updated from yodl
[samba.git] / docs / htmldocs / smb.conf.5.html
index a2064519794a279882eda345ea7af6380e2e45f8..538230ee82f5c164df9a5c49877f8fbe7b638aa2 100644 (file)
@@ -421,6 +421,7 @@ parameter for details.  Note that some are synonyms.
 <p><br><li > <a href="smb.conf.5.html#domainadmingroup"><strong>domain admin group</strong></a>
 <p><br><li > <a href="smb.conf.5.html#domainadminusers"><strong>domain admin users</strong></a>
 <p><br><li > <a href="smb.conf.5.html#domaincontroller"><strong>domain controller</strong></a>
+<p><br><li > <a href="smb.conf.5.html#domaingroupmap"><strong>domain group map</strong></a>
 <p><br><li > <a href="smb.conf.5.html#domaingroups"><strong>domain groups</strong></a>
 <p><br><li > <a href="smb.conf.5.html#domainguestgroup"><strong>domain guest group</strong></a>
 <p><br><li > <a href="smb.conf.5.html#domainguestusers"><strong>domain guest users</strong></a>
@@ -442,6 +443,7 @@ parameter for details.  Note that some are synonyms.
 <p><br><li > <a href="smb.conf.5.html#lmannounce"><strong>lm announce</strong></a>
 <p><br><li > <a href="smb.conf.5.html#lminterval"><strong>lm interval</strong></a>
 <p><br><li > <a href="smb.conf.5.html#loadprinters"><strong>load printers</strong></a>
+<p><br><li > <a href="smb.conf.5.html#localgroupmap"><strong>local group map</strong></a>
 <p><br><li > <a href="smb.conf.5.html#localmaster"><strong>local master</strong></a>
 <p><br><li > <a href="smb.conf.5.html#lockdir"><strong>lock dir</strong></a>
 <p><br><li > <a href="smb.conf.5.html#lockdirectory"><strong>lock directory</strong></a>
@@ -1234,7 +1236,7 @@ DNS name lookup requests, as doing a name lookup is a blocking action.
 <p><br><a name="domainadmingroup"></a>
 <strong>domain admin group (G)</strong>
 <p><br>This is an <strong>EXPERIMENTAL</strong> parameter that is part of the unfinished
-Samba NT Domain Controller Code. It may be removed in a later release.
+Samba NT Domain Controller Code.  It has been removed as of November 98.
 To work with the latest code builds that may have more support for
 Samba NT Domain Controller functionality please subscribe to the
 mailing list <strong>Samba-ntdom</strong> available by sending email to
@@ -1242,7 +1244,7 @@ mailing list <strong>Samba-ntdom</strong> available by sending email to
 <p><br><a name="domainadminusers"></a> 
 <li><strong><strong>domain admin users (G)</strong></strong>
 <p><br>This is an <strong>EXPERIMENTAL</strong> parameter that is part of the unfinished
-Samba NT Domain Controller Code. It may be removed in a later release.
+Samba NT Domain Controller Code. It has been removed as of November 98.
 To work with the latest code builds that may have more support for
 Samba NT Domain Controller functionality please subscribe to the
 mailing list <strong>Samba-ntdom</strong> available by sending email to
@@ -1252,10 +1254,57 @@ mailing list <strong>Samba-ntdom</strong> available by sending email to
 <p><br>This is a <strong>DEPRECATED</strong> parameter. It is currently not used within
 the Samba source and should be removed from all current smb.conf
 files. It is left behind for compatibility reasons.
+<p><br><a name="domaingroupmap"></a>
+<li><strong><strong>domain group map (G)</strong></strong>
+<p><br>This option allows you to specify a file containing unique mappings
+of individual NT Domain Group names (in any domain) to UNIX group
+names.  This allows NT domain groups to be presented correctly to
+NT users, despite the lack of native support for the NT Security model
+(based on VAX/VMS) in UNIX.  The reader is advised to become familiar
+with the NT Domain system and its administration.
+<p><br>This option is used in conjunction with <a href="smb.conf.5.html#localgroupmap"><strong>'local group map'</strong></a>
+and <a href="smb.conf.5.html#usernamemap"><strong>'username map'</strong></a>.  The use of these three
+options is trivial and often unnecessary in the case where Samba is
+not expected to interact with any other SAM databases (whether local
+workstations or Domain Controllers).
+<p><br>The map file is parsed line by line.  If any line begins with a <code>'#'</code>
+or a <code>';'</code> then it is ignored.  Each line should contain a single UNIX
+group name on the left then an NT Domain Group name on the right.
+The line can be either of the form:
+<p><br><code>  UNIXgroupname   \\DOMAIN_NAME\\DomainGroupName </code>
+<p><br>or:
+<p><br><code>  UNIXgroupname   DomainGroupName </code>
+<p><br>In the case where Samba is either an <strong>EXPERIMENTAL</strong> Domain Controller
+or it is a member of a domain using <a href="smb.conf.5.html#security"><strong>"security = domain"</strong></a>,
+the latter format can be used: the default Domain name is the Samba Server's
+Domain name, specified by <a href="smb.conf.5.html#workgroup"><strong>"workgroup = MYGROUP"</strong></a>.
+<p><br>Any UNIX groups that are <em>NOT</em> specified in this map file are assumed
+to be Domain Groups.
+<p><br>In this case, when Samba is an <strong>EXPERIMENTAL</strong> Domain Controller, Samba
+will present <em>ALL</em> such unspecified UNIX groups as its own NT Domain
+Groups, with the same name.
+<p><br>In the case where Samba is member of a domain using
+<a href="smb.conf.5.html#security"><strong>"security = domain"</strong></a>, Samba will check the UNIX name with
+its Domain Controller (see <a href="smb.conf.5.html#passwordserver"><strong>"password server"</strong></a>)
+as if it was an NT Domain Group.  If the UNIX group is not an NT Group,
+such unspecified (unmapped) UNIX groups which also are not NT Domain
+Groups are treated as Local Groups in the Samba Server's local SAM database.
+NT Administrators will recognise these as Workstation Local Groups,
+which are managed by running <strong>USRMGR.EXE</strong> and selecting a remote
+Domain named "\\WORKSTATION_NAME", or by running <strong>MUSRMGR.EXE</strong> on
+a local Workstation.
+<p><br>Note that adding an entry to map an arbitrary NT group in an arbitrary
+Domain to an arbitrary UNIX group requires the following: that the UNIX
+group exists on the UNIX server; that the NT Domain Group exists in the
+specified NT Domain; that the UNIX Server knows about the specified Domain; 
+that all the UNIX users (who are expecting to access the Samba
+Server as the correct NT user and with the correct NT group permissions)
+in the UNIX group be mapped to the correct NT Domain users in the specified
+NT Domain using <a href="smb.conf.5.html#usernamemap"><strong>'username map'</strong></a>.
 <p><br><a name="domaingroups"></a>
 <li><strong><strong>domain groups (G)</strong></strong>
 <p><br>This is an <strong>EXPERIMENTAL</strong> parameter that is part of the unfinished
-Samba NT Domain Controller Code. It may be removed in a later release.
+Samba NT Domain Controller Code. It has been removed as of November 98.
 To work with the latest code builds that may have more support for
 Samba NT Domain Controller functionality please subscribe to the
 mailing list <strong>Samba-ntdom</strong> available by sending email to
@@ -1263,7 +1312,7 @@ mailing list <strong>Samba-ntdom</strong> available by sending email to
 <p><br><a name="domainguestgroup"></a>
 <li><strong><strong>domain guest group (G)</strong></strong>
 <p><br>This is an <strong>EXPERIMENTAL</strong> parameter that is part of the unfinished
-Samba NT Domain Controller Code. It may be removed in a later release.
+Samba NT Domain Controller Code. It has been removed as of November 98.
 To work with the latest code builds that may have more support for
 Samba NT Domain Controller functionality please subscribe to the
 mailing list <strong>Samba-ntdom</strong> available by sending email to
@@ -1271,7 +1320,7 @@ mailing list <strong>Samba-ntdom</strong> available by sending email to
 <p><br><a name="domainguestusers"></a>
 <li><strong><strong>domain guest users (G)</strong></strong>
 <p><br>This is an <strong>EXPERIMENTAL</strong> parameter that is part of the unfinished
-Samba NT Domain Controller Code. It may be removed in a later release.
+Samba NT Domain Controller Code. It has been removed as of November 98.
 To work with the latest code builds that may have more support for
 Samba NT Domain Controller functionality please subscribe to the
 mailing list <strong>Samba-ntdom</strong> available by sending email to
@@ -1834,6 +1883,53 @@ will be loaded for browsing by default. See the
 <code> load printers = yes</code>
 <p><br><strong>Example:</strong>
 <code> load printers = no</code>
+<p><br><a name="localgroupmap"></a>
+<li><strong><strong>local group map (G)</strong></strong>
+<p><br>This option allows you to specify a file containing unique mappings
+of individual NT Local Group names (in any domain) to UNIX group
+names.  This allows NT Local groups (aliases) to be presented correctly to
+NT users, despite the lack of native support for the NT Security model
+(based on VAX/VMS) in UNIX.  The reader is advised to become familiar
+with the NT Domain system and its administration.
+<p><br>This option is used in conjunction with <a href="smb.conf.5.html#domaingroupmap"><strong>'domain group map'</strong></a>
+and <a href="smb.conf.5.html#usernamemap"><strong>'username map'</strong></a>.  The use of these three
+options is trivial and often unnecessary in the case where Samba
+is not expected to interact with any other SAM databases (whether local
+workstations or Domain Controllers).
+<p><br>The map file is parsed line by line.  If any line begins with a <code>'#'</code>
+or a <code>';'</code> then it is ignored.  Each line should contain a single UNIX
+group name on the left then an NT Local Group name on the right.
+The line can be either of the form:
+<p><br><code>  UNIXgroupname   \\DOMAIN_NAME\\LocalGroupName </code>
+<p><br>or:
+<p><br><code>  UNIXgroupname   LocalGroupName </code>
+<p><br>In the case where Samba is either an <strong>EXPERIMENTAL</strong> Domain Controller
+or it is a member of a domain using <a href="smb.conf.5.html#security"><strong>"security = domain"</strong></a>,
+the latter format can be used: the default Domain name is the Samba Server's
+Domain name, specified by <a href="smb.conf.5.html#workgroup"><strong>"workgroup = MYGROUP"</strong></a>.
+<p><br>Any UNIX groups that are <em>NOT</em> specified in this map file are treated
+as Local Groups depending on the role of the Samba Server.
+<p><br>When Samba is an <strong>EXPERIMENTAL</strong> Domain Controller, Samba
+will present <em>ALL</em> unspecified UNIX groups as its own NT Domain
+Groups, with the same name, and <em>NOT</em> as Local Groups.
+<p><br>In the case where Samba is member of a domain using
+<a href="smb.conf.5.html#security"><strong>"security = domain"</strong></a>, Samba will check the UNIX name with
+its Domain Controller (see <a href="smb.conf.5.html#passwordserver"><strong>"password server"</strong></a>)
+as if it was an NT Domain Group.  If the UNIX group is not an NT Group,
+such unspecified (unmapped) UNIX groups which also are not NT Domain
+Groups are treated as Local Groups in the Samba Server's local SAM database.
+NT Administrators will recognise these as Workstation Local Groups,
+which are managed by running <strong>USRMGR.EXE</strong> and selecting a remote
+Domain named "\\WORKSTATION_NAME", or by running <strong>MUSRMGR.EXE</strong> on
+a local Workstation.
+<p><br>Note that adding an entry to map an arbitrary NT group in an arbitrary
+Domain to an arbitrary UNIX group requires the following: that the UNIX
+group exists on the UNIX server; that the NT Local Group exists in the
+specified NT Domain; that the UNIX Server knows about the specified Domain; 
+that all the UNIX users (who are expecting to access the Samba
+Server as the correct NT user and with the correct NT group permissions)
+in the UNIX group be mapped to the correct NT Domain users in the specified
+NT Domain using <a href="smb.conf.5.html#usernamemap"><strong>'username map'</strong></a>.
 <p><br><a name="localmaster"></a>
 <li><strong><strong>local master (G)</strong></strong>
 <p><br>This option allows <a href="nmbd.8.html"><strong>nmbd</strong></a> to try and become a
@@ -4327,10 +4423,10 @@ need to set this to <code>"yes"</code> for some older clients.
 <code> wins proxy = no</code>
 <p><br><a name="winsserver"></a>
 <li><strong><strong>wins server (G)</strong></strong>
-<p><br>This specifies the DNS name (or IP address) of the WINS server that
-<a href="nmbd.8.html"><strong>nmbd</strong></a> should register with. If you have a WINS
-server on your network then you should set this to the WINS servers
-name.
+<p><br>This specifies the IP address (or DNS name: IP address for preference)
+of the WINS server that <a href="nmbd.8.html"><strong>nmbd</strong></a> should register with.
+If you have a WINS server on your network then you should set this to
+the WINS server's IP.
 <p><br>You should point this at your WINS server if you have a
 multi-subnetted network.
 <p><br><em>NOTE</em>. You need to set up Samba to point to a WINS server if you
@@ -4364,6 +4460,7 @@ setting.
 <p><br><a name="writable"></a>
 <li><strong><strong>writable (S)</strong></strong>
 <p><br>Synonym for <a href="smb.conf.5.html#writeable"><strong>"writeable"</strong></a> for people who can't spell :-).
+Pronounced "ritter-bull".
 <p><br><a name="writelist"></a>
 <li><strong><strong>write list (S)</strong></strong>
 <p><br>This is a list of users that are given read-write access to a