trying to get HEAD building again. If you want the code
[gd/samba-autobuild/.git] / docs / htmldocs / Samba-HOWTO-Collection.html
index 8334ef82f3c911db4530ee06463e8be2c55776ea..27faf25f173b21dbab4a6376d68a1860d47678c5 100644 (file)
@@ -1,12 +1,12 @@
-<html><head><meta http-equiv="Content-Type" content="text/html; charset=ISO-8859-1"><title>SAMBA Project Documentation</title><link rel="stylesheet" href="samba.css" type="text/css"><meta name="generator" content="DocBook XSL Stylesheets V1.59.1"><meta name="description" content="
+<html><head><meta http-equiv="Content-Type" content="text/html; charset=ISO-8859-1"><title>SAMBA Project Documentation</title><link rel="stylesheet" href="samba.css" type="text/css"><meta name="generator" content="DocBook XSL Stylesheets V1.60.1"><meta name="description" content="
 This book is a collection of HOWTOs added to Samba documentation over the years.
 Samba is always under development, and so is its' documentation. This release of the
 documentation represents a major revision or layout as well as contents.
 The most recent version of this document can be found at
 http://www.samba.org/
 on the &quot;Documentation&quot; page.  Please send updates to
-Jelmer Venrooij,
-John Terpstra or
+Jelmer Vernooij,
+John H. Terpstra or
 Gerald (Jerry) Carter.
  
 The Samba-Team would like to express sincere thanks to the many people who have with
@@ -14,21 +14,24 @@ or without their knowledge contributed to this update. The size and scope of thi
 project would not have been possible without significant community contribution. A not
 insignificant number of ideas for inclusion (if not content itself) has been obtained
 from a number of Unofficial HOWTOs - to each such author a big &quot;Thank-you&quot; is also offered.
-Please keep publishing your Unofficial HOWTO's - they are a source of inspiration and
+Please keep publishing your Unofficial HOWTOs - they are a source of inspiration and
 application knowledge that is most to be desired by many Samba users and administrators.
-"></head><body bgcolor="white" text="black" link="#0000FF" vlink="#840084" alink="#0000FF"><div class="book" lang="en"><div class="titlepage"><div><h1 class="title"><a name="Samba-HOWTO-Collection"></a>SAMBA Project Documentation</h1></div><div><div class="author"><h3 class="author">SAMBA Team</h3><div class="affiliation"><div class="address"><p><tt>&lt;<a href="mailto:samba@samba.org">samba@samba.org</a>&gt;</tt></p></div></div></div></div><div><div class="legalnotice"><p>
+"></head><body bgcolor="white" text="black" link="#0000FF" vlink="#840084" alink="#0000FF"><div class="book" lang="en"><div class="titlepage"><div><div><h1 class="title"><a name="Samba-HOWTO-Collection"></a>SAMBA Project Documentation</h1></div><div><div class="authorgroup"><h4 class="editedby">Edited by</h4><h3 class="editor"><span class="firstname">Jelmer</span> <span class="othername">R.</span> <span class="surname">Vernooij</span></h3><h3 class="editor"><span class="firstname">John</span> <span class="othername">H.</span> <span class="surname">Terpstra</span></h3><h3 class="editor"><span class="firstname">Gerald</span> <span class="othername">(Jerry)</span> <span class="surname">Carter</span></h3></div></div><div><div class="legalnotice"><p>
 This documentation is distributed under the GNU General Public License (GPL) 
 version 2.  A copy of the license is included with the Samba source
 distribution.  A copy can be found on-line at <a href="http://www.fsf.org/licenses/gpl.txt" target="_top">http://www.fsf.org/licenses/gpl.txt</a>
-</p></div></div><div><p class="pubdate">Monday April 21, 2003</p></div><div><div class="abstract"><p class="title"><b>Abstract</b></p><p>
+</p><p><b>Attributions. </b>
+               </p><div class="variablelist"><dl><dt><span class="term"><a href="#IntroSMB" title="Chapter 1. Introduction to Samba">Introduction to Samba</a></span></dt><dd><div class="itemizedlist"><ul type="disc"><li><p>David Lechnyr &lt;<a href="mailto:david@lechnyr.com" target="_top">david@lechnyr.com</a>&gt;</p></li></ul></div></dd><dt><span class="term"><a href="#install" title="Chapter 2. How to Install and Test SAMBA">How to Install and Test SAMBA</a></span></dt><dd><div class="itemizedlist"><ul type="disc"><li><p>Andrew Tridgell &lt;<a href="mailto:tridge@samba.org" target="_top">tridge@samba.org</a>&gt;</p></li><li><p>Jelmer Vernooij &lt;<a href="mailto:jelmer@samba.org" target="_top">jelmer@samba.org</a>&gt;</p></li><li><p>John Terpstra &lt;<a href="mailto:jht@samba.org" target="_top">jht@samba.org</a>&gt;</p></li><li><p>Karl Auer</p></li></ul></div></dd><dt><span class="term"><a href="#FastStart" title="Chapter 3. Fast Start for the Impatient">Fast Start for the Impatient</a></span></dt><dd><div class="itemizedlist"><ul type="disc"><li><p>John Terpstra &lt;<a href="mailto:jht@samba.org" target="_top">jht@samba.org</a>&gt;</p></li></ul></div></dd><dt><span class="term"><a href="#ServerType" title="Chapter 4. Server Types and Security Modes">Server Types and Security Modes</a></span></dt><dd><div class="itemizedlist"><ul type="disc"><li><p>Andrew Tridgell &lt;<a href="mailto:tridge@samba.org" target="_top">tridge@samba.org</a>&gt;</p></li><li><p>Jelmer Vernooij &lt;<a href="mailto:jelmer@samba.org" target="_top">jelmer@samba.org</a>&gt;</p></li><li><p>John Terpstra &lt;<a href="mailto:jht@samba.org" target="_top">jht@samba.org</a>&gt;</p></li></ul></div></dd><dt><span class="term"><a href="#samba-pdc" title="Chapter 5. Domain Control">Domain Control</a></span></dt><dd><div class="itemizedlist"><ul type="disc"><li><p>John Terpstra &lt;<a href="mailto:jht@samba.org" target="_top">jht@samba.org</a>&gt;</p></li><li><p>Gerald Carter &lt;<a href="mailto:jerry@samba.org" target="_top">jerry@samba.org</a>&gt;</p></li><li><p>David Bannon &lt;<a href="mailto:dbannon@samba.org" target="_top">dbannon@samba.org</a>&gt;</p></li></ul></div></dd><dt><span class="term"><a href="#samba-bdc" title="Chapter 6. Backup Domain Control">Backup Domain Control</a></span></dt><dd><div class="itemizedlist"><ul type="disc"><li><p>John Terpstra &lt;<a href="mailto:jht@samba.org" target="_top">jht@samba.org</a>&gt;</p></li><li><p>Volker Lendecke &lt;<a href="mailto:Volker.Lendecke@SerNet.DE" target="_top">Volker.Lendecke@SerNet.DE</a>&gt;</p></li></ul></div></dd><dt><span class="term"><a href="#domain-member" title="Chapter 7. Domain Membership">Domain Membership</a></span></dt><dd><div class="itemizedlist"><ul type="disc"><li><p>John Terpstra &lt;<a href="mailto:jht@samba.org" target="_top">jht@samba.org</a>&gt;</p></li><li><p>Jeremy Allison &lt;<a href="mailto:jra@samba.org" target="_top">jra@samba.org</a>&gt;</p></li><li><p>Gerald Carter &lt;<a href="mailto:jerry@samba.org" target="_top">jerry@samba.org</a>&gt;</p></li><li><p>Andrew Tridgell &lt;<a href="mailto:tridge@samba.org" target="_top">tridge@samba.org</a>&gt;</p></li><li><p>Jelmer Vernooij &lt;<a href="mailto:jelmer@samba.org" target="_top">jelmer@samba.org</a>&gt;</p></li></ul></div></dd><dt><span class="term"><a href="#StandAloneServer" title="Chapter 8. Stand-Alone Servers">Stand-Alone Servers</a></span></dt><dd><div class="itemizedlist"><ul type="disc"><li><p>John Terpstra &lt;<a href="mailto:jht@samba.org" target="_top">jht@samba.org</a>&gt;</p></li></ul></div></dd><dt><span class="term"><a href="#ClientConfig" title="Chapter 9. MS Windows Network Configuration Guide">MS Windows Network Configuration Guide</a></span></dt><dd><div class="itemizedlist"><ul type="disc"><li><p>John Terpstra &lt;<a href="mailto:jht@samba.org" target="_top">jht@samba.org</a>&gt;</p></li></ul></div></dd><dt><span class="term"><a href="#NetworkBrowsing" title="Chapter 10. Samba / MS Windows Network Browsing Guide">Samba / MS Windows Network Browsing Guide</a></span></dt><dd><div class="itemizedlist"><ul type="disc"><li><p>John Terpstra &lt;<a href="mailto:jht@samba.org" target="_top">jht@samba.org</a>&gt;</p></li></ul></div></dd><dt><span class="term"><a href="#passdb" title="Chapter 11. Account Information Databases">Account Information Databases</a></span></dt><dd><div class="itemizedlist"><ul type="disc"><li><p>Jelmer Vernooij &lt;<a href="mailto:jelmer@samba.org" target="_top">jelmer@samba.org</a>&gt;</p></li><li><p>Gerald Carter &lt;<a href="mailto:jerry@samba.org" target="_top">jerry@samba.org</a>&gt;</p></li><li><p>Jeremy Allison &lt;<a href="mailto:jra@samba.org" target="_top">jra@samba.org</a>&gt;</p></li><li><p>John Terpstra &lt;<a href="mailto:jht@samba.org" target="_top">jht@samba.org</a>&gt;</p></li><li><p>Olivier (lem) Lemaire &lt;<a href="mailto:olem@IDEALX.org" target="_top">olem@IDEALX.org</a>&gt;</p></li></ul></div></dd><dt><span class="term"><a href="#groupmapping" title="Chapter 12. Mapping MS Windows and Unix Groups">Mapping MS Windows and Unix Groups</a></span></dt><dd><div class="itemizedlist"><ul type="disc"><li><p>Jean François Micouleau</p></li><li><p>Gerald Carter &lt;<a href="mailto:jerry@samba.org" target="_top">jerry@samba.org</a>&gt;</p></li><li><p>John Terpstra &lt;<a href="mailto:jht@samba.org" target="_top">jht@samba.org</a>&gt;</p></li></ul></div></dd><dt><span class="term"><a href="#AccessControls" title="Chapter 13. File, Directory and Share Access Controls">File, Directory and Share Access Controls</a></span></dt><dd><div class="itemizedlist"><ul type="disc"><li><p>John Terpstra &lt;<a href="mailto:jht@samba.org" target="_top">jht@samba.org</a>&gt;</p></li><li><p>Jeremy Allison &lt;<a href="mailto:jra@samba.org" target="_top">jra@samba.org</a>&gt;</p></li></ul></div></dd><dt><span class="term"><a href="#locking" title="Chapter 14. File and Record Locking">File and Record Locking</a></span></dt><dd><div class="itemizedlist"><ul type="disc"><li><p>Jeremy Allison &lt;<a href="mailto:jra@samba.org" target="_top">jra@samba.org</a>&gt;</p></li><li><p>Jelmer Vernooij &lt;<a href="mailto:jelmer@samba.org" target="_top">jelmer@samba.org</a>&gt;</p></li><li><p>John Terpstra &lt;<a href="mailto:jht@samba.org" target="_top">jht@samba.org</a>&gt;</p></li><li><p>Eric Roseme &lt;<a href="mailto:eric.roseme@hp.com" target="_top">eric.roseme@hp.com</a>&gt;</p></li></ul></div></dd><dt><span class="term"><a href="#securing-samba" title="Chapter 15. Securing Samba">Securing Samba</a></span></dt><dd><div class="itemizedlist"><ul type="disc"><li><p>Andrew Tridgell &lt;<a href="mailto:tridge@samba.org" target="_top">tridge@samba.org</a>&gt;</p></li><li><p>John Terpstra &lt;<a href="mailto:jht@samba.org" target="_top">jht@samba.org</a>&gt;</p></li></ul></div></dd><dt><span class="term"><a href="#InterdomainTrusts" title="Chapter 16. Interdomain Trust Relationships">Interdomain Trust Relationships</a></span></dt><dd><div class="itemizedlist"><ul type="disc"><li><p>John Terpstra &lt;<a href="mailto:jht@samba.org" target="_top">jht@samba.org</a>&gt;</p></li><li><p>Rafal Szczesniak &lt;<a href="mailto:mimir@samba.org" target="_top">mimir@samba.org</a>&gt;</p></li></ul></div></dd><dt><span class="term"><a href="#msdfs" title="Chapter 17. Hosting a Microsoft Distributed File System tree on Samba">Hosting a Microsoft Distributed File System tree on Samba</a></span></dt><dd><div class="itemizedlist"><ul type="disc"><li><p>Shirish Kalele &lt;<a href="mailto:samba@samba.org" target="_top">samba@samba.org</a>&gt;</p></li></ul></div></dd><dt><span class="term"><a href="#printing" title="Chapter 18. Classical Printing Support">Classical Printing Support</a></span></dt><dd><div class="itemizedlist"><ul type="disc"><li><p>Kurt Pfeifle &lt;<a href="mailto:kpfeifle@danka.de" target="_top">kpfeifle@danka.de</a>&gt;</p></li><li><p>Gerald Carter &lt;<a href="mailto:jerry@samba.org" target="_top">jerry@samba.org</a>&gt;</p></li></ul></div></dd><dt><span class="term"><a href="#CUPS-printing" title="Chapter 19. CUPS Printing Support in Samba 3.0">CUPS Printing Support in Samba 3.0</a></span></dt><dd><div class="itemizedlist"><ul type="disc"><li><p>Kurt Pfeifle &lt;<a href="mailto:kpfeifle@danka.de" target="_top">kpfeifle@danka.de</a>&gt;</p></li><li><p>Ciprian Vizitiu &lt;<a href="mailto:CVizitiu@gbif.org" target="_top">CVizitiu@gbif.org</a>&gt; (drawings) </p></li></ul></div></dd><dt><span class="term"><a href="#VFS" title="Chapter 20. Stackable VFS modules">Stackable VFS modules</a></span></dt><dd><div class="itemizedlist"><ul type="disc"><li><p>Jelmer Vernooij &lt;<a href="mailto:jelmer@samba.org" target="_top">jelmer@samba.org</a>&gt;</p></li><li><p>John Terpstra &lt;<a href="mailto:jht@samba.org" target="_top">jht@samba.org</a>&gt;</p></li><li><p>Tim Potter</p></li><li><p>Simo Sorce (original vfs_skel README) </p></li><li><p>Alexander Bokovoy (original vfs_netatalk docs) </p></li><li><p>Stefan Metzmacher (Update for multiple modules) </p></li></ul></div></dd><dt><span class="term"><a href="#winbind" title="Chapter 21. Integrated Logon Support using Winbind">Integrated Logon Support using Winbind</a></span></dt><dd><div class="itemizedlist"><ul type="disc"><li><p>Tim Potter &lt;<a href="mailto:tpot@linuxcare.com.au" target="_top">tpot@linuxcare.com.au</a>&gt;</p></li><li><p>Andrew Tridgell &lt;<a href="mailto:tridge@samba.org" target="_top">tridge@samba.org</a>&gt;</p></li><li><p>Naag Mummaneni &lt;<a href="mailto:getnag@rediffmail.com" target="_top">getnag@rediffmail.com</a>&gt;</p></li><li><p>Jelmer Vernooij &lt;<a href="mailto:jelmer@samba.org" target="_top">jelmer@samba.org</a>&gt;</p></li><li><p>John Terpstra &lt;<a href="mailto:jht@samba.org" target="_top">jht@samba.org</a>&gt;</p></li></ul></div></dd><dt><span class="term"><a href="#AdvancedNetworkManagement" title="Chapter 22. Advanced Network Management">Advanced Network Management</a></span></dt><dd><div class="itemizedlist"><ul type="disc"><li><p>John Terpstra &lt;<a href="mailto:jht@samba.org" target="_top">jht@samba.org</a>&gt;</p></li></ul></div></dd><dt><span class="term"><a href="#PolicyMgmt" title="Chapter 23. System and Account Policies">System and Account Policies</a></span></dt><dd><div class="itemizedlist"><ul type="disc"><li><p>John Terpstra &lt;<a href="mailto:jht@samba.org" target="_top">jht@samba.org</a>&gt;</p></li></ul></div></dd><dt><span class="term"><a href="#ProfileMgmt" title="Chapter 24. Desktop Profile Management">Desktop Profile Management</a></span></dt><dd><div class="itemizedlist"><ul type="disc"><li><p>John Terpstra &lt;<a href="mailto:jht@samba.org" target="_top">jht@samba.org</a>&gt;</p></li></ul></div></dd><dt><span class="term"><a href="#pam" title="Chapter 25. PAM based Distributed Authentication">PAM based Distributed Authentication</a></span></dt><dd><div class="itemizedlist"><ul type="disc"><li><p>John Terpstra &lt;<a href="mailto:jht@samba.org" target="_top">jht@samba.org</a>&gt;</p></li><li><p>Stephen Langasek &lt;<a href="mailto:vorlon@netexpress.net" target="_top">vorlon@netexpress.net</a>&gt;</p></li></ul></div></dd><dt><span class="term"><a href="#integrate-ms-networks" title="Chapter 26. Integrating MS Windows networks with Samba">Integrating MS Windows networks with Samba</a></span></dt><dd><div class="itemizedlist"><ul type="disc"><li><p>John Terpstra &lt;<a href="mailto:jht@samba.org" target="_top">jht@samba.org</a>&gt;</p></li></ul></div></dd><dt><span class="term"><a href="#unicode" title="Chapter 27. Unicode/Charsets">Unicode/Charsets</a></span></dt><dd><div class="itemizedlist"><ul type="disc"><li><p>Jelmer Vernooij &lt;<a href="mailto:jelmer@samba.org" target="_top">jelmer@samba.org</a>&gt;</p></li><li><p>TAKAHASHI Motonobu &lt;<a href="mailto:monyo@home.monyo.com" target="_top">monyo@home.monyo.com</a>&gt;</p></li></ul></div></dd><dt><span class="term"><a href="#Backup" title="Chapter 28. Samba Backup Techniques">Samba Backup Techniques</a></span></dt><dd><div class="itemizedlist"><ul type="disc"><li><p>John Terpstra &lt;<a href="mailto:jht@samba.org" target="_top">jht@samba.org</a>&gt;</p></li></ul></div></dd><dt><span class="term"><a href="#SambaHA" title="Chapter 29. High Availability Options">High Availability Options</a></span></dt><dd><div class="itemizedlist"><ul type="disc"><li><p>John Terpstra &lt;<a href="mailto:jht@samba.org" target="_top">jht@samba.org</a>&gt;</p></li></ul></div></dd><dt><span class="term"><a href="#upgrading-to-3.0" title="Chapter 30. Upgrading from Samba-2.x to Samba-3.0.0">Upgrading from Samba-2.x to Samba-3.0.0</a></span></dt><dd><div class="itemizedlist"><ul type="disc"><li><p>Jelmer Vernooij &lt;<a href="mailto:jelmer@samba.org" target="_top">jelmer@samba.org</a>&gt;</p></li></ul></div></dd><dt><span class="term"><a href="#NT4Migration" title="Chapter 31. Migration from NT4 PDC to Samba-3 PDC">Migration from NT4 PDC to Samba-3 PDC</a></span></dt><dd><div class="itemizedlist"><ul type="disc"><li><p>John Terpstra &lt;<a href="mailto:jht@samba.org" target="_top">jht@samba.org</a>&gt;</p></li></ul></div></dd><dt><span class="term"><a href="#SWAT" title="Chapter 32. SWAT - The Samba Web Administration Tool">SWAT - The Samba Web Administration Tool</a></span></dt><dd><div class="itemizedlist"><ul type="disc"><li><p>John Terpstra &lt;<a href="mailto:jht@samba.org" target="_top">jht@samba.org</a>&gt;</p></li></ul></div></dd><dt><span class="term"><a href="#diagnosis" title="Chapter 33. The Samba checklist">The Samba checklist</a></span></dt><dd><div class="itemizedlist"><ul type="disc"><li><p>Andrew Tridgell &lt;<a href="mailto:tridge@samba.org" target="_top">tridge@samba.org</a>&gt;</p></li><li><p>Jelmer Vernooij &lt;<a href="mailto:jelmer@samba.org" target="_top">jelmer@samba.org</a>&gt;</p></li></ul></div></dd><dt><span class="term"><a href="#problems" title="Chapter 34. Analysing and solving samba problems">Analysing and solving samba problems</a></span></dt><dd><div class="itemizedlist"><ul type="disc"><li><p>Gerald Carter &lt;<a href="mailto:jerry@samba.org" target="_top">jerry@samba.org</a>&gt;</p></li><li><p>Jelmer Vernooij &lt;<a href="mailto:jelmer@samba.org" target="_top">jelmer@samba.org</a>&gt;</p></li><li><p>David Bannon &lt;<a href="mailto:dbannon@samba.org" target="_top">dbannon@samba.org</a>&gt;</p></li></ul></div></dd><dt><span class="term"><a href="#bugreport" title="Chapter 35. Reporting Bugs">Reporting Bugs</a></span></dt><dd><div class="itemizedlist"><ul type="disc"><li><p>Jelmer Vernooij &lt;<a href="mailto:jelmer@samba.org" target="_top">jelmer@samba.org</a>&gt;</p></li><li><p> Someone; Tridge or Karl Auer perhaps?</p></li></ul></div></dd><dt><span class="term"><a href="#compiling" title="Chapter 36. How to compile SAMBA">How to compile SAMBA</a></span></dt><dd><div class="itemizedlist"><ul type="disc"><li><p>Jelmer Vernooij &lt;<a href="mailto:jelmer@samba.org" target="_top">jelmer@samba.org</a>&gt;</p></li><li><p> Someone; Jerry perhaps?</p></li></ul></div></dd><dt><span class="term"><a href="#Portability" title="Chapter 37. Portability">Portability</a></span></dt><dd><div class="itemizedlist"><ul type="disc"><li><p>Jelmer Vernooij &lt;<a href="mailto:jelmer@samba.org" target="_top">jelmer@samba.org</a>&gt;</p></li></ul></div></dd><dt><span class="term"><a href="#Other-Clients" title="Chapter 38. Samba and other CIFS clients">Samba and other CIFS clients</a></span></dt><dd><div class="itemizedlist"><ul type="disc"><li><p>Jim McDonough &lt;<a href="mailto:jmcd@us.ibm.com" target="_top">jmcd@us.ibm.com</a>&gt;</p></li><li><p>Jelmer Vernooij &lt;<a href="mailto:jelmer@samba.org" target="_top">jelmer@samba.org</a>&gt;</p></li></ul></div></dd><dt><span class="term"><a href="#speed" title="Chapter 39. Samba Performance Tuning">Samba Performance Tuning</a></span></dt><dd><div class="itemizedlist"><ul type="disc"><li><p>Paul Cochrane &lt;<a href="mailto:paulc@dth.scot.nhs.uk" target="_top">paulc@dth.scot.nhs.uk</a>&gt;</p></li><li><p>Jelmer Vernooij &lt;<a href="mailto:jelmer@samba.org" target="_top">jelmer@samba.org</a>&gt;</p></li><li><p>John Terpstra &lt;<a href="mailto:jht@samba.org" target="_top">jht@samba.org</a>&gt;</p></li></ul></div></dd><dt><span class="term"><a href="#DNSDHCP" title="Chapter 40. DNS and DHCP Configuration Guide">DNS and DHCP Configuration Guide</a></span></dt><dd><div class="itemizedlist"><ul type="disc"><li><p>John Terpstra &lt;<a href="mailto:jht@samba.org" target="_top">jht@samba.org</a>&gt;</p></li></ul></div></dd><dt><span class="term"><a href="#Further-Resources" title="Chapter 41. Further Resources">Further Resources</a></span></dt><dd><div class="itemizedlist"><ul type="disc"><li><p>Jelmer Vernooij &lt;<a href="mailto:jelmer@samba.org" target="_top">jelmer@samba.org</a>&gt;</p></li><li><p>David Lechnyr &lt;<a href="mailto:david@lechnyr.com" target="_top">david@lechnyr.com</a>&gt;</p></li></ul></div></dd></dl></div><p>
+
+       </p></div></div><div><p class="pubdate">Monday April 21, 2003</p></div><div><div class="abstract"><p class="title"><b>Abstract</b></p><p>
 This book is a collection of HOWTOs added to Samba documentation over the years.
 Samba is always under development, and so is its' documentation. This release of the
 documentation represents a major revision or layout as well as contents.
 The most recent version of this document can be found at
 <a href="http://www.samba.org/" target="_top">http://www.samba.org/</a>
 on the &quot;Documentation&quot; page.  Please send updates to
-<a href="mailto:jelmer@samba.org" target="_top">Jelmer Venrooij</a>,
-<a href="mailto:jht@samba.org" target="_top">John Terpstra</a> or
+<a href="mailto:jelmer@samba.org" target="_top">Jelmer Vernooij</a>,
+<a href="mailto:jht@samba.org" target="_top">John H. Terpstra</a> or
 <a href="mailto:jerry@samba.org" target="_top">Gerald (Jerry) Carter</a>.
 </p><p>
 The Samba-Team would like to express sincere thanks to the many people who have with
@@ -36,41 +39,54 @@ or without their knowledge contributed to this update. The size and scope of thi
 project would not have been possible without significant community contribution. A not
 insignificant number of ideas for inclusion (if not content itself) has been obtained
 from a number of Unofficial HOWTOs - to each such author a big &quot;Thank-you&quot; is also offered.
-Please keep publishing your Unofficial HOWTO's - they are a source of inspiration and
+Please keep publishing your Unofficial HOWTOs - they are a source of inspiration and
 application knowledge that is most to be desired by many Samba users and administrators.
-</p></div></div><hr></div><div class="toc"><p><b>Table of Contents</b></p><dl><dt>I. <a href="#introduction">General Installation</a></dt><dd><dl><dt>1. <a href="#IntroSMB">Introduction to Samba</a></dt><dd><dl><dt><a href="#id2794048">Background</a></dt><dt><a href="#id2794106">Terminology</a></dt><dt><a href="#id2795149">Related Projects</a></dt><dt><a href="#id2845311">SMB Methodology</a></dt><dt><a href="#id2790901">Additional Resources</a></dt><dt><a href="#id2793926">Epilogue</a></dt><dt><a href="#id2844986">Miscellaneous</a></dt></dl></dd><dt>2. <a href="#install">How to Install and Test SAMBA</a></dt><dd><dl><dt><a href="#id2844847">Obtaining and installing samba</a></dt><dt><a href="#id2845201">Configuring samba</a></dt><dd><dl><dt><a href="#id2844744">Editing the smb.conf file</a></dt><dt><a href="#id2858916">SWAT</a></dt></dl></dd><dt><a href="#id2858954">Try listing the shares available on your 
-       server</a></dt><dt><a href="#id2859005">Try connecting with the unix client</a></dt><dt><a href="#id2859108">Try connecting from a DOS, WfWg, Win9x, WinNT, 
-       Win2k, OS/2, etc... client</a></dt><dt><a href="#id2859169">What If Things Don't Work?</a></dt></dl></dd></dl></dd><dt>II. <a href="#type">Server Configuration Basics</a></dt><dd><dl><dt>3. <a href="#ServerType">Nomenclature of Server Types</a></dt><dd><dl><dt><a href="#id2845139">Stand Alone Server</a></dt><dt><a href="#id2859402">Domain Member Server</a></dt><dt><a href="#id2859442">Domain Controller</a></dt><dd><dl><dt><a href="#id2859458">Domain Controller Types</a></dt></dl></dd></dl></dd><dt>4. <a href="#securitylevels">Samba as Stand-Alone Server</a></dt><dd><dl><dt><a href="#id2859216">User and Share security level</a></dt><dd><dl><dt><a href="#id2859238">User Level Security</a></dt><dt><a href="#id2859720">Share Level Security</a></dt><dt><a href="#id2859774">Server Level Security</a></dt><dt><a href="#id2860095">Domain Level Security</a></dt><dt><a href="#id2860234">ADS Level Security</a></dt></dl></dd></dl></dd><dt>5. <a href="#samba-pdc">
-Samba as an NT4 or Win2k Primary Domain Controller
-</a></dt><dd><dl><dt><a href="#id2859583">Prerequisite Reading</a></dt><dt><a href="#id2859607">
-Background
-</a></dt><dt><a href="#id2860563">Configuring the Samba Domain Controller</a></dt><dt><a href="#id2860863">Creating Machine Trust Accounts and Joining Clients to the Domain</a></dt><dd><dl><dt><a href="#id2861132">Manual Creation of Machine Trust Accounts</a></dt><dt><a href="#id2861366">&quot;On-the-Fly&quot; Creation of Machine Trust Accounts</a></dt><dt><a href="#id2861423">Joining the Client to the Domain</a></dt></dl></dd><dt><a href="#id2861529">Common Problems and Errors</a></dt><dd><dl><dt><a href="#id2861536">I cannot include a '$' in a machine name</a></dt><dt><a href="#id2861574">I get told &quot;You already have a connection to the Domain....&quot; 
+</p></div></div></div><div></div><hr></div><div class="toc"><p><b>Table of Contents</b></p><dl><dt>I. <a href="#introduction">General Installation</a></dt><dd><dl><dt>1. <a href="#IntroSMB">Introduction to Samba</a></dt><dd><dl><dt><a href="#id2868116">Background</a></dt><dt><a href="#id2868327">Terminology</a></dt><dt><a href="#id2868481">Related Projects</a></dt><dt><a href="#id2868550">SMB Methodology</a></dt><dt><a href="#id2868638">Epilogue</a></dt><dt><a href="#id2868711">Miscellaneous</a></dt></dl></dd><dt>2. <a href="#install">How to Install and Test SAMBA</a></dt><dd><dl><dt><a href="#id2869372">Obtaining and installing samba</a></dt><dt><a href="#id2869412">Configuring samba (smb.conf)</a></dt><dd><dl><dt><a href="#id2869449">Example Configuration</a></dt><dt><a href="#id2869599">SWAT</a></dt></dl></dd><dt><a href="#id2869643">Try listing the shares available on your 
+       server</a></dt><dt><a href="#id2869694">Try connecting with the unix client</a></dt><dt><a href="#id2869795">Try connecting from a DOS, WfWg, Win9x, WinNT, 
+       Win2k, OS/2, etc... client</a></dt><dt><a href="#id2869858">What If Things Don't Work?</a></dt><dt><a href="#id2869892">Common Errors</a></dt><dd><dl><dt><a href="#id2869904">Why are so many smbd processes eating memory?</a></dt><dt><a href="#id2870119">I'm getting &quot;open_oplock_ipc: Failed to get local UDP socket for address 100007f. Error was Cannot assign requested&quot; in the logs</a></dt></dl></dd></dl></dd><dt>3. <a href="#FastStart">Fast Start for the Impatient</a></dt><dd><dl><dt><a href="#id2869247">Note</a></dt></dl></dd></dl></dd><dt>II. <a href="#type">Server Configuration Basics</a></dt><dd><dl><dt>4. <a href="#ServerType">Server Types and Security Modes</a></dt><dd><dl><dt><a href="#id2871270">Features and Benefits</a></dt><dt><a href="#id2871366">Server Types</a></dt><dt><a href="#id2871450">Samba Security Modes</a></dt><dd><dl><dt><a href="#id2871565">User Level Security</a></dt><dt><a href="#id2871698">Share Level Security</a></dt><dt><a href="#id2871820">Domain Security Mode (User Level Security)</a></dt><dt><a href="#id2872071">ADS Security Mode (User Level Security)</a></dt><dt><a href="#id2872158">Server Security (User Level Security)</a></dt></dl></dd><dt><a href="#id2872383">Seamless Windows Network Integration</a></dt><dt><a href="#id2872559">Common Errors</a></dt><dd><dl><dt><a href="#id2872587">What makes Samba a SERVER?</a></dt><dt><a href="#id2872620">What makes Samba a Domain Controller?</a></dt><dt><a href="#id2872649">What makes Samba a Domain Member?</a></dt><dt><a href="#id2872682">Constantly Losing Connections to Password Server</a></dt></dl></dd></dl></dd><dt>5. <a href="#samba-pdc">Domain Control</a></dt><dd><dl><dt><a href="#id2874489">Features and Benefits</a></dt><dt><a href="#id2874793">Basics of Domain Control</a></dt><dd><dl><dt><a href="#id2874809">Domain Controller Types</a></dt><dt><a href="#id2875020">Preparing for Domain Control</a></dt></dl></dd><dt><a href="#id2875340">Domain Control - Example Configuration</a></dt><dt><a href="#id2875639">Samba ADS Domain Control</a></dt><dt><a href="#id2875661">Domain and Network Logon Configuration</a></dt><dd><dl><dt><a href="#id2875676">Domain Network Logon Service</a></dt><dt><a href="#id2876003">Security Mode and Master Browsers</a></dt></dl></dd><dt><a href="#id2876111">Common Problems and Errors</a></dt><dd><dl><dt><a href="#id2876118">I cannot include a '$' in a machine name</a></dt><dt><a href="#id2876157">I get told &quot;You already have a connection to the Domain....&quot; 
 or &quot;Cannot join domain, the credentials supplied conflict with an 
-existing set..&quot; when creating a machine trust account.</a></dt><dt><a href="#id2861621">The system can not log you on (C000019B)....</a></dt><dt><a href="#id2861672">The machine trust account for this computer either does not 
-exist or is not accessible.</a></dt><dt><a href="#id2861721">When I attempt to login to a Samba Domain from a NT4/W2K workstation,
-I get a message about my account being disabled.</a></dt></dl></dd><dt><a href="#id2861746">Domain Control for Windows 9x/ME</a></dt><dd><dl><dt><a href="#id2861910">Configuration Instructions:      Network Logons</a></dt></dl></dd></dl></dd><dt>6. <a href="#samba-bdc">
-Samba Backup Domain Controller to Samba Domain Control
-</a></dt><dd><dl><dt><a href="#id2845056">Prerequisite Reading</a></dt><dt><a href="#id2860294">Background</a></dt><dt><a href="#id2862166">What qualifies a Domain Controller on the network?</a></dt><dd><dl><dt><a href="#id2862187">How does a Workstation find its domain controller?</a></dt><dt><a href="#id2862212">When is the PDC needed?</a></dt></dl></dd><dt><a href="#id2862231">Can Samba be a Backup Domain Controller to an NT PDC?</a></dt><dt><a href="#id2862264">How do I set up a Samba BDC?</a></dt><dd><dl><dt><a href="#id2862361">How do I replicate the smbpasswd file?</a></dt><dt><a href="#id2862390">Can I do this all with LDAP?</a></dt></dl></dd></dl></dd><dt>7. <a href="#ADS">Samba as a ADS domain member</a></dt><dd><dl><dt><a href="#id2862021">Setup your smb.conf</a></dt><dt><a href="#id2862571">Setup your /etc/krb5.conf</a></dt><dt><a href="#ads-create-machine-account">Create the computer account</a></dt><dd><dl><dt><a href="#id2862765">Possible errors</a></dt></dl></dd><dt><a href="#ads-test-server">Test your server setup</a></dt><dt><a href="#ads-test-smbclient">Testing with smbclient</a></dt><dt><a href="#id2862919">Notes</a></dt></dl></dd><dt>8. <a href="#domain-member">Samba as a NT4 or Win2k domain member</a></dt><dd><dl><dt><a href="#id2862413">Joining an NT Domain with Samba 3.0</a></dt><dt><a href="#id2863318">Why is this better than security = server?</a></dt></dl></dd></dl></dd><dt>III. <a href="#optional">Advanced Configuration</a></dt><dd><dl><dt>9. <a href="#NetworkBrowsing">Samba / MS Windows Network Browsing Guide</a></dt><dd><dl><dt><a href="#id2862996">What is Browsing?</a></dt><dt><a href="#id2863646">Discussion</a></dt><dt><a href="#id2863809">How Browsing Functions</a></dt><dd><dl><dt><a href="#id2863936">Setting up WORKGROUP Browsing</a></dt><dt><a href="#id2864124">Setting up DOMAIN Browsing</a></dt><dt><a href="#browse-force-master">Forcing samba to be the master</a></dt><dt><a href="#id2864390">Making samba the domain master</a></dt><dt><a href="#id2864538">Note about broadcast addresses</a></dt><dt><a href="#id2864555">Multiple interfaces</a></dt><dt><a href="#id2864584">Use of the Remote Announce parameter</a></dt><dt><a href="#id2864695">Use of the Remote Browse Sync parameter</a></dt></dl></dd><dt><a href="#id2864763">WINS - The Windows Internetworking Name Server</a></dt><dd><dl><dt><a href="#id2863586">Setting up a WINS server</a></dt><dt><a href="#id2865218">WINS Replication</a></dt><dt><a href="#id2865243">Static WINS Entries</a></dt></dl></dd><dt><a href="#id2865274">Helpful Hints</a></dt><dd><dl><dt><a href="#id2865287">Windows Networking Protocols</a></dt><dt><a href="#id2865354">Name Resolution Order</a></dt></dl></dd><dt><a href="#id2865470">Technical Overview of browsing</a></dt><dd><dl><dt><a href="#id2865517">Browsing support in samba</a></dt><dt><a href="#id2865624">Problem resolution</a></dt><dt><a href="#id2865703">Browsing across subnets</a></dt></dl></dd></dl></dd><dt>10. <a href="#passdb">User information database</a></dt><dd><dl><dt><a href="#id2866099">Introduction</a></dt><dt><a href="#id2866152">Important Notes About Security</a></dt><dd><dl><dt><a href="#id2866314">Advantages of SMB Encryption</a></dt><dt><a href="#id2866353">Advantages of non-encrypted passwords</a></dt></dl></dd><dt><a href="#id2866388">The smbpasswd Command</a></dt><dt><a href="#id2866568">Plain text</a></dt><dt><a href="#id2866597">TDB</a></dt><dt><a href="#id2866613">LDAP</a></dt><dd><dl><dt><a href="#id2866621">Introduction</a></dt><dt><a href="#id2866721">Encrypted Password Database</a></dt><dt><a href="#id2866860">Supported LDAP Servers</a></dt><dt><a href="#id2866898">Schema and Relationship to the RFC 2307 posixAccount</a></dt><dt><a href="#id2867008">Configuring Samba with LDAP</a></dt><dt><a href="#id2867304">Accounts and Groups management</a></dt><dt><a href="#id2867341">Security and sambaAccount</a></dt><dt><a href="#id2867456">LDAP specials attributes for sambaAccounts</a></dt><dt><a href="#id2867737">Example LDIF Entries for a sambaAccount</a></dt></dl></dd><dt><a href="#id2867793">MySQL</a></dt><dd><dl><dt><a href="#id2867800">Creating the database</a></dt><dt><a href="#id2867854">Configuring</a></dt><dt><a href="#id2867999">Using plaintext passwords or encrypted password</a></dt><dt><a href="#id2868029">Getting non-column data from the table</a></dt></dl></dd><dt><a href="#id2868072">XML</a></dt></dl></dd><dt>11. <a href="#unix-permissions">UNIX Permission Bits and Windows NT Access Control Lists</a></dt><dd><dl><dt><a href="#id2865054">Viewing and changing UNIX permissions using the NT 
-       security dialogs</a></dt><dt><a href="#id2864937">How to view file security on a Samba share</a></dt><dt><a href="#id2868280">Viewing file ownership</a></dt><dt><a href="#id2868401">Viewing file or directory permissions</a></dt><dd><dl><dt><a href="#id2868484">File Permissions</a></dt><dt><a href="#id2868587">Directory Permissions</a></dt></dl></dd><dt><a href="#id2868637">Modifying file or directory permissions</a></dt><dt><a href="#id2868797">Interaction with the standard Samba create mask 
-       parameters</a></dt><dt><a href="#id2869113">Interaction with the standard Samba file attribute 
-       mapping</a></dt></dl></dd><dt>12. <a href="#groupmapping">Configuring Group Mapping</a></dt><dt>13. <a href="#printing">Printing Support</a></dt><dd><dl><dt><a href="#id2869498">Introduction</a></dt><dt><a href="#id2869614">Configuration</a></dt><dd><dl><dt><a href="#id2869661">Creating [print$]</a></dt><dt><a href="#id2869893">Setting Drivers for Existing Printers</a></dt><dt><a href="#id2869992">Support a large number of printers</a></dt><dt><a href="#id2870099">Adding New Printers via the Windows NT APW</a></dt><dt><a href="#id2870231">Samba and Printer Ports</a></dt></dl></dd><dt><a href="#id2869233">The Imprints Toolset</a></dt><dd><dl><dt><a href="#id2869259">What is Imprints?</a></dt><dt><a href="#id2870336">Creating Printer Driver Packages</a></dt><dt><a href="#id2870355">The Imprints server</a></dt><dt><a href="#id2870379">The Installation Client</a></dt></dl></dd><dt><a href="#id2869340">Diagnosis</a></dt><dd><dl><dt><a href="#id2869347">Introduction</a></dt><dt><a href="#id2870552">Debugging printer problems</a></dt><dt><a href="#id2870619">What printers do I have?</a></dt><dt><a href="#id2870661">Setting up printcap and print servers</a></dt><dt><a href="#id2870795">Job sent, no output</a></dt><dt><a href="#id2871344">Job sent, strange output</a></dt><dt><a href="#id2871420">Raw PostScript printed</a></dt><dt><a href="#id2871438">Advanced Printing</a></dt><dt><a href="#id2871464">Real debugging</a></dt></dl></dd></dl></dd><dt>14. <a href="#CUPS-printing">CUPS Printing Support</a></dt><dd><dl><dt><a href="#id2871008">Introduction</a></dt><dt><a href="#id2871067">Configuring smb.conf for CUPS</a></dt><dt><a href="#id2871607">CUPS - RAW Print Through Mode</a></dt><dt><a href="#id2871091">CUPS as a network PostScript RIP</a></dt><dt><a href="#id2872272">Windows Terminal Servers (WTS) as CUPS clients</a></dt><dt><a href="#id2872314">Setting up CUPS for driver download</a></dt><dt><a href="#id2872401">Sources of CUPS drivers / PPDs</a></dt><dd><dl><dt><a href="#id2872566">cupsaddsmb</a></dt></dl></dd><dt><a href="#id2872915">The CUPS Filter Chains</a></dt><dt><a href="#id2873302">CUPS Print Drivers and Devices</a></dt><dd><dl><dt><a href="#id2873339">Further printing steps</a></dt></dl></dd><dt><a href="#id2873758">Limiting the number of pages users can print</a></dt><dt><a href="#id2874367">Advanced Postscript Printing from MS Windows</a></dt><dt><a href="#id2874473">Auto-Deletion of CUPS spool files</a></dt></dl></dd><dt>15. <a href="#winbind">Unified Logons between Windows NT and UNIX using Winbind</a></dt><dd><dl><dt><a href="#id2874714">Abstract</a></dt><dt><a href="#id2874743">Introduction</a></dt><dt><a href="#id2874814">What Winbind Provides</a></dt><dd><dl><dt><a href="#id2872076">Target Uses</a></dt></dl></dd><dt><a href="#id2872107">How Winbind Works</a></dt><dd><dl><dt><a href="#id2872135">Microsoft Remote Procedure Calls</a></dt><dt><a href="#id2872170">Microsoft Active Directory Services</a></dt><dt><a href="#id2872192">Name Service Switch</a></dt><dt><a href="#id2875280">Pluggable Authentication Modules</a></dt><dt><a href="#id2875352">User and Group ID Allocation</a></dt><dt><a href="#id2875387">Result Caching</a></dt></dl></dd><dt><a href="#id2875414">Installation and Configuration</a></dt><dd><dl><dt><a href="#id2875442">Introduction</a></dt><dt><a href="#id2875518">Requirements</a></dt><dt><a href="#id2875611">Testing Things Out</a></dt></dl></dd><dt><a href="#id2877210">Limitations</a></dt><dt><a href="#id2877264">Conclusion</a></dt></dl></dd><dt>16. <a href="#AdvancedNetworkManagement">Advanced Network Manangement</a></dt><dd><dl><dt><a href="#id2875143">Configuring Samba Share Access Controls</a></dt><dd><dl><dt><a href="#id2874905">Share Permissions Management</a></dt></dl></dd><dt><a href="#id2874974">Remote Server Administration</a></dt><dt><a href="#id2875057">Network Logon Script Magic</a></dt><dd><dl><dt><a href="#id2877889">Adding printers without user intervention</a></dt></dl></dd></dl></dd><dt>17. <a href="#PolicyMgmt">System and Account Policies</a></dt><dd><dl><dt><a href="#id2877672">Creating and Managing System Policies</a></dt><dd><dl><dt><a href="#id2877925">Windows 9x/Me Policies</a></dt><dt><a href="#id2878014">Windows NT4 Style Policy Files</a></dt><dt><a href="#id2878140">MS Windows 200x / XP Professional Policies</a></dt></dl></dd><dt><a href="#id2878344">Managing Account/User Policies</a></dt><dd><dl><dt><a href="#id2878457">With Windows NT4/200x</a></dt><dt><a href="#id2878478">With a Samba PDC</a></dt></dl></dd><dt><a href="#id2878502">System Startup and Logon Processing Overview</a></dt></dl></dd><dt>18. <a href="#ProfileMgmt">Desktop Profile Management</a></dt><dd><dl><dt><a href="#id2877599">Roaming Profiles</a></dt><dd><dl><dt><a href="#id2877483">Samba Configuration for Profile Handling</a></dt><dt><a href="#id2879080">Windows Client Profile Configuration Information</a></dt><dt><a href="#id2879695">Sharing Profiles between W9x/Me and NT4/200x/XP workstations</a></dt><dt><a href="#id2879742">Profile Migration from Windows NT4/200x Server to Samba</a></dt></dl></dd><dt><a href="#id2879925">Mandatory profiles</a></dt><dt><a href="#id2879970">Creating/Managing Group Profiles</a></dt><dt><a href="#id2880011">Default Profile for Windows Users</a></dt><dd><dl><dt><a href="#id2880040">MS Windows 9x/Me</a></dt><dt><a href="#id2880129">MS Windows NT4 Workstation</a></dt><dt><a href="#id2880513">MS Windows 200x/XP</a></dt></dl></dd></dl></dd><dt>19. <a href="#InterdomainTrusts">Interdomain Trust Relationships</a></dt><dd><dl><dt><a href="#id2878684">Trust Relationship Background</a></dt><dt><a href="#id2881006">Native MS Windows NT4 Trusts Configuration</a></dt><dd><dl><dt><a href="#id2881019">NT4 as the Trusting Domain (ie. creating the trusted account)</a></dt><dt><a href="#id2881063">NT4 as the Trusted Domain (ie. creating trusted account's password)</a></dt></dl></dd><dt><a href="#id2881087">Configuring Samba NT-style Domain Trusts</a></dt><dd><dl><dt><a href="#id2881114">Samba-3 as the Trusting Domain</a></dt><dt><a href="#id2881210">Samba-3 as the Trusted Domain</a></dt></dl></dd></dl></dd><dt>20. <a href="#pam">PAM Configuration for Centrally Managed Authentication</a></dt><dd><dl><dt><a href="#id2880956">Samba and PAM</a></dt><dd><dl><dt><a href="#id2881738">PAM Configuration in smb.conf</a></dt><dt><a href="#id2881795">Password Synchronisation using pam_smbpass.so</a></dt></dl></dd><dt><a href="#id2882047">Distributed Authentication</a></dt></dl></dd><dt>21. <a href="#VFS">Stackable VFS modules</a></dt><dd><dl><dt><a href="#id2881331">Introduction and configuration</a></dt><dt><a href="#id2882249">Included modules</a></dt><dd><dl><dt><a href="#id2882256">audit</a></dt><dt><a href="#id2882295">extd_audit</a></dt><dt><a href="#id2882416">recycle</a></dt><dt><a href="#id2882554">netatalk</a></dt></dl></dd><dt><a href="#id2882592">VFS modules available elsewhere</a></dt><dd><dl><dt><a href="#id2882614">DatabaseFS</a></dt><dt><a href="#id2882669">vscan</a></dt></dl></dd></dl></dd><dt>22. <a href="#msdfs">Hosting a Microsoft Distributed File System tree on Samba</a></dt><dd><dl><dt><a href="#id2882214">Instructions</a></dt><dd><dl><dt><a href="#id2882961">Notes</a></dt></dl></dd></dl></dd><dt>23. <a href="#integrate-ms-networks">Integrating MS Windows networks with Samba</a></dt><dd><dl><dt><a href="#id2882745">Name Resolution in a pure Unix/Linux world</a></dt><dd><dl><dt><a href="#id2883178">/etc/hosts</a></dt><dt><a href="#id2883316">/etc/resolv.conf</a></dt><dt><a href="#id2883360">/etc/host.conf</a></dt><dt><a href="#id2883403">/etc/nsswitch.conf</a></dt></dl></dd><dt><a href="#id2883498">Name resolution as used within MS Windows networking</a></dt><dd><dl><dt><a href="#id2883030">The NetBIOS Name Cache</a></dt><dt><a href="#id2883069">The LMHOSTS file</a></dt><dt><a href="#id2883112">HOSTS file</a></dt><dt><a href="#id2883144">DNS Lookup</a></dt><dt><a href="#id2883156">WINS Lookup</a></dt></dl></dd></dl></dd><dt>24. <a href="#securing-samba">Securing Samba</a></dt><dd><dl><dt><a href="#id2883603">Introduction</a></dt><dt><a href="#id2883619">Using host based protection</a></dt><dt><a href="#id2884070">Using interface protection</a></dt><dt><a href="#id2884122">Using a firewall</a></dt><dt><a href="#id2884164">Using a IPC$ share deny</a></dt><dt><a href="#id2883724">NTLMv2 Security</a></dt><dt><a href="#id2883760">Upgrading Samba</a></dt></dl></dd><dt>25. <a href="#unicode">Unicode/Charsets</a></dt><dd><dl><dt><a href="#id2884358">What are charsets and unicode?</a></dt><dt><a href="#id2884428">Samba and charsets</a></dt><dt><a href="#id2884517">Conversion from old names</a></dt><dt><a href="#id2884562">Japanese charsets</a></dt></dl></dd><dt>26. <a href="#locking">File and Record Locking</a></dt><dd><dl><dt><a href="#id2884210">Discussion</a></dt><dt><a href="#id2884872">Samba Opportunistic Locking Control</a></dt><dt><a href="#id2884987">MS Windows Opportunistic Locking and Caching Controls</a></dt><dd><dl><dt><a href="#id2885212">Workstation Service Entries</a></dt><dt><a href="#id2885239">Server Service Entries</a></dt></dl></dd><dt><a href="#id2885320">Persistent Data Corruption</a></dt><dt><a href="#id2885350">Additional Reading</a></dt></dl></dd></dl></dd><dt>IV. <a href="#troubleshooting">Troubleshooting</a></dt><dd><dl><dt>27. <a href="#diagnosis">The samba checklist</a></dt><dd><dl><dt><a href="#id2884776">Introduction</a></dt><dt><a href="#id2884810">Assumptions</a></dt><dt><a href="#id2793401">The tests</a></dt><dt><a href="#id2886854">Still having troubles?</a></dt></dl></dd><dt>28. <a href="#problems">Analysing and solving samba problems</a></dt><dd><dl><dt><a href="#id2790687">Diagnostics tools</a></dt><dt><a href="#id2887096">Installing 'Network Monitor' on an NT Workstation or a Windows 9x box</a></dt><dt><a href="#id2887237">Useful URL's</a></dt><dt><a href="#id2887343">Getting help from the mailing lists</a></dt><dt><a href="#id2887497">How to get off the mailinglists</a></dt></dl></dd><dt>29. <a href="#bugreport">Reporting Bugs</a></dt><dd><dl><dt><a href="#id2887016">Introduction</a></dt><dt><a href="#id2886937">General info</a></dt><dt><a href="#id2887713">Debug levels</a></dt><dt><a href="#id2887849">Internal errors</a></dt><dt><a href="#id2887942">Attaching to a running process</a></dt><dt><a href="#id2887989">Patches</a></dt></dl></dd></dl></dd><dt>V. <a href="#Appendixes">Appendixes</a></dt><dd><dl><dt>30. <a href="#compiling">How to compile SAMBA</a></dt><dd><dl><dt><a href="#id2887580">Access Samba source code via CVS</a></dt><dd><dl><dt><a href="#id2887587">Introduction</a></dt><dt><a href="#id2887620">CVS Access to samba.org</a></dt></dl></dd><dt><a href="#id2888377">Accessing the samba sources via rsync and ftp</a></dt><dt><a href="#id2888418">Verifying Samba's PGP signature</a></dt><dt><a href="#id2888501">Building the Binaries</a></dt><dd><dl><dt><a href="#id2888639">Compiling samba with Active Directory support</a></dt></dl></dd><dt><a href="#id2888786">Starting the smbd and nmbd</a></dt><dd><dl><dt><a href="#id2888853">Starting from inetd.conf</a></dt><dt><a href="#id2889045">Alternative: starting it as a daemon</a></dt></dl></dd></dl></dd><dt>31. <a href="#NT4Migration">Migration from NT4 PDC to Samba-3 PDC</a></dt><dd><dl><dt><a href="#id2888159">Planning and Getting Started</a></dt><dd><dl><dt><a href="#id2888028">Objectives</a></dt><dt><a href="#id2889725">Steps In Migration Process</a></dt></dl></dd><dt><a href="#id2889980">Migration Options</a></dt><dd><dl><dt><a href="#id2890062">Planning for Success</a></dt><dt><a href="#id2890304">Samba Implementation Choices</a></dt></dl></dd></dl></dd><dt>32. <a href="#Portability">Portability</a></dt><dd><dl><dt><a href="#id2889273">HPUX</a></dt><dt><a href="#id2889171">SCO Unix</a></dt><dt><a href="#id2889194">DNIX</a></dt><dt><a href="#id2890671">RedHat Linux Rembrandt-II</a></dt><dt><a href="#id2890709">AIX</a></dt><dd><dl><dt><a href="#id2890716">Sequential Read Ahead</a></dt></dl></dd><dt><a href="#id2890741">Solaris</a></dt><dd><dl><dt><a href="#id2890748">Locking improvements</a></dt><dt><a href="#winbind-solaris9">Winbind on Solaris 9</a></dt></dl></dd></dl></dd><dt>33. <a href="#Other-Clients">Samba and other CIFS clients</a></dt><dd><dl><dt><a href="#id2890402">Macintosh clients?</a></dt><dt><a href="#id2890976">OS2 Client</a></dt><dd><dl><dt><a href="#id2890983">How can I configure OS/2 Warp Connect or 
-               OS/2 Warp 4 as a client for Samba?</a></dt><dt><a href="#id2891066">How can I configure OS/2 Warp 3 (not Connect), 
-               OS/2 1.2, 1.3 or 2.x for Samba?</a></dt><dt><a href="#id2891126">Are there any other issues when OS/2 (any version) 
-               is used as a client?</a></dt><dt><a href="#id2891155">How do I get printer driver download working 
-               for OS/2 clients?</a></dt></dl></dd><dt><a href="#id2891218">Windows for Workgroups</a></dt><dd><dl><dt><a href="#id2891226">Use latest TCP/IP stack from Microsoft</a></dt><dt><a href="#id2891257">Delete .pwl files after password change</a></dt><dt><a href="#id2891287">Configure WfW password handling</a></dt><dt><a href="#id2891313">Case handling of passwords</a></dt><dt><a href="#id2891344">Use TCP/IP as default protocol</a></dt><dt><a href="#id2891361">Speed improvement</a></dt></dl></dd><dt><a href="#id2891388">Windows '95/'98</a></dt><dd><dl><dt><a href="#id2891458">Speed improvement</a></dt></dl></dd><dt><a href="#id2891475">Windows 2000 Service Pack 2</a></dt><dt><a href="#id2891585">Windows NT 3.1</a></dt></dl></dd><dt>34. <a href="#SWAT">SWAT - The Samba Web Admininistration Tool</a></dt><dd><dl><dt><a href="#id2890961">SWAT Features and Benefits</a></dt><dd><dl><dt><a href="#id2890837">Enabling SWAT for use</a></dt><dt><a href="#id2891873">Securing SWAT through SSL</a></dt><dt><a href="#id2891946">The SWAT Home Page</a></dt><dt><a href="#id2892010">Global Settings</a></dt><dt><a href="#id2892118">Share Settings</a></dt><dt><a href="#id2892167">Printers Settings</a></dt><dt><a href="#id2892216">The SWAT Wizard</a></dt><dt><a href="#id2892261">The Status Page</a></dt><dt><a href="#id2892300">The View Page</a></dt><dt><a href="#id2892316">The Password Change Page</a></dt></dl></dd></dl></dd><dt>35. <a href="#speed">Samba performance issues</a></dt><dd><dl><dt><a href="#id2891608">Comparisons</a></dt><dt><a href="#id2891653">Socket options</a></dt><dt><a href="#id2892541">Read size</a></dt><dt><a href="#id2892584">Max xmit</a></dt><dt><a href="#id2892637">Log level</a></dt><dt><a href="#id2892660">Read raw</a></dt><dt><a href="#id2892717">Write raw</a></dt><dt><a href="#id2892759">Slow Logins</a></dt><dt><a href="#id2892781">Client tuning</a></dt></dl></dd></dl></dd></dl></div><div class="list-of-tables"><p><b>List of Tables</b></p><dl><dt>21.1. <a href="#id2882333">Extended Auditing Log Information</a></dt><dt>31.1. <a href="#id2889997">The 3 Major Site Types</a></dt><dt>31.2. <a href="#id2890135">Nature of the Conversion Choices</a></dt></dl></div><div class="part" lang="en"><div class="titlepage"><div><h1 class="title"><a name="introduction"></a>General Installation</h1></div></div><div class="partintro" lang="en"><div><div><h1 class="title"><a name="id2789774"></a>Preparing Samba for Configuration</h1></div></div><p>This section of the Samba-HOWTO-Collection contains general info on how to install samba 
+existing set..&quot; when creating a machine trust account.</a></dt><dt><a href="#id2876206">The system can not log you on (C000019B)....</a></dt><dt><a href="#id2876277">The machine trust account for this computer either does not 
+exist or is not accessible.</a></dt><dt><a href="#id2876340">When I attempt to login to a Samba Domain from a NT4/W2K workstation,
+I get a message about my account being disabled.</a></dt><dt><a href="#id2876367">Until a few minutes after Samba has started, clients get the error &quot;Domain Controller Unavailable&quot;</a></dt></dl></dd></dl></dd><dt>6. <a href="#samba-bdc">Backup Domain Control</a></dt><dd><dl><dt><a href="#id2878532">Features And Benefits</a></dt><dt><a href="#id2878705">Essential Background Information</a></dt><dd><dl><dt><a href="#id2878734">MS Windows NT4 Style Domain Control</a></dt><dt><a href="#id2878954">Active Directory Domain Control</a></dt><dt><a href="#id2878975">What qualifies a Domain Controller on the network?</a></dt><dt><a href="#id2879001">How does a Workstation find its domain controller?</a></dt></dl></dd><dt><a href="#id2879047">Backup Domain Controller Configuration</a></dt><dd><dl><dt><a href="#id2879149">Example Configuration</a></dt></dl></dd><dt><a href="#id2879210">Common Errors</a></dt><dd><dl><dt><a href="#id2879224">Machine Accounts keep expiring, what can I do?</a></dt><dt><a href="#id2879254">Can Samba be a Backup Domain Controller to an NT4 PDC?</a></dt><dt><a href="#id2879287">How do I replicate the smbpasswd file?</a></dt><dt><a href="#id2879332">Can I do this all with LDAP?</a></dt></dl></dd></dl></dd><dt>7. <a href="#domain-member">Domain Membership</a></dt><dd><dl><dt><a href="#id2880401">Features and Benefits</a></dt><dt><a href="#id2880516">MS Windows Workstation/Server Machine Trust Accounts</a></dt><dd><dl><dt><a href="#id2880692">Manual Creation of Machine Trust Accounts</a></dt><dt><a href="#id2880944">Using NT4 Server Manager to Add Machine Accounts to the Domain</a></dt><dt><a href="#id2881141">&quot;On-the-Fly&quot; Creation of Machine Trust Accounts</a></dt><dt><a href="#id2881203">Making an MS Windows Workstation or Server a Domain Member</a></dt></dl></dd><dt><a href="#domain-member-server">Domain Member Server</a></dt><dd><dl><dt><a href="#id2881406">Joining an NT4 type Domain with Samba-3</a></dt><dt><a href="#id2881788">Why is this better than security = server?</a></dt></dl></dd><dt><a href="#ads-member">Samba ADS Domain Membership</a></dt><dd><dl><dt><a href="#id2881929">Setup your smb.conf</a></dt><dt><a href="#id2882013">Setup your /etc/krb5.conf</a></dt><dt><a href="#ads-create-machine-account">Create the computer account</a></dt><dt><a href="#ads-test-server">Test your server setup</a></dt><dt><a href="#ads-test-smbclient">Testing with smbclient</a></dt><dt><a href="#id2882376">Notes</a></dt></dl></dd><dt><a href="#id2882398">Common Errors</a></dt><dd><dl><dt><a href="#id2882423">Can Not Add Machine Back to Domain</a></dt><dt><a href="#id2882455">Adding Machine to Domain Fails</a></dt></dl></dd></dl></dd><dt>8. <a href="#StandAloneServer">Stand-Alone Servers</a></dt><dd><dl><dt><a href="#id2884809">Features and Benefits</a></dt><dt><a href="#id2885005">Background</a></dt><dt><a href="#id2885077">Example Configuration</a></dt><dd><dl><dt><a href="#id2885092">Reference Documentation Server</a></dt><dt><a href="#id2885142">Central Print Serving</a></dt></dl></dd><dt><a href="#id2885356">Common Errors</a></dt></dl></dd><dt>9. <a href="#ClientConfig">MS Windows Network Configuration Guide</a></dt><dd><dl><dt><a href="#id2884469">Note</a></dt></dl></dd></dl></dd><dt>III. <a href="#optional">Advanced Configuration</a></dt><dd><dl><dt>10. <a href="#NetworkBrowsing">Samba / MS Windows Network Browsing Guide</a></dt><dd><dl><dt><a href="#id2886062">Features and Benefits</a></dt><dt><a href="#id2886141">What is Browsing?</a></dt><dt><a href="#id2886251">Discussion</a></dt><dd><dl><dt><a href="#id2886267">NetBIOS over TCP/IP</a></dt><dt><a href="#id2886430">TCP/IP - without NetBIOS</a></dt><dt><a href="#id2886562">DNS and Active Directory</a></dt></dl></dd><dt><a href="#id2886698">How Browsing Functions</a></dt><dd><dl><dt><a href="#id2886824">Setting up WORKGROUP Browsing</a></dt><dt><a href="#id2887045">Setting up DOMAIN Browsing</a></dt><dt><a href="#browse-force-master">Forcing Samba to be the master</a></dt><dt><a href="#id2887315">Making Samba the domain master</a></dt><dt><a href="#id2887471">Note about broadcast addresses</a></dt><dt><a href="#id2887488">Multiple interfaces</a></dt><dt><a href="#id2887517">Use of the Remote Announce parameter</a></dt><dt><a href="#id2887626">Use of the Remote Browse Sync parameter</a></dt></dl></dd><dt><a href="#id2887687">WINS - The Windows Internetworking Name Server</a></dt><dd><dl><dt><a href="#id2887846">Setting up a WINS server</a></dt><dt><a href="#id2888045">WINS Replication</a></dt><dt><a href="#id2888070">Static WINS Entries</a></dt></dl></dd><dt><a href="#id2888154">Helpful Hints</a></dt><dd><dl><dt><a href="#id2888167">Windows Networking Protocols</a></dt><dt><a href="#id2888234">Name Resolution Order</a></dt></dl></dd><dt><a href="#id2888372">Technical Overview of browsing</a></dt><dd><dl><dt><a href="#id2888419">Browsing support in Samba</a></dt><dt><a href="#id2888526">Problem resolution</a></dt><dt><a href="#id2888605">Browsing across subnets</a></dt></dl></dd><dt><a href="#id2889225">Common Errors</a></dt><dd><dl><dt><a href="#id2889240">How can one flush the Samba NetBIOS name cache without restarting Samba?</a></dt><dt><a href="#id2889269">My client reports &quot;This server is not configured to list shared resources&quot;</a></dt></dl></dd></dl></dd><dt>11. <a href="#passdb">Account Information Databases</a></dt><dd><dl><dt><a href="#id2892812">Features and Benefits</a></dt><dt><a href="#id2893140">Technical Information</a></dt><dd><dl><dt><a href="#id2893204">Important Notes About Security</a></dt><dt><a href="#id2893458">Mapping User Identifiers between MS Windows and Unix</a></dt></dl></dd><dt><a href="#id2893513">Account Management Tools</a></dt><dd><dl><dt><a href="#id2893545">The smbpasswd Command</a></dt><dt><a href="#id2893811">The pdbedit Command</a></dt></dl></dd><dt><a href="#id2893963">Password Backends</a></dt><dd><dl><dt><a href="#id2893999">Plain Text</a></dt><dt><a href="#id2894038">smbpasswd - Encrypted Password Database</a></dt><dt><a href="#id2894145">tdbsam</a></dt><dt><a href="#id2894173">ldapsam</a></dt><dt><a href="#id2895689">MySQL</a></dt><dt><a href="#XMLpassdb">XML</a></dt></dl></dd><dt><a href="#id2896493">Common Errors</a></dt><dd><dl><dt><a href="#id2896501">Users can not logon - Users not in Samba SAM</a></dt><dt><a href="#id2896516">Users are being added to the wrong backend database</a></dt><dt><a href="#id2896576">auth methods does not work</a></dt></dl></dd></dl></dd><dt>12. <a href="#groupmapping">Mapping MS Windows and Unix Groups</a></dt><dd><dl><dt><a href="#id2903953">Features and Benefits</a></dt><dt><a href="#id2904055">Discussion</a></dt><dd><dl><dt><a href="#id2904246">Example Configuration</a></dt></dl></dd><dt><a href="#id2904310">Configuration Scripts</a></dt><dd><dl><dt><a href="#id2904325">Sample smb.conf add group script</a></dt><dt><a href="#id2904393">Script to configure Group Mapping</a></dt></dl></dd><dt><a href="#id2904485">Common Errors</a></dt><dd><dl><dt><a href="#id2904501">Adding Groups Fails</a></dt><dt><a href="#id2904562">Adding MS Windows Groups to MS Windows Groups Fails</a></dt></dl></dd></dl></dd><dt>13. <a href="#AccessControls">File, Directory and Share Access Controls</a></dt><dd><dl><dt><a href="#id2902775">Features and Benefits</a></dt><dt><a href="#id2902812">File System Access Controls</a></dt><dd><dl><dt><a href="#id2902830">MS Windows NTFS Comparison with Unix File Systems</a></dt><dt><a href="#id2903087">Managing Directories</a></dt><dt><a href="#id2903183">File and Directory Access Control</a></dt></dl></dd><dt><a href="#id2903398">Share Definition Access Controls</a></dt><dd><dl><dt><a href="#id2904578">User and Group Based Controls</a></dt><dt><a href="#id2904850">File and Directory Permissions Based Controls</a></dt><dt><a href="#id2905095">Miscellaneous Controls</a></dt></dl></dd><dt><a href="#id2905311">Access Controls on Shares</a></dt><dd><dl><dt><a href="#id2905383">Share Permissions Management</a></dt></dl></dd><dt><a href="#id2905682">MS Windows Access Control Lists and Unix Interoperability</a></dt><dd><dl><dt><a href="#id2905690">Managing UNIX permissions Using NT Security Dialogs</a></dt><dt><a href="#id2905728">Viewing File Security on a Samba Share</a></dt><dt><a href="#id2905807">Viewing file ownership</a></dt><dt><a href="#id2905929">Viewing File or Directory Permissions</a></dt><dt><a href="#id2906157">Modifying file or directory permissions</a></dt><dt><a href="#id2906309">Interaction with the standard Samba create mask 
+               parameters</a></dt><dt><a href="#id2906639">Interaction with the standard Samba file attribute 
+               mapping</a></dt></dl></dd><dt><a href="#id2906714">Common Errors</a></dt><dd><dl><dt><a href="#id2906729">Users can not write to a public share</a></dt><dt><a href="#id2907109">I have set force user and Samba still makes root the owner of all the files
+                       I touch!</a></dt></dl></dd></dl></dd><dt>14. <a href="#locking">File and Record Locking</a></dt><dd><dl><dt><a href="#id2910721">Features and Benefits</a></dt><dt><a href="#id2910776">Discussion</a></dt><dd><dl><dt><a href="#id2910908">Opportunistic Locking Overview</a></dt></dl></dd><dt><a href="#id2911554">Samba Opportunistic Locking Control</a></dt><dd><dl><dt><a href="#id2911664">Example Configuration</a></dt></dl></dd><dt><a href="#id2911924">MS Windows Opportunistic Locking and Caching Controls</a></dt><dd><dl><dt><a href="#id2912154">Workstation Service Entries</a></dt><dt><a href="#id2912180">Server Service Entries</a></dt></dl></dd><dt><a href="#id2912260">Persistent Data Corruption</a></dt><dt><a href="#id2912291">Common Errors</a></dt><dd><dl><dt><a href="#id2912365">locking.tdb error messages</a></dt></dl></dd><dt><a href="#id2912394">Additional Reading</a></dt></dl></dd><dt>15. <a href="#securing-samba">Securing Samba</a></dt><dd><dl><dt><a href="#id2914448">Introduction</a></dt><dt><a href="#id2914481">Features and Benefits</a></dt><dt><a href="#id2914555">Technical Discussion of Protective Measures and Issues</a></dt><dd><dl><dt><a href="#id2914574">Using host based protection</a></dt><dt><a href="#id2914645">User based protection</a></dt><dt><a href="#id2914697">Using interface protection</a></dt><dt><a href="#id2914749">Using a firewall</a></dt><dt><a href="#id2914805">Using a IPC$ share deny</a></dt><dt><a href="#id2914866">NTLMv2 Security</a></dt></dl></dd><dt><a href="#id2914907">Upgrading Samba</a></dt><dt><a href="#id2914932">Common Errors</a></dt><dd><dl><dt><a href="#id2914949">Smbclient works on localhost, but the network is dead</a></dt><dt><a href="#id2914974">Why can users access home directories of other users?</a></dt></dl></dd></dl></dd><dt>16. <a href="#InterdomainTrusts">Interdomain Trust Relationships</a></dt><dd><dl><dt><a href="#id2915881">Features and Benefits</a></dt><dt><a href="#id2915909">Trust Relationship Background</a></dt><dt><a href="#id2915993">Native MS Windows NT4 Trusts Configuration</a></dt><dd><dl><dt><a href="#id2916006">NT4 as the Trusting Domain (ie. creating the trusted account)</a></dt><dt><a href="#id2916091">NT4 as the Trusted Domain (ie. creating trusted account's password)</a></dt></dl></dd><dt><a href="#id2916127">Configuring Samba NT-style Domain Trusts</a></dt><dd><dl><dt><a href="#id2916155">Samba-3 as the Trusting Domain</a></dt><dt><a href="#id2916295">Samba-3 as the Trusted Domain</a></dt></dl></dd><dt><a href="#id2916428">Common Errors</a></dt><dd><dl><dt><a href="#id2916443">Tell me about Trust Relationships using Samba</a></dt></dl></dd></dl></dd><dt>17. <a href="#msdfs">Hosting a Microsoft Distributed File System tree on Samba</a></dt><dd><dl><dt><a href="#id2915783">Features and Benefits</a></dt><dt><a href="#id2917436">Common Errors</a></dt></dl></dd><dt>18. <a href="#printing">Classical Printing Support</a></dt><dd><dl><dt><a href="#id2917027">Features and Benefits</a></dt><dt><a href="#id2917095">Technical Introduction</a></dt><dd><dl><dt><a href="#id2917133">What happens if you send a Job from a Client</a></dt><dt><a href="#id2917203">Printing Related Configuration Parameters</a></dt><dt><a href="#id2918120">Parameters Recommended for Use</a></dt><dt><a href="#id2918450">Parameters for Backwards Compatibility</a></dt><dt><a href="#id2918559">Parameters no longer in use</a></dt></dl></dd><dt><a href="#id2918652">A simple Configuration to Print with Samba-3</a></dt><dd><dl><dt><a href="#id2918721">Verification of &quot;Settings in Use&quot; with testparm</a></dt><dt><a href="#id2918810">A little Experiment to warn you</a></dt></dl></dd><dt><a href="#id2919116">Extended Sample Configuration to Print with Samba-3</a></dt><dt><a href="#id2919220">Detailed Explanation of the Example's Settings</a></dt><dd><dl><dt><a href="#id2919234">The [global] Section</a></dt><dt><a href="#id2919616">The [printers] Section</a></dt><dt><a href="#id2919945">Any [my_printer_name] Section</a></dt><dt><a href="#id2920166">Print Commands</a></dt><dt><a href="#id2920216">Default Print Commands for various Unix Print Subsystems</a></dt><dt><a href="#id2920741">Setting up your own Print Commands</a></dt></dl></dd><dt><a href="#id2921021">Innovations in Samba Printing since 2.2</a></dt><dd><dl><dt><a href="#id2921186">Client Drivers on Samba Server for Point'n'Print</a></dt><dt><a href="#id2921338">The [printer$] Section is removed from Samba-3</a></dt><dt><a href="#id2921450">Creating the [print$] Share</a></dt><dt><a href="#id2921521">Parameters in the [print$] Section</a></dt><dt><a href="#id2921752">Subdirectory Structure in [print$]</a></dt></dl></dd><dt><a href="#id2921913">Installing Drivers into [print$]</a></dt><dd><dl><dt><a href="#id2922008">Setting Drivers for existing Printers with a Client GUI</a></dt><dt><a href="#id2922192">Setting Drivers for existing Printers with
+rpcclient</a></dt></dl></dd><dt><a href="#id2923912">&quot;The Proof of the Pudding lies in the Eating&quot; (Client Driver Install
+Procedure)</a></dt><dd><dl><dt><a href="#id2923933">The first Client Driver Installation</a></dt><dt><a href="#id2924131">IMPORTANT! Setting Device Modes on new Printers</a></dt><dt><a href="#id2924420">Further Client Driver Install Procedures</a></dt><dt><a href="#id2924516">Always make first Client Connection as root or &quot;printer admin&quot;</a></dt></dl></dd><dt><a href="#id2924657">Other Gotchas</a></dt><dd><dl><dt><a href="#id2924690">Setting Default Print Options for the Client Drivers</a></dt><dt><a href="#id2925127">Supporting large Numbers of Printers</a></dt><dt><a href="#id2925430">Adding new Printers with the Windows NT APW</a></dt><dt><a href="#id2925673">Weird Error Message Cannot connect under a
+different Name</a></dt><dt><a href="#id2925771">Be careful when assembling Driver Files</a></dt><dt><a href="#id2926117">Samba and Printer Ports</a></dt><dt><a href="#id2926188">Avoiding the most common Misconfigurations of the Client Driver</a></dt></dl></dd><dt><a href="#id2926210">The Imprints Toolset</a></dt><dd><dl><dt><a href="#id2926256">What is Imprints?</a></dt><dt><a href="#id2926297">Creating Printer Driver Packages</a></dt><dt><a href="#id2926316">The Imprints Server</a></dt><dt><a href="#id2926340">The Installation Client</a></dt></dl></dd><dt><a href="#id2926492">Add Network Printers at Logon without User Interaction</a></dt><dt><a href="#id2926822">The addprinter command</a></dt><dt><a href="#id2926867">Migration of &quot;Classical&quot; printing to Samba-3</a></dt><dt><a href="#id2927036">Publishing Printer Information in Active Directory or LDAP</a></dt><dt><a href="#id2927051">Common Errors and Problems</a></dt><dd><dl><dt><a href="#id2927064">I give my root password but I don't get access</a></dt><dt><a href="#id2927097">My printjobs get spooled into the spooling directory, but then get lost</a></dt></dl></dd></dl></dd><dt>19. <a href="#CUPS-printing">CUPS Printing Support in Samba 3.0</a></dt><dd><dl><dt><a href="#id2936290">Introduction</a></dt><dd><dl><dt><a href="#id2936298">Features and Benefits</a></dt><dt><a href="#id2936350">Overview</a></dt></dl></dd><dt><a href="#id2936405">Basic Configuration of CUPS support</a></dt><dd><dl><dt><a href="#id2936484">Linking of smbd with libcups.so</a></dt><dt><a href="#id2936628">Simple smb.conf Settings for CUPS</a></dt><dt><a href="#id2936710">More complex smb.conf Settings for
+CUPS</a></dt></dl></dd><dt><a href="#id2936828">Advanced Configuration</a></dt><dd><dl><dt><a href="#id2936848">Central spooling vs. &quot;Peer-to-Peer&quot; printing</a></dt><dt><a href="#id2936875">CUPS/Samba as a &quot;spooling-only&quot; Print Server; &quot;raw&quot; printing
+with Vendor Drivers on Windows Clients</a></dt><dt><a href="#id2936912">Driver Installation Methods on Windows Clients</a></dt><dt><a href="#id2936970">Explicitly enable &quot;raw&quot; printing for
+application/octet-stream!</a></dt><dt><a href="#id2937131">Three familiar Methods for driver upload plus a new one</a></dt></dl></dd><dt><a href="#id2937224">Using CUPS/Samba in an advanced Way -- intelligent printing
+with PostScript Driver Download</a></dt><dd><dl><dt><a href="#id2937300">GDI on Windows -- PostScript on Unix</a></dt><dt><a href="#id2937344">Windows Drivers, GDI and EMF</a></dt><dt><a href="#id2937445">Unix Printfile Conversion and GUI Basics</a></dt><dt><a href="#id2937533">PostScript and Ghostscript</a></dt><dt><a href="#id2937630">Ghostscript -- the Software RIP for non-PostScript Printers</a></dt><dt><a href="#id2937742">PostScript Printer Description (PPD) Specification</a></dt><dt><a href="#id2937813">CUPS can use all Windows-formatted Vendor PPDs</a></dt><dt><a href="#id2937902">CUPS also uses PPDs for non-PostScript Printers</a></dt></dl></dd><dt><a href="#id2937925">The CUPS Filtering Architecture</a></dt><dd><dl><dt><a href="#id2938065">MIME types and CUPS Filters</a></dt><dt><a href="#id2938252">MIME type Conversion Rules</a></dt><dt><a href="#id2938369">Filter Requirements</a></dt><dt><a href="#id2938539">Prefilters</a></dt><dt><a href="#id2938624">pstops</a></dt><dt><a href="#id2938727">pstoraster</a></dt><dt><a href="#id2938883">imagetops and imagetoraster</a></dt><dt><a href="#id2938940">rasterto [printers specific]</a></dt><dt><a href="#id2939024">CUPS Backends</a></dt><dt><a href="#id2939336">cupsomatic/Foomatic -- how do they fit into the Picture?</a></dt><dt><a href="#id2939448">The Complete Picture</a></dt><dt><a href="#id2939464">mime.convs</a></dt><dt><a href="#id2939517">&quot;Raw&quot; printing</a></dt><dt><a href="#id2939571">&quot;application/octet-stream&quot; printing</a></dt><dt><a href="#id2939786">PostScript Printer Descriptions (PPDs) for non-PS Printers</a></dt><dt><a href="#id2940015">Difference between cupsomatic/foomatic-rip and
+native CUPS printing</a></dt><dt><a href="#id2940170">Examples for filtering Chains</a></dt><dt><a href="#id2940401">Sources of CUPS drivers / PPDs</a></dt><dt><a href="#id2940530">Printing with Interface Scripts</a></dt></dl></dd><dt><a href="#id2940605">Network printing (purely Windows)</a></dt><dd><dl><dt><a href="#id2940620">From Windows Clients to an NT Print Server</a></dt><dt><a href="#id2940659">Driver Execution on the Client</a></dt><dt><a href="#id2940731">Driver Execution on the Server</a></dt></dl></dd><dt><a href="#id2940794">Network Printing (Windows clients -- UNIX/Samba Print
+Servers)</a></dt><dd><dl><dt><a href="#id2940814">From Windows Clients to a CUPS/Samba Print Server</a></dt><dt><a href="#id2940978">Samba receiving Jobfiles and passing them to CUPS</a></dt></dl></dd><dt><a href="#id2941054">Network PostScript RIP: CUPS Filters on Server -- clients use
+PostScript Driver with CUPS-PPDs</a></dt><dd><dl><dt><a href="#id2941110">PPDs for non-PS Printers on UNIX</a></dt><dt><a href="#id2941150">PPDs for non-PS Printers on Windows</a></dt></dl></dd><dt><a href="#id2941216">Windows Terminal Servers (WTS) as CUPS Clients</a></dt><dd><dl><dt><a href="#id2941233">Printer Drivers running in &quot;Kernel Mode&quot; cause many
+Problems</a></dt><dt><a href="#id2941268">Workarounds impose Heavy Limitations</a></dt><dt><a href="#id2941289">CUPS: a &quot;Magical Stone&quot;?</a></dt><dt><a href="#id2941316">PostScript Drivers with no major problems -- even in Kernel
+Mode</a></dt></dl></dd><dt><a href="#id2941369"> Setting up CUPS for driver Download</a></dt><dd><dl><dt><a href="#id2941388">cupsaddsmb: the unknown Utility</a></dt><dt><a href="#id2941480">Prepare your smb.conf for
+cupsaddsmb</a></dt><dt><a href="#id2941526">CUPS Package of &quot;PostScript Driver for WinNT/2k/XP&quot;</a></dt><dt><a href="#id2941724">Recognize the different Driver Files</a></dt><dt><a href="#id2941782">Acquiring the Adobe Driver Files</a></dt><dt><a href="#id2941814">ESP Print Pro Package of &quot;PostScript Driver for
+WinNT/2k/XP&quot;</a></dt><dt><a href="#id2941864">Caveats to be considered</a></dt><dt><a href="#id2942086">What are the Benefits of using the &quot;CUPS PostScript Driver for
+Windows NT/2k/XP&quot; as compared to the Adobe Driver?</a></dt><dt><a href="#id2942268">Run &quot;cupsaddsmb&quot; (quiet Mode)</a></dt><dt><a href="#id2942369">Run &quot;cupsaddsmb&quot; with verbose Output</a></dt><dt><a href="#id2942596">Understanding cupsaddsmb</a></dt><dt><a href="#id2942690">How to recognize if cupsaddsm completed successfully</a></dt><dt><a href="#id2942777">cupsaddsmb with a Samba PDC</a></dt><dt><a href="#id2942812">cupsaddsmb Flowchart</a></dt><dt><a href="#id2942865">Installing the PostScript Driver on a Client</a></dt><dt><a href="#id2942978">Avoiding critical PostScript Driver Settings on the
+Client</a></dt></dl></dd><dt><a href="#id2943112">Installing PostScript Driver Files manually (using
+rpcclient)</a></dt><dd><dl><dt><a href="#id2943227">A Check of the rpcclient man Page</a></dt><dt><a href="#id2943340">Understanding the rpcclient man Page</a></dt><dt><a href="#id2943429">Producing an Example by querying a Windows Box</a></dt><dt><a href="#id2943519">What is required for adddriver and setdriver to succeed</a></dt><dt><a href="#id2943682">Manual Commandline Driver Installation in 15 little Steps</a></dt><dt><a href="#id2944334">Troubleshooting revisited</a></dt></dl></dd><dt><a href="#id2944435">The printing *.tdb Files</a></dt><dd><dl><dt><a href="#id2944537">Trivial DataBase Files</a></dt><dt><a href="#id2944608">Binary Format</a></dt><dt><a href="#id2944670">Losing *.tdb Files</a></dt><dt><a href="#id2944728">Using tdbbackup</a></dt></dl></dd><dt><a href="#id2944795">CUPS Print Drivers from Linuxprinting.org</a></dt><dd><dl><dt><a href="#id2944903">foomatic-rip and Foomatic explained</a></dt><dt><a href="#id2945532">foomatic-rip and Foomatic-PPD Download and Installation</a></dt></dl></dd><dt><a href="#id2945993">Page Accounting with CUPS</a></dt><dd><dl><dt><a href="#id2946024">Setting up Quotas</a></dt><dt><a href="#id2946056">Correct and incorrect Accounting</a></dt><dt><a href="#id2946097">Adobe and CUPS PostScript Drivers for Windows Clients</a></dt><dt><a href="#id2946169">The page_log File Syntax</a></dt><dt><a href="#id2946270">Possible Shortcomings</a></dt><dt><a href="#id2946341">Future Developments</a></dt><dt><a href="#id2946390">Other Accounting Tools</a></dt></dl></dd><dt><a href="#id2946404">Additional Material</a></dt><dt><a href="#id2946598">Auto-Deletion or Preservation of CUPS Spool Files</a></dt><dd><dl><dt><a href="#id2946644">CUPS Configuration Settings explained</a></dt><dt><a href="#id2946726">Pre-conditions</a></dt><dt><a href="#id2946787">Manual Configuration</a></dt></dl></dd><dt><a href="#id2946805">When not to use Samba to print to
+CUPS</a></dt><dt><a href="#id2946822">In Case of Trouble.....</a></dt><dd><dl><dt><a href="#id2946857">Where to find Documentation</a></dt><dt><a href="#id2946870">How to ask for Help</a></dt><dt><a href="#id2946883">Where to find Help</a></dt></dl></dd><dt><a href="#id2946896">Appendix</a></dt><dd><dl><dt><a href="#id2946904">Printing from CUPS to Windows attached
+Printers</a></dt><dt><a href="#id2947118">More CUPS filtering Chains</a></dt><dt><a href="#id2947424">Trouble Shooting Guidelines to fix typical Samba printing
+Problems</a></dt><dt><a href="#id2948546">An Overview of the CUPS Printing Processes</a></dt></dl></dd></dl></dd><dt>20. <a href="#VFS">Stackable VFS modules</a></dt><dd><dl><dt><a href="#id2960717">Features and Benefits</a></dt><dt><a href="#id2960735">Discussion</a></dt><dt><a href="#id2960826">Included modules</a></dt><dd><dl><dt><a href="#id2960833">audit</a></dt><dt><a href="#id2960871">extd_audit</a></dt><dt><a href="#id2960995">fake_perms</a></dt><dt><a href="#id2961013">recycle</a></dt><dt><a href="#id2961151">netatalk</a></dt></dl></dd><dt><a href="#id2961195">VFS modules available elsewhere</a></dt><dd><dl><dt><a href="#id2961218">DatabaseFS</a></dt><dt><a href="#id2961273">vscan</a></dt></dl></dd><dt><a href="#id2961303">Common Errors</a></dt></dl></dd><dt>21. <a href="#winbind">Integrated Logon Support using Winbind</a></dt><dd><dl><dt><a href="#id2962201">Features and Benefits</a></dt><dt><a href="#id2962229">Introduction</a></dt><dt><a href="#id2962301">What Winbind Provides</a></dt><dd><dl><dt><a href="#id2962361">Target Uses</a></dt></dl></dd><dt><a href="#id2962392">How Winbind Works</a></dt><dd><dl><dt><a href="#id2962420">Microsoft Remote Procedure Calls</a></dt><dt><a href="#id2962454">Microsoft Active Directory Services</a></dt><dt><a href="#id2962477">Name Service Switch</a></dt><dt><a href="#id2962613">Pluggable Authentication Modules</a></dt><dt><a href="#id2962685">User and Group ID Allocation</a></dt><dt><a href="#id2962720">Result Caching</a></dt></dl></dd><dt><a href="#id2962747">Installation and Configuration</a></dt><dd><dl><dt><a href="#id2962776">Introduction</a></dt><dt><a href="#id2962851">Requirements</a></dt><dt><a href="#id2962944">Testing Things Out</a></dt></dl></dd><dt><a href="#id2964563">Conclusion</a></dt><dt><a href="#id2964582">Common Errors</a></dt></dl></dd><dt>22. <a href="#AdvancedNetworkManagement">Advanced Network Management</a></dt><dd><dl><dt><a href="#id2967075">Features and Benefits</a></dt><dt><a href="#id2967264">Remote Server Administration</a></dt><dt><a href="#id2967363">Remote Desktop Management</a></dt><dd><dl><dt><a href="#id2967381">Remote Management from NoMachines.Com</a></dt></dl></dd><dt><a href="#id2967592">Network Logon Script Magic</a></dt><dd><dl><dt><a href="#id2967788">Adding printers without user intervention</a></dt></dl></dd><dt><a href="#id2967822">Common Errors</a></dt></dl></dd><dt>23. <a href="#PolicyMgmt">System and Account Policies</a></dt><dd><dl><dt><a href="#id2966885">Features and Benefits</a></dt><dt><a href="#id2966939">Creating and Managing System Policies</a></dt><dd><dl><dt><a href="#id2968722">Windows 9x/Me Policies</a></dt><dt><a href="#id2968817">Windows NT4 Style Policy Files</a></dt><dt><a href="#id2968950">MS Windows 200x / XP Professional Policies</a></dt></dl></dd><dt><a href="#id2969202">Managing Account/User Policies</a></dt><dd><dl><dt><a href="#id2969303">Samba Editreg Toolset</a></dt><dt><a href="#id2969324">Windows NT4/200x</a></dt><dt><a href="#id2969344">Samba PDC</a></dt></dl></dd><dt><a href="#id2969388">System Startup and Logon Processing Overview</a></dt><dt><a href="#id2969535">Common Errors</a></dt><dd><dl><dt><a href="#id2969549">Policy Does Not Work</a></dt></dl></dd></dl></dd><dt>24. <a href="#ProfileMgmt">Desktop Profile Management</a></dt><dd><dl><dt><a href="#id2970756">Features and Benefits</a></dt><dt><a href="#id2970790">Roaming Profiles</a></dt><dd><dl><dt><a href="#id2970831">Samba Configuration for Profile Handling</a></dt><dt><a href="#id2971236">Windows Client Profile Configuration Information</a></dt><dt><a href="#id2972407">Sharing Profiles between W9x/Me and NT4/200x/XP workstations</a></dt><dt><a href="#id2972472">Profile Migration from Windows NT4/200x Server to Samba</a></dt></dl></dd><dt><a href="#id2972737">Mandatory profiles</a></dt><dt><a href="#id2972795">Creating/Managing Group Profiles</a></dt><dt><a href="#id2972841">Default Profile for Windows Users</a></dt><dd><dl><dt><a href="#id2972861">MS Windows 9x/Me</a></dt><dt><a href="#id2973009">MS Windows NT4 Workstation</a></dt><dt><a href="#id2973563">MS Windows 200x/XP</a></dt></dl></dd><dt><a href="#id2974067">Common Errors</a></dt><dd><dl><dt><a href="#id2974080">How does one set up roaming profiles for just one (or a few) user/s or group/s?</a></dt><dt><a href="#id2974143">Can NOT use Roaming Profiles</a></dt><dt><a href="#id2974365">Changing the default profile</a></dt></dl></dd></dl></dd><dt>25. <a href="#pam">PAM based Distributed Authentication</a></dt><dd><dl><dt><a href="#id2978309">Features and Benefits</a></dt><dt><a href="#id2978577">Technical Discussion</a></dt><dd><dl><dt><a href="#id2978595">PAM Configuration Syntax</a></dt><dt><a href="#id2979265">Example System Configurations</a></dt><dt><a href="#id2979567">smb.conf PAM Configuration</a></dt><dt><a href="#id2979625">Remote CIFS Authentication using winbindd.so</a></dt><dt><a href="#id2979709">Password Synchronization using pam_smbpass.so</a></dt></dl></dd><dt><a href="#id2980075">Common Errors</a></dt><dd><dl><dt><a href="#id2980089">pam_winbind problem</a></dt></dl></dd></dl></dd><dt>26. <a href="#integrate-ms-networks">Integrating MS Windows networks with Samba</a></dt><dd><dl><dt><a href="#id2982211">Features and Benefits</a></dt><dt><a href="#id2982236">Background Information</a></dt><dt><a href="#id2982281">Name Resolution in a pure Unix/Linux world</a></dt><dd><dl><dt><a href="#id2982337">/etc/hosts</a></dt><dt><a href="#id2982462">/etc/resolv.conf</a></dt><dt><a href="#id2982506">/etc/host.conf</a></dt><dt><a href="#id2982548">/etc/nsswitch.conf</a></dt></dl></dd><dt><a href="#id2982637">Name resolution as used within MS Windows networking</a></dt><dd><dl><dt><a href="#id2982784">The NetBIOS Name Cache</a></dt><dt><a href="#id2982829">The LMHOSTS file</a></dt><dt><a href="#id2983073">HOSTS file</a></dt><dt><a href="#id2983105">DNS Lookup</a></dt><dt><a href="#id2983130">WINS Lookup</a></dt></dl></dd><dt><a href="#id2983200">Common Errors</a></dt><dd><dl><dt><a href="#id2983216">My Boomerang Won't Come Back</a></dt><dt><a href="#id2983248">Very Slow Network Connections</a></dt><dt><a href="#id2983300">Samba server name change problem</a></dt></dl></dd></dl></dd><dt>27. <a href="#unicode">Unicode/Charsets</a></dt><dd><dl><dt><a href="#id2984418">Features and Benefits</a></dt><dt><a href="#id2984620">What are charsets and unicode?</a></dt><dt><a href="#id2984690">Samba and charsets</a></dt><dt><a href="#id2984790">Conversion from old names</a></dt><dt><a href="#id2984835">Japanese charsets</a></dt></dl></dd><dt>28. <a href="#Backup">Samba Backup Techniques</a></dt><dd><dl><dt><a href="#id2984038">Note</a></dt><dt><a href="#id2984063">Features and Benefits</a></dt></dl></dd><dt>29. <a href="#SambaHA">High Availability Options</a></dt><dd><dl><dt><a href="#id2985605">Note</a></dt></dl></dd></dl></dd><dt>IV. <a href="#migration">Migration and Updating</a></dt><dd><dl><dt>30. <a href="#upgrading-to-3.0">Upgrading from Samba-2.x to Samba-3.0.0</a></dt><dd><dl><dt><a href="#id2984190">Charsets</a></dt><dt><a href="#id2984215">Obsolete configuration options</a></dt><dt><a href="#id2985825">Password Backend</a></dt></dl></dd><dt>31. <a href="#NT4Migration">Migration from NT4 PDC to Samba-3 PDC</a></dt><dd><dl><dt><a href="#id2983845">Planning and Getting Started</a></dt><dd><dl><dt><a href="#id2983873">Objectives</a></dt><dt><a href="#id2986549">Steps In Migration Process</a></dt></dl></dd><dt><a href="#id2986887">Migration Options</a></dt><dd><dl><dt><a href="#id2986968">Planning for Success</a></dt><dt><a href="#id2987210">Samba Implementation Choices</a></dt></dl></dd></dl></dd><dt>32. <a href="#SWAT">SWAT - The Samba Web Administration Tool</a></dt><dd><dl><dt><a href="#id2986434">Features and Benefits</a></dt><dd><dl><dt><a href="#id2986468">Enabling SWAT for use</a></dt><dt><a href="#id2988827">Securing SWAT through SSL</a></dt><dt><a href="#id2988941">The SWAT Home Page</a></dt><dt><a href="#id2989005">Global Settings</a></dt><dt><a href="#id2989110">Share Settings</a></dt><dt><a href="#id2989175">Printers Settings</a></dt><dt><a href="#id2989239">The SWAT Wizard</a></dt><dt><a href="#id2989287">The Status Page</a></dt><dt><a href="#id2989339">The View Page</a></dt><dt><a href="#id2989362">The Password Change Page</a></dt></dl></dd></dl></dd></dl></dd><dt>V. <a href="#troubleshooting">Troubleshooting</a></dt><dd><dl><dt>33. <a href="#diagnosis">The Samba checklist</a></dt><dd><dl><dt><a href="#id2988578">Introduction</a></dt><dt><a href="#id2990437">Assumptions</a></dt><dt><a href="#id2990614">The tests</a></dt><dt><a href="#id2991790">Still having troubles?</a></dt></dl></dd><dt>34. <a href="#problems">Analysing and solving samba problems</a></dt><dd><dl><dt><a href="#id2993414">Diagnostics tools</a></dt><dt><a href="#id2993555">Installing 'Network Monitor' on an NT Workstation or a Windows 9x box</a></dt><dt><a href="#id2993839">Useful URLs</a></dt><dt><a href="#id2993884">Getting help from the mailing lists</a></dt><dt><a href="#id2994036">How to get off the mailing lists</a></dt></dl></dd><dt>35. <a href="#bugreport">Reporting Bugs</a></dt><dd><dl><dt><a href="#id2994775">Introduction</a></dt><dt><a href="#id2994997">General info</a></dt><dt><a href="#id2995034">Debug levels</a></dt><dt><a href="#id2995176">Internal errors</a></dt><dt><a href="#id2995284">Attaching to a running process</a></dt><dt><a href="#id2995331">Patches</a></dt></dl></dd></dl></dd><dt>VI. <a href="#Appendixes">Appendixes</a></dt><dd><dl><dt>36. <a href="#compiling">How to compile SAMBA</a></dt><dd><dl><dt><a href="#id2994651">Access Samba source code via CVS</a></dt><dd><dl><dt><a href="#id2994658">Introduction</a></dt><dt><a href="#id2994688">CVS Access to samba.org</a></dt></dl></dd><dt><a href="#id2996207">Accessing the samba sources via rsync and ftp</a></dt><dt><a href="#id2996256">Verifying Samba's PGP signature</a></dt><dt><a href="#id2996392">Building the Binaries</a></dt><dd><dl><dt><a href="#id2996529">Compiling samba with Active Directory support</a></dt></dl></dd><dt><a href="#id2996694">Starting the smbd and nmbd</a></dt><dd><dl><dt><a href="#id2996786">Starting from inetd.conf</a></dt><dt><a href="#id2996990">Alternative: starting it as a daemon</a></dt></dl></dd><dt><a href="#id2997085">Common Errors</a></dt></dl></dd><dt>37. <a href="#Portability">Portability</a></dt><dd><dl><dt><a href="#id2995985">HPUX</a></dt><dt><a href="#id2998515">SCO Unix</a></dt><dt><a href="#id2998546">DNIX</a></dt><dt><a href="#id2998716">RedHat Linux Rembrandt-II</a></dt><dt><a href="#id2998760">AIX</a></dt><dd><dl><dt><a href="#id2998767">Sequential Read Ahead</a></dt></dl></dd><dt><a href="#id2998793">Solaris</a></dt><dd><dl><dt><a href="#id2998800">Locking improvements</a></dt><dt><a href="#winbind-solaris9">Winbind on Solaris 9</a></dt></dl></dd></dl></dd><dt>38. <a href="#Other-Clients">Samba and other CIFS clients</a></dt><dd><dl><dt><a href="#id2998169">Macintosh clients?</a></dt><dt><a href="#id2999522">OS2 Client</a></dt><dd><dl><dt><a href="#id2999529">How can I configure OS/2 Warp Connect or 
+               OS/2 Warp 4 as a client for Samba?</a></dt><dt><a href="#id2999608">How can I configure OS/2 Warp 3 (not Connect), 
+               OS/2 1.2, 1.3 or 2.x for Samba?</a></dt><dt><a href="#id2999670">How do I get printer driver download working 
+               for OS/2 clients?</a></dt></dl></dd><dt><a href="#id2999766">Windows for Workgroups</a></dt><dd><dl><dt><a href="#id2999774">Use latest TCP/IP stack from Microsoft</a></dt><dt><a href="#id2999864">Delete .pwl files after password change</a></dt><dt><a href="#id2999894">Configure WfW password handling</a></dt><dt><a href="#id2999940">Case handling of passwords</a></dt><dt><a href="#id2999970">Use TCP/IP as default protocol</a></dt><dt><a href="#id2999988">Speed improvement</a></dt></dl></dd><dt><a href="#id3000034">Windows '95/'98</a></dt><dd><dl><dt><a href="#id3000107">Speed improvement</a></dt></dl></dd><dt><a href="#id3000131">Windows 2000 Service Pack 2</a></dt><dt><a href="#id3000242">Windows NT 3.1</a></dt></dl></dd><dt>39. <a href="#speed">Samba Performance Tuning</a></dt><dd><dl><dt><a href="#id3001274">Comparisons</a></dt><dt><a href="#id3001319">Socket options</a></dt><dt><a href="#id3001394">Read size</a></dt><dt><a href="#id3001437">Max xmit</a></dt><dt><a href="#id3001490">Log level</a></dt><dt><a href="#id3001513">Read raw</a></dt><dt><a href="#id3001570">Write raw</a></dt><dt><a href="#id3001612">Slow Logins</a></dt><dt><a href="#id3001633">Client tuning</a></dt><dt><a href="#id3001658">Samba performance problem due changing kernel</a></dt><dt><a href="#id3001692">Corrupt tdb Files</a></dt></dl></dd><dt>40. <a href="#DNSDHCP">DNS and DHCP Configuration Guide</a></dt><dd><dl><dt><a href="#id3001112">Note</a></dt></dl></dd><dt>41. <a href="#Further-Resources">Further Resources</a></dt><dd><dl><dt><a href="#id3001272">Websites</a></dt><dt><a href="#id3002922">Related updates from Microsoft</a></dt><dt><a href="#id3002990">Books</a></dt></dl></dd></dl></dd><dt><a href="#id3001039">Index</a></dt></dl></div><div class="list-of-figures"><p><b>List of Figures</b></p><dl><dt>19.1. <a href="#id2937409">Windows Printing to a local Printer</a></dt><dt>19.2. <a href="#id2937580">Printing to a Postscript Printer</a></dt><dt>19.3. <a href="#id2937660">Ghostscript as a RIP for non-postscript printers</a></dt><dt>19.4. <a href="#id2938589">Prefiltering in CUPS to form Postscript</a></dt><dt>19.5. <a href="#id2938654">Adding Device-specific Print Options</a></dt><dt>19.6. <a href="#id2938756">Postscript to intermediate Raster format</a></dt><dt>19.7. <a href="#id2938809">CUPS-raster production using Ghostscript</a></dt><dt>19.8. <a href="#id2938904">Image format to CUPS-raster format conversion</a></dt><dt>19.9. <a href="#id2938988">Raster to Printer Specific formats</a></dt><dt>19.10. <a href="#id2940065">cupsomatic/foomatic processing versus Native CUPS</a></dt><dt>19.11. <a href="#id2940695">Print Driver execution on the Client</a></dt><dt>19.12. <a href="#id2940753">Print Driver execution on the Server</a></dt><dt>19.13. <a href="#id2940943">Printing via CUPS/samba server</a></dt><dt>19.14. <a href="#id2942830">cupsaddsmb flowchart</a></dt><dt>19.15. <a href="#id2948557">CUPS Printing Overview</a></dt></dl></div><div class="list-of-tables"><p><b>List of Tables</b></p><dl><dt>7.1. <a href="#id2881417">Assumptions</a></dt><dt>10.1. <a href="#id2888772">Browse subnet example 1</a></dt><dt>10.2. <a href="#id2888886">Browse subnet example 2</a></dt><dt>10.3. <a href="#id2888985">Browse subnet example 3</a></dt><dt>10.4. <a href="#id2889086">Browse subnet example 4</a></dt><dt>11.1. <a href="#id2895163">Attributes in the sambaSamAccount objectclass (LDAP)</a></dt><dt>11.2. <a href="#id2895850">Basic smb.conf options for MySQL passdb backend</a></dt><dt>11.3. <a href="#id2895975">MySQL field names for MySQL passdb backend</a></dt><dt>13.1. <a href="#id2903107">Managing directories with unix and windows</a></dt><dt>13.2. <a href="#id2904638">User and Group Based Controls</a></dt><dt>13.3. <a href="#id2904871">File and Directory Permission Based Controls</a></dt><dt>13.4. <a href="#id2905118">Other Controls</a></dt><dt>20.1. <a href="#id2960912">Extended Auditing Log Information</a></dt><dt>24.1. <a href="#id2973359">User Shell Folder registry keys default values</a></dt><dt>24.2. <a href="#id2973503">Defaults of profile settings registry keys</a></dt><dt>24.3. <a href="#id2973759">Defaults of default user profile paths registry keys</a></dt><dt>25.1. <a href="#id2979741">Options recognized by pam_smbpass</a></dt><dt>31.1. <a href="#id2986904">The 3 Major Site Types</a></dt><dt>31.2. <a href="#id2987041">Nature of the Conversion Choices</a></dt></dl></div><div class="list-of-examples"><p><b>List of Examples</b></p><dl><dt>12.1. <a href="#id2904348">smbgrpadd.sh</a></dt><dt>13.1. <a href="#id2903320">Example File</a></dt></dl></div><div class="part" lang="en"><div class="titlepage"><div><div><h1 class="title"><a name="introduction"></a>General Installation</h1></div></div><div></div></div><div class="partintro" lang="en"><div><div><div><h1 class="title"><a name="id2866833"></a>Preparing Samba for Configuration</h1></div></div><div></div></div><p>This section of the Samba-HOWTO-Collection contains general info on how to install samba 
 and how to configure the parts of samba you will most likely need.
-PLEASE read this.</p><div class="toc"><p><b>Table of Contents</b></p><dl><dt>1. <a href="#IntroSMB">Introduction to Samba</a></dt><dd><dl><dt><a href="#id2794048">Background</a></dt><dt><a href="#id2794106">Terminology</a></dt><dt><a href="#id2795149">Related Projects</a></dt><dt><a href="#id2845311">SMB Methodology</a></dt><dt><a href="#id2790901">Additional Resources</a></dt><dt><a href="#id2793926">Epilogue</a></dt><dt><a href="#id2844986">Miscellaneous</a></dt></dl></dd><dt>2. <a href="#install">How to Install and Test SAMBA</a></dt><dd><dl><dt><a href="#id2844847">Obtaining and installing samba</a></dt><dt><a href="#id2845201">Configuring samba</a></dt><dd><dl><dt><a href="#id2844744">Editing the smb.conf file</a></dt><dt><a href="#id2858916">SWAT</a></dt></dl></dd><dt><a href="#id2858954">Try listing the shares available on your 
-       server</a></dt><dt><a href="#id2859005">Try connecting with the unix client</a></dt><dt><a href="#id2859108">Try connecting from a DOS, WfWg, Win9x, WinNT, 
-       Win2k, OS/2, etc... client</a></dt><dt><a href="#id2859169">What If Things Don't Work?</a></dt></dl></dd></dl></div></div><div class="chapter" lang="en"><div class="titlepage"><div><h2 class="title"><a name="IntroSMB"></a>Chapter 1. Introduction to Samba</h2></div><div><div class="author"><h3 class="author">David Lechnyr</h3><div class="affiliation"><span class="orgname">Unofficial HOWTO<br></span><div class="address"><p><tt>&lt;<a href="mailto:david@lechnyr.com">david@lechnyr.com</a>&gt;</tt></p></div></div></div></div><div><p class="pubdate">April 14, 2003</p></div></div><div class="toc"><p><b>Table of Contents</b></p><dl><dt><a href="#id2794048">Background</a></dt><dt><a href="#id2794106">Terminology</a></dt><dt><a href="#id2795149">Related Projects</a></dt><dt><a href="#id2845311">SMB Methodology</a></dt><dt><a href="#id2790901">Additional Resources</a></dt><dt><a href="#id2793926">Epilogue</a></dt><dt><a href="#id2844986">Miscellaneous</a></dt></dl></div><p><span class="emphasis"><em>
+PLEASE read this.</p><div class="toc"><p><b>Table of Contents</b></p><dl><dt>1. <a href="#IntroSMB">Introduction to Samba</a></dt><dd><dl><dt><a href="#id2868116">Background</a></dt><dt><a href="#id2868327">Terminology</a></dt><dt><a href="#id2868481">Related Projects</a></dt><dt><a href="#id2868550">SMB Methodology</a></dt><dt><a href="#id2868638">Epilogue</a></dt><dt><a href="#id2868711">Miscellaneous</a></dt></dl></dd><dt>2. <a href="#install">How to Install and Test SAMBA</a></dt><dd><dl><dt><a href="#id2869372">Obtaining and installing samba</a></dt><dt><a href="#id2869412">Configuring samba (smb.conf)</a></dt><dd><dl><dt><a href="#id2869449">Example Configuration</a></dt><dt><a href="#id2869599">SWAT</a></dt></dl></dd><dt><a href="#id2869643">Try listing the shares available on your 
+       server</a></dt><dt><a href="#id2869694">Try connecting with the unix client</a></dt><dt><a href="#id2869795">Try connecting from a DOS, WfWg, Win9x, WinNT, 
+       Win2k, OS/2, etc... client</a></dt><dt><a href="#id2869858">What If Things Don't Work?</a></dt><dt><a href="#id2869892">Common Errors</a></dt><dd><dl><dt><a href="#id2869904">Why are so many smbd processes eating memory?</a></dt><dt><a href="#id2870119">I'm getting &quot;open_oplock_ipc: Failed to get local UDP socket for address 100007f. Error was Cannot assign requested&quot; in the logs</a></dt></dl></dd></dl></dd><dt>3. <a href="#FastStart">Fast Start for the Impatient</a></dt><dd><dl><dt><a href="#id2869247">Note</a></dt></dl></dd></dl></div></div><div class="chapter" lang="en"><div class="titlepage"><div><div><h2 class="title"><a name="IntroSMB"></a>Chapter 1. Introduction to Samba</h2></div><div><div class="author"><h3 class="author"><span class="firstname">David</span> <span class="surname">Lechnyr</span></h3><div class="affiliation"><span class="orgname">Unofficial HOWTO<br></span><div class="address"><p><tt class="email">&lt;<a href="mailto:david@lechnyr.com">david@lechnyr.com</a>&gt;</tt></p></div></div></div></div><div><p class="pubdate">April 14, 2003</p></div></div><div></div></div><div class="toc"><p><b>Table of Contents</b></p><dl><dt><a href="#id2868116">Background</a></dt><dt><a href="#id2868327">Terminology</a></dt><dt><a href="#id2868481">Related Projects</a></dt><dt><a href="#id2868550">SMB Methodology</a></dt><dt><a href="#id2868638">Epilogue</a></dt><dt><a href="#id2868711">Miscellaneous</a></dt></dl></div><p>&#8220;<span class="quote">
 &quot;If you understand what you're doing, you're not learning anything.&quot; 
 -- Anonymous
-</em></span></p><p>
+</span>&#8221;</p><p>
 Samba is a file and print server for Windows-based clients using TCP/IP as the underlying
 transport protocol. In fact, it can support any SMB/CIFS-enabled client. One of Samba's big
 strengths is that you can use it to blend your mix of Windows and Linux machines together
 without requiring a separate Windows NT/2000/2003 Server.  Samba is actively being developed
 by a global team of about 30 active programmers and was originally developed by Andrew Tridgell.
-</p><div class="sect1" lang="en"><div class="titlepage"><div><h2 class="title" style="clear: both"><a name="id2794048"></a>Background</h2></div></div><p>
+</p><div class="sect1" lang="en"><div class="titlepage"><div><div><h2 class="title" style="clear: both"><a name="id2868116"></a>Background</h2></div></div><div></div></div><p>
 Once long ago, there was a buzzword referred to as DCE/RPC. This stood for Distributed
 Computing Environment/Remote Procedure Calls and conceptually was a good idea. It was
 originally developed by Apollo/HP as NCA 1.0 (Network Computing Architecture) and only
@@ -96,7 +112,7 @@ been dutifully waded through during the information-gathering stages of this pro
 are *still* many missing pieces... While often tedious, at least the way has been generously
 littered with occurrences of clapping hand to forehead and muttering 'crikey, what are they
 thinking?
-</em></span></p></div><div class="sect1" lang="en"><div class="titlepage"><div><h2 class="title" style="clear: both"><a name="id2794106"></a>Terminology</h2></div></div><div class="itemizedlist"><ul type="disc"><li><p>
+</em></span></p></div><div class="sect1" lang="en"><div class="titlepage"><div><div><h2 class="title" style="clear: both"><a name="id2868327"></a>Terminology</h2></div></div><div></div></div><div class="itemizedlist"><ul type="disc"><li><p>
        SMB: Acronym for &quot;Server Message Block&quot;. This is Microsoft's file and printer sharing protocol.
        </p></li><li><p>
        CIFS: Acronym for &quot;Common Internet File System&quot;. Around 1996, Microsoft apparently
@@ -145,8 +161,8 @@ thinking?
        </p></li><li><p>
        W3K: Acronym for Windows 2003 Server
        </p></li></ul></div><p>If you plan on getting help, make sure to subscribe to the Samba Mailing List (available at 
-http://www.samba.org).  Optionally, you could just search mailing.unix.samba at http://groups.google.com
-</p></div><div class="sect1" lang="en"><div class="titlepage"><div><h2 class="title" style="clear: both"><a name="id2795149"></a>Related Projects</h2></div></div><p>
+<a href="http://www.samba.org/" target="_top">http://www.samba.org</a>). 
+</p></div><div class="sect1" lang="en"><div class="titlepage"><div><div><h2 class="title" style="clear: both"><a name="id2868481"></a>Related Projects</h2></div></div><div></div></div><p>
 There are currently two network filesystem client projects for Linux that are directly
 related to Samba: SMBFS and CIFS VFS.  These are both available in the Linux kernel itself.
 </p><div class="itemizedlist"><ul type="disc"><li><p>
@@ -157,7 +173,7 @@ related to Samba: SMBFS and CIFS VFS.  These are both available in the Linux ker
        </p></li><li><p>
        CIFS VFS (Common Internet File System Virtual File System) is the successor to SMBFS, and
         is being actively developed for the upcoming version of the Linux kernel. The intent of this module
-        is to provide advanced network file system functionality including support for dfs (heirarchical
+        is to provide advanced network file system functionality including support for dfs (hierarchical
        name space), secure per-user session establishment, safe distributed caching (oplock), 
        optional packet signing, Unicode and other internationalization improvements, and optional 
        Winbind (nsswitch) integration.
@@ -165,9 +181,10 @@ related to Samba: SMBFS and CIFS VFS.  These are both available in the Linux ker
 Again, it's important to note that these are implementations for client filesystems, and have
 nothing to do with acting as a file and print server for SMB/CIFS clients.
 </p><p>
-There are other Open Source CIFS client implementations, such as the jCIFS project
-(jcifs.samba.org) which provides an SMB client toolkit written in Java.
-</p></div><div class="sect1" lang="en"><div class="titlepage"><div><h2 class="title" style="clear: both"><a name="id2845311"></a>SMB Methodology</h2></div></div><p>
+There are other Open Source CIFS client implementations, such as the 
+<a href="http://jcifs.samba.org/" target="_top">jCIFS project</a>
+which provides an SMB client toolkit written in Java.
+</p></div><div class="sect1" lang="en"><div class="titlepage"><div><div><h2 class="title" style="clear: both"><a name="id2868550"></a>SMB Methodology</h2></div></div><div></div></div><p>
 Traditionally, SMB uses UDP port 137 (NetBIOS name service, or netbios-ns),
 UDP port 138 (NetBIOS datagram service, or netbios-dgm), and TCP port 139 (NetBIOS
 session service, or netbios-ssn). Anyone looking at their network with a good
@@ -196,54 +213,11 @@ up a single file. In general, SMB sessions are established in the following orde
        SMB Tree Connect: Connect to a share name (e.g., \\servername\share); Connect
     to a service type (e.g., IPC$ named pipe)
        </p></li></ul></div><p>
-A good way to examine this process in depth is to try out SecurityFriday's SWB program
-at http://www.securityfriday.com/ToolDownload/SWB/swb_doc.html.  It allows you to
-walk through the establishment of a SMB/CIFS session step by step.
-</p></div><div class="sect1" lang="en"><div class="titlepage"><div><h2 class="title" style="clear: both"><a name="id2790901"></a>Additional Resources</h2></div></div><div class="itemizedlist"><ul type="disc"><li><p>
-       <a href="http://hr.uoregon.edu/davidrl/cifs.txt" target="_top">
-       <span class="emphasis"><em>CIFS: Common Insecurities Fail Scrutiny</em></span> by &quot;Hobbit&quot;</a>
-       </p></li><li><p>
-       <a href="http://afr.com/it/2002/10/01/FFXDF43AP6D.html" target="_top">
-       <span class="emphasis"><em>Doing the Samba on Windows</em></span> by Financial Review
-       </a>
-       </p></li><li><p>
-       <a href="http://ubiqx.org/cifs/" target="_top">
-       <span class="emphasis"><em>Implementing CIFS</em></span> by Christopher R. Hertel
-       </a>
-       </p></li><li><p>
-       <a href="http://samba.anu.edu.au/cifs/docs/what-is-smb.html" target="_top">
-       <span class="emphasis"><em>Just What Is SMB?</em></span> by Richard Sharpe
-       </a>
-       </p></li><li><p>
-       <a href="http://www.linux-mag.com/1999-05/samba_01.html" target="_top">
-       <span class="emphasis"><em>Opening Windows Everywhere</em></span> by Mike Warfield
-       </a>
-       </p></li><li><p>
-       <a href="http://www.tldp.org/HOWTO/SMB-HOWTO.html" target="_top">
-       <span class="emphasis"><em>SMB HOWTO</em></span> by David Wood
-       </a>
-       </p></li><li><p>
-       <a href="http://www.phrack.org/phrack/60/p60-0x0b.txt" target="_top">
-       <span class="emphasis"><em>SMB/CIFS by The Root</em></span> by &quot;ledin&quot;
-       </a>
-       </p></li><li><p>
-       <a href="http://www.linux-mag.com/1999-09/samba_01.html" target="_top">
-       <span class="emphasis"><em>The Story of Samba</em></span> by Christopher R. Hertel
-       </a>
-       </p></li><li><p>
-       <a href="http://hr.uoregon.edu/davidrl/samba/" target="_top">
-       <span class="emphasis"><em>The Unofficial Samba HOWTO</em></span> by David Lechnyr
-       </a>
-       </p></li><li><p>
-       <a href="http://www.linux-mag.com/2001-05/smb_01.html" target="_top">
-       <span class="emphasis"><em>Understanding the Network Neighborhood</em></span> by Christopher R. Hertel
-       </a>
-       </p></li><li><p>
-       <a href="http://www.linux-mag.com/2002-02/samba_01.html" target="_top">
-       <span class="emphasis"><em>Using Samba as a PDC</em></span> by Andrew Bartlett
-       </a>
-       </p></li></ul></div></div><div class="sect1" lang="en"><div class="titlepage"><div><h2 class="title" style="clear: both"><a name="id2793926"></a>Epilogue</h2></div></div><p><span class="emphasis"><em>
-&quot;What's fundamentally wrong is that nobody ever had any taste when they
+A good way to examine this process in depth is to try out 
+<a href="http://www.securityfriday.com/ToolDownload/SWB/swb_doc.html" target="_top">SecurityFriday's SWB program</a>.
+It allows you to walk through the establishment of a SMB/CIFS session step by step.
+</p></div><div class="sect1" lang="en"><div class="titlepage"><div><div><h2 class="title" style="clear: both"><a name="id2868638"></a>Epilogue</h2></div></div><div></div></div><p>&#8220;<span class="quote">
+What's fundamentally wrong is that nobody ever had any taste when they
 did it. Microsoft has been very much into making the user interface look good,
 but internally it's just a complete mess. And even people who program for Microsoft
 and who have had years of experience, just don't know how it works internally.
@@ -252,12 +226,12 @@ mess that fixing one bug might just break a hundred programs that depend on
 that bug. And Microsoft isn't interested in anyone fixing bugs -- they're interested
 in making money. They don't have anybody who takes pride in Windows 95 as an
 operating system.
-</em></span></p><p><span class="emphasis"><em>
+</span>&#8221;</p><p>&#8220;<span class="quote">
 People inside Microsoft know it's a bad operating system and they still
 continue obviously working on it because they want to get the next version out
 because they want to have all these new features to sell more copies of the
 system.
-</em></span></p><p><span class="emphasis"><em>
+</span>&#8221;</p><p>&#8220;<span class="quote">
 The problem with that is that over time, when you have this kind of approach,
 and because nobody understands it, because nobody REALLY fixes bugs (other than
 when they're really obvious), the end result is really messy. You can't trust
@@ -267,281 +241,449 @@ fine and then once in a blue moon for some completely unknown reason, it's dead,
 and nobody knows why. Not Microsoft, not the experienced user and certainly
 not the completely clueless user who probably sits there shivering thinking
 &quot;What did I do wrong?&quot; when they didn't do anything wrong at all.
-</em></span></p><p><span class="emphasis"><em>
+</span>&#8221;</p><p>&#8220;<span class="quote">
 That's what's really irritating to me.&quot;
-</em></span></p><p>-- 
+</span>&#8221;</p><p>-- 
 <a href="http://hr.uoregon.edu/davidrl/boot.txt" target="_top">Linus Torvalds, from an interview with BOOT Magazine, Sept 1998</a>
-</p></div><div class="sect1" lang="en"><div class="titlepage"><div><h2 class="title" style="clear: both"><a name="id2844986"></a>Miscellaneous</h2></div></div><p>
-This chapter was lovingly handcrafted on a Dell Latitude C400 laptop running Slackware Linux 9.0,
-in case anyone asks.
-</p><p>
-This chapter is Copyright © 2003 David Lechnyr (david at lechnyr dot com).
+</p></div><div class="sect1" lang="en"><div class="titlepage"><div><div><h2 class="title" style="clear: both"><a name="id2868711"></a>Miscellaneous</h2></div></div><div></div></div><p>
+This chapter is Copyright 2003 David Lechnyr (david at lechnyr dot com).
 Permission is granted to copy, distribute and/or modify this document under the terms
 of the GNU Free Documentation License, Version 1.2 or any later version published by the Free
 Software Foundation. A copy of the license is available at http://www.gnu.org/licenses/fdl.txt.
-</p></div></div><div class="chapter" lang="en"><div class="titlepage"><div><h2 class="title"><a name="install"></a>Chapter 2. How to Install and Test SAMBA</h2></div><div><div class="author"><h3 class="author">Andrew Tridgell</h3><div class="affiliation"><span class="orgname">Samba Team<br></span><div class="address"><p><tt>&lt;<a href="mailto:tridge@samba.org">tridge@samba.org</a>&gt;</tt></p></div></div></div></div><div><div class="author"><h3 class="author">Jelmer R. Vernooij</h3><div class="affiliation"><span class="orgname">The Samba Team<br></span><div class="address"><p><tt>&lt;<a href="mailto:jelmer@samba.org">jelmer@samba.org</a>&gt;</tt></p></div></div></div></div><div><div class="author"><h3 class="author">Karl Auer</h3></div></div></div><div class="toc"><p><b>Table of Contents</b></p><dl><dt><a href="#id2844847">Obtaining and installing samba</a></dt><dt><a href="#id2845201">Configuring samba</a></dt><dd><dl><dt><a href="#id2844744">Editing the smb.conf file</a></dt><dt><a href="#id2858916">SWAT</a></dt></dl></dd><dt><a href="#id2858954">Try listing the shares available on your 
-       server</a></dt><dt><a href="#id2859005">Try connecting with the unix client</a></dt><dt><a href="#id2859108">Try connecting from a DOS, WfWg, Win9x, WinNT, 
-       Win2k, OS/2, etc... client</a></dt><dt><a href="#id2859169">What If Things Don't Work?</a></dt></dl></div><div class="sect1" lang="en"><div class="titlepage"><div><h2 class="title" style="clear: both"><a name="id2844847"></a>Obtaining and installing samba</h2></div></div><p>Binary packages of samba are included in almost any Linux or 
+</p></div></div><div class="chapter" lang="en"><div class="titlepage"><div><div><h2 class="title"><a name="install"></a>Chapter 2. How to Install and Test SAMBA</h2></div><div><div class="author"><h3 class="author"><span class="firstname">Andrew</span> <span class="surname">Tridgell</span></h3><div class="affiliation"><span class="orgname">Samba Team<br></span><div class="address"><p><tt class="email">&lt;<a href="mailto:tridge@samba.org">tridge@samba.org</a>&gt;</tt></p></div></div></div></div><div><div class="author"><h3 class="author"><span class="firstname">Jelmer</span> <span class="othername">R.</span> <span class="surname">Vernooij</span></h3><div class="affiliation"><span class="orgname">The Samba Team<br></span><div class="address"><p><tt class="email">&lt;<a href="mailto:jelmer@samba.org">jelmer@samba.org</a>&gt;</tt></p></div></div></div></div><div><div class="author"><h3 class="author"><span class="firstname">John</span> <span class="othername">H.</span> <span class="surname">Terpstra</span></h3><div class="affiliation"><span class="orgname">Samba Team<br></span><div class="address"><p><tt class="email">&lt;<a href="mailto:jht@samba.org">jht@samba.org</a>&gt;</tt></p></div></div></div></div><div><div class="author"><h3 class="author"><span class="firstname">Karl</span> <span class="surname">Auer</span></h3></div></div></div><div></div></div><div class="toc"><p><b>Table of Contents</b></p><dl><dt><a href="#id2869372">Obtaining and installing samba</a></dt><dt><a href="#id2869412">Configuring samba (smb.conf)</a></dt><dd><dl><dt><a href="#id2869449">Example Configuration</a></dt><dt><a href="#id2869599">SWAT</a></dt></dl></dd><dt><a href="#id2869643">Try listing the shares available on your 
+       server</a></dt><dt><a href="#id2869694">Try connecting with the unix client</a></dt><dt><a href="#id2869795">Try connecting from a DOS, WfWg, Win9x, WinNT, 
+       Win2k, OS/2, etc... client</a></dt><dt><a href="#id2869858">What If Things Don't Work?</a></dt><dt><a href="#id2869892">Common Errors</a></dt><dd><dl><dt><a href="#id2869904">Why are so many smbd processes eating memory?</a></dt><dt><a href="#id2870119">I'm getting &quot;open_oplock_ipc: Failed to get local UDP socket for address 100007f. Error was Cannot assign requested&quot; in the logs</a></dt></dl></dd></dl></div><div class="sect1" lang="en"><div class="titlepage"><div><div><h2 class="title" style="clear: both"><a name="id2869372"></a>Obtaining and installing samba</h2></div></div><div></div></div><p>
+       Binary packages of samba are included in almost any Linux or
        Unix distribution. There are also some packages available at 
        <a href="http://samba.org/" target="_top">the samba homepage</a>.
        </p><p>If you need to compile samba from source, check the 
-       <a href="#compiling" title="Chapter 30. How to compile SAMBA">appropriate appendix chapter</a>.</p></div><div class="sect1" lang="en"><div class="titlepage"><div><h2 class="title" style="clear: both"><a name="id2845201"></a>Configuring samba</h2></div></div><p>Samba's configuration is stored in the smb.conf file, 
-       that usually resides in <tt>/etc/samba/smb.conf</tt> 
-       or <tt>/usr/local/samba/lib/smb.conf</tt>. You can either 
+       <a href="#compiling" title="Chapter 36. How to compile SAMBA">appropriate appendix chapter</a>.</p><p>If you have already installed samba, or if your operating system
+       was pre-installed with samba, then you may not need to bother with this
+       chapter. On the other hand, you may want to read this chapter anyhow
+       for information about updating samba.</p></div><div class="sect1" lang="en"><div class="titlepage"><div><div><h2 class="title" style="clear: both"><a name="id2869412"></a>Configuring samba (smb.conf)</h2></div></div><div></div></div><p>
+       Samba's configuration is stored in the <tt class="filename">smb.conf</tt> file, 
+       that usually resides in <tt class="filename">/etc/samba/smb.conf</tt> 
+       or <tt class="filename">/usr/local/samba/lib/smb.conf</tt>. You can either 
        edit this file yourself or do it using one of the many graphical 
        tools that are available, such as the web-based interface swat, that 
-       is included with samba.</p><div class="sect2" lang="en"><div class="titlepage"><div><h3 class="title"><a name="id2844744"></a>Editing the <tt>smb.conf</tt> file</h3></div></div><p>There are sample configuration files in the examples 
-       subdirectory in the distribution. I suggest you read them 
-       carefully so you can see how the options go together in 
-       practice. See the man page for all the options.</p><p>The simplest useful configuration file would be 
-       something like this:</p><pre class="programlisting">
-[global]
-       workgroup = MYGROUP
-
-[homes]
-       guest ok = no
-       read only = no
-       </pre><p>which would allow connections by anyone with an 
-       account on the server, using either their login name or 
-       &quot;<b>homes</b>&quot; as the service name. (Note that I also set the 
-       workgroup that Samba is part of. See BROWSING.txt for details)</p><p>Make sure you put the <tt>smb.conf</tt> file in the same place 
-       you specified in the<tt>Makefile</tt> (the default is to 
-       look for it in <tt>/usr/local/samba/lib/</tt>).</p><p>For more information about security settings for the 
-       <b>[homes]</b> share please refer to the chapter 
-       <a href="#securing-samba" title="Chapter 24. Securing Samba">Securing Samba</a>.</p><div class="sect3" lang="en"><div class="titlepage"><div><h4 class="title"><a name="id2858862"></a>Test your config file with 
-       <b>testparm</b></h4></div></div><p>It's important that you test the validity of your
-       <tt>smb.conf</tt> file using the testparm program. 
-       If testparm runs OK then it will list the loaded services. If 
-       not it will give an error message.</p><p>Make sure it runs OK and that the services look 
-       reasonable before proceeding. </p><p>Always run testparm again when you change 
-       <tt>smb.conf</tt>!</p></div></div><div class="sect2" lang="en"><div class="titlepage"><div><h3 class="title"><a name="id2858916"></a>SWAT</h3></div></div><p>
+       is included with samba.
+       </p><div class="sect2" lang="en"><div class="titlepage"><div><div><h3 class="title"><a name="id2869449"></a>Example Configuration</h3></div></div><div></div></div><p>
+       There are sample configuration files in the examples subdirectory in the
+       distribution. I suggest you read them carefully so you can see how the options
+       go together in practice. See the man page for all the options.
+       </p><p>
+       The simplest useful configuration file would be something like this:
+       </p><p>
+       </p><pre class="programlisting">
+       [global]
+               workgroup = MYGROUP
+
+       [homes]
+               guest ok = no
+               read only = no
+       </pre><p>
+       </p><p>
+       This will allow connections by anyone with an account on the server, using either
+       their login name or &quot;<i class="parameter"><tt>homes</tt></i>&quot; as the service name.
+       (Note that the workgroup that Samba must also be set.)
+       </p><p>
+       Make sure you put the <tt class="filename">smb.conf</tt> file in the same place 
+       you specified in the <tt class="filename">Makefile</tt> (the default is to 
+       look for it in <tt class="filename">/usr/local/samba/lib/</tt>).
+       </p><p>
+       For more information about security settings for the 
+       <i class="parameter"><tt>[homes]</tt></i> share please refer to the chapter 
+       <a href="#securing-samba" title="Chapter 15. Securing Samba">Securing Samba</a>.
+       </p><div class="sect3" lang="en"><div class="titlepage"><div><div><h4 class="title"><a name="id2869544"></a>Test your config file with <b class="command">testparm</b></h4></div></div><div></div></div><p>
+       It's important that you test the validity of your <tt class="filename">smb.conf</tt>
+       file using the <span class="application">testparm</span> program. If testparm runs OK
+       then it will list the loaded services. If not it will give an error message.
+       </p><p>
+       Make sure it runs OK and that the services look reasonable before proceeding.
+       </p><p>
+       Always run testparm again when you change <tt class="filename">smb.conf</tt>!
+       </p></div></div><div class="sect2" lang="en"><div class="titlepage"><div><div><h3 class="title"><a name="id2869599"></a>SWAT</h3></div></div><div></div></div><p>
        SWAT is a web-based interface that helps you configure samba. 
        SWAT might not be available in the samba package on your platform, 
        but in a separate package. Please read the swat manpage 
        on compiling, installing and configuring swat from source.
-       </p><p>To launch SWAT just run your favorite web browser and 
-       point it at &quot;http://localhost:901/&quot;. Replace <i><tt>localhost</tt></i> with the name of the computer you are running samba on if you 
-       are running samba on a different computer than your browser.</p><p>Note that you can attach to SWAT from any IP connected 
+       </p><p>
+       To launch SWAT just run your favorite web browser and 
+       point it at <a href="http://localhost:901/" target="_top">http://localhost:901/</a>. Replace
+       <i class="replaceable"><tt>localhost</tt></i>
+       with the name of the computer you are running samba on if you 
+       are running samba on a different computer than your browser.
+       </p><p>
+       Note that you can attach to SWAT from any IP connected 
        machine but connecting from a remote machine leaves your 
        connection open to password sniffing as passwords will be sent 
-       in the clear over the wire. </p></div></div><div class="sect1" lang="en"><div class="titlepage"><div><h2 class="title" style="clear: both"><a name="id2858954"></a>Try listing the shares available on your 
-       server</h2></div></div><p><tt>$ </tt><b><tt>smbclient -L 
-       <i><tt>yourhostname</tt></i></tt></b></p><p>You should get back a list of shares available on 
+       in the clear over the wire. 
+       </p></div></div><div class="sect1" lang="en"><div class="titlepage"><div><div><h2 class="title" style="clear: both"><a name="id2869643"></a>Try listing the shares available on your 
+       server</h2></div></div><div></div></div><p><tt class="prompt">$ </tt><b class="userinput"><tt>smbclient -L 
+       <i class="replaceable"><tt>yourhostname</tt></i></tt></b></p><p>You should get back a list of shares available on 
        your server. If you don't then something is incorrectly setup. 
        Note that this method can also be used to see what shares 
        are available on other LanManager clients (such as WfWg).</p><p>If you choose user level security then you may find 
        that Samba requests a password before it will list the shares. 
-       See the <b>smbclient</b> man page for details. (you 
+       See the <b class="command">smbclient</b> man page for details. (you 
        can force it to list the shares without a password by
        adding the option -U% to the command line. This will not work 
-       with non-Samba servers)</p></div><div class="sect1" lang="en"><div class="titlepage"><div><h2 class="title" style="clear: both"><a name="id2859005"></a>Try connecting with the unix client</h2></div></div><p><tt>$ </tt><b><tt>smbclient <i><tt>
-       //yourhostname/aservice</tt></i></tt></b></p><p>Typically the <i><tt>yourhostname</tt></i> 
-       would be the name of the host where you installed smbd
-       The <i><tt>aservice</tt></i> is 
-       any service you have defined in the <tt>smb.conf</tt>
-       file. Try your user name if you just have a <b>[homes]</b>
+       with non-Samba servers)</p></div><div class="sect1" lang="en"><div class="titlepage"><div><div><h2 class="title" style="clear: both"><a name="id2869694"></a>Try connecting with the unix client</h2></div></div><div></div></div><p><tt class="prompt">$ </tt><b class="userinput"><tt>smbclient <i class="replaceable"><tt>
+       //yourhostname/aservice</tt></i></tt></b></p><p>Typically the <i class="replaceable"><tt>yourhostname</tt></i> 
+       would be the name of the host where you installed <span class="application">smbd</span>
+       The <i class="replaceable"><tt>aservice</tt></i> is 
+       any service you have defined in the <tt class="filename">smb.conf</tt>
+       file. Try your user name if you just have a <i class="parameter"><tt>[homes]</tt></i>
        section
-       in <tt>smb.conf</tt>.</p><p>For example if your unix host is <i><tt>bambi</tt></i>
-       and your login name is <i><tt>fred</tt></i> you would type:</p><p><tt>$ </tt><b><tt>smbclient //<i><tt>bambi</tt></i>/<i><tt>fred</tt></i>
-       </tt></b></p></div><div class="sect1" lang="en"><div class="titlepage"><div><h2 class="title" style="clear: both"><a name="id2859108"></a>Try connecting from a DOS, WfWg, Win9x, WinNT, 
-       Win2k, OS/2, etc... client</h2></div></div><p>Try mounting disks. eg:</p><p><tt>C:\WINDOWS\&gt; </tt><b><tt>net use d: \\servername\service
-       </tt></b></p><p>Try printing. eg:</p><p><tt>C:\WINDOWS\&gt; </tt><b><tt>net use lpt1:
-       \\servername\spoolservice</tt></b></p><p><tt>C:\WINDOWS\&gt; </tt><b><tt>print filename
-       </tt></b></p></div><div class="sect1" lang="en"><div class="titlepage"><div><h2 class="title" style="clear: both"><a name="id2859169"></a>What If Things Don't Work?</h2></div></div><p>Then you might read the file chapter 
-       <a href="#diagnosis" title="Chapter 27. The samba checklist">Diagnosis</a> and the 
+       in <tt class="filename">smb.conf</tt>.</p><p>For example if your unix host is <i class="replaceable"><tt>bambi</tt></i>
+       and your login name is <i class="replaceable"><tt>fred</tt></i> you would type:</p><p><tt class="prompt">$ </tt><b class="userinput"><tt>smbclient //<i class="replaceable"><tt>bambi</tt></i>/<i class="replaceable"><tt>fred</tt></i>
+       </tt></b></p></div><div class="sect1" lang="en"><div class="titlepage"><div><div><h2 class="title" style="clear: both"><a name="id2869795"></a>Try connecting from a DOS, WfWg, Win9x, WinNT, 
+       Win2k, OS/2, etc... client</h2></div></div><div></div></div><p>Try mounting disks. eg:</p><p><tt class="prompt">C:\WINDOWS\&gt; </tt><b class="userinput"><tt>net use d: \\servername\service
+       </tt></b></p><p>Try printing. eg:</p><p><tt class="prompt">C:\WINDOWS\&gt; </tt><b class="userinput"><tt>net use lpt1:
+       \\servername\spoolservice</tt></b></p><p><tt class="prompt">C:\WINDOWS\&gt; </tt><b class="userinput"><tt>print filename
+       </tt></b></p></div><div class="sect1" lang="en"><div class="titlepage"><div><div><h2 class="title" style="clear: both"><a name="id2869858"></a>What If Things Don't Work?</h2></div></div><div></div></div><p>Then you might read the file chapter 
+       <a href="#diagnosis" title="Chapter 33. The Samba checklist">Diagnosis</a> and the 
        FAQ. If you are still stuck then try to follow 
-       the <a href="#problems" title="Chapter 28. Analysing and solving samba problems">Analysing and Solving Problems chapter</a>
+       the <a href="#problems" title="Chapter 34. Analysing and solving samba problems">Analysing and Solving Problems chapter</a>
        Samba has been successfully installed at thousands of sites worldwide,
-       so maybe someone else has hit your problem and has overcome it. </p></div></div></div><div class="part" lang="en"><div class="titlepage"><div><h1 class="title"><a name="type"></a>Server Configuration Basics</h1></div></div><div class="partintro" lang="en"><div><div><h1 class="title"><a name="id2845027"></a>First Steps in Server Configuration</h1></div></div><p>
+       so maybe someone else has hit your problem and has overcome it. </p></div><div class="sect1" lang="en"><div class="titlepage"><div><div><h2 class="title" style="clear: both"><a name="id2869892"></a>Common Errors</h2></div></div><div></div></div><p>
+The following questions and issues get raised on the samba mailing list over and over again.
+</p><div class="sect2" lang="en"><div class="titlepage"><div><div><h3 class="title"><a name="id2869904"></a>Why are so many smbd processes eating memory?</h3></div></div><div></div></div><p>
+&#8220;<span class="quote">
+Site that is running Samba on an AIX box. They are sharing out about 2 terabytes using samba.
+Samba was installed using smitty and the binaries. We seem to be experiencing a memory problem
+with this box.  When I do a <b class="command">svmon -Pu</b> the monitoring program shows that <span class="application">smbd</span> has several
+processes of smbd running:
+</span>&#8221;
+</p><p>
+       &#8220;<span class="quote">
+Is samba suppose to start this many different smbd processes?  Or does it run as one smbd process?  Also
+is it normal for it to be taking up this much memory?
+</span>&#8221;
+</p><p>
+</p><pre class="screen">
+Inuse * 4096 = amount of memory being used by this process
+
+     Pid Command        Inuse      Pin     Pgsp  Virtual   64-bit    Mthrd
+   20950 smbd           33098     1906      181     5017        N        N
+   22262 smbd            9104     1906      5410
+   21060 smbd            9048     1906      181     5479        N        N
+   25972 smbd            8678     1906      181     5109        N        N
+   24524 smbd            8674     1906      181     5105        N        N
+   19262 smbd            8582     1906      181     5013        N        N
+   20722 smbd            8572     1906      181     5003        N        N
+   21454 smbd            8572     1906      181     5003        N        N
+   28946 smbd            8567     1906      181     4996        N        N
+   24076 smbd            8566     1906      181     4996        N        N
+   20138 smbd            8566     1906      181     4996        N        N
+   17608 smbd            8565     1906      181     4996        N        N
+   21820 smbd            8565     1906      181     4996        N        N
+   26940 smbd            8565     1906      181     4996        N        N
+   19884 smbd            8565     1906      181     4996        N        N
+    9912 smbd            8565     1906      181     4996        N        N
+   25800 smbd            8564     1906      181     4995        N        N
+   20452 smbd            8564     1906      181     4995        N        N
+   18592 smbd            8562     1906      181     4993        N        N
+   28216 smbd            8521     1906      181     4954        N        N
+   19110 smbd            8404     1906      181     4862        N        N
+
+   Total memory used:  841,592,832 bytes
+</pre><p>
+</p><p>
+Samba consists on three core programs:
+<span class="application">nmbd</span>, <span class="application">smbd</span>, <span class="application">winbindd</span>. <span class="application">nmbd</span> is the name server message daemon,
+<span class="application">smbd</span> is the server message daemon, <span class="application">winbindd</span> is the daemon that
+handles communication with Domain Controllers.
+</p><p>
+If your system is NOT running as a WINS server, then there will be one (1) single instance of
+ <span class="application">nmbd</span> running on your system. If it is running as a WINS server then there will be
+two (2) instances - one to handle the WINS requests.
+</p><p>
+<span class="application">smbd</span> handles ALL connection requests and then spawns a new process for each client
+connection made. That is why you are seeing so many of them, one (1) per client connection.
+</p><p>
+<span class="application">winbindd</span> will run as one or two daemons, depending on whether or not it is being
+run in &quot;split mode&quot; (in which case there will be two instances).
+</p></div><div class="sect2" lang="en"><div class="titlepage"><div><div><h3 class="title"><a name="id2870119"></a>I'm getting &quot;open_oplock_ipc: Failed to get local UDP socket for address 100007f. Error was Cannot assign requested&quot; in the logs</h3></div></div><div></div></div><p>Your loopback device isn't working correctly. Make sure it's running.  </p></div></div></div><div class="chapter" lang="en"><div class="titlepage"><div><div><h2 class="title"><a name="FastStart"></a>Chapter 3. Fast Start for the Impatient</h2></div><div><div class="author"><h3 class="author"><span class="firstname">John</span> <span class="othername">H.</span> <span class="surname">Terpstra</span></h3><div class="affiliation"><span class="orgname">Samba Team<br></span><div class="address"><p><tt class="email">&lt;<a href="mailto:jht@samba.org">jht@samba.org</a>&gt;</tt></p></div></div></div></div></div><div></div></div><div class="toc"><p><b>Table of Contents</b></p><dl><dt><a href="#id2869247">Note</a></dt></dl></div><div class="sect1" lang="en"><div class="titlepage"><div><div><h2 class="title" style="clear: both"><a name="id2869247"></a>Note</h2></div></div><div></div></div><p>
+This chapter did not make it into this release.
+It is planned for the published release of this document.
+</p></div></div></div><div class="part" lang="en"><div class="titlepage"><div><div><h1 class="title"><a name="type"></a>Server Configuration Basics</h1></div></div><div></div></div><div class="partintro" lang="en"><div><div><div><h1 class="title"><a name="id2869315"></a>First Steps in Server Configuration</h1></div></div><div></div></div><p>
 Samba can operate in various modes within SMB networks. This HOWTO section contains information on
 configuring samba to function as the type of server your network requires. Please read this
 section carefully.
-</p><div class="toc"><p><b>Table of Contents</b></p><dl><dt>3. <a href="#ServerType">Nomenclature of Server Types</a></dt><dd><dl><dt><a href="#id2845139">Stand Alone Server</a></dt><dt><a href="#id2859402">Domain Member Server</a></dt><dt><a href="#id2859442">Domain Controller</a></dt><dd><dl><dt><a href="#id2859458">Domain Controller Types</a></dt></dl></dd></dl></dd><dt>4. <a href="#securitylevels">Samba as Stand-Alone Server</a></dt><dd><dl><dt><a href="#id2859216">User and Share security level</a></dt><dd><dl><dt><a href="#id2859238">User Level Security</a></dt><dt><a href="#id2859720">Share Level Security</a></dt><dt><a href="#id2859774">Server Level Security</a></dt><dt><a href="#id2860095">Domain Level Security</a></dt><dt><a href="#id2860234">ADS Level Security</a></dt></dl></dd></dl></dd><dt>5. <a href="#samba-pdc">
-Samba as an NT4 or Win2k Primary Domain Controller
-</a></dt><dd><dl><dt><a href="#id2859583">Prerequisite Reading</a></dt><dt><a href="#id2859607">
-Background
-</a></dt><dt><a href="#id2860563">Configuring the Samba Domain Controller</a></dt><dt><a href="#id2860863">Creating Machine Trust Accounts and Joining Clients to the Domain</a></dt><dd><dl><dt><a href="#id2861132">Manual Creation of Machine Trust Accounts</a></dt><dt><a href="#id2861366">&quot;On-the-Fly&quot; Creation of Machine Trust Accounts</a></dt><dt><a href="#id2861423">Joining the Client to the Domain</a></dt></dl></dd><dt><a href="#id2861529">Common Problems and Errors</a></dt><dd><dl><dt><a href="#id2861536">I cannot include a '$' in a machine name</a></dt><dt><a href="#id2861574">I get told &quot;You already have a connection to the Domain....&quot; 
+</p><div class="toc"><p><b>Table of Contents</b></p><dl><dt>4. <a href="#ServerType">Server Types and Security Modes</a></dt><dd><dl><dt><a href="#id2871270">Features and Benefits</a></dt><dt><a href="#id2871366">Server Types</a></dt><dt><a href="#id2871450">Samba Security Modes</a></dt><dd><dl><dt><a href="#id2871565">User Level Security</a></dt><dt><a href="#id2871698">Share Level Security</a></dt><dt><a href="#id2871820">Domain Security Mode (User Level Security)</a></dt><dt><a href="#id2872071">ADS Security Mode (User Level Security)</a></dt><dt><a href="#id2872158">Server Security (User Level Security)</a></dt></dl></dd><dt><a href="#id2872383">Seamless Windows Network Integration</a></dt><dt><a href="#id2872559">Common Errors</a></dt><dd><dl><dt><a href="#id2872587">What makes Samba a SERVER?</a></dt><dt><a href="#id2872620">What makes Samba a Domain Controller?</a></dt><dt><a href="#id2872649">What makes Samba a Domain Member?</a></dt><dt><a href="#id2872682">Constantly Losing Connections to Password Server</a></dt></dl></dd></dl></dd><dt>5. <a href="#samba-pdc">Domain Control</a></dt><dd><dl><dt><a href="#id2874489">Features and Benefits</a></dt><dt><a href="#id2874793">Basics of Domain Control</a></dt><dd><dl><dt><a href="#id2874809">Domain Controller Types</a></dt><dt><a href="#id2875020">Preparing for Domain Control</a></dt></dl></dd><dt><a href="#id2875340">Domain Control - Example Configuration</a></dt><dt><a href="#id2875639">Samba ADS Domain Control</a></dt><dt><a href="#id2875661">Domain and Network Logon Configuration</a></dt><dd><dl><dt><a href="#id2875676">Domain Network Logon Service</a></dt><dt><a href="#id2876003">Security Mode and Master Browsers</a></dt></dl></dd><dt><a href="#id2876111">Common Problems and Errors</a></dt><dd><dl><dt><a href="#id2876118">I cannot include a '$' in a machine name</a></dt><dt><a href="#id2876157">I get told &quot;You already have a connection to the Domain....&quot; 
 or &quot;Cannot join domain, the credentials supplied conflict with an 
-existing set..&quot; when creating a machine trust account.</a></dt><dt><a href="#id2861621">The system can not log you on (C000019B)....</a></dt><dt><a href="#id2861672">The machine trust account for this computer either does not 
-exist or is not accessible.</a></dt><dt><a href="#id2861721">When I attempt to login to a Samba Domain from a NT4/W2K workstation,
-I get a message about my account being disabled.</a></dt></dl></dd><dt><a href="#id2861746">Domain Control for Windows 9x/ME</a></dt><dd><dl><dt><a href="#id2861910">Configuration Instructions:      Network Logons</a></dt></dl></dd></dl></dd><dt>6. <a href="#samba-bdc">
-Samba Backup Domain Controller to Samba Domain Control
-</a></dt><dd><dl><dt><a href="#id2845056">Prerequisite Reading</a></dt><dt><a href="#id2860294">Background</a></dt><dt><a href="#id2862166">What qualifies a Domain Controller on the network?</a></dt><dd><dl><dt><a href="#id2862187">How does a Workstation find its domain controller?</a></dt><dt><a href="#id2862212">When is the PDC needed?</a></dt></dl></dd><dt><a href="#id2862231">Can Samba be a Backup Domain Controller to an NT PDC?</a></dt><dt><a href="#id2862264">How do I set up a Samba BDC?</a></dt><dd><dl><dt><a href="#id2862361">How do I replicate the smbpasswd file?</a></dt><dt><a href="#id2862390">Can I do this all with LDAP?</a></dt></dl></dd></dl></dd><dt>7. <a href="#ADS">Samba as a ADS domain member</a></dt><dd><dl><dt><a href="#id2862021">Setup your smb.conf</a></dt><dt><a href="#id2862571">Setup your /etc/krb5.conf</a></dt><dt><a href="#ads-create-machine-account">Create the computer account</a></dt><dd><dl><dt><a href="#id2862765">Possible errors</a></dt></dl></dd><dt><a href="#ads-test-server">Test your server setup</a></dt><dt><a href="#ads-test-smbclient">Testing with smbclient</a></dt><dt><a href="#id2862919">Notes</a></dt></dl></dd><dt>8. <a href="#domain-member">Samba as a NT4 or Win2k domain member</a></dt><dd><dl><dt><a href="#id2862413">Joining an NT Domain with Samba 3.0</a></dt><dt><a href="#id2863318">Why is this better than security = server?</a></dt></dl></dd></dl></div></div><div class="chapter" lang="en"><div class="titlepage"><div><h2 class="title"><a name="ServerType"></a>Chapter 3. Nomenclature of Server Types</h2></div><div><div class="author"><h3 class="author">John H. Terpstra</h3><div class="affiliation"><span class="orgname">Samba Team<br></span><div class="address"><p><tt>&lt;<a href="mailto:jht@samba.org">jht@samba.org</a>&gt;</tt></p></div></div></div></div></div><div class="toc"><p><b>Table of Contents</b></p><dl><dt><a href="#id2845139">Stand Alone Server</a></dt><dt><a href="#id2859402">Domain Member Server</a></dt><dt><a href="#id2859442">Domain Controller</a></dt><dd><dl><dt><a href="#id2859458">Domain Controller Types</a></dt></dl></dd></dl></div><p>Adminstrators of Microsoft networks often refer to there being three
-different type of servers:</p><div class="itemizedlist"><ul type="disc"><li><p>Stand Alone Server</p></li><li><p>Domain Member Server</p></li><li><p>Domain Controller</p><div class="itemizedlist"><ul type="circle"><li><p>Primary Domain Controller</p></li><li><p>Backup Domain Controller</p></li><li><p>ADS Domain Controller</p></li></ul></div></li></ul></div><p>A network administrator who is familiar with these terms and who
-wishes to migrate to or use Samba will want to know what these terms mean
-within a Samba context.</p><div class="sect1" lang="en"><div class="titlepage"><div><h2 class="title" style="clear: both"><a name="id2845139"></a>Stand Alone Server</h2></div></div><p>
-The term <span class="emphasis"><em>stand alone server</em></span> means that the server
-will provide local authentication and access control for all resources
-that are available from it. In general this means that there will be a
-local user database. In more technical terms, it means that resources
-on the machine will either be made available in either SHARE mode or in
-USER mode. SHARE mode and USER mode security are documented under
-discussions regarding &quot;security mode&quot;. The smb.conf configuration parameters
-that control security mode are: &quot;security = user&quot; and &quot;security = share&quot;.
-</p><p>
-No special action is needed other than to create user accounts. Stand-alone
-servers do NOT provide network logon services, meaning that machines that
-use this server do NOT perform a domain logon but instead make use only of
-the MS Windows logon which is local to the MS Windows workstation/server.
+existing set..&quot; when creating a machine trust account.</a></dt><dt><a href="#id2876206">The system can not log you on (C000019B)....</a></dt><dt><a href="#id2876277">The machine trust account for this computer either does not 
+exist or is not accessible.</a></dt><dt><a href="#id2876340">When I attempt to login to a Samba Domain from a NT4/W2K workstation,
+I get a message about my account being disabled.</a></dt><dt><a href="#id2876367">Until a few minutes after Samba has started, clients get the error &quot;Domain Controller Unavailable&quot;</a></dt></dl></dd></dl></dd><dt>6. <a href="#samba-bdc">Backup Domain Control</a></dt><dd><dl><dt><a href="#id2878532">Features And Benefits</a></dt><dt><a href="#id2878705">Essential Background Information</a></dt><dd><dl><dt><a href="#id2878734">MS Windows NT4 Style Domain Control</a></dt><dt><a href="#id2878954">Active Directory Domain Control</a></dt><dt><a href="#id2878975">What qualifies a Domain Controller on the network?</a></dt><dt><a href="#id2879001">How does a Workstation find its domain controller?</a></dt></dl></dd><dt><a href="#id2879047">Backup Domain Controller Configuration</a></dt><dd><dl><dt><a href="#id2879149">Example Configuration</a></dt></dl></dd><dt><a href="#id2879210">Common Errors</a></dt><dd><dl><dt><a href="#id2879224">Machine Accounts keep expiring, what can I do?</a></dt><dt><a href="#id2879254">Can Samba be a Backup Domain Controller to an NT4 PDC?</a></dt><dt><a href="#id2879287">How do I replicate the smbpasswd file?</a></dt><dt><a href="#id2879332">Can I do this all with LDAP?</a></dt></dl></dd></dl></dd><dt>7. <a href="#domain-member">Domain Membership</a></dt><dd><dl><dt><a href="#id2880401">Features and Benefits</a></dt><dt><a href="#id2880516">MS Windows Workstation/Server Machine Trust Accounts</a></dt><dd><dl><dt><a href="#id2880692">Manual Creation of Machine Trust Accounts</a></dt><dt><a href="#id2880944">Using NT4 Server Manager to Add Machine Accounts to the Domain</a></dt><dt><a href="#id2881141">&quot;On-the-Fly&quot; Creation of Machine Trust Accounts</a></dt><dt><a href="#id2881203">Making an MS Windows Workstation or Server a Domain Member</a></dt></dl></dd><dt><a href="#domain-member-server">Domain Member Server</a></dt><dd><dl><dt><a href="#id2881406">Joining an NT4 type Domain with Samba-3</a></dt><dt><a href="#id2881788">Why is this better than security = server?</a></dt></dl></dd><dt><a href="#ads-member">Samba ADS Domain Membership</a></dt><dd><dl><dt><a href="#id2881929">Setup your smb.conf</a></dt><dt><a href="#id2882013">Setup your /etc/krb5.conf</a></dt><dt><a href="#ads-create-machine-account">Create the computer account</a></dt><dt><a href="#ads-test-server">Test your server setup</a></dt><dt><a href="#ads-test-smbclient">Testing with smbclient</a></dt><dt><a href="#id2882376">Notes</a></dt></dl></dd><dt><a href="#id2882398">Common Errors</a></dt><dd><dl><dt><a href="#id2882423">Can Not Add Machine Back to Domain</a></dt><dt><a href="#id2882455">Adding Machine to Domain Fails</a></dt></dl></dd></dl></dd><dt>8. <a href="#StandAloneServer">Stand-Alone Servers</a></dt><dd><dl><dt><a href="#id2884809">Features and Benefits</a></dt><dt><a href="#id2885005">Background</a></dt><dt><a href="#id2885077">Example Configuration</a></dt><dd><dl><dt><a href="#id2885092">Reference Documentation Server</a></dt><dt><a href="#id2885142">Central Print Serving</a></dt></dl></dd><dt><a href="#id2885356">Common Errors</a></dt></dl></dd><dt>9. <a href="#ClientConfig">MS Windows Network Configuration Guide</a></dt><dd><dl><dt><a href="#id2884469">Note</a></dt></dl></dd></dl></div></div><div class="chapter" lang="en"><div class="titlepage"><div><div><h2 class="title"><a name="ServerType"></a>Chapter 4. Server Types and Security Modes</h2></div><div><div class="author"><h3 class="author"><span class="firstname">Andrew</span> <span class="surname">Tridgell</span></h3><div class="affiliation"><span class="orgname">Samba Team<br></span><div class="address"><p><tt class="email">&lt;<a href="mailto:tridge@samba.org">tridge@samba.org</a>&gt;</tt></p></div></div></div></div><div><div class="author"><h3 class="author"><span class="firstname">Jelmer</span> <span class="othername">R.</span> <span class="surname">Vernooij</span></h3><div class="affiliation"><span class="orgname">The Samba Team<br></span><div class="address"><p><tt class="email">&lt;<a href="mailto:jelmer@samba.org">jelmer@samba.org</a>&gt;</tt></p></div></div></div></div><div><div class="author"><h3 class="author"><span class="firstname">John</span> <span class="othername">H.</span> <span class="surname">Terpstra</span></h3><div class="affiliation"><span class="orgname">Samba Team<br></span><div class="address"><p><tt class="email">&lt;<a href="mailto:jht@samba.org">jht@samba.org</a>&gt;</tt></p></div></div></div></div></div><div></div></div><div class="toc"><p><b>Table of Contents</b></p><dl><dt><a href="#id2871270">Features and Benefits</a></dt><dt><a href="#id2871366">Server Types</a></dt><dt><a href="#id2871450">Samba Security Modes</a></dt><dd><dl><dt><a href="#id2871565">User Level Security</a></dt><dt><a href="#id2871698">Share Level Security</a></dt><dt><a href="#id2871820">Domain Security Mode (User Level Security)</a></dt><dt><a href="#id2872071">ADS Security Mode (User Level Security)</a></dt><dt><a href="#id2872158">Server Security (User Level Security)</a></dt></dl></dd><dt><a href="#id2872383">Seamless Windows Network Integration</a></dt><dt><a href="#id2872559">Common Errors</a></dt><dd><dl><dt><a href="#id2872587">What makes Samba a SERVER?</a></dt><dt><a href="#id2872620">What makes Samba a Domain Controller?</a></dt><dt><a href="#id2872649">What makes Samba a Domain Member?</a></dt><dt><a href="#id2872682">Constantly Losing Connections to Password Server</a></dt></dl></dd></dl></div><p>
+This chapter provides information regarding the types of server that Samba may be
+configured to be. A Microsoft network administrator who wishes to migrate to or to
+use Samba will want to know what, within a Samba context, terms familiar to MS Windows
+administrator mean. This means that it is essential also to define how critical security
+modes function BEFORE we get into the details of how to configure the server itself.
+</p><p>
+The chapter provides an overview of the security modes of which Samba is capable
+and how these relate to MS Windows servers and clients.
+</p><p>
+Firstly we should recognise the question so often asked, &quot;Why would I want to use Samba?&quot;
+So, in those chapters where the answer may be important you will see a section that highlights
+features and benefits. These may be for or against Samba.
+</p><div class="sect1" lang="en"><div class="titlepage"><div><div><h2 class="title" style="clear: both"><a name="id2871270"></a>Features and Benefits</h2></div></div><div></div></div><p>
+Two men were walking down a dusty road, when one suddenly kicked up a small red stone. It
+hurt his toe and lodged in his sandal. He took the stone out and cursed it with a passion
+and fury fitting his anguish. The other looked at the stone and said, that is a garnet - I
+can turn that into a precious gem and some day it will make a princess very happy!
+</p><p>
+The moral of this tale: Two men, two very different perspectives regarding the same stone.
+Like it or not, Samba is like that stone. Treat it the right way and it can bring great
+pleasure, but if you are forced upon it and have no time for its secrets then it can be
+a source of discomfort.
+</p><p>
+Samba started out as a project that sought to provide interoperability for MS Windows 3.x
+clients with a Unix server. It has grown up a lot since its humble beginnings and now provides
+features and functionality fit for large scale deployment. It also has some warts. In sections
+like this one we will tell of both.
+</p><p>
+So now, what are the benefits of features mentioned in this chapter?
+</p><div class="itemizedlist"><ul type="disc"><li><p>
+       Samba-3 can replace an MS Windows NT4 Domain Controller
+       </p></li><li><p>
+       Samba-3 offers excellent interoperability with MS Windows NT4
+       style domains as well as natively with Microsoft Active
+       Directory domains.
+       </p></li><li><p>
+       Samba-3 permits full NT4 style Interdomain Trusts
+       </p></li><li><p>
+       Samba has security modes that permit more flexible
+       authentication than is possible with MS Windows NT4 Domain Controllers.
+       </p></li><li><p>
+       Samba-3 permits use of multiple account database backends
+       </p></li><li><p>
+       The account (password) database backends can be distributed
+       and replicated using multiple methods. This gives Samba-3
+       greater flexibility than MS Windows NT4 and in many cases a
+       significantly higher utility than Active Directory domains
+       with MS Windows 200x.
+       </p></li></ul></div></div><div class="sect1" lang="en"><div class="titlepage"><div><div><h2 class="title" style="clear: both"><a name="id2871366"></a>Server Types</h2></div></div><div></div></div><p>Administrators of Microsoft networks often refer to three
+different type of servers:</p><div class="itemizedlist"><ul type="disc"><li><p>Domain Controller</p><table class="simplelist" border="0" summary="Simple list"><tr><td>Primary Domain Controller</td></tr><tr><td>Backup Domain Controller</td></tr><tr><td>ADS Domain Controller</td></tr></table></li><li><p>Domain Member Server</p><table class="simplelist" border="0" summary="Simple list"><tr><td>Active Directory Member Server</td></tr><tr><td>NT4 Style Domain Member Server</td></tr></table></li><li><p>Stand Alone Server</p></li></ul></div><p>
+The chapters covering Domain Control, Backup Domain Control and Domain Membership provide
+pertinent information regarding Samba-3 configuration for each of these server roles.
+The reader is strongly encouraged to become intimately familiar with the information 
+presented.
+</p></div><div class="sect1" lang="en"><div class="titlepage"><div><div><h2 class="title" style="clear: both"><a name="id2871450"></a>Samba Security Modes</h2></div></div><div></div></div><p>
+In this section the function and purpose of Samba's <i class="parameter"><tt>security</tt></i>
+modes are described. An accurate understanding of how Samba implements each security
+mode as well as how to configure MS Windows clients for each mode will significantly
+reduce user complaints and administrator heartache.
+</p><p>
+In the SMB/CIFS networking world, there are only two types of security: <span class="emphasis"><em>USER Level</em></span>
+and <span class="emphasis"><em>SHARE Level</em></span>. We refer to these collectively as <span class="emphasis"><em>security levels</em></span>. In implementing these two <span class="emphasis"><em>security levels</em></span> Samba provides flexibilities
+that are not available with Microsoft Windows NT4 / 200x servers. Samba knows of five (5)
+ways that allow the security levels to be implemented. In actual fact, Samba implements
+<span class="emphasis"><em>SHARE Level</em></span> security only one way, but has four ways of implementing
+<span class="emphasis"><em>USER Level</em></span> security. Collectively, we call the Samba implementations
+<span class="emphasis"><em>Security Modes</em></span>. These are: <span class="emphasis"><em>SHARE</em></span>, <span class="emphasis"><em>USER</em></span>, <span class="emphasis"><em>DOMAIN</em></span>,
+<span class="emphasis"><em>ADS</em></span>, and <span class="emphasis"><em>SERVER</em></span>
+modes. They are documented in this chapter.
+</p><p>
+A SMB server tells the client at startup what <i class="parameter"><tt>security level</tt></i>
+it is running. There are two options: <span class="emphasis"><em>share level</em></span> and
+<span class="emphasis"><em>user level</em></span>. Which of these two the client receives affects
+the way the client then tries to authenticate itself. It does not directly affect
+(to any great extent) the way the Samba server does security. This may sound strange,
+but it fits in with the client/server approach of SMB. In SMB everything is initiated
+and controlled by the client, and the server can only tell the client what is
+available and whether an action is allowed.
+</p><div class="sect2" lang="en"><div class="titlepage"><div><div><h3 class="title"><a name="id2871565"></a>User Level Security</h3></div></div><div></div></div><p>
+We will describe <i class="parameter"><tt>user level</tt></i> security first, as it's simpler.
+In <span class="emphasis"><em>user level</em></span> security, the client will send a
+<span class="emphasis"><em>session setup</em></span> command directly after the protocol negotiation.
+This contains a username and password. The server can either accept or reject that
+username/password combination. Note that at this stage the server has no idea what
+share the client will eventually try to connect to, so it can't base the
+<span class="emphasis"><em>accept/reject</em></span> on anything other than:
+</p><div class="orderedlist"><ol type="1"><li><p>The username/password</p></li><li><p>The name of the client machine</p></li></ol></div><p>
+If the server accepts the username/password then the client expects to be able to
+mount shares (using a <span class="emphasis"><em>tree connection</em></span>) without specifying a
+password. It expects that all access rights will be as the username/password
+specified in the <span class="emphasis"><em>session setup</em></span>.
+</p><p>
+It is also possible for a client to send multiple <span class="emphasis"><em>session setup</em></span>
+requests. When the server responds, it gives the client a <span class="emphasis"><em>uid</em></span> to use
+as an authentication tag for that username/password. The client can maintain multiple
+authentication contexts in this way (WinDD is an example of an application that does this).
+</p><div class="sect3" lang="en"><div class="titlepage"><div><div><h4 class="title"><a name="id2871659"></a>Example Configuration</h4></div></div><div></div></div><p>
+The <tt class="filename">smb.conf</tt> parameter that sets <span class="emphasis"><em>User Level Security</em></span> is:
+</p><pre class="programlisting">
+       security = user
+</pre><p>
+This is the default setting since samba-2.2.x.
+</p></div></div><div class="sect2" lang="en"><div class="titlepage"><div><div><h3 class="title"><a name="id2871698"></a>Share Level Security</h3></div></div><div></div></div><p>
+Ok, now for share level security. In share level security, the client authenticates
+itself separately for each share. It will send a password along with each 
+<span class="emphasis"><em>tree connection</em></span> (share mount). It does not explicitly send a
+username with this operation. The client expects a password to be associated
+with each share, independent of the user. This means that Samba has to work out what
+username the client probably wants to use. It is never explicitly sent the username.
+Some commercial SMB servers such as NT actually associate passwords directly with
+shares in share level security, but Samba always uses the unix authentication scheme
+where it is a username/password pair that is authenticated, not a share/password pair.
+</p><p>
+To gain understanding of the MS Windows networking parallels to this, one should think
+in terms of MS Windows 9x/Me where one can create a shared folder that provides read-only
+or full access, with or without a password.
+</p><p>
+Many clients send a <span class="emphasis"><em>session setup</em></span> even if the server is in share
+level security. They normally send a valid username but no password. Samba records
+this username in a list of <span class="emphasis"><em>possible usernames</em></span>. When the client
+then does a <span class="emphasis"><em>tree connection</em></span> it also adds to this list the name
+of the share they try to connect to (useful for home directories) and any users
+listed in the <i class="parameter"><tt>user =</tt></i> <tt class="filename">smb.conf</tt> line. The password is then checked
+in turn against these <span class="emphasis"><em>possible usernames</em></span>. If a match is found
+then the client is authenticated as that user.
+</p><div class="sect3" lang="en"><div class="titlepage"><div><div><h4 class="title"><a name="id2871778"></a>Example Configuration</h4></div></div><div></div></div><p>
+The <tt class="filename">smb.conf</tt> parameter that sets <span class="emphasis"><em>Share Level Security</em></span> is:
+</p><pre class="programlisting">
+       security = share
+</pre><p>
+Please note that there are reports that recent MS Windows clients do not like to work
+with share mode security servers. You are strongly discouraged from using share level security.
+</p></div></div><div class="sect2" lang="en"><div class="titlepage"><div><div><h3 class="title"><a name="id2871820"></a>Domain Security Mode (User Level Security)</h3></div></div><div></div></div><p>
+When Samba is operating in <i class="parameter"><tt>security = domain</tt></i> mode,
+the Samba server has a domain security trust account (a machine account) and will cause
+all authentication requests to be passed through to the domain controllers.
+</p><div class="sect3" lang="en"><div class="titlepage"><div><div><h4 class="title"><a name="id2871842"></a>Example Configuration</h4></div></div><div></div></div><p><span class="emphasis"><em>
+Samba as a Domain Member Server
+</em></span></p><p>
+This method involves addition of the following parameters in the <tt class="filename">smb.conf</tt> file:
+</p><pre class="programlisting">
+        security = domain
+        workgroup = &quot;name_of_NT_domain&quot;
+</pre><p>
+In order for this method to work, the Samba server needs to join the MS Windows NT
+security domain. This is done as follows:
+</p><div class="procedure"><ol type="1"><li><p>On the MS Windows NT domain controller, using
+        the Server Manager, add a machine account for the Samba server.
+        </p></li><li><p>Next, on the Unix/Linux system execute:</p><p><tt class="prompt">root# </tt><b class="userinput"><tt>smbpasswd -j DOMAIN_NAME -r PDC_NAME</tt></b> (samba-2.x)</p><p><tt class="prompt">root# </tt><b class="userinput"><tt>net join -U administrator%password</tt></b> (samba-3)</p></li></ol></div><div class="note" style="margin-left: 0.5in; margin-right: 0.5in;"><h3 class="title">Note</h3><p>
+As of Samba-2.2.4 the Samba 2.2.x series can auto-join a Windows NT4 style Domain just
+by executing:
+</p><pre class="screen">
+<tt class="prompt">root# </tt><b class="userinput"><tt>smbpasswd -j <i class="replaceable"><tt>DOMAIN_NAME</tt></i> -r <i class="replaceable"><tt>PDC_NAME</tt></i> -U Administrator%<i class="replaceable"><tt>password</tt></i></tt></b>
+</pre><p>
+
+As of Samba-3 the same can be done by executing:
+</p><pre class="screen">
+<tt class="prompt">root# </tt><b class="userinput"><tt>net join -U Administrator%<i class="replaceable"><tt>password</tt></i></tt></b>
+</pre><p>
+It is not necessary with Samba-3 to specify the <i class="replaceable"><tt>DOMAIN_NAME</tt></i> or the <i class="replaceable"><tt>PDC_NAME</tt></i> as it
+figures this out from the <tt class="filename">smb.conf</tt> file settings.
+</p></div><p>
+Use of this mode of authentication does require there to be a standard Unix account
+for each user in order to assign a uid once the account has been authenticated by
+the remote Windows DC.  This account can be blocked to prevent logons by clients other than
+MS Windows through things such as setting an invalid shell in the
+<tt class="filename">/etc/passwd</tt> entry.
 </p><p>
-Samba tends to blur the distinction a little in respect of what is
-a stand alone server. This is because the authentication database may be
-local or on a remote server, even if from the samba protocol perspective
-the samba server is NOT a member of a domain security context.
+An alternative to assigning UIDs to Windows users on a Samba member server is
+presented in the <a href="#winbind" title="Chapter 21. Integrated Logon Support using Winbind">Winbind Overview</a> chapter
+in this HOWTO collection.
 </p><p>
-Through the use of PAM (Pluggable Authentication Modules) and nsswitch
-(the name service switcher) the source of authentication may reside on 
-another server. We would be inclined to call this the authentication server.
-This means that the samba server may use the local Unix/Linux system
-password database (/etc/passwd or /etc/shadow), may use a local smbpasswd
-file (/etc/samba/smbpasswd or /usr/local/samba/lib/private/smbpasswd), or
-may use an LDAP back end, or even via PAM and Winbind another CIFS/SMB
-server for authentication.
-</p></div><div class="sect1" lang="en"><div class="titlepage"><div><h2 class="title" style="clear: both"><a name="id2859402"></a>Domain Member Server</h2></div></div><p>
-This mode of server operation involves the samba machine being made a member
-of a domain security context. This means by definition that all user authentication
-will be done from a centrally defined authentication regime. The authentication
-regime may come from an NT3/4 style (old domain technology) server, or it may be
-provided from an Active Directory server (ADS) running on MS Windows 2000 or later.
-</p><p><span class="emphasis"><em>
-Of course it should be clear that the authentication back end itself could be from any
-distributed directory architecture server that is supported by Samba. This can be
-LDAP (from OpenLDAP), or Sun's iPlanet, of NetWare Directory Server, etc.
+For more information of being a domain member, see the <a href="#domain-member" title="Chapter 7. Domain Membership">Domain
+Member</a> section of this Howto.
+</p></div></div><div class="sect2" lang="en"><div class="titlepage"><div><div><h3 class="title"><a name="id2872071"></a>ADS Security Mode (User Level Security)</h3></div></div><div></div></div><p>
+Both Samba 2.2 and 3.0 can join an Active Directory domain. This is
+possible even if the domain is run in native mode. Active Directory in
+native mode perfectly allows NT4-style domain members, contrary to
+popular belief. The only thing that Active Directory in native mode
+prohibits is Backup Domain Controllers running NT4.
+</p><p>
+If you are running Active Directory starting with Samba 3.0 you can
+however join as a native AD member. Why would you want to do that?
+Your security policy might prohibit the use of NT-compatible
+authentication protocols. All your machines are running Windows 2000
+and above and all use full Kerberos. In this case Samba as a NT4-style
+domain would still require NT-compatible authentication data. Samba in
+AD-member mode can accept Kerberos.
+</p><div class="sect3" lang="en"><div class="titlepage"><div><div><h4 class="title"><a name="id2872101"></a>Example Configuration</h4></div></div><div></div></div><pre class="programlisting">
+       realm = your.kerberos.REALM
+       security = ADS
+</pre><p>
+       The following parameter may be required:
+</p><pre class="programlisting">
+       ads server = your.kerberos.server
+</pre><p>
+Please refer to the <a href="#domain-member" title="Chapter 7. Domain Membership">Domain Membership</a> and <a href="#ads-member" title="Samba ADS Domain Membership">Active Directory
+Membership</a> sections for more information regarding this configuration option.
+</p></div></div><div class="sect2" lang="en"><div class="titlepage"><div><div><h3 class="title"><a name="id2872158"></a>Server Security (User Level Security)</h3></div></div><div></div></div><p>
+Server security mode is a left over from the time when Samba was not capable of acting
+as a domain member server. It is highly recommended NOT to use this feature. Server
+security mode has many draw backs. The draw backs include:
+</p><table class="simplelist" border="0" summary="Simple list"><tr><td>Potential Account Lockout on MS Windows NT4/200x password servers</td></tr><tr><td>Lack of assurance that the password server is the one specified</td></tr><tr><td>Does not work with Winbind, particularly needed when storing profiles remotely</td></tr><tr><td>This mode may open connections to the password server, and keep them open for extended periods.</td></tr><tr><td>Security on the Samba server breaks badly when the remote password server suddenly shuts down</td></tr><tr><td>With this mode there is NO security account in the domain that the password server belongs to for the Samba server.</td></tr></table><p>
+In server security mode the Samba server reports to the client that it is in user level
+security. The client then does a <span class="emphasis"><em>session setup</em></span> as described earlier.
+The Samba server takes the username/password that the client sends and attempts to login to the
+<i class="parameter"><tt>password server</tt></i> by sending exactly the same username/password that
+it got from the client. If that server is in user level security and accepts the password,
+then Samba accepts the clients connection. This allows the Samba server to use another SMB
+server as the <i class="parameter"><tt>password server</tt></i>.
+</p><p>
+You should also note that at the very start of all this, where the server tells the client
+what security level it is in, it also tells the client if it supports encryption. If it
+does then it supplies the client with a random cryptkey. The client will then send all
+passwords in encrypted form. Samba supports this type of encryption by default.
+</p><p>
+The parameter <i class="parameter"><tt>security = server</tt></i> means that Samba reports to clients that
+it is running in <span class="emphasis"><em>user mode</em></span> but actually passes off all authentication
+requests to another <span class="emphasis"><em>user mode</em></span> server. This requires an additional
+parameter <i class="parameter"><tt>password server</tt></i> that points to the real authentication server.
+That real authentication server can be another Samba server or can be a Windows NT server,
+the later natively capable of encrypted password support.
+</p><div class="note" style="margin-left: 0.5in; margin-right: 0.5in;"><h3 class="title">Note</h3><p>
+When Samba is running in <span class="emphasis"><em>server security mode</em></span> it is essential that
+the parameter <span class="emphasis"><em>password server</em></span> is set to the precise NetBIOS machine
+name of the target authentication server. Samba can NOT determine this from NetBIOS name
+lookups because the choice of the target authentication server is arbitrary and can not
+be determined from a domain name. In essence, a Samba server that is in
+<span class="emphasis"><em>server security mode</em></span> is operating in what used to be known as
+workgroup mode.
+</p></div><div class="sect3" lang="en"><div class="titlepage"><div><div><h4 class="title"><a name="id2872314"></a>Example Configuration</h4></div></div><div></div></div><p><span class="emphasis"><em>
+Using MS Windows NT as an authentication server
 </em></span></p><p>
-Please refer to the section on Howto configure Samba as a Primary Domain Controller
-and for more information regarding how to create a domain machine account for a
-domain member server as well as for information regarding how to enable the samba
-domain member machine to join the domain and to be fully trusted by it.
-</p></div><div class="sect1" lang="en"><div class="titlepage"><div><h2 class="title" style="clear: both"><a name="id2859442"></a>Domain Controller</h2></div></div><p>
-Over the years public perceptions of what Domain Control really is has taken on an
-almost mystical nature. Before we branch into a brief overview of what Domain Control
-is the following types of controller are known:
-</p><div class="sect2" lang="en"><div class="titlepage"><div><h3 class="title"><a name="id2859458"></a>Domain Controller Types</h3></div></div><table class="simplelist" border="0" summary="Simple list"><tr><td>Primary Domain Controller</td></tr><tr><td>Backup Domain Controller</td></tr><tr><td>ADS Domain Controller</td></tr></table><p>
-The <span class="emphasis"><em>Primary Domain Controller</em></span> or PDC plays an important role in the MS 
-Windows NT3 and NT4 Domain Control architecture, but not in the manner that so many
-expect. The PDC seeds the Domain Control database (a part of the Windows registry) and
-it plays a key part in synchronisation of the domain authentication database. 
+This method involves the additions of the following parameters in the <tt class="filename">smb.conf</tt> file:
+</p><pre class="programlisting">
+        encrypt passwords = Yes
+        security = server
+        password server = &quot;NetBIOS_name_of_a_DC&quot;
+</pre><p>
+There are two ways of identifying whether or not a username and password pair was valid
+or not. One uses the reply information provided as part of the authentication messaging
+process, the other uses just an error code.
 </p><p>
-New to Samba-3.0.0 is the ability to use a back-end file that holds the same type of data as
-the NT4 style SAM (Security Account Manager) database (one of the registry files).
-The samba-3.0.0 SAM can be specified via the smb.conf file parameter &quot;passwd backend&quot; and
-valid options include <span class="emphasis"><em> smbpasswd tdbsam ldapsam nisplussam plugin unixsam</em></span>.
-The smbpasswd, tdbsam and ldapsam options can have a &quot;_nua&quot; suffix to indicate that No Unix
-Accounts need to be created. In other words, the Samba SAM will be independant of Unix/Linux
-system accounts, provided a uid range is defined from which SAM accounts can be created.
+The down-side of this mode of configuration is the fact that for security reasons Samba
+will send the password server a bogus username and a bogus password and if the remote
+server fails to reject the username and password pair then an alternative mode of
+identification of validation is used. Where a site uses password lock out after a
+certain number of failed authentication attempts this will result in user lockouts.
 </p><p>
-The <span class="emphasis"><em>Backup Domain Controller</em></span> or BDC plays a key role in servicing network
-authentication requests. The BDC is biased to answer logon requests so that on a network segment
-that has a BDC and a PDC the BDC will be most likely to service network logon requests. The PDC will
-answer network logon requests when the BDC is too busy (high load). A BDC can be promoted to
-a PDC. If the PDC is on line at the time that the BDC is promoted to PDC the previous PDC is
-automatically demoted to a BDC.
-</p><p>
-At this time Samba is NOT capable of acting as an <span class="emphasis"><em>ADS Domain Controller</em></span>.
-</p></div></div></div><div class="chapter" lang="en"><div class="titlepage"><div><h2 class="title"><a name="securitylevels"></a>Chapter 4. Samba as Stand-Alone Server</h2></div><div><div class="author"><h3 class="author">Andrew Tridgell</h3><div class="affiliation"><span class="orgname">Samba Team<br></span><div class="address"><p><tt>&lt;<a href="mailto:tridge@samba.org">tridge@samba.org</a>&gt;</tt></p></div></div></div></div><div><div class="author"><h3 class="author">Jelmer R. Vernooij</h3><div class="affiliation"><span class="orgname">The Samba Team<br></span><div class="address"><p><tt>&lt;<a href="mailto:jelmer@samba.org">jelmer@samba.org</a>&gt;</tt></p></div></div></div></div></div><div class="toc"><p><b>Table of Contents</b></p><dl><dt><a href="#id2859216">User and Share security level</a></dt><dd><dl><dt><a href="#id2859238">User Level Security</a></dt><dt><a href="#id2859720">Share Level Security</a></dt><dt><a href="#id2859774">Server Level Security</a></dt><dt><a href="#id2860095">Domain Level Security</a></dt><dt><a href="#id2860234">ADS Level Security</a></dt></dl></dd></dl></div><p>
-In this section the function and purpose of Samba's <span class="emphasis"><em>security</em></span>
-modes are described.
-</p><div class="sect1" lang="en"><div class="titlepage"><div><h2 class="title" style="clear: both"><a name="id2859216"></a>User and Share security level</h2></div></div><p>
-A SMB server tells the client at startup what &quot;security level&quot; it is
-running. There are two options &quot;share level&quot; and &quot;user level&quot;. Which
-of these two the client receives affects the way the client then tries
-to authenticate itself. It does not directly affect (to any great
-extent) the way the Samba server does security. I know this is
-strange, but it fits in with the client/server approach of SMB. In SMB
-everything is initiated and controlled by the client, and the server
-can only tell the client what is available and whether an action is
-allowed. 
-</p><div class="sect2" lang="en"><div class="titlepage"><div><h3 class="title"><a name="id2859238"></a>User Level Security</h3></div></div><p>
-I'll describe user level security first, as its simpler. In user level
-security the client will send a &quot;session setup&quot; command directly after
-the protocol negotiation. This contains a username and password. The
-server can either accept or reject that username/password
-combination. Note that at this stage the server has no idea what
-share the client will eventually try to connect to, so it can't base
-the &quot;accept/reject&quot; on anything other than:
-</p><div class="orderedlist"><ol type="1"><li><p>the username/password</p></li><li><p>the machine that the client is coming from</p></li></ol></div><p>
-If the server accepts the username/password then the client expects to
-be able to mount any share (using a &quot;tree connection&quot;) without
-specifying a password. It expects that all access rights will be as
-the username/password specified in the &quot;session setup&quot;. 
-</p><p>
-It is also possible for a client to send multiple &quot;session setup&quot;
-requests. When the server responds it gives the client a &quot;uid&quot; to use
-as an authentication tag for that username/password. The client can
-maintain multiple authentication contexts in this way (WinDD is an
-example of an application that does this)
-</p></div><div class="sect2" lang="en"><div class="titlepage"><div><h3 class="title"><a name="id2859720"></a>Share Level Security</h3></div></div><p>
-Ok, now for share level security. In share level security the client
-authenticates itself separately for each share. It will send a
-password along with each &quot;tree connection&quot; (share mount). It does not
-explicitly send a username with this operation. The client is
-expecting a password to be associated with each share, independent of
-the user. This means that samba has to work out what username the
-client probably wants to use. It is never explicitly sent the
-username. Some commercial SMB servers such as NT actually associate
-passwords directly with shares in share level security, but samba
-always uses the unix authentication scheme where it is a
-username/password that is authenticated, not a &quot;share/password&quot;.
-</p><p>
-Many clients send a &quot;session setup&quot; even if the server is in share
-level security. They normally send a valid username but no
-password. Samba records this username in a list of &quot;possible
-usernames&quot;. When the client then does a &quot;tree connection&quot; it also adds
-to this list the name of the share they try to connect to (useful for
-home directories) and any users listed in the <b>user =</b> <tt>smb.conf</tt>
-line. The password is then checked in turn against these &quot;possible
-usernames&quot;. If a match is found then the client is authenticated as
-that user.
-</p></div><div class="sect2" lang="en"><div class="titlepage"><div><h3 class="title"><a name="id2859774"></a>Server Level Security</h3></div></div><p>
-Finally &quot;server level&quot; security. In server level security the samba
-server reports to the client that it is in user level security. The
-client then does a &quot;session setup&quot; as described earlier. The samba
-server takes the username/password that the client sends and attempts
-to login to the &quot;password server&quot; by sending exactly the same
-username/password that it got from the client. If that server is in
-user level security and accepts the password then samba accepts the
-clients connection. This allows the samba server to use another SMB
-server as the &quot;password server&quot;. 
-</p><p>
-You should also note that at the very start of all this, where the
-server tells the client what security level it is in, it also tells
-the client if it supports encryption. If it does then it supplies the
-client with a random &quot;cryptkey&quot;. The client will then send all
-passwords in encrypted form. You have to compile samba with encryption
-enabled to support this feature, and you have to maintain a separate
-smbpasswd file with SMB style encrypted passwords. It is
-cryptographically impossible to translate from unix style encryption
-to SMB style encryption, although there are some fairly simple management
-schemes by which the two could be kept in sync.
-</p><p>
-&quot;security = server&quot; means that Samba reports to clients that
-it is running in &quot;user mode&quot; but actually passes off all authentication
-requests to another &quot;user mode&quot; server. This requires an additional
-parameter &quot;password server =&quot; that points to the real authentication server.
-That real authentication server can be another Samba server or can be a
-Windows NT server, the later natively capable of encrypted password support.
-</p><div class="note" style="margin-left: 0.5in; margin-right: 0.5in;"><h3 class="title">Note</h3><p>
-<span class="emphasis"><em>Server</em></span> level security is incompatible with what is known 
-as <span class="emphasis"><em>schannel</em></span> or &quot;sign and seal&quot; protocols. This means that
-if you want to use <span class="emphasis"><em>server</em></span> level security you must disable
-the use of &quot;sign and seal&quot; on all machines on your network.
-</p></div><div class="sect3" lang="en"><div class="titlepage"><div><h4 class="title"><a name="id2859859"></a>Configuring Samba for Seemless Windows Network Integration</h4></div></div><p>
-MS Windows clients may use encrypted passwords as part of a challenege/response
-authentication model (a.k.a. NTLMv1) or alone, or clear text strings for simple
-password based authentication. It should be realized that with the SMB protocol
+Use of this mode of authentication does require there to be a standard Unix account
+for the user, though this account can be blocked to prevent logons by non-SMB/CIFS clients.
+</p></div></div></div><div class="sect1" lang="en"><div class="titlepage"><div><div><h2 class="title" style="clear: both"><a name="id2872383"></a>Seamless Windows Network Integration</h2></div></div><div></div></div><p>
+MS Windows clients may use encrypted passwords as part of a challenge/response
+authentication model (a.k.a. NTLMv1 and NTLMv2) or alone, or clear text strings for simple
+password based authentication. It should be realized that with the SMB protocol,
 the password is passed over the network either in plain text or encrypted, but
 not both in the same authentication request.
 </p><p>
-When encrypted passwords are used a password that has been entered by the user
+When encrypted passwords are used, a password that has been entered by the user
 is encrypted in two ways:
 </p><div class="itemizedlist"><ul type="disc"><li><p>An MD4 hash of the UNICODE of the password
-       string.  This is known as the NT hash.
-       </p></li><li><p>The password is converted to upper case,
-       and then padded or trucated to 14 bytes.  This string is 
-       then appended with 5 bytes of NULL characters and split to
-       form two 56 bit DES keys to encrypt a &quot;magic&quot; 8 byte value.
-       The resulting 16 bytes for the LanMan hash.
-       </p></li></ul></div><p>
+        string.  This is known as the NT hash.
+        </p></li><li><p>The password is converted to upper case,
+        and then padded or truncated to 14 bytes.  This string is
+        then appended with 5 bytes of NULL characters and split to
+        form two 56 bit DES keys to encrypt a &quot;magic&quot; 8 byte value.
+        The resulting 16 bytes form the LanMan hash.
+        </p></li></ul></div><p>
 MS Windows 95 pre-service pack 1, MS Windows NT versions 3.x and version 4.0
 pre-service pack 3 will use either mode of password authentication. All
 versions of MS Windows that follow these versions no longer support plain
@@ -559,218 +701,365 @@ service connection mapping attempts to revalidate it will fail if the remote
 authentication server does not support encrypted passwords.  This means that it
 is definitely not a good idea to re-enable plain text password support in such clients.
 </p><p>
-The following parameters can be used to work around the issue of Windows 9x client
+The following parameters can be used to work around the issue of Windows 9x clients
 upper casing usernames and password before transmitting them to the SMB server
 when using clear text authentication.
 </p><pre class="programlisting">
-       <a href="smb.conf.5.html#PASSWORDLEVEL" target="_top">passsword level</a> = <i><tt>integer</tt></i>
-       <a href="smb.conf.5.html#USERNAMELEVEL" target="_top">username level</a> = <i><tt>integer</tt></i>
+        <a href="smb.conf.5.html#PASSWORDLEVEL" target="_top">password level</a> = <i class="replaceable"><tt>integer</tt></i>
+        <a href="smb.conf.5.html#USERNAMELEVEL" target="_top">username level</a> = <i class="replaceable"><tt>integer</tt></i>
 </pre><p>
 By default Samba will lower case the username before attempting to lookup the user
 in the database of local system accounts.  Because UNIX usernames conventionally
-only contain lower case character, the <i><tt>username level</tt></i> parameter
+only contain lower case character, the <i class="parameter"><tt>username level</tt></i> parameter
 is rarely needed.
 </p><p>
-However, passwords on UNIX systems often make use of mixed case characters. 
+However, passwords on UNIX systems often make use of mixed case characters.
 This means that in order for a user on a Windows 9x client to connect to a Samba
-server using clear text authentication, the <i><tt>password level</tt></i>
+server using clear text authentication, the <i class="parameter"><tt>password level</tt></i>
 must be set to the maximum number of upper case letter which <span class="emphasis"><em>could</em></span>
 appear is a password.  Note that the server OS uses the traditional DES version
-of crypt(), a <i><tt>password level</tt></i> of 8 will result in case
+of crypt(), a <i class="parameter"><tt>password level</tt></i> of 8 will result in case
 insensitive passwords as seen from Windows users.  This will also result in longer
-login times as Samba has to compute the permutations of the password string and 
+login times as Samba has to compute the permutations of the password string and
 try them one by one until a match is located (or all combinations fail).
 </p><p>
-The best option to adopt is to enable support for encrypted passwords 
-where ever Samba is used. There are three configuration possibilities 
-for support of encrypted passwords:
-</p></div><div class="sect3" lang="en"><div class="titlepage"><div><h4 class="title"><a name="id2860034"></a>Use MS Windows NT as an authentication server</h4></div></div><p>
-This method involves the additions of the following parameters in the <tt>smb.conf</tt> file:
-</p><pre class="programlisting">
-       encrypt passwords = Yes
-       security = server
-       password server = &quot;NetBIOS_name_of_PDC&quot;
-</pre><p>
-There are two ways of identifying whether or not a username and 
-password pair was valid or not. One uses the reply information provided 
-as part of the authentication messaging process, the other uses 
-just an error code.
-</p><p>
-The down-side of this mode of configuration is the fact that 
-for security reasons Samba will send the password server a bogus 
-username and a bogus password and if the remote server fails to 
-reject the username and password pair then an alternative mode 
-of identification of validation is used. Where a site uses password 
-lock out after a certain number of failed authentication attempts 
-this will result in user lockouts.
-</p><p>
-Use of this mode of authentication does require there to be 
-a standard Unix account for the user, this account can be blocked 
-to prevent logons by other than MS Windows clients.
-</p></div></div><div class="sect2" lang="en"><div class="titlepage"><div><h3 class="title"><a name="id2860095"></a>Domain Level Security</h3></div></div><p>
-When samba is operating in <span class="emphasis"><em>security = domain</em></span> mode this means that
-the Samba server has a domain security trust account (a machine account) and will cause
-all authentication requests to be passed through to the domain controllers.
-</p><div class="sect3" lang="en"><div class="titlepage"><div><h4 class="title"><a name="id2860115"></a>Samba as a member of an MS Windows NT security domain</h4></div></div><p>
-This method involves addition of the following parameters in the <tt>smb.conf</tt> file:
-</p><pre class="programlisting">
-       encrypt passwords = Yes
-       security = domain
-       workgroup = &quot;name of NT domain&quot;
-       password server = *
-</pre><p>
-The use of the &quot;*&quot; argument to <b>password server</b> will cause samba to locate the
-domain controller in a way analogous to the way this is done within MS Windows NT.
-This is the default behaviour.
-</p><p>
-In order for this method to work the Samba server needs to join the 
-MS Windows NT security domain. This is done as follows:
-</p><div class="itemizedlist"><ul type="disc"><li><p>On the MS Windows NT domain controller using 
-       the Server Manager add a machine account for the Samba server.
-       </p></li><li><p>Next, on the Linux system execute: 
-       <b>smbpasswd -r PDC_NAME -j DOMAIN_NAME</b> (samba 2.x)
-
-       <b>net join -U administrator%password</b>   (samba-3)
-       </p></li></ul></div><p>
-Use of this mode of authentication does require there to be a standard Unix account
-for the user in order to assign a uid once the account has been authenticated by
-the remote Windows DC.  This account can be blocked to prevent logons by clients other than
-MS Windows through things such as setting an invalid shell in the
-<tt>/etc/passwd</tt> entry. 
-</p><p>
-An alternative to assigning UIDs to Windows users on a Samba member server is
-presented in the <a href="#winbind" title="Chapter 15. Unified Logons between Windows NT and UNIX using Winbind">Winbind Overview</a> chapter
-in this HOWTO collection.
-</p></div></div><div class="sect2" lang="en"><div class="titlepage"><div><h3 class="title"><a name="id2860234"></a>ADS Level Security</h3></div></div><p>
-For information about the configuration option please refer to the entire section entitled
-<span class="emphasis"><em>Samba as an ADS Domain Member.</em></span>
-</p></div></div></div><div class="chapter" lang="en"><div class="titlepage"><div><h2 class="title"><a name="samba-pdc"></a>Chapter 5. 
-Samba as an NT4 or Win2k Primary Domain Controller
-</h2></div><div><div class="author"><h3 class="author">Gerald (Jerry) Carter</h3><div class="affiliation"><span class="orgname">Samba Team<br></span><div class="address"><p><tt>&lt;<a href="mailto:jerry@samba.org">jerry@samba.org</a>&gt;</tt></p></div></div></div></div><div><div class="author"><h3 class="author">John H. Terpstra</h3><div class="affiliation"><span class="orgname">Samba Team<br></span><div class="address"><p><tt>&lt;<a href="mailto:jht@samba.org">jht@samba.org</a>&gt;</tt></p></div></div></div></div><div><div class="author"><h3 class="author">David Bannon</h3><div class="affiliation"><span class="orgname">Samba Team<br></span><div class="address"><p><tt>&lt;<a href="mailto:dbannon@samba.org">dbannon@samba.org</a>&gt;</tt></p></div></div></div></div><div><p class="pubdate"> (26 Apr 2001) </p></div></div><div class="toc"><p><b>Table of Contents</b></p><dl><dt><a href="#id2859583">Prerequisite Reading</a></dt><dt><a href="#id2859607">
-Background
-</a></dt><dt><a href="#id2860563">Configuring the Samba Domain Controller</a></dt><dt><a href="#id2860863">Creating Machine Trust Accounts and Joining Clients to the Domain</a></dt><dd><dl><dt><a href="#id2861132">Manual Creation of Machine Trust Accounts</a></dt><dt><a href="#id2861366">&quot;On-the-Fly&quot; Creation of Machine Trust Accounts</a></dt><dt><a href="#id2861423">Joining the Client to the Domain</a></dt></dl></dd><dt><a href="#id2861529">Common Problems and Errors</a></dt><dd><dl><dt><a href="#id2861536">I cannot include a '$' in a machine name</a></dt><dt><a href="#id2861574">I get told &quot;You already have a connection to the Domain....&quot; 
+The best option to adopt is to enable support for encrypted passwords where ever
+Samba is used. Most attempts to apply the registry change to re-enable plain text
+passwords will eventually lead to user complaints and unhappiness.
+</p></div><div class="sect1" lang="en"><div class="titlepage"><div><div><h2 class="title" style="clear: both"><a name="id2872559"></a>Common Errors</h2></div></div><div></div></div><p>
+We all make mistakes. It is Ok to make mistakes, so long as they are made in the right places
+and at the right time. A mistake that causes lost productivity is seldom tolerated. A mistake
+made in a developmental test lab is expected.
+</p><p>
+Here we look at common mistakes and misapprehensions that have been the subject of discussions
+on the Samba mailing lists. Many of these are avoidable by doing you homework before attempting
+a Samba implementation. Some are the result of misunderstanding of the English language. The
+English language has many turns of phrase that are potentially vague and may be highly confusing
+to those for whom English is not their native tongue.
+</p><div class="sect2" lang="en"><div class="titlepage"><div><div><h3 class="title"><a name="id2872587"></a>What makes Samba a SERVER?</h3></div></div><div></div></div><p>
+To some the nature of the Samba <span class="emphasis"><em>security</em></span> mode is very obvious, but entirely
+wrong all the same. It is assumed that <i class="parameter"><tt>security = server</tt></i> means that Samba
+will act as a server. Not so! See above - this setting means that Samba will <span class="emphasis"><em>try</em></span>
+to use another SMB server as its source of user authentication alone.
+</p></div><div class="sect2" lang="en"><div class="titlepage"><div><div><h3 class="title"><a name="id2872620"></a>What makes Samba a Domain Controller?</h3></div></div><div></div></div><p>
+The <tt class="filename">smb.conf</tt> parameter <i class="parameter"><tt>security = domain</tt></i> does NOT really make Samba behave
+as a Domain Controller! This setting means we want Samba to be a domain member!
+</p></div><div class="sect2" lang="en"><div class="titlepage"><div><div><h3 class="title"><a name="id2872649"></a>What makes Samba a Domain Member?</h3></div></div><div></div></div><p>
+Guess! So many others do. But whatever you do, do NOT think that <i class="parameter"><tt>security = user</tt></i>
+makes Samba act as a domain member. Read the manufacturers manual before the warranty expires! See 
+the <a href="#domain-member" title="Chapter 7. Domain Membership">Domain Member</a> section of this Howto for more information.
+</p></div><div class="sect2" lang="en"><div class="titlepage"><div><div><h3 class="title"><a name="id2872682"></a>Constantly Losing Connections to Password Server</h3></div></div><div></div></div><p>
+Why does server_validate() simply give up rather than re-establishing its connection to the
+password server?  Though I am not fluent in the SMB protocol, perhaps the cluster server
+process passes along to its client workstation the session key it receives from the password
+server, which means the password hashes submitted by the client would not work on a subsequent
+connection, whose session key would be different.  So server_validate() must give up.
+</p><p>
+Indeed. That's why security = server is at best a nasty hack. Please use security = domain.
+<i class="parameter"><tt>security = server</tt></i> mode is also known as pass-through authentication.
+</p></div></div></div><div class="chapter" lang="en"><div class="titlepage"><div><div><h2 class="title"><a name="samba-pdc"></a>Chapter 5. Domain Control</h2></div><div><div class="author"><h3 class="author"><span class="firstname">John</span> <span class="othername">H.</span> <span class="surname">Terpstra</span></h3><div class="affiliation"><span class="orgname">Samba Team<br></span><div class="address"><p><tt class="email">&lt;<a href="mailto:jht@samba.org">jht@samba.org</a>&gt;</tt></p></div></div></div></div><div><div class="author"><h3 class="author"><span class="firstname">Gerald</span> <span class="othername">(Jerry)</span> <span class="surname">Carter</span></h3><div class="affiliation"><span class="orgname">Samba Team<br></span><div class="address"><p><tt class="email">&lt;<a href="mailto:jerry@samba.org">jerry@samba.org</a>&gt;</tt></p></div></div></div></div><div><div class="author"><h3 class="author"><span class="firstname">David</span> <span class="surname">Bannon</span></h3><div class="affiliation"><span class="orgname">Samba Team<br></span><div class="address"><p><tt class="email">&lt;<a href="mailto:dbannon@samba.org">dbannon@samba.org</a>&gt;</tt></p></div></div></div></div></div><div></div></div><div class="toc"><p><b>Table of Contents</b></p><dl><dt><a href="#id2874489">Features and Benefits</a></dt><dt><a href="#id2874793">Basics of Domain Control</a></dt><dd><dl><dt><a href="#id2874809">Domain Controller Types</a></dt><dt><a href="#id2875020">Preparing for Domain Control</a></dt></dl></dd><dt><a href="#id2875340">Domain Control - Example Configuration</a></dt><dt><a href="#id2875639">Samba ADS Domain Control</a></dt><dt><a href="#id2875661">Domain and Network Logon Configuration</a></dt><dd><dl><dt><a href="#id2875676">Domain Network Logon Service</a></dt><dt><a href="#id2876003">Security Mode and Master Browsers</a></dt></dl></dd><dt><a href="#id2876111">Common Problems and Errors</a></dt><dd><dl><dt><a href="#id2876118">I cannot include a '$' in a machine name</a></dt><dt><a href="#id2876157">I get told &quot;You already have a connection to the Domain....&quot; 
 or &quot;Cannot join domain, the credentials supplied conflict with an 
-existing set..&quot; when creating a machine trust account.</a></dt><dt><a href="#id2861621">The system can not log you on (C000019B)....</a></dt><dt><a href="#id2861672">The machine trust account for this computer either does not 
-exist or is not accessible.</a></dt><dt><a href="#id2861721">When I attempt to login to a Samba Domain from a NT4/W2K workstation,
-I get a message about my account being disabled.</a></dt></dl></dd><dt><a href="#id2861746">Domain Control for Windows 9x/ME</a></dt><dd><dl><dt><a href="#id2861910">Configuration Instructions:      Network Logons</a></dt></dl></dd></dl></div><div class="sect1" lang="en"><div class="titlepage"><div><h2 class="title" style="clear: both"><a name="id2859583"></a>Prerequisite Reading</h2></div></div><p>
-Before you continue reading in this chapter, please make sure 
-that you are comfortable with configuring basic files services
-in smb.conf and how to enable and administer password 
-encryption in Samba.  Theses two topics are covered in the
-<tt>smb.conf</tt> manpage.
-</p></div><div class="sect1" lang="en"><div class="titlepage"><div><h2 class="title" style="clear: both"><a name="id2859607"></a>
-Background
-</h2></div></div><p>
-This article outlines the steps necessary for configuring Samba as a PDC.
-It is necessary to have a working Samba server prior to implementing the
-PDC functionality.
+existing set..&quot; when creating a machine trust account.</a></dt><dt><a href="#id2876206">The system can not log you on (C000019B)....</a></dt><dt><a href="#id2876277">The machine trust account for this computer either does not 
+exist or is not accessible.</a></dt><dt><a href="#id2876340">When I attempt to login to a Samba Domain from a NT4/W2K workstation,
+I get a message about my account being disabled.</a></dt><dt><a href="#id2876367">Until a few minutes after Samba has started, clients get the error &quot;Domain Controller Unavailable&quot;</a></dt></dl></dd></dl></div><p><b><span class="emphasis"><em>The Essence of Learning:</em></span> </b>
+There are many who approach MS Windows networking with incredible misconceptions.
+That's OK, because it gives the rest of us plenty of opportunity to be of assistance.
+Those who really want help would be well advised to become familiar with information
+that is already available.
+</p><p>
+The reader is advised NOT to tackle this section without having first understood
+and mastered some basics. MS Windows networking is not particularly forgiving of
+misconfiguration. Users of MS Windows networking are likely to complain bitterly
+of persistent niggles that may be caused by broken network or system configuration.
+To a great many people however, MS Windows networking starts with a domain controller
+that in some magical way is expected to solve all ills.
+</p><p>
+From the Samba mailing list one can readily identify many common networking issues.
+If you are not clear on the following subjects, then it will do much good to read the 
+sections of this HOWTO that deal with it. These are the most common causes of MS Windows
+networking problems:
+</p><table class="simplelist" border="0" summary="Simple list"><tr><td>Basic TCP/IP configuration</td></tr><tr><td>NetBIOS name resolution</td></tr><tr><td>Authentication configuration</td></tr><tr><td>User and Group configuration</td></tr><tr><td>Basic File and Directory Permission Control in Unix/Linux</td></tr><tr><td>Understanding of how MS Windows clients interoperate in a network
+               environment</td></tr></table><p>
+Do not be put off; on the surface of it MS Windows networking seems so simple that any fool
+can do it. In fact, it is not a good idea to set up an MS Windows network with
+inadequate training and preparation. But let's get our first indelible principle out of the
+way: <span class="emphasis"><em>It is perfectly OK to make mistakes!</em></span> In the right place and at
+the right time, mistakes are the essence of learning. It is <span class="emphasis"><em>very much</em></span>
+not ok to make mistakes that cause loss of productivity and impose an avoidable financial
+burden on an organisation.
+</p><p>
+Where is the right place to make mistakes? Only out of harm's way! If you are going to
+make mistakes, then please do this on a test network, away from users and in such a way as
+to not inflict pain on others. Do your learning on a test network.
+</p><div class="sect1" lang="en"><div class="titlepage"><div><div><h2 class="title" style="clear: both"><a name="id2874489"></a>Features and Benefits</h2></div></div><div></div></div><p>
+<span class="emphasis"><em>What is the key benefit of Microsoft Domain security?</em></span>
+</p><p>
+In a word, <span class="emphasis"><em>Single Sign On</em></span>, or SSO for short. To many, this is the holy
+grail of MS Windows NT and beyond networking. SSO allows users in a well designed network
+to log onto any workstation that is a member of the domain that their user account is in
+(or in a domain that has an appropriate trust relationship with the domain they are visiting)
+and they will be able to log onto the network and access resources (shares, files, and printers)
+as if they are sitting at their home (personal) workstation. This is a feature of the Domain
+security protocols.
+</p><p>
+The benefits of Domain security are fully available to those sites that deploy a Samba PDC.
+</p><div class="note" style="margin-left: 0.5in; margin-right: 0.5in;"><h3 class="title">Note</h3><p>
+Network clients of an MS Windows Domain security environment must be Domain members to be
+able to gain access to the advanced features provided. Domain membership involves more than just
+setting the workgroup name to the Domain name. It requires the creation of a Domain trust account
+for the workstation (called a machine account). Please refer to the chapter on 
+<a href="#domain-member" title="Chapter 7. Domain Membership">Domain Membership</a> for more information.
+</p></div><p>
+The following functionalities are new to the Samba-3 release:
 </p><div class="itemizedlist"><ul type="disc"><li><p>
-       Domain logons for Windows NT 4.0 / 200x / XP Professional clients.
+       Windows NT4 domain trusts
        </p></li><li><p>
-       Placing Windows 9x / Me clients in user level security
+       Adding users via the User Manager for Domains. This can be done on any MS Windows
+       client using the Nexus toolkit that is available from Microsoft's web site.
+       At some later date Samba-3 may get support for the use of the Microsoft Management
+       Console for user management.
        </p></li><li><p>
-       Retrieving a list of users and groups from a Samba PDC to
-       Windows 9x / Me / NT / 200x / XP Professional clients
-       </p></li><li><p>
-       Roaming Profiles
-       </p></li><li><p>
-       Network/System Policies
-       </p></li></ul></div><div class="note" style="margin-left: 0.5in; margin-right: 0.5in;"><h3 class="title">Note</h3><p>
-Roaming Profiles and System/Network policies are advanced network administration topics
-that are covered separately in this document.
-</p></div><p>
-The following functionalities are new to the Samba 3.0 release:
-</p><div class="itemizedlist"><ul type="disc"><li><p>
-       Windows NT 4 domain trusts
+       Introduces replaceable and multiple user account (authentication)
+       back ends. In the case where the back end is placed in an LDAP database,
+       Samba-3 confers the benefits of a back end that can be distributed, replicated,
+       and is highly scalable.
        </p></li><li><p>
-       Adding users via the User Manager for Domains
+       Implements full Unicode support. This simplifies cross locale internationalisation
+       support. It also opens up the use of protocols that Samba-2.2.x had but could not use due
+       to the need to fully support Unicode.
        </p></li></ul></div><p>
-The following functionalities are NOT provided by Samba 3.0:
+The following functionalities are NOT provided by Samba-3:
 </p><div class="itemizedlist"><ul type="disc"><li><p>
-       SAM replication with Windows NT 4.0 Domain Controllers
+       SAM replication with Windows NT4 Domain Controllers
        (i.e. a Samba PDC and a Windows NT BDC or vice versa) 
        </p></li><li><p>
        Acting as a Windows 2000 Domain Controller (i.e. Kerberos and 
-       Active Directory)
+       Active Directory) - In point of fact, Samba-3 DOES have some
+       Active Directory Domain Control ability that is at this time
+       purely experimental <span class="emphasis"><em>AND</em></span> that is certain
+       to change as it becomes a fully supported feature some time
+       during the Samba-3 (or later) life cycle.
        </p></li></ul></div><p>
-Please note that Windows 9x / Me / XP Home clients are not true members of a domain
-for reasons outlined in this article.  Therefore the protocol for
-support of Windows 9x-style domain logons is completely different
-from NT4 / Win2k type domain logons and has been officially supported for some 
-time.
-</p><p><span class="emphasis"><em>
-MS Windows XP Home edition is NOT able to join a domain and does not permit
-the use of domain logons.</em></span>
+Windows 9x / Me / XP Home clients are not true members of a domain for reasons outlined
+in this chapter.  The protocol for support of Windows 9x / Me style network (domain) logons
+is completely different from NT4 / Win2k type domain logons and has been officially supported
+for some time. These clients use the old LanMan Network Logon facilities that are supported
+in Samba since approximately the Samba-1.9.15 series.
+</p><p>
+Samba-3 has an implementation of group mapping between Windows NT groups
+and Unix groups (this is really quite complicated to explain in a short space). This is 
+discussed more fully in the <a href="#groupmapping" title="Chapter 12. Mapping MS Windows and Unix Groups">Group Mapping</a> chapter.
+</p><p>
+Samba-3, like an MS Windows NT4 PDC or a Windows 200x Active Directory, needs to store
+user and machine trust account information in a suitable backend data store. With Samba-3
+there can be multiple back-ends for this including:
+</p><div class="itemizedlist"><ul type="disc"><li><p>
+       <span class="emphasis"><em>smbpasswd</em></span> - the plain ASCII file stored used by
+       earlier versions of Samba. This file configuration option requires
+       a Unix/Linux system account for EVERY entry (ie: both for user and for
+       machine accounts). This file will be located in the <span class="emphasis"><em>private</em></span>
+       directory (default is /usr/local/samba/lib/private or on linux /etc/samba).
+       </p></li><li><p>
+       <span class="emphasis"><em>tdbsam</em></span> - a binary database backend that will be
+       stored in the <span class="emphasis"><em>private</em></span> directory in a file called
+       <span class="emphasis"><em>passdb.tdb</em></span>. The key benefit of this binary format
+       file is that it can store binary objects that can not be accommodated
+       in the traditional plain text smbpasswd file. These permit the extended
+       account controls that MS Windows NT4 and later also have.
+       </p></li><li><p>
+       <span class="emphasis"><em>ldapsam</em></span> - An LDAP based back-end. Permits the
+       LDAP server to be specified. eg: ldap://localhost or ldap://frodo.murphy.com.
+       Like the tdbsam, ldapsam permits the storing of extended account attributes
+       for control of things like: Permitted access times, password activation and
+       expiry, permitted points of access (workstation names), per user profile
+       location, and much more.
+       </p></li><li><p>
+       <span class="emphasis"><em>ldapsam_compat</em></span> - An LDAP back-end that maintains backwards
+       compatibility with the behaviour of samba-2.2.x. You should use this in the process
+       of migrating from samba-2.2.x to samba-3 if you do not want to rebuild your LDAP
+       database.
+       </p></li></ul></div><p>
+Read the chapter about <a href="#passdb" title="Chapter 11. Account Information Databases">Account Information Database</a> for details
+regarding the choices available and how to configure them.
+</p><div class="note" style="margin-left: 0.5in; margin-right: 0.5in;"><h3 class="title">Note</h3><p>
+The new tdbsam and ldapsam account backends store substantially more information than
+smbpasswd is capable of. The new backend database includes capacity to specify
+per user settings for many parameters, over-riding global settings given in the
+<tt class="filename">smb.conf</tt> file. eg: logon drive, logon home, logon path, etc.
+Thus, with samba-3 it is possible to have a default system configuration for profiles,
+and on a per user basis to over-ride this for those users who should not be subject
+to the default configuration.
+</p></div></div><div class="sect1" lang="en"><div class="titlepage"><div><div><h2 class="title" style="clear: both"><a name="id2874793"></a>Basics of Domain Control</h2></div></div><div></div></div><p>
+Over the years, public perceptions of what Domain Control really is has taken on an
+almost mystical nature. Before we branch into a brief overview of Domain Control,
+there are three basic types of domain controllers:
+</p><div class="sect2" lang="en"><div class="titlepage"><div><div><h3 class="title"><a name="id2874809"></a>Domain Controller Types</h3></div></div><div></div></div><div class="itemizedlist"><ul type="disc"><li><p>Primary Domain Controller</p></li><li><p>Backup Domain Controller</p></li><li><p>ADS Domain Controller</p></li></ul></div><p>
+The <span class="emphasis"><em>Primary Domain Controller</em></span> or PDC plays an important role in the MS 
+Windows NT4 and Windows 200x Domain Control architecture, but not in the manner that so many
+expect. There is folk lore that dictates that because of it's role in the MS Windows
+network, the PDC should be the most powerful and most capable machine in the network.
+As strange as it may seem to say this here, good over all network performance dictates that
+the entire infrastructure needs to be balanced. It is advisable to invest more in the Backup
+Domain Controllers and Stand-Alone (or Domain Member) servers than in the PDC.
+</p><p>
+In the case of MS Windows NT4 style domains, it is the PDC seeds the Domain Control database,
+a part of the Windows registry called the SAM (Security Account Manager). It plays a key
+part in NT4 type domain user authentication and in synchronisation of the domain authentication
+database with Backup Domain Controllers. 
+</p><p>
+With MS Windows 200x Server based Active Directory domains, one domain controller seeds a potential
+hierarchy of domain controllers, each with their own area of delegated control. The master domain
+controller has the ability to override any down-stream controller, but a down-line controller has
+control only over it's down-line. With Samba-3 this functionality can be implemented using an
+LDAP based user and machine account back end.
+</p><p>
+New to Samba-3 is the ability to use a back-end database that holds the same type of data as
+the NT4 style SAM (Security Account Manager) database (one of the registry files).
+The Samba-3 SAM can be specified via the smb.conf file parameter
+<i class="parameter"><tt>passwd backend</tt></i> and valid options include
+<span class="emphasis"><em>smbpasswd, tdbsam, ldapsam, nisplussam, xmlsam, mysqlsam, guest</em></span>.
 </p><p>
-Implementing a Samba PDC can basically be divided into 3 broad
-steps.
-</p><div class="orderedlist"><ol type="1"><li><p>
-       Configuring the Samba PDC
+The <span class="emphasis"><em>Backup Domain Controller</em></span> or BDC plays a key role in servicing network
+authentication requests. The BDC is biased to answer logon requests in preference to the PDC.
+On a network segment that has a BDC and a PDC the BDC will be most likely to service network
+logon requests. The PDC will answer network logon requests when the BDC is too busy (high load).
+A BDC can be promoted to a PDC. If the PDC is on line at the time that a BDC is promoted to
+PDC, the previous PDC is automatically demoted to a BDC. With Samba-3 this is NOT an automatic
+operation; the PDC and BDC must be manually configured and changes need to be made likewise.
+</p><p>
+With MS Windows NT4, it is an install time decision what type of machine the server will be.
+It is possible to change the promote a BDC to a PDC and vice versa only, but the only way
+to convert a domain controller to a domain member server or a stand-alone server is to
+reinstall it. The install time choices offered are:
+</p><div class="itemizedlist"><ul type="disc"><li><p><span class="emphasis"><em>Primary Domain Controller</em></span> - The one that seeds the domain SAM</p></li><li><p><span class="emphasis"><em>Backup Domain Controller</em></span> - One that obtains a copy of the domain SAM</p></li><li><p><span class="emphasis"><em>Domain Member Server</em></span> - One that has NO copy of the domain SAM, rather it obtains authentication from a Domain Controller for all access controls.</p></li><li><p><span class="emphasis"><em>Stand-Alone Server</em></span> - One that plays NO part is SAM synchronisation, has it's own authentication database and plays no role in Domain security.</p></li></ul></div><p>
+With MS Windows 2000 the configuration of domain control is done after the server has been
+installed. Samba-3 is capable of acting fully as a native member of a Windows 200x server
+Active Directory domain.
+</p><p>
+New to Samba-3 is the ability to function fully as an MS Windows NT4 style Domain Controller,
+excluding the SAM replication components. However, please be aware that Samba-3 support the
+MS Windows 200x domain control protocols also.
+</p><p>
+At this time any appearance that Samba-3 is capable of acting as an
+<span class="emphasis"><em>ADS Domain Controller</em></span> is limited and experimental in nature.
+This functionality should not be used until the Samba-Team offers formal support for it.
+At such a time, the documentation will be revised to duly reflect all configuration and
+management requirements.
+</p></div><div class="sect2" lang="en"><div class="titlepage"><div><div><h3 class="title"><a name="id2875020"></a>Preparing for Domain Control</h3></div></div><div></div></div><p>
+There are two ways that MS Windows machines may interact with each other, with other servers,
+and with Domain Controllers: Either as <span class="emphasis"><em>Stand-Alone</em></span> systems, more commonly
+called <span class="emphasis"><em>Workgroup</em></span> members, or as full participants in a security system,
+more commonly called <span class="emphasis"><em>Domain</em></span> members.
+</p><p>
+It should be noted that <span class="emphasis"><em>Workgroup</em></span> membership involve no special configuration
+other than the machine being configured so that the network configuration has a commonly used name
+for it's workgroup entry. It is not uncommon for the name WORKGROUP to be used for this. With this
+mode of configuration there are NO machine trust accounts and any concept of membership as such
+is limited to the fact that all machines appear in the network neighbourhood to be logically
+grouped together. Again, just to be clear: <span class="emphasis"><em>workgroup mode does not involve any security machine 
+accounts</em></span>.
+</p><p>
+Domain member machines have a machine account in the Domain accounts database. A special procedure
+must be followed on each machine to affect Domain membership. This procedure, which can be done
+only by the local machine Administrator account, will create the Domain machine account (if
+if does not exist), and then initializes that account. When the client first logs onto the
+Domain it triggers a machine password change.
+</p><div class="note" style="margin-left: 0.5in; margin-right: 0.5in;"><h3 class="title">Note</h3><p>
+When running a Domain all MS Windows NT / 200x / XP Professional clients should be configured
+as full Domain Members - IF A SECURE NETWORK IS WANTED. If the machine is NOT made a member of the
+Domain, then it will operate like a workgroup (stand-alone) machine. Please refer the 
+<a href="#domain-member" title="Chapter 7. Domain Membership">Domain Membership</a> chapter for information regarding
+ HOW to make your MS Windows clients Domain members.
+</p></div><p>
+The following are necessary for configuring Samba-3 as an MS Windows NT4 style PDC for MS Windows
+NT4 / 200x / XP clients.
+</p><table class="simplelist" border="0" summary="Simple list"><tr><td>Configuration of basic TCP/IP and MS Windows Networking</td></tr><tr><td>Correct designation of the Server Role (<i class="parameter"><tt>security = user</tt></i>)</td></tr><tr><td>Consistent configuration of Name Resolution (See chapter on <a href="#NetworkBrowsing" title="Chapter 10. Samba / MS Windows Network Browsing Guide">Browsing</a> and on
+       <a href="#integrate-ms-networks" title="Chapter 26. Integrating MS Windows networks with Samba">MS Windows network Integration</a>)</td></tr><tr><td>Domain logons for Windows NT4 / 200x / XP Professional clients</td></tr><tr><td>Configuration of Roaming Profiles or explicit configuration to force local profile usage</td></tr><tr><td>Configuration of Network/System Policies</td></tr><tr><td>Adding and managing domain user accounts</td></tr><tr><td>Configuring MS Windows client machines to become domain members</td></tr></table><p>
+The following provisions are required to serve MS Windows 9x / Me Clients:
+</p><table class="simplelist" border="0" summary="Simple list"><tr><td>Configuration of basic TCP/IP and MS Windows Networking</td></tr><tr><td>Correct designation of the Server Role (<i class="parameter"><tt>security = user</tt></i>)</td></tr><tr><td>Network Logon Configuration (Since Windows 9x / XP Home are not technically domain
+       members, they do not really participate in  the security aspects of Domain logons as such)</td></tr><tr><td>Roaming Profile Configuration</td></tr><tr><td>Configuration of System Policy handling</td></tr><tr><td>Installation of the Network driver &quot;Client for MS Windows Networks&quot; and configuration
+       to log onto the domain</td></tr><tr><td>Placing Windows 9x / Me clients in user level security - if it is desired to allow
+       all client share access to be controlled according to domain user / group identities.</td></tr><tr><td>Adding and managing domain user accounts</td></tr></table><div class="note" style="margin-left: 0.5in; margin-right: 0.5in;"><h3 class="title">Note</h3><p>
+Roaming Profiles and System/Network policies are advanced network administration topics
+that are covered in the <a href="#ProfileMgmt" title="Chapter 24. Desktop Profile Management">Profile Management</a> and 
+<a href="#PolicyMgmt" title="Chapter 23. System and Account Policies">Policy Management</a> chapters of this document.  However, these are not necessarily specific
+to a Samba PDC as much as they are related to Windows NT networking concepts.
+</p></div><p>
+A Domain Controller is an SMB/CIFS server that:
+</p><div class="itemizedlist"><ul type="disc"><li><p>
+       Registers and advertises itself as a Domain Controller (through NetBIOS broadcasts
+       as well as by way of name registrations either by Mailslot Broadcasts over UDP broadcast,
+       to a WINS server over UDP unicast, or via DNS and Active Directory)
        </p></li><li><p>
-       Creating machine trust accounts and joining clients to the domain
+       Provides the NETLOGON service (actually a collection of services that runs over
+       a number of protocols. These include the LanMan Logon service, the Netlogon service,
+       the Local Security Account service, and variations of them)
        </p></li><li><p>
-       Adding and managing domain user accounts
-       </p></li></ol></div><p>
-There are other minor details such as user profiles, system
-policies, etc...  However, these are not necessarily specific
-to a Samba PDC as much as they are related to Windows NT networking
-concepts.
-</p></div><div class="sect1" lang="en"><div class="titlepage"><div><h2 class="title" style="clear: both"><a name="id2860563"></a>Configuring the Samba Domain Controller</h2></div></div><p>
-The first step in creating a working Samba PDC is to 
-understand the parameters necessary in smb.conf. Here we
-attempt to explain the parameters that are covered in
-the <tt>smb.conf</tt> man page.
-</p><p>
-Here is an example <tt>smb.conf</tt> for acting as a PDC:
+       Provides a share called NETLOGON
+       </p></li></ul></div><p>
+For Samba to provide these is rather easy to configure. Each Samba Domain Controller must provide
+the NETLOGON service which Samba calls the <span class="emphasis"><em>domain logons</em></span> functionality
+(after the name of the parameter in the <tt class="filename">smb.conf</tt> file). Additionally, one (1) server in a Samba-3
+Domain must advertise itself as the domain master browser. This causes the Primary Domain Controller
+to claim domain specific NetBIOS name that identifies it as a domain master browser for its given
+domain/workgroup. Local master browsers in the same domain/workgroup on broadcast-isolated subnets
+then ask for a complete copy of the browse list for the whole wide area network. Browser clients
+will then contact their local master browser, and will receive the domain-wide browse list,
+instead of just the list for their broadcast-isolated subnet.
+</p></div></div><div class="sect1" lang="en"><div class="titlepage"><div><div><h2 class="title" style="clear: both"><a name="id2875340"></a>Domain Control - Example Configuration</h2></div></div><div></div></div><p>
+The first step in creating a working Samba PDC is to understand the parameters necessary
+in <tt class="filename">smb.conf</tt>. Here we attempt to explain the parameters that are covered in
+the <tt class="filename">smb.conf</tt> man page.
+</p><p>
+Here is an example <tt class="filename">smb.conf</tt> for acting as a PDC:
 </p><pre class="programlisting">
-[global]
-    ; Basic server settings
-    <a href="smb.conf.5.html#NETBIOSNAME" target="_top">netbios name</a> = <i><tt>POGO</tt></i>
-    <a href="smb.conf.5.html#WORKGROUP" target="_top">workgroup</a> = <i><tt>NARNIA</tt></i>
-
-    ; User and Machine Account Backends
-    ; Choices are: tdbsam, tdbsam_nua, smbpasswd, smbpasswd_nua, ldapsam, ldapsam_nua, ...
-    ;              mysqlsam, xmlsam, guest
-    <a href="smb.conf.5.html#PASSDBBACKEND" target="_top">passdb backend</a> = ldapsam, guest
-
-    ; we should act as the domain and local master browser
-    <a href="smb.conf.5.html#OSLEVEL" target="_top">os level</a> = 64
-    <a href="smb.conf.5.html#PERFERREDMASTER" target="_top">preferred master</a> = yes
-    <a href="smb.conf.5.html#DOMAINMASTER" target="_top">domain master</a> = yes
-    <a href="smb.conf.5.html#LOCALMASTER" target="_top">local master</a> = yes
-    
-    ; security settings (must user security = user)
-    <a href="smb.conf.5.html#SECURITYEQUALSUSER" target="_top">security</a> = user
-    
-    ; encrypted passwords are a requirement for a PDC
-    <a href="smb.conf.5.html#ENCRYPTPASSWORDS" target="_top">encrypt passwords</a> = yes
-    
-    ; support domain logons
-    <a href="smb.conf.5.html#DOMAINLOGONS" target="_top">domain logons</a> = yes
-    
-    ; where to store user profiles?
-    <a href="smb.conf.5.html#LOGONPATH" target="_top">logon path</a> = \\%N\profiles\%u
-    
-    ; where is a user's home directory and where should it be mounted at?
-    <a href="smb.conf.5.html#LOGONDRIVE" target="_top">logon drive</a> = H:
-    <a href="smb.conf.5.html#LOGONHOME" target="_top">logon home</a> = \\homeserver\%u
-    
-    ; specify a generic logon script for all users
-    ; this is a relative **DOS** path to the [netlogon] share
-    <a href="smb.conf.5.html#LOGONSCRIPT" target="_top">logon script</a> = logon.cmd
-
-; necessary share for domain controller
-[netlogon]
-    <a href="smb.conf.5.html#PATH" target="_top">path</a> = /usr/local/samba/lib/netlogon
-    <a href="smb.conf.5.html#READONLY" target="_top">read only</a> = yes
-    <a href="smb.conf.5.html#WRITELIST" target="_top">write list</a> = <i><tt>ntadmin</tt></i>
-    
-; share for storing user profiles
-[profiles]
-    <a href="smb.conf.5.html#PATH" target="_top">path</a> = /export/smb/ntprofile
-    <a href="smb.conf.5.html#READONLY" target="_top">read only</a> = no
-    <a href="smb.conf.5.html#CREATEMASK" target="_top">create mask</a> = 0600
-    <a href="smb.conf.5.html#DIRECTORYMASK" target="_top">directory mask</a> = 0700
+       [global]
+           ; Basic server settings
+           <a href="smb.conf.5.html#NETBIOSNAME" target="_top">netbios name</a> = <i class="replaceable"><tt>POGO</tt></i>
+           <a href="smb.conf.5.html#WORKGROUP" target="_top">workgroup</a> = <i class="replaceable"><tt>NARNIA</tt></i>
+
+           ; User and Machine Account Backends
+           ; Choices are: tdbsam, smbpasswd, ldapsam, mysqlsam, xmlsam, guest
+           <a href="smb.conf.5.html#PASSDBBACKEND" target="_top">passdb backend</a> = ldapsam, guest
+
+           ; we should act as the domain and local master browser
+           <a href="smb.conf.5.html#OSLEVEL" target="_top">os level</a> = 64
+           <a href="smb.conf.5.html#PERFERREDMASTER" target="_top">preferred master</a> = yes
+           <a href="smb.conf.5.html#DOMAINMASTER" target="_top">domain master</a> = yes
+           <a href="smb.conf.5.html#LOCALMASTER" target="_top">local master</a> = yes
+           
+           ; security settings (must user security = user)
+           <a href="smb.conf.5.html#SECURITYEQUALSUSER" target="_top">security</a> = user
+           
+           ; encrypted passwords are a requirement for a PDC (default = Yes)
+           <a href="smb.conf.5.html#ENCRYPTPASSWORDS" target="_top">encrypt passwords</a> = yes
+           
+           ; support domain logons
+           <a href="smb.conf.5.html#DOMAINLOGONS" target="_top">domain logons</a> = yes
+           
+           ; where to store user profiles?
+           <a href="smb.conf.5.html#LOGONPATH" target="_top">logon path</a> = \\%N\profiles\%u
+           
+           ; where is a user's home directory and where should it be mounted at?
+           <a href="smb.conf.5.html#LOGONDRIVE" target="_top">logon drive</a> = H:
+           <a href="smb.conf.5.html#LOGONHOME" target="_top">logon home</a> = \\homeserver\%u\winprofile
+           
+           ; specify a generic logon script for all users
+           ; this is a relative **DOS** path to the [netlogon] share
+           <a href="smb.conf.5.html#LOGONSCRIPT" target="_top">logon script</a> = logon.cmd
+
+       ; necessary share for domain controller
+       [netlogon]
+           <a href="smb.conf.5.html#PATH" target="_top">path</a> = /usr/local/samba/lib/netlogon
+           <a href="smb.conf.5.html#READONLY" target="_top">read only</a> = yes
+           <a href="smb.conf.5.html#WRITELIST" target="_top">write list</a> = <i class="replaceable"><tt>ntadmin</tt></i>
+           
+       ; share for storing user profiles
+       [profiles]
+           <a href="smb.conf.5.html#PATH" target="_top">path</a> = /export/smb/ntprofile
+           <a href="smb.conf.5.html#READONLY" target="_top">read only</a> = no
+           <a href="smb.conf.5.html#CREATEMASK" target="_top">create mask</a> = 0600
+           <a href="smb.conf.5.html#DIRECTORYMASK" target="_top">directory mask</a> = 0700
 </pre><div class="note" style="margin-left: 0.5in; margin-right: 0.5in;"><h3 class="title">Note</h3><p>
 The above parameters make for a full set of parameters that may define the server's mode
 of operation. The following parameters are the essentials alone:
@@ -778,6 +1067,7 @@ of operation. The following parameters are the essentials alone:
 </p><pre class="programlisting">
        workgroup = NARNIA
        domain logons = Yes
+       domain master = Yes
        security = User
 </pre><p>
 
@@ -787,283 +1077,95 @@ more complete environment.
 There are a couple of points to emphasize in the above configuration.
 </p><div class="itemizedlist"><ul type="disc"><li><p>
        Encrypted passwords must be enabled.  For more details on how 
-       to do this, refer to <a href="#passdb" title="Chapter 10. User information database">the User Database chapter</a>.
+       to do this, refer to <a href="#passdb" title="Chapter 11. Account Information Databases">Account Information Database chapter</a>.
        </p></li><li><p>
-       The server must support domain logons and a
-       <tt>[netlogon]</tt> share
+       The server must support domain logons and have a
+       <i class="parameter"><tt>[netlogon]</tt></i> share
        </p></li><li><p>
        The server must be the domain master browser in order for Windows 
        client to locate the server as a DC.  Please refer to the various 
        Network Browsing documentation included with this distribution for 
        details.
-       </p></li></ul></div><p>
-Samba 3.0 offers a complete implementation of group mapping
-between Windows NT groups and Unix groups (this is really quite
-complicated to explain in a short space).
-</p></div><div class="sect1" lang="en"><div class="titlepage"><div><h2 class="title" style="clear: both"><a name="id2860863"></a>Creating Machine Trust Accounts and Joining Clients to the Domain</h2></div></div><p>
-A machine trust account is a Samba account that is used to
-authenticate a client machine (rather than a user) to the Samba
-server.  In Windows terminology, this is known as a &quot;Computer
-Account.&quot;</p><p>
-The password of a machine trust account acts as the shared secret for
-secure communication with the Domain Controller.  This is a security
-feature to prevent an unauthorized machine with the same NetBIOS name
-from joining the domain and gaining access to domain user/group
-accounts.  Windows NT, 200x, XP Professional clients use machine trust
-accounts, but Windows 9x / Me / XP Home clients do not.  Hence, a
-Windows 9x / Me / XP Home  client is never a true member of a domain
-because it does not possess a machine trust account, and thus has no
-shared secret with the domain controller.
-</p><p>A Windows PDC stores each machine trust account in the Windows
-Registry. A Samba-3 PDC also has to store machine trust account information
-in a suitable backend data store. With Samba-3 there can be multiple back-ends
-for this including:
-</p><div class="itemizedlist"><ul type="disc"><li><p>
-       <span class="emphasis"><em>smbpasswd</em></span> - the plain ascii file stored used by
-       earlier versions of Samba. This file configuration option requires
-       a Unix/Linux system account for EVERY entry (ie: both for user and for
-       machine accounts). This file will be located in the <span class="emphasis"><em>private</em></span>
-       directory (default is /usr/local/samba/lib/private or on linux /etc/samba).
-       </p></li><li><p>
-       <span class="emphasis"><em>smbpasswd_nua</em></span> - This file is independant of the
-       system wide user accounts. The use of this back-end option requires
-       specification of the &quot;non unix account range&quot; option also. It is called
-       smbpasswd and will be located in the <tt>private</tt> directory.
-       </p></li><li><p>
-       <span class="emphasis"><em>tdbsam</em></span> - a binary database backend that will be
-       stored in the <span class="emphasis"><em>private</em></span> directory in a file called
-       <span class="emphasis"><em>passwd.tdb</em></span>. The key benefit of this binary format
-       file is that it can store binary objects that can not be accomodated
-       in the traditional plain text smbpasswd file.
-       </p></li><li><p>
-       <span class="emphasis"><em>tdbsam_nua</em></span> like the smbpasswd_nua option above, this
-       file allows the creation of arbitrary user and machine accounts without
-       requiring that account to be added to the system (/etc/passwd) file. It
-       too requires the specification of the &quot;non unix account range&quot; option
-       in the [globals] section of the <tt>smb.conf</tt> file.
-       </p></li><li><p>
-       <span class="emphasis"><em>ldapsam</em></span> - An LDAP based back-end. Permits the
-       LDAP server to be specified. eg: ldap://localhost or ldap://frodo.murphy.com
-       </p></li><li><p>
-       <span class="emphasis"><em>ldapsam_nua</em></span> - LDAP based back-end with no unix
-       account requirement, like smbpasswd_nua and tdbsam_nua above.
-       </p></li></ul></div><p>Read the chapter about the <a href="#passdb" title="Chapter 10. User information database">User Database</a> 
-for details.</p><div class="note" style="margin-left: 0.5in; margin-right: 0.5in;"><h3 class="title">Note</h3><p>
-The new tdbsam and ldapsam account backends store vastly more information than
-smbpasswd is capable of. The new backend database includes capacity to specify
-per user settings for many parameters, over-riding global settings given in the
-<tt>smb.conf</tt> file. eg: logon drive, logon home, logon path, etc.
-</p></div><p>
-A Samba PDC, however, stores each machine trust account in two parts,
-as follows:
+       </p></li></ul></div></div><div class="sect1" lang="en"><div class="titlepage"><div><div><h2 class="title" style="clear: both"><a name="id2875639"></a>Samba ADS Domain Control</h2></div></div><div></div></div><p>
+Samba-3 is not and can not act as an Active Directory Server. It can not truly function as
+an Active Directory Primary Domain Controller. The protocols for some of the functionality
+the Active Directory Domain Controllers is have been partially implemented on an experimental
+only basis. Please do NOT expect Samba-3 to support these protocols - nor should you depend
+on any such functionality either now or in the future. The Samba-Team may well remove such
+experimental features or may change their behaviour.
+</p></div><div class="sect1" lang="en"><div class="titlepage"><div><div><h2 class="title" style="clear: both"><a name="id2875661"></a>Domain and Network Logon Configuration</h2></div></div><div></div></div><p>
+The subject of Network or Domain Logons is discussed here because it rightly forms
+an integral part of the essential functionality that is provided by a Domain Controller.
+</p><div class="sect2" lang="en"><div class="titlepage"><div><div><h3 class="title"><a name="id2875676"></a>Domain Network Logon Service</h3></div></div><div></div></div><p>
+All Domain Controllers must run the netlogon service (<span class="emphasis"><em>domain logons</em></span>
+in Samba). One Domain Controller must be configured with <i class="parameter"><tt>domain master = Yes</tt></i>
+(the Primary Domain Controller); on ALL Backup Domain Controllers <i class="parameter"><tt>domain master = No</tt></i>
+must be set.
+</p><div class="sect3" lang="en"><div class="titlepage"><div><div><h4 class="title"><a name="id2875709"></a>Example Configuration</h4></div></div><div></div></div><pre class="programlisting">
+       [global]
+               domain logons = Yes
+               domain master = (Yes on PDC, No on BDCs)
 
-</p><div class="itemizedlist"><ul type="disc"><li><p>A Samba account, stored in the same location as user
-    LanMan and NT password hashes (currently
-    <tt>smbpasswd</tt>). The Samba account 
-    possesses and uses only the NT password hash.</p></li><li><p>A corresponding Unix account, typically stored in
-    <tt>/etc/passwd</tt>. (Future releases will alleviate the need to
-    create <tt>/etc/passwd</tt> entries.) </p></li></ul></div><p>
-</p><p>
-There are two ways to create machine trust accounts:
-</p><div class="itemizedlist"><ul type="disc"><li><p> Manual creation. Both the Samba and corresponding
-       Unix account are created by hand.</p></li><li><p> &quot;On-the-fly&quot; creation. The Samba machine trust
-       account is automatically created by Samba at the time the client
-       is joined to the domain. (For security, this is the
-       recommended method.) The corresponding Unix account may be
-       created automatically or manually. </p></li></ul></div><div class="sect2" lang="en"><div class="titlepage"><div><h3 class="title"><a name="id2861132"></a>Manual Creation of Machine Trust Accounts</h3></div></div><p>
-The first step in manually creating a machine trust account is to
-manually create the corresponding Unix account in
-<tt>/etc/passwd</tt>.  This can be done using
-<b>vipw</b> or other 'add user' command that is normally
-used to create new Unix accounts.  The following is an example for a
-Linux based Samba server:
-</p><p>
-  <tt>root# </tt><b>/usr/sbin/useradd -g 100 -d /dev/null -c <i><tt>&quot;machine 
-nickname&quot;</tt></i> -s /bin/false <i><tt>machine_name</tt></i>$ </b>
-</p><p>
-<tt>root# </tt><b>passwd -l <i><tt>machine_name</tt></i>$</b>
-</p><p>On *BSD systems, this can be done using the 'chpass' utility:</p><p>
-<tt>root# </tt><b>chpass -a &quot;<i><tt>machine_name</tt></i>$:*:101:100::0:0:Workstation <i><tt>machine_name</tt></i>:/dev/null:/sbin/nologin&quot;</b>
-</p><p>
-The <tt>/etc/passwd</tt> entry will list the machine name 
-with a &quot;$&quot; appended, won't have a password, will have a null shell and no 
-home directory. For example a machine named 'doppy' would have an 
-<tt>/etc/passwd</tt> entry like this:
-</p><pre class="programlisting">
-doppy$:x:505:501:<i><tt>machine_nickname</tt></i>:/dev/null:/bin/false
-</pre><p>
-Above, <i><tt>machine_nickname</tt></i> can be any
-descriptive name for the client, i.e., BasementComputer.
-<i><tt>machine_name</tt></i> absolutely must be the NetBIOS
-name of the client to be joined to the domain.  The &quot;$&quot; must be
-appended to the NetBIOS name of the client or Samba will not recognize
-this as a machine trust account.
+       [netlogon]
+               comment = Network Logon Service
+               path = /var/lib/samba/netlogon
+               guest ok = Yes
+               browseable = No
+</pre></div><div class="sect3" lang="en"><div class="titlepage"><div><div><h4 class="title"><a name="id2875729"></a>The Special Case of MS Windows XP Home Edition</h4></div></div><div></div></div><div class="note" style="margin-left: 0.5in; margin-right: 0.5in;"><h3 class="title">Note</h3><p>
+MS Windows XP Home Edition does not have the ability to join any type of Domain
+security facility. Unlike, MS Windows 9x / Me, MS Windows XP Home Edition also completely
+lacks the ability to log onto a network.
+</p></div><p>
+To be completely clear: If you want MS Windows XP Home Edition to integrate with your
+MS Windows NT4 or Active Directory Domain security understand - IT CAN NOT BE DONE.
+Your only choice is to buy the upgrade pack from MS Windows XP Home Edition to
+MS Windows XP Professional.
+</p><p>
+Now that this has been said, please do NOT ask the mailing list, or email any of the
+Samba-Team members with your questions asking how to make this work. It can't be done.
+</p></div><div class="sect3" lang="en"><div class="titlepage"><div><div><h4 class="title"><a name="id2875765"></a>The Special Case of Windows 9x / Me</h4></div></div><div></div></div><p>
+A domain and a workgroup are exactly the same thing in terms of network
+browsing.  The difference is that a distributable authentication
+database is associated with a domain, for secure login access to a
+network.  Also, different access rights can be granted to users if they
+successfully authenticate against a domain logon server. Samba-3 does this
+now in the same way that MS Windows NT/2K.
 </p><p>
-Now that the corresponding Unix account has been created, the next step is to create 
-the Samba account for the client containing the well-known initial 
-machine trust account password.  This can be done using the <a href="smbpasswd.8.html" target="_top"><b>smbpasswd(8)</b></a> command 
-as shown here:
+The SMB client logging on to a domain has an expectation that every other
+server in the domain should accept the same authentication information.
+Network browsing functionality of domains and workgroups is identical and
+is explained in this documentation under the browsing discussions.
+It should be noted, that browsing is totally orthogonal to logon support.
 </p><p>
-<tt>root# </tt><b><tt>smbpasswd -a -m <i><tt>machine_name</tt></i></tt></b>
+Issues related to the single-logon network model are discussed in this
+section.  Samba supports domain logons, network logon scripts, and user
+profiles for MS Windows for workgroups and MS Windows 9X/ME clients
+which are the focus of this section.
 </p><p>
-where <i><tt>machine_name</tt></i> is the machine's NetBIOS
-name.  The RID of the new machine account is generated from the UID of 
-the corresponding Unix account.
-</p><div class="warning" style="margin-left: 0.5in; margin-right: 0.5in;"><h3 class="title">Join the client to the domain immediately</h3><p>
-       Manually creating a machine trust account using this method is the 
-       equivalent of creating a machine trust account on a Windows NT PDC using 
-       the &quot;Server Manager&quot;.  From the time at which the account is created
-       to the time which the client joins the domain and changes the password,
-       your domain is vulnerable to an intruder joining your domain using
-       a machine with the same NetBIOS name.  A PDC inherently trusts
-       members of the domain and will serve out a large degree of user 
-       information to such clients.  You have been warned!
-       </p></div></div><div class="sect2" lang="en"><div class="titlepage"><div><h3 class="title"><a name="id2861366"></a>&quot;On-the-Fly&quot; Creation of Machine Trust Accounts</h3></div></div><p>
-The second (and recommended) way of creating machine trust accounts is
-simply to allow the Samba server to create them as needed when the client
-is joined to the domain. </p><p>Since each Samba machine trust account requires a corresponding
-Unix account, a method for automatically creating the
-Unix account is usually supplied; this requires configuration of the
-<a href="smb.conf.5.html#ADDUSERSCRIPT" target="_top">add user script</a> 
-option in <tt>smb.conf</tt>.  This
-method is not required, however; corresponding Unix accounts may also
-be created manually.
-</p><p>Below is an example for a RedHat 6.2 Linux system.
-</p><pre class="programlisting">
-[global]
-   # &lt;...remainder of parameters...&gt;
-   add user script = /usr/sbin/useradd -d /dev/null -g 100 -s /bin/false -M %u 
-</pre></div><div class="sect2" lang="en"><div class="titlepage"><div><h3 class="title"><a name="id2861423"></a>Joining the Client to the Domain</h3></div></div><p>
-The procedure for joining a client to the domain varies with the
-version of Windows.
-</p><div class="itemizedlist"><ul type="disc"><li><p><span class="emphasis"><em>Windows 2000</em></span></p><p>
-       When the user elects to join the client to a domain, Windows prompts for
-       an account and password that is privileged to join the domain. A Samba administrative
-       account (i.e., a Samba account that has root privileges on the Samba server) must be
-       entered here; the operation will fail if an ordinary user account is given. 
-       The password for this account should be set to a different password than the associated
-       <tt>/etc/passwd</tt> entry, for security reasons.
-       </p><p>
-       The session key of the Samba administrative account acts as an
-       encryption key for setting the password of the machine trust
-       account. The machine trust account will be created on-the-fly, or
-       updated if it already exists.
-       </p></li><li><p><span class="emphasis"><em>Windows NT</em></span></p><p> If the machine trust account was created manually, on the
-       Identification Changes menu enter the domain name, but do not
-       check the box &quot;Create a Computer Account in the Domain.&quot;  In this case,
-       the existing machine trust account is used to join the machine to
-       the domain.</p><p> If the machine trust account is to be created
-       on-the-fly, on the Identification Changes menu enter the domain
-       name, and check the box &quot;Create a Computer Account in the Domain.&quot;  In
-       this case, joining the domain proceeds as above for Windows 2000
-       (i.e., you must supply a Samba administrative account when
-       prompted).</p></li><li><p><span class="emphasis"><em>Samba</em></span></p><p>Joining a samba client to a domain is documented in 
-       the <a href="#domain-member" title="Chapter 8. Samba as a NT4 or Win2k domain member">Domain Member</a> chapter.
-</p></li></ul></div></div></div><div class="sect1" lang="en"><div class="titlepage"><div><h2 class="title" style="clear: both"><a name="id2861529"></a>Common Problems and Errors</h2></div></div><div class="sect2" lang="en"><div class="titlepage"><div><h3 class="title"><a name="id2861536"></a>I cannot include a '$' in a machine name</h3></div></div><p>
-A 'machine name' in (typically) <tt>/etc/passwd</tt>   
-of the machine name with a '$' appended. FreeBSD (and other BSD 
-systems?) won't create a user with a '$' in their name.
-</p><p>
-The problem is only in the program used to make the entry. Once made, it works perfectly.
-Create a user without the '$' using <b>vipw</b> to edit the entry, adding
-the '$'. Or create the whole entry with vipw if you like, make sure you use a unique User ID!
-</p></div><div class="sect2" lang="en"><div class="titlepage"><div><h3 class="title"><a name="id2861574"></a>I get told &quot;You already have a connection to the Domain....&quot; 
-or &quot;Cannot join domain, the credentials supplied conflict with an 
-existing set..&quot; when creating a machine trust account.</h3></div></div><p>
-This happens if you try to create a machine trust account from the 
-machine itself and already have a connection (e.g. mapped drive) 
-to a share (or IPC$) on the Samba PDC.  The following command
-will remove all network drive connections:
-</p><p>
-<tt>C:\WINNT\&gt;</tt> <b>net use * /d</b>
-</p><p>
-Further, if the machine is already a 'member of a workgroup' that 
-is the same name as the domain you are joining (bad idea) you will 
-get this message.  Change the workgroup name to something else, it 
-does not matter what, reboot, and try again.
-</p></div><div class="sect2" lang="en"><div class="titlepage"><div><h3 class="title"><a name="id2861621"></a>The system can not log you on (C000019B)....</h3></div></div><p>I joined the domain successfully but after upgrading 
-to a newer version of the Samba code I get the message, &quot;The system 
-can not log you on (C000019B), Please try again or consult your 
-system administrator&quot; when attempting to logon.
-</p><p>
-This occurs when the domain SID stored in the secrets.tdb database
-is changed. The most common cause of a change in domain SID is when
-the domain name and/or the server name (netbios name) is changed.
-The only way to correct the problem is to restore the original domain 
-SID or remove the domain client from the domain and rejoin. The domain
-SID may be reset using either the net or rpcclient utilities.
-</p><p>
-The reset or change the domain SID you can use the net command as follows:
-
-</p><pre class="programlisting">
-       net getlocalsid 'OLDNAME'
-       net setlocalsid 'SID'
-</pre><p>
-</p></div><div class="sect2" lang="en"><div class="titlepage"><div><h3 class="title"><a name="id2861672"></a>The machine trust account for this computer either does not 
-exist or is not accessible.</h3></div></div><p>
-When I try to join the domain I get the message &quot;The machine account 
-for this computer either does not exist or is not accessible&quot;. What's 
-wrong?
-</p><p>
-This problem is caused by the PDC not having a suitable machine trust account. 
-If you are using the <i><tt>add user script</tt></i> method to create 
-accounts then this would indicate that it has not worked. Ensure the domain 
-admin user system is working.
-</p><p>
-Alternatively if you are creating account entries manually then they 
-have not been created correctly. Make sure that you have the entry 
-correct for the machine trust account in smbpasswd file on the Samba PDC. 
-If you added the account using an editor rather than using the smbpasswd 
-utility, make sure that the account name is the machine NetBIOS name 
-with a '$' appended to it ( i.e. computer_name$ ). There must be an entry 
-in both /etc/passwd and the smbpasswd file. Some people have reported 
-that inconsistent subnet masks between the Samba server and the NT 
-client have caused this problem.   Make sure that these are consistent 
-for both client and server.
-</p></div><div class="sect2" lang="en"><div class="titlepage"><div><h3 class="title"><a name="id2861721"></a>When I attempt to login to a Samba Domain from a NT4/W2K workstation,
-I get a message about my account being disabled.</h3></div></div><p>
-At first be ensure to enable the useraccounts with <b>smbpasswd -e 
-%user%</b>, this is normally done, when you create an account.
-</p></div></div><div class="sect1" lang="en"><div class="titlepage"><div><h2 class="title" style="clear: both"><a name="id2861746"></a>Domain Control for Windows 9x/ME</h2></div></div><p>
-A domain and a workgroup are exactly the same thing in terms of network
-browsing.  The difference is that a distributable authentication
-database is associated with a domain, for secure login access to a
-network.  Also, different access rights can be granted to users if they
-successfully authenticate against a domain logon server. Samba-3 does this
-now in the same way that MS Windows NT/2K.
-</p><p>
-The SMB client logging on to a domain has an expectation that every other
-server in the domain should accept the same authentication information.
-Network browsing functionality of domains and workgroups is identical and
-is explained in this documentation under the browsing discussions.
-It should be noted, that browsing is totally orthogonal to logon support.
-</p><p>
-Issues related to the single-logon network model are discussed in this
-section.  Samba supports domain logons, network logon scripts, and user
-profiles for MS Windows for workgroups and MS Windows 9X/ME clients
-which are the focus of this section.
-</p><p>
-When an SMB client in a domain wishes to logon it broadcast requests for a
-logon server.  The first one to reply gets the job, and validates its
-password using whatever mechanism the Samba administrator has installed.
-It is possible (but very stupid) to create a domain where the user
-database is not shared between servers, i.e. they are effectively workgroup
-servers advertising themselves as participating in a domain.  This
-demonstrates how authentication is quite different from but closely
-involved with domains.
+When an SMB client in a domain wishes to logon, it broadcasts requests for a
+logon server.  The first one to reply gets the job, and validates its
+password using whatever mechanism the Samba administrator has installed.
+It is possible (but very stupid) to create a domain where the user
+database is not shared between servers, i.e. they are effectively workgroup
+servers advertising themselves as participating in a domain.  This
+demonstrates how authentication is quite different from but closely
+involved with domains.
 </p><p>
 Using these features you can make your clients verify their logon via
 the Samba server; make clients run a batch file when they logon to
 the network and download their preferences, desktop and start menu.
-</p><p>
+</p><p><span class="emphasis"><em>
+MS Windows XP Home edition is NOT able to join a domain and does not permit
+the use of domain logons.
+</em></span></p><p>
 Before launching into the configuration instructions, it is 
 worthwhile to look at how a Windows 9x/ME client performs a logon:
 </p><div class="orderedlist"><ol type="1"><li><p>
        The client broadcasts (to the IP broadcast address of the subnet it is in)
-       a NetLogon request. This is sent to the NetBIOS name DOMAIN&lt;1c&gt; at the
+       a NetLogon request. This is sent to the NetBIOS name DOMAIN&lt;#1c&gt; at the
        NetBIOS layer.  The client chooses the first response it receives, which
        contains the NetBIOS name of the logon server to use in the format of 
-       \\SERVER.
+       <tt class="filename">\\SERVER</tt>.
        </p></li><li><p>
        The client then connects to that server, logs on (does an SMBsessetupX) and
        then connects to the IPC$ share (using an SMBtconX).
@@ -1071,383 +1173,1150 @@ worthwhile to look at how a Windows 9x/ME client performs a logon:
        The client then does a NetWkstaUserLogon request, which retrieves the name
        of the user's logon script. 
        </p></li><li><p>
-       The client then connects to the NetLogon share and searches for this    
+       The client then connects to the NetLogon share and searches for said script     
        and if it is found and can be read, is retrieved and executed by the client.
        After this, the client disconnects from the NetLogon share.
        </p></li><li><p>
        The client then sends a NetUserGetInfo request to the server, to retrieve
        the user's home share, which is used to search for profiles. Since the
-       response to the NetUserGetInfo request does not contain much more then  
+       response to the NetUserGetInfo request does not contain much more than  
        the user's home share, profiles for Win9X clients MUST reside in the user
        home directory.
        </p></li><li><p>
        The client then connects to the user's home share and searches for the 
        user's profile. As it turns out, you can specify the user's home share as
-       a sharename and path. For example, \\server\fred\.profile.
+       a sharename and path. For example, <tt class="filename">\\server\fred\.winprofile</tt>.
        If the profiles are found, they are implemented.
        </p></li><li><p>
        The client then disconnects from the user's home share, and reconnects to
-       the NetLogon share and looks for CONFIG.POL, the policies file. If this is
+       the NetLogon share and looks for <tt class="filename">CONFIG.POL</tt>, the policies file. If this is
        found, it is read and implemented.
-       </p></li></ol></div><div class="sect2" lang="en"><div class="titlepage"><div><h3 class="title"><a name="id2861910"></a>Configuration Instructions:      Network Logons</h3></div></div><p>
-The main difference between a PDC and a Windows 9x logon 
-server configuration is that
+       </p></li></ol></div><p>
+The main difference between a PDC and a Windows 9x logon server configuration is that
 </p><div class="itemizedlist"><ul type="disc"><li><p>
-Password encryption is not required for a Windows 9x logon server.
-</p></li><li><p>
-Windows 9x/ME clients do not possess machine trust accounts.
-</p></li></ul></div><p>
-Therefore, a Samba PDC will also act as a Windows 9x logon 
-server.
-</p><div class="warning" style="margin-left: 0.5in; margin-right: 0.5in;"><h3 class="title">security mode and master browsers</h3><p>
+       Password encryption is not required for a Windows 9x logon server. But note
+       that beginning with MS Windows 98 the default setting is that plain-text
+       password support has been disabled. It can be re-enabled with the registry
+       changes that are documented in the chapter on Policies.
+       </p></li><li><p>
+       Windows 9x/ME clients do not require and do not use machine trust accounts.
+       </p></li></ul></div><p>
+A Samba PDC will act as a Windows 9x logon server; after all, it does provide the
+network logon services that MS Windows 9x / Me expect to find.
+</p></div></div><div class="sect2" lang="en"><div class="titlepage"><div><div><h3 class="title"><a name="id2876003"></a>Security Mode and Master Browsers</h3></div></div><div></div></div><p>
 There are a few comments to make in order to tie up some 
 loose ends.  There has been much debate over the issue of whether
 or not it is ok to configure Samba as a Domain Controller in security
-modes other than <tt>USER</tt>.  The only security mode 
-which  will not work due to technical reasons is <tt>SHARE</tt>
-mode security.  <tt>DOMAIN</tt> and <tt>SERVER</tt>
-mode security is really just a variation on SMB user level security.
+modes other than <tt class="constant">USER</tt>.  The only security mode 
+which  will not work due to technical reasons is <tt class="constant">SHARE</tt>
+mode security.  <tt class="constant">DOMAIN</tt> and <tt class="constant">SERVER</tt>
+mode security are really just a variation on SMB user level security.
 </p><p>
 Actually, this issue is also closely tied to the debate on whether 
 or not Samba must be the domain master browser for its workgroup
 when operating as a DC.  While it may technically be possible
 to configure a server as such (after all, browsing and domain logons
 are two distinctly different functions), it is not a good idea to do
-so.  You should remember that the DC must register the DOMAIN#1b NetBIOS 
+so.  You should remember that the DC must register the DOMAIN&lt;#1b&gt; NetBIOS 
 name.  This is the name used by Windows clients to locate the DC.
 Windows clients do not distinguish between the DC and the DMB.
 For this reason, it is very wise to configure the Samba DC as the DMB.
 </p><p>
 Now back to the issue of configuring a Samba DC to use a mode other
-than &quot;security = user&quot;.  If a Samba host is configured to use 
+than <i class="parameter"><tt>security = user</tt></i>.  If a Samba host is configured to use 
 another SMB server or DC in order to validate user connection 
 requests, then it is a fact that some other machine on the network 
-(the &quot;password server&quot;) knows more about the user than the Samba host.
+(the <i class="parameter"><tt>password server</tt></i>) knows more about the user than the Samba host.
 99% of the time, this other host is a domain controller.  Now 
-in order to operate in domain mode security, the &quot;workgroup&quot; parameter
+in order to operate in domain mode security, the <i class="parameter"><tt>workgroup</tt></i> parameter
 must be set to the name of the Windows NT domain (which already 
-has a domain controller, right?)
-</p><p>
-Therefore configuring a Samba box as a DC for a domain that 
-already by definition has a PDC is asking for trouble.
-Therefore, you should always configure the Samba DC to be the DMB
-for its domain.
-</p></div></div></div></div><div class="chapter" lang="en"><div class="titlepage"><div><h2 class="title"><a name="samba-bdc"></a>Chapter 6. 
-Samba Backup Domain Controller to Samba Domain Control
-</h2></div><div><div class="author"><h3 class="author">Volker Lendecke</h3><div class="affiliation"><span class="orgname">Samba Team<br></span><div class="address"><p><tt>&lt;<a href="mailto:Volker.Lendecke@SerNet.DE">Volker.Lendecke@SerNet.DE</a>&gt;</tt></p></div></div></div></div><div><p class="pubdate"> (26 Apr 2001) </p></div></div><div class="toc"><p><b>Table of Contents</b></p><dl><dt><a href="#id2845056">Prerequisite Reading</a></dt><dt><a href="#id2860294">Background</a></dt><dt><a href="#id2862166">What qualifies a Domain Controller on the network?</a></dt><dd><dl><dt><a href="#id2862187">How does a Workstation find its domain controller?</a></dt><dt><a href="#id2862212">When is the PDC needed?</a></dt></dl></dd><dt><a href="#id2862231">Can Samba be a Backup Domain Controller to an NT PDC?</a></dt><dt><a href="#id2862264">How do I set up a Samba BDC?</a></dt><dd><dl><dt><a href="#id2862361">How do I replicate the smbpasswd file?</a></dt><dt><a href="#id2862390">Can I do this all with LDAP?</a></dt></dl></dd></dl></div><div class="sect1" lang="en"><div class="titlepage"><div><h2 class="title" style="clear: both"><a name="id2845056"></a>Prerequisite Reading</h2></div></div><p>
-Before you continue reading in this chapter, please make sure
-that you are comfortable with configuring a Samba PDC
-as described in the <a href="Samba-PDC-HOWTO.html" target="_top">Samba-PDC-HOWTO</a>.
-</p></div><div class="sect1" lang="en"><div class="titlepage"><div><h2 class="title" style="clear: both"><a name="id2860294"></a>Background</h2></div></div><p>
-What is a Domain Controller? It is a machine that is able to answer
-logon requests from workstations in a Windows NT Domain. Whenever a
-user logs into a Windows NT Workstation, the workstation connects to a
-Domain Controller and asks him whether the username and password the
-user typed in is correct.  The Domain Controller replies with a lot of
-information about the user, for example the place where the users
-profile is stored, the users full name of the user. All this
-information is stored in the NT user database, the so-called SAM.
-</p><p>
-There are two kinds of Domain Controller in a NT 4 compatible Domain:
-A Primary Domain Controller (PDC) and one or more Backup Domain
-Controllers (BDC). The PDC contains the master copy of the
-SAM. Whenever the SAM has to change, for example when a user changes
-his password, this change has to be done on the PDC. A Backup Domain
-Controller is a machine that maintains a read-only copy of the
-SAM. This way it is able to reply to logon requests and authenticate
-users in case the PDC is not available. During this time no changes to
-the SAM are possible. Whenever changes to the SAM are done on the PDC,
-all BDC receive the changes from the PDC.
-</p><p>
-Since version 2.2 Samba officially supports domain logons for all
-current Windows Clients, including Windows 2000 and XP. This text
-assumes the domain to be named SAMBA. To be able to act as a PDC, some
-parameters in the [global]-section of the smb.conf have to be set:
+has a domain controller). If the domain does NOT already have a Domain Controller
+then you do not yet have a Domain!
+</p><p>
+Configuring a Samba box as a DC for a domain that already by definition has a
+PDC is asking for trouble. Therefore, you should always configure the Samba DC
+to be the DMB for its domain and set <i class="parameter"><tt>security = user</tt></i>.
+This is the only officially supported mode of operation.
+</p></div></div><div class="sect1" lang="en"><div class="titlepage"><div><div><h2 class="title" style="clear: both"><a name="id2876111"></a>Common Problems and Errors</h2></div></div><div></div></div><div class="sect2" lang="en"><div class="titlepage"><div><div><h3 class="title"><a name="id2876118"></a>I cannot include a '$' in a machine name</h3></div></div><div></div></div><p>
+A 'machine account', (typically) stored in <tt class="filename">/etc/passwd</tt>,
+takes the form of the machine name with a '$' appended. FreeBSD (and other BSD 
+systems?) won't create a user with a '$' in their name.
+</p><p>
+The problem is only in the program used to make the entry. Once made, it works perfectly.
+Create a user without the '$'. Then use <b class="command">vipw</b> to edit the entry, adding
+the '$'. Or create the whole entry with vipw if you like; make sure you use a unique User ID!
+</p></div><div class="sect2" lang="en"><div class="titlepage"><div><div><h3 class="title"><a name="id2876157"></a>I get told &quot;You already have a connection to the Domain....&quot; 
+or &quot;Cannot join domain, the credentials supplied conflict with an 
+existing set..&quot; when creating a machine trust account.</h3></div></div><div></div></div><p>
+This happens if you try to create a machine trust account from the 
+machine itself and already have a connection (e.g. mapped drive) 
+to a share (or IPC$) on the Samba PDC.  The following command
+will remove all network drive connections:
+</p><pre class="screen">
+       <tt class="prompt">C:\WINNT\&gt;</tt> <b class="userinput"><tt>net use * /d</tt></b>
+</pre><p>
+Further, if the machine is already a 'member of a workgroup' that 
+is the same name as the domain you are joining (bad idea) you will 
+get this message.  Change the workgroup name to something else, it 
+does not matter what, reboot, and try again.
+</p></div><div class="sect2" lang="en"><div class="titlepage"><div><div><h3 class="title"><a name="id2876206"></a>The system can not log you on (C000019B)....</h3></div></div><div></div></div><p>I joined the domain successfully but after upgrading 
+to a newer version of the Samba code I get the message, <span class="errorname">The system 
+can not log you on (C000019B), Please try again or consult your 
+system administrator</span> when attempting to logon.
+</p><p>
+This occurs when the domain SID stored in the secrets.tdb database
+is changed. The most common cause of a change in domain SID is when
+the domain name and/or the server name (NetBIOS name) is changed.
+The only way to correct the problem is to restore the original domain 
+SID or remove the domain client from the domain and rejoin. The domain
+SID may be reset using either the net or rpcclient utilities.
+</p><p>
+The reset or change the domain SID you can use the net command as follows:
+
+</p><pre class="screen">
+<tt class="prompt">root# </tt><b class="userinput"><tt>net getlocalsid 'OLDNAME'</tt></b>
+<tt class="prompt">root# </tt><b class="userinput"><tt>net setlocalsid 'SID'</tt></b>
+</pre><p>
+</p></div><div class="sect2" lang="en"><div class="titlepage"><div><div><h3 class="title"><a name="id2876277"></a>The machine trust account for this computer either does not 
+exist or is not accessible.</h3></div></div><div></div></div><p>
+When I try to join the domain I get the message <span class="errorname">The machine account 
+for this computer either does not exist or is not accessible</span>. What's 
+wrong?
+</p><p>
+This problem is caused by the PDC not having a suitable machine trust account. 
+If you are using the <i class="parameter"><tt>add machine script</tt></i> method to create 
+accounts then this would indicate that it has not worked. Ensure the domain 
+admin user system is working.
+</p><p>
+Alternatively if you are creating account entries manually then they 
+have not been created correctly. Make sure that you have the entry 
+correct for the machine trust account in <tt class="filename">smbpasswd</tt> file on the Samba PDC. 
+If you added the account using an editor rather than using the smbpasswd 
+utility, make sure that the account name is the machine NetBIOS name 
+with a '$' appended to it ( i.e. computer_name$ ). There must be an entry 
+in both /etc/passwd and the smbpasswd file.
+</p><p>
+Some people have also reported 
+that inconsistent subnet masks between the Samba server and the NT 
+client can cause this problem.   Make sure that these are consistent 
+for both client and server.
+</p></div><div class="sect2" lang="en"><div class="titlepage"><div><div><h3 class="title"><a name="id2876340"></a>When I attempt to login to a Samba Domain from a NT4/W2K workstation,
+I get a message about my account being disabled.</h3></div></div><div></div></div><p>
+Enable the user accounts with <b class="userinput"><tt>smbpasswd -e <i class="replaceable"><tt>username</tt></i>
+</tt></b>, this is normally done as an account is created.
+</p></div><div class="sect2" lang="en"><div class="titlepage"><div><div><h3 class="title"><a name="id2876367"></a>Until a few minutes after Samba has started, clients get the error &quot;Domain Controller Unavailable&quot;</h3></div></div><div></div></div><p>
+               A domain controller has to announce on the network who it is. This usually takes a while.
+       </p></div></div></div><div class="chapter" lang="en"><div class="titlepage"><div><div><h2 class="title"><a name="samba-bdc"></a>Chapter 6. Backup Domain Control</h2></div><div><div class="author"><h3 class="author"><span class="firstname">John</span> <span class="othername">H.</span> <span class="surname">Terpstra</span></h3><div class="affiliation"><span class="orgname">Samba Team<br></span><div class="address"><p><tt class="email">&lt;<a href="mailto:jht@samba.org">jht@samba.org</a>&gt;</tt></p></div></div></div></div><div><div class="author"><h3 class="author"><span class="firstname">Volker</span> <span class="surname">Lendecke</span></h3><div class="affiliation"><span class="orgname">Samba Team<br></span><div class="address"><p><tt class="email">&lt;<a href="mailto:Volker.Lendecke@SerNet.DE">Volker.Lendecke@SerNet.DE</a>&gt;</tt></p></div></div></div></div></div><div></div></div><div class="toc"><p><b>Table of Contents</b></p><dl><dt><a href="#id2878532">Features And Benefits</a></dt><dt><a href="#id2878705">Essential Background Information</a></dt><dd><dl><dt><a href="#id2878734">MS Windows NT4 Style Domain Control</a></dt><dt><a href="#id2878954">Active Directory Domain Control</a></dt><dt><a href="#id2878975">What qualifies a Domain Controller on the network?</a></dt><dt><a href="#id2879001">How does a Workstation find its domain controller?</a></dt></dl></dd><dt><a href="#id2879047">Backup Domain Controller Configuration</a></dt><dd><dl><dt><a href="#id2879149">Example Configuration</a></dt></dl></dd><dt><a href="#id2879210">Common Errors</a></dt><dd><dl><dt><a href="#id2879224">Machine Accounts keep expiring, what can I do?</a></dt><dt><a href="#id2879254">Can Samba be a Backup Domain Controller to an NT4 PDC?</a></dt><dt><a href="#id2879287">How do I replicate the smbpasswd file?</a></dt><dt><a href="#id2879332">Can I do this all with LDAP?</a></dt></dl></dd></dl></div><p>
+Before you continue reading in this section, please make sure that you are comfortable
+with configuring a Samba Domain Controller as described in the
+<a href="#samba-pdc" title="Chapter 5. Domain Control">Domain Control</a> chapter.
+</p><div class="sect1" lang="en"><div class="titlepage"><div><div><h2 class="title" style="clear: both"><a name="id2878532"></a>Features And Benefits</h2></div></div><div></div></div><p>
+This is one of the most difficult chapters to summarise. It does not matter what we say here
+for someone will still draw conclusions and / or approach the Samba-Team with expectations
+that are either not yet capable of being delivered, or that can be achieved far more
+effectively using a totally different approach. Since this HOWTO is already so large and
+extensive, we have taken the decision to provide sufficient (but not comprehensive)
+information regarding Backup Domain Control. In the event that you should have a persistent
+concern that is not addressed in this HOWTO document then please email 
+<a href="mailto:jht@samba.org" target="_top">John H Terpstra</a> clearly setting out your requirements
+and / or question and we will do our best to provide a solution.
+</p><p>
+Samba-3 is capable of acting as a Backup Domain Controller to another Samba Primary Domain
+Controller. A Samba-3 PDC can operate with an LDAP Account backend. The Samba-3 BDC can
+operate with a slave LDAP server for the Account backend. This effectively gives samba a high
+degree of scalability. This is a very sweet (nice) solution for large organisations.
+</p><p>
+While it is possible to run a Samba-3 BDC with non-LDAP backend, the administrator will
+need to figure out precisely what is the best way to replicate (copy / distribute) the
+user and machine Accounts backend.
+</p><p>
+The use of a non-LDAP backend SAM database is particularly problematic because Domain member
+servers and workstations periodically change the machine trust account password. The new
+password is then stored only locally. This means that in the absence of a centrally stored
+accounts database (such as that provided with an LDAP based solution) if Samba-3 is running
+as a BDC, the BDC instance of the Domain member trust account password will not reach the
+PDC (master) copy of the SAM. If the PDC SAM is then replicated to BDCs this results in 
+overwriting of the SAM that contains the updated (changed) trust account password with resulting
+breakage of the domain trust.
+</p><p>
+Considering the number of comments and questions raised concerning how to configure a BDC
+lets consider each possible option and look at the pro's and con's for each theoretical solution:
+</p><div class="itemizedlist"><p class="title"><b>Backup Domain Backend Account Distribution Options</b></p><ul type="disc"><li><p>
+       Solution: Passwd Backend is LDAP based, BDCs use a slave LDAP server
+       </p><p>
+       Arguments For: This is a neat and manageable solution. The LDAP based SAM (ldapsam)
+       is constantly kept up to date.
+       </p><p>
+       Arguments Against: Complexity
+       </p></li><li><p>
+       Passdb Backend is tdbsam based, BDCs use cron based &quot;net rpc vampire&quot; to
+       suck down the Accounts database from the PDC
+       </p><p>
+       Arguments For: It would be a nice solution
+       </p><p>
+       Arguments Against: It does not work because Samba-3 does not support the required
+       protocols. This may become a later feature but is not available today.
+       </p></li><li><p>
+       Make use of rsync to replicate (pull down) copies of the essential account files
+       </p><p>
+       Arguments For: It is a simple solution, easy to set up as a scheduled job
+       </p><p>
+       Arguments Against: This will over-write the locally changed machine trust account
+       passwords. This is a broken and flawed solution. Do NOT do this.
+       </p></li><li><p>
+       Operate with an entirely local accounts database (not recommended)
+       </p><p>
+       Arguments For: Simple, easy to maintain
+       </p><p>
+       Arguments Against: All machine trust accounts and user accounts will be locally
+       maintained. Domain users will NOT be able to roam from office to office. This is
+       a broken and flawed solution. Do NOT do this.
+       </p></li></ul></div></div><div class="sect1" lang="en"><div class="titlepage"><div><div><h2 class="title" style="clear: both"><a name="id2878705"></a>Essential Background Information</h2></div></div><div></div></div><p>
+A Domain Controller is a machine that is able to answer logon requests from network
+workstations. Microsoft LanManager and IBM LanServer were two early products that
+provided this capability. The technology has become known as the LanMan Netlogon service.
+</p><p>
+When MS Windows NT3.10 was first released, it supported an new style of Domain Control
+and with it a new form of the network logon service that has extended functionality.
+This service became known as the NT NetLogon Service. The nature of this service has
+changed with the evolution of MS Windows NT and today provides a very complex array of
+services that are implemented over a complex spectrum of technologies.
+</p><div class="sect2" lang="en"><div class="titlepage"><div><div><h3 class="title"><a name="id2878734"></a>MS Windows NT4 Style Domain Control</h3></div></div><div></div></div><p>
+Whenever a user logs into a Windows NT4 / 200x / XP Professional Workstation,
+the workstation connects to a Domain Controller (authentication server) to validate
+the username and password that the user entered are valid. If the information entered
+does not validate against the account information that has been stored in the Domain
+Control database (the SAM, or Security Account Manager database) then a set of error
+codes is returned to the workstation that has made the authentication request.
+</p><p>
+When the username / password pair has been validated, the Domain Controller
+(authentication server) will respond with full enumeration of the account information
+that has been stored regarding that user in the User and Machine Accounts database
+for that Domain. This information contains a complete network access profile for
+the user but excludes any information that is particular to the user's desktop profile,
+or for that matter it excludes all desktop profiles for groups that the user may
+belong to. It does include password time limits, password uniqueness controls,
+network access time limits, account validity information, machine names from which the
+user may access the network, and much more. All this information was stored in the SAM
+in all versions of MS Windows NT (3.10, 3.50, 3.51, 4.0).
+</p><p>
+The account information (user and machine) on Domain Controllers is stored in two files,
+one containing the Security information and the other the SAM. These are stored in files
+by the same name in the <tt class="filename">C:\WinNT\System32\config</tt> directory. These
+are the files that are involved in replication of the SAM database where Backup Domain
+Controllers are present on the network.
+</p><p>
+There are two situations in which it is desirable to install Backup Domain Controllers:
+</p><div class="itemizedlist"><ul type="disc"><li><p>
+       On the local network that the Primary Domain Controller is on, if there are many
+       workstations and/or where the PDC is generally very busy. In this case the BDCs
+       will pick up network logon requests and help to add robustness to network services.
+       </p></li><li><p>
+       At each remote site, to reduce wide area network traffic and to add stability to
+       remote network operations. The design of the network, the strategic placement of
+       Backup Domain Controllers, together with an implementation that localises as much
+       of network to client interchange as possible will help to minimise wide area network
+       bandwidth needs (and thus costs).
+       </p></li></ul></div><p>
+The PDC contains the master copy of the SAM. In the event that an administrator makes a
+change to the user account database while physically present on the local network that
+has the PDC, the change will likely be made directly to the PDC instance of the master
+copy of the SAM. In the event that this update may be performed in a branch office the
+change will likely be stored in a delta file on the local BDC. The BDC will then send
+a trigger to the PDC to commence the process of SAM synchronisation. The PDC will then
+request the delta from the BDC and apply it to the master SAM. The PDC will then contact
+all the BDCs in the Domain and trigger them to obtain the update and then apply that to
+their own copy of the SAM.
+</p><p>
+Thus the BDC is said to hold a <span class="emphasis"><em>read-only</em></span> of the SAM from which
+it is able to process network logon requests and to authenticate users. The BDC can
+continue to provide this service, particularly while, for example, the wide area
+network link to the PDC is down. Thus a BDC plays a very important role in both
+maintenance of Domain security as well as in network integrity.
+</p><p>
+In the event that the PDC should need to be taken out of service, or if it dies, then
+one of the BDCs can be promoted to a PDC. If this happens while the original PDC is on
+line then it is automatically demoted to a BDC. This is an important aspect of Domain
+Controller management. The tool that is used to affect a promotion or a demotion is the
+Server Manager for Domains.
+</p><div class="sect3" lang="en"><div class="titlepage"><div><div><h4 class="title"><a name="id2878883"></a>Example PDC Configuration</h4></div></div><div></div></div><p>
+Since version 2.2 Samba officially supports domain logons for all current Windows Clients,
+including Windows NT4, 2003 and XP Professional. For samba to be enabled as a PDC some
+parameters in the <i class="parameter"><tt>[global]</tt></i>-section of the <tt class="filename">smb.conf</tt> have to be set:
 </p><pre class="programlisting">
        workgroup = SAMBA
        domain master = yes
        domain logons = yes
 </pre><p>
-Several other things like a [homes] and a [netlogon] share also may be
-set along with settings for the profile path, the users home drive and
-others. This will not be covered in this document.
-</p></div><div class="sect1" lang="en"><div class="titlepage"><div><h2 class="title" style="clear: both"><a name="id2862166"></a>What qualifies a Domain Controller on the network?</h2></div></div><p>
-Every machine that is a Domain Controller for the domain SAMBA has to
-register the NetBIOS group name SAMBA#1c with the WINS server and/or
-by broadcast on the local network. The PDC also registers the unique
-NetBIOS name SAMBA#1b with the WINS server. The name type #1b is
-normally reserved for the domain master browser, a role that has
-nothing to do with anything related to authentication, but the
-Microsoft Domain implementation requires the domain master browser to
-be on the same machine as the PDC.
-</p><div class="sect2" lang="en"><div class="titlepage"><div><h3 class="title"><a name="id2862187"></a>How does a Workstation find its domain controller?</h3></div></div><p>
-A NT workstation in the domain SAMBA that wants a local user to be
-authenticated has to find the domain controller for SAMBA. It does
-this by doing a NetBIOS name query for the group name SAMBA#1c. It
-assumes that each of the machines it gets back from the queries is a
-domain controller and can answer logon requests. To not open security
-holes both the workstation and the selected (TODO: How is the DC
-chosen) domain controller authenticate each other. After that the
-workstation sends the user's credentials (his name and password) to
-the domain controller, asking for approval.
-</p></div><div class="sect2" lang="en"><div class="titlepage"><div><h3 class="title"><a name="id2862212"></a>When is the PDC needed?</h3></div></div><p>
-Whenever a user wants to change his password, this has to be done on
-the PDC. To find the PDC, the workstation does a NetBIOS name query
-for SAMBA#1b, assuming this machine maintains the master copy of the
-SAM. The workstation contacts the PDC, both mutually authenticate and
-the password change is done.
-</p></div></div><div class="sect1" lang="en"><div class="titlepage"><div><h2 class="title" style="clear: both"><a name="id2862231"></a>Can Samba be a Backup Domain Controller to an NT PDC?</h2></div></div><p>
-With version 2.2, no. The native NT SAM replication protocols have
-not yet been fully implemented. The Samba Team is working on
-understanding and implementing the protocols, but this work has not
-been finished for version 2.2.
-</p><p>
-With version 3.0, the work on both the replication protocols and a
-suitable storage mechanism has progressed, and some form of NT4 BDC
-support is expected soon.
-</p><p>
-Can I get the benefits of a BDC with Samba?  Yes. The main reason for
-implementing a BDC is availability. If the PDC is a Samba machine,
-a second Samba machine can be set up to
-service logon requests whenever the PDC is down.
-</p></div><div class="sect1" lang="en"><div class="titlepage"><div><h2 class="title" style="clear: both"><a name="id2862264"></a>How do I set up a Samba BDC?</h2></div></div><p>
+Several other things like a <i class="parameter"><tt>[homes]</tt></i> and a <i class="parameter"><tt>[netlogon]</tt></i> share also need to be set along with
+settings for the profile path, the users home drive, etc.. This will not be covered in this
+chapter, for more information please refer to the chapter on <a href="#samba-pdc" title="Chapter 5. Domain Control">Domain Control</a>.
+</p></div></div><div class="sect2" lang="en"><div class="titlepage"><div><div><h3 class="title"><a name="id2878954"></a>Active Directory Domain Control</h3></div></div><div></div></div><p>
+As of the release of MS Windows 2000 and Active Directory, this information is now stored
+in a directory that can be replicated and for which partial or full administrative control
+can be delegated. Samba-3 is NOT able to be a Domain Controller within an Active Directory
+tree, and it can not be an Active Directory server. This means that Samba-3 also can NOT
+act as a Backup Domain Controller to an Active Directory Domain Controller.
+</p></div><div class="sect2" lang="en"><div class="titlepage"><div><div><h3 class="title"><a name="id2878975"></a>What qualifies a Domain Controller on the network?</h3></div></div><div></div></div><p>
+Every machine that is a Domain Controller for the domain SAMBA has to register the NetBIOS
+group name SAMBA&lt;#1c&gt; with the WINS server and/or by broadcast on the local network.
+The PDC also registers the unique NetBIOS name SAMBA&lt;#1b&gt; with the WINS server.
+The name type &lt;#1b&gt; name is normally reserved for the Domain Master Browser, a role
+that has nothing to do with anything related to authentication, but the Microsoft Domain
+implementation requires the domain master browser to be on the same machine as the PDC.
+</p></div><div class="sect2" lang="en"><div class="titlepage"><div><div><h3 class="title"><a name="id2879001"></a>How does a Workstation find its domain controller?</h3></div></div><div></div></div><p>
+An MS Windows NT4 / 200x / XP Professional workstation in the domain SAMBA that wants a
+local user to be authenticated has to find the domain controller for SAMBA. It does this
+by doing a NetBIOS name query for the group name SAMBA&lt;#1c&gt;. It assumes that each
+of the machines it gets back from the queries is a domain controller and can answer logon
+requests. To not open security holes both the workstation and the selected domain controller
+authenticate each other. After that the workstation sends the user's credentials (name and
+password) to the local Domain Controller, for validation.
+</p></div></div><div class="sect1" lang="en"><div class="titlepage"><div><div><h2 class="title" style="clear: both"><a name="id2879047"></a>Backup Domain Controller Configuration</h2></div></div><div></div></div><p>
 Several things have to be done:
 </p><div class="itemizedlist"><ul type="disc"><li><p>
-The domain SID has to be the same on the PDC and the BDC. This used to
-be stored in the file private/MACHINE.SID. This file is not created
-anymore since Samba 2.2.5 or even earlier. Nowadays the domain SID is
-stored in the file private/secrets.tdb. Simply copying the secrets.tdb
-from the PDC to the BDC does not work, as the BDC would
-generate a new SID for itself and override the domain SID with this
-new BDC SID.</p><p>
-To retrieve the domain SID from the PDC or an existing BDC and store it in the
-secrets.tdb, execute 'net rpc getsid' on the BDC.
-</p></li><li><p>
-The Unix user database has to be synchronized from the PDC to the
-BDC. This means that both the /etc/passwd and /etc/group have to be
-replicated from the PDC to the BDC. This can be done manually
-whenever changes are made, or the PDC is set up as a NIS master
-server and the BDC as a NIS slave server. To set up the BDC as a
-mere NIS client would not be enough, as the BDC would not be able to
-access its user database in case of a PDC failure.
-</p></li><li><p>
-The Samba password database in the file private/smbpasswd has to be
-replicated from the PDC to the BDC. This is a bit tricky, see the
-next section.
-</p></li><li><p>
-Any netlogon share has to be replicated from the PDC to the
-BDC. This can be done manually whenever login scripts are changed,
-or it can be done automatically together with the smbpasswd
-synchronization.
-</p></li></ul></div><p>
-Finally, the BDC has to be found by the workstations. This can be done
-by setting
+       The domain SID has to be the same on the PDC and the BDC. This used to
+       be stored in the file private/MACHINE.SID. This file is not created
+       anymore since Samba 2.2.5 or even earlier. Nowadays the domain SID is
+       stored in the file private/secrets.tdb. Simply copying the secrets.tdb
+       from the PDC to the BDC does not work, as the BDC would
+       generate a new SID for itself and override the domain SID with this
+       new BDC SID.</p><p>
+       To retrieve the domain SID from the PDC or an existing BDC and store it in the
+       secrets.tdb, execute:
+       </p><pre class="screen">
+       <tt class="prompt">root# </tt><b class="userinput"><tt>net rpc getsid</tt></b>
+       </pre></li><li><p>
+       The Unix user database has to be synchronized from the PDC to the
+       BDC. This means that both the /etc/passwd and /etc/group have to be
+       replicated from the PDC to the BDC. This can be done manually
+       whenever changes are made, or the PDC is set up as a NIS master
+       server and the BDC as a NIS slave server. To set up the BDC as a
+       mere NIS client would not be enough, as the BDC would not be able to
+       access its user database in case of a PDC failure. NIS is by no means
+       the only method to synchronize passwords. An LDAP solution would work
+       as well.
+       </p></li><li><p>
+       The Samba password database has to be replicated from the PDC to the BDC.
+       As said above, though possible to synchronise the <tt class="filename">smbpasswd</tt>
+       file with rsync and ssh, this method is broken and flawed, and is 
+       therefore not recommended. A better solution is to set up slave LDAP
+       servers for each BDC and a master LDAP server for the PDC.
+       </p></li><li><p>
+       Any netlogon share has to be replicated from the PDC to the
+       BDC. This can be done manually whenever login scripts are changed,
+       or it can be done automatically together with the smbpasswd
+       synchronization.
+       </p></li></ul></div><div class="sect2" lang="en"><div class="titlepage"><div><div><h3 class="title"><a name="id2879149"></a>Example Configuration</h3></div></div><div></div></div><p>
+Finally, the BDC has to be found by the workstations. This can be done by setting:
 </p><pre class="programlisting">
-       workgroup = samba
+       workgroup = SAMBA
        domain master = no
        domain logons = yes
 </pre><p>
-in the [global]-section of the smb.conf of the BDC. This makes the BDC
-only register the name SAMBA#1c with the WINS server. This is no
-problem as the name SAMBA#1c is a NetBIOS group name that is meant to
+in the <i class="parameter"><tt>[global]</tt></i>-section of the <tt class="filename">smb.conf</tt> of the BDC. This makes the BDC
+only register the name SAMBA&lt;#1c&gt; with the WINS server. This is no
+problem as the name SAMBA&lt;#1c&gt; is a NetBIOS group name that is meant to
 be registered by more than one machine. The parameter 'domain master =
-no' forces the BDC not to register SAMBA#1b which as a unique NetBIOS
+no' forces the BDC not to register SAMBA&lt;#1b&gt; which as a unique NetBIOS
 name is reserved for the Primary Domain Controller.
-</p><div class="sect2" lang="en"><div class="titlepage"><div><h3 class="title"><a name="id2862361"></a>How do I replicate the smbpasswd file?</h3></div></div><p>
-Replication of the smbpasswd file is sensitive. It has to be done
-whenever changes to the SAM are made. Every user's password change is
-done in the smbpasswd file and has to be replicated to the BDC. So
-replicating the smbpasswd file very often is necessary.
-</p><p>
-As the smbpasswd file contains plain text password equivalents, it
-must not be sent unencrypted over the wire. The best way to set up
-smbpasswd replication from the PDC to the BDC is to use the utility
-rsync. rsync can use ssh as a transport. ssh itself can be set up to
-accept *only* rsync transfer without requiring the user to type a
-password.
-</p></div><div class="sect2" lang="en"><div class="titlepage"><div><h3 class="title"><a name="id2862390"></a>Can I do this all with LDAP?</h3></div></div><p>The simple answer is YES.  Samba's pdb_ldap code supports
-binding to a replica LDAP server, and will also follow referrals and
-rebind to the master if it ever needs to make a modification to the
-database.  (Normally BDCs are read only, so this will not occur
-often).
-</p></div></div></div><div class="chapter" lang="en"><div class="titlepage"><div><h2 class="title"><a name="ADS"></a>Chapter 7. Samba as a ADS domain member</h2></div><div><div class="author"><h3 class="author">Andrew Tridgell</h3><div class="affiliation"><span class="orgname">Samba Team<br></span><div class="address"><p><tt>&lt;<a href="mailto:tridge@samba.org">tridge@samba.org</a>&gt;</tt></p></div></div></div></div><div><div class="author"><h3 class="author">Jelmer R. Vernooij</h3><div class="affiliation"><span class="orgname">The Samba Team<br></span><div class="address"><p><tt>&lt;<a href="mailto:jelmer@samba.org">jelmer@samba.org</a>&gt;</tt></p></div></div></div></div><div><p class="pubdate">2002/2003</p></div></div><div class="toc"><p><b>Table of Contents</b></p><dl><dt><a href="#id2862021">Setup your smb.conf</a></dt><dt><a href="#id2862571">Setup your /etc/krb5.conf</a></dt><dt><a href="#ads-create-machine-account">Create the computer account</a></dt><dd><dl><dt><a href="#id2862765">Possible errors</a></dt></dl></dd><dt><a href="#ads-test-server">Test your server setup</a></dt><dt><a href="#ads-test-smbclient">Testing with smbclient</a></dt><dt><a href="#id2862919">Notes</a></dt></dl></div><p>
-This is a rough guide to setting up Samba 3.0 with kerberos authentication against a
-Windows2000 KDC. 
-</p><div class="sect1" lang="en"><div class="titlepage"><div><h2 class="title" style="clear: both"><a name="id2862021"></a>Setup your <tt>smb.conf</tt></h2></div></div><p>You must use at least the following 3 options in smb.conf:</p><pre class="programlisting">
-       realm = YOUR.KERBEROS.REALM
+</p></div></div><div class="sect1" lang="en"><div class="titlepage"><div><div><h2 class="title" style="clear: both"><a name="id2879210"></a>Common Errors</h2></div></div><div></div></div><p>
+As this is a rather new area for Samba there are not many examples that we may refer to. Keep
+watching for updates to this section.
+</p><div class="sect2" lang="en"><div class="titlepage"><div><div><h3 class="title"><a name="id2879224"></a>Machine Accounts keep expiring, what can I do?</h3></div></div><div></div></div><p>
+This problem will occur when occur when the passdb (SAM) files are copied  from a central
+server but the local Backup Domain Controllers.  Local machine trust account password updates
+are not copied back to the central server. The newer machine account password is then over
+written when the SAM is copied from the PDC. The result is that the Domain member machine
+on start up will find that it's passwords does not match the one now in the database and
+since the startup security check will now fail, this machine will not allow logon attempts
+to proceed and the account expiry error will be reported.
+</p><p>
+The solution: use a more robust passdb backend, such as the ldapsam backend, setting up
+an slave LDAP server for each BDC, and a master LDAP server for the PDC.
+</p></div><div class="sect2" lang="en"><div class="titlepage"><div><div><h3 class="title"><a name="id2879254"></a>Can Samba be a Backup Domain Controller to an NT4 PDC?</h3></div></div><div></div></div><p>
+With version 2.2, no. The native NT4 SAM replication protocols have not yet been fully
+implemented. The Samba Team is working on understanding and implementing the protocols,
+but this work has not been finished for version 2.2.
+</p><p>
+With version 3.0, the work on both the replication protocols and a suitable storage
+mechanism has progressed, and some form of NT4 BDC support is expected soon.
+</p><p>
+Can I get the benefits of a BDC with Samba?  Yes. The main reason for implementing a
+BDC is availability. If the PDC is a Samba machine, a second Samba machine can be set up to
+service logon requests whenever the PDC is down.
+</p></div><div class="sect2" lang="en"><div class="titlepage"><div><div><h3 class="title"><a name="id2879287"></a>How do I replicate the smbpasswd file?</h3></div></div><div></div></div><p>
+Replication of the smbpasswd file is sensitive. It has to be done whenever changes
+to the SAM are made. Every user's password change is done in the smbpasswd file and
+has to be replicated to the BDC. So replicating the smbpasswd file very often is necessary.
+</p><p>
+As the smbpasswd file contains plain text password equivalents, it must not be
+sent unencrypted over the wire. The best way to set up smbpasswd replication from
+the PDC to the BDC is to use the utility rsync. rsync can use ssh as a transport.
+Ssh itself can be set up to accept <span class="emphasis"><em>only</em></span> rsync transfer without requiring the user
+to type a password.
+</p><p>
+As said a few times before, use of this method is broken and flawed. Machine trust 
+accounts will go out of sync, resulting in a very broken domain. This method is
+<span class="emphasis"><em>not</em></span> recommended. Try using LDAP instead.
+</p></div><div class="sect2" lang="en"><div class="titlepage"><div><div><h3 class="title"><a name="id2879332"></a>Can I do this all with LDAP?</h3></div></div><div></div></div><p>
+The simple answer is YES.  Samba's pdb_ldap code supports binding to a replica
+LDAP server, and will also follow referrals and rebind to the master if it ever
+needs to make a modification to the database. (Normally BDCs are read only, so
+this will not occur often).
+</p></div></div></div><div class="chapter" lang="en"><div class="titlepage"><div><div><h2 class="title"><a name="domain-member"></a>Chapter 7. Domain Membership</h2></div><div><div class="author"><h3 class="author"><span class="firstname">John</span> <span class="othername">H.</span> <span class="surname">Terpstra</span></h3><div class="affiliation"><span class="orgname">Samba Team<br></span><div class="address"><p><tt class="email">&lt;<a href="mailto:jht@samba.org">jht@samba.org</a>&gt;</tt></p></div></div></div></div><div><div class="author"><h3 class="author"><span class="firstname">Jeremy</span> <span class="surname">Allison</span></h3><div class="affiliation"><span class="orgname">Samba Team<br></span><div class="address"><p><tt class="email">&lt;<a href="mailto:jra@samba.org">jra@samba.org</a>&gt;</tt></p></div></div></div></div><div><div class="author"><h3 class="author"><span class="firstname">Gerald</span> <span class="othername">(Jerry)</span> <span class="surname">Carter</span></h3><div class="affiliation"><span class="orgname">Samba Team<br></span><div class="address"><p><tt class="email">&lt;<a href="mailto:jerry@samba.org">jerry@samba.org</a>&gt;</tt></p></div></div></div></div><div><div class="author"><h3 class="author"><span class="firstname">Andrew</span> <span class="surname">Tridgell</span></h3><div class="affiliation"><span class="orgname">Samba Team<br></span><div class="address"><p><tt class="email">&lt;<a href="mailto:tridge@samba.org">tridge@samba.org</a>&gt;</tt></p></div></div></div></div><div><div class="author"><h3 class="author"><span class="firstname">Jelmer</span> <span class="othername">R.</span> <span class="surname">Vernooij</span></h3><div class="affiliation"><span class="orgname">The Samba Team<br></span><div class="address"><p><tt class="email">&lt;<a href="mailto:jelmer@samba.org">jelmer@samba.org</a>&gt;</tt></p></div></div></div></div></div><div></div></div><div class="toc"><p><b>Table of Contents</b></p><dl><dt><a href="#id2880401">Features and Benefits</a></dt><dt><a href="#id2880516">MS Windows Workstation/Server Machine Trust Accounts</a></dt><dd><dl><dt><a href="#id2880692">Manual Creation of Machine Trust Accounts</a></dt><dt><a href="#id2880944">Using NT4 Server Manager to Add Machine Accounts to the Domain</a></dt><dt><a href="#id2881141">&quot;On-the-Fly&quot; Creation of Machine Trust Accounts</a></dt><dt><a href="#id2881203">Making an MS Windows Workstation or Server a Domain Member</a></dt></dl></dd><dt><a href="#domain-member-server">Domain Member Server</a></dt><dd><dl><dt><a href="#id2881406">Joining an NT4 type Domain with Samba-3</a></dt><dt><a href="#id2881788">Why is this better than security = server?</a></dt></dl></dd><dt><a href="#ads-member">Samba ADS Domain Membership</a></dt><dd><dl><dt><a href="#id2881929">Setup your smb.conf</a></dt><dt><a href="#id2882013">Setup your /etc/krb5.conf</a></dt><dt><a href="#ads-create-machine-account">Create the computer account</a></dt><dt><a href="#ads-test-server">Test your server setup</a></dt><dt><a href="#ads-test-smbclient">Testing with smbclient</a></dt><dt><a href="#id2882376">Notes</a></dt></dl></dd><dt><a href="#id2882398">Common Errors</a></dt><dd><dl><dt><a href="#id2882423">Can Not Add Machine Back to Domain</a></dt><dt><a href="#id2882455">Adding Machine to Domain Fails</a></dt></dl></dd></dl></div><p>
+Domain Membership is a subject of vital concern, Samba must be able to
+participate as a member server in a Microsoft Domain security context, and
+Samba must be capable of providing Domain machine member trust accounts,
+otherwise it would not be capable of offering a viable option for many users.
+</p><p>
+This chapter covers background information pertaining to domain membership,
+Samba configuration for it, and MS Windows client procedures for joining a
+domain.  Why is this necessary? Because both are areas in which there exists
+within the current MS Windows networking world and particularly in the
+Unix/Linux networking and administration world, a considerable level of
+mis-information, incorrect understanding, and a lack of knowledge. Hopefully
+this chapter will fill the voids.
+</p><div class="sect1" lang="en"><div class="titlepage"><div><div><h2 class="title" style="clear: both"><a name="id2880401"></a>Features and Benefits</h2></div></div><div></div></div><p>
+MS Windows workstations and servers that want to participate in domain
+security need to
+be made Domain members. Participating in Domain security is often called 
+<span class="emphasis"><em>Single Sign On</em></span> or <span class="acronym">SSO</span> for short. This
+chapter describes the process that must be followed to make a workstation
+(or another server - be it an <span class="application">MS Windows NT4 / 200x</span>
+server) or a Samba server a member of an MS Windows Domain security context.
+</p><p>
+Samba-3 can join an MS Windows NT4 style domain as a native member server, an 
+MS Windows Active Directory Domain as a native member server, or a Samba Domain
+Control network.
+</p><p>
+Domain membership has many advantages:
+</p><div class="itemizedlist"><ul type="disc"><li><p>
+       MS Windows workstation users get the benefit of SSO
+       </p></li><li><p>
+       Domain user access rights and file ownership / access controls can be set
+       from the single Domain SAM (Security Account Manager) database 
+       (works with Domain member servers as well as with MS Windows workstations
+       that are domain members)
+       </p></li><li><p>
+       Only <span class="application">MS Windows NT4 / 200x / XP Professional</span>
+       workstations that are Domain members
+       can use network logon facilities
+       </p></li><li><p>
+       Domain Member workstations can be better controlled through the use of
+       Policy files (<tt class="filename">NTConfig.POL</tt>) and Desktop Profiles.
+       </p></li><li><p>
+       Through the use of logon scripts, users can be given transparent access to network
+       applications that run off application servers
+       </p></li><li><p>
+       Network administrators gain better application and user access management
+       abilities because there is no need to maintain user accounts on any network
+       client or server, other than the central Domain database 
+       (either NT4/Samba SAM style Domain, NT4 Domain that is back ended with an
+       LDAP directory, or via an Active Directory infrastructure)
+       </p></li></ul></div></div><div class="sect1" lang="en"><div class="titlepage"><div><div><h2 class="title" style="clear: both"><a name="id2880516"></a>MS Windows Workstation/Server Machine Trust Accounts</h2></div></div><div></div></div><p>
+A machine trust account is an account that is used to authenticate a client
+machine
+(rather than a user) to the Domain Controller server.  In Windows terminology,
+this is known as a &quot;Computer Account.&quot;
+</p><p>
+The password of a machine trust account acts as the shared secret for
+secure communication with the Domain Controller.  This is a security
+feature to prevent an unauthorized machine with the same NetBIOS name
+from joining the domain and gaining access to domain user/group
+accounts.  Windows NT, 200x, XP Professional clients use machine trust
+accounts, but Windows 9x / Me / XP Home clients do not.  Hence, a
+Windows 9x / Me / XP Home  client is never a true member of a domain
+because it does not possess a machine trust account, and thus has no
+shared secret with the domain controller.
+</p><p>
+A Windows NT4 PDC stores each machine trust account in the Windows Registry.
+The introduction of MS Windows 2000 saw the introduction of Active Directory,
+the new repository for machine trust accounts.
+</p><p>
+A Samba PDC, however, stores each machine trust account in two parts,
+as follows:
+
+</p><div class="itemizedlist"><ul type="disc"><li><p>
+       A Domain Security Account (stored in the 
+       <i class="parameter"><tt>passdb backend</tt></i> that has been configured in the
+       <tt class="filename">smb.conf</tt> file. The precise nature of the account information that is
+       stored depends on the type of backend database that has been chosen.
+       </p><p>
+       The older format of this data is the <tt class="filename">smbpasswd</tt> database
+       which contains the unix login ID, the Unix user identifier (UID), and the
+       LanMan and NT encrypted passwords. There is also some other information in
+       this file that we do not need to concern ourselves with here.
+       </p><p>
+       The two newer database types are called <span class="emphasis"><em>ldapsam</em></span>,
+       <span class="emphasis"><em>tdbsam</em></span>.  Both store considerably more data than the
+       older <tt class="filename">smbpasswd</tt> file did. The extra information
+       enables new user account controls to be used.
+       </p></li><li><p>
+       A corresponding Unix account, typically stored in
+       <tt class="filename">/etc/passwd</tt>.  Work is in progress to allow a
+       simplified mode of operation that does not require Unix user accounts, but
+       this may not be a feature of the early releases of Samba-3.
+       </p></li></ul></div><p>
+</p><p>
+There are three ways to create machine trust accounts:
+</p><div class="itemizedlist"><ul type="disc"><li><p>
+       Manual creation from the Unix/Linux command line. Here, both the Samba and
+       corresponding Unix account are created by hand.
+       </p></li><li><p>
+       Using the MS Windows NT4 Server Manager (either from an NT4 Domain member
+       server, or using the Nexus toolkit available from the Microsoft web site.
+       This tool can be run from any MS Windows machine so long as the user is
+       logged on as the administrator account.
+       </p></li><li><p>
+       &quot;On-the-fly&quot; creation. The Samba machine trust account is automatically
+       created by Samba at the time the client is joined to the domain.
+       (For security, this is the recommended method.) The corresponding Unix
+       account may be created automatically or manually. 
+       </p></li></ul></div><div class="sect2" lang="en"><div class="titlepage"><div><div><h3 class="title"><a name="id2880692"></a>Manual Creation of Machine Trust Accounts</h3></div></div><div></div></div><p>
+The first step in manually creating a machine trust account is to manually
+create the corresponding Unix account in <tt class="filename">/etc/passwd</tt>. 
+This can be done using <b class="command">vipw</b> or another 'add user' command
+that is normally used to create new Unix accounts.  The following is an example for a Linux based Samba server:
+</p><p>
+<tt class="prompt">root# </tt><b class="userinput"><tt>/usr/sbin/useradd -g 100 -d /dev/null -c <i class="replaceable"><tt>&quot;machine nickname&quot;</tt></i> -s /bin/false <i class="replaceable"><tt>machine_name</tt></i>$ </tt></b>
+</p><p>
+<tt class="prompt">root# </tt><b class="userinput"><tt>passwd -l <i class="replaceable"><tt>machine_name</tt></i>$</tt></b>
+</p><p>
+On *BSD systems, this can be done using the <b class="command">chpass</b> utility:
+</p><p>
+<tt class="prompt">root# </tt><b class="userinput"><tt>chpass -a &quot;<i class="replaceable"><tt>machine_name</tt></i>$:*:101:100::0:0:Workstation <i class="replaceable"><tt>machine_name</tt></i>:/dev/null:/sbin/nologin&quot;</tt></b>
+</p><p>
+The <tt class="filename">/etc/passwd</tt> entry will list the machine name 
+with a &quot;$&quot; appended, won't have a password, will have a null shell and no 
+home directory. For example a machine named 'doppy' would have an 
+<tt class="filename">/etc/passwd</tt> entry like this:
+</p><pre class="programlisting">
+doppy$:x:505:501:<i class="replaceable"><tt>machine_nickname</tt></i>:/dev/null:/bin/false
+</pre><p>
+Above, <i class="replaceable"><tt>machine_nickname</tt></i> can be any
+descriptive name for the client, i.e., BasementComputer.
+<i class="replaceable"><tt>machine_name</tt></i> absolutely must be the NetBIOS
+name of the client to be joined to the domain.  The &quot;$&quot; must be
+appended to the NetBIOS name of the client or Samba will not recognize
+this as a machine trust account.
+</p><p>
+Now that the corresponding Unix account has been created, the next step is to create 
+the Samba account for the client containing the well-known initial 
+machine trust account password.  This can be done using the <a href="smbpasswd.8.html" target="_top"><b class="command">smbpasswd(8)</b></a> command 
+as shown here:
+</p><p>
+</p><pre class="screen">
+<tt class="prompt">root# </tt><b class="userinput"><tt>smbpasswd -a -m <i class="replaceable"><tt>machine_name</tt></i></tt></b>
+</pre><p>
+</p><p>
+where <i class="replaceable"><tt>machine_name</tt></i> is the machine's NetBIOS
+name.  The RID of the new machine account is generated from the UID of 
+the corresponding Unix account.
+</p><div class="warning" style="margin-left: 0.5in; margin-right: 0.5in;"><h3 class="title">Join the client to the domain immediately</h3><p>
+       Manually creating a machine trust account using this method is the 
+       equivalent of creating a machine trust account on a Windows NT PDC using 
+       the <span class="application">Server Manager</span>.  From the time at which the 
+       account is created to the time which the client joins the domain and 
+       changes the password, your domain is vulnerable to an intruder joining 
+       your domain using a machine with the same NetBIOS name.  A PDC inherently 
+       trusts members of the domain and will serve out a large degree of user 
+       information to such clients.  You have been warned!
+       </p></div></div><div class="sect2" lang="en"><div class="titlepage"><div><div><h3 class="title"><a name="id2880944"></a>Using NT4 Server Manager to Add Machine Accounts to the Domain</h3></div></div><div></div></div><p>
+If the machine from which you are trying to manage the domain is an 
+<span class="application">MS Windows NT4 workstation</span>
+then the tool of choice is the package called <b class="command">SRVTOOLS.EXE</b>. 
+When executed in the target directory this will unpack 
+<b class="command">SrvMge.exe</b> and <b class="command">UsrMgr.exe</b> (both are 
+Domain Management tools for MS Windows NT4 workstation.
+</p><p>
+If your workstation is any other MS Windows product you should download the
+<b class="command">Nexus.exe</b> package from the Microsoft web site. When executed 
+from the target directory this will unpack the same tools but for use on 
+<span class="application">MS Windows 9x/Me/200x/XP</span>.
+</p><p>
+Launch the <b class="command">srvmgr.exe</b> (Server Manager for Domains) and follow these steps:
+</p><div class="procedure"><p class="title"><b>Procedure 7.1. Server Manager Account Machine Account Management</b></p><ol type="1"><li><p>
+       From the menu select <span class="guimenu">Computer</span>
+       </p></li><li><p>
+       Click on <span class="guimenuitem">Select Domain</span>
+       </p></li><li><p>
+       Click on the name of the domain you wish to administer in the
+       <span class="guilabel">Select Domain</span> panel and then click 
+       <span class="guibutton">OK</span>.
+       </p></li><li><p>
+       Again from the menu select <span class="guimenu">Computer</span>
+       </p></li><li><p>
+       Select <span class="guimenuitem">Add to Domain</span>
+       </p></li><li><p>
+       In the dialog box, click on the radio button to 
+       <span class="guilabel">Add NT Workstation of Server</span>, then
+       enter the machine name in the field provided, then click the 
+       <span class="guibutton">Add</span> button.
+       </p></li></ol></div></div><div class="sect2" lang="en"><div class="titlepage"><div><div><h3 class="title"><a name="id2881141"></a>&quot;On-the-Fly&quot; Creation of Machine Trust Accounts</h3></div></div><div></div></div><p>
+The second (and recommended) way of creating machine trust accounts is
+simply to allow the Samba server to create them as needed when the client
+is joined to the domain.
+</p><p>Since each Samba machine trust account requires a corresponding Unix account, a method
+for automatically creating the Unix account is usually supplied; this requires configuration of the
+<a href="smb.conf.5.html#ADDMACHINESCRIPT" target="_top">add machine script</a> option in
+<tt class="filename">smb.conf</tt>. This method is not required, however; corresponding Unix
+accounts may also be created manually.
+</p><p>
+Below is an example for a RedHat Linux system.
+</p><pre class="programlisting">
+[global]
+   # &lt;...remainder of parameters...&gt;
+   add machine script = /usr/sbin/useradd -d /dev/null -g 100 -s /bin/false -M %u 
+</pre></div><div class="sect2" lang="en"><div class="titlepage"><div><div><h3 class="title"><a name="id2881203"></a>Making an MS Windows Workstation or Server a Domain Member</h3></div></div><div></div></div><p>
+The procedure for making an MS Windows workstation of server a member of the domain varies
+with the version of Windows:
+</p><div class="sect3" lang="en"><div class="titlepage"><div><div><h4 class="title"><a name="id2881216"></a>Windows 200x XP Professional</h4></div></div><div></div></div><p>
+       When the user elects to make the client a domain member, Windows 200x prompts for
+       an account and password that has privileges to create  machine accounts in the domain.
+       A Samba administrative account (i.e., a Samba account that has root privileges on the
+       Samba server) must be entered here; the operation will fail if an ordinary user
+       account is given. 
+       </p><p>
+       Note: For security reasons the password for this administrative account should be set
+       to a password that is other than that used for the root user in the
+       <tt class="filename">/etc/passwd</tt>.
+       </p><p>
+       The name of the account that is used to create domain member machine accounts can be
+       anything the network administrator may choose. If it is other than <span class="emphasis"><em>root</em></span>
+       then this is easily mapped to root using the file pointed to be the <tt class="filename">smb.conf</tt> parameter
+       <i class="parameter"><tt>username map = /etc/samba/smbusers</tt></i>.
+       </p><p>
+       The session key of the Samba administrative account acts as an
+       encryption key for setting the password of the machine trust
+       account. The machine trust account will be created on-the-fly, or
+       updated if it already exists.
+       </p></div><div class="sect3" lang="en"><div class="titlepage"><div><div><h4 class="title"><a name="id2881283"></a>Windows NT4</h4></div></div><div></div></div><p>
+       If the machine trust account was created manually, on the
+       Identification Changes menu enter the domain name, but do not
+       check the box <span class="guilabel">Create a Computer Account in the Domain</span>.
+       In this case, the existing machine trust account is used to join the machine 
+       to the domain.
+       </p><p>
+       If the machine trust account is to be created
+       on-the-fly, on the Identification Changes menu enter the domain
+       name, and check the box <span class="guilabel">Create a Computer Account in the 
+       Domain</span>.  In this case, joining the domain proceeds as above
+       for Windows 2000 (i.e., you must supply a Samba administrative account when
+       prompted).
+       </p></div><div class="sect3" lang="en"><div class="titlepage"><div><div><h4 class="title"><a name="id2881324"></a>Samba</h4></div></div><div></div></div><p>Joining a Samba client to a domain is documented in 
+       the <a href="#domain-member-server" title="Domain Member Server">Domain Member Server</a> section of this chapter chapter.
+       </p></div></div></div><div class="sect1" lang="en"><div class="titlepage"><div><div><h2 class="title" style="clear: both"><a name="domain-member-server"></a>Domain Member Server</h2></div></div><div></div></div><p>
+This mode of server operation involves the Samba machine being made a member
+of a domain security context. This means by definition that all user
+authentication will be done from a centrally defined authentication regime. 
+The authentication regime may come from an NT3/4 style (old domain technology)
+server, or it may be provided from an Active Directory server (ADS) running on
+MS Windows 2000 or later.
+</p><p>
+<span class="emphasis"><em>
+Of course it should be clear that the authentication back end itself could be
+from any distributed directory architecture server that is supported by Samba.
+This can be LDAP (from OpenLDAP), or Sun's iPlanet, of NetWare Directory
+Server, etc.
+</em></span>
+</p><p>
+Please refer to the <a href="#samba-pdc" title="Chapter 5. Domain Control">Domain Control chapter</a>
+for more information regarding how to create a domain
+machine account for a domain member server as well as for information
+regarding how to enable the Samba domain member machine to join the domain and
+to be fully trusted by it.
+</p><div class="sect2" lang="en"><div class="titlepage"><div><div><h3 class="title"><a name="id2881406"></a>Joining an NT4 type Domain with Samba-3</h3></div></div><div></div></div><p>
+       </p><div class="table"><a name="id2881417"></a><p class="title"><b>Table 7.1. Assumptions</b></p><table summary="Assumptions" border="1"><colgroup><col><col></colgroup><tbody><tr><td align="left">NetBIOS name:</td><td align="left">SERV1</td></tr><tr><td align="left">Win2K/NT domain name:</td><td align="left">DOM</td></tr><tr><td align="left">Domain's PDC NetBIOS name:</td><td align="left">DOMPDC</td></tr><tr><td align="left">Domain's BDC NetBIOS names:</td><td align="left">DOMBDC1 and DOMBDC2</td></tr></tbody></table></div><p>
+</p><p>
+First, you must edit your <tt class="filename">smb.conf</tt> file to tell Samba it should
+now use domain security.
+</p><p>
+Change (or add) your <a href="smb.conf.5.html#SECURITY" target="_top">
+<i class="parameter"><tt>security</tt></i></a> line in the [global] section 
+of your <tt class="filename">smb.conf</tt> to read:
+</p><p>
+</p><pre class="programlisting">
+security = domain
+</pre><p>
+</p><p>
+Next change the <a href="smb.conf.5.html#WORKGROUP" target="_top"><i class="parameter"><tt>
+workgroup</tt></i></a> line in the <i class="parameter"><tt>[global]</tt></i>
+section to read: 
+</p><p>
+</p><pre class="programlisting">
+workgroup = DOM
+</pre><p>
+</p><p>
+as this is the name of the domain we are joining.
+</p><p>
+You must also have the parameter <a href="smb.conf.5.html#ENCRYPTPASSWORDS" target="_top">
+<i class="parameter"><tt>encrypt passwords</tt></i></a> set to <tt class="constant">yes
+</tt> in order for your users to authenticate to the NT PDC.
+</p><p>
+Finally, add (or modify) a <a href="smb.conf.5.html#PASSWORDSERVER" target="_top">
+<i class="parameter"><tt>password server</tt></i></a> line in the [global]
+section to read: 
+</p><p>
+</p><pre class="programlisting">
+password server = DOMPDC DOMBDC1 DOMBDC2
+</pre><p>
+</p><p>
+These are the primary and backup domain controllers Samba 
+will attempt to contact in order to authenticate users. Samba will 
+try to contact each of these servers in order, so you may want to 
+rearrange this list in order to spread out the authentication load 
+among domain controllers.
+</p><p>
+Alternatively, if you want smbd to automatically determine 
+the list of Domain controllers to use for authentication, you may 
+set this line to be:
+</p><p>
+</p><pre class="programlisting">
+password server = *
+</pre><p>
+</p><p>
+This method allows Samba to use exactly the same mechanism that NT does. This 
+method either broadcasts or uses a WINS database in order to
+find domain controllers to authenticate against.
+</p><p>
+In order to actually join the domain, you must run this command:
+</p><p>
+</p><pre class="screen">
+<tt class="prompt">root# </tt><b class="userinput"><tt>net join -S DOMPDC -U<i class="replaceable"><tt>Administrator%password</tt></i></tt></b>
+</pre><p>
+</p><p>
+If the <tt class="option">-S DOMPDC</tt> argument is not given then
+the domain name will be obtained from <tt class="filename">smb.conf</tt>.
+</p><p>
+As we are joining the domain DOM and the PDC for that domain 
+(the only machine that has write access to the domain SAM database) 
+is DOMPDC, we use it for the <tt class="option">-S</tt> option. 
+The <i class="replaceable"><tt>Administrator%password</tt></i> is 
+the login name and password for an account which has the necessary 
+privilege to add machines to the domain.  If this is successful 
+you will see the message:
+</p><p>
+<tt class="computeroutput">Joined domain DOM.</tt>
+or <tt class="computeroutput">Joined 'SERV1' to realm 'MYREALM'</tt>
+</p><p>
+in your terminal window. See the <a href="net.8.html" target="_top">
+net(8)</a> man page for more details.
+</p><p>
+This process joins the server to the domain without having to create the machine
+trust account on the PDC beforehand.
+</p><p>
+This command goes through the machine account password 
+change protocol, then writes the new (random) machine account 
+password for this Samba server into a file in the same directory 
+in which an smbpasswd file would be stored - normally:
+</p><p>
+<tt class="filename">/usr/local/samba/private/secrets.tdb</tt>
+</p><p>
+This file is created and owned by root and is not 
+readable by any other user. It is the key to the domain-level 
+security for your system, and should be treated as carefully 
+as a shadow password file.
+</p><p>
+Finally, restart your Samba daemons and get ready for 
+clients to begin using domain security!
+</p></div><div class="sect2" lang="en"><div class="titlepage"><div><div><h3 class="title"><a name="id2881788"></a>Why is this better than security = server?</h3></div></div><div></div></div><p>
+Currently, domain security in Samba doesn't free you from 
+having to create local Unix users to represent the users attaching 
+to your server. This means that if domain user <tt class="constant">DOM\fred
+</tt> attaches to your domain security Samba server, there needs 
+to be a local Unix user fred to represent that user in the Unix 
+filesystem. This is very similar to the older Samba security mode 
+<a href="smb.conf.5.html#SECURITYEQUALSSERVER" target="_top">security = server</a>, 
+where Samba would pass through the authentication request to a Windows 
+NT server in the same way as a Windows 95 or Windows 98 server would.
+</p><p>
+Please refer to the <a href="#winbind" title="Chapter 21. Integrated Logon Support using Winbind">Winbind</a> chapter 
+for information on a system to automatically
+assign UNIX uids and gids to Windows NT Domain users and groups.
+</p><p>
+The advantage to domain-level security is that the 
+authentication in domain-level security is passed down the authenticated 
+RPC channel in exactly the same way that an NT server would do it. This 
+means Samba servers now participate in domain trust relationships in 
+exactly the same way NT servers do (i.e., you can add Samba servers into 
+a resource domain and have the authentication passed on from a resource
+domain PDC to an account domain PDC).
+</p><p>
+In addition, with <i class="parameter"><tt>security = server</tt></i> every Samba 
+daemon on a server has to keep a connection open to the 
+authenticating server for as long as that daemon lasts. This can drain 
+the connection resources on a Microsoft NT server and cause it to run 
+out of available connections. With <i class="parameter"><tt>security = domain</tt></i>, 
+however, the Samba daemons connect to the PDC/BDC only for as long 
+as is necessary to authenticate the user, and then drop the connection, 
+thus conserving PDC connection resources.
+</p><p>
+And finally, acting in the same manner as an NT server 
+authenticating to a PDC means that as part of the authentication 
+reply, the Samba server gets the user identification information such 
+as the user SID, the list of NT groups the user belongs to, etc. 
+</p><div class="note" style="margin-left: 0.5in; margin-right: 0.5in;"><h3 class="title">Note</h3><p>
+Much of the text of this document 
+was first published in the Web magazine 
+<a href="http://www.linuxworld.com" target="_top">LinuxWorld</a> as the article <a href="http://www.linuxworld.com/linuxworld/lw-1998-10/lw-10-samba.html" target="_top">Doing 
+the NIS/NT Samba</a>.
+</p></div></div></div><div class="sect1" lang="en"><div class="titlepage"><div><div><h2 class="title" style="clear: both"><a name="ads-member"></a>Samba ADS Domain Membership</h2></div></div><div></div></div><p>
+This is a rough guide to setting up Samba 3.0 with Kerberos authentication against a
+Windows2000 KDC. A familiarity with Kerberos is assumed.
+</p><div class="sect2" lang="en"><div class="titlepage"><div><div><h3 class="title"><a name="id2881929"></a>Setup your <tt class="filename">smb.conf</tt></h3></div></div><div></div></div><p>
+You must use at least the following 3 options in <tt class="filename">smb.conf</tt>:
+</p><pre class="programlisting">
+       realm = your.kerberos.REALM
        security = ADS
        encrypt passwords = yes
 </pre><p>
 In case samba can't figure out your ads server using your realm name, use the 
-<b>ads server</b> option in <tt>smb.conf</tt>:
+<i class="parameter"><tt>ads server</tt></i> option in <tt class="filename">smb.conf</tt>:
 </p><pre class="programlisting">
        ads server = your.kerberos.server
 </pre><p>
-</p><div class="note" style="margin-left: 0.5in; margin-right: 0.5in;"><h3 class="title">Note</h3><p>You do *not* need a smbpasswd file, and older clients will
-  be authenticated as if <b>security = domain</b>,
-  although it won't do any harm
-  and allows you to have local users not in the domain.
-  I expect that the above required options will change soon when we get better
-  active directory integration.</p></div></div><div class="sect1" lang="en"><div class="titlepage"><div><h2 class="title" style="clear: both"><a name="id2862571"></a>Setup your <tt>/etc/krb5.conf</tt></h2></div></div><p>Note: you will need the krb5 workstation, devel, and libs installed</p><p>The minimal configuration for <tt>krb5.conf</tt> is:</p><pre class="programlisting">
+</p><div class="note" style="margin-left: 0.5in; margin-right: 0.5in;"><h3 class="title">Note</h3><p>
+You do <span class="emphasis"><em>not</em></span> need a smbpasswd file, and older clients will be authenticated as 
+if <i class="parameter"><tt>security = domain</tt></i>, although it won't do any harm and 
+allows you to have local users not in the domain. It is expected that the above 
+required options will change soon when active directory integration will get 
+better.
+</p></div></div><div class="sect2" lang="en"><div class="titlepage"><div><div><h3 class="title"><a name="id2882013"></a>Setup your <tt class="filename">/etc/krb5.conf</tt></h3></div></div><div></div></div><p>
+The minimal configuration for <tt class="filename">krb5.conf</tt> is:
+</p><pre class="programlisting">
        [realms]
            YOUR.KERBEROS.REALM = {
                kdc = your.kerberos.server
            }
-</pre><p>Test your config by doing a <b><tt>kinit
-<i><tt>USERNAME</tt></i>@<i><tt>REALM</tt></i></tt></b> and
+</pre><p>
+Test your config by doing a <b class="userinput"><tt>kinit
+<i class="replaceable"><tt>USERNAME</tt></i>@<i class="replaceable"><tt>REALM</tt></i></tt></b> and
 making sure that your password is accepted by the Win2000 KDC.
-</p><div class="note" style="margin-left: 0.5in; margin-right: 0.5in;"><h3 class="title">Note</h3><p>The realm must be uppercase or you will get &quot;Cannot find KDC for requested
-realm while getting initial credentials&quot; error </p></div><div class="note" style="margin-left: 0.5in; margin-right: 0.5in;"><h3 class="title">Note</h3><p>Time between the two servers must be synchronized.  You will get a
-&quot;kinit(v5): Clock skew too great while getting initial credentials&quot; if the time
-difference is more than five minutes. </p></div><p>
+</p><div class="note" style="margin-left: 0.5in; margin-right: 0.5in;"><h3 class="title">Note</h3><p>
+The realm must be uppercase or you will get <span class="errorname">Cannot find KDC for
+requested realm while getting initial credentials</span> error.
+</p></div><div class="note" style="margin-left: 0.5in; margin-right: 0.5in;"><h3 class="title">Note</h3><p>
+Time between the two servers must be synchronized.  You will get a
+<span class="errorname">kinit(v5): Clock skew too great while getting initial credentials</span>
+if the time difference is more than five minutes. 
+</p></div><p>
 You also must ensure that you can do a reverse DNS lookup on the IP
 address of your KDC. Also, the name that this reverse lookup maps to
-must either be the netbios name of the KDC (ie. the hostname with no
-domain attached) or it can alternatively be the netbios name
+must either be the NetBIOS name of the KDC (ie. the hostname with no
+domain attached) or it can alternatively be the NetBIOS name
 followed by the realm. 
 </p><p>
 The easiest way to ensure you get this right is to add a 
-<tt>/etc/hosts</tt> entry mapping the IP address of your KDC to 
-its netbios name. If you don't get this right then you will get a 
-&quot;local error&quot; when you try to join the realm.
+<tt class="filename">/etc/hosts</tt> entry mapping the IP address of your KDC to 
+its NetBIOS name. If you don't get this right then you will get a 
+<span class="errorname">local error</span> when you try to join the realm.
 </p><p>
-If all you want is kerberos support in smbclient then you can skip
-straight to <a href="#ads-test-smbclient" title="Testing with smbclient">Test with smbclient</a> now. 
+If all you want is Kerberos support in <span class="application">smbclient</span> then you can skip
+straight to <a href="#ads-test-smbclient" title="Testing with smbclient">Test with <span class="application">smbclient</span></a> now. 
 <a href="#ads-create-machine-account" title="Create the computer account">Creating a computer account</a> 
 and <a href="#ads-test-server" title="Test your server setup">testing your servers</a>
-is only needed if you want kerberos support for smbd and winbindd.
-</p></div><div class="sect1" lang="en"><div class="titlepage"><div><h2 class="title" style="clear: both"><a name="ads-create-machine-account"></a>Create the computer account</h2></div></div><p>
+is only needed if you want Kerberos support for <span class="application">smbd</span> and <span class="application">winbindd</span>.
+</p></div><div class="sect2" lang="en"><div class="titlepage"><div><div><h3 class="title"><a name="ads-create-machine-account"></a>Create the computer account</h3></div></div><div></div></div><p>
 As a user that has write permission on the Samba private directory
 (usually root) run:
 </p><pre class="programlisting">
-       <b><tt>net join -U Administrator%password</tt></b>
-</pre><p>
-</p><div class="sect2" lang="en"><div class="titlepage"><div><h3 class="title"><a name="id2862765"></a>Possible errors</h3></div></div><p>
-</p><div class="variablelist"><dl><dt><span class="term">&quot;ADS support not compiled in&quot;</span></dt><dd><p>Samba must be reconfigured (remove config.cache) and recompiled
-       (make clean all install) after the kerberos libs and headers are installed.
-       </p></dd><dt><span class="term">net join prompts for user name</span></dt><dd><p>You need to login to the domain using <b><tt>kinit
-       <i><tt>USERNAME</tt></i>@<i><tt>REALM</tt></i></tt></b>.
-       <i><tt>USERNAME</tt></i> must be a user who has rights to add a machine
+       <tt class="prompt">root# </tt><b class="userinput"><tt>net join -U Administrator%password</tt></b>
+</pre><p>
+</p><div class="sect3" lang="en"><div class="titlepage"><div><div><h4 class="title"><a name="id2882222"></a>Possible errors</h4></div></div><div></div></div><p>
+</p><div class="variablelist"><dl><dt><span class="term"><span class="errorname">ADS support not compiled in</span></span></dt><dd><p>Samba must be reconfigured (remove config.cache) and recompiled
+       (make clean all install) after the Kerberos libs and headers are installed.
+       </p></dd><dt><span class="term"><span class="errorname">net join prompts for user name</span></span></dt><dd><p>You need to login to the domain using <b class="userinput"><tt>kinit
+       <i class="replaceable"><tt>USERNAME</tt></i>@<i class="replaceable"><tt>REALM</tt></i></tt></b>.
+       <i class="replaceable"><tt>USERNAME</tt></i> must be a user who has rights to add a machine
        to the domain.  </p></dd></dl></div><p>
-</p></div></div><div class="sect1" lang="en"><div class="titlepage"><div><h2 class="title" style="clear: both"><a name="ads-test-server"></a>Test your server setup</h2></div></div><p>
+</p></div></div><div class="sect2" lang="en"><div class="titlepage"><div><div><h3 class="title"><a name="ads-test-server"></a>Test your server setup</h3></div></div><div></div></div><p>
 If the join was successful, you will see a new computer account with the
 NetBIOS name of your Samba server in Active Directory (in the &quot;Computers&quot;
 folder under Users and Computers.
 </p><p>
-On a Windows 2000 client try <b><tt>net use * \\server\share</tt></b>. You should
-be logged in with kerberos without needing to know a password. If
-this fails then run <b><tt>klist tickets</tt></b>. Did you get a ticket for the
+On a Windows 2000 client try <b class="userinput"><tt>net use * \\server\share</tt></b>. You should
+be logged in with Kerberos without needing to know a password. If
+this fails then run <b class="userinput"><tt>klist tickets</tt></b>. Did you get a ticket for the
 server? Does it have an encoding type of DES-CBC-MD5 ? 
-</p></div><div class="sect1" lang="en"><div class="titlepage"><div><h2 class="title" style="clear: both"><a name="ads-test-smbclient"></a>Testing with smbclient</h2></div></div><p>
+</p></div><div class="sect2" lang="en"><div class="titlepage"><div><div><h3 class="title"><a name="ads-test-smbclient"></a>Testing with <span class="application">smbclient</span></h3></div></div><div></div></div><p>
 On your Samba server try to login to a Win2000 server or your Samba
-server using smbclient and kerberos. Use smbclient as usual, but
-specify the <i><tt>-k</tt></i> option to choose kerberos authentication.
-</p></div><div class="sect1" lang="en"><div class="titlepage"><div><h2 class="title" style="clear: both"><a name="id2862919"></a>Notes</h2></div></div><p>You must change administrator password at least once after DC 
-install, to create the right encoding types</p><p>w2k doesn't seem to create the _kerberos._udp and _ldap._tcp in
-   their defaults DNS setup. Maybe fixed in service packs?</p></div></div><div class="chapter" lang="en"><div class="titlepage"><div><h2 class="title"><a name="domain-member"></a>Chapter 8. Samba as a NT4 or Win2k domain member</h2></div><div><div class="author"><h3 class="author">Jeremy Allison</h3><div class="affiliation"><span class="orgname">Samba Team<br></span><div class="address"><p><tt>&lt;<a href="mailto:jra@samba.org">jra@samba.org</a>&gt;</tt></p></div></div></div></div><div><div class="author"><h3 class="author">Gerald (Jerry) Carter</h3><div class="affiliation"><span class="orgname">Samba Team<br></span><div class="address"><p><tt>&lt;<a href="mailto:jerry@samba.org">jerry@samba.org</a>&gt;</tt></p></div></div></div></div><div><p class="pubdate">16 Apr 2001</p></div></div><div class="toc"><p><b>Table of Contents</b></p><dl><dt><a href="#id2862413">Joining an NT Domain with Samba 3.0</a></dt><dt><a href="#id2863318">Why is this better than security = server?</a></dt></dl></div><div class="sect1" lang="en"><div class="titlepage"><div><h2 class="title" style="clear: both"><a name="id2862413"></a>Joining an NT Domain with Samba 3.0</h2></div></div><p><span class="emphasis"><em>Assumptions:</em></span>
-       </p><pre class="programlisting">
-               NetBIOS name: SERV1
-               Win2K/NT domain name: DOM
-               Domain's PDC NetBIOS name: DOMPDC
-               Domain's BDC NetBIOS names: DOMBDC1 and DOMBDC2
-       </pre><p>
-       </p><p>First, you must edit your <tt>smb.conf</tt> file to tell Samba it should
-       now use domain security.</p><p>Change (or add) your <a href="smb.conf.5.html#SECURITY" target="_top">
-       <i><tt>security =</tt></i></a> line in the [global] section 
-       of your <tt>smb.conf</tt> to read:</p><p><b>security = domain</b></p><p>Next change the <a href="smb.conf.5.html#WORKGROUP" target="_top"><i><tt>
-       workgroup =</tt></i></a> line in the [global] section to read: </p><p><b>workgroup = DOM</b></p><p>as this is the name of the domain we are joining. </p><p>You must also have the parameter <a href="smb.conf.5.html#ENCRYPTPASSWORDS" target="_top">
-       <i><tt>encrypt passwords</tt></i></a> set to <tt>yes
-       </tt> in order for your users to authenticate to the NT PDC.</p><p>Finally, add (or modify) a <a href="smb.conf.5.html#PASSWORDSERVER" target="_top">
-       <i><tt>password server =</tt></i></a> line in the [global]
-       section to read: </p><p><b>password server = DOMPDC DOMBDC1 DOMBDC2</b></p><p>These are the primary and backup domain controllers Samba 
-       will attempt to contact in order to authenticate users. Samba will 
-       try to contact each of these servers in order, so you may want to 
-       rearrange this list in order to spread out the authentication load 
-       among domain controllers.</p><p>Alternatively, if you want smbd to automatically determine 
-       the list of Domain controllers to use for authentication, you may 
-       set this line to be :</p><p><b>password server = *</b></p><p>This method, allows Samba to use exactly the same
-        mechanism that NT does. This 
-       method either broadcasts or uses a WINS database in order to
-       find domain controllers to authenticate against.</p><p>In order to actually join the domain, you must run this
-        command:</p><p><tt>root# </tt><b><tt>net join -S DOMPDC
-       -U<i><tt>Administrator%password</tt></i></tt></b></p><p>
-       If the <b><tt>-S DOMPDC</tt></b> argument is not given then
-       the domain name will be obtained from smb.conf.
-       </p><p>as we are joining the domain DOM and the PDC for that domain 
-       (the only machine that has write access to the domain SAM database) 
-       is DOMPDC. The <i><tt>Administrator%password</tt></i> is 
-       the login name and password for an account which has the necessary 
-       privilege to add machines to the domain.  If this is successful 
-       you will see the message:</p><p><tt>Joined domain DOM.</tt>
-       or <tt>Joined 'SERV1' to realm 'MYREALM'</tt>
-       </p><p>in your terminal window. See the <a href="net.8.html" target="_top">
-       net(8)</a> man page for more details.</p><p>This process joins the server to the domain
-       without having to create the machine trust account on the PDC
-       beforehand.</p><p>This command goes through the machine account password 
-       change protocol, then writes the new (random) machine account 
-       password for this Samba server into a file in the same directory 
-       in which an smbpasswd file would be stored - normally :</p><p><tt>/usr/local/samba/private/secrets.tdb</tt></p><p>This file is created and owned by root and is not 
-       readable by any other user. It is the key to the domain-level 
-       security for your system, and should be treated as carefully 
-       as a shadow password file.</p><p>Finally, restart your Samba daemons and get ready for 
-       clients to begin using domain security!</p></div><div class="sect1" lang="en"><div class="titlepage"><div><h2 class="title" style="clear: both"><a name="id2863318"></a>Why is this better than security = server?</h2></div></div><p>Currently, domain security in Samba doesn't free you from 
-       having to create local Unix users to represent the users attaching 
-       to your server. This means that if domain user <tt>DOM\fred
-       </tt> attaches to your domain security Samba server, there needs 
-       to be a local Unix user fred to represent that user in the Unix 
-       filesystem. This is very similar to the older Samba security mode 
-       <a href="smb.conf.5.html#SECURITYEQUALSSERVER" target="_top">security = server</a>, 
-       where Samba would pass through the authentication request to a Windows 
-       NT server in the same way as a Windows 95 or Windows 98 server would.
-       </p><p>Please refer to the <a href="winbind.html" target="_top">Winbind 
-       paper</a> for information on a system to automatically
-       assign UNIX uids and gids to Windows NT Domain users and groups.
-       </p><p>The advantage to domain-level security is that the 
-       authentication in domain-level security is passed down the authenticated 
-       RPC channel in exactly the same way that an NT server would do it. This 
-       means Samba servers now participate in domain trust relationships in 
-       exactly the same way NT servers do (i.e., you can add Samba servers into 
-       a resource domain and have the authentication passed on from a resource
-       domain PDC to an account domain PDC).</p><p>In addition, with <b>security = server</b> every Samba 
-       daemon on a server has to keep a connection open to the 
-       authenticating server for as long as that daemon lasts. This can drain 
-       the connection resources on a Microsoft NT server and cause it to run 
-       out of available connections. With <b>security = domain</b>, 
-       however, the Samba daemons connect to the PDC/BDC only for as long 
-       as is necessary to authenticate the user, and then drop the connection, 
-       thus conserving PDC connection resources.</p><p>And finally, acting in the same manner as an NT server 
-       authenticating to a PDC means that as part of the authentication 
-       reply, the Samba server gets the user identification information such 
-       as the user SID, the list of NT groups the user belongs to, etc. </p><div class="note" style="margin-left: 0.5in; margin-right: 0.5in;"><h3 class="title">Note</h3><p> Much of the text of this document 
-       was first published in the Web magazine <a href="http://www.linuxworld.com" target="_top">      
-       LinuxWorld</a> as the article <a href="http://www.linuxworld.com/linuxworld/lw-1998-10/lw-10-samba.html" target="_top">Doing 
-       the NIS/NT Samba</a>.</p></div></div></div></div><div class="part" lang="en"><div class="titlepage"><div><h1 class="title"><a name="optional"></a>Advanced Configuration</h1></div></div><div class="partintro" lang="en"><div><div><h1 class="title"><a name="id2859626"></a>Valuable Nuts and Bolts Information</h1></div></div><p>
-Samba has several features that you might want or might not want to use. The chapters in this part each cover specific Samba features.
-</p><div class="toc"><p><b>Table of Contents</b></p><dl><dt>9. <a href="#NetworkBrowsing">Samba / MS Windows Network Browsing Guide</a></dt><dd><dl><dt><a href="#id2862996">What is Browsing?</a></dt><dt><a href="#id2863646">Discussion</a></dt><dt><a href="#id2863809">How Browsing Functions</a></dt><dd><dl><dt><a href="#id2863936">Setting up WORKGROUP Browsing</a></dt><dt><a href="#id2864124">Setting up DOMAIN Browsing</a></dt><dt><a href="#browse-force-master">Forcing samba to be the master</a></dt><dt><a href="#id2864390">Making samba the domain master</a></dt><dt><a href="#id2864538">Note about broadcast addresses</a></dt><dt><a href="#id2864555">Multiple interfaces</a></dt><dt><a href="#id2864584">Use of the Remote Announce parameter</a></dt><dt><a href="#id2864695">Use of the Remote Browse Sync parameter</a></dt></dl></dd><dt><a href="#id2864763">WINS - The Windows Internetworking Name Server</a></dt><dd><dl><dt><a href="#id2863586">Setting up a WINS server</a></dt><dt><a href="#id2865218">WINS Replication</a></dt><dt><a href="#id2865243">Static WINS Entries</a></dt></dl></dd><dt><a href="#id2865274">Helpful Hints</a></dt><dd><dl><dt><a href="#id2865287">Windows Networking Protocols</a></dt><dt><a href="#id2865354">Name Resolution Order</a></dt></dl></dd><dt><a href="#id2865470">Technical Overview of browsing</a></dt><dd><dl><dt><a href="#id2865517">Browsing support in samba</a></dt><dt><a href="#id2865624">Problem resolution</a></dt><dt><a href="#id2865703">Browsing across subnets</a></dt></dl></dd></dl></dd><dt>10. <a href="#passdb">User information database</a></dt><dd><dl><dt><a href="#id2866099">Introduction</a></dt><dt><a href="#id2866152">Important Notes About Security</a></dt><dd><dl><dt><a href="#id2866314">Advantages of SMB Encryption</a></dt><dt><a href="#id2866353">Advantages of non-encrypted passwords</a></dt></dl></dd><dt><a href="#id2866388">The smbpasswd Command</a></dt><dt><a href="#id2866568">Plain text</a></dt><dt><a href="#id2866597">TDB</a></dt><dt><a href="#id2866613">LDAP</a></dt><dd><dl><dt><a href="#id2866621">Introduction</a></dt><dt><a href="#id2866721">Encrypted Password Database</a></dt><dt><a href="#id2866860">Supported LDAP Servers</a></dt><dt><a href="#id2866898">Schema and Relationship to the RFC 2307 posixAccount</a></dt><dt><a href="#id2867008">Configuring Samba with LDAP</a></dt><dt><a href="#id2867304">Accounts and Groups management</a></dt><dt><a href="#id2867341">Security and sambaAccount</a></dt><dt><a href="#id2867456">LDAP specials attributes for sambaAccounts</a></dt><dt><a href="#id2867737">Example LDIF Entries for a sambaAccount</a></dt></dl></dd><dt><a href="#id2867793">MySQL</a></dt><dd><dl><dt><a href="#id2867800">Creating the database</a></dt><dt><a href="#id2867854">Configuring</a></dt><dt><a href="#id2867999">Using plaintext passwords or encrypted password</a></dt><dt><a href="#id2868029">Getting non-column data from the table</a></dt></dl></dd><dt><a href="#id2868072">XML</a></dt></dl></dd><dt>11. <a href="#unix-permissions">UNIX Permission Bits and Windows NT Access Control Lists</a></dt><dd><dl><dt><a href="#id2865054">Viewing and changing UNIX permissions using the NT 
-       security dialogs</a></dt><dt><a href="#id2864937">How to view file security on a Samba share</a></dt><dt><a href="#id2868280">Viewing file ownership</a></dt><dt><a href="#id2868401">Viewing file or directory permissions</a></dt><dd><dl><dt><a href="#id2868484">File Permissions</a></dt><dt><a href="#id2868587">Directory Permissions</a></dt></dl></dd><dt><a href="#id2868637">Modifying file or directory permissions</a></dt><dt><a href="#id2868797">Interaction with the standard Samba create mask 
-       parameters</a></dt><dt><a href="#id2869113">Interaction with the standard Samba file attribute 
-       mapping</a></dt></dl></dd><dt>12. <a href="#groupmapping">Configuring Group Mapping</a></dt><dt>13. <a href="#printing">Printing Support</a></dt><dd><dl><dt><a href="#id2869498">Introduction</a></dt><dt><a href="#id2869614">Configuration</a></dt><dd><dl><dt><a href="#id2869661">Creating [print$]</a></dt><dt><a href="#id2869893">Setting Drivers for Existing Printers</a></dt><dt><a href="#id2869992">Support a large number of printers</a></dt><dt><a href="#id2870099">Adding New Printers via the Windows NT APW</a></dt><dt><a href="#id2870231">Samba and Printer Ports</a></dt></dl></dd><dt><a href="#id2869233">The Imprints Toolset</a></dt><dd><dl><dt><a href="#id2869259">What is Imprints?</a></dt><dt><a href="#id2870336">Creating Printer Driver Packages</a></dt><dt><a href="#id2870355">The Imprints server</a></dt><dt><a href="#id2870379">The Installation Client</a></dt></dl></dd><dt><a href="#id2869340">Diagnosis</a></dt><dd><dl><dt><a href="#id2869347">Introduction</a></dt><dt><a href="#id2870552">Debugging printer problems</a></dt><dt><a href="#id2870619">What printers do I have?</a></dt><dt><a href="#id2870661">Setting up printcap and print servers</a></dt><dt><a href="#id2870795">Job sent, no output</a></dt><dt><a href="#id2871344">Job sent, strange output</a></dt><dt><a href="#id2871420">Raw PostScript printed</a></dt><dt><a href="#id2871438">Advanced Printing</a></dt><dt><a href="#id2871464">Real debugging</a></dt></dl></dd></dl></dd><dt>14. <a href="#CUPS-printing">CUPS Printing Support</a></dt><dd><dl><dt><a href="#id2871008">Introduction</a></dt><dt><a href="#id2871067">Configuring smb.conf for CUPS</a></dt><dt><a href="#id2871607">CUPS - RAW Print Through Mode</a></dt><dt><a href="#id2871091">CUPS as a network PostScript RIP</a></dt><dt><a href="#id2872272">Windows Terminal Servers (WTS) as CUPS clients</a></dt><dt><a href="#id2872314">Setting up CUPS for driver download</a></dt><dt><a href="#id2872401">Sources of CUPS drivers / PPDs</a></dt><dd><dl><dt><a href="#id2872566">cupsaddsmb</a></dt></dl></dd><dt><a href="#id2872915">The CUPS Filter Chains</a></dt><dt><a href="#id2873302">CUPS Print Drivers and Devices</a></dt><dd><dl><dt><a href="#id2873339">Further printing steps</a></dt></dl></dd><dt><a href="#id2873758">Limiting the number of pages users can print</a></dt><dt><a href="#id2874367">Advanced Postscript Printing from MS Windows</a></dt><dt><a href="#id2874473">Auto-Deletion of CUPS spool files</a></dt></dl></dd><dt>15. <a href="#winbind">Unified Logons between Windows NT and UNIX using Winbind</a></dt><dd><dl><dt><a href="#id2874714">Abstract</a></dt><dt><a href="#id2874743">Introduction</a></dt><dt><a href="#id2874814">What Winbind Provides</a></dt><dd><dl><dt><a href="#id2872076">Target Uses</a></dt></dl></dd><dt><a href="#id2872107">How Winbind Works</a></dt><dd><dl><dt><a href="#id2872135">Microsoft Remote Procedure Calls</a></dt><dt><a href="#id2872170">Microsoft Active Directory Services</a></dt><dt><a href="#id2872192">Name Service Switch</a></dt><dt><a href="#id2875280">Pluggable Authentication Modules</a></dt><dt><a href="#id2875352">User and Group ID Allocation</a></dt><dt><a href="#id2875387">Result Caching</a></dt></dl></dd><dt><a href="#id2875414">Installation and Configuration</a></dt><dd><dl><dt><a href="#id2875442">Introduction</a></dt><dt><a href="#id2875518">Requirements</a></dt><dt><a href="#id2875611">Testing Things Out</a></dt></dl></dd><dt><a href="#id2877210">Limitations</a></dt><dt><a href="#id2877264">Conclusion</a></dt></dl></dd><dt>16. <a href="#AdvancedNetworkManagement">Advanced Network Manangement</a></dt><dd><dl><dt><a href="#id2875143">Configuring Samba Share Access Controls</a></dt><dd><dl><dt><a href="#id2874905">Share Permissions Management</a></dt></dl></dd><dt><a href="#id2874974">Remote Server Administration</a></dt><dt><a href="#id2875057">Network Logon Script Magic</a></dt><dd><dl><dt><a href="#id2877889">Adding printers without user intervention</a></dt></dl></dd></dl></dd><dt>17. <a href="#PolicyMgmt">System and Account Policies</a></dt><dd><dl><dt><a href="#id2877672">Creating and Managing System Policies</a></dt><dd><dl><dt><a href="#id2877925">Windows 9x/Me Policies</a></dt><dt><a href="#id2878014">Windows NT4 Style Policy Files</a></dt><dt><a href="#id2878140">MS Windows 200x / XP Professional Policies</a></dt></dl></dd><dt><a href="#id2878344">Managing Account/User Policies</a></dt><dd><dl><dt><a href="#id2878457">With Windows NT4/200x</a></dt><dt><a href="#id2878478">With a Samba PDC</a></dt></dl></dd><dt><a href="#id2878502">System Startup and Logon Processing Overview</a></dt></dl></dd><dt>18. <a href="#ProfileMgmt">Desktop Profile Management</a></dt><dd><dl><dt><a href="#id2877599">Roaming Profiles</a></dt><dd><dl><dt><a href="#id2877483">Samba Configuration for Profile Handling</a></dt><dt><a href="#id2879080">Windows Client Profile Configuration Information</a></dt><dt><a href="#id2879695">Sharing Profiles between W9x/Me and NT4/200x/XP workstations</a></dt><dt><a href="#id2879742">Profile Migration from Windows NT4/200x Server to Samba</a></dt></dl></dd><dt><a href="#id2879925">Mandatory profiles</a></dt><dt><a href="#id2879970">Creating/Managing Group Profiles</a></dt><dt><a href="#id2880011">Default Profile for Windows Users</a></dt><dd><dl><dt><a href="#id2880040">MS Windows 9x/Me</a></dt><dt><a href="#id2880129">MS Windows NT4 Workstation</a></dt><dt><a href="#id2880513">MS Windows 200x/XP</a></dt></dl></dd></dl></dd><dt>19. <a href="#InterdomainTrusts">Interdomain Trust Relationships</a></dt><dd><dl><dt><a href="#id2878684">Trust Relationship Background</a></dt><dt><a href="#id2881006">Native MS Windows NT4 Trusts Configuration</a></dt><dd><dl><dt><a href="#id2881019">NT4 as the Trusting Domain (ie. creating the trusted account)</a></dt><dt><a href="#id2881063">NT4 as the Trusted Domain (ie. creating trusted account's password)</a></dt></dl></dd><dt><a href="#id2881087">Configuring Samba NT-style Domain Trusts</a></dt><dd><dl><dt><a href="#id2881114">Samba-3 as the Trusting Domain</a></dt><dt><a href="#id2881210">Samba-3 as the Trusted Domain</a></dt></dl></dd></dl></dd><dt>20. <a href="#pam">PAM Configuration for Centrally Managed Authentication</a></dt><dd><dl><dt><a href="#id2880956">Samba and PAM</a></dt><dd><dl><dt><a href="#id2881738">PAM Configuration in smb.conf</a></dt><dt><a href="#id2881795">Password Synchronisation using pam_smbpass.so</a></dt></dl></dd><dt><a href="#id2882047">Distributed Authentication</a></dt></dl></dd><dt>21. <a href="#VFS">Stackable VFS modules</a></dt><dd><dl><dt><a href="#id2881331">Introduction and configuration</a></dt><dt><a href="#id2882249">Included modules</a></dt><dd><dl><dt><a href="#id2882256">audit</a></dt><dt><a href="#id2882295">extd_audit</a></dt><dt><a href="#id2882416">recycle</a></dt><dt><a href="#id2882554">netatalk</a></dt></dl></dd><dt><a href="#id2882592">VFS modules available elsewhere</a></dt><dd><dl><dt><a href="#id2882614">DatabaseFS</a></dt><dt><a href="#id2882669">vscan</a></dt></dl></dd></dl></dd><dt>22. <a href="#msdfs">Hosting a Microsoft Distributed File System tree on Samba</a></dt><dd><dl><dt><a href="#id2882214">Instructions</a></dt><dd><dl><dt><a href="#id2882961">Notes</a></dt></dl></dd></dl></dd><dt>23. <a href="#integrate-ms-networks">Integrating MS Windows networks with Samba</a></dt><dd><dl><dt><a href="#id2882745">Name Resolution in a pure Unix/Linux world</a></dt><dd><dl><dt><a href="#id2883178">/etc/hosts</a></dt><dt><a href="#id2883316">/etc/resolv.conf</a></dt><dt><a href="#id2883360">/etc/host.conf</a></dt><dt><a href="#id2883403">/etc/nsswitch.conf</a></dt></dl></dd><dt><a href="#id2883498">Name resolution as used within MS Windows networking</a></dt><dd><dl><dt><a href="#id2883030">The NetBIOS Name Cache</a></dt><dt><a href="#id2883069">The LMHOSTS file</a></dt><dt><a href="#id2883112">HOSTS file</a></dt><dt><a href="#id2883144">DNS Lookup</a></dt><dt><a href="#id2883156">WINS Lookup</a></dt></dl></dd></dl></dd><dt>24. <a href="#securing-samba">Securing Samba</a></dt><dd><dl><dt><a href="#id2883603">Introduction</a></dt><dt><a href="#id2883619">Using host based protection</a></dt><dt><a href="#id2884070">Using interface protection</a></dt><dt><a href="#id2884122">Using a firewall</a></dt><dt><a href="#id2884164">Using a IPC$ share deny</a></dt><dt><a href="#id2883724">NTLMv2 Security</a></dt><dt><a href="#id2883760">Upgrading Samba</a></dt></dl></dd><dt>25. <a href="#unicode">Unicode/Charsets</a></dt><dd><dl><dt><a href="#id2884358">What are charsets and unicode?</a></dt><dt><a href="#id2884428">Samba and charsets</a></dt><dt><a href="#id2884517">Conversion from old names</a></dt><dt><a href="#id2884562">Japanese charsets</a></dt></dl></dd><dt>26. <a href="#locking">File and Record Locking</a></dt><dd><dl><dt><a href="#id2884210">Discussion</a></dt><dt><a href="#id2884872">Samba Opportunistic Locking Control</a></dt><dt><a href="#id2884987">MS Windows Opportunistic Locking and Caching Controls</a></dt><dd><dl><dt><a href="#id2885212">Workstation Service Entries</a></dt><dt><a href="#id2885239">Server Service Entries</a></dt></dl></dd><dt><a href="#id2885320">Persistent Data Corruption</a></dt><dt><a href="#id2885350">Additional Reading</a></dt></dl></dd></dl></div></div><div class="chapter" lang="en"><div class="titlepage"><div><h2 class="title"><a name="NetworkBrowsing"></a>Chapter 9. Samba / MS Windows Network Browsing Guide</h2></div><div><div class="author"><h3 class="author">John H. Terpstra</h3><div class="affiliation"><span class="orgname">Samba Team<br></span><div class="address"><p><tt>&lt;<a href="mailto:jht@samba.org">jht@samba.org</a>&gt;</tt></p></div></div></div></div><div><p class="pubdate">July 5, 1998</p></div><div><p class="pubdate">Updated: April 21, 2003</p></div></div><div class="toc"><p><b>Table of Contents</b></p><dl><dt><a href="#id2862996">What is Browsing?</a></dt><dt><a href="#id2863646">Discussion</a></dt><dt><a href="#id2863809">How Browsing Functions</a></dt><dd><dl><dt><a href="#id2863936">Setting up WORKGROUP Browsing</a></dt><dt><a href="#id2864124">Setting up DOMAIN Browsing</a></dt><dt><a href="#browse-force-master">Forcing samba to be the master</a></dt><dt><a href="#id2864390">Making samba the domain master</a></dt><dt><a href="#id2864538">Note about broadcast addresses</a></dt><dt><a href="#id2864555">Multiple interfaces</a></dt><dt><a href="#id2864584">Use of the Remote Announce parameter</a></dt><dt><a href="#id2864695">Use of the Remote Browse Sync parameter</a></dt></dl></dd><dt><a href="#id2864763">WINS - The Windows Internetworking Name Server</a></dt><dd><dl><dt><a href="#id2863586">Setting up a WINS server</a></dt><dt><a href="#id2865218">WINS Replication</a></dt><dt><a href="#id2865243">Static WINS Entries</a></dt></dl></dd><dt><a href="#id2865274">Helpful Hints</a></dt><dd><dl><dt><a href="#id2865287">Windows Networking Protocols</a></dt><dt><a href="#id2865354">Name Resolution Order</a></dt></dl></dd><dt><a href="#id2865470">Technical Overview of browsing</a></dt><dd><dl><dt><a href="#id2865517">Browsing support in samba</a></dt><dt><a href="#id2865624">Problem resolution</a></dt><dt><a href="#id2865703">Browsing across subnets</a></dt></dl></dd></dl></div><p>
-This document contains detailed information as well as a fast track guide to
-implementing browsing across subnets and / or across workgroups (or domains).
-WINS is the best tool for resolution of NetBIOS names to IP addesses. WINS is
-NOT involved in browse list handling except by way of name to address resolution.
-</p><div class="note" style="margin-left: 0.5in; margin-right: 0.5in;"><h3 class="title">Note</h3><p>
-MS Windows 2000 and later can be configured to operate with NO NetBIOS 
-over TCP/IP. Samba-3 and later also supports this mode of operation.
-When the use of NetBIOS over TCP/IP has been disabled then the primary
-means for resolution of MS Windows machine names is via DNS and Active Directory.
-The following information assumes that your site is running NetBIOS over TCP/IP.
-</p></div><div class="sect1" lang="en"><div class="titlepage"><div><h2 class="title" style="clear: both"><a name="id2862996"></a>What is Browsing?</h2></div></div><p>
-To most people browsing means that they can see the MS Windows and Samba servers
-in the Network Neighborhood, and when the computer icon for a particular server is
-clicked, it opens up and shows the shares and printers available on the target server.
-</p><p>
-What seems so simple is in fact a very complex interaction of different technologies.
+server using <span class="application">smbclient</span> and Kerberos. Use <span class="application">smbclient</span> as usual, but
+specify the <i class="parameter"><tt>-k</tt></i> option to choose Kerberos authentication.
+</p></div><div class="sect2" lang="en"><div class="titlepage"><div><div><h3 class="title"><a name="id2882376"></a>Notes</h3></div></div><div></div></div><p>
+You must change administrator password at least once after DC 
+install, to create the right encoding types
+</p><p>
+W2k doesn't seem to create the _kerberos._udp and _ldap._tcp in
+their defaults DNS setup. Maybe fixed in service packs?
+</p></div></div><div class="sect1" lang="en"><div class="titlepage"><div><div><h2 class="title" style="clear: both"><a name="id2882398"></a>Common Errors</h2></div></div><div></div></div><p>
+In the process of adding / deleting / re-adding domain member machine accounts there are
+many traps for the unwary player and there are many &#8220;<span class="quote">little</span>&#8221; things that can go wrong.
+It is particularly interesting how often subscribers on the samba mailing list have concluded
+after repeated failed attempts to add a machine account that it is necessary to &quot;re-install&quot;
+MS Windows on t he machine. In truth, it is seldom necessary to reinstall because of this type
+of problem. The real solution is often very simple, and with understanding of how MS Windows
+networking functions. easily overcome.
+</p><div class="sect2" lang="en"><div class="titlepage"><div><div><h3 class="title"><a name="id2882423"></a>Can Not Add Machine Back to Domain</h3></div></div><div></div></div><p>
+<span class="emphasis"><em>Problem:</em></span> A Windows workstation was reinstalled. The original domain machine
+account was deleted and added immediately. The workstation will not join the domain if I use 
+the same machine name. Attempts to add the machine fail with a message that the machine already
+exists on the network - I know it doesn't. Why is this failing?
+</p><p>
+The original name is still in the NetBIOS name cache and must expire after machine account
+deletion BEFORE adding that same name as a domain member again. The best advice is to delete
+the old account and then to add the machine with a new name.
+</p></div><div class="sect2" lang="en"><div class="titlepage"><div><div><h3 class="title"><a name="id2882455"></a>Adding Machine to Domain Fails</h3></div></div><div></div></div><p>
+Adding a Windows 200x or XP Professional machine to the Samba PDC Domain fails with a
+message that, <span class="errorname">The machine could not be added at this time, there is a network problem.
+Please try again later.</span> Why?
+</p><p>
+You should check that there is an <i class="parameter"><tt>add machine script</tt></i> in your <tt class="filename">smb.conf</tt>
+file. If there is not, please add one that is appropriate for your OS platform. If a script
+has been defined you will need to debug it's operation. Increase the <i class="parameter"><tt>log level</tt></i>
+in the <tt class="filename">smb.conf</tt> file to level 10, then try to rejoin the domain. Check the logs to see which
+operation is failing.
+</p><p>
+Possible causes include:
+</p><div class="itemizedlist"><ul type="disc"><li><p>
+       The script does not actually exist, or could not be located in the path specified.
+       </p><p>
+       <span class="emphasis"><em>Corrective Action:</em></span> Fix it. Make sure that when run manually
+       that the script will add both the Unix system account _and_ the Samba SAM account.
+       </p></li><li><p>
+       The machine could not be added to the Unix system accounts file <tt class="filename">/etc/passwd</tt>
+       </p><p>
+       <span class="emphasis"><em>Corrective Action:</em></span> Check that the machine name is a legal Unix
+       system account name. ie: If the Unix utility <b class="command">useradd</b> is called
+       then make sure that the machine name you are trying to add can be added using this
+       tool. <b class="command">Useradd</b> on some systems will not allow any upper case characters
+       nor will it allow spaces in the name.
+       </p></li></ul></div></div></div></div><div class="chapter" lang="en"><div class="titlepage"><div><div><h2 class="title"><a name="StandAloneServer"></a>Chapter 8. Stand-Alone Servers</h2></div><div><div class="author"><h3 class="author"><span class="firstname">John</span> <span class="othername">H.</span> <span class="surname">Terpstra</span></h3><div class="affiliation"><span class="orgname">Samba Team<br></span><div class="address"><p><tt class="email">&lt;<a href="mailto:jht@samba.org">jht@samba.org</a>&gt;</tt></p></div></div></div></div></div><div></div></div><div class="toc"><p><b>Table of Contents</b></p><dl><dt><a href="#id2884809">Features and Benefits</a></dt><dt><a href="#id2885005">Background</a></dt><dt><a href="#id2885077">Example Configuration</a></dt><dd><dl><dt><a href="#id2885092">Reference Documentation Server</a></dt><dt><a href="#id2885142">Central Print Serving</a></dt></dl></dd><dt><a href="#id2885356">Common Errors</a></dt></dl></div><p>
+Stand-Alone servers are independent of Domain Controllers on the network.
+They are NOT domain members and function more like workgroup servers. In many
+cases a stand-alone server is configured with a minimum of security control
+with the intent that all data served will be readily accessible to all users.
+</p><div class="sect1" lang="en"><div class="titlepage"><div><div><h2 class="title" style="clear: both"><a name="id2884809"></a>Features and Benefits</h2></div></div><div></div></div><p>
+Stand-Alone servers can be as secure or as insecure as needs dictate. They can
+have simple or complex configurations. Above all, despite the hoopla about
+Domain security they remain a very common installation.
+</p><p>
+If all that is needed is a server for read-only files, or for
+printers alone, it may not make sense to affect a complex installation.
+For example: A drafting office needs to store old drawings and reference
+standards. No-one can write files to the server as it is legislatively
+important that all documents remain unaltered. A share mode read-only stand-alone
+server is an ideal solution.
+</p><p>
+Another situation that warrants simplicity is an office that has many printers
+that are queued off a single central server. Everyone needs to be able to print
+to the printers, there is no need to affect any access controls and no files will
+be served from the print server. Again a share mode stand-alone server makes
+a great solution.
+</p></div><div class="sect1" lang="en"><div class="titlepage"><div><div><h2 class="title" style="clear: both"><a name="id2885005"></a>Background</h2></div></div><div></div></div><p>
+The term <span class="emphasis"><em>stand-alone server</em></span> means that the server
+will provide local authentication and access control for all resources
+that are available from it. In general this means that there will be a
+local user database. In more technical terms, it means that resources
+on the machine will be made available in either SHARE mode or in
+USER mode.
+</p><p>
+No special action is needed other than to create user accounts. Stand-alone
+servers do NOT provide network logon services. This means that machines that
+use this server do NOT perform a domain logon to it. Whatever logon facility
+the workstations are subject to is independent of this machine. It is however
+necessary to accommodate any network user so that the logon name they use will
+be translated (mapped) locally on the stand-alone server to a locally known
+user name. There are several ways this can be done.
+</p><p>
+Samba tends to blur the distinction a little in respect of what is
+a stand-alone server. This is because the authentication database may be
+local or on a remote server, even if from the Samba protocol perspective
+the Samba server is NOT a member of a domain security context.
+</p><p>
+Through the use of PAM (Pluggable Authentication Modules) and nsswitch
+(the name service switcher) the source of authentication may reside on 
+another server. We would be inclined to call this the authentication server.
+This means that the Samba server may use the local Unix/Linux system password database
+(<tt class="filename">/etc/passwd</tt> or <tt class="filename">/etc/shadow</tt>), may use a
+local smbpasswd file, or may use
+an LDAP back end, or even via PAM and Winbind another CIFS/SMB server
+for authentication.
+</p></div><div class="sect1" lang="en"><div class="titlepage"><div><div><h2 class="title" style="clear: both"><a name="id2885077"></a>Example Configuration</h2></div></div><div></div></div><p>
+The following examples are designed to inspire simplicity. It is too easy to
+attempt a high level of creativity and to introduce too much complexity in
+server and network design.
+</p><div class="sect2" lang="en"><div class="titlepage"><div><div><h3 class="title"><a name="id2885092"></a>Reference Documentation Server</h3></div></div><div></div></div><p>
+Configuration of a read-only data server that EVERYONE can access is very simple.
+Here is the smb.conf file that will do this. Assume that all the reference documents
+are stored in the directory /export, that the documents are owned by a user other than
+nobody. No home directories are shared, that are no users in the <tt class="filename">/etc/passwd</tt>
+Unix system database. This is a very simple system to administer.
+</p><pre class="programlisting">
+       # Global parameters
+       [global]
+               workgroup = MYGROUP
+               netbios name = REFDOCS
+               security = SHARE
+               passdb backend = guest
+               wins server = 192.168.1.1
+
+       [data]
+               comment = Data
+               path = /export
+               guest only = Yes
+</pre><p>
+In the above example the machine name is set to REFDOCS, the workgroup is set to the name
+of the local workgroup so that the machine will appear in with systems users are familiar
+with. The only password backend required is the &quot;guest&quot; backend so as to allow default
+unprivileged account names to be used. Given that there is a WINS server on this network
+we do use it.
+</p></div><div class="sect2" lang="en"><div class="titlepage"><div><div><h3 class="title"><a name="id2885142"></a>Central Print Serving</h3></div></div><div></div></div><p>
+Configuration of a simple print server is very simple if you have all the right tools
+on your system.
+</p><div class="orderedlist"><p class="title"><b> Assumptions:</b></p><ol type="1"><li><p>
+       The print server must require no administration
+       </p></li><li><p>
+       The print spooling and processing system on our print server will be CUPS.
+       (Please refer to the <a href="#CUPS-printing" title="Chapter 19. CUPS Printing Support in Samba 3.0">CUPS Printing</a> chapter for more information).
+       </p></li><li><p>
+       All printers that the print server will service will be network
+       printers. They will be correctly configured, by the administrator, 
+       in the CUPS environment.
+       </p></li><li><p>
+       All workstations will be installed using postscript drivers. The printer
+       of choice is the Apple Color LaserWriter.
+       </p></li></ol></div><p>
+In this example our print server will spool all incoming print jobs to
+<tt class="filename">/var/spool/samba</tt> until the job is ready to be submitted by
+Samba to the CUPS print processor. Since all incoming connections will be as
+the anonymous (guest) user, two things will be required:
+</p><div class="itemizedlist"><p class="title"><b>Enabling Anonymous Printing</b></p><ul type="disc"><li><p>
+       The Unix/Linux system must have a <b class="command">guest</b> account.
+       The default for this is usually the account <b class="command">nobody</b>.
+       To find the correct name to use for your version of Samba do the 
+       following:
+       </p><pre class="screen">
+<tt class="prompt">$ </tt><b class="userinput"><tt>testparm -s -v | grep &quot;guest account&quot;</tt></b>
+       </pre><p>
+       Then make sure that this account exists in your system password
+       database (<tt class="filename">/etc/passwd</tt>).
+       </p></li><li><p>
+       The directory into which Samba will spool the file must have write
+       access for the guest account. The following commands will ensure that
+       this directory is available for use:
+       </p><pre class="screen">
+<tt class="prompt">root# </tt><b class="userinput"><tt>mkdir /var/spool/samba</tt></b>
+<tt class="prompt">root# </tt><b class="userinput"><tt>chown nobody.nobody /var/spool/samba</tt></b>
+<tt class="prompt">root# </tt><b class="userinput"><tt>chmod a+rwt /var/spool/samba</tt></b>
+       </pre><p>
+       </p></li></ul></div><p>
+</p><pre class="programlisting">
+       # Global parameters
+       [global]
+               workgroup = MYGROUP
+               netbios name = PTRSVR1
+               security = SHARE
+               passdb backend = guest
+               wins server = 192.168.1.1
+
+       [printers]
+               comment = All Printers
+               path = /var/spool/samba
+               printer admin = root
+               guest ok = Yes
+               printable = Yes
+               printing = cups
+               use client driver = Yes
+               browseable = No
+</pre><p>
+</p></div></div><div class="sect1" lang="en"><div class="titlepage"><div><div><h2 class="title" style="clear: both"><a name="id2885356"></a>Common Errors</h2></div></div><div></div></div><p>
+The greatest mistake so often made is to make a network configuration too complex.
+It pays to use the simplest solution that will meet the needs of the moment.
+</p></div></div><div class="chapter" lang="en"><div class="titlepage"><div><div><h2 class="title"><a name="ClientConfig"></a>Chapter 9. MS Windows Network Configuration Guide</h2></div><div><div class="author"><h3 class="author"><span class="firstname">John</span> <span class="othername">H.</span> <span class="surname">Terpstra</span></h3><div class="affiliation"><span class="orgname">Samba Team<br></span><div class="address"><p><tt class="email">&lt;<a href="mailto:jht@samba.org">jht@samba.org</a>&gt;</tt></p></div></div></div></div></div><div></div></div><div class="toc"><p><b>Table of Contents</b></p><dl><dt><a href="#id2884469">Note</a></dt></dl></div><div class="sect1" lang="en"><div class="titlepage"><div><div><h2 class="title" style="clear: both"><a name="id2884469"></a>Note</h2></div></div><div></div></div><p>
+This chapter did not make it into this release.
+It is planned for the published release of this document.
+</p></div></div></div><div class="part" lang="en"><div class="titlepage"><div><div><h1 class="title"><a name="optional"></a>Advanced Configuration</h1></div></div><div></div></div><div class="partintro" lang="en"><div><div><div><h1 class="title"><a name="id2884234"></a>Valuable Nuts and Bolts Information</h1></div></div><div></div></div><p>
+Samba has several features that you might want or might not want to use. The chapters in this part each cover specific Samba features.
+</p><div class="toc"><p><b>Table of Contents</b></p><dl><dt>10. <a href="#NetworkBrowsing">Samba / MS Windows Network Browsing Guide</a></dt><dd><dl><dt><a href="#id2886062">Features and Benefits</a></dt><dt><a href="#id2886141">What is Browsing?</a></dt><dt><a href="#id2886251">Discussion</a></dt><dd><dl><dt><a href="#id2886267">NetBIOS over TCP/IP</a></dt><dt><a href="#id2886430">TCP/IP - without NetBIOS</a></dt><dt><a href="#id2886562">DNS and Active Directory</a></dt></dl></dd><dt><a href="#id2886698">How Browsing Functions</a></dt><dd><dl><dt><a href="#id2886824">Setting up WORKGROUP Browsing</a></dt><dt><a href="#id2887045">Setting up DOMAIN Browsing</a></dt><dt><a href="#browse-force-master">Forcing Samba to be the master</a></dt><dt><a href="#id2887315">Making Samba the domain master</a></dt><dt><a href="#id2887471">Note about broadcast addresses</a></dt><dt><a href="#id2887488">Multiple interfaces</a></dt><dt><a href="#id2887517">Use of the Remote Announce parameter</a></dt><dt><a href="#id2887626">Use of the Remote Browse Sync parameter</a></dt></dl></dd><dt><a href="#id2887687">WINS - The Windows Internetworking Name Server</a></dt><dd><dl><dt><a href="#id2887846">Setting up a WINS server</a></dt><dt><a href="#id2888045">WINS Replication</a></dt><dt><a href="#id2888070">Static WINS Entries</a></dt></dl></dd><dt><a href="#id2888154">Helpful Hints</a></dt><dd><dl><dt><a href="#id2888167">Windows Networking Protocols</a></dt><dt><a href="#id2888234">Name Resolution Order</a></dt></dl></dd><dt><a href="#id2888372">Technical Overview of browsing</a></dt><dd><dl><dt><a href="#id2888419">Browsing support in Samba</a></dt><dt><a href="#id2888526">Problem resolution</a></dt><dt><a href="#id2888605">Browsing across subnets</a></dt></dl></dd><dt><a href="#id2889225">Common Errors</a></dt><dd><dl><dt><a href="#id2889240">How can one flush the Samba NetBIOS name cache without restarting Samba?</a></dt><dt><a href="#id2889269">My client reports &quot;This server is not configured to list shared resources&quot;</a></dt></dl></dd></dl></dd><dt>11. <a href="#passdb">Account Information Databases</a></dt><dd><dl><dt><a href="#id2892812">Features and Benefits</a></dt><dt><a href="#id2893140">Technical Information</a></dt><dd><dl><dt><a href="#id2893204">Important Notes About Security</a></dt><dt><a href="#id2893458">Mapping User Identifiers between MS Windows and Unix</a></dt></dl></dd><dt><a href="#id2893513">Account Management Tools</a></dt><dd><dl><dt><a href="#id2893545">The smbpasswd Command</a></dt><dt><a href="#id2893811">The pdbedit Command</a></dt></dl></dd><dt><a href="#id2893963">Password Backends</a></dt><dd><dl><dt><a href="#id2893999">Plain Text</a></dt><dt><a href="#id2894038">smbpasswd - Encrypted Password Database</a></dt><dt><a href="#id2894145">tdbsam</a></dt><dt><a href="#id2894173">ldapsam</a></dt><dt><a href="#id2895689">MySQL</a></dt><dt><a href="#XMLpassdb">XML</a></dt></dl></dd><dt><a href="#id2896493">Common Errors</a></dt><dd><dl><dt><a href="#id2896501">Users can not logon - Users not in Samba SAM</a></dt><dt><a href="#id2896516">Users are being added to the wrong backend database</a></dt><dt><a href="#id2896576">auth methods does not work</a></dt></dl></dd></dl></dd><dt>12. <a href="#groupmapping">Mapping MS Windows and Unix Groups</a></dt><dd><dl><dt><a href="#id2903953">Features and Benefits</a></dt><dt><a href="#id2904055">Discussion</a></dt><dd><dl><dt><a href="#id2904246">Example Configuration</a></dt></dl></dd><dt><a href="#id2904310">Configuration Scripts</a></dt><dd><dl><dt><a href="#id2904325">Sample smb.conf add group script</a></dt><dt><a href="#id2904393">Script to configure Group Mapping</a></dt></dl></dd><dt><a href="#id2904485">Common Errors</a></dt><dd><dl><dt><a href="#id2904501">Adding Groups Fails</a></dt><dt><a href="#id2904562">Adding MS Windows Groups to MS Windows Groups Fails</a></dt></dl></dd></dl></dd><dt>13. <a href="#AccessControls">File, Directory and Share Access Controls</a></dt><dd><dl><dt><a href="#id2902775">Features and Benefits</a></dt><dt><a href="#id2902812">File System Access Controls</a></dt><dd><dl><dt><a href="#id2902830">MS Windows NTFS Comparison with Unix File Systems</a></dt><dt><a href="#id2903087">Managing Directories</a></dt><dt><a href="#id2903183">File and Directory Access Control</a></dt></dl></dd><dt><a href="#id2903398">Share Definition Access Controls</a></dt><dd><dl><dt><a href="#id2904578">User and Group Based Controls</a></dt><dt><a href="#id2904850">File and Directory Permissions Based Controls</a></dt><dt><a href="#id2905095">Miscellaneous Controls</a></dt></dl></dd><dt><a href="#id2905311">Access Controls on Shares</a></dt><dd><dl><dt><a href="#id2905383">Share Permissions Management</a></dt></dl></dd><dt><a href="#id2905682">MS Windows Access Control Lists and Unix Interoperability</a></dt><dd><dl><dt><a href="#id2905690">Managing UNIX permissions Using NT Security Dialogs</a></dt><dt><a href="#id2905728">Viewing File Security on a Samba Share</a></dt><dt><a href="#id2905807">Viewing file ownership</a></dt><dt><a href="#id2905929">Viewing File or Directory Permissions</a></dt><dt><a href="#id2906157">Modifying file or directory permissions</a></dt><dt><a href="#id2906309">Interaction with the standard Samba create mask 
+               parameters</a></dt><dt><a href="#id2906639">Interaction with the standard Samba file attribute 
+               mapping</a></dt></dl></dd><dt><a href="#id2906714">Common Errors</a></dt><dd><dl><dt><a href="#id2906729">Users can not write to a public share</a></dt><dt><a href="#id2907109">I have set force user and Samba still makes root the owner of all the files
+                       I touch!</a></dt></dl></dd></dl></dd><dt>14. <a href="#locking">File and Record Locking</a></dt><dd><dl><dt><a href="#id2910721">Features and Benefits</a></dt><dt><a href="#id2910776">Discussion</a></dt><dd><dl><dt><a href="#id2910908">Opportunistic Locking Overview</a></dt></dl></dd><dt><a href="#id2911554">Samba Opportunistic Locking Control</a></dt><dd><dl><dt><a href="#id2911664">Example Configuration</a></dt></dl></dd><dt><a href="#id2911924">MS Windows Opportunistic Locking and Caching Controls</a></dt><dd><dl><dt><a href="#id2912154">Workstation Service Entries</a></dt><dt><a href="#id2912180">Server Service Entries</a></dt></dl></dd><dt><a href="#id2912260">Persistent Data Corruption</a></dt><dt><a href="#id2912291">Common Errors</a></dt><dd><dl><dt><a href="#id2912365">locking.tdb error messages</a></dt></dl></dd><dt><a href="#id2912394">Additional Reading</a></dt></dl></dd><dt>15. <a href="#securing-samba">Securing Samba</a></dt><dd><dl><dt><a href="#id2914448">Introduction</a></dt><dt><a href="#id2914481">Features and Benefits</a></dt><dt><a href="#id2914555">Technical Discussion of Protective Measures and Issues</a></dt><dd><dl><dt><a href="#id2914574">Using host based protection</a></dt><dt><a href="#id2914645">User based protection</a></dt><dt><a href="#id2914697">Using interface protection</a></dt><dt><a href="#id2914749">Using a firewall</a></dt><dt><a href="#id2914805">Using a IPC$ share deny</a></dt><dt><a href="#id2914866">NTLMv2 Security</a></dt></dl></dd><dt><a href="#id2914907">Upgrading Samba</a></dt><dt><a href="#id2914932">Common Errors</a></dt><dd><dl><dt><a href="#id2914949">Smbclient works on localhost, but the network is dead</a></dt><dt><a href="#id2914974">Why can users access home directories of other users?</a></dt></dl></dd></dl></dd><dt>16. <a href="#InterdomainTrusts">Interdomain Trust Relationships</a></dt><dd><dl><dt><a href="#id2915881">Features and Benefits</a></dt><dt><a href="#id2915909">Trust Relationship Background</a></dt><dt><a href="#id2915993">Native MS Windows NT4 Trusts Configuration</a></dt><dd><dl><dt><a href="#id2916006">NT4 as the Trusting Domain (ie. creating the trusted account)</a></dt><dt><a href="#id2916091">NT4 as the Trusted Domain (ie. creating trusted account's password)</a></dt></dl></dd><dt><a href="#id2916127">Configuring Samba NT-style Domain Trusts</a></dt><dd><dl><dt><a href="#id2916155">Samba-3 as the Trusting Domain</a></dt><dt><a href="#id2916295">Samba-3 as the Trusted Domain</a></dt></dl></dd><dt><a href="#id2916428">Common Errors</a></dt><dd><dl><dt><a href="#id2916443">Tell me about Trust Relationships using Samba</a></dt></dl></dd></dl></dd><dt>17. <a href="#msdfs">Hosting a Microsoft Distributed File System tree on Samba</a></dt><dd><dl><dt><a href="#id2915783">Features and Benefits</a></dt><dt><a href="#id2917436">Common Errors</a></dt></dl></dd><dt>18. <a href="#printing">Classical Printing Support</a></dt><dd><dl><dt><a href="#id2917027">Features and Benefits</a></dt><dt><a href="#id2917095">Technical Introduction</a></dt><dd><dl><dt><a href="#id2917133">What happens if you send a Job from a Client</a></dt><dt><a href="#id2917203">Printing Related Configuration Parameters</a></dt><dt><a href="#id2918120">Parameters Recommended for Use</a></dt><dt><a href="#id2918450">Parameters for Backwards Compatibility</a></dt><dt><a href="#id2918559">Parameters no longer in use</a></dt></dl></dd><dt><a href="#id2918652">A simple Configuration to Print with Samba-3</a></dt><dd><dl><dt><a href="#id2918721">Verification of &quot;Settings in Use&quot; with testparm</a></dt><dt><a href="#id2918810">A little Experiment to warn you</a></dt></dl></dd><dt><a href="#id2919116">Extended Sample Configuration to Print with Samba-3</a></dt><dt><a href="#id2919220">Detailed Explanation of the Example's Settings</a></dt><dd><dl><dt><a href="#id2919234">The [global] Section</a></dt><dt><a href="#id2919616">The [printers] Section</a></dt><dt><a href="#id2919945">Any [my_printer_name] Section</a></dt><dt><a href="#id2920166">Print Commands</a></dt><dt><a href="#id2920216">Default Print Commands for various Unix Print Subsystems</a></dt><dt><a href="#id2920741">Setting up your own Print Commands</a></dt></dl></dd><dt><a href="#id2921021">Innovations in Samba Printing since 2.2</a></dt><dd><dl><dt><a href="#id2921186">Client Drivers on Samba Server for Point'n'Print</a></dt><dt><a href="#id2921338">The [printer$] Section is removed from Samba-3</a></dt><dt><a href="#id2921450">Creating the [print$] Share</a></dt><dt><a href="#id2921521">Parameters in the [print$] Section</a></dt><dt><a href="#id2921752">Subdirectory Structure in [print$]</a></dt></dl></dd><dt><a href="#id2921913">Installing Drivers into [print$]</a></dt><dd><dl><dt><a href="#id2922008">Setting Drivers for existing Printers with a Client GUI</a></dt><dt><a href="#id2922192">Setting Drivers for existing Printers with
+rpcclient</a></dt></dl></dd><dt><a href="#id2923912">&quot;The Proof of the Pudding lies in the Eating&quot; (Client Driver Install
+Procedure)</a></dt><dd><dl><dt><a href="#id2923933">The first Client Driver Installation</a></dt><dt><a href="#id2924131">IMPORTANT! Setting Device Modes on new Printers</a></dt><dt><a href="#id2924420">Further Client Driver Install Procedures</a></dt><dt><a href="#id2924516">Always make first Client Connection as root or &quot;printer admin&quot;</a></dt></dl></dd><dt><a href="#id2924657">Other Gotchas</a></dt><dd><dl><dt><a href="#id2924690">Setting Default Print Options for the Client Drivers</a></dt><dt><a href="#id2925127">Supporting large Numbers of Printers</a></dt><dt><a href="#id2925430">Adding new Printers with the Windows NT APW</a></dt><dt><a href="#id2925673">Weird Error Message Cannot connect under a
+different Name</a></dt><dt><a href="#id2925771">Be careful when assembling Driver Files</a></dt><dt><a href="#id2926117">Samba and Printer Ports</a></dt><dt><a href="#id2926188">Avoiding the most common Misconfigurations of the Client Driver</a></dt></dl></dd><dt><a href="#id2926210">The Imprints Toolset</a></dt><dd><dl><dt><a href="#id2926256">What is Imprints?</a></dt><dt><a href="#id2926297">Creating Printer Driver Packages</a></dt><dt><a href="#id2926316">The Imprints Server</a></dt><dt><a href="#id2926340">The Installation Client</a></dt></dl></dd><dt><a href="#id2926492">Add Network Printers at Logon without User Interaction</a></dt><dt><a href="#id2926822">The addprinter command</a></dt><dt><a href="#id2926867">Migration of &quot;Classical&quot; printing to Samba-3</a></dt><dt><a href="#id2927036">Publishing Printer Information in Active Directory or LDAP</a></dt><dt><a href="#id2927051">Common Errors and Problems</a></dt><dd><dl><dt><a href="#id2927064">I give my root password but I don't get access</a></dt><dt><a href="#id2927097">My printjobs get spooled into the spooling directory, but then get lost</a></dt></dl></dd></dl></dd><dt>19. <a href="#CUPS-printing">CUPS Printing Support in Samba 3.0</a></dt><dd><dl><dt><a href="#id2936290">Introduction</a></dt><dd><dl><dt><a href="#id2936298">Features and Benefits</a></dt><dt><a href="#id2936350">Overview</a></dt></dl></dd><dt><a href="#id2936405">Basic Configuration of CUPS support</a></dt><dd><dl><dt><a href="#id2936484">Linking of smbd with libcups.so</a></dt><dt><a href="#id2936628">Simple smb.conf Settings for CUPS</a></dt><dt><a href="#id2936710">More complex smb.conf Settings for
+CUPS</a></dt></dl></dd><dt><a href="#id2936828">Advanced Configuration</a></dt><dd><dl><dt><a href="#id2936848">Central spooling vs. &quot;Peer-to-Peer&quot; printing</a></dt><dt><a href="#id2936875">CUPS/Samba as a &quot;spooling-only&quot; Print Server; &quot;raw&quot; printing
+with Vendor Drivers on Windows Clients</a></dt><dt><a href="#id2936912">Driver Installation Methods on Windows Clients</a></dt><dt><a href="#id2936970">Explicitly enable &quot;raw&quot; printing for
+application/octet-stream!</a></dt><dt><a href="#id2937131">Three familiar Methods for driver upload plus a new one</a></dt></dl></dd><dt><a href="#id2937224">Using CUPS/Samba in an advanced Way -- intelligent printing
+with PostScript Driver Download</a></dt><dd><dl><dt><a href="#id2937300">GDI on Windows -- PostScript on Unix</a></dt><dt><a href="#id2937344">Windows Drivers, GDI and EMF</a></dt><dt><a href="#id2937445">Unix Printfile Conversion and GUI Basics</a></dt><dt><a href="#id2937533">PostScript and Ghostscript</a></dt><dt><a href="#id2937630">Ghostscript -- the Software RIP for non-PostScript Printers</a></dt><dt><a href="#id2937742">PostScript Printer Description (PPD) Specification</a></dt><dt><a href="#id2937813">CUPS can use all Windows-formatted Vendor PPDs</a></dt><dt><a href="#id2937902">CUPS also uses PPDs for non-PostScript Printers</a></dt></dl></dd><dt><a href="#id2937925">The CUPS Filtering Architecture</a></dt><dd><dl><dt><a href="#id2938065">MIME types and CUPS Filters</a></dt><dt><a href="#id2938252">MIME type Conversion Rules</a></dt><dt><a href="#id2938369">Filter Requirements</a></dt><dt><a href="#id2938539">Prefilters</a></dt><dt><a href="#id2938624">pstops</a></dt><dt><a href="#id2938727">pstoraster</a></dt><dt><a href="#id2938883">imagetops and imagetoraster</a></dt><dt><a href="#id2938940">rasterto [printers specific]</a></dt><dt><a href="#id2939024">CUPS Backends</a></dt><dt><a href="#id2939336">cupsomatic/Foomatic -- how do they fit into the Picture?</a></dt><dt><a href="#id2939448">The Complete Picture</a></dt><dt><a href="#id2939464">mime.convs</a></dt><dt><a href="#id2939517">&quot;Raw&quot; printing</a></dt><dt><a href="#id2939571">&quot;application/octet-stream&quot; printing</a></dt><dt><a href="#id2939786">PostScript Printer Descriptions (PPDs) for non-PS Printers</a></dt><dt><a href="#id2940015">Difference between cupsomatic/foomatic-rip and
+native CUPS printing</a></dt><dt><a href="#id2940170">Examples for filtering Chains</a></dt><dt><a href="#id2940401">Sources of CUPS drivers / PPDs</a></dt><dt><a href="#id2940530">Printing with Interface Scripts</a></dt></dl></dd><dt><a href="#id2940605">Network printing (purely Windows)</a></dt><dd><dl><dt><a href="#id2940620">From Windows Clients to an NT Print Server</a></dt><dt><a href="#id2940659">Driver Execution on the Client</a></dt><dt><a href="#id2940731">Driver Execution on the Server</a></dt></dl></dd><dt><a href="#id2940794">Network Printing (Windows clients -- UNIX/Samba Print
+Servers)</a></dt><dd><dl><dt><a href="#id2940814">From Windows Clients to a CUPS/Samba Print Server</a></dt><dt><a href="#id2940978">Samba receiving Jobfiles and passing them to CUPS</a></dt></dl></dd><dt><a href="#id2941054">Network PostScript RIP: CUPS Filters on Server -- clients use
+PostScript Driver with CUPS-PPDs</a></dt><dd><dl><dt><a href="#id2941110">PPDs for non-PS Printers on UNIX</a></dt><dt><a href="#id2941150">PPDs for non-PS Printers on Windows</a></dt></dl></dd><dt><a href="#id2941216">Windows Terminal Servers (WTS) as CUPS Clients</a></dt><dd><dl><dt><a href="#id2941233">Printer Drivers running in &quot;Kernel Mode&quot; cause many
+Problems</a></dt><dt><a href="#id2941268">Workarounds impose Heavy Limitations</a></dt><dt><a href="#id2941289">CUPS: a &quot;Magical Stone&quot;?</a></dt><dt><a href="#id2941316">PostScript Drivers with no major problems -- even in Kernel
+Mode</a></dt></dl></dd><dt><a href="#id2941369"> Setting up CUPS for driver Download</a></dt><dd><dl><dt><a href="#id2941388">cupsaddsmb: the unknown Utility</a></dt><dt><a href="#id2941480">Prepare your smb.conf for
+cupsaddsmb</a></dt><dt><a href="#id2941526">CUPS Package of &quot;PostScript Driver for WinNT/2k/XP&quot;</a></dt><dt><a href="#id2941724">Recognize the different Driver Files</a></dt><dt><a href="#id2941782">Acquiring the Adobe Driver Files</a></dt><dt><a href="#id2941814">ESP Print Pro Package of &quot;PostScript Driver for
+WinNT/2k/XP&quot;</a></dt><dt><a href="#id2941864">Caveats to be considered</a></dt><dt><a href="#id2942086">What are the Benefits of using the &quot;CUPS PostScript Driver for
+Windows NT/2k/XP&quot; as compared to the Adobe Driver?</a></dt><dt><a href="#id2942268">Run &quot;cupsaddsmb&quot; (quiet Mode)</a></dt><dt><a href="#id2942369">Run &quot;cupsaddsmb&quot; with verbose Output</a></dt><dt><a href="#id2942596">Understanding cupsaddsmb</a></dt><dt><a href="#id2942690">How to recognize if cupsaddsm completed successfully</a></dt><dt><a href="#id2942777">cupsaddsmb with a Samba PDC</a></dt><dt><a href="#id2942812">cupsaddsmb Flowchart</a></dt><dt><a href="#id2942865">Installing the PostScript Driver on a Client</a></dt><dt><a href="#id2942978">Avoiding critical PostScript Driver Settings on the
+Client</a></dt></dl></dd><dt><a href="#id2943112">Installing PostScript Driver Files manually (using
+rpcclient)</a></dt><dd><dl><dt><a href="#id2943227">A Check of the rpcclient man Page</a></dt><dt><a href="#id2943340">Understanding the rpcclient man Page</a></dt><dt><a href="#id2943429">Producing an Example by querying a Windows Box</a></dt><dt><a href="#id2943519">What is required for adddriver and setdriver to succeed</a></dt><dt><a href="#id2943682">Manual Commandline Driver Installation in 15 little Steps</a></dt><dt><a href="#id2944334">Troubleshooting revisited</a></dt></dl></dd><dt><a href="#id2944435">The printing *.tdb Files</a></dt><dd><dl><dt><a href="#id2944537">Trivial DataBase Files</a></dt><dt><a href="#id2944608">Binary Format</a></dt><dt><a href="#id2944670">Losing *.tdb Files</a></dt><dt><a href="#id2944728">Using tdbbackup</a></dt></dl></dd><dt><a href="#id2944795">CUPS Print Drivers from Linuxprinting.org</a></dt><dd><dl><dt><a href="#id2944903">foomatic-rip and Foomatic explained</a></dt><dt><a href="#id2945532">foomatic-rip and Foomatic-PPD Download and Installation</a></dt></dl></dd><dt><a href="#id2945993">Page Accounting with CUPS</a></dt><dd><dl><dt><a href="#id2946024">Setting up Quotas</a></dt><dt><a href="#id2946056">Correct and incorrect Accounting</a></dt><dt><a href="#id2946097">Adobe and CUPS PostScript Drivers for Windows Clients</a></dt><dt><a href="#id2946169">The page_log File Syntax</a></dt><dt><a href="#id2946270">Possible Shortcomings</a></dt><dt><a href="#id2946341">Future Developments</a></dt><dt><a href="#id2946390">Other Accounting Tools</a></dt></dl></dd><dt><a href="#id2946404">Additional Material</a></dt><dt><a href="#id2946598">Auto-Deletion or Preservation of CUPS Spool Files</a></dt><dd><dl><dt><a href="#id2946644">CUPS Configuration Settings explained</a></dt><dt><a href="#id2946726">Pre-conditions</a></dt><dt><a href="#id2946787">Manual Configuration</a></dt></dl></dd><dt><a href="#id2946805">When not to use Samba to print to
+CUPS</a></dt><dt><a href="#id2946822">In Case of Trouble.....</a></dt><dd><dl><dt><a href="#id2946857">Where to find Documentation</a></dt><dt><a href="#id2946870">How to ask for Help</a></dt><dt><a href="#id2946883">Where to find Help</a></dt></dl></dd><dt><a href="#id2946896">Appendix</a></dt><dd><dl><dt><a href="#id2946904">Printing from CUPS to Windows attached
+Printers</a></dt><dt><a href="#id2947118">More CUPS filtering Chains</a></dt><dt><a href="#id2947424">Trouble Shooting Guidelines to fix typical Samba printing
+Problems</a></dt><dt><a href="#id2948546">An Overview of the CUPS Printing Processes</a></dt></dl></dd></dl></dd><dt>20. <a href="#VFS">Stackable VFS modules</a></dt><dd><dl><dt><a href="#id2960717">Features and Benefits</a></dt><dt><a href="#id2960735">Discussion</a></dt><dt><a href="#id2960826">Included modules</a></dt><dd><dl><dt><a href="#id2960833">audit</a></dt><dt><a href="#id2960871">extd_audit</a></dt><dt><a href="#id2960995">fake_perms</a></dt><dt><a href="#id2961013">recycle</a></dt><dt><a href="#id2961151">netatalk</a></dt></dl></dd><dt><a href="#id2961195">VFS modules available elsewhere</a></dt><dd><dl><dt><a href="#id2961218">DatabaseFS</a></dt><dt><a href="#id2961273">vscan</a></dt></dl></dd><dt><a href="#id2961303">Common Errors</a></dt></dl></dd><dt>21. <a href="#winbind">Integrated Logon Support using Winbind</a></dt><dd><dl><dt><a href="#id2962201">Features and Benefits</a></dt><dt><a href="#id2962229">Introduction</a></dt><dt><a href="#id2962301">What Winbind Provides</a></dt><dd><dl><dt><a href="#id2962361">Target Uses</a></dt></dl></dd><dt><a href="#id2962392">How Winbind Works</a></dt><dd><dl><dt><a href="#id2962420">Microsoft Remote Procedure Calls</a></dt><dt><a href="#id2962454">Microsoft Active Directory Services</a></dt><dt><a href="#id2962477">Name Service Switch</a></dt><dt><a href="#id2962613">Pluggable Authentication Modules</a></dt><dt><a href="#id2962685">User and Group ID Allocation</a></dt><dt><a href="#id2962720">Result Caching</a></dt></dl></dd><dt><a href="#id2962747">Installation and Configuration</a></dt><dd><dl><dt><a href="#id2962776">Introduction</a></dt><dt><a href="#id2962851">Requirements</a></dt><dt><a href="#id2962944">Testing Things Out</a></dt></dl></dd><dt><a href="#id2964563">Conclusion</a></dt><dt><a href="#id2964582">Common Errors</a></dt></dl></dd><dt>22. <a href="#AdvancedNetworkManagement">Advanced Network Management</a></dt><dd><dl><dt><a href="#id2967075">Features and Benefits</a></dt><dt><a href="#id2967264">Remote Server Administration</a></dt><dt><a href="#id2967363">Remote Desktop Management</a></dt><dd><dl><dt><a href="#id2967381">Remote Management from NoMachines.Com</a></dt></dl></dd><dt><a href="#id2967592">Network Logon Script Magic</a></dt><dd><dl><dt><a href="#id2967788">Adding printers without user intervention</a></dt></dl></dd><dt><a href="#id2967822">Common Errors</a></dt></dl></dd><dt>23. <a href="#PolicyMgmt">System and Account Policies</a></dt><dd><dl><dt><a href="#id2966885">Features and Benefits</a></dt><dt><a href="#id2966939">Creating and Managing System Policies</a></dt><dd><dl><dt><a href="#id2968722">Windows 9x/Me Policies</a></dt><dt><a href="#id2968817">Windows NT4 Style Policy Files</a></dt><dt><a href="#id2968950">MS Windows 200x / XP Professional Policies</a></dt></dl></dd><dt><a href="#id2969202">Managing Account/User Policies</a></dt><dd><dl><dt><a href="#id2969303">Samba Editreg Toolset</a></dt><dt><a href="#id2969324">Windows NT4/200x</a></dt><dt><a href="#id2969344">Samba PDC</a></dt></dl></dd><dt><a href="#id2969388">System Startup and Logon Processing Overview</a></dt><dt><a href="#id2969535">Common Errors</a></dt><dd><dl><dt><a href="#id2969549">Policy Does Not Work</a></dt></dl></dd></dl></dd><dt>24. <a href="#ProfileMgmt">Desktop Profile Management</a></dt><dd><dl><dt><a href="#id2970756">Features and Benefits</a></dt><dt><a href="#id2970790">Roaming Profiles</a></dt><dd><dl><dt><a href="#id2970831">Samba Configuration for Profile Handling</a></dt><dt><a href="#id2971236">Windows Client Profile Configuration Information</a></dt><dt><a href="#id2972407">Sharing Profiles between W9x/Me and NT4/200x/XP workstations</a></dt><dt><a href="#id2972472">Profile Migration from Windows NT4/200x Server to Samba</a></dt></dl></dd><dt><a href="#id2972737">Mandatory profiles</a></dt><dt><a href="#id2972795">Creating/Managing Group Profiles</a></dt><dt><a href="#id2972841">Default Profile for Windows Users</a></dt><dd><dl><dt><a href="#id2972861">MS Windows 9x/Me</a></dt><dt><a href="#id2973009">MS Windows NT4 Workstation</a></dt><dt><a href="#id2973563">MS Windows 200x/XP</a></dt></dl></dd><dt><a href="#id2974067">Common Errors</a></dt><dd><dl><dt><a href="#id2974080">How does one set up roaming profiles for just one (or a few) user/s or group/s?</a></dt><dt><a href="#id2974143">Can NOT use Roaming Profiles</a></dt><dt><a href="#id2974365">Changing the default profile</a></dt></dl></dd></dl></dd><dt>25. <a href="#pam">PAM based Distributed Authentication</a></dt><dd><dl><dt><a href="#id2978309">Features and Benefits</a></dt><dt><a href="#id2978577">Technical Discussion</a></dt><dd><dl><dt><a href="#id2978595">PAM Configuration Syntax</a></dt><dt><a href="#id2979265">Example System Configurations</a></dt><dt><a href="#id2979567">smb.conf PAM Configuration</a></dt><dt><a href="#id2979625">Remote CIFS Authentication using winbindd.so</a></dt><dt><a href="#id2979709">Password Synchronization using pam_smbpass.so</a></dt></dl></dd><dt><a href="#id2980075">Common Errors</a></dt><dd><dl><dt><a href="#id2980089">pam_winbind problem</a></dt></dl></dd></dl></dd><dt>26. <a href="#integrate-ms-networks">Integrating MS Windows networks with Samba</a></dt><dd><dl><dt><a href="#id2982211">Features and Benefits</a></dt><dt><a href="#id2982236">Background Information</a></dt><dt><a href="#id2982281">Name Resolution in a pure Unix/Linux world</a></dt><dd><dl><dt><a href="#id2982337">/etc/hosts</a></dt><dt><a href="#id2982462">/etc/resolv.conf</a></dt><dt><a href="#id2982506">/etc/host.conf</a></dt><dt><a href="#id2982548">/etc/nsswitch.conf</a></dt></dl></dd><dt><a href="#id2982637">Name resolution as used within MS Windows networking</a></dt><dd><dl><dt><a href="#id2982784">The NetBIOS Name Cache</a></dt><dt><a href="#id2982829">The LMHOSTS file</a></dt><dt><a href="#id2983073">HOSTS file</a></dt><dt><a href="#id2983105">DNS Lookup</a></dt><dt><a href="#id2983130">WINS Lookup</a></dt></dl></dd><dt><a href="#id2983200">Common Errors</a></dt><dd><dl><dt><a href="#id2983216">My Boomerang Won't Come Back</a></dt><dt><a href="#id2983248">Very Slow Network Connections</a></dt><dt><a href="#id2983300">Samba server name change problem</a></dt></dl></dd></dl></dd><dt>27. <a href="#unicode">Unicode/Charsets</a></dt><dd><dl><dt><a href="#id2984418">Features and Benefits</a></dt><dt><a href="#id2984620">What are charsets and unicode?</a></dt><dt><a href="#id2984690">Samba and charsets</a></dt><dt><a href="#id2984790">Conversion from old names</a></dt><dt><a href="#id2984835">Japanese charsets</a></dt></dl></dd><dt>28. <a href="#Backup">Samba Backup Techniques</a></dt><dd><dl><dt><a href="#id2984038">Note</a></dt><dt><a href="#id2984063">Features and Benefits</a></dt></dl></dd><dt>29. <a href="#SambaHA">High Availability Options</a></dt><dd><dl><dt><a href="#id2985605">Note</a></dt></dl></dd></dl></div></div><div class="chapter" lang="en"><div class="titlepage"><div><div><h2 class="title"><a name="NetworkBrowsing"></a>Chapter 10. Samba / MS Windows Network Browsing Guide</h2></div><div><div class="author"><h3 class="author"><span class="firstname">John</span> <span class="othername">H.</span> <span class="surname">Terpstra</span></h3><div class="affiliation"><span class="orgname">Samba Team<br></span><div class="address"><p><tt class="email">&lt;<a href="mailto:jht@samba.org">jht@samba.org</a>&gt;</tt></p></div></div></div></div><div><p class="pubdate">July 5, 1998</p></div><div><p class="pubdate">Updated: April 21, 2003</p></div></div><div></div></div><div class="toc"><p><b>Table of Contents</b></p><dl><dt><a href="#id2886062">Features and Benefits</a></dt><dt><a href="#id2886141">What is Browsing?</a></dt><dt><a href="#id2886251">Discussion</a></dt><dd><dl><dt><a href="#id2886267">NetBIOS over TCP/IP</a></dt><dt><a href="#id2886430">TCP/IP - without NetBIOS</a></dt><dt><a href="#id2886562">DNS and Active Directory</a></dt></dl></dd><dt><a href="#id2886698">How Browsing Functions</a></dt><dd><dl><dt><a href="#id2886824">Setting up WORKGROUP Browsing</a></dt><dt><a href="#id2887045">Setting up DOMAIN Browsing</a></dt><dt><a href="#browse-force-master">Forcing Samba to be the master</a></dt><dt><a href="#id2887315">Making Samba the domain master</a></dt><dt><a href="#id2887471">Note about broadcast addresses</a></dt><dt><a href="#id2887488">Multiple interfaces</a></dt><dt><a href="#id2887517">Use of the Remote Announce parameter</a></dt><dt><a href="#id2887626">Use of the Remote Browse Sync parameter</a></dt></dl></dd><dt><a href="#id2887687">WINS - The Windows Internetworking Name Server</a></dt><dd><dl><dt><a href="#id2887846">Setting up a WINS server</a></dt><dt><a href="#id2888045">WINS Replication</a></dt><dt><a href="#id2888070">Static WINS Entries</a></dt></dl></dd><dt><a href="#id2888154">Helpful Hints</a></dt><dd><dl><dt><a href="#id2888167">Windows Networking Protocols</a></dt><dt><a href="#id2888234">Name Resolution Order</a></dt></dl></dd><dt><a href="#id2888372">Technical Overview of browsing</a></dt><dd><dl><dt><a href="#id2888419">Browsing support in Samba</a></dt><dt><a href="#id2888526">Problem resolution</a></dt><dt><a href="#id2888605">Browsing across subnets</a></dt></dl></dd><dt><a href="#id2889225">Common Errors</a></dt><dd><dl><dt><a href="#id2889240">How can one flush the Samba NetBIOS name cache without restarting Samba?</a></dt><dt><a href="#id2889269">My client reports &quot;This server is not configured to list shared resources&quot;</a></dt></dl></dd></dl></div><p>
+This document contains detailed information as well as a fast track guide to
+implementing browsing across subnets and / or across workgroups (or domains).
+WINS is the best tool for resolution of NetBIOS names to IP addresses. WINS is
+NOT involved in browse list handling except by way of name to address resolution.
+</p><div class="note" style="margin-left: 0.5in; margin-right: 0.5in;"><h3 class="title">Note</h3><p>
+MS Windows 2000 and later can be configured to operate with NO NetBIOS 
+over TCP/IP. Samba-3 and later also supports this mode of operation.
+When the use of NetBIOS over TCP/IP has been disabled then the primary
+means for resolution of MS Windows machine names is via DNS and Active Directory.
+The following information assumes that your site is running NetBIOS over TCP/IP.
+</p></div><div class="sect1" lang="en"><div class="titlepage"><div><div><h2 class="title" style="clear: both"><a name="id2886062"></a>Features and Benefits</h2></div></div><div></div></div><p>
+Someone once referred to the past in terms of: <span class="emphasis"><em>They were the worst of times,
+they were the best of times. The more we look back, them more we long for what was and
+hope it never returns!</em></span>.
+</p><p>
+For many MS Windows network administrators, that statement sums up their feelings about
+NetBIOS networking precisely. For those who mastered NetBIOS networking, its fickle
+nature was just par for the course. For those who never quite managed to tame its
+lusty features, NetBIOS is like Paterson's Curse.
+</p><p>
+For those not familiar with botanical problems in Australia: Paterson's curse,
+Echium plantagineum, was introduced to Australia from Europe during the mid-nineteenth
+century. Since then it has spread rapidly. The high seed production, with densities of
+thousands of seeds per square metre, a seed longevity of more than seven years, and an
+ability to germinate at any time of year, given the right conditions, are some of the
+features which make it such a persistent weed.
+</p><p>
+In this chapter we explore vital aspects of SMB (Server Message Block) networking with
+a particular focus on SMB as implemented through running NetBIOS (Network Basic
+Input / Output System) over TCP/IP. Since Samba does NOT implement SMB or NetBIOS over
+any other protocols we need to know how to configure our network environment and simply
+remember to use nothing but TCP/IP on all our MS Windows network clients.
+</p><p>
+Samba provides the ability to implement a WINS (Windows Internetworking Name Server)
+and implements extensions to Microsoft's implementation of WINS. These extensions
+help Samba to affect stable WINS operations beyond the normal scope of MS WINS.
+</p><p>
+Please note that WINS is exclusively a service that applies only to those systems
+that run NetBIOS over TCP/IP. MS Windows 200x / XP have the capacity to turn off
+support for NetBIOS, in which case WINS is of no relevance. Samba-3 supports this also.
+</p><p>
+For those networks on which NetBIOS has been disabled (ie: WINS is NOT required)
+the use of DNS is necessary for host name resolution.
+</p></div><div class="sect1" lang="en"><div class="titlepage"><div><div><h2 class="title" style="clear: both"><a name="id2886141"></a>What is Browsing?</h2></div></div><div></div></div><p>
+To most people browsing means that they can see the MS Windows and Samba servers
+in the Network Neighborhood, and when the computer icon for a particular server is
+clicked, it opens up and shows the shares and printers available on the target server.
+</p><p>
+What seems so simple is in fact a very complex interaction of different technologies.
 The technologies (or methods) employed in making all of this work includes:
 </p><table class="simplelist" border="0" summary="Simple list"><tr><td>MS Windows machines register their presence to the network</td></tr><tr><td>Machines announce themselves to other machines on the network</td></tr><tr><td>One or more machine on the network collates the local announcements</td></tr><tr><td>The client machine finds the machine that has the collated list of machines</td></tr><tr><td>The client machine is able to resolve the machine names to IP addresses</td></tr><tr><td>The client machine is able to connect to a target machine</td></tr></table><p>
-The samba application that controls/manages browse list management and name resolution is
-called <tt>nmbd</tt>. The configuration parameters involved in nmbd's operation are:
+The Samba application that controls browse list management and name resolution is
+called <tt class="filename">nmbd</tt>. The configuration parameters involved in nmbd's operation are:
 </p><pre class="programlisting">
+               
        Browsing options:
        -----------------
                * os level
@@ -1471,70 +2340,131 @@ called <tt>nmbd</tt>. The configuration parameters involved in nmbd's operation
                * wins support
                  wins hook
 </pre><p>
-WINS Server and WINS Support are mutually exclusive options. Those marked with an '*' are
-the only options that commonly MAY need to be modified. Even if not one of these parameters
-is set nmbd will still do it's job.
-</p></div><div class="sect1" lang="en"><div class="titlepage"><div><h2 class="title" style="clear: both"><a name="id2863646"></a>Discussion</h2></div></div><p>
-Firstly, all MS Windows networking is based on SMB (Server Message
-Block) based messaging. SMB messaging may be implemented using NetBIOS or 
-without NetBIOS. Samba implements NetBIOS by encapsulating it over TCP/IP.
-MS Windows products can do likewise. NetBIOS based networking uses broadcast
-messaging to affect browse list management. When running NetBIOS over
-TCP/IP this uses UDP based messaging. UDP messages can be broadcast or unicast.
+For Samba, the WINS Server and WINS Support are mutually exclusive options. Those marked with
+an '*' are the only options that commonly MAY need to be modified. Even if not one of these
+parameters is set <tt class="filename">nmbd</tt> will still do it's job.
+</p></div><div class="sect1" lang="en"><div class="titlepage"><div><div><h2 class="title" style="clear: both"><a name="id2886251"></a>Discussion</h2></div></div><div></div></div><p>
+Firstly, all MS Windows networking uses SMB (Server Message Block) based messaging.
+SMB messaging may be implemented with or without NetBIOS. MS Windows 200x supports
+NetBIOS over TCP/IP for backwards compatibility. Microsoft is intent on phasing out NetBIOS
+support.
+</p><div class="sect2" lang="en"><div class="titlepage"><div><div><h3 class="title"><a name="id2886267"></a>NetBIOS over TCP/IP</h3></div></div><div></div></div><p>
+Samba implements NetBIOS, as does MS Windows NT / 200x / XP, by encapsulating it over TCP/IP.
+MS Windows products can do likewise. NetBIOS based networking uses broadcast messaging to
+affect browse list management. When running NetBIOS over TCP/IP, this uses UDP based messaging.
+UDP messages can be broadcast or unicast.
 </p><p>
 Normally, only unicast UDP messaging can be forwarded by routers. The
-<b>remote announce</b>
-parameter to smb.conf helps to project browse announcements
+<b class="command">remote announce</b> parameter to smb.conf helps to project browse announcements
 to remote network segments via unicast UDP. Similarly, the 
-<b>remote browse sync</b> parameter of <tt>smb.conf</tt>
+<b class="command">remote browse sync</b> parameter of <tt class="filename">smb.conf</tt>
 implements browse list collation using unicast UDP.
 </p><p>
-Secondly, in those networks where Samba is the only SMB server technology
-wherever possible <tt>nmbd</tt> should be configured on one (1) machine as the WINS
+Secondly, in those networks where Samba is the only SMB server technology,
+wherever possible <tt class="filename">nmbd</tt> should be configured on one (1) machine as the WINS
 server. This makes it easy to manage the browsing environment. If each network
 segment is configured with it's own Samba WINS server, then the only way to
 get cross segment browsing to work is by using the 
-<b>remote announce</b> and the <b>remote browse sync</b>
-parameters to your <tt>smb.conf</tt> file.
+<b class="command">remote announce</b> and the <b class="command">remote browse sync</b>
+parameters to your <tt class="filename">smb.conf</tt> file.
 </p><p>
 If only one WINS server is used for an entire multi-segment network then
-the use of the <b>remote announce</b> and the 
-<b>remote browse sync</b> parameters should NOT be necessary.
+the use of the <b class="command">remote announce</b> and the 
+<b class="command">remote browse sync</b> parameters should NOT be necessary.
 </p><p>
 As of Samba 3 WINS replication is being worked on. The bulk of the code has
-been committed, but it still needs maturation.
+been committed, but it still needs maturation. This is NOT a supported feature
+of the Samba-3.0.0 release. Hopefully, this will become a supported feature
+of one of the Samba-3 release series.
 </p><p>
-Right now samba WINS does not support MS-WINS replication. This means that
-when setting up Samba as a WINS server there must only be one <tt>nmbd</tt> configured
-as a WINS server on the network. Some sites have used multiple Samba WINS
+Right now Samba WINS does not support MS-WINS replication. This means that
+when setting up Samba as a WINS server there must only be one <tt class="filename">nmbd</tt>
+configured as a WINS server on the network. Some sites have used multiple Samba WINS
 servers for redundancy (one server per subnet) and then used 
-<b>remote browse sync</b> and <b>remote announce</b>
-to affect browse list collation across all
-segments. Note that this means clients will only resolve local names,
-and must be configured to use DNS to resolve names on other subnets in
-order to resolve the IP addresses of the servers they can see on other
-subnets. This setup is not recommended, but is mentioned as a practical
+<b class="command">remote browse sync</b> and <b class="command">remote announce</b>
+to affect browse list collation across all segments. Note that this means clients
+will only resolve local names, and must be configured to use DNS to resolve names
+on other subnets in order to resolve the IP addresses of the servers they can see
+on other subnets. This setup is not recommended, but is mentioned as a practical
 consideration (ie: an 'if all else fails' scenario).
 </p><p>
 Lastly, take note that browse lists are a collection of unreliable broadcast
 messages that are repeated at intervals of not more than 15 minutes. This means
 that it will take time to establish a browse list and it can take up to 45
 minutes to stabilise, particularly across network segments.
-</p></div><div class="sect1" lang="en"><div class="titlepage"><div><h2 class="title" style="clear: both"><a name="id2863809"></a>How Browsing Functions</h2></div></div><p>
-As stated above, MS Windows machines register their NetBIOS names 
+</p></div><div class="sect2" lang="en"><div class="titlepage"><div><div><h3 class="title"><a name="id2886430"></a>TCP/IP - without NetBIOS</h3></div></div><div></div></div><p>
+All TCP/IP using systems use various forms of host name resolution. The primary
+methods for TCP/IP hostname resolutions involves either a static file (<tt class="filename">/etc/hosts
+</tt>) or DNS (the Domain Name System). DNS is the technology that makes
+the Internet usable. DNS based host name resolution is supported by nearly all TCP/IP
+enabled systems. Only a few embedded TCP/IP systems do not support DNS.
+</p><p>
+When an MS Windows 200x / XP system attempts to resolve a host name to an IP address
+it follows a defined path:
+</p><div class="orderedlist"><ol type="1"><li><p>
+       Checks the <tt class="filename">hosts</tt> file. It is located in
+       <tt class="filename">C:\WinNT\System32\Drivers\etc</tt>.
+       </p></li><li><p>
+       Does a DNS lookup
+       </p></li><li><p>
+       Checks the NetBIOS name cache
+        </p></li><li><p>
+       Queries the WINS server
+        </p></li><li><p>
+       Does a broadcast name lookup over UDP
+        </p></li><li><p>
+       Looks up entries in LMHOSTS. It is located in
+        <tt class="filename">C:\WinNT\System32\Drivers\etc</tt>.
+        </p></li></ol></div><p>
+Windows 200x / XP can register it's host name with a Dynamic DNS server. You can
+force register with a Dynamic DNS server in Windows 200x / XP using:
+<b class="command">ipconfig /registerdns</b>
+</p><p>
+With Active Directory (ADS), a correctly functioning DNS server is absolutely
+essential. In the absence of a working DNS server that has been correctly configured,
+MS Windows clients and servers will be totally unable to locate each other,
+consequently network services will be severely impaired.
+</p><p>
+The use of Dynamic DNS is highly recommended with Active Directory, in which case
+the use of BIND9 is preferred for it's ability to adequately support the SRV (service)
+records that are needed for Active Directory.
+</p></div><div class="sect2" lang="en"><div class="titlepage"><div><div><h3 class="title"><a name="id2886562"></a>DNS and Active Directory</h3></div></div><div></div></div><p>
+Occasionally we hear from Unix network administrators who want to use a Unix based Dynamic
+DNS server in place of the Microsoft DNS server. While this might be desirable to some, the
+MS Windows 200x DNS server is auto-configured to work with Active Directory. It is possible
+to use BIND version 8 or 9, but it will almost certainly be necessary to create service records
+so that MS Active Directory clients can resolve host names to locate essential network services.
+The following are some of the default service records that Active Directory requires:
+</p><div class="itemizedlist"><ul type="disc"><li><p>_ldap._tcp.pdc.ms-dcs.<span class="emphasis"><em>Domain</em></span></p><p>
+               This provides the address of the Windows NT PDC for the Domain.
+               </p></li><li><p>_ldap._tcp.pdc.ms-dcs.<span class="emphasis"><em>DomainTree</em></span></p><p>
+               Resolves the addresses of Global Catalog servers in the domain.
+                </p></li><li><p>_ldap._tcp.<span class="emphasis"><em>site</em></span>.sites.writable.ms-dcs.<span class="emphasis"><em>Domain</em></span></p><p>
+               Provides list of domain controllers based on sites.
+                </p></li><li><p>_ldap._tcp.writable.ms-dcs.<span class="emphasis"><em>Domain</em></span></p><p>
+               Enumerates list of domain controllers that have the writable    
+               copies of the Active Directory data store.
+                </p></li><li><p>_ldap._tcp.<span class="emphasis"><em>GUID</em></span>.domains.ms-dcs.<span class="emphasis"><em>DomainTree</em></span></p><p>
+               Entry used by MS Windows clients to locate machines using the
+               Global Unique Identifier.
+                </p></li><li><p>_ldap._tcp.<span class="emphasis"><em>Site</em></span>.gc.ms-dcs.<span class="emphasis"><em>DomainTree</em></span></p><p>
+               Used by MS Windows clients to locate site configuration dependent
+               Global Catalog server.
+               </p></li></ul></div></div></div><div class="sect1" lang="en"><div class="titlepage"><div><div><h2 class="title" style="clear: both"><a name="id2886698"></a>How Browsing Functions</h2></div></div><div></div></div><p>
+MS Windows machines register their NetBIOS names 
 (ie: the machine name for each service type in operation) on start 
-up. Also, as stated above, the exact method by which this name registration 
+up. The exact method by which this name registration 
 takes place is determined by whether or not the MS Windows client/server 
 has been given a WINS server address, whether or not LMHOSTS lookup 
 is enabled, or if DNS for NetBIOS name resolution is enabled, etc.
 </p><p>
-In the case where there is no WINS server all name registrations as 
+In the case where there is no WINS server, all name registrations as 
 well as name lookups are done by UDP broadcast. This isolates name 
 resolution to the local subnet, unless LMHOSTS is used to list all 
 names and IP addresses. In such situations Samba provides a means by 
-which the samba server name may be forcibly injected into the browse 
+which the Samba server name may be forcibly injected into the browse 
 list of a remote MS Windows network (using the 
-<b>remote announce</b> parameter).
+<b class="command">remote announce</b> parameter).
 </p><p>
 Where a WINS server is used, the MS Windows client will use UDP 
 unicast to register with the WINS server. Such packets can be routed 
@@ -1561,21 +2491,21 @@ Any configuration that breaks name resolution and/or browsing intrinsics
 will annoy users because they will have to put up with protracted 
 inability to use the network services.
 </p><p>
-Samba supports a feature that allows forced synchonisation 
-of browse lists across routed networks using the <b>remote 
-browse sync</b> parameter in the <tt>smb.conf</tt> file. 
+Samba supports a feature that allows forced synchronisation 
+of browse lists across routed networks using the <b class="command">remote 
+browse sync</b> parameter in the <tt class="filename">smb.conf</tt> file. 
 This causes Samba to contact the local master browser on a remote network and 
 to request browse list synchronisation. This effectively bridges 
 two networks that are separated by routers. The two remote 
 networks may use either broadcast based name resolution or WINS 
-based name resolution, but it should be noted that the <b>remote 
+based name resolution, but it should be noted that the <b class="command">remote 
 browse sync</b> parameter provides browse list synchronisation - and 
 that is distinct from name to address resolution, in other 
 words, for cross subnet browsing to function correctly it is 
 essential that a name to address resolution mechanism be provided. 
-This mechanism could be via DNS, <tt>/etc/hosts</tt>, 
+This mechanism could be via DNS, <tt class="filename">/etc/hosts</tt>, 
 and so on.
-</p><div class="sect2" lang="en"><div class="titlepage"><div><h3 class="title"><a name="id2863936"></a>Setting up WORKGROUP Browsing</h3></div></div><p>
+</p><div class="sect2" lang="en"><div class="titlepage"><div><div><h3 class="title"><a name="id2886824"></a>Setting up WORKGROUP Browsing</h3></div></div><div></div></div><p>
 To set up cross subnet browsing on a network containing machines
 in up to be in a WORKGROUP, not an NT Domain you need to set up one
 Samba server to be the Domain Master Browser (note that this is *NOT*
@@ -1585,13 +2515,14 @@ to collate the browse lists from local master browsers on all the
 subnets that have a machine participating in the workgroup.  Without
 one machine configured as a domain master browser each subnet would
 be an isolated workgroup, unable to see any machines on any other
-subnet.  It is the presense of a domain master browser that makes
+subnet.  It is the presence of a domain master browser that makes
 cross subnet browsing possible for a workgroup.
 </p><p>
 In an WORKGROUP environment the domain master browser must be a
 Samba server, and there must only be one domain master browser per
 workgroup name.  To set up a Samba server as a domain master browser,
-set the following option in the [global] section of the <tt>smb.conf</tt> file :
+set the following option in the <i class="parameter"><tt>[global]</tt></i> section 
+of the <tt class="filename">smb.conf</tt> file :
 </p><p>
 </p><pre class="programlisting">
        domain master = yes
@@ -1599,7 +2530,7 @@ set the following option in the [global] section of the <tt>smb.conf</tt> file :
 </p><p>
 The domain master browser should also preferrably be the local master
 browser for its own subnet.  In order to achieve this set the following
-options in the [global] section of the <tt>smb.conf</tt> file :
+options in the <i class="parameter"><tt>[global]</tt></i> section of the <tt class="filename">smb.conf</tt> file :
 </p><p>
 </p><pre class="programlisting">
        domain master = yes
@@ -1617,8 +2548,8 @@ workgroup.  Any MS Windows NT/2K/XP/2003  machine should be
 able to do this, as will Windows 9x machines (although these
 tend to get rebooted more often, so it's not such a good idea
 to use these).  To make a Samba server a local master browser
-set the following options in the [global] section of the
-<tt>smb.conf</tt> file :
+set the following options in the <i class="parameter"><tt>[global]</tt></i> section of the
+<tt class="filename">smb.conf</tt> file :
 </p><p>
 </p><pre class="programlisting">
        domain master = no
@@ -1631,16 +2562,16 @@ Do not do this for more than one Samba server on each subnet,
 or they will war with each other over which is to be the local
 master browser.
 </p><p>
-The <b>local master</b> parameter allows Samba to act as a
-local master browser.  The <b>preferred master</b> causes nmbd
-to force a browser election on startup and the <b>os level</b>
+The <i class="parameter"><tt>local master</tt></i> parameter allows Samba to act as a
+local master browser.  The <i class="parameter"><tt>preferred master</tt></i> causes nmbd
+to force a browser election on startup and the <i class="parameter"><tt>os level</tt></i>
 parameter sets Samba high enough so that it should win any browser elections.
 </p><p>
 If you have an NT machine on the subnet that you wish to
 be the local master browser then you can disable Samba from
 becoming a local master browser by setting the following
-options in the <b>[global]</b> section of the 
-<tt>smb.conf</tt> file :
+options in the <i class="parameter"><tt>[global]</tt></i> section of the 
+<tt class="filename">smb.conf</tt> file :
 </p><p>
 </p><pre class="programlisting">
        domain master = no
@@ -1648,20 +2579,20 @@ options in the <b>[global]</b> section of the
        preferred master = no
        os level = 0
 </pre><p>
-</p></div><div class="sect2" lang="en"><div class="titlepage"><div><h3 class="title"><a name="id2864124"></a>Setting up DOMAIN Browsing</h3></div></div><p>
+</p></div><div class="sect2" lang="en"><div class="titlepage"><div><div><h3 class="title"><a name="id2887045"></a>Setting up DOMAIN Browsing</h3></div></div><div></div></div><p>
 If you are adding Samba servers to a Windows NT Domain then
 you must not set up a Samba server as a domain master browser.
-By default, a Windows NT Primary Domain Controller for a Domain
-name is also the Domain master browser for that name, and many
+By default, a Windows NT Primary Domain Controller for a domain
+is also the Domain master browser for that domain, and many
 things will break if a Samba server registers the Domain master
-browser NetBIOS name (<i><tt>DOMAIN</tt></i>&lt;1B&gt;)
+browser NetBIOS name (<i class="replaceable"><tt>DOMAIN</tt></i>&lt;1B&gt;)
 with WINS instead of the PDC.
 </p><p>
 For subnets other than the one containing the Windows NT PDC
 you may set up Samba servers as local master browsers as
 described.  To make a Samba server a local master browser set 
-the following options in the <b>[global]</b> section 
-of the <tt>smb.conf</tt> file :
+the following options in the <b class="command">[global]</b> section 
+of the <tt class="filename">smb.conf</tt> file :
 </p><p>
 </p><pre class="programlisting">
        domain master = no
@@ -1671,18 +2602,18 @@ of the <tt>smb.conf</tt> file :
 </pre><p>
 </p><p>
 If you wish to have a Samba server fight the election with machines
-on the same subnet you may set the <b>os level</b> parameter
+on the same subnet you may set the <i class="parameter"><tt>os level</tt></i> parameter
 to lower levels.  By doing this you can tune the order of machines that
 will become local master browsers if they are running.  For
-more details on this see the section <a href="#browse-force-master" title="Forcing samba to be the master">
-Forcing samba to be the master browser</a>
+more details on this see the section <a href="#browse-force-master" title="Forcing Samba to be the master">
+Forcing Samba to be the master browser</a>
 below.
 </p><p>
 If you have Windows NT machines that are members of the domain
 on all subnets, and you are sure they will always be running then
 you can disable Samba from taking part in browser elections and
 ever becoming a local master browser by setting following options 
-in the <b>[global]</b> section of the <tt>smb.conf</tt>
+in the <i class="parameter"><tt>[global]</tt></i> section of the <tt class="filename">smb.conf</tt>
 file :
 </p><p>
 </p><pre class="programlisting">
@@ -1691,63 +2622,63 @@ file :
         preferred master = no
         os level = 0
 </pre><p>
-</p></div><div class="sect2" lang="en"><div class="titlepage"><div><h3 class="title"><a name="browse-force-master"></a>Forcing samba to be the master</h3></div></div><p>
-Who becomes the <b>master browser</b> is determined by an election
+</p></div><div class="sect2" lang="en"><div class="titlepage"><div><div><h3 class="title"><a name="browse-force-master"></a>Forcing Samba to be the master</h3></div></div><div></div></div><p>
+Who becomes the <i class="parameter"><tt>master browser</tt></i> is determined by an election
 process using broadcasts.  Each election packet contains a number of parameters
 which determine what precedence (bias) a host should have in the
 election.  By default Samba uses a very low precedence and thus loses
 elections to just about anyone else.
 </p><p>
-If you want Samba to win elections then just set the <b>os level</b> global
-option in <tt>smb.conf</tt> to a higher number.  It defaults to 0.  Using 34
+If you want Samba to win elections then just set the <i class="parameter"><tt>os level</tt></i> global
+option in <tt class="filename">smb.conf</tt> to a higher number.  It defaults to 0.  Using 34
 would make it win all elections over every other system (except other
 samba systems!)
 </p><p>
-A <b>os level</b> of 2 would make it beat WfWg and Win95, but not MS Windows
+A <i class="parameter"><tt>os level</tt></i> of 2 would make it beat WfWg and Win95, but not MS Windows
 NT/2K Server.  A MS Windows NT/2K Server domain controller uses level 32.
 </p><p>The maximum os level is 255</p><p>
-If you want samba to force an election on startup, then set the
-<b>preferred master</b> global option in <tt>smb.conf</tt> to &quot;yes&quot;.  Samba will
+If you want Samba to force an election on startup, then set the
+<i class="parameter"><tt>preferred master</tt></i> global option in <tt class="filename">smb.conf</tt> to <tt class="constant">yes</tt>.  Samba will
 then have a slight advantage over other potential master browsers
 that are not preferred master browsers.  Use this parameter with
-care, as if you have two hosts (whether they are windows 95 or NT or
-samba) on the same local subnet both set with <b>preferred master</b> to
-&quot;yes&quot;, then periodically and continually they will force an election
+care, as if you have two hosts (whether they are Windows 95 or NT or
+Samba) on the same local subnet both set with <i class="parameter"><tt>preferred master</tt></i> to
+<tt class="constant">yes</tt>, then periodically and continually they will force an election
 in order to become the local master browser.
 </p><p>
-If you want samba to be a <b>domain master browser</b>, then it is
-recommended that you also set <b>preferred master</b> to &quot;yes&quot;, because
-samba will not become a domain master browser for the whole of your
+If you want Samba to be a <i class="parameter"><tt>domain master browser</tt></i>, then it is
+recommended that you also set <i class="parameter"><tt>preferred master</tt></i> to <tt class="constant">yes</tt>, because
+Samba will not become a domain master browser for the whole of your
 LAN or WAN if it is not also a local master browser on its own
 broadcast isolated subnet.
 </p><p>
-It is possible to configure two samba servers to attempt to become
+It is possible to configure two Samba servers to attempt to become
 the domain master browser for a domain.  The first server that comes
-up will be the domain master browser.  All other samba servers will
+up will be the domain master browser.  All other Samba servers will
 attempt to become the domain master browser every 5 minutes.  They
-will find that another samba server is already the domain master
+will find that another Samba server is already the domain master
 browser and will fail.  This provides automatic redundancy, should
 the current domain master browser fail.
-</p></div><div class="sect2" lang="en"><div class="titlepage"><div><h3 class="title"><a name="id2864390"></a>Making samba the domain master</h3></div></div><p>
+</p></div><div class="sect2" lang="en"><div class="titlepage"><div><div><h3 class="title"><a name="id2887315"></a>Making Samba the domain master</h3></div></div><div></div></div><p>
 The domain master is responsible for collating the browse lists of
 multiple subnets so that browsing can occur between subnets.  You can
-make samba act as the domain master by setting <b>domain master = yes</b>
-in <tt>smb.conf</tt>.  By default it will not be a domain master.
+make Samba act as the domain master by setting <i class="parameter"><tt>domain master = yes</tt></i>
+in <tt class="filename">smb.conf</tt>.  By default it will not be a domain master.
 </p><p>
-Note that you should NOT set Samba to be the domain master for a
+Note that you should <span class="emphasis"><em>not</em></span> set Samba to be the domain master for a
 workgroup that has the same name as an NT Domain.
 </p><p>
-When samba is the domain master and the master browser it will listen
+When Samba is the domain master and the master browser, it will listen
 for master announcements (made roughly every twelve minutes) from local
 master browsers on other subnets and then contact them to synchronise
 browse lists.
 </p><p>
-If you want samba to be the domain master then I suggest you also set
-the <b>os level</b> high enough to make sure it wins elections, and set
-<b>preferred master</b> to &quot;yes&quot;, to get samba to force an election on
+If you want Samba to be the domain master then I suggest you also set
+the <i class="parameter"><tt>os level</tt></i> high enough to make sure it wins elections, and set
+<i class="parameter"><tt>preferred master</tt></i> to <tt class="constant">yes</tt>, to get Samba to force an election on
 startup.
 </p><p>
-Note that all your servers (including samba) and clients should be
+Note that all your servers (including Samba) and clients should be
 using a WINS server to resolve NetBIOS names.  If your clients are only
 using broadcasting to resolve NetBIOS names, then two things will occur:
 </p><div class="orderedlist"><ol type="1"><li><p>
@@ -1758,11 +2689,11 @@ using broadcasting to resolve NetBIOS names, then two things will occur:
        a user attempts to access a host in that list, it will be unable to
        resolve the NetBIOS name of that host.
        </p></li></ol></div><p>
-If, however, both samba and your clients are using a WINS server, then:
+If, however, both Samba and your clients are using a WINS server, then:
 </p><div class="orderedlist"><ol type="1"><li><p>
        your local master browsers will contact the WINS server and, as long as
-       samba has registered that it is a domain master browser with the WINS
-       server, your local master browser will receive samba's ip address
+       Samba has registered that it is a domain master browser with the WINS
+       server, your local master browser will receive Samba's IP address
        as its domain master browser.
        </p></li><li><p>
        when a client receives a domain-wide browse list, and a user attempts
@@ -1770,67 +2701,67 @@ If, however, both samba and your clients are using a WINS server, then:
        resolve the NetBIOS name of that host.  as long as that host has
        registered its NetBIOS name with the same WINS server, the user will
        be able to see that host.  
-       </p></li></ol></div></div><div class="sect2" lang="en"><div class="titlepage"><div><h3 class="title"><a name="id2864538"></a>Note about broadcast addresses</h3></div></div><p>
+       </p></li></ol></div></div><div class="sect2" lang="en"><div class="titlepage"><div><div><h3 class="title"><a name="id2887471"></a>Note about broadcast addresses</h3></div></div><div></div></div><p>
 If your network uses a &quot;0&quot; based broadcast address (for example if it
 ends in a 0) then you will strike problems.  Windows for Workgroups
 does not seem to support a 0's broadcast and you will probably find
 that browsing and name lookups won't work.
-</p></div><div class="sect2" lang="en"><div class="titlepage"><div><h3 class="title"><a name="id2864555"></a>Multiple interfaces</h3></div></div><p>
+</p></div><div class="sect2" lang="en"><div class="titlepage"><div><div><h3 class="title"><a name="id2887488"></a>Multiple interfaces</h3></div></div><div></div></div><p>
 Samba now supports machines with multiple network interfaces.  If you
-have multiple interfaces then you will need to use the <b>interfaces</b>
-option in <tt>smb.conf</tt> to configure them. 
-</p></div><div class="sect2" lang="en"><div class="titlepage"><div><h3 class="title"><a name="id2864584"></a>Use of the <b>Remote Announce</b> parameter</h3></div></div><p>
-The <b>remote announce</b> parameter of 
-<tt>smb.conf</tt> can be used to forcibly ensure
+have multiple interfaces then you will need to use the <b class="command">interfaces</b>
+option in <tt class="filename">smb.conf</tt> to configure them. 
+</p></div><div class="sect2" lang="en"><div class="titlepage"><div><div><h3 class="title"><a name="id2887517"></a>Use of the Remote Announce parameter</h3></div></div><div></div></div><p>
+The <i class="parameter"><tt>remote announce</tt></i> parameter of 
+<tt class="filename">smb.conf</tt> can be used to forcibly ensure
 that all the NetBIOS names on a network get announced to a remote network.
-The syntax of the <b>remote announce</b> parameter is:
+The syntax of the <i class="parameter"><tt>remote announce</tt></i> parameter is:
 </p><pre class="programlisting">
        remote announce = a.b.c.d [e.f.g.h] ...
 </pre><p>
-_or_
+<span class="emphasis"><em>or</em></span>
 </p><pre class="programlisting">
        remote announce = a.b.c.d/WORKGROUP [e.f.g.h/WORKGROUP] ...
 </pre><p>
 
 where:
-</p><div class="variablelist"><dl><dt><span class="term"><i><tt>a.b.c.d</tt></i> and 
-<i><tt>e.f.g.h</tt></i></span></dt><dd><p>is either the LMB (Local Master Browser) IP address
-or the broadcst address of the remote network.
+</p><div class="variablelist"><dl><dt><span class="term"><i class="replaceable"><tt>a.b.c.d</tt></i> and 
+<i class="replaceable"><tt>e.f.g.h</tt></i></span></dt><dd><p>is either the LMB (Local Master Browser) IP address
+or the broadcast address of the remote network.
 ie: the LMB is at 192.168.1.10, or the address
 could be given as 192.168.1.255 where the netmask
 is assumed to be 24 bits (255.255.255.0).
 When the remote announcement is made to the broadcast
-address of the remote network every host will receive
+address of the remote network, every host will receive
 our announcements. This is noisy and therefore
 undesirable but may be necessary if we do NOT know
-the IP address of the remote LMB.</p></dd><dt><span class="term"><i><tt>WORKGROUP</tt></i></span></dt><dd><p>is optional and can be either our own workgroup
+the IP address of the remote LMB.</p></dd><dt><span class="term"><i class="replaceable"><tt>WORKGROUP</tt></i></span></dt><dd><p>is optional and can be either our own workgroup
 or that of the remote network. If you use the
 workgroup name of the remote network then our
 NetBIOS machine names will end up looking like
 they belong to that workgroup, this may cause
 name resolution problems and should be avoided.
 </p></dd></dl></div><p>
-</p></div><div class="sect2" lang="en"><div class="titlepage"><div><h3 class="title"><a name="id2864695"></a>Use of the <b>Remote Browse Sync</b> parameter</h3></div></div><p>
-The <b>remote browse sync</b> parameter of 
-<tt>smb.conf</tt> is used to announce to
-another LMB that it must synchronise it's NetBIOS name list with our
+</p></div><div class="sect2" lang="en"><div class="titlepage"><div><div><h3 class="title"><a name="id2887626"></a>Use of the Remote Browse Sync parameter</h3></div></div><div></div></div><p>
+The <i class="parameter"><tt>remote browse sync</tt></i> parameter of 
+<tt class="filename">smb.conf</tt> is used to announce to
+another LMB that it must synchronise its NetBIOS name list with our
 Samba LMB. It works ONLY if the Samba server that has this option is
-simultaneously the LMB on it's network segment.
+simultaneously the LMB on its network segment.
 </p><p>
-The syntax of the <b>remote browse sync</b> parameter is:
+The syntax of the <i class="parameter"><tt>remote browse sync</tt></i> parameter is:
 
 </p><pre class="programlisting">
-remote browse sync = <i><tt>a.b.c.d</tt></i>
+remote browse sync = <i class="replaceable"><tt>a.b.c.d</tt></i>
 </pre><p>
 
-where <i><tt>a.b.c.d</tt></i> is either the IP address of the
+where <i class="replaceable"><tt>a.b.c.d</tt></i> is either the IP address of the
 remote LMB or else is the network broadcast address of the remote segment.
-</p></div></div><div class="sect1" lang="en"><div class="titlepage"><div><h2 class="title" style="clear: both"><a name="id2864763"></a>WINS - The Windows Internetworking Name Server</h2></div></div><p>
-Use of WINS (either Samba WINS _or_ MS Windows NT Server WINS) is highly
-recommended. Every NetBIOS machine registers it's name together with a
-name_type value for each of of several types of service it has available.
-eg: It registers it's name directly as a unique (the type 0x03) name.
-It also registers it's name if it is running the lanmanager compatible
+</p></div></div><div class="sect1" lang="en"><div class="titlepage"><div><div><h2 class="title" style="clear: both"><a name="id2887687"></a>WINS - The Windows Internetworking Name Server</h2></div></div><div></div></div><p>
+Use of WINS (either Samba WINS <span class="emphasis"><em>or</em></span> MS Windows NT Server WINS) is highly
+recommended. Every NetBIOS machine registers its name together with a
+name_type value for each of several types of service it has available.
+eg: It registers its name directly as a unique (the type 0x03) name.
+It also registers its name if it is running the LanManager compatible
 server service (used to make shares and printers available to other users)
 by registering the server (the type 0x20) name.
 </p><p>
@@ -1845,8 +2776,8 @@ that wants to log onto the network can ask the WINS server for a list
 of all names that have registered the NetLogon service name_type. This saves
 broadcast traffic and greatly expedites logon processing. Since broadcast
 name resolution can not be used across network segments this type of
-information can only be provided via WINS _or_ via statically configured
-<tt>lmhosts</tt> files that must reside on all clients in the
+information can only be provided via WINS <span class="emphasis"><em>or</em></span> via statically configured
+<tt class="filename">lmhosts</tt> files that must reside on all clients in the
 absence of WINS.
 </p><p>
 WINS also serves the purpose of forcing browse list synchronisation by all
@@ -1866,21 +2797,21 @@ lookup attempts by other clients and will therefore cause workstation access
 errors.
 </p><p>
 To configure Samba as a WINS server just add 
-<b>wins support = yes</b> to the <tt>smb.conf</tt>
+<i class="parameter"><tt>wins support = yes</tt></i> to the <tt class="filename">smb.conf</tt>
 file [globals] section.
 </p><p>
 To configure Samba to register with a WINS server just add
-&quot;wins server = a.b.c.d&quot; to your smb.conf file [globals] section.
+<i class="parameter"><tt>wins server = a.b.c.d</tt></i> to your <tt class="filename">smb.conf</tt> file <i class="parameter"><tt>[globals]</tt></i> section.
 </p><div class="important" style="margin-left: 0.5in; margin-right: 0.5in;"><h3 class="title">Important</h3><p>
-Never use both <b>wins support = yes</b> together
-with <b>wins server = a.b.c.d</b>
+Never use both <i class="parameter"><tt>wins support = yes</tt></i> together
+with <i class="parameter"><tt>wins server = a.b.c.d</tt></i>
 particularly not using it's own IP address.
-Specifying both will cause nmbd to refuse to start!
-</p></div><div class="sect2" lang="en"><div class="titlepage"><div><h3 class="title"><a name="id2863586"></a>Setting up a WINS server</h3></div></div><p>
+Specifying both will cause <span class="application">nmbd</span> to refuse to start!
+</p></div><div class="sect2" lang="en"><div class="titlepage"><div><div><h3 class="title"><a name="id2887846"></a>Setting up a WINS server</h3></div></div><div></div></div><p>
 Either a Samba machine or a Windows NT Server machine may be set up
 as a WINS server.  To set a Samba machine to be a WINS server you must
-add the following option to the <tt>smb.conf</tt> file on the selected machine :
-in the [globals] section add the line 
+add the following option to the <tt class="filename">smb.conf</tt> file on the selected machine :
+in the <i class="parameter"><tt>[globals]</tt></i> section add the line 
 </p><p>
 </p><pre class="programlisting">
        wins support = yes
@@ -1891,32 +2822,32 @@ yes.  If you have any older versions of Samba on your network it is
 strongly suggested you upgrade to a recent version, or at the very
 least set the parameter to 'no' on all these machines.
 </p><p>
-Machines with <b>wins support = yes</b> will keep a list of 
+Machines with <i class="parameter"><tt>wins support = yes</tt></i> will keep a list of 
 all NetBIOS names registered with them, acting as a DNS for NetBIOS names.
 </p><p>
-You should set up only ONE wins server.  Do NOT set the
-<b>wins support = yes</b> option on more than one Samba 
+You should set up only ONE WINS server.  Do NOT set the
+<i class="parameter"><tt>wins support = yes</tt></i> option on more than one Samba 
 server.
 </p><p>
 To set up a Windows NT Server as a WINS server you need to set up
 the WINS service - see your NT documentation for details.  Note that
 Windows NT WINS Servers can replicate to each other, allowing more
 than one to be set up in a complex subnet environment.  As Microsoft
-refuse to document these replication protocols Samba cannot currently
+refuses to document these replication protocols, Samba cannot currently
 participate in these replications.  It is possible in the future that
 a Samba-&gt;Samba WINS replication protocol may be defined, in which
 case more than one Samba machine could be set up as a WINS server
 but currently only one Samba server should have the 
-<b>wins support = yes</b> parameter set.
+<i class="parameter"><tt>wins support = yes</tt></i> parameter set.
 </p><p>
 After the WINS server has been configured you must ensure that all
 machines participating on the network are configured with the address
 of this WINS server.  If your WINS server is a Samba machine, fill in
-the Samba machine IP address in the &quot;Primary WINS Server&quot; field of
-the &quot;Control Panel-&gt;Network-&gt;Protocols-&gt;TCP-&gt;WINS Server&quot; dialogs
+the Samba machine IP address in the <span class="guilabel">Primary WINS Server</span> field of
+the <span class="guilabel">Control Panel-&gt;Network-&gt;Protocols-&gt;TCP-&gt;WINS Server</span> dialogs
 in Windows 95 or Windows NT.  To tell a Samba server the IP address
-of the WINS server add the following line to the [global] section of
-all <tt>smb.conf</tt> files :
+of the WINS server add the following line to the <i class="parameter"><tt>[global]</tt></i> section of
+all <tt class="filename">smb.conf</tt> files :
 </p><p>
 </p><pre class="programlisting">
        wins server = &lt;name or IP address&gt;
@@ -1925,10 +2856,10 @@ all <tt>smb.conf</tt> files :
 where &lt;name or IP address&gt; is either the DNS name of the WINS server
 machine or its IP address.
 </p><p>
-Note that this line MUST NOT BE SET in the <tt>smb.conf</tt> file of the Samba
+Note that this line MUST NOT BE SET in the <tt class="filename">smb.conf</tt> file of the Samba
 server acting as the WINS server itself.  If you set both the
-<b>wins support = yes</b> option and the 
-<b>wins server = &lt;name&gt;</b> option then
+<i class="parameter"><tt>wins support = yes</tt></i> option and the 
+<i class="parameter"><tt>wins server = &lt;name&gt;</tt></i> option then
 nmbd will fail to start.
 </p><p>
 There are two possible scenarios for setting up cross subnet browsing.
@@ -1936,22 +2867,45 @@ The first details setting up cross subnet browsing on a network containing
 Windows 95, Samba and Windows NT machines that are not configured as
 part of a Windows NT Domain.  The second details setting up cross subnet
 browsing on networks that contain NT Domains.
-</p></div><div class="sect2" lang="en"><div class="titlepage"><div><h3 class="title"><a name="id2865218"></a>WINS Replication</h3></div></div><p>
-Samba-3 permits WINS replication through the use of the <tt>wrepld</tt> utility.
+</p></div><div class="sect2" lang="en"><div class="titlepage"><div><div><h3 class="title"><a name="id2888045"></a>WINS Replication</h3></div></div><div></div></div><p>
+Samba-3 permits WINS replication through the use of the <tt class="filename">wrepld</tt> utility.
 This tool is not currently capable of being used as it is still in active development.
 As soon as this tool becomes moderately functional we will prepare man pages and enhance this
 section of the documentation to provide usage and technical details.
-</p></div><div class="sect2" lang="en"><div class="titlepage"><div><h3 class="title"><a name="id2865243"></a>Static WINS Entries</h3></div></div><p>
-New to Samba-3 is a tool called <tt>winsedit</tt> that may be used to add
-static WINS entries to the WINS database. This tool can be used also to modify entries
-existing in the WINS database.
-</p><p>
-The development of the winsedit tool was made necessary due to the migration
-of the older style wins.dat file into a new tdb binary backend data store.
-</p></div></div><div class="sect1" lang="en"><div class="titlepage"><div><h2 class="title" style="clear: both"><a name="id2865274"></a>Helpful Hints</h2></div></div><p>
+</p></div><div class="sect2" lang="en"><div class="titlepage"><div><div><h3 class="title"><a name="id2888070"></a>Static WINS Entries</h3></div></div><div></div></div><p>
+Adding static entries to your Samba-3 WINS server is actually fairly easy.
+All you have to do is add a line to <tt class="filename">wins.dat</tt>, typically
+located in <tt class="filename">/usr/local/samba/var/locks</tt>.
+</p><p>
+Entries in <tt class="filename">wins.dat</tt> take the form of
+
+</p><pre class="programlisting">
+&quot;NAME#TYPE&quot; TTL ADDRESS+ FLAGS
+</pre><p>
+
+where NAME is the NetBIOS name, TYPE is the NetBIOS type, TTL is the
+time-to-live as an absolute time in seconds, ADDRESS+ is one or more
+addresses corresponding to the registration and FLAGS are the NetBIOS
+flags for the registration.
+</p><p>
+A typical dynamic entry looks like:
+</p><pre class="programlisting">
+&quot;MADMAN#03&quot; 1055298378 192.168.1.2 66R
+</pre><p>
+
+To make it static, all that has to be done is set the TTL to 0:
+
+</p><pre class="programlisting">
+&quot;MADMAN#03&quot; 0 192.168.1.2 66R
+</pre><p>
+</p><p>
+Though this method works with early Samba-3 versions, there's a
+possibility that it may change in future versions if WINS replication
+is added.
+</p></div></div><div class="sect1" lang="en"><div class="titlepage"><div><div><h2 class="title" style="clear: both"><a name="id2888154"></a>Helpful Hints</h2></div></div><div></div></div><p>
 The following hints should be carefully considered as they are stumbling points
 for many new network administrators.
-</p><div class="sect2" lang="en"><div class="titlepage"><div><h3 class="title"><a name="id2865287"></a>Windows Networking Protocols</h3></div></div><div class="warning" style="margin-left: 0.5in; margin-right: 0.5in;"><h3 class="title">Warning</h3><p>
+</p><div class="sect2" lang="en"><div class="titlepage"><div><div><h3 class="title"><a name="id2888167"></a>Windows Networking Protocols</h3></div></div><div></div></div><div class="warning" style="margin-left: 0.5in; margin-right: 0.5in;"><h3 class="title">Warning</h3><p>
 Do NOT use more than one (1) protocol on MS Windows machines
 </p></div><p>
 A very common cause of browsing problems results from installing more than
@@ -1959,7 +2913,7 @@ one protocol on an MS Windows machine.
 </p><p>
 Every NetBIOS machine takes part in a process of electing the LMB (and DMB)
 every 15 minutes. A set of election criteria is used to determine the order
-of precidence for winning this election process. A machine running Samba or
+of precedence for winning this election process. A machine running Samba or
 Windows NT will be biased so that the most suitable machine will predictably
 win and thus retain it's role.
 </p><p>
@@ -1981,31 +2935,34 @@ differently from MS Windows NT4. Generally, where a server does NOT support
 the newer or extended protocol, these will fall back to the NT4 protocols.
 </em></span></p><p>
 The safest rule of all to follow it this - USE ONLY ONE PROTOCOL!
-</p></div><div class="sect2" lang="en"><div class="titlepage"><div><h3 class="title"><a name="id2865354"></a>Name Resolution Order</h3></div></div><p>
+</p></div><div class="sect2" lang="en"><div class="titlepage"><div><div><h3 class="title"><a name="id2888234"></a>Name Resolution Order</h3></div></div><div></div></div><p>
 Resolution of NetBIOS names to IP addresses can take place using a number
 of methods. The only ones that can provide NetBIOS name_type information
-are:</p><table class="simplelist" border="0" summary="Simple list"><tr><td>WINS: the best tool!</td></tr><tr><td>LMHOSTS: is static and hard to maintain.</td></tr><tr><td>Broadcast: uses UDP and can not resolve names across remote segments.</td></tr></table><p>
-Alternative means of name resolution includes:</p><table class="simplelist" border="0" summary="Simple list"><tr><td>/etc/hosts: is static, hard to maintain, and lacks name_type info</td></tr><tr><td>DNS: is a good choice but lacks essential name_type info.</td></tr></table><p>
+are:
+</p><table class="simplelist" border="0" summary="Simple list"><tr><td>WINS: the best tool!</td></tr><tr><td>LMHOSTS: is static and hard to maintain.</td></tr><tr><td>Broadcast: uses UDP and can not resolve names across remote segments.</td></tr></table><p>
+Alternative means of name resolution includes:
+</p><table class="simplelist" border="0" summary="Simple list"><tr><td><tt class="filename">/etc/hosts</tt>: is static, hard to maintain, and lacks name_type info</td></tr><tr><td>DNS: is a good choice but lacks essential name_type info.</td></tr></table><p>
 Many sites want to restrict DNS lookups and want to avoid broadcast name
-resolution traffic. The &quot;name resolve order&quot; parameter is of great help here.
-The syntax of the &quot;name resolve order&quot; parameter is:
+resolution traffic. The <i class="parameter"><tt>name resolve order</tt></i> parameter is
+of great help here. The syntax of the <i class="parameter"><tt>name resolve order</tt></i>
+parameter is:
 </p><pre class="programlisting">
 name resolve order = wins lmhosts bcast host
 </pre><p>
-_or_
+<span class="emphasis"><em>or</em></span>
 </p><pre class="programlisting">
 name resolve order = wins lmhosts      (eliminates bcast and host)
 </pre><p>
 The default is:
 </p><pre class="programlisting">
-name  resolve order = host lmhost wins bcast
+name resolve order = host lmhost wins bcast
 </pre><p>
 where &quot;host&quot; refers the the native methods used by the Unix system
 to implement the gethostbyname() function call. This is normally
-controlled by <tt>/etc/host.conf</tt>, <tt>/etc/nsswitch.conf</tt> and <tt>/etc/resolv.conf</tt>.
-</p></div></div><div class="sect1" lang="en"><div class="titlepage"><div><h2 class="title" style="clear: both"><a name="id2865470"></a>Technical Overview of browsing</h2></div></div><p>
+controlled by <tt class="filename">/etc/host.conf</tt>, <tt class="filename">/etc/nsswitch.conf</tt> and <tt class="filename">/etc/resolv.conf</tt>.
+</p></div></div><div class="sect1" lang="en"><div class="titlepage"><div><div><h2 class="title" style="clear: both"><a name="id2888372"></a>Technical Overview of browsing</h2></div></div><div></div></div><p>
 SMB networking provides a mechanism by which clients can access a list
-of machines in a network, a so-called <b>browse list</b>.  This list
+of machines in a network, a so-called <i class="parameter"><tt>browse list</tt></i>.  This list
 contains machines that are ready to offer file and/or print services
 to other machines within the network. Thus it does not include
 machines which aren't currently able to do server tasks.  The browse
@@ -2014,7 +2971,7 @@ browsing has been problematic for some Samba users, hence this
 document.
 </p><p>
 MS Windows 2000 and later, as with Samba 3 and later, can be
-configured to not use NetBIOS over TCP/IP. When configured this way
+configured to not use NetBIOS over TCP/IP. When configured this way,
 it is imperative that name resolution (using DNS/LDAP/ADS) be correctly
 configured and operative. Browsing will NOT work if name resolution
 from SMB machine names to IP addresses does not function correctly.
@@ -2023,9 +2980,9 @@ Where NetBIOS over TCP/IP is enabled use of a WINS server is highly
 recommended to aid the resolution of NetBIOS (SMB) names to IP addresses.
 WINS allows remote segment clients to obtain NetBIOS name_type information
 that can NOT be provided by any other means of name resolution.
-</p><div class="sect2" lang="en"><div class="titlepage"><div><h3 class="title"><a name="id2865517"></a>Browsing support in samba</h3></div></div><p>
-Samba facilitates browsing.  The browsing is supported by nmbd
-and is also controlled by options in the <tt>smb.conf</tt> file.
+</p><div class="sect2" lang="en"><div class="titlepage"><div><div><h3 class="title"><a name="id2888419"></a>Browsing support in Samba</h3></div></div><div></div></div><p>
+Samba facilitates browsing.  The browsing is supported by <span class="application">nmbd</span>
+and is also controlled by options in the <tt class="filename">smb.conf</tt> file.
 Samba can act as a local browse master for a workgroup and the ability
 to support domain logons and scripts is now available.
 </p><p>
@@ -2033,7 +2990,7 @@ Samba can also act as a domain master browser for a workgroup.  This
 means that it will collate lists from local browse masters into a
 wide area network server list.  In order for browse clients to
 resolve the names they may find in this list, it is recommended that
-both samba and your clients use a WINS server.
+both Samba and your clients use a WINS server.
 </p><p>
 Note that you should NOT set Samba to be the domain master for a
 workgroup that has the same name as an NT Domain: on each wide area
@@ -2042,34 +2999,34 @@ regardless of whether it is NT, Samba or any other type of domain master
 that is providing this service.
 </p><div class="note" style="margin-left: 0.5in; margin-right: 0.5in;"><h3 class="title">Note</h3><p>
 Nmbd can be configured as a WINS server, but it is not
-necessary to specifically use samba as your WINS server.  MS Windows
+necessary to specifically use Samba as your WINS server.  MS Windows
 NT4, Server or Advanced Server 2000 or 2003 can be configured as
-your WINS server.  In a mixed NT/2000/2003 server and samba environment on
+your WINS server.  In a mixed NT/2000/2003 server and Sam