plugin unixsam</emphasis>.
123 The smbpasswd, tdbsam and ldapsam options can have a "_nua" suffix to indicate that No Unix
124 Accounts need to be created. In other words, the Samba SAM will be independant of Unix/Linux
125 system accounts, provided a uid range is defined from which SAM accounts can be created.
126 </para>
127
128 <para>
129 The <emphasis>Backup Domain Controller</emphasis> or BDC plays a key role in servicing network
130 authentication requests. The BDC is biased to answer logon requests so that on a network segment
131 that has a BDC and a PDC the BDC will be most likely to service network logon requests. The PDC will
132 answer network logon requests when the BDC is too busy (high load). A BDC can be promoted to
133 a PDC. If the PDC is on line at the time that the BDC is promoted to PDC the previous PDC is
134 automatically demoted to a BDC.
135 </para>
136
137 <para>
138 At this time Samba is NOT capable of acting as an <emphasis>ADS Domain Controller</emphasis>.
139
140 </sect2>
141 </sect1>