This is the 'winbind default domain' patch from Alexander Bokovoy
[ira/wip.git] / docs / docbook / manpages / smb.conf.5.sgml
1 <!DOCTYPE refentry PUBLIC "-//OASIS//DTD DocBook V4.1//EN">
2 <refentry id="smb.conf">
3
4 <refmeta>
5         <refentrytitle>smb.conf</refentrytitle>
6         <manvolnum>5</manvolnum>
7 </refmeta>
8
9
10 <refnamediv>
11         <refname>smb.conf</refname>
12         <refpurpose>The configuration file for the Samba suite</refpurpose>
13 </refnamediv>
14
15 <refsect1>
16         <title>SYNOPSIS</title>
17
18         <para>The <filename>smb.conf</filename> file is a configuration 
19         file for the Samba suite. <filename>smb.conf</filename> contains 
20         runtime configuration information for the Samba programs. The
21         <filename>smb.conf</filename> file is designed to be configured and 
22         administered by the <ulink url="swat.8.html"><command>swat(8)</command>
23         </ulink> program. The complete description of the file format and 
24         possible parameters held within are here for reference purposes.</para>
25 </refsect1>
26
27 <refsect1>
28         <title id="FILEFORMATSECT">FILE FORMAT</title>
29
30         <para>The file consists of sections and parameters. A section 
31         begins with the name of the section in square brackets and continues 
32         until the next section begins. Sections contain parameters of the 
33         form</para>
34
35         <para><replaceable>name</replaceable> = <replaceable>value
36         </replaceable></para>
37
38         <para>The file is line-based - that is, each newline-terminated 
39         line represents either a comment, a section name or a parameter.</para>
40
41         <para>Section and parameter names are not case sensitive.</para>
42
43         <para>Only the first equals sign in a parameter is significant. 
44         Whitespace before or after the first equals sign is discarded. 
45         Leading, trailing and internal whitespace in section and parameter 
46         names is irrelevant. Leading and trailing whitespace in a parameter 
47         value is discarded. Internal whitespace within a parameter value 
48         is retained verbatim.</para>
49
50         <para>Any line beginning with a semicolon (';') or a hash ('#') 
51         character is ignored, as are lines containing only whitespace.</para>
52
53         <para>Any line ending in a '\' is continued
54         on the next line in the customary UNIX fashion.</para>
55
56         <para>The values following the equals sign in parameters are all 
57         either a string (no quotes needed) or a boolean, which may be given 
58         as yes/no, 0/1 or true/false. Case is not significant in boolean 
59         values, but is preserved in string values. Some items such as 
60         create modes are numeric.</para>
61 </refsect1>
62
63 <refsect1>
64         <title>SECTION DESCRIPTIONS</title>
65
66         <para>Each section in the configuration file (except for the
67         [global] section) describes a shared resource (known
68         as a "share"). The section name is the name of the 
69         shared resource and the parameters within the section define 
70         the shares attributes.</para>
71
72         <para>There are three special sections, [global],
73         [homes] and [printers], which are
74         described under <emphasis>special sections</emphasis>. The
75         following notes apply to ordinary section descriptions.</para>
76
77         <para>A share consists of a directory to which access is being 
78         given plus a description of the access rights which are granted 
79         to the user of the service. Some housekeeping options are 
80         also specifiable.</para>
81         
82         <para>Sections are either file share services (used by the 
83         client as an extension of their native file systems) or 
84         printable services (used by the client to access print services 
85         on the host running the server).</para>
86         
87         <para>Sections may be designated <emphasis>guest</emphasis> services, 
88         in which case no password is required to access them. A specified 
89         UNIX <emphasis>guest account</emphasis> is used to define access
90         privileges in this case.</para>
91
92         <para>Sections other than guest services will require a password 
93         to access them. The client provides the username. As older clients 
94         only provide passwords and not usernames, you may specify a list 
95         of usernames to check against the password using the "user =" 
96         option in the share definition. For modern clients such as 
97         Windows 95/98/ME/NT/2000, this should not be necessary.</para>
98
99         <para>Note that the access rights granted by the server are 
100         masked by the access rights granted to the specified or guest 
101         UNIX user by the host system. The server does not grant more
102         access than the host system grants.</para>
103         
104         <para>The following sample section defines a file space share. 
105         The user has write access to the path <filename>/home/bar</filename>. 
106         The share is accessed via the share name "foo":</para>
107
108         <screen>
109         <computeroutput>
110         [foo]
111                 path = /home/bar
112                 writeable = true
113         </computeroutput>
114         </screen>
115
116         <para>The following sample section defines a printable share. 
117         The share is readonly, but printable. That is, the only write 
118         access permitted is via calls to open, write to and close a 
119         spool file. The <emphasis>guest ok</emphasis> parameter means 
120         access will be permitted as the default guest user (specified 
121         elsewhere):</para>
122
123         <screen>
124         <computeroutput>
125         [aprinter]
126                 path = /usr/spool/public
127                 writeable = false
128                 printable = true
129                 guest ok = true
130         </computeroutput>
131         </screen>
132 </refsect1>
133
134 <refsect1>
135         <title>SPECIAL SECTIONS</title>
136         
137         <refsect2>
138                 <title>The [global] section</title>
139                 
140                 <para>parameters in this section apply to the server 
141                 as a whole, or are defaults for sections which do not 
142                 specifically define certain items. See the notes 
143                 under PARAMETERS for more information.</para>
144         </refsect2>
145         
146         <refsect2>
147                 <title id="HOMESECT">The [homes] section</title>
148                 
149                 <para>If a section called homes is included in the 
150                 configuration file, services connecting clients to their 
151                 home directories can be created on the fly by the server.</para>
152
153                 <para>When the connection request is made, the existing 
154                 sections are scanned. If a match is found, it is used. If no 
155                 match is found, the requested section name is treated as a 
156                 user name and looked up in the local password file. If the 
157                 name exists and the correct password has been given, a share is 
158                 created by cloning the [homes] section.</para>
159                 
160                 <para>Some modifications are then made to the newly 
161                 created share:</para>
162                 
163                 <itemizedlist>
164                 <listitem><para>The share name is changed from homes to 
165                 the located username.</para></listitem>
166
167                 <listitem><para>If no path was given, the path is set to
168                 the user's home directory.</para></listitem>
169                 </itemizedlist>
170
171                 <para>If you decide to use a <emphasis>path =</emphasis> line 
172                 in your [homes] section then you may find it useful 
173                 to use the %S macro. For example :</para>
174
175                 <para><userinput>path = /data/pchome/%S</userinput></para>
176
177                 <para>would be useful if you have different home directories 
178                 for your PCs than for UNIX access.</para>
179
180                 <para>This is a fast and simple way to give a large number 
181                 of clients access to their home directories with a minimum 
182                 of fuss.</para>
183
184                 <para>A similar process occurs if the requested section 
185                 name is "homes", except that the share name is not 
186                 changed to that of the requesting user. This method of using 
187                 the [homes] section works well if different users share 
188                 a client PC.</para>
189                 
190                 <para>The [homes] section can specify all the parameters 
191                 a normal service section can specify, though some make more sense 
192                 than others. The following is a typical and suitable [homes]
193                 section:</para>
194
195                 <screen>
196                 <computeroutput>
197                 [homes]
198                         writeable = yes
199                 </computeroutput>
200                 </screen>
201         
202                 <para>An important point is that if guest access is specified 
203                 in the [homes] section, all home directories will be 
204                 visible to all clients <emphasis>without a password</emphasis>. 
205                 In the very unlikely event that this is actually desirable, it 
206                 would be wise to also specify <emphasis>read only
207                 access</emphasis>.</para>
208
209                 <para>Note that the <emphasis>browseable</emphasis> flag for 
210                 auto home directories will be inherited from the global browseable 
211                 flag, not the [homes] browseable flag. This is useful as 
212                 it means setting <emphasis>browseable = no</emphasis> in
213                 the [homes] section will hide the [homes] share but make
214                 any auto home directories visible.</para>
215         </refsect2>
216         
217         <refsect2>
218                 <title id="PRINTERSSECT">The [printers] section</title>
219                 
220                 <para>This section works like [homes], 
221                 but for printers.</para>
222
223                 <para>If a [printers] section occurs in the 
224                 configuration file, users are able to connect to any printer 
225                 specified in the local host's printcap file.</para>
226
227                 <para>When a connection request is made, the existing sections 
228                 are scanned. If a match is found, it is used. If no match is found, 
229                 but a [homes] section exists, it is used as described
230                 above. Otherwise, the requested section name is treated as a 
231                 printer name and the appropriate printcap file is scanned to see 
232                 if the requested section name is a valid printer share name. If 
233                 a match is found, a new printer share is created by cloning 
234                 the [printers] section.</para>
235
236                 <para>A few modifications are then made to the newly created 
237                 share:</para>
238
239                 <itemizedlist>
240                 <listitem><para>The share name is set to the located printer 
241                 name</para></listitem>
242
243                 <listitem><para>If no printer name was given, the printer name 
244                 is set to the located printer name</para></listitem>
245
246                 <listitem><para>If the share does not permit guest access and 
247                 no username was given, the username is set to the located 
248                 printer name.</para></listitem>
249                 </itemizedlist>
250
251                 <para>Note that the [printers] service MUST be 
252                 printable - if you specify otherwise, the server will refuse 
253                 to load the configuration file.</para>
254                 
255                 <para>Typically the path specified would be that of a 
256                 world-writeable spool directory with the sticky bit set on 
257                 it. A typical [printers] entry would look like 
258                 this:</para>
259
260                 <screen><computeroutput>
261                 [printers]
262                         path = /usr/spool/public
263                         guest ok = yes
264                         printable = yes 
265                 </computeroutput></screen>
266
267                 <para>All aliases given for a printer in the printcap file 
268                 are legitimate printer names as far as the server is concerned. 
269                 If your printing subsystem doesn't work like that, you will have 
270                 to set up a pseudo-printcap. This is a file consisting of one or 
271                 more lines like this:</para>
272
273                 <screen>
274                 <computeroutput>
275                 alias|alias|alias|alias...    
276                 </computeroutput>
277                 </screen>
278
279                 <para>Each alias should be an acceptable printer name for 
280                 your printing subsystem. In the [global] section, specify 
281                 the new file as your printcap.  The server will then only recognize 
282                 names found in your pseudo-printcap, which of course can contain 
283                 whatever aliases you like. The same technique could be used 
284                 simply to limit access to a subset of your local printers.</para>
285
286                 <para>An alias, by the way, is defined as any component of the 
287                 first entry of a printcap record. Records are separated by newlines,
288                 components (if there are more than one) are separated by vertical 
289                 bar symbols ('|').</para>
290                 
291                 <para>NOTE: On SYSV systems which use lpstat to determine what 
292                 printers are defined on the system you may be able to use
293                 "printcap name = lpstat" to automatically obtain a list 
294                 of printers. See the "printcap name" option 
295                 for more details.</para>
296         </refsect2>
297 </refsect1>
298
299 <refsect1>
300         <title>PARAMETERS</title>
301
302         <para>parameters define the specific attributes of sections.</para>
303
304         <para>Some parameters are specific to the [global] section
305         (e.g., <emphasis>security</emphasis>).  Some parameters are usable 
306         in all sections (e.g., <emphasis>create mode</emphasis>). All others 
307         are permissible only in normal sections. For the purposes of the 
308         following descriptions the [homes] and [printers]
309         sections will be considered normal.  The letter <emphasis>G</emphasis> 
310         in parentheses indicates that a parameter is specific to the
311         [global] section. The letter <emphasis>S</emphasis>
312         indicates that a parameter can be specified in a service specific
313         section. Note that all <emphasis>S</emphasis> parameters can also be specified in 
314         the [global] section - in which case they will define
315         the default behavior for all services.</para>
316
317         <para>parameters are arranged here in alphabetical order - this may 
318         not create best bedfellows, but at least you can find them! Where 
319         there are synonyms, the preferred synonym is described, others refer 
320         to the preferred synonym.</para>
321 </refsect1>
322
323 <refsect1>
324         <title>VARIABLE SUBSTITUTIONS</title>
325
326         <para>Many of the strings that are settable in the config file 
327         can take substitutions. For example the option "path =
328         /tmp/%u" would be interpreted as "path = 
329         /tmp/john" if the user connected with the username john.</para>
330
331         <para>These substitutions are mostly noted in the descriptions below, 
332         but there are some general substitutions which apply whenever they 
333         might be relevant. These are:</para>
334
335         <variablelist>
336                 <varlistentry>
337                 <term>%S</term>
338                 <listitem><para>the name of the current service, if any.</para>
339                 </listitem>
340                 </varlistentry>
341                 
342                 <varlistentry>
343                 <term>%P</term>
344                 <listitem><para>the root directory of the current service, 
345                 if any.</para></listitem>
346                 </varlistentry>
347                 
348                 <varlistentry>
349                 <term>%u</term>
350                 <listitem><para>user name of the current service, if any.</para>
351                 </listitem>
352                 </varlistentry>
353                 
354                 <varlistentry>
355                 <term>%g</term>
356                 <listitem><para>primary group name of %u.</para></listitem>
357                 </varlistentry>
358                 
359                 <varlistentry>
360                 <term>%U</term>
361                 <listitem><para>session user name (the user name that the client 
362                 wanted, not necessarily the same as the one they got).</para></listitem>
363                 </varlistentry>
364                 
365                 <varlistentry>
366                 <term>%G</term>
367                 <listitem><para>primary group name of %U.</para></listitem>
368                 </varlistentry>
369
370                 <varlistentry>
371                 <term>%H</term>
372                 <listitem><para>the home directory of the user given 
373                 by %u.</para></listitem>
374                 </varlistentry>
375                 
376                 <varlistentry>
377                 <term>%v</term>
378                 <listitem><para>the Samba version.</para></listitem>
379                 </varlistentry>
380                 
381                 <varlistentry>
382                 <term>%h</term>
383                 <listitem><para>the Internet hostname that Samba is running 
384                 on.</para></listitem>
385                 </varlistentry>
386
387                 <varlistentry>
388                 <term>%m</term>
389                 <listitem><para>the NetBIOS name of the client machine 
390                 (very useful).</para></listitem>
391                 </varlistentry>
392                 
393                 <varlistentry>
394                 <term>%L</term>
395                 <listitem><para>the NetBIOS name of the server. This allows you 
396                 to change your config based on what the client calls you. Your 
397                 server can have a "dual personality".</para></listitem>
398                 </varlistentry>
399                 
400                 <varlistentry>
401                 <term>%M</term>
402                 <listitem><para>the Internet name of the client machine.
403                 </para></listitem>
404                 </varlistentry>
405                 
406                 <varlistentry>
407                 <term>%N</term>
408                 <listitem><para>the name of your NIS home directory server.  
409                 This is obtained from your NIS auto.map entry.  If you have 
410                 not compiled Samba with the <emphasis>--with-automount</emphasis> 
411                 option then this value will be the same as %L.</para>
412                 </listitem>
413                 </varlistentry>
414                 
415                 <varlistentry>
416                 <term>%p</term>
417                 <listitem><para>the path of the service's home directory, 
418                 obtained from your NIS auto.map entry. The NIS auto.map entry 
419                 is split up as "%N:%p".</para></listitem>
420                 </varlistentry>
421                 
422                 <varlistentry>
423                 <term>%R</term>
424                 <listitem><para>the selected protocol level after 
425                 protocol negotiation. It can be one of CORE, COREPLUS, 
426                 LANMAN1, LANMAN2 or NT1.</para></listitem>
427                 </varlistentry>
428
429                 <varlistentry>
430                 <term>%d</term>
431                 <listitem><para>The process id of the current server 
432                 process.</para></listitem>
433                 </varlistentry>
434                 
435                 <varlistentry>
436                 <term>%a</term>
437                 <listitem><para>the architecture of the remote
438                 machine. Only some are recognized, and those may not be 
439                 100% reliable. It currently recognizes Samba, WfWg, Win95,
440                 WinNT and Win2k. Anything else will be known as 
441                 "UNKNOWN". If it gets it wrong then sending a level 
442                 3 log to <ulink url="mailto:samba@samba.org">samba@samba.org
443                 </ulink> should allow it to be fixed.</para></listitem>
444                 </varlistentry>
445                 
446                 <varlistentry>
447                 <term>%I</term>
448                 <listitem><para>The IP address of the client machine.</para>
449                 </listitem>
450                 </varlistentry>
451
452                 <varlistentry>
453                 <term>%T</term>
454                 <listitem><para>the current date and time.</para></listitem>
455                 </varlistentry>
456                 
457                 <varlistentry>
458                 <term>%$(<replaceable>envvar</replaceable>)</term>
459                 <listitem><para>The value of the environment variable
460                 <replaceable>envar</replaceable>.</para></listitem>
461                 </varlistentry>
462         </variablelist>
463
464         <para>There are some quite creative things that can be done 
465         with these substitutions and other smb.conf options.</para
466 </refsect1>
467
468 <refsect1>
469         <title id="NAMEMANGLINGSECT">NAME MANGLING</title>
470         
471         <para>Samba supports "name mangling" so that DOS and 
472         Windows clients can use files that don't conform to the 8.3 format. 
473         It can also be set to adjust the case of 8.3 format filenames.</para>
474
475         <para>There are several options that control the way mangling is 
476         performed, and they are grouped here rather than listed separately. 
477         For the defaults look at the output of the testparm program. </para>
478
479         <para>All of these options can be set separately for each service 
480         (or globally, of course). </para>
481
482         <para>The options are: </para>
483         
484         <variablelist>
485         
486         <varlistentry>
487                 <term>mangle case = yes/no</term>
488                 <listitem><para> controls if names that have characters that 
489                 aren't of the "default" case are mangled. For example, 
490                 if this is yes then a name like "Mail" would be mangled. 
491                 Default <emphasis>no</emphasis>.</para></listitem>
492                 </varlistentry> 
493         
494                 <varlistentry>
495                 <term>case sensitive = yes/no</term>
496                 <listitem><para>controls whether filenames are case sensitive. If 
497                 they aren't then Samba must do a filename search and match on passed 
498                 names. Default <emphasis>no</emphasis>.</para></listitem>
499                 </varlistentry> 
500
501                 <varlistentry>
502                 <term>default case = upper/lower</term>
503                 <listitem><para>controls what the default case is for new 
504                 filenames. Default <emphasis>lower</emphasis>.</para></listitem>
505                 </varlistentry> 
506         
507                 <varlistentry>
508                 <term>preserve case = yes/no</term>
509                 <listitem><para>controls if new files are created with the 
510                 case that the client passes, or if they are forced to be the 
511                 "default" case. Default <emphasis>yes</emphasis>.
512                 </para></listitem>
513                 </varlistentry> 
514
515                 <varlistentry>
516                 <term>short preserve case = yes/no</term>
517                 <listitem><para>controls if new files which conform to 8.3 syntax, 
518                 that is all in upper case and of suitable length, are created 
519                 upper case, or if they are forced to be the "default" 
520                 case. This option can be use with "preserve case = yes" 
521                 to permit long filenames to retain their case, while short names 
522                 are lowercased. Default <emphasis>yes</emphasis>.</para></listitem>
523                 </varlistentry> 
524         </variablelist>
525         
526         <para>By default, Samba 2.2 has the same semantics as a Windows 
527         NT server, in that it is case insensitive but case preserving.</para>
528         
529 </refsect1>
530
531 <refsect1>
532         <title id="VALIDATIONSECT">NOTE ABOUT USERNAME/PASSWORD VALIDATION</title>
533
534         <para>There are a number of ways in which a user can connect 
535         to a service. The server uses the following steps in determining 
536         if it will allow a connection to a specified service. If all the 
537         steps fail, then the connection request is rejected.  However, if one of the 
538         steps succeeds, then the following steps are not checked.</para>
539
540         <para>If the service is marked "guest only = yes" then
541         steps 1 to 5 are skipped.</para>
542
543         <orderedlist numeration="Arabic">
544                 <listitem><para>If the client has passed a username/password 
545                 pair and that username/password pair is validated by the UNIX 
546                 system's password programs then the connection is made as that 
547                 username. Note that this includes the 
548                 \\server\service%<replaceable>username</replaceable> method of passing 
549                 a username.</para></listitem>
550
551                 <listitem><para>If the client has previously registered a username 
552                 with the system and now supplies a correct password for that 
553                 username then the connection is allowed.</para></listitem>
554                 
555                 <listitem><para>The client's NetBIOS name and any previously 
556                 used user names are checked against the supplied password, if 
557                 they match then the connection is allowed as the corresponding 
558                 user.</para></listitem>
559                 
560                 <listitem><para>If the client has previously validated a
561                 username/password pair with the server and the client has passed 
562                 the validation token then that username is used. </para></listitem>
563
564                 <listitem><para>If a "user = " field is given in the
565                 <filename>smb.conf</filename> file for the service and the client 
566                 has supplied a password, and that password matches (according to 
567                 the UNIX system's password checking) with one of the usernames 
568                 from the "user =" field then the connection is made as 
569                 the username in the "user =" line. If one 
570                 of the username in the "user =" list begins with a
571                 '@' then that name expands to a list of names in 
572                 the group of the same name.</para></listitem>
573
574                 <listitem><para>If the service is a guest service then a 
575                 connection is made as the username given in the "guest 
576                 account =" for the service, irrespective of the 
577                 supplied password.</para></listitem>
578         </orderedlist>
579
580 </refsect1>
581
582 <refsect1>
583         <title>COMPLETE LIST OF GLOBAL PARAMETERS</title>
584
585         <para>Here is a list of all global parameters. See the section of 
586         each parameter for details.  Note that some are synonyms.</para>
587
588         <itemizedlist>
589                 <listitem><para><link linkend="ABORTSHUTDOWNSCRIPT"><parameter>abort shutdown script</parameter></link></para></listitem>
590                 <listitem><para><link linkend="ADDPRINTERCOMMAND"><parameter>add printer command</parameter></link></para></listitem>
591                 <listitem><para><link linkend="ADDSHARECOMMAND"><parameter>add share command</parameter></link></para></listitem>
592                 <listitem><para><link linkend="ADDUSERSCRIPT"><parameter>add user script</parameter></link></para></listitem>
593                 <listitem><para><link linkend="ADDMACHINESCRIPT"><parameter>add machine script</parameter></link></para></listitem>
594                 <listitem><para><link linkend="ALLOWTRUSTEDDOMAINS"><parameter>allow trusted domains</parameter></link></para></listitem>
595                 <listitem><para><link linkend="ANNOUNCEAS"><parameter>announce as</parameter></link></para></listitem>
596                 <listitem><para><link linkend="ANNOUNCEVERSION"><parameter>announce version</parameter></link></para></listitem>
597                 <listitem><para><link linkend="AUTOSERVICES"><parameter>auto services</parameter></link></para></listitem>
598                 <listitem><para><link linkend="BINDINTERFACESONLY"><parameter>bind interfaces only</parameter></link></para></listitem>
599                 <listitem><para><link linkend="BROWSELIST"><parameter>browse list</parameter></link></para></listitem>
600                 <listitem><para><link linkend="CHANGENOTIFYTIMEOUT"><parameter>change notify timeout</parameter></link></para></listitem>
601                 <listitem><para><link linkend="CHANGESHARECOMMAND"><parameter>change share command</parameter></link></para></listitem>
602                 <listitem><para><link linkend="CHARACTERSET"><parameter>character set</parameter></link></para></listitem>
603                 <listitem><para><link linkend="CLIENTCODEPAGE"><parameter>client code page</parameter></link></para></listitem>
604                 <listitem><para><link linkend="CODEPAGEDIRECTORY"><parameter>code page directory</parameter></link></para></listitem>
605                 <listitem><para><link linkend="CODINGSYSTEM"><parameter>coding system</parameter></link></para></listitem>
606                 <listitem><para><link linkend="CONFIGFILE"><parameter>config file</parameter></link></para></listitem>
607                 <listitem><para><link linkend="DEADTIME"><parameter>deadtime</parameter></link></para></listitem>
608                 <listitem><para><link linkend="DEBUGHIRESTIMESTAMP"><parameter>debug hires timestamp</parameter></link></para></listitem>
609                 <listitem><para><link linkend="DEBUGPID"><parameter>debug pid</parameter></link></para></listitem>
610                 <listitem><para><link linkend="DEBUGTIMESTAMP"><parameter>debug timestamp</parameter></link></para></listitem>
611                 <listitem><para><link linkend="DEBUGUID"><parameter>debug uid</parameter></link></para></listitem>
612                 <listitem><para><link linkend="DEBUGLEVEL"><parameter>debuglevel</parameter></link></para></listitem>
613                 <listitem><para><link linkend="DEFAULT"><parameter>default</parameter></link></para></listitem>
614                 <listitem><para><link linkend="DEFAULTSERVICE"><parameter>default service</parameter></link></para></listitem>
615                 <listitem><para><link linkend="DELETEPRINTERCOMMAND"><parameter>delete printer command</parameter></link></para></listitem>
616                 <listitem><para><link linkend="DELETESHARECOMMAND"><parameter>delete share command</parameter></link></para></listitem>
617                 <listitem><para><link linkend="DELETEUSERSCRIPT"><parameter>delete user script</parameter></link></para></listitem>
618                 <listitem><para><link linkend="DFREECOMMAND"><parameter>dfree command</parameter></link></para></listitem>
619                 <listitem><para><link linkend="DISABLESPOOLSS"><parameter>disable spoolss</parameter></link></para></listitem>
620                 <listitem><para><link linkend="DNSPROXY"><parameter>dns proxy</parameter></link></para></listitem>
621                 <listitem><para><link linkend="DOMAINADMINGROUP"><parameter>domain admin group</parameter></link></para></listitem>
622                 <listitem><para><link linkend="DOMAINGUESTGROUP"><parameter>domain guest group</parameter></link></para></listitem>
623                 <listitem><para><link linkend="DOMAINLOGONS"><parameter>domain logons</parameter></link></para></listitem>
624                 <listitem><para><link linkend="DOMAINMASTER"><parameter>domain master</parameter></link></para></listitem>
625                 <listitem><para><link linkend="ENCRYPTPASSWORDS"><parameter>encrypt passwords</parameter></link></para></listitem>
626                 <listitem><para><link linkend="ENHANCEDBROWSING"><parameter>enhanced browsing</parameter></link></para></listitem>
627                 <listitem><para><link linkend="ENUMPORTSCOMMAND"><parameter>enumports command</parameter></link></para></listitem>
628                 <listitem><para><link linkend="GETWDCACHE"><parameter>getwd cache</parameter></link></para></listitem>
629                 <listitem><para><link linkend="HIDELOCALUSERS"><parameter>hide local users</parameter></link></para></listitem>
630                 <listitem><para><link linkend="HIDEUNREADABLE"><parameter>hide unreadable</parameter></link></para></listitem>
631                 <listitem><para><link linkend="HOMEDIRMAP"><parameter>homedir map</parameter></link></para></listitem>
632                 <listitem><para><link linkend="HOSTMSDFS"><parameter>host msdfs</parameter></link></para></listitem>
633                 <listitem><para><link linkend="HOSTSEQUIV"><parameter>hosts equiv</parameter></link></para></listitem>
634                 <listitem><para><link linkend="INTERFACES"><parameter>interfaces</parameter></link></para></listitem>
635                 <listitem><para><link linkend="KEEPALIVE"><parameter>keepalive</parameter></link></para></listitem>
636                 <listitem><para><link linkend="KERNELOPLOCKS"><parameter>kernel oplocks</parameter></link></para></listitem>
637                 <listitem><para><link linkend="LANMANAUTH"><parameter>lanman auth</parameter></link></para></listitem>
638                 <listitem><para><link linkend="LARGEREADWRITE"><parameter>large readwrite</parameter></link></para></listitem>
639                 
640                 <listitem><para><link linkend="LDAPADMINDN"><parameter>ldap admin dn</parameter></link></para></listitem>
641                 <listitem><para><link linkend="LDAPFILTER"><parameter>ldap filter</parameter></link></para></listitem>
642                 <listitem><para><link linkend="LDAPPORT"><parameter>ldap port</parameter></link></para></listitem>
643                 <listitem><para><link linkend="LDAPSERVER"><parameter>ldap server</parameter></link></para></listitem>
644                 <listitem><para><link linkend="LDAPSSL"><parameter>ldap ssl</parameter></link></para></listitem>
645                 <listitem><para><link linkend="LDAPSUFFIX"><parameter>ldap suffix</parameter></link></para></listitem>
646
647                 <listitem><para><link linkend="LMANNOUNCE"><parameter>lm announce</parameter></link></para></listitem>
648                 <listitem><para><link linkend="LMINTERVAL"><parameter>lm interval</parameter></link></para></listitem>
649                 <listitem><para><link linkend="LOADPRINTERS"><parameter>load printers</parameter></link></para></listitem>
650                 <listitem><para><link linkend="LOCALMASTER"><parameter>local master</parameter></link></para></listitem>
651                 <listitem><para><link linkend="LOCKDIR"><parameter>lock dir</parameter></link></para></listitem>
652                 <listitem><para><link linkend="LOCKDIRECTORY"><parameter>lock directory</parameter></link></para></listitem>
653                 <listitem><para><link linkend="LOGFILE"><parameter>log file</parameter></link></para></listitem>
654                 <listitem><para><link linkend="LOGLEVEL"><parameter>log level</parameter></link></para></listitem>
655                 <listitem><para><link linkend="LOGONDRIVE"><parameter>logon drive</parameter></link></para></listitem>
656                 <listitem><para><link linkend="LOGONHOME"><parameter>logon home</parameter></link></para></listitem>
657                 <listitem><para><link linkend="LOGONPATH"><parameter>logon path</parameter></link></para></listitem>
658                 <listitem><para><link linkend="LOGONSCRIPT"><parameter>logon script</parameter></link></para></listitem>
659                 <listitem><para><link linkend="LPQCACHETIME"><parameter>lpq cache time</parameter></link></para></listitem>
660                 <listitem><para><link linkend="MACHINEPASSWORDTIMEOUT"><parameter>machine password timeout</parameter></link></para></listitem>
661                 <listitem><para><link linkend="MANGLEDSTACK"><parameter>mangled stack</parameter></link></para></listitem>
662                 <listitem><para><link linkend="MAPTOGUEST"><parameter>map to guest</parameter></link></para></listitem>
663                 <listitem><para><link linkend="MAXDISKSIZE"><parameter>max disk size</parameter></link></para></listitem>
664                 <listitem><para><link linkend="MAXLOGSIZE"><parameter>max log size</parameter></link></para></listitem>
665                 <listitem><para><link linkend="MAXMUX"><parameter>max mux</parameter></link></para></listitem>
666                 <listitem><para><link linkend="MAXOPENFILES"><parameter>max open files</parameter></link></para></listitem>
667                 <listitem><para><link linkend="MAXPROTOCOL"><parameter>max protocol</parameter></link></para></listitem>
668                 <listitem><para><link linkend="MAXSMBDPROCESSES"><parameter>max smbd processes</parameter></link></para></listitem>
669                 <listitem><para><link linkend="MAXTTL"><parameter>max ttl</parameter></link></para></listitem>
670                 <listitem><para><link linkend="MAXWINSTTL"><parameter>max wins ttl</parameter></link></para></listitem>
671                 <listitem><para><link linkend="MAXXMIT"><parameter>max xmit</parameter></link></para></listitem>
672                 <listitem><para><link linkend="MESSAGECOMMAND"><parameter>message command</parameter></link></para></listitem>
673                 <listitem><para><link linkend="MINPASSWDLENGTH"><parameter>min passwd length</parameter></link></para></listitem>
674                 <listitem><para><link linkend="MINPASSWORDLENGTH"><parameter>min password length</parameter></link></para></listitem>
675                 <listitem><para><link linkend="MINPROTOCOL"><parameter>min protocol</parameter></link></para></listitem>
676                 <listitem><para><link linkend="MINWINSTTL"><parameter>min wins ttl</parameter></link></para></listitem>
677                 <listitem><para><link linkend="NAMERESOLVEORDER"><parameter>name resolve order</parameter></link></para></listitem>
678                 <listitem><para><link linkend="NETBIOSALIASES"><parameter>netbios aliases</parameter></link></para></listitem>
679                 <listitem><para><link linkend="NETBIOSNAME"><parameter>netbios name</parameter></link></para></listitem>
680                 <listitem><para><link linkend="NETBIOSSCOPE"><parameter>netbios scope</parameter></link></para></listitem>
681                 <listitem><para><link linkend="NISHOMEDIR"><parameter>nis homedir</parameter></link></para></listitem>
682                 <listitem><para><link linkend="NTPIPESUPPORT"><parameter>nt pipe support</parameter></link></para></listitem>
683                 <listitem><para><link linkend="NTSMBSUPPORT"><parameter>nt smb support</parameter></link></para></listitem>
684                 <listitem><para><link linkend="NULLPASSWORDS"><parameter>null passwords</parameter></link></para></listitem>
685                 <listitem><para><link linkend="OBEYPAMRESTRICTIONS"><parameter>obey pam restrictions</parameter></link></para></listitem>
686                 <listitem><para><link linkend="OPLOCKBREAKWAITTIME"><parameter>oplock break wait time</parameter></link></para></listitem>
687                 <listitem><para><link linkend="OSLEVEL"><parameter>os level</parameter></link></para></listitem>
688                 <listitem><para><link linkend="OS2DRIVERMAP"><parameter>os2 driver map</parameter></link></para></listitem>
689                 <listitem><para><link linkend="PAMPASSWORDCHANGE"><parameter>pam password change</parameter></link></para></listitem>
690                 <listitem><para><link linkend="PANICACTION"><parameter>panic action</parameter></link></para></listitem>
691                 <listitem><para><link linkend="PASSWDCHAT"><parameter>passwd chat</parameter></link></para></listitem>
692                 <listitem><para><link linkend="PASSWDCHATDEBUG"><parameter>passwd chat debug</parameter></link></para></listitem>
693                 <listitem><para><link linkend="PASSWDPROGRAM"><parameter>passwd program</parameter></link></para></listitem>
694                 <listitem><para><link linkend="PASSWORDLEVEL"><parameter>password level</parameter></link></para></listitem>
695                 <listitem><para><link linkend="PASSWORDSERVER"><parameter>password server</parameter></link></para></listitem>
696                 <listitem><para><link linkend="PREFEREDMASTER"><parameter>prefered master</parameter></link></para></listitem>
697                 <listitem><para><link linkend="PREFERREDMASTER"><parameter>preferred master</parameter></link></para></listitem>
698                 <listitem><para><link linkend="PRELOAD"><parameter>preload</parameter></link></para></listitem>
699                 <listitem><para><link linkend="PRINTCAP"><parameter>printcap</parameter></link></para></listitem>
700                 <listitem><para><link linkend="PRINTCAPNAME"><parameter>printcap name</parameter></link></para></listitem>
701                 <listitem><para><link linkend="PRINTERDRIVERFILE"><parameter>printer driver file</parameter></link></para></listitem>
702                 <listitem><para><link linkend="PROTOCOL"><parameter>protocol</parameter></link></para></listitem>
703                 <listitem><para><link linkend="READBMPX"><parameter>read bmpx</parameter></link></para></listitem>
704                 <listitem><para><link linkend="READRAW"><parameter>read raw</parameter></link></para></listitem>
705                 <listitem><para><link linkend="READSIZE"><parameter>read size</parameter></link></para></listitem>
706                 <listitem><para><link linkend="REMOTEANNOUNCE"><parameter>remote announce</parameter></link></para></listitem>
707                 <listitem><para><link linkend="REMOTEBROWSESYNC"><parameter>remote browse sync</parameter></link></para></listitem>
708                 <listitem><para><link linkend="RESTRICTANONYMOUS"><parameter>restrict anonymous</parameter></link></para></listitem>
709                 <listitem><para><link linkend="ROOT"><parameter>root</parameter></link></para></listitem>
710                 <listitem><para><link linkend="ROOTDIR"><parameter>root dir</parameter></link></para></listitem>
711                 <listitem><para><link linkend="ROOTDIRECTORY"><parameter>root directory</parameter></link></para></listitem>
712                 <listitem><para><link linkend="SECURITY"><parameter>security</parameter></link></para></listitem>
713                 <listitem><para><link linkend="SERVERSTRING"><parameter>server string</parameter></link></para></listitem>
714                 <listitem><para><link linkend="SHOWADDPRINTERWIZARD"><parameter>show add printer wizard</parameter></link></para></listitem>
715                 <listitem><para><link linkend="SHUTDOWNSCRIPT"><parameter>shutdown script</parameter></link></para></listitem>
716                 <listitem><para><link linkend="SMBPASSWDFILE"><parameter>smb passwd file</parameter></link></para></listitem>
717                 <listitem><para><link linkend="SOCKETADDRESS"><parameter>socket address</parameter></link></para></listitem>
718                 <listitem><para><link linkend="SOCKETOPTIONS"><parameter>socket options</parameter></link></para></listitem>
719                 <listitem><para><link linkend="SOURCEENVIRONMENT"><parameter>source environment</parameter></link></para></listitem>
720
721                 <listitem><para><link linkend="SSL"><parameter>ssl</parameter></link></para></listitem>
722                 <listitem><para><link linkend="SSLCACERTDIR"><parameter>ssl CA certDir</parameter></link></para></listitem>
723                 <listitem><para><link linkend="SSLCACERTFILE"><parameter>ssl CA certFile</parameter></link></para></listitem>
724                 <listitem><para><link linkend="SSLCIPHERS"><parameter>ssl ciphers</parameter></link></para></listitem>
725                 <listitem><para><link linkend="SSLCLIENTCERT"><parameter>ssl client cert</parameter></link></para></listitem>
726                 <listitem><para><link linkend="SSLCLIENTKEY"><parameter>ssl client key</parameter></link></para></listitem>
727                 <listitem><para><link linkend="SSLCOMPATIBILITY"><parameter>ssl compatibility</parameter></link></para></listitem>
728                 <listitem><para><link linkend="SSLEGDSOCKET"><parameter>ssl egd socket</parameter></link></para></listitem>
729                 <listitem><para><link linkend="SSLENTROPYBYTES"><parameter>ssl entropy bytes</parameter></link></para></listitem>
730                 <listitem><para><link linkend="SSLENTROPYFILE"><parameter>ssl entropy file</parameter></link></para></listitem>
731                 <listitem><para><link linkend="SSLHOSTS"><parameter>ssl hosts</parameter></link></para></listitem>
732                 <listitem><para><link linkend="SSLHOSTSRESIGN"><parameter>ssl hosts resign</parameter></link></para></listitem>
733                 <listitem><para><link linkend="SSLREQUIRECLIENTCERT"><parameter>ssl require clientcert</parameter></link></para></listitem>
734                 <listitem><para><link linkend="SSLREQUIRESERVERCERT"><parameter>ssl require servercert</parameter></link></para></listitem>
735                 <listitem><para><link linkend="SSLSERVERCERT"><parameter>ssl server cert</parameter></link></para></listitem>
736                 <listitem><para><link linkend="SSLSERVERKEY"><parameter>ssl server key</parameter></link></para></listitem>
737                 <listitem><para><link linkend="SSLVERSION"><parameter>ssl version</parameter></link></para></listitem>
738
739                 <listitem><para><link linkend="STATCACHE"><parameter>stat cache</parameter></link></para></listitem>
740                 <listitem><para><link linkend="STATCACHESIZE"><parameter>stat cache size</parameter></link></para></listitem>
741                 <listitem><para><link linkend="STRIPDOT"><parameter>strip dot</parameter></link></para></listitem>
742                 <listitem><para><link linkend="SYSLOG"><parameter>syslog</parameter></link></para></listitem>
743                 <listitem><para><link linkend="SYSLOGONLY"><parameter>syslog only</parameter></link></para></listitem>
744                 <listitem><para><link linkend="TEMPLATEHOMEDIR"><parameter>template homedir</parameter></link></para></listitem>
745                 <listitem><para><link linkend="TEMPLATESHELL"><parameter>template shell</parameter></link></para></listitem>
746                 <listitem><para><link linkend="TIMEOFFSET"><parameter>time offset</parameter></link></para></listitem>
747                 <listitem><para><link linkend="TIMESERVER"><parameter>time server</parameter></link></para></listitem>
748                 <listitem><para><link linkend="TIMESTAMPLOGS"><parameter>timestamp logs</parameter></link></para></listitem>
749                 <listitem><para><link linkend="TOTALPRINTJOBS"><parameter>total print jobs</parameter></link></para></listitem>
750                 <listitem><para><link linkend="UNIXPASSWORDSYNC"><parameter>unix password sync</parameter></link></para></listitem>
751                 <listitem><para><link linkend="UPDATEENCRYPTED"><parameter>update encrypted</parameter></link></para></listitem>
752                 <listitem><para><link linkend="USEMMAP"><parameter>use mmap</parameter></link></para></listitem>
753                 <listitem><para><link linkend="USERHOSTS"><parameter>use rhosts</parameter></link></para></listitem>
754                 <listitem><para><link linkend="USERNAMELEVEL"><parameter>username level</parameter></link></para></listitem>
755                 <listitem><para><link linkend="USERNAMEMAP"><parameter>username map</parameter></link></para></listitem>
756                 <listitem><para><link linkend="UTMP"><parameter>utmp</parameter></link></para></listitem>
757                 <listitem><para><link linkend="UTMPDIRECTORY"><parameter>utmp directory</parameter></link></para></listitem>
758                 <listitem><para><link linkend="VALIDCHARS"><parameter>valid chars</parameter></link></para></listitem>
759                 <listitem><para><link linkend="WINBINDCACHETIME"><parameter>winbind cache time</parameter></link></para></listitem>
760                 <listitem><para><link linkend="WINBINDENUMUSERS"><parameter>winbind enum users</parameter></link></para></listitem>
761                 <listitem><para><link linkend="WINBINDENUMGROUPS"><parameter>winbind enum groups</parameter></link></para></listitem>
762                 <listitem><para><link linkend="WINBINDGID"><parameter>winbind gid</parameter></link></para></listitem>
763                 <listitem><para><link linkend="WINBINDSEPARATOR"><parameter>winbind separator</parameter></link></para></listitem>
764                 <listitem><para><link linkend="WINBINDUID"><parameter>winbind uid</parameter></link></para></listitem>
765                 <listitem><para><link linkend="WINBINDUSEDEFAULTDOMAIN"><parameter>winbind use default domain</parameter></link></para></listitem>
766                 <listitem><para><link linkend="WINSHOOK"><parameter>wins hook</parameter></link></para></listitem>
767                 <listitem><para><link linkend="WINSPROXY"><parameter>wins proxy</parameter></link></para></listitem>
768                 <listitem><para><link linkend="WINSSERVER"><parameter>wins server</parameter></link></para></listitem>
769                 <listitem><para><link linkend="WINSSUPPORT"><parameter>wins support</parameter></link></para></listitem>
770                 <listitem><para><link linkend="WORKGROUP"><parameter>workgroup</parameter></link></para></listitem>
771                 <listitem><para><link linkend="WRITERAW"><parameter>write raw</parameter></link></para></listitem>
772         </itemizedlist>
773
774 </refsect1>
775
776 <refsect1>
777         <title>COMPLETE LIST OF SERVICE PARAMETERS</title>
778         
779         <para>Here is a list of all service parameters. See the section on 
780         each parameter for details. Note that some are synonyms.</para>
781         
782         <itemizedlist>
783                 <listitem><para><link linkend="ADMINUSERS"><parameter>admin users</parameter></link></para></listitem>
784                 <listitem><para><link linkend="ALLOWHOSTS"><parameter>allow hosts</parameter></link></para></listitem>
785                 <listitem><para><link linkend="AVAILABLE"><parameter>available</parameter></link></para></listitem>
786                 <listitem><para><link linkend="BLOCKINGLOCKS"><parameter>blocking locks</parameter></link></para></listitem>
787                 <listitem><para><link linkend="BROWSABLE"><parameter>browsable</parameter></link></para></listitem>
788                 <listitem><para><link linkend="BROWSEABLE"><parameter>browseable</parameter></link></para></listitem>
789                 <listitem><para><link linkend="CASESENSITIVE"><parameter>case sensitive</parameter></link></para></listitem>
790                 <listitem><para><link linkend="CASESIGNAMES"><parameter>casesignames</parameter></link></para></listitem>
791                 <listitem><para><link linkend="COMMENT"><parameter>comment</parameter></link></para></listitem>
792                 <listitem><para><link linkend="COPY"><parameter>copy</parameter></link></para></listitem>
793                 <listitem><para><link linkend="CREATEMASK"><parameter>create mask</parameter></link></para></listitem>
794                 <listitem><para><link linkend="CREATEMODE"><parameter>create mode</parameter></link></para></listitem>
795                 <listitem><para><link linkend="DEFAULTCASE"><parameter>default case</parameter></link></para></listitem>
796                 <listitem><para><link linkend="DELETEREADONLY"><parameter>delete readonly</parameter></link></para></listitem>
797                 <listitem><para><link linkend="DELETEVETOFILES"><parameter>delete veto files</parameter></link></para></listitem>
798                 <listitem><para><link linkend="DENYHOSTS"><parameter>deny hosts</parameter></link></para></listitem>
799                 <listitem><para><link linkend="DIRECTORY"><parameter>directory</parameter></link></para></listitem>
800                 <listitem><para><link linkend="DIRECTORYMASK"><parameter>directory mask</parameter></link></para></listitem>
801                 <listitem><para><link linkend="DIRECTORYMODE"><parameter>directory mode</parameter></link></para></listitem>
802                 <listitem><para><link linkend="DIRECTORYSECURITYMASK"><parameter>directory security mask</parameter></link></para></listitem>
803                 <listitem><para><link linkend="DONTDESCEND"><parameter>dont descend</parameter></link></para></listitem>
804                 <listitem><para><link linkend="DOSFILEMODE"><parameter>dos filemode</parameter></link></para></listitem>
805                 <listitem><para><link linkend="DOSFILETIMERESOLUTION"><parameter>dos filetime resolution</parameter></link></para></listitem>
806                 <listitem><para><link linkend="DOSFILETIMES"><parameter>dos filetimes</parameter></link></para></listitem>
807                 <listitem><para><link linkend="EXEC"><parameter>exec</parameter></link></para></listitem>
808                 <listitem><para><link linkend="FAKEDIRECTORYCREATETIMES"><parameter>fake directory create times</parameter></link></para></listitem>
809                 <listitem><para><link linkend="FAKEOPLOCKS"><parameter>fake oplocks</parameter></link></para></listitem>
810                 <listitem><para><link linkend="FOLLOWSYMLINKS"><parameter>follow symlinks</parameter></link></para></listitem>
811                 <listitem><para><link linkend="FORCECREATEMODE"><parameter>force create mode</parameter></link></para></listitem>
812                 <listitem><para><link linkend="FORCEDIRECTORYMODE"><parameter>force directory mode</parameter></link></para></listitem>
813                 <listitem><para><link linkend="FORCEDIRECTORYSECURITYMODE"><parameter>force directory security mode</parameter></link></para></listitem>
814                 <listitem><para><link linkend="FORCEGROUP"><parameter>force group</parameter></link></para></listitem>
815                 <listitem><para><link linkend="FORCESECURITYMODE"><parameter>force security mode</parameter></link></para></listitem>
816                 <listitem><para><link linkend="FORCEUSER"><parameter>force user</parameter></link></para></listitem>
817                 <listitem><para><link linkend="FSTYPE"><parameter>fstype</parameter></link></para></listitem>
818                 <listitem><para><link linkend="GROUP"><parameter>group</parameter></link></para></listitem>
819                 <listitem><para><link linkend="GUESTACCOUNT"><parameter>guest account</parameter></link></para></listitem>
820                 <listitem><para><link linkend="GUESTOK"><parameter>guest ok</parameter></link></para></listitem>
821                 <listitem><para><link linkend="GUESTONLY"><parameter>guest only</parameter></link></para></listitem>
822                 <listitem><para><link linkend="HIDEDOTFILES"><parameter>hide dot files</parameter></link></para></listitem>
823                 <listitem><para><link linkend="HIDEFILES"><parameter>hide files</parameter></link></para></listitem>
824                 <listitem><para><link linkend="HOSTSALLOW"><parameter>hosts allow</parameter></link></para></listitem>
825                 <listitem><para><link linkend="HOSTSDENY"><parameter>hosts deny</parameter></link></para></listitem>
826                 <listitem><para><link linkend="INCLUDE"><parameter>include</parameter></link></para></listitem>
827                 <listitem><para><link linkend="INHERITPERMISSIONS"><parameter>inherit permissions</parameter></link></para></listitem>
828                 <listitem><para><link linkend="INVALIDUSERS"><parameter>invalid users</parameter></link></para></listitem>
829                 <listitem><para><link linkend="LEVEL2OPLOCKS"><parameter>level2 oplocks</parameter></link></para></listitem>
830                 <listitem><para><link linkend="LOCKING"><parameter>locking</parameter></link></para></listitem>
831                 <listitem><para><link linkend="LPPAUSECOMMAND"><parameter>lppause command</parameter></link></para></listitem>
832                 <listitem><para><link linkend="LPQCOMMAND"><parameter>lpq command</parameter></link></para></listitem>
833                 <listitem><para><link linkend="LPRESUMECOMMAND"><parameter>lpresume command</parameter></link></para></listitem>
834                 <listitem><para><link linkend="LPRMCOMMAND"><parameter>lprm command</parameter></link></para></listitem>
835                 <listitem><para><link linkend="MAGICOUTPUT"><parameter>magic output</parameter></link></para></listitem>
836                 <listitem><para><link linkend="MAGICSCRIPT"><parameter>magic script</parameter></link></para></listitem>
837                 <listitem><para><link linkend="MANGLECASE"><parameter>mangle case</parameter></link></para></listitem>
838                 <listitem><para><link linkend="MANGLEDMAP"><parameter>mangled map</parameter></link></para></listitem>
839                 <listitem><para><link linkend="MANGLEDNAMES"><parameter>mangled names</parameter></link></para></listitem>
840                 <listitem><para><link linkend="MANGLINGCHAR"><parameter>mangling char</parameter></link></para></listitem>
841                 <listitem><para><link linkend="MAPARCHIVE"><parameter>map archive</parameter></link></para></listitem>
842                 <listitem><para><link linkend="MAPHIDDEN"><parameter>map hidden</parameter></link></para></listitem>
843                 <listitem><para><link linkend="MAPSYSTEM"><parameter>map system</parameter></link></para></listitem>
844                 <listitem><para><link linkend="MAXCONNECTIONS"><parameter>max connections</parameter></link></para></listitem>
845                 <listitem><para><link linkend="MAXPRINTJOBS"><parameter>max print jobs</parameter></link></para></listitem>
846                 <listitem><para><link linkend="MINPRINTSPACE"><parameter>min print space</parameter></link></para></listitem>
847                 <listitem><para><link linkend="MSDFSROOT"><parameter>msdfs root</parameter></link></para></listitem>
848                 <listitem><para><link linkend="NTACLSUPPORT"><parameter>nt acl support</parameter></link></para></listitem>
849                 <listitem><para><link linkend="ONLYGUEST"><parameter>only guest</parameter></link></para></listitem>
850                 <listitem><para><link linkend="ONLYUSER"><parameter>only user</parameter></link></para></listitem>
851                 <listitem><para><link linkend="OPLOCKCONTENTIONLIMIT"><parameter>oplock contention limit</parameter></link></para></listitem>
852                 <listitem><para><link linkend="OPLOCKS"><parameter>oplocks</parameter></link></para></listitem>
853                 <listitem><para><link linkend="PATH"><parameter>path</parameter></link></para></listitem>
854                 <listitem><para><link linkend="POSIXLOCKING"><parameter>posix locking</parameter></link></para></listitem>
855                 <listitem><para><link linkend="POSTEXEC"><parameter>postexec</parameter></link></para></listitem>
856                 <listitem><para><link linkend="POSTSCRIPT"><parameter>postscript</parameter></link></para></listitem>
857                 <listitem><para><link linkend="PREEXEC"><parameter>preexec</parameter></link></para></listitem>
858                 <listitem><para><link linkend="PREEXECCLOSE"><parameter>preexec close</parameter></link></para></listitem>
859                 <listitem><para><link linkend="PRESERVECASE"><parameter>preserve case</parameter></link></para></listitem>
860                 <listitem><para><link linkend="PRINTCOMMAND"><parameter>print command</parameter></link></para></listitem>
861                 <listitem><para><link linkend="PRINTOK"><parameter>print ok</parameter></link></para></listitem>
862                 <listitem><para><link linkend="PRINTABLE"><parameter>printable</parameter></link></para></listitem>
863                 <listitem><para><link linkend="PRINTER"><parameter>printer</parameter></link></para></listitem>
864                 <listitem><para><link linkend="PRINTERADMIN"><parameter>printer admin</parameter></link></para></listitem>
865                 <listitem><para><link linkend="PRINTERDRIVER"><parameter>printer driver</parameter></link></para></listitem>
866                 <listitem><para><link linkend="PRINTERDRIVERLOCATION"><parameter>printer driver location</parameter></link></para></listitem>
867                 <listitem><para><link linkend="PRINTERNAME"><parameter>printer name</parameter></link></para></listitem>
868                 <listitem><para><link linkend="PRINTING"><parameter>printing</parameter></link></para></listitem>
869                 <listitem><para><link linkend="PUBLIC"><parameter>public</parameter></link></para></listitem>
870                 <listitem><para><link linkend="QUEUEPAUSECOMMAND"><parameter>queuepause command</parameter></link></para></listitem>
871                 <listitem><para><link linkend="QUEUERESUMECOMMAND"><parameter>queueresume command</parameter></link></para></listitem>
872                 <listitem><para><link linkend="READLIST"><parameter>read list</parameter></link></para></listitem>
873                 <listitem><para><link linkend="READONLY"><parameter>read only</parameter></link></para></listitem>
874                 <listitem><para><link linkend="ROOTPOSTEXEC"><parameter>root postexec</parameter></link></para></listitem>
875                 <listitem><para><link linkend="ROOTPREEXEC"><parameter>root preexec</parameter></link></para></listitem>
876                 <listitem><para><link linkend="ROOTPREEXECCLOSE"><parameter>root preexec close</parameter></link></para></listitem>
877                 <listitem><para><link linkend="SECURITYMASK"><parameter>security mask</parameter></link></para></listitem>
878                 <listitem><para><link linkend="SETDIRECTORY"><parameter>set directory</parameter></link></para></listitem>
879                 <listitem><para><link linkend="SHORTPRESERVECASE"><parameter>short preserve case</parameter></link></para></listitem>
880                 <listitem><para><link linkend="STATUS"><parameter>status</parameter></link></para></listitem>
881                 <listitem><para><link linkend="STRICTALLOCATE"><parameter>strict allocate</parameter></link></para></listitem>
882                 <listitem><para><link linkend="STRICTLOCKING"><parameter>strict locking</parameter></link></para></listitem>
883                 <listitem><para><link linkend="STRICTSYNC"><parameter>strict sync</parameter></link></para></listitem>
884                 <listitem><para><link linkend="SYNCALWAYS"><parameter>sync always</parameter></link></para></listitem>
885                 <listitem><para><link linkend="USECLIENTDRIVER"><parameter>use client driver</parameter></link></para></listitem>
886                 <listitem><para><link linkend="USER"><parameter>user</parameter></link></para></listitem>
887                 <listitem><para><link linkend="USERNAME"><parameter>username</parameter></link></para></listitem>
888                 <listitem><para><link linkend="USERS"><parameter>users</parameter></link></para></listitem>
889                 <listitem><para><link linkend="VALIDUSERS"><parameter>valid users</parameter></link></para></listitem>
890                 <listitem><para><link linkend="VETOFILES"><parameter>veto files</parameter></link></para></listitem>
891                 <listitem><para><link linkend="VETOOPLOCKFILES"><parameter>veto oplock files</parameter></link></para></listitem>
892                 <listitem><para><link linkend="VFSOBJECT"><parameter>vfs object</parameter></link></para></listitem>
893                 <listitem><para><link linkend="VFSOPTIONS"><parameter>vfs options</parameter></link></para></listitem>
894                 <listitem><para><link linkend="VOLUME"><parameter>volume</parameter></link></para></listitem>
895                 <listitem><para><link linkend="WIDELINKS"><parameter>wide links</parameter></link></para></listitem>
896                 <listitem><para><link linkend="WRITABLE"><parameter>writable</parameter></link></para></listitem>
897                 <listitem><para><link linkend="WRITECACHESIZE"><parameter>write cache size</parameter></link></para></listitem>
898                 <listitem><para><link linkend="WRITELIST"><parameter>write list</parameter></link></para></listitem>
899                 <listitem><para><link linkend="WRITEOK"><parameter>write ok</parameter></link></para></listitem>
900                 <listitem><para><link linkend="WRITEABLE"><parameter>writeable</parameter></link></para></listitem>
901         </itemizedlist>
902
903 </refsect1>
904
905 <refsect1>
906         <title>EXPLANATION OF EACH PARAMETER</title>
907         
908         <variablelist>
909
910                 <varlistentry>
911                 <term><anchor id="ABORTSHUTDOWNSCRIPT">abort shutdown script (G)</term>
912                 <listitem><para><emphasis>This parameter only exists in the HEAD cvs branch</emphasis>
913                 This a full path name to a script called by
914                 <ulink url="smbd.8.html"><command>smbd(8)</command></ulink>  that
915                 should stop a shutdown procedure issued by the <link 
916                 linkend="SHUTDOWNSCRIPT"><parameter>shutdown script</parameter></link>.</para>
917                 
918                 <para>This command will be run as user.</para>
919
920                 <para>Default: <emphasis>None</emphasis>.</para>
921                 <para>Example: <command>abort shutdown script = /sbin/shutdown -c</command></para>
922                 </listitem>
923                 </varlistentry>
924
925
926                 <varlistentry>
927                 <term><anchor id="ADDPRINTERCOMMAND">add printer command (G)</term>
928                 <listitem><para>With the introduction of MS-RPC based printing
929                 support for Windows NT/2000 clients in Samba 2.2, The MS Add
930                 Printer Wizard (APW) icon is now also available in the 
931                 "Printers..." folder displayed a share listing.  The APW
932                 allows for printers to be add remotely to a Samba or Windows 
933                 NT/2000 print server.</para>
934                 
935                 <para>For a Samba host this means that the printer must be 
936                 physically added to the underlying printing system.  The <parameter>add 
937                 printer command</parameter> defines a script to be run which 
938                 will perform the necessary operations for adding the printer
939                 to the print system and to add the appropriate service definition 
940                 to the  <filename>smb.conf</filename> file in order that it can be 
941                 shared by <ulink url="smbd.8.html"><command>smbd(8)</command>
942                 </ulink>.</para>
943                 
944                 <para>The <parameter>add printer command</parameter> is
945                 automatically invoked with the following parameter (in 
946                 order:</para>
947                 
948                 <itemizedlist>
949                         <listitem><para><parameter>printer name</parameter></para></listitem>
950                         <listitem><para><parameter>share name</parameter></para></listitem>
951                         <listitem><para><parameter>port name</parameter></para></listitem>
952                         <listitem><para><parameter>driver name</parameter></para></listitem>
953                         <listitem><para><parameter>location</parameter></para></listitem>
954                         <listitem><para><parameter>Windows 9x driver location</parameter>
955                         </para></listitem>
956                 </itemizedlist>
957                 
958                 <para>All parameters are filled in from the PRINTER_INFO_2 structure sent 
959                 by the Windows NT/2000 client with one exception.  The "Windows 9x
960                 driver location" parameter is included for backwards compatibility
961                 only.  The remaining fields in the structure are generated from answers
962                 to the APW questions.</para>
963                 
964                 <para>Once the <parameter>add printer command</parameter> has 
965                 been executed, <command>smbd</command> will reparse the <filename>
966                 smb.conf</filename> to determine if the share defined by the APW
967                 exists.  If the sharename is still invalid, then <command>smbd
968                 </command> will return an ACCESS_DENIED error to the client.</para>
969                 
970                 <para>See also <link linkend="DELETEPRINTERCOMMAND"><parameter>
971                 delete printer command</parameter></link>, <link 
972                 linkend="printing"><parameter>printing</parameter></link>,
973                 <link linkend="SHOWADDPRINTERWIZARD"><parameter>show add
974                 printer wizard</parameter></link></para>
975                 
976                 <para>Default: <emphasis>none</emphasis></para>
977                 <para>Example: <command>addprinter command = /usr/bin/addprinter
978                 </command></para>
979                 </listitem>
980                 </varlistentry>
981
982
983
984                 <varlistentry>
985                 <term><anchor id="ADDSHARECOMMAND">add share command (G)</term>
986                 <listitem><para>Samba 2.2.0 introduced the ability to dynamically 
987                 add and delete shares via the Windows NT 4.0 Server Manager.  The 
988                 <parameter>add share command</parameter> is used to define an 
989                 external program or script which will add a new service definition 
990                 to <filename>smb.conf</filename>.  In order to successfully 
991                 execute the <parameter>add share command</parameter>, <command>smbd</command>
992                 requires that the administrator be connected using a root account (i.e. 
993                 uid == 0).
994                 </para>
995                 
996                 <para>
997                 When executed, <command>smbd</command> will automatically invoke the 
998                 <parameter>add share command</parameter> with four parameters.
999                 </para>
1000                 
1001                 <itemizedlist>
1002                         <listitem><para><parameter>configFile</parameter> - the location 
1003                         of the global <filename>smb.conf</filename> file. 
1004                         </para></listitem>
1005                         
1006                         <listitem><para><parameter>shareName</parameter> - the name of the new 
1007                         share.
1008                         </para></listitem>
1009                         
1010                         <listitem><para><parameter>pathName</parameter> - path to an **existing**
1011                         directory on disk.
1012                         </para></listitem>
1013                         
1014                         <listitem><para><parameter>comment</parameter> - comment string to associate 
1015                         with the new share.
1016                         </para></listitem>
1017                 </itemizedlist>
1018                 
1019                 <para>
1020                 This parameter is only used for add file shares.  To add printer shares, 
1021                 see the <link linkend="ADDPRINTERCOMMAND"><parameter>add printer 
1022                 command</parameter></link>.
1023                 </para>
1024                 
1025                 <para>
1026                 See also <link linkend="CHANGESHARECOMMAND"><parameter>change share 
1027                 command</parameter></link>, <link linkend="DELETESHARECOMMAND"><parameter>delete share
1028                 command</parameter></link>.
1029                 </para>
1030                 
1031                 <para>Default: <emphasis>none</emphasis></para>
1032                 <para>Example: <command>add share command = /usr/local/bin/addshare</command></para>
1033                 </listitem>
1034                 </varlistentry>
1035
1036
1037
1038                 <varlistentry>
1039                 <term><anchor id="ADDMACHINESCRIPT">add machine script (G)</term>
1040                 <listitem><para>This is the full pathname to a script that will 
1041                 be run by <ulink url="smbd.8.html">smbd(8)</ulink>  when a machine is added
1042                 to it's domain using the administrator username and password method. </para>
1043
1044                 <para>This option is only required when using sam back-ends tied to the
1045                 Unix uid method of RID calculation such as smbpasswd.  This option is only
1046                 available in Samba 3.0.</para>
1047
1048                 <para>Default: <command>add machine script = &lt;empty string&gt;
1049                 </command></para>       
1050
1051                 <para>Example: <command>add machine script = /usr/sbin/adduser -n -g machines -c Machine -d /dev/null -s /bin/false %u
1052                 </command></para>
1053                 </listitem>
1054                 </varlistentry>
1055
1056
1057                 <varlistentry>
1058                 <term><anchor id="ADDUSERSCRIPT">add user script (G)</term>
1059                 <listitem><para>This is the full pathname to a script that will 
1060                 be run <emphasis>AS ROOT</emphasis> by <ulink url="smbd.8.html">smbd(8)
1061                 </ulink> under special circumstances described below.</para>
1062
1063                 <para>Normally, a Samba server requires that UNIX users are 
1064                 created for all users accessing files on this server. For sites 
1065                 that use Windows NT account databases as their primary user database 
1066                 creating these users and keeping the user list in sync with the 
1067                 Windows NT PDC is an onerous task. This option allows <ulink 
1068                 url="smbd.8.html">smbd</ulink> to create the required UNIX users 
1069                 <emphasis>ON DEMAND</emphasis> when a user accesses the Samba server.</para>
1070
1071                 <para>In order to use this option, <ulink url="smbd.8.html">smbd</ulink> 
1072                 must be set to <parameter>security = server</parameter> or <parameter>
1073                 security = domain</parameter> and <parameter>add user script</parameter>
1074                 must be set to a full pathname for a script that will create a UNIX 
1075                 user given one argument of <parameter>%u</parameter>, which expands into 
1076                 the UNIX user name to create.</para>
1077
1078                 <para>When the Windows user attempts to access the Samba server, 
1079                 at login (session setup in the SMB protocol) time, <ulink url="smbd.8.html">
1080                 smbd</ulink> contacts the <parameter>password server</parameter> and 
1081                 attempts to authenticate the given user with the given password. If the 
1082                 authentication succeeds then <command>smbd</command> 
1083                 attempts to find a UNIX user in the UNIX password database to map the 
1084                 Windows user into. If this lookup fails, and <parameter>add user script
1085                 </parameter> is set then <command>smbd</command> will
1086                 call the specified script <emphasis>AS ROOT</emphasis>, expanding 
1087                 any <parameter>%u</parameter> argument to be the user name to create.</para>
1088
1089                 <para>If this script successfully creates the user then <command>smbd
1090                 </command> will continue on as though the UNIX user
1091                 already existed. In this way, UNIX users are dynamically created to
1092                 match existing Windows NT accounts.</para>
1093
1094                 <para>See also <link linkend="SECURITY"><parameter>
1095                 security</parameter></link>, <link linkend="PASSWORDSERVER">
1096                 <parameter>password server</parameter></link>, 
1097                 <link linkend="DELETEUSERSCRIPT"><parameter>delete user 
1098                 script</parameter></link>.</para>
1099
1100                 <para>Default: <command>add user script = &lt;empty string&gt;
1101                 </command></para>       
1102
1103                 <para>Example: <command>add user script = /usr/local/samba/bin/add_user 
1104                 %u</command></para>
1105                 </listitem>
1106                 </varlistentry>
1107
1108
1109
1110                 <varlistentry>
1111                 <term><anchor id="ADMINUSERS">admin users (S)</term>
1112                 <listitem><para>This is a list of users who will be granted 
1113                 administrative privileges on the share. This means that they 
1114                 will do all file operations as the super-user (root).</para>
1115
1116                 <para>You should use this option very carefully, as any user in 
1117                 this list will be able to do anything they like on the share, 
1118                 irrespective of file permissions.</para>
1119
1120                 <para>Default: <emphasis>no admin users</emphasis></para>
1121
1122                 <para>Example: <command>admin users = jason</command></para>
1123                 </listitem>
1124                 </varlistentry>
1125                 
1126
1127
1128                 <varlistentry>
1129                 <term><anchor id="ALLOWHOSTS">allow hosts (S)</term>
1130                 <listitem><para>Synonym for <link linkend="HOSTSALLOW">
1131                 <parameter>hosts allow</parameter></link>.</para></listitem>
1132                 </varlistentry>
1133                 
1134
1135
1136                 <varlistentry>
1137                 <term><anchor id="ALLOWTRUSTEDDOMAINS">allow trusted domains (G)</term>
1138                 <listitem><para>This option only takes effect when the <link 
1139                 linkend="SECURITY"><parameter>security</parameter></link> option is set to 
1140                 <constant>server</constant> or <constant>domain</constant>.  
1141                 If it is set to no, then attempts to connect to a resource from 
1142                 a domain or workgroup other than the one which <ulink url="smbd.8.html">smbd</ulink> is running 
1143                 in will fail, even if that domain is trusted by the remote server 
1144                 doing the authentication.</para>
1145                 
1146                 <para>This is useful if you only want your Samba server to 
1147                 serve resources to users in the domain it is a member of. As 
1148                 an example, suppose that there are two domains DOMA and DOMB.  DOMB 
1149                 is trusted by DOMA, which contains the Samba server.  Under normal 
1150                 circumstances, a user with an account in DOMB can then access the 
1151                 resources of a UNIX account with the same account name on the 
1152                 Samba server even if they do not have an account in DOMA.  This 
1153                 can make implementing a security boundary difficult.</para>
1154
1155                 <para>Default: <command>allow trusted domains = yes</command></para>
1156
1157                 </listitem>
1158                 </varlistentry>
1159                 
1160
1161
1162                 <varlistentry>
1163                 <term><anchor id="ANNOUNCEAS">announce as (G)</term>
1164                 <listitem><para>This specifies what type of server 
1165                 <ulink url="nmbd.8.html"><command>nmbd</command></ulink> 
1166                 will announce itself as, to a network neighborhood browse 
1167                 list. By default this is set to Windows NT. The valid options 
1168                 are : "NT Server" (which can also be written as "NT"), 
1169                 "NT Workstation", "Win95" or "WfW" meaning Windows NT Server, 
1170                 Windows NT Workstation, Windows 95 and Windows for Workgroups 
1171                 respectively. Do not change this parameter unless you have a 
1172                 specific need to stop Samba appearing as an NT server as this 
1173                 may prevent Samba servers from participating as browser servers 
1174                 correctly.</para>
1175
1176                 <para>Default: <command>announce as = NT Server</command></para>
1177                 
1178                 <para>Example: <command>announce as = Win95</command></para>
1179                 </listitem>
1180                 </varlistentry>
1181                 
1182
1183
1184                 <varlistentry>
1185                 <term><anchor id="ANNOUNCEVERSION">announce version (G)</term>
1186                 <listitem><para>This specifies the major and minor version numbers 
1187                 that nmbd will use when announcing itself as a server. The default 
1188                 is 4.2.  Do not change this parameter unless you have a specific 
1189                 need to set a Samba server to be a downlevel server.</para>
1190
1191                 <para>Default: <command>announce version = 4.5</command></para>
1192
1193                 <para>Example: <command>announce version = 2.0</command></para>
1194                 </listitem>
1195                 </varlistentry>
1196
1197
1198
1199                 <varlistentry>
1200                 <term><anchor id="AUTOSERVICES">auto services (G)</term>
1201                 <listitem><para>This is a synonym for the <link linkend="PRELOAD">
1202                 <parameter>preload</parameter></link>.</para>
1203                 </listitem>
1204                 </varlistentry>
1205                 
1206
1207
1208                 <varlistentry>
1209                 <term><anchor id="AVAILABLE">available (S)</term>
1210                 <listitem><para>This parameter lets you "turn off" a service. If 
1211                 <parameter>available = no</parameter>, then <emphasis>ALL</emphasis> 
1212                 attempts to connect to the service will fail. Such failures are 
1213                 logged.</para>
1214
1215                 <para>Default: <command>available = yes</command></para>
1216                 
1217                 </listitem>
1218                 </varlistentry>
1219                 
1220
1221
1222                 <varlistentry>
1223                 <term><anchor id="BINDINTERFACESONLY">bind interfaces only (G)</term>
1224                 <listitem><para>This global parameter allows the Samba admin 
1225                 to limit what interfaces on a machine will serve SMB requests. If 
1226                 affects file service <ulink url="smbd.8.html">smbd(8)</ulink> and 
1227                 name service <ulink url="nmbd.8.html">nmbd(8)</ulink> in slightly 
1228                 different ways.</para>
1229
1230                 <para>For name service it causes <command>nmbd</command> to bind 
1231                 to ports 137 and 138 on the interfaces listed in the <link 
1232                 linkend="INTERFACES">interfaces</link> parameter. <command>nmbd
1233                 </command> also binds to the "all addresses" interface (0.0.0.0) 
1234                 on ports 137 and 138 for the purposes of reading broadcast messages. 
1235                 If this option is not set then <command>nmbd</command> will service 
1236                 name requests on all of these sockets. If <parameter>bind interfaces
1237                 only</parameter> is set then <command>nmbd</command> will check the 
1238                 source address of any packets coming in on the broadcast sockets 
1239                 and discard any that don't match the broadcast addresses of the 
1240                 interfaces in the <parameter>interfaces</parameter> parameter list. 
1241                 As unicast packets are received on the other sockets it allows 
1242                 <command>nmbd</command> to refuse to serve names to machines that 
1243                 send packets that arrive through any interfaces not listed in the
1244                 <parameter>interfaces</parameter> list.  IP Source address spoofing
1245                 does defeat this simple check, however so it must not be used
1246                 seriously as a security feature for <command>nmbd</command>.</para>
1247
1248                 <para>For file service it causes <ulink url="smbd.8.html">smbd(8)</ulink>
1249                 to bind only to the interface list given in the <link linkend="INTERFACES">
1250                 interfaces</link> parameter. This restricts the networks that 
1251                 <command>smbd</command> will serve to packets coming in those 
1252                 interfaces.  Note that you should not use this parameter for machines 
1253                 that are serving PPP or other intermittent or non-broadcast network 
1254                 interfaces as it will not cope with non-permanent interfaces.</para>
1255
1256                 <para>If <parameter>bind interfaces only</parameter> is set then 
1257                 unless the network address <emphasis>127.0.0.1</emphasis> is added 
1258                 to the <parameter>interfaces</parameter> parameter list <ulink
1259                 url="smbpasswd.8.html"><command>smbpasswd(8)</command></ulink> 
1260                 and <ulink url="swat.8.html"><command>swat(8)</command></ulink> may 
1261                 not work as expected due to the reasons covered below.</para>
1262
1263                 <para>To change a users SMB password, the <command>smbpasswd</command>
1264                 by default connects to the <emphasis>localhost - 127.0.0.1</emphasis> 
1265                 address as an SMB client to issue the password change request. If 
1266                 <parameter>bind interfaces only</parameter> is set then unless the 
1267                 network address <emphasis>127.0.0.1</emphasis> is added to the
1268                 <parameter>interfaces</parameter> parameter list then <command>
1269                 smbpasswd</command> will fail to connect in it's default mode. 
1270                 <command>smbpasswd</command> can be forced to use the primary IP interface 
1271                 of the local host by using its <ulink url="smbpasswd.8.html#minusr">
1272                 <parameter>-r <replaceable>remote machine</replaceable></parameter>
1273                 </ulink> parameter, with <replaceable>remote machine</replaceable> set 
1274                 to the IP name of the primary interface of the local host.</para>
1275
1276                 <para>The <command>swat</command> status page tries to connect with
1277                 <command>smbd</command> and <command>nmbd</command> at the address 
1278                 <emphasis>127.0.0.1</emphasis> to determine if they are running.  
1279                 Not adding <emphasis>127.0.0.1</emphasis>  will cause <command>
1280                 smbd</command> and <command>nmbd</command> to always show
1281                 "not running" even if they really are.  This can prevent <command>
1282                 swat</command> from starting/stopping/restarting <command>smbd</command>
1283                 and <command>nmbd</command>.</para>
1284
1285                 <para>Default: <command>bind interfaces only = no</command></para>
1286                 
1287                 </listitem>
1288                 </varlistentry>
1289
1290
1291
1292                 <varlistentry>
1293                 <term><anchor id="BLOCKINGLOCKS">blocking locks (S)</term>
1294                 <listitem><para>This parameter controls the behavior of <ulink 
1295                 url="smbd.8.html">smbd(8)</ulink> when given a request by a client 
1296                 to obtain a byte range lock on a region of an open file, and the 
1297                 request has a time limit associated with it.</para>
1298                 
1299                 <para>If this parameter is set and the lock range requested 
1300                 cannot be immediately satisfied, Samba 2.2 will internally 
1301                 queue the lock request, and periodically attempt to obtain 
1302                 the lock until the timeout period expires.</para>
1303
1304                 <para>If this parameter is set to <constant>false</constant>, then 
1305                 Samba 2.2 will behave as previous versions of Samba would and 
1306                 will fail the lock request immediately if the lock range 
1307                 cannot be obtained.</para>
1308
1309                 <para>Default: <command>blocking locks = yes</command></para>
1310
1311                 </listitem>
1312                 </varlistentry>
1313                 
1314
1315
1316                 <varlistentry>
1317                 <term><anchor id="BROWSABLE">browsable (S)</term>
1318                 <listitem><para>See the <link linkend="BROWSEABLE"><parameter>
1319                 browseable</parameter></link>.</para></listitem>
1320                 </varlistentry>
1321                 
1322
1323
1324                 <varlistentry>
1325                 <term><anchor id="BROWSELIST">browse list (G)</term>
1326                 <listitem><para>This controls whether <ulink url="smbd.8.html">
1327                 <command>smbd(8)</command></ulink> will serve a browse list to 
1328                 a client doing a <command>NetServerEnum</command> call. Normally 
1329                 set to <constant>true</constant>. You should never need to change 
1330                 this.</para>
1331                 
1332                 <para>Default: <command>browse list = yes</command></para></listitem>
1333                 </varlistentry>
1334                 
1335
1336
1337                 <varlistentry>
1338                 <term><anchor id="BROWSEABLE">browseable (S)</term>
1339                 <listitem><para>This controls whether this share is seen in 
1340                 the list of available shares in a net view and in the browse list.</para>
1341
1342                 <para>Default: <command>browseable = yes</command></para>
1343                 </listitem>
1344                 </varlistentry>
1345                 
1346
1347
1348                 <varlistentry>
1349                 <term><anchor id="CASESENSITIVE">case sensitive (S)</term>
1350                 <listitem><para>See the discussion in the section <link 
1351                 linkend="NAMEMANGLINGSECT">NAME MANGLING</link>.</para>
1352                 
1353                 <para>Default: <command>case sensitive = no</command></para>
1354                 </listitem>
1355                 </varlistentry>
1356
1357
1358
1359                 <varlistentry>
1360                 <term><anchor id="CASESIGNAMES">casesignames (S)</term>
1361                 <listitem><para>Synonym for <link linkend="CASESENSITIVE">case 
1362                 sensitive</link>.</para></listitem>
1363                 </varlistentry>
1364                 
1365                 
1366                 
1367                 <varlistentry>
1368                 <term><anchor id="CHANGENOTIFYTIMEOUT">change notify timeout (G)</term>
1369                 <listitem><para>This SMB allows a client to tell a server to 
1370                 "watch" a particular directory for any changes and only reply to
1371                 the SMB request when a change has occurred. Such constant scanning of
1372                 a directory is expensive under UNIX, hence an <ulink url="smbd.8.html">
1373                 <command>smbd(8)</command></ulink> daemon only performs such a scan 
1374                 on each requested directory once every <parameter>change notify 
1375                 timeout</parameter> seconds.</para>
1376
1377                 <para>Default: <command>change notify timeout = 60</command></para>
1378                 <para>Example: <command>change notify timeout = 300</command></para>
1379
1380                 <para>Would change the scan time to every 5 minutes.</para></listitem>
1381                 </varlistentry>
1382                 
1383
1384
1385                 <varlistentry>
1386                 <term><anchor id="CHANGESHARECOMMAND">change share command (G)</term>
1387                 <listitem><para>Samba 2.2.0 introduced the ability to dynamically 
1388                 add and delete shares via the Windows NT 4.0 Server Manager.  The 
1389                 <parameter>change share command</parameter> is used to define an 
1390                 external program or script which will modify an existing service definition 
1391                 in <filename>smb.conf</filename>.  In order to successfully 
1392                 execute the <parameter>change share command</parameter>, <command>smbd</command>
1393                 requires that the administrator be connected using a root account (i.e. 
1394                 uid == 0).
1395                 </para>
1396                 
1397                 <para>
1398                 When executed, <command>smbd</command> will automatically invoke the 
1399                 <parameter>change share command</parameter> with four parameters.
1400                 </para>
1401                 
1402                 <itemizedlist>
1403                         <listitem><para><parameter>configFile</parameter> - the location 
1404                         of the global <filename>smb.conf</filename> file. 
1405                         </para></listitem>
1406                         
1407                         <listitem><para><parameter>shareName</parameter> - the name of the new 
1408                         share.
1409                         </para></listitem>
1410                         
1411                         <listitem><para><parameter>pathName</parameter> - path to an **existing**
1412                         directory on disk.
1413                         </para></listitem>
1414                         
1415                         <listitem><para><parameter>comment</parameter> - comment string to associate 
1416                         with the new share.
1417                         </para></listitem>
1418                 </itemizedlist>
1419                 
1420                 <para>
1421                 This parameter is only used modify existing file shares definitions.  To modify 
1422                 printer shares, use the "Printers..." folder as seen when browsing the Samba host.
1423                 </para>
1424                 
1425                 <para>
1426                 See also <link linkend="ADDSHARECOMMAND"><parameter>add share
1427                 command</parameter></link>, <link linkend="DELETESHARECOMMAND"><parameter>delete 
1428                 share command</parameter></link>.
1429                 </para>
1430                 
1431                 <para>Default: <emphasis>none</emphasis></para>
1432                 <para>Example: <command>change share command = /usr/local/bin/addshare</command></para>
1433                 </listitem>
1434                 </varlistentry>
1435
1436
1437                 
1438                 <varlistentry>
1439                 <term><anchor id="CHARACTERSET">character set (G)</term>
1440                 <listitem><para>This allows <ulink url="smbd.8.html">smbd</ulink> to map incoming filenames 
1441                 from a DOS Code page (see the <link linkend="CLIENTCODEPAGE">client 
1442                 code page</link> parameter) to several built in UNIX character sets. 
1443                 The built in code page translations are:</para>
1444                 
1445                 <itemizedlist>
1446                         <listitem><para><constant>ISO8859-1</constant> : Western European 
1447                         UNIX character set. The parameter <parameter>client code page</parameter>
1448                         <emphasis>MUST</emphasis> be set to code page 850 if the 
1449                         <parameter>character set</parameter> parameter is set to
1450                         <constant>ISO8859-1</constant> in order for the conversion to the 
1451                         UNIX character set to be done correctly.</para></listitem>
1452
1453                         <listitem><para><constant>ISO8859-2</constant> : Eastern European 
1454                         UNIX character set. The parameter <parameter>client code page
1455                         </parameter> <emphasis>MUST</emphasis> be set to code page 852 if 
1456                         the <parameter> character set</parameter> parameter is set 
1457                         to <constant>ISO8859-2</constant> in order for the conversion 
1458                         to the UNIX character set to be done correctly. </para></listitem>
1459
1460                         <listitem><para><constant>ISO8859-5</constant> : Russian Cyrillic 
1461                         UNIX character set. The parameter <parameter>client code page
1462                         </parameter> <emphasis>MUST</emphasis> be set to code page 
1463                         866 if the <parameter>character set </parameter> parameter is 
1464                         set to <constant>ISO8859-5</constant> in order for the conversion 
1465                         to the UNIX character set to be done correctly. </para></listitem>
1466
1467                         <listitem><para><constant>ISO8859-7</constant> : Greek UNIX 
1468                         character set. The parameter <parameter>client code page
1469                         </parameter> <emphasis>MUST</emphasis> be set to code page 
1470                         737 if the <parameter>character set</parameter> parameter is 
1471                         set to <constant>ISO8859-7</constant> in order for the conversion 
1472                         to the UNIX character set to be done correctly.</para></listitem>
1473  
1474                         <listitem><para><constant>KOI8-R</constant> : Alternate mapping 
1475                         for Russian Cyrillic UNIX character set. The parameter 
1476                         <parameter>client code page</parameter> <emphasis>MUST</emphasis> 
1477                         be set to code page 866 if the <parameter>character set</parameter> 
1478                         parameter is set to <constant>KOI8-R</constant> in order for the 
1479                         conversion to the UNIX character set to be done correctly.</para>
1480                         </listitem>
1481                 </itemizedlist>
1482
1483                 <para><emphasis>BUG</emphasis>. These MSDOS code page to UNIX character 
1484                 set mappings should be dynamic, like the loading of MS DOS code pages, 
1485                 not static.</para>
1486
1487                 <para>Normally this parameter is not set, meaning no filename 
1488                 translation is done.</para>
1489
1490                 <para>Default: <command>character set = &lt;empty string&gt;</command></para>
1491                 <para>Example: <command>character set = ISO8859-1</command></para></listitem>
1492                 </varlistentry>
1493
1494
1495
1496                 <varlistentry>
1497                 <term><anchor id="CLIENTCODEPAGE">client code page (G)</term>
1498                 <listitem><para>This parameter specifies the DOS code page 
1499                 that the clients accessing Samba are using. To determine what code 
1500                 page a Windows or DOS client is using, open a DOS command prompt 
1501                 and type the command <command>chcp</command>. This will output 
1502                 the code page. The default for USA MS-DOS, Windows 95, and
1503                 Windows NT releases is code page 437. The default for western 
1504                 European releases of the above operating systems is code page 850.</para>
1505
1506                 <para>This parameter tells <ulink url="smbd.8.html">smbd(8)</ulink> 
1507                 which of the <filename>codepage.<replaceable>XXX</replaceable>
1508                 </filename> files to dynamically load on startup. These files,
1509                 described more fully in the manual page <ulink url="make_smbcodepage.1.html">
1510                 <command>make_smbcodepage(1)</command></ulink>, tell <command>
1511                 smbd</command> how to map lower to upper case characters to provide 
1512                 the case insensitivity of filenames that Windows clients expect.</para>
1513
1514                 <para>Samba currently ships with the following code page files :</para>
1515
1516                 <itemizedlist>
1517                         <listitem><para>Code Page 437 - MS-DOS Latin US</para></listitem>
1518                         <listitem><para>Code Page 737 - Windows '95 Greek</para></listitem>
1519                         <listitem><para>Code Page 850 - MS-DOS Latin 1</para></listitem>
1520                         <listitem><para>Code Page 852 - MS-DOS Latin 2</para></listitem>
1521                         <listitem><para>Code Page 861 - MS-DOS Icelandic</para></listitem>
1522                         <listitem><para>Code Page 866 - MS-DOS Cyrillic</para></listitem>
1523                         <listitem><para>Code Page 932 - MS-DOS Japanese SJIS</para></listitem>
1524                         <listitem><para>Code Page 936 - MS-DOS Simplified Chinese</para></listitem>
1525                         <listitem><para>Code Page 949 - MS-DOS Korean Hangul</para></listitem>
1526                         <listitem><para>Code Page 950 - MS-DOS Traditional Chinese</para></listitem>
1527                 </itemizedlist>
1528
1529                 <para>Thus this parameter may have any of the values 437, 737, 850, 852,
1530                 861, 932, 936, 949, or 950.  If you don't find the codepage you need,
1531                 read the comments in one of the other codepage files and the
1532                 <command>make_smbcodepage(1)</command> man page and write one. Please 
1533                 remember to donate it back to the Samba user community.</para>
1534
1535                 <para>This parameter co-operates with the <parameter>valid
1536                 chars</parameter> parameter in determining what characters are
1537                 valid in filenames and how capitalization is done. If you set both
1538                 this parameter and the <parameter>valid chars</parameter> parameter
1539                 the <parameter>client code page</parameter> parameter 
1540                 <emphasis>MUST</emphasis> be set before the <parameter>valid 
1541                 chars</parameter> parameter in the <filename>smb.conf</filename>
1542                 file. The <parameter>valid chars</parameter> string will then 
1543                 augment the character settings in the <parameter>client code page</parameter> 
1544                 parameter.</para>
1545
1546                 <para>If not set, <parameter>client code page</parameter> defaults 
1547                 to 850.</para>
1548
1549                 <para>See also : <link linkend="VALIDCHARS"><parameter>valid 
1550                 chars</parameter></link>, <link linkend="CODEPAGEDIRECTORY">
1551                 <parameter>code page directory</parameter></link></para>
1552
1553                 <para>Default: <command>client code page = 850</command></para>
1554                 <para>Example: <command>client code page = 936</command></para>
1555                 </listitem>
1556                 </varlistentry>
1557                 
1558
1559
1560
1561                 <varlistentry>
1562                 <term><anchor id="CODEPAGEDIRECTORY">code page directory (G)</term>
1563                 <listitem><para>Define the location of the various client code page
1564                 files.</para>
1565                 
1566                 <para>See also <link linkend="CLIENTCODEPAGE"><parameter>client
1567                 code page</parameter></link></para>
1568                 
1569                 <para>Default: <command>code page directory = ${prefix}/lib/codepages
1570                 </command></para>
1571                 <para>Example: <command>code page directory = /usr/share/samba/codepages
1572                 </command></para>
1573                 </listitem>
1574                 </varlistentry>
1575
1576
1577
1578
1579                 
1580                 <varlistentry>
1581                 <term><anchor id="CODINGSYSTEM">coding system (G)</term>
1582                 <listitem><para>This parameter is used to determine how incoming 
1583                 Shift-JIS Japanese characters are mapped from the incoming <link 
1584                 linkend="CLIENTCODEPAGE"><parameter>client code page</parameter>
1585                 </link> used by the client, into file names in the UNIX filesystem. 
1586                 Only useful if <parameter>client code page</parameter> is set to 
1587                 932 (Japanese Shift-JIS).  The options are :</para>
1588
1589                 <itemizedlist>
1590                         <listitem><para><constant>SJIS</constant>  - Shift-JIS. Does no 
1591                         conversion of the incoming filename.</para></listitem>
1592                         
1593                         <listitem><para><constant>JIS8, J8BB, J8BH, J8@B, 
1594                         J8@J, J8@H </constant> - Convert from incoming Shift-JIS to eight 
1595                         bit JIS code with different shift-in, shift out codes.</para></listitem>
1596
1597                         <listitem><para><constant>JIS7, J7BB, J7BH, J7@B, J7@J, 
1598                         J7@H </constant> - Convert from incoming Shift-JIS to seven bit 
1599                         JIS code with different shift-in, shift out codes.</para></listitem>
1600
1601                         <listitem><para><constant>JUNET, JUBB, JUBH, JU@B, JU@J, JU@H </constant> 
1602                         - Convert from incoming Shift-JIS to JUNET code with different shift-in, 
1603                         shift out codes.</para></listitem>
1604                                                 
1605                         <listitem><para><constant>EUC</constant> - Convert an incoming 
1606                         Shift-JIS character to EUC code.</para></listitem>
1607                         
1608                         <listitem><para><constant>HEX</constant> - Convert an incoming 
1609                         Shift-JIS character to a 3 byte hex representation, i.e. 
1610                         <constant>:AB</constant>.</para></listitem>
1611                         
1612                         <listitem><para><constant>CAP</constant> - Convert an incoming 
1613                         Shift-JIS character to the 3 byte hex representation used by 
1614                         the Columbia AppleTalk Program (CAP), i.e. <constant>:AB</constant>.  
1615                         This is used for compatibility between Samba and CAP.</para></listitem>
1616                 </itemizedlist>
1617                 
1618                 <para>Default: <command>coding system = &lt;empty value&gt;</command>
1619                 </para>
1620                 </listitem>
1621                 </varlistentry>
1622                 
1623                 
1624                 
1625                 <varlistentry>
1626                 <term><anchor id="COMMENT">comment (S)</term>
1627                 <listitem><para>This is a text field that is seen next to a share 
1628                 when a client does a queries the server, either via the network 
1629                 neighborhood or via <command>net view</command> to list what shares 
1630                 are available.</para>
1631
1632                 <para>If you want to set the string that is displayed next to the 
1633                 machine name then see the <link linkend="SERVERSTRING"><parameter>
1634                 server string</parameter></link> parameter.</para>
1635
1636                 <para>Default: <emphasis>No comment string</emphasis></para>
1637                 <para>Example: <command>comment = Fred's Files</command></para></listitem>
1638                 </varlistentry>
1639                 
1640                 
1641                 
1642                 <varlistentry>
1643                 <term><anchor id="CONFIGFILE">config file (G)</term>
1644                 <listitem><para>This allows you to override the config file 
1645                 to use, instead of the default (usually <filename>smb.conf</filename>). 
1646                 There is a chicken and egg problem here as this option is set 
1647                 in the config file!</para>
1648
1649                 <para>For this reason, if the name of the config file has changed 
1650                 when the parameters are loaded then it will reload them from 
1651                 the new config file.</para>
1652
1653                 <para>This option takes the usual substitutions, which can 
1654                 be very useful.</para>
1655
1656                 <para>If the config file doesn't exist then it won't be loaded 
1657                 (allowing you to special case the config files of just a few 
1658                 clients).</para>
1659
1660                 <para>Example: <command>config file = /usr/local/samba/lib/smb.conf.%m
1661                 </command></para></listitem>
1662                 </varlistentry>
1663                 
1664                 
1665                 
1666                 <varlistentry>
1667                 <term><anchor id="COPY">copy (S)</term>
1668                 <listitem><para>This parameter allows you to "clone" service 
1669                 entries. The specified service is simply duplicated under the 
1670                 current service's name. Any parameters specified in the current 
1671                 section will override those in the section being copied.</para>
1672
1673                 <para>This feature lets you set up a 'template' service and 
1674                 create similar services easily. Note that the service being 
1675                 copied must occur earlier in the configuration file than the 
1676                 service doing the copying.</para>
1677
1678                 <para>Default: <emphasis>no value</emphasis></para>
1679                 <para>Example: <command>copy = otherservice</command></para></listitem>
1680                 </varlistentry>
1681                 
1682                 
1683                 
1684                 <varlistentry>
1685                 <term><anchor id="CREATEMASK">create mask (S)</term>
1686                 <listitem><para>A synonym for this parameter is 
1687                 <link linkend="CREATEMODE"><parameter>create mode</parameter>
1688                 </link>.</para>
1689
1690                 <para>When a file is created, the necessary permissions are 
1691                 calculated according to the mapping from DOS modes to UNIX 
1692                 permissions, and the resulting UNIX mode is then bit-wise 'AND'ed 
1693                 with this parameter. This parameter may be thought of as a bit-wise 
1694                 MASK for the UNIX modes of a file. Any bit <emphasis>not</emphasis> 
1695                 set here will be removed from the modes set on a file when it is 
1696                 created.</para>
1697
1698                 <para>The default value of this parameter removes the 
1699                 'group' and 'other' write and execute bits from the UNIX modes.</para>
1700
1701                 <para>Following this Samba will bit-wise 'OR' the UNIX mode created 
1702                 from this parameter with the value of the <link
1703                 linkend="FORCECREATEMODE"><parameter>force create mode</parameter></link>
1704                 parameter which is set to 000 by default.</para>
1705
1706                 <para>This parameter does not affect directory modes. See the 
1707                 parameter <link linkend="DIRECTORYMODE"><parameter>directory mode
1708                 </parameter></link> for details.</para>
1709
1710                 <para>See also the <link linkend="FORCECREATEMODE"><parameter>force 
1711                 create mode</parameter></link> parameter for forcing particular mode 
1712                 bits to be set on created files. See also the <link linkend="DIRECTORYMODE">
1713                 <parameter>directory mode</parameter></link> parameter for masking 
1714                 mode bits on created directories.  See also the <link linkend="INHERITPERMISSIONS">
1715                 <parameter>inherit permissions</parameter></link> parameter.</para>
1716
1717                 <para>Note that this parameter does not apply to permissions
1718                 set by Windows NT/2000 ACL editors. If the administrator wishes to enforce
1719                 a mask on access control lists also, they need to set the <link 
1720                 linkend="SECURITYMASK"><parameter>security mask</parameter></link>.</para>
1721
1722                 <para>Default: <command>create mask = 0744</command></para>
1723                 <para>Example: <command>create mask = 0775</command></para></listitem>
1724                 </varlistentry>
1725                 
1726                 
1727                 
1728                 <varlistentry>
1729                 <term><anchor id="CREATEMODE">create mode (S)</term>
1730                 <listitem><para>This is a synonym for <link linkend="CREATEMASK"><parameter>
1731                 create mask</parameter></link>.</para></listitem>
1732                 </varlistentry>
1733                 
1734                 
1735                 
1736                 <varlistentry>
1737                 <term><anchor id="DEADTIME">deadtime (G)</term>
1738                 <listitem><para>The value of the parameter (a decimal integer) 
1739                 represents the number of minutes of inactivity before a connection 
1740                 is considered dead, and it is disconnected. The deadtime only takes 
1741                 effect if the number of open files is zero.</para>
1742                 
1743                 <para>This is useful to stop a server's resources being 
1744                 exhausted by a large number of inactive connections.</para>
1745
1746                 <para>Most clients have an auto-reconnect feature when a 
1747                 connection is broken so in most cases this parameter should be 
1748                 transparent to users.</para>
1749
1750                 <para>Using this parameter with a timeout of a few minutes 
1751                 is recommended for most systems.</para>
1752
1753                 <para>A deadtime of zero indicates that no auto-disconnection 
1754                 should be performed.</para>
1755
1756                 <para>Default: <command>deadtime = 0</command></para>
1757                 <para>Example: <command>deadtime = 15</command></para></listitem>
1758                 </varlistentry>
1759
1760
1761
1762                 <varlistentry>
1763                 <term><anchor id="DEBUGHIRESTIMESTAMP">debug hires timestamp (G)</term>
1764                 <listitem><para>Sometimes the timestamps in the log messages 
1765                 are needed with a resolution of higher that seconds, this 
1766                 boolean parameter adds microsecond resolution to the timestamp 
1767                 message header when turned on.</para>
1768
1769                 <para>Note that the parameter <link linkend="DEBUGTIMESTAMP"><parameter>
1770                 debug timestamp</parameter></link> must be on for this to have an 
1771                 effect.</para>
1772
1773                 <para>Default: <command>debug hires timestamp = no</command></para>
1774                 </listitem>
1775                 </varlistentry>
1776                 
1777
1778
1779                 <varlistentry>
1780                 <term><anchor id="DEBUGPID">debug pid (G)</term>
1781                 <listitem><para>When using only one log file for more then one 
1782                 forked <ulink url="smbd.8.html">smbd</ulink>-process there may be hard to follow which process 
1783                 outputs which message. This boolean parameter is adds the process-id 
1784                 to the timestamp message headers in the logfile when turned on.</para>
1785
1786                 <para>Note that the parameter <link linkend="DEBUGTIMESTAMP"><parameter>
1787                 debug timestamp</parameter></link> must be on for this to have an 
1788                 effect.</para>
1789
1790                 <para>Default: <command>debug pid = no</command></para></listitem>
1791                 </varlistentry>
1792
1793
1794                 <varlistentry>
1795                 <term><anchor id="DEBUGTIMESTAMP">debug timestamp (G)</term>
1796                 <listitem><para>Samba 2.2 debug log messages are timestamped 
1797                 by default. If you are running at a high <link linkend="DEBUGLEVEL">
1798                 <parameter>debug level</parameter></link> these timestamps
1799                 can be distracting. This boolean parameter allows timestamping 
1800                 to be turned off.</para>
1801
1802                 <para>Default: <command>debug timestamp = yes</command></para></listitem>
1803                 </varlistentry>
1804
1805
1806
1807                 <varlistentry>
1808                 <term><anchor id="DEBUGUID">debug uid (G)</term>
1809                 <listitem><para>Samba is sometimes run as root and sometime 
1810                 run as the connected user, this boolean parameter inserts the 
1811                 current euid, egid, uid and gid to the timestamp message headers 
1812                 in the log file if turned on.</para>
1813                 
1814                 <para>Note that the parameter <link linkend="DEBUGTIMESTAMP"><parameter>
1815                 debug timestamp</parameter></link> must be on for this to have an 
1816                 effect.</para>
1817
1818                 <para>Default: <command>debug uid = no</command></para></listitem>
1819                 </varlistentry>
1820
1821
1822
1823                 <varlistentry>
1824                 <term><anchor id="DEBUGLEVEL">debuglevel (G)</term>
1825                 <listitem><para>Synonym for <link linkend="LOGLEVEL"><parameter>
1826                 log level</parameter></link>.</para>
1827                 </listitem>
1828                 </varlistentry>
1829
1830
1831
1832                 <varlistentry>
1833                 <term><anchor id="DEFAULT">default (G)</term>
1834                 <listitem><para>A synonym for <link linkend="DEFAULTSERVICE"><parameter>
1835                 default service</parameter></link>.</para></listitem>
1836                 </varlistentry>
1837                 
1838                 
1839                 
1840                 <varlistentry>
1841                 <term><anchor id="DEFAULTCASE">default case (S)</term>
1842                 <listitem><para>See the section on <link linkend="NAMEMANGLINGSECT">
1843                 NAME MANGLING</link>. Also note the <link linkend="SHORTPRESERVECASE">
1844                 <parameter>short preserve case</parameter></link> parameter.</para>
1845
1846                 <para>Default: <command>default case = lower</command></para>
1847                 </listitem>
1848                 </varlistentry>
1849
1850
1851
1852                 <varlistentry>
1853                 <term><anchor id="DEFAULTSERVICE">default service (G)</term>
1854                 <listitem><para>This parameter specifies the name of a service 
1855                 which will be connected to if the service actually requested cannot 
1856                 be found. Note that the square brackets are <emphasis>NOT</emphasis> 
1857                 given in the parameter value (see example below).</para>
1858
1859                 <para>There is no default value for this parameter. If this 
1860                 parameter is not given, attempting to connect to a nonexistent 
1861                 service results in an error.</para>
1862
1863                 <para>Typically the default service would be a <link linkend="GUESTOK">
1864                 <parameter>guest ok</parameter></link>, <link linkend="READONLY">
1865                 <parameter>read-only</parameter></link> service.</para>
1866
1867                 <para>Also note that the apparent service name will be changed 
1868                 to equal that of the requested service, this is very useful as it 
1869                 allows you to use macros like <parameter>%S</parameter> to make 
1870                 a wildcard service.</para>
1871
1872                 <para>Note also that any "_" characters in the name of the service 
1873                 used in the default service will get mapped to a "/". This allows for
1874                 interesting things.</para>
1875
1876
1877                 <para>Example:</para>
1878                 
1879                 <para><programlisting>
1880 [global]
1881         default service = pub
1882         
1883 [pub]
1884         path = /%S
1885                 </programlisting></para>
1886                 </listitem>
1887                 </varlistentry>
1888                 
1889
1890
1891                 <varlistentry>
1892                 <term><anchor id="DELETEPRINTERCOMMAND">delete printer command (G)</term>
1893                 <listitem><para>With the introduction of MS-RPC based printer
1894                 support for Windows NT/2000 clients in Samba 2.2, it is now 
1895                 possible to delete printer at run time by issuing the 
1896                 DeletePrinter() RPC call.</para>
1897                 
1898                 <para>For a Samba host this means that the printer must be 
1899                 physically deleted from underlying printing system.  The <parameter>
1900                 deleteprinter command</parameter> defines a script to be run which 
1901                 will perform the necessary operations for removing the printer
1902                 from the print system and from <filename>smb.conf</filename>.
1903                 </para>
1904                 
1905                 <para>The <parameter>delete printer command</parameter> is 
1906                 automatically called with only one parameter: <parameter>
1907                 "printer name"</parameter>.</para>
1908                 
1909                                 
1910                 <para>Once the <parameter>delete printer command</parameter> has 
1911                 been executed, <command>smbd</command> will reparse the <filename>
1912                 smb.conf</filename> to associated printer no longer exists.  
1913                 If the sharename is still valid, then <command>smbd
1914                 </command> will return an ACCESS_DENIED error to the client.</para>
1915                 
1916                 <para>See also <link linkend="ADDPRINTERCOMMAND"><parameter>
1917                 add printer command</parameter></link>, <link 
1918                 linkend="printing"><parameter>printing</parameter></link>,
1919                 <link linkend="SHOWADDPRINTERWIZARD"><parameter>show add
1920                 printer wizard</parameter></link></para>
1921                 
1922                 <para>Default: <emphasis>none</emphasis></para>
1923                 <para>Example: <command>deleteprinter command = /usr/bin/removeprinter
1924                 </command></para>
1925                 </listitem>
1926                 </varlistentry>
1927
1928
1929
1930
1931
1932
1933                 <varlistentry>
1934                 <term><anchor id="DELETEREADONLY">delete readonly (S)</term>
1935                 <listitem><para>This parameter allows readonly files to be deleted.  
1936                 This is not normal DOS semantics, but is allowed by UNIX.</para>
1937                 
1938                 <para>This option may be useful for running applications such 
1939                 as rcs, where UNIX file ownership prevents changing file 
1940                 permissions, and DOS semantics prevent deletion of a read only file.</para>
1941
1942                 <para>Default: <command>delete readonly = no</command></para></listitem>
1943                 </varlistentry>
1944
1945
1946
1947                 <varlistentry>
1948                 <term><anchor id="DELETESHARECOMMAND">delete share command (G)</term>
1949                 <listitem><para>Samba 2.2.0 introduced the ability to dynamically 
1950                 add and delete shares via the Windows NT 4.0 Server Manager.  The 
1951                 <parameter>delete share command</parameter> is used to define an 
1952                 external program or script which will remove an existing service 
1953                 definition from <filename>smb.conf</filename>.  In order to successfully 
1954                 execute the <parameter>delete share command</parameter>, <command>smbd</command>
1955                 requires that the administrator be connected using a root account (i.e. 
1956                 uid == 0).
1957                 </para>
1958                 
1959                 <para>
1960                 When executed, <command>smbd</command> will automatically invoke the 
1961                 <parameter>delete share command</parameter> with two parameters.
1962                 </para>
1963                 
1964                 <itemizedlist>
1965                         <listitem><para><parameter>configFile</parameter> - the location 
1966                         of the global <filename>smb.conf</filename> file. 
1967                         </para></listitem>
1968                         
1969                         <listitem><para><parameter>shareName</parameter> - the name of 
1970                         the existing service.
1971                         </para></listitem>
1972                 </itemizedlist>
1973                 
1974                 <para>
1975                 This parameter is only used to remove file shares.  To delete printer shares, 
1976                 see the <link linkend="DELETEPRINTERCOMMAND"><parameter>delete printer 
1977                 command</parameter></link>.
1978                 </para>
1979                 
1980                 <para>
1981                 See also <link linkend="ADDSHARECOMMAND"><parameter>add share
1982                 command</parameter></link>, <link linkend="CHANGESHARECOMMAND"><parameter>change 
1983                 share command</parameter></link>.
1984                 </para>
1985                 
1986                 <para>Default: <emphasis>none</emphasis></para>
1987                 <para>Example: <command>delete share command = /usr/local/bin/delshare</command></para>
1988                 
1989                 </listitem>
1990                 </varlistentry>
1991
1992
1993                 
1994                 
1995                 <varlistentry>
1996                 <term><anchor id="DELETEUSERSCRIPT">delete user script (G)</term>
1997                 <listitem><para>This is the full pathname to a script that will 
1998                 be run <emphasis>AS ROOT</emphasis> by <ulink url="smbd.8.html">
1999                 <command>smbd(8)</command></ulink> under special circumstances 
2000                 described below.</para>
2001
2002                 <para>Normally, a Samba server requires that UNIX users are 
2003                 created for all users accessing files on this server. For sites 
2004                 that use Windows NT account databases as their primary user database 
2005                 creating these users and keeping the user list in sync with the 
2006                 Windows NT PDC is an onerous task. This option allows <command>
2007                 smbd</command> to delete the required UNIX users <emphasis>ON 
2008                 DEMAND</emphasis> when a user accesses the Samba server and the 
2009                 Windows NT user no longer exists.</para>
2010                 
2011                 <para>In order to use this option, <command>smbd</command> must be 
2012                 set to <parameter>security = domain</parameter> and <parameter>delete 
2013                 user script</parameter> must be set to a full pathname for a script 
2014                 that will delete a UNIX user given one argument of <parameter>%u
2015                 </parameter>, which expands into the UNIX user name to delete.
2016                 <emphasis>NOTE</emphasis> that this is different to the <link
2017                 linkend="ADDUSERSCRIPT"><parameter>add user script</parameter></link>
2018                 which will work with the <parameter>security = server</parameter> option 
2019                 as well as <parameter>security = domain</parameter>. The reason for this
2020                 is only when Samba is a domain member does it get the information
2021                 on an attempted user logon that a user no longer exists. In the
2022                 <parameter>security = server</parameter> mode a missing user
2023                 is treated the same as an invalid password logon attempt. Deleting
2024                 the user in this circumstance would not be a good idea.</para>
2025
2026                 <para>When the Windows user attempts to access the Samba server, 
2027                 at <emphasis>login</emphasis> (session setup in the SMB protocol) 
2028                 time, <command>smbd</command> contacts the <link linkend="PASSWORDSERVER">
2029                 <parameter>password server</parameter></link> and attempts to authenticate 
2030                 the given user with the given password. If the authentication fails 
2031                 with the specific Domain error code meaning that the user no longer 
2032                 exists then <command>smbd</command> attempts to find a UNIX user in 
2033                 the UNIX password database that matches the Windows user account. If 
2034                 this lookup succeeds, and <parameter>delete user script</parameter> is 
2035                 set then <command>smbd</command> will all the specified script 
2036                 <emphasis>AS ROOT</emphasis>, expanding any <parameter>%u</parameter> 
2037                 argument to be the user name to delete.</para>
2038
2039                 <para>This script should delete the given UNIX username. In this way, 
2040                 UNIX users are dynamically deleted to match existing Windows NT 
2041                 accounts.</para>
2042
2043                 <para>See also <link linkend="SECURITYEQUALSDOMAIN">security = domain</link>,
2044                 <link linkend="PASSWORDSERVER"><parameter>password server</parameter>
2045                 </link>, <link linkend="ADDUSERSCRIPT"><parameter>add user script</parameter>
2046                 </link>.</para>
2047
2048                 <para>Default: <command>delete user script = &lt;empty string&gt;
2049                 </command></para>
2050                 <para>Example: <command>delete user script = /usr/local/samba/bin/del_user 
2051                 %u</command></para></listitem>
2052                 </varlistentry>
2053
2054
2055
2056
2057
2058                 <varlistentry>
2059                 <term><anchor id="DELETEVETOFILES">delete veto files (S)</term>
2060                 <listitem><para>This option is used when Samba is attempting to 
2061                 delete a directory that contains one or more vetoed directories 
2062                 (see the <link linkend="VETOFILES"><parameter>veto files</parameter></link>
2063                 option).  If this option is set to <constant>false</constant> (the default) then if a vetoed 
2064                 directory contains any non-vetoed files or directories then the 
2065                 directory delete will fail. This is usually what you want.</para>
2066
2067                 <para>If this option is set to <constant>true</constant>, then Samba 
2068                 will attempt to recursively delete any files and directories within 
2069                 the vetoed directory. This can be useful for integration with file 
2070                 serving systems such as NetAtalk which create meta-files within 
2071                 directories you might normally veto DOS/Windows users from seeing 
2072                 (e.g. <filename>.AppleDouble</filename>)</para>
2073
2074                 <para>Setting <command>delete veto files = yes</command> allows these 
2075                 directories to be  transparently deleted when the parent directory 
2076                 is deleted (so long as the user has permissions to do so).</para>
2077
2078                 <para>See also the <link linkend="VETOFILES"><parameter>veto 
2079                 files</parameter></link> parameter.</para>
2080
2081                 <para>Default: <command>delete veto files = no</command></para></listitem>
2082                 </varlistentry>
2083
2084
2085
2086
2087                 <varlistentry>
2088                 <term><anchor id="DENYHOSTS">deny hosts (S)</term>
2089                 <listitem><para>Synonym for <link linkend="HOSTSDENY"><parameter>hosts 
2090                 deny</parameter></link>.</para></listitem>
2091                 </varlistentry>
2092
2093                 
2094                 
2095                 
2096                 <varlistentry>
2097                 <term><anchor id="DFREECOMMAND">dfree command (G)</term>
2098                 <listitem><para>The <parameter>dfree command</parameter> setting should 
2099                 only be used on systems where a problem occurs with the internal 
2100                 disk space calculations. This has been known to happen with Ultrix, 
2101                 but may occur with other operating systems. The symptom that was 
2102                 seen was an error of "Abort Retry Ignore" at the end of each 
2103                 directory listing.</para>
2104                 
2105                 <para>This setting allows the replacement of the internal routines to
2106                 calculate the total disk space and amount available with an external
2107                 routine. The example below gives a possible script that might fulfill
2108                 this function.</para>
2109
2110                 <para>The external program will be passed a single parameter indicating 
2111                 a directory in the filesystem being queried. This will typically consist
2112                 of the string <filename>./</filename>. The script should return two 
2113                 integers in ASCII. The first should be the total disk space in blocks, 
2114                 and the second should be the number of available blocks. An optional 
2115                 third return value can give the block size in bytes. The default 
2116                 blocksize is 1024 bytes.</para>
2117
2118                 <para>Note: Your script should <emphasis>NOT</emphasis> be setuid or 
2119                 setgid and should be owned by (and writeable only by) root!</para>
2120
2121                 <para>Default: <emphasis>By default internal routines for 
2122                 determining the disk capacity and remaining space will be used.
2123                 </emphasis></para>
2124
2125                 <para>Example: <command>dfree command = /usr/local/samba/bin/dfree
2126                 </command></para>
2127
2128                 <para>Where the script dfree (which must be made executable) could be:</para>
2129
2130                 <para><programlisting> 
2131                 #!/bin/sh
2132                 df $1 | tail -1 | awk '{print $2" "$4}'
2133                 </programlisting></para>
2134
2135                 <para>or perhaps (on Sys V based systems):</para>
2136
2137                 <para><programlisting> 
2138                 #!/bin/sh
2139                 /usr/bin/df -k $1 | tail -1 | awk '{print $3" "$5}'
2140                 </programlisting></para>
2141                 
2142                 <para>Note that you may have to replace the command names 
2143                 with full path names on some systems.</para>
2144                 </listitem>
2145                 </varlistentry>
2146                 
2147                 
2148                 
2149                 
2150                 <varlistentry>
2151                 <term><anchor id="DIRECTORY">directory (S)</term>
2152                 <listitem><para>Synonym for <link linkend="PATH"><parameter>path
2153                 </parameter></link>.</para></listitem>
2154                 </varlistentry>
2155                 
2156                 
2157                 
2158                 <varlistentry>
2159                 <term><anchor id="DIRECTORYMASK">directory mask (S)</term>
2160                 <listitem><para>This parameter is the octal modes which are 
2161                 used when converting DOS modes to UNIX modes when creating UNIX 
2162                 directories.</para>
2163
2164                 <para>When a directory is created, the necessary permissions are 
2165                 calculated according to the mapping from DOS modes to UNIX permissions, 
2166                 and the resulting UNIX mode is then bit-wise 'AND'ed with this 
2167                 parameter. This parameter may be thought of as a bit-wise MASK for 
2168                 the UNIX modes of a directory. Any bit <emphasis>not</emphasis> set 
2169                 here will be removed from the modes set on a directory when it is 
2170                 created.</para>
2171
2172                 <para>The default value of this parameter removes the 'group' 
2173                 and 'other' write bits from the UNIX mode, allowing only the 
2174                 user who owns the directory to modify it.</para>
2175                 
2176                 <para>Following this Samba will bit-wise 'OR' the UNIX mode 
2177                 created from this parameter with the value of the <link
2178                 linkend="FORCEDIRECTORYMODE"><parameter>force directory mode
2179                 </parameter></link> parameter. This parameter is set to 000 by 
2180                 default (i.e. no extra mode bits are added).</para>
2181
2182                 <para>Note that this parameter does not apply to permissions
2183                 set by Windows NT/2000 ACL editors. If the administrator wishes to enforce
2184                 a mask on access control lists also, they need to set the <link 
2185                 linkend="DIRECTORYSECURITYMASK"><parameter>directory security mask</parameter></link>.</para>
2186
2187                 <para>See the <link linkend="FORCEDIRECTORYMODE"><parameter>force 
2188                 directory mode</parameter></link> parameter to cause particular mode 
2189                 bits to always be set on created directories.</para>
2190
2191                 <para>See also the <link linkend="CREATEMODE"><parameter>create mode
2192                 </parameter></link> parameter for masking mode bits on created files, 
2193                 and the <link linkend="DIRECTORYSECURITYMASK"><parameter>directory 
2194                 security mask</parameter></link> parameter.</para>
2195
2196                 <para>Also refer to the <link linkend="INHERITPERMISSIONS"><parameter>
2197                 inherit permissions</parameter></link> parameter.</para>
2198
2199                 <para>Default: <command>directory mask = 0755</command></para>
2200                 <para>Example: <command>directory mask = 0775</command></para>
2201                 </listitem>
2202                 </varlistentry>
2203
2204
2205
2206                 <varlistentry>
2207                 <term><anchor id="DIRECTORYMODE">directory mode (S)</term>
2208                 <listitem><para>Synonym for <link linkend="DIRECTORYMASK"><parameter>
2209                 directory mask</parameter></link></para></listitem>
2210                 </varlistentry>
2211                 
2212                 
2213                 
2214                 <varlistentry>
2215                 <term><anchor id="DIRECTORYSECURITYMASK">directory security mask (S)</term>
2216                 <listitem><para>This parameter controls what UNIX permission bits 
2217                 can be modified when a Windows NT client is manipulating the UNIX 
2218                 permission on a directory using the native NT security dialog 
2219                 box.</para>
2220
2221                 <para>This parameter is applied as a mask (AND'ed with) to 
2222                 the changed permission bits, thus preventing any bits not in 
2223                 this mask from being modified. Essentially, zero bits in this 
2224                 mask may be treated as a set of bits the user is not allowed 
2225                 to change.</para>
2226
2227                 <para>If not set explicitly this parameter is set to 0777
2228                 meaning a user is allowed to modify all the user/group/world
2229                 permissions on a directory.</para>
2230
2231                 <para><emphasis>Note</emphasis> that users who can access the 
2232                 Samba server through other means can easily bypass this restriction, 
2233                 so it is primarily useful for standalone "appliance" systems.  
2234                 Administrators of most normal systems will probably want to leave
2235                 it as the default of <constant>0777</constant>.</para>
2236
2237                 <para>See also the <link linkend="FORCEDIRECTORYSECURITYMODE"><parameter>
2238                 force directory security mode</parameter></link>, <link
2239                 linkend="SECURITYMASK"><parameter>security mask</parameter></link>, 
2240                 <link linkend="FORCESECURITYMODE"><parameter>force security mode
2241                 </parameter></link> parameters.</para>
2242
2243                 <para>Default: <command>directory security mask = 0777</command></para>
2244                 <para>Example: <command>directory security mask = 0700</command></para>
2245                 </listitem>
2246                 </varlistentry>
2247
2248
2249
2250                 <varlistentry>
2251                 <term><anchor id="DISABLESPOOLSS">disable spoolss (G)</term>
2252                 <listitem><para>Enabling this parameter will disables Samba's support
2253                 for the SPOOLSS set of MS-RPC's and will yield identical behavior
2254                 as Samba 2.0.x.  Windows NT/2000 clients will downgrade to using
2255                 Lanman style printing commands. Windows 9x/ME will be uneffected by
2256                 the parameter. However, this will also disable the ability to upload
2257                 printer drivers to a Samba server via the Windows NT Add Printer
2258                 Wizard or by using the NT printer properties dialog window.  It will
2259                 also disable the capability of Windows NT/2000 clients to download
2260                 print drivers from the Samba host upon demand.
2261                 <emphasis>Be very careful about enabling this parameter.</emphasis>
2262                 </para>
2263
2264                 <para>See also <link linkend="USECLIENTDRIVER">use client driver</link>
2265                 </para>
2266  
2267                 <para>Default : <command>disable spoolss = no</command></para>
2268                 </listitem>
2269                 </varlistentry>
2270                 
2271                 
2272                 
2273                 <varlistentry>
2274                 <term><anchor id="DNSPROXY">dns proxy (G)</term>
2275                 <listitem><para>Specifies that <ulink url="nmbd.8.html">nmbd(8)</ulink> 
2276                 when acting as a WINS server and finding that a NetBIOS name has not 
2277                 been registered, should treat the NetBIOS name word-for-word as a DNS 
2278                 name and do a lookup with the DNS server for that name on behalf of 
2279                 the name-querying client.</para>
2280
2281                 <para>Note that the maximum length for a NetBIOS name is 15 
2282                 characters, so the DNS name (or DNS alias) can likewise only be 
2283                 15 characters, maximum.</para>
2284
2285                 <para><command>nmbd</command> spawns a second copy of itself to do the
2286                 DNS name lookup requests, as doing a name lookup is a blocking 
2287                 action.</para>
2288
2289                 <para>See also the parameter <link linkend="WINSSUPPORT"><parameter>
2290                 wins support</parameter></link>.</para>
2291
2292                 <para>Default: <command>dns proxy = yes</command></para></listitem>
2293                 </varlistentry>
2294
2295
2296
2297                 <varlistentry>
2298                 <term><anchor id="DOMAINADMINGROUP">domain admin group (G)</term>
2299                 <listitem><para>This parameter is intended as a temporary solution
2300                 to enable users to be a member of the "Domain Admins" group when 
2301                 a Samba host is acting as a PDC.  A complete solution will be provided
2302                 by a system for mapping Windows NT/2000 groups onto UNIX groups.
2303                 Please note that this parameter has a somewhat confusing name.  It 
2304                 accepts a list of usernames and of group names in standard 
2305                 <filename>smb.conf</filename>   notation.
2306                 </para>
2307                 
2308                 <para>See also <link linkend="DOMAINGUESTGROUP"><parameter>domain
2309                 guest group</parameter></link>, <link linkend="DOMAINLOGONS"><parameter>domain
2310                 logons</parameter></link>
2311                 </para>
2312                 
2313                 <para>Default: <emphasis>no domain administrators</emphasis></para>
2314                 <para>Example: <command>domain admin group = root @wheel</command></para>
2315                 </listitem>
2316                 </varlistentry>
2317
2318
2319
2320
2321                 <varlistentry>
2322                 <term><anchor id="DOMAINGUESTGROUP">domain guest group (G)</term>
2323                 <listitem><para>This parameter is intended as a temporary solution
2324                 to enable users to be a member of the "Domain Guests" group when 
2325                 a Samba host is acting as a PDC.  A complete solution will be provided
2326                 by a system for mapping Windows NT/2000 groups onto UNIX groups.
2327                 Please note that this parameter has a somewhat confusing name.  It 
2328                 accepts a list of usernames and of group names in standard 
2329                 <filename>smb.conf</filename>   notation.
2330                 </para>
2331                 
2332                 <para>See also <link linkend="DOMAINADMINGROUP"><parameter>domain
2333                 admin group</parameter></link>, <link linkend="DOMAINLOGONS"><parameter>domain
2334                 logons</parameter></link>
2335                 </para>         
2336                 
2337                 <para>Default: <emphasis>no domain guests</emphasis></para>
2338                 <para>Example: <command>domain guest group = nobody @guest</command></para>
2339                 </listitem>
2340                 </varlistentry>
2341
2342
2343                 <varlistentry>
2344                 <term><anchor id="DOMAINLOGONS">domain logons (G)</term>
2345                 <listitem><para>If set to <constant>true</constant>, the Samba server will serve 
2346                 Windows 95/98 Domain logons for the <link linkend="WORKGROUP">
2347                 <parameter>workgroup</parameter></link> it is in. Samba 2.2 also 
2348                 has limited capability to act as a domain controller for Windows 
2349                 NT 4 Domains.  For more details on setting up this feature see 
2350                 the Samba-PDC-HOWTO included in the <filename>htmldocs/</filename>
2351                 directory shipped with the source code.</para>
2352                 
2353                 <para>Default: <command>domain logons = no</command></para></listitem>
2354                 </varlistentry>
2355                 
2356                 
2357                 
2358                 <varlistentry>
2359                 <term><anchor id="DOMAINMASTER">domain master (G)</term>
2360                 <listitem><para>Tell <ulink url="nmbd.8.html"><command>
2361                 nmbd(8)</command></ulink> to enable WAN-wide browse list
2362                 collation. Setting this option causes <command>nmbd</command> to
2363                 claim a special domain specific NetBIOS name that identifies 
2364                 it as a domain master browser for its given <link linkend="WORKGROUP">
2365                 <parameter>workgroup</parameter></link>. Local master browsers 
2366                 in the same <parameter>workgroup</parameter> on broadcast-isolated 
2367                 subnets will give this <command>nmbd</command> their local browse lists, 
2368                 and then ask <ulink url="smbd.8.html"><command>smbd(8)</command></ulink> 
2369                 for a complete copy of the browse list for the whole wide area 
2370                 network.  Browser clients will then contact their local master browser, 
2371                 and will receive the domain-wide browse list, instead of just the list 
2372                 for their broadcast-isolated subnet.</para>
2373
2374                 <para>Note that Windows NT Primary Domain Controllers expect to be 
2375                 able to claim this <parameter>workgroup</parameter> specific special 
2376                 NetBIOS name that identifies them as domain master browsers for 
2377                 that <parameter>workgroup</parameter> by default (i.e. there is no 
2378                 way to prevent a Windows NT PDC from attempting to do this). This 
2379                 means that if this parameter is set and <command>nmbd</command> claims 
2380                 the special name for a <parameter>workgroup</parameter> before a Windows 
2381                 NT PDC is able to do so then cross subnet browsing will behave 
2382                 strangely and may fail.</para>
2383                 
2384                 <para>If <link linkend="DOMAINLOGONS"><command>domain logons = yes</command>
2385                 </link>, then the default behavior is to enable the <parameter>domain 
2386                 master</parameter> parameter.  If <parameter>domain logons</parameter> is 
2387                 not enabled (the default setting), then neither will <parameter>domain 
2388                 master</parameter> be enabled by default.</para>
2389
2390                 <para>Default: <command>domain master = auto</command></para></listitem>
2391                 </varlistentry>
2392                 
2393                 
2394                 
2395                 
2396                 <varlistentry>
2397                 <term><anchor id="DONTDESCEND">dont descend (S)</term>
2398                 <listitem><para>There are certain directories on some systems 
2399                 (e.g., the <filename>/proc</filename> tree under Linux) that are either not 
2400                 of interest to clients or are infinitely deep (recursive). This 
2401                 parameter allows you to specify a comma-delimited list of directories 
2402                 that the server should always show as empty.</para>
2403
2404                 <para>Note that Samba can be very fussy about the exact format 
2405                 of the "dont descend" entries. For example you may need <filename>
2406                 ./proc</filename> instead of just <filename>/proc</filename>. 
2407                 Experimentation is the best policy :-)  </para>
2408                 
2409                 <para>Default: <emphasis>none (i.e., all directories are OK 
2410                 to descend)</emphasis></para>
2411                 <para>Example: <command>dont descend = /proc,/dev</command></para>
2412                 </listitem>
2413                 </varlistentry>
2414                 
2415
2416
2417                 <varlistentry>
2418                 <term><anchor id="DOSFILEMODE">dos filemode (S)</term>
2419                 <listitem><para> The default behavior in Samba is to provide 
2420                 UNIX-like behavior where only the owner of a file/directory is 
2421                 able to change the permissions on it.  However, this behavior
2422                 is often confusing to  DOS/Windows users.  Enabling this parameter 
2423                 allows a user who has write access to the file (by whatever 
2424                 means) to modify the permissions on it.  Note that a user
2425                 belonging to the group owning the file will not be allowed to
2426                 change permissions if the group is only granted read access.
2427                 Ownership of the file/directory is not changed, only the permissions 
2428                 are modified.</para>
2429                 
2430                 <para>Default: <command>dos filemode = no</command></para>
2431                 </listitem>
2432                 </varlistentry>
2433
2434                 
2435                 
2436                 <varlistentry>
2437                 <term><anchor id="DOSFILETIMERESOLUTION">dos filetime resolution (S)</term>
2438                 <listitem><para>Under the DOS and Windows FAT filesystem, the finest 
2439                 granularity on time resolution is two seconds. Setting this parameter 
2440                 for a share causes Samba to round the reported time down to the 
2441                 nearest two second boundary when a query call that requires one second 
2442                 resolution is made to <ulink url="smbd.8.html"><command>smbd(8)</command>
2443                 </ulink>.</para>
2444
2445                 <para>This option is mainly used as a compatibility option for Visual 
2446                 C++ when used against Samba shares. If oplocks are enabled on a 
2447                 share, Visual C++ uses two different time reading calls to check if a 
2448                 file has changed since it was last read. One of these calls uses a
2449                 one-second granularity, the other uses a two second granularity. As
2450                 the two second call rounds any odd second down, then if the file has a
2451                 timestamp of an odd number of seconds then the two timestamps will not
2452                 match and Visual C++ will keep reporting the file has changed. Setting
2453                 this option causes the two timestamps to match, and Visual C++ is
2454                 happy.</para>
2455
2456                 <para>Default: <command>dos filetime resolution = no</command></para>
2457                 </listitem>
2458                 </varlistentry>
2459
2460
2461
2462                 <varlistentry>
2463                 <term><anchor id="DOSFILETIMES">dos filetimes (S)</term>
2464                 <listitem><para>Under DOS and Windows, if a user can write to a 
2465                 file they can change the timestamp on it. Under POSIX semantics, 
2466                 only the owner of the file or root may change the timestamp. By 
2467                 default, Samba runs with POSIX semantics and refuses to change the 
2468                 timestamp on a file if the user <command>smbd</command> is acting 
2469                 on behalf of is not the file owner. Setting this option to <constant>
2470                 true</constant> allows DOS semantics and <ulink url="smbd.8.html">smbd</ulink> will change the file 
2471                 timestamp as DOS requires.</para>
2472
2473                 <para>Default: <command>dos filetimes = no</command></para></listitem>
2474                 </varlistentry>
2475
2476                 
2477
2478                 <varlistentry>
2479                 <term><anchor id="ENCRYPTPASSWORDS">encrypt passwords (G)</term>
2480                 <listitem><para>This boolean controls whether encrypted passwords 
2481                 will be negotiated with the client. Note that Windows NT 4.0 SP3 and 
2482                 above and also Windows 98 will by default expect encrypted passwords 
2483                 unless a registry entry is changed. To use encrypted passwords in 
2484                 Samba see the file ENCRYPTION.txt in the Samba documentation 
2485                 directory <filename>docs/</filename> shipped with the source code.</para>
2486
2487                 <para>In order for encrypted passwords to work correctly
2488                 <ulink url="smbd.8.html"><command>smbd(8)</command></ulink> must either 
2489                 have access to a local <ulink url="smbpasswd.5.html"><filename>smbpasswd(5)
2490                 </filename></ulink> file (see the <ulink url="smbpasswd.8.html"><command>
2491                 smbpasswd(8)</command></ulink> program for information on how to set up 
2492                 and maintain this file), or set the <link
2493                 linkend="SECURITY">security = [server|domain]</link> parameter which 
2494                 causes <command>smbd</command> to authenticate against another 
2495                 server.</para>
2496                 
2497                 <para>Default: <command>encrypt passwords = yes</command></para></listitem>
2498                 </varlistentry>
2499
2500
2501                 <varlistentry>
2502                 <term><anchor id="ENHANCEDBROWSING">enhanced browsing (G)</term>
2503                 <listitem><para>This option enables a couple of enhancements to 
2504                 cross-subnet browse propagation that have been added in Samba 
2505                 but which are not standard in Microsoft implementations.  
2506                 </para>
2507
2508                 <para>The first enhancement to browse propagation consists of a regular
2509                 wildcard query to a Samba WINS server for all Domain Master Browsers,
2510                 followed by a browse synchronization with each of the returned
2511                 DMBs. The second enhancement consists of a regular randomised browse
2512                 synchronization with all currently known DMBs.</para>
2513
2514                 <para>You may wish to disable this option if you have a problem with empty
2515                 workgroups not disappearing from browse lists. Due to the restrictions
2516                 of the browse protocols these enhancements can cause a empty workgroup
2517                 to stay around forever which can be annoying.</para>
2518
2519                 <para>In general you should leave this option enabled as it makes
2520                 cross-subnet browse propagation much more reliable.</para>
2521
2522                 <para>Default: <command>enhanced browsing = yes</command></para>
2523                 </listitem>
2524                 </varlistentry>
2525
2526
2527                 <varlistentry>
2528                 <term><anchor id="ENUMPORTSCOMMAND">enumports command (G)</term>
2529                 <listitem><para>The concept of a "port" is fairly foreign
2530                 to UNIX hosts.  Under Windows NT/2000 print servers, a port
2531                 is associated with a port monitor and generally takes the form of
2532                 a local port (i.e. LPT1:, COM1:, FILE:) or a remote port
2533                 (i.e. LPD Port Monitor, etc...).  By default, Samba has only one
2534                 port defined--<constant>"Samba Printer Port"</constant>.  Under 
2535                 Windows NT/2000, all printers must have a valid port name.  
2536                 If you wish to have a list of ports displayed (<command>smbd
2537                 </command> does not use a port name for anything) other than 
2538                 the default <constant>"Samba Printer Port"</constant>, you 
2539                 can define <parameter>enumports command</parameter> to point to
2540                 a program which should generate a list of ports, one per line,
2541                 to standard output.  This listing will then be used in response
2542                 to the level 1 and 2 EnumPorts() RPC.</para>
2543                 
2544                 <para>Default: <emphasis>no enumports command</emphasis></para>
2545                 <para>Example: <command>enumports command = /usr/bin/listports
2546                 </command></para>
2547                 </listitem>
2548                 </varlistentry>
2549                 
2550                 <varlistentry>
2551                 <term><anchor id="EXEC">exec (S)</term>
2552                 <listitem><para>This is a synonym for <link linkend="PREEXEC">
2553                 <parameter>preexec</parameter></link>.</para></listitem>
2554                 </varlistentry>
2555
2556
2557
2558                 <varlistentry>
2559                 <term><anchor id="FAKEDIRECTORYCREATETIMES">fake directory create times (S)</term>
2560                 <listitem><para>NTFS and Windows VFAT file systems keep a create 
2561                 time for all files and directories. This is not the same as the 
2562                 ctime - status change time - that Unix keeps, so Samba by default 
2563                 reports the earliest of the various times Unix does keep. Setting 
2564                 this parameter for a share causes Samba to always report midnight 
2565                 1-1-1980 as the create time for directories.</para>
2566
2567                 <para>This option is mainly used as a compatibility option for 
2568                 Visual C++ when used against Samba shares. Visual C++ generated 
2569                 makefiles have the object directory as a dependency for each object 
2570                 file, and a make rule to create the directory. Also, when NMAKE 
2571                 compares timestamps it uses the creation time when examining a 
2572                 directory. Thus the object directory will be created if it does not 
2573                 exist, but once it does exist it will always have an earlier 
2574                 timestamp than the object files it contains.</para>
2575
2576                 <para>However, Unix time semantics mean that the create time 
2577                 reported by Samba will be updated whenever a file is created or 
2578                 or deleted in the directory.  NMAKE finds all object files in 
2579                 the object directory.  The timestamp of the last one built is then 
2580                 compared to the timestamp of the object directory.  If the 
2581                 directory's timestamp if newer, then all object files
2582                 will be rebuilt.  Enabling this option 
2583                 ensures directories always predate their contents and an NMAKE build 
2584                 will proceed as expected.</para>
2585
2586                 <para>Default: <command>fake directory create times = no</command></para>
2587                 </listitem>
2588                 </varlistentry>
2589
2590
2591
2592                 <varlistentry>
2593                 <term><anchor id="FAKEOPLOCKS">fake oplocks (S)</term>
2594                 <listitem><para>Oplocks are the way that SMB clients get permission 
2595                 from a server to locally cache file operations. If a server grants 
2596                 an oplock (opportunistic lock) then the client is free to assume 
2597                 that it is the only one accessing the file and it will aggressively 
2598                 cache file data. With some oplock types the client may even cache 
2599                 file open/close operations. This can give enormous performance benefits.
2600                 </para>
2601
2602                 <para>When you set <command>fake oplocks = yes</command>, <ulink 
2603                 url="smbd.8.html"><command>smbd(8)</command></ulink> will
2604                 always grant oplock requests no matter how many clients are using 
2605                 the file.</para>
2606
2607                 <para>It is generally much better to use the real <link 
2608                 linkend="OPLOCKS"><parameter>oplocks</parameter></link> support rather 
2609                 than this parameter.</para>
2610                 
2611                 <para>If you enable this option on all read-only shares or 
2612                 shares that you know will only be accessed from one client at a 
2613                 time such as physically read-only media like CDROMs, you will see 
2614                 a big performance improvement on many operations. If you enable 
2615                 this option on shares where multiple clients may be accessing the 
2616                 files read-write at the same time you can get data corruption. Use 
2617                 this option carefully!</para>
2618                 
2619                 <para>Default: <command>fake oplocks = no</command></para></listitem>
2620                 </varlistentry>
2621
2622
2623
2624                 <varlistentry>
2625                 <term><anchor id="FOLLOWSYMLINKS">follow symlinks (S)</term>
2626                 <listitem><para>This parameter allows the Samba administrator 
2627                 to stop <ulink url="smbd.8.html"><command>smbd(8)</command></ulink> 
2628                 from following symbolic links in a particular share. Setting this 
2629                 parameter to <constant>no</constant> prevents any file or directory 
2630                 that is a symbolic link from being followed (the user will get an 
2631                 error).  This option is very useful to stop users from adding a 
2632                 symbolic link to <filename>/etc/passwd</filename> in their home 
2633                 directory for instance.  However it will slow filename lookups 
2634                 down slightly.</para>
2635
2636                 <para>This option is enabled (i.e. <command>smbd</command> will 
2637                 follow symbolic links) by default.</para>
2638                 
2639                 <para>Default: <command>follow symlinks = yes</command></para></listitem>
2640                 </varlistentry>
2641                 
2642                 
2643                 
2644                 <varlistentry>
2645                 <term><anchor id="FORCECREATEMODE">force create mode (S)</term>
2646                 <listitem><para>This parameter specifies a set of UNIX mode bit 
2647                 permissions that will <emphasis>always</emphasis> be set on a 
2648                 file created by Samba. This is done by bitwise 'OR'ing these bits onto 
2649                 the mode bits of a file that is being created or having its