Changes from APPLIANCE_HEAD:
[ira/wip.git] / docs / htmldocs / smb.conf.5.html
7 <html><head><title>smb.conf (5)</title>
9 <link rev="made" href="">
10 </head>
11 <body>
13 <hr>
15 <h1>smb.conf (5)</h1>
16 <h2>Samba</h2>
17 <h2>23 Oct 1998</h2>
21 <p><a name="NAME"></a>
22 <h2>NAME</h2>
23     smb.conf - The configuration file for the Samba suite
24 <p><a name="SYNOPSIS"></a>
25 <h2>SYNOPSIS</h2>
27 <p><strong>smb.conf</strong> The <strong>smb.conf</strong> file is a configuration file for the
28 Samba suite. <strong>smb.conf</strong> contains runtime configuration information
29 for the Samba programs. The <strong>smb.conf</strong> file is designed to be
30 configured and administered by the <a href="swat.8.html"><strong>swat (8)</strong></a>
31 program. The complete description of the file format and possible
32 parameters held within are here for reference purposes.
33 <p><a name="FILEFORMAT"></a>
34 <h2>FILE FORMAT</h2>
36 <p>The file consists of sections and parameters. A section begins with
37 the name of the section in square brackets and continues until the
38 next section begins. Sections contain parameters of the form 
39 <p><code>'name = value'</code>
40 <p>The file is line-based - that is, each newline-terminated line
41 represents either a comment, a section name or a parameter.
42 <p>Section and parameter names are not case sensitive.
43 <p>Only the first equals sign in a parameter is significant. Whitespace
44 before or after the first equals sign is discarded. Leading, trailing
45 and internal whitespace in section and parameter names is
46 irrelevant. Leading and trailing whitespace in a parameter value is
47 discarded. Internal whitespace within a parameter value is retained
48 verbatim.
49 <p>Any line beginning with a semicolon (';') or a hash ('#') character is
50 ignored, as are lines containing only whitespace.
51 <p>Any line ending in a <code>'\'</code> is "continued" on the next line in the
52 customary UNIX fashion.
53 <p>The values following the equals sign in parameters are all either a
54 string (no quotes needed) or a boolean, which may be given as yes/no,
55 0/1 or true/false. Case is not significant in boolean values, but is
56 preserved in string values. Some items such as create modes are
57 numeric.
58 <p><a name="SECTIONDESCRIPTIONS"></a>
61 <p>Each section in the configuration file (except for the
62 <a href="smb.conf.5.html#global"><strong>[global]</strong></a> section) describes a shared resource (known
63 as a <em>"share"</em>). The section name is the name of the shared resource
64 and the parameters within the section define the shares attributes.
65 <p>There are three special sections, <a href="smb.conf.5.html#global"><strong>[global]</strong></a>,
66 <a href="smb.conf.5.html#homes"><strong>[homes]</strong></a> and <a href="smb.conf.5.html#printers"><strong>[printers]</strong></a>, which are
67 described under <a href="smb.conf.5.html#SPECIALSECTIONS"><strong>'special sections'</strong></a>. The
68 following notes apply to ordinary section descriptions.
69 <p>A share consists of a directory to which access is being given plus
70 a description of the access rights which are granted to the user of
71 the service. Some housekeeping options are also specifiable.
72 <p>Sections are either filespace services (used by the client as an
73 extension of their native file systems) or printable services (used by
74 the client to access print services on the host running the server).
75 <p>Sections may be designated <a href="smb.conf.5.html#guestok"><strong>guest</strong></a> services, in which
76 case no password is required to access them. A specified UNIX
77 <a href="smb.conf.5.html#guestaccount"><strong>guest account</strong></a> is used to define access
78 privileges in this case.
79 <p>Sections other than guest services will require a password to access
80 them. The client provides the username. As older clients only provide
81 passwords and not usernames, you may specify a list of usernames to
82 check against the password using the <a href="smb.conf.5.html#user"><strong>"user="</strong></a> option in
83 the share definition. For modern clients such as Windows 95/98 and
84 Windows NT, this should not be necessary.
85 <p>Note that the access rights granted by the server are masked by the
86 access rights granted to the specified or guest UNIX user by the host
87 system. The server does not grant more access than the host system
88 grants.
89 <p>The following sample section defines a file space share. The user has
90 write access to the path <code>/home/bar</code>. The share is accessed via
91 the share name "foo":
92 <p><pre>
95         [foo]
96                 path = /home/bar
97                 writeable = true
100 </pre>
102 <p>The following sample section defines a printable share. The share
103 is readonly, but printable. That is, the only write access permitted
104 is via calls to open, write to and close a spool file. The
105 <a href="smb.conf.5.html#guestok"><strong>'guest ok'</strong></a> parameter means access will be permitted
106 as the default guest user (specified elsewhere):
107 <p><pre>
109         [aprinter]
110                 path = /usr/spool/public
111                 writeable = false
112                 printable = true
113                 guest ok = true
115 </pre>
117 <p><a name="SPECIALSECTIONS"></a>
120 <p><dl>
121 <p><a name="global"></a>
122 <p></p><dt><strong><strong>The [global] section</strong></strong><dd>
123 <p>Parameters in this section apply to the server as a whole, or are
124 defaults for sections which do not specifically define certain
125 items. See the notes under <a href="smb.conf.5.html#PARAMETERS"><strong>'PARAMETERS'</strong></a> for more
126 information.
127 <p><a name="homes"></a>
128 <p></p><dt><strong><strong>The [homes] section</strong></strong><dd>
129 <p>If a section called <code>'homes'</code> is included in the configuration file,
130 services connecting clients to their home directories can be created
131 on the fly by the server.
132 <p>When the connection request is made, the existing sections are
133 scanned. If a match is found, it is used. If no match is found, the
134 requested section name is treated as a user name and looked up in the
135 local password file. If the name exists and the correct password has
136 been given, a share is created by cloning the [homes] section.
137 <p>Some modifications are then made to the newly created share:
138 <p><dl>
139 <p><li > The share name is changed from <code>'homes'</code> to the located
140 username
141 <p><li > If no path was given, the path is set to the user's home
142 directory.
143 <p></dl>
144 <p>If you decide to use a <a href="smb.conf.5.html#path"><strong>path=</strong></a> line in your [homes]
145 section then you may find it useful to use the <a href="smb.conf.5.html#percentS"><strong>%S</strong></a>
146 macro. For example :
147 <p><code>path=/data/pchome/%S</code>
148 <p>would be useful if you have different home directories for your PCs
149 than for UNIX access.
150 <p>This is a fast and simple way to give a large number of clients access
151 to their home directories with a minimum of fuss.
152 <p>A similar process occurs if the requested section name is <code>"homes"</code>,
153 except that the share name is not changed to that of the requesting
154 user. This method of using the [homes] section works well if different
155 users share a client PC.
156 <p>The [homes] section can specify all the parameters a normal service
157 section can specify, though some make more sense than others. The
158 following is a typical and suitable [homes] section:
159 <p><pre>
161         [homes]
162                 writeable = yes
164 </pre>
166 <p>An important point is that if guest access is specified in the [homes]
167 section, all home directories will be visible to all clients
168 <strong>without a password</strong>. In the very unlikely event that this is
169 actually desirable, it would be wise to also specify <a href="smb.conf.5.html#readonly"><strong>read only
170 access</strong></a>.
171 <p>Note that the <a href="smb.conf.5.html#browseable"><strong>browseable</strong></a> flag for auto home
172 directories will be inherited from the global browseable flag, not the
173 [homes] browseable flag. This is useful as it means setting
174 browseable=no in the [homes] section will hide the [homes] share but
175 make any auto home directories visible.
176 <p><a name="printers"></a>
177 <p></p><dt><strong><strong>The [printers] section</strong></strong><dd>
178 <p>This section works like <a href="smb.conf.5.html#homes"><strong>[homes]</strong></a>, but for printers.
179 <p>If a <strong>[printers]</strong> section occurs in the configuration file, users are
180 able to connect to any printer specified in the local host's printcap
181 file.
182 <p>When a connection request is made, the existing sections are
183 scanned. If a match is found, it is used. If no match is found, but a
184 <a href="smb.conf.5.html#homes"><strong>[homes]</strong></a> section exists, it is used as described
185 above. Otherwise, the requested section name is treated as a printer
186 name and the appropriate printcap file is scanned to see if the
187 requested section name is a valid printer share name. If a match is
188 found, a new printer share is created by cloning the <strong>[printers]</strong>
189 section.
190 <p>A few modifications are then made to the newly created share:
191 <p><dl>
192 <p><li > The share name is set to the located printer name
193 <p><li > If no printer name was given, the printer name is set to the
194 located printer name
195 <p><li > If the share does not permit guest access and no username was
196 given, the username is set to the located printer name.
197 <p></dl>
198 <p>Note that the <strong>[printers]</strong> service MUST be printable - if you specify
199 otherwise, the server will refuse to load the configuration file.
200 <p>Typically the path specified would be that of a world-writeable spool
201 directory with the sticky bit set on it. A typical <strong>[printers]</strong> entry
202 would look like this:
203 <p><pre>
205         [printers]
206                 path = /usr/spool/public
207                 guest ok = yes
208                 printable = yes 
210 </pre>
212 <p>All aliases given for a printer in the printcap file are legitimate
213 printer names as far as the server is concerned. If your printing
214 subsystem doesn't work like that, you will have to set up a
215 pseudo-printcap. This is a file consisting of one or more lines like
216 this:
217 <p><pre>
218         alias|alias|alias|alias...    
219 </pre>
221 <p>Each alias should be an acceptable printer name for your printing
222 subsystem. In the <a href="smb.conf.5.html#global"><strong>[global]</strong></a> section, specify the new
223 file as your printcap.  The server will then only recognize names
224 found in your pseudo-printcap, which of course can contain whatever
225 aliases you like. The same technique could be used simply to limit
226 access to a subset of your local printers.
227 <p>An alias, by the way, is defined as any component of the first entry
228 of a printcap record. Records are separated by newlines, components
229 (if there are more than one) are separated by vertical bar symbols
230 ("|").
231 <p>NOTE: On SYSV systems which use lpstat to determine what printers are
232 defined on the system you may be able to use <a href="smb.conf.5.html#printcapname"><strong>"printcap name =
233 lpstat"</strong></a> to automatically obtain a list of
234 printers. See the <a href="smb.conf.5.html#printcapname"><strong>"printcap name"</strong></a> option for
235 more details.
236 <p></dl>
237 <p><a name="PARAMETERS"></a>
238 <h2>PARAMETERS</h2>
240 <p>Parameters define the specific attributes of sections.
241 <p>Some parameters are specific to the <a href="smb.conf.5.html#global"><strong>[global]</strong></a> section
242 (e.g., <a href="smb.conf.5.html#security"><strong>security</strong></a>).  Some parameters are usable in
243 all sections (e.g., <a href="smb.conf.5.html#createmode"><strong>create mode</strong></a>). All others are
244 permissible only in normal sections. For the purposes of the following
245 descriptions the <a href="smb.conf.5.html#homes"><strong>[homes]</strong></a> and
246 <a href="smb.conf.5.html#printers"><strong>[printers]</strong></a> sections will be considered normal.
247 The letter <code>'G'</code> in parentheses indicates that a parameter is
248 specific to the <a href="smb.conf.5.html#global"><strong>[global]</strong></a> section. The letter <code>'S'</code>
249 indicates that a parameter can be specified in a service specific
250 section. Note that all <code>'S'</code> parameters can also be specified in the
251 <a href="smb.conf.5.html#global"><strong>[global]</strong></a> section - in which case they will define
252 the default behavior for all services.
253 <p>Parameters are arranged here in alphabetical order - this may not
254 create best bedfellows, but at least you can find them! Where there
255 are synonyms, the preferred synonym is described, others refer to the
256 preferred synonym.
257 <p><a name="VARIABLESUBSTITUTIONS"></a>
260 <p>Many of the strings that are settable in the config file can take
261 substitutions. For example the option <a href="smb.conf.5.html#path"><strong><code>"path =
262 /tmp/%u"</code></strong></a> would be interpreted as <code>"path = /tmp/john"</code> if
263 the user connected with the username john.
264 <p>These substitutions are mostly noted in the descriptions below, but
265 there are some general substitutions which apply whenever they might
266 be relevant. These are:
267 <p><dl>
268 <p><a name="percentS"></a> 
269 <li > <strong>%S</strong> = the name of the current service, if any.
270 <p><a name="percentP"></a>
271 <li > <strong>%P</strong> = the root directory of the current service, if any.
272 <p><a name="percentu"></a>
273 <li > <strong>%u</strong> = user name of the current service, if any.
274 <p><a name="percentg"></a>
275 <li > <strong>%g</strong> = primary group name of <a href="smb.conf.5.html#percentu"><strong>%u</strong></a>.
276 <p><a name="percentU"></a> 
277 <li > <strong>%U</strong> = session user name (the user name that
278 the client wanted, not necessarily the same as the one they got).
279 <p><a name="percentG"></a>
280 <li > <strong>%G</strong> = primary group name of <a href="smb.conf.5.html#percentU"><strong>%U</strong></a>.
281 <p><a name="percentH"></a>
282 <li > <strong>%H</strong> = the home directory of the user given by <a href="smb.conf.5.html#percentu"><strong>%u</strong></a>.
283 <p><a name="percentv"></a>
284 <li > <strong>%v</strong> = the Samba version.
285 <p><a name="percenth"></a>
286 <li > <strong>%h</strong> = the internet hostname that Samba is running on.
287 <p><a name="percentm"></a>
288 <li > <strong>%m</strong> = the NetBIOS name of the client machine (very useful).
289 <p><a name="percentL"></a>
290 <li > <strong>%L</strong> = the NetBIOS name of the server. This allows you to change your
291 config based on what the client calls you. Your server can have a "dual
292 personality".
293 <p><a name="percentM"></a> 
294 <li > <strong>%M</strong> = the internet name of the client machine.
295 <p><a name="percentN"></a>
296 <li > <strong>%N</strong> = the name of your NIS home directory server.  This is
297 obtained from your NIS entry.  If you have not compiled Samba
298 with the <strong>--with-automount</strong> option then this value will be the same
299 as <a href="smb.conf.5.html#percentL"><strong>%L</strong></a>.
300 <p><a name="percentp"></a>
301 <li > <strong>%p</strong> = the path of the service's home directory, obtained from your NIS
302 entry. The NIS entry is split up as "%N:%p".
303 <p><a name="percentR"></a> 
304 <li > <strong>%R</strong> = the selected protocol level after protocol
305 negotiation. It can be one of CORE, COREPLUS, LANMAN1, LANMAN2 or NT1.
306 <p><a name="percentd"></a>
307 <li > <strong>%d</strong> = The process id of the current server process.
308 <p><a name="percenta"></a> 
309 <li > <strong>%a</strong> = the architecture of the remote
310 machine. Only some are recognized, and those may not be 100%
311 reliable. It currently recognizes Samba, WfWg, WinNT and
312 Win95. Anything else will be known as "UNKNOWN". If it gets it wrong
313 then sending a level 3 log to <a href=""><em></em></a>
314 should allow it to be fixed.
315 <p><a name="percentI"></a>
316 <li > <strong>%I</strong> = The IP address of the client machine.
317 <p><a name="percentT"></a>
318 <li > <strong>%T</strong> = the current date and time.
319 <p></dl>
320 <p>There are some quite creative things that can be done with these
321 substitutions and other smb.conf options.
322 <p><a name="NAMEMANGLING"></a>
323 <h2>NAME MANGLING</h2>
325 <p>Samba supports <em>"name mangling"</em> so that DOS and Windows clients can
326 use files that don't conform to the 8.3 format. It can also be set to
327 adjust the case of 8.3 format filenames.
328 <p>There are several options that control the way mangling is performed,
329 and they are grouped here rather than listed separately. For the
330 defaults look at the output of the testparm program.
331 <p>All of these options can be set separately for each service (or
332 globally, of course).
333 <p>The options are:
334 <p><a name="manglecaseoption"></a>
335 <strong>"mangle case = yes/no"</strong> controls if names that have characters that
336 aren't of the "default" case are mangled. For example, if this is yes
337 then a name like <code>"Mail"</code> would be mangled. Default <em>no</em>.
338 <p><a name="casesensitiveoption"></a>
339 <strong>"case sensitive = yes/no"</strong> controls whether filenames are case
340 sensitive. If they aren't then Samba must do a filename search and
341 match on passed names. Default <em>no</em>.
342 <p><a name="defaultcaseoption"></a>
343 <strong>"default case = upper/lower"</strong> controls what the default case is for new
344 filenames. Default <em>lower</em>.
345 <p><a name="preservecaseoption"></a>
346 <strong>"preserve case = yes/no"</strong> controls if new files are created with the
347 case that the client passes, or if they are forced to be the <code>"default"</code>
348 case. Default <em>Yes</em>.
349 <p><a name="shortpreservecaseoption"></a>
350 <p><strong>"short preserve case = yes/no"</strong> controls if new files which conform
351 to 8.3 syntax, that is all in upper case and of suitable length, are
352 created upper case, or if they are forced to be the <code>"default"</code>
353 case. This option can be use with <a href="smb.conf.5.html#preservecaseoption"><strong>"preserve case =
354 yes"</strong></a> to permit long filenames to retain their
355 case, while short names are lowered. Default <em>Yes</em>.
356 <p>By default, Samba 2.0 has the same semantics as a Windows NT
357 server, in that it is case insensitive but case preserving.
361 <p>There are a number of ways in which a user can connect to a
362 service. The server follows the following steps in determining if it
363 will allow a connection to a specified service. If all the steps fail
364 then the connection request is rejected. If one of the steps pass then
365 the following steps are not checked.
366 <p>If the service is marked <a href="smb.conf.5.html#guestonly"><strong>"guest only = yes"</strong></a> then
367 steps 1 to 5 are skipped.
368 <p><ol>
369 <p><li> Step 1: If the client has passed a username/password pair and
370 that username/password pair is validated by the UNIX system's password
371 programs then the connection is made as that username. Note that this
372 includes the <code>\\server\service%username</code> method of passing a
373 username.
374 <p><li> Step 2: If the client has previously registered a username with
375 the system and now supplies a correct password for that username then
376 the connection is allowed.
377 <p><li> Step 3: The client's netbios name and any previously used user
378 names are checked against the supplied password, if they match then
379 the connection is allowed as the corresponding user.
380 <p><li> Step 4: If the client has previously validated a
381 username/password pair with the server and the client has passed the
382 validation token then that username is used. 
383 <p><li> Step 5: If a <a href="smb.conf.5.html#user"><strong>"user = "</strong></a> field is given in the
384 smb.conf file for the service and the client has supplied a password,
385 and that password matches (according to the UNIX system's password
386 checking) with one of the usernames from the <a href="smb.conf.5.html#user"><strong>user=</strong></a>
387 field then the connection is made as the username in the
388 <a href="smb.conf.5.html#user"><strong>"user="</strong></a> line. If one of the username in the
389 <a href="smb.conf.5.html#user"><strong>user=</strong></a> list begins with a <code>'@'</code> then that name
390 expands to a list of names in the group of the same name.
391 <p><li> Step 6: If the service is a guest service then a connection is
392 made as the username given in the <a href="smb.conf.5.html#guestaccount"><strong>"guest account
393 ="</strong></a> for the service, irrespective of the supplied
394 password.
395 <p></ol>
399 <p>Here is a list of all global parameters. See the section of each
400 parameter for details.  Note that some are synonyms.
401 <p><dl>
402 <p><li > <a href="smb.conf.5.html#adduserscript"><strong>add user script</strong></a>
403 <p><li > <a href="smb.conf.5.html#allowtrusteddomains"><strong>allow trusted domains</strong></a>
404 <p><li > <a href="smb.conf.5.html#announceas"><strong>announce as</strong></a>
405 <p><li > <a href="smb.conf.5.html#announceversion"><strong>announce version</strong></a>
406 <p><li > <a href="smb.conf.5.html#autoservices"><strong>auto services</strong></a>
407 <p><li > <a href="smb.conf.5.html#bindinterfacesonly"><strong>bind interfaces only</strong></a>
408 <p><li > <a href="smb.conf.5.html#browselist"><strong>browse list</strong></a>
409 <p><li > <a href="smb.conf.5.html#changenotifytimeout"><strong>change notify timeout</strong></a>
410 <p><li > <a href="smb.conf.5.html#characterset"><strong>character set</strong></a>
411 <p><li > <a href="smb.conf.5.html#clientcodepage"><strong>client code page</strong></a>
412 <p><li > <a href="smb.conf.5.html#codingsystem"><strong>coding system</strong></a>
413 <p><li > <a href="smb.conf.5.html#configfile"><strong>config file</strong></a>
414 <p><li > <a href="smb.conf.5.html#deadtime"><strong>deadtime</strong></a>
415 <p><li > <a href="smb.conf.5.html#debughirestimestamp"><strong>debug hires timestamp</strong></a>
416 <p><li > <a href="smb.conf.5.html#debugpid"><strong>debug pid</strong></a>
417 <p><li > <a href="smb.conf.5.html#debugtimestamp"><strong>debug timestamp</strong></a>
418 <p><li > <a href="smb.conf.5.html#debuguid"><strong>debug uid</strong></a>
419 <p><li > <a href="smb.conf.5.html#debuglevel"><strong>debug level</strong></a>
420 <p><li > <a href="smb.conf.5.html#default"><strong>default</strong></a>
421 <p><li > <a href="smb.conf.5.html#defaultservice"><strong>default service</strong></a>
422 <p><li > <a href="smb.conf.5.html#deleteuserscript"><strong>delete user script</strong></a>
423 <p><li > <a href="smb.conf.5.html#dfreecommand"><strong>dfree command</strong></a>
424 <p><li > <a href="smb.conf.5.html#dnsproxy"><strong>dns proxy</strong></a>
425 <p><li > <a href="smb.conf.5.html#domainadmingroup"><strong>domain admin group</strong></a>
426 <p><li > <a href="smb.conf.5.html#domainadminusers"><strong>domain admin users</strong></a>
427 <p><li > <a href="smb.conf.5.html#domaingroups"><strong>domain groups</strong></a>
428 <p><li > <a href="smb.conf.5.html#domainguestgroup"><strong>domain guest group</strong></a>
429 <p><li > <a href="smb.conf.5.html#domainguestusers"><strong>domain guest users</strong></a>
430 <p><li > <a href="smb.conf.5.html#domainlogons"><strong>domain logons</strong></a>
431 <p><li > <a href="smb.conf.5.html#domainmaster"><strong>domain master</strong></a>
432 <p><li > <a href="smb.conf.5.html#encryptpasswords"><strong>encrypt passwords</strong></a>
433 <p><li > <a href="smb.conf.5.html#getwdcache"><strong>getwd cache</strong></a>
434 <p><li > <a href="smb.conf.5.html#hidelocalusers"><strong>hide local users</strong></a>
435 <p><li > <a href="smb.conf.5.html#homedirmap"><strong>homedir map</strong></a>
436 <p><li > <a href="smb.conf.5.html#hostsequiv"><strong>hosts equiv</strong></a>
437 <p><li > <a href="smb.conf.5.html#interfaces"><strong>interfaces</strong></a>
438 <p><li > <a href="smb.conf.5.html#keepalive"><strong>keepalive</strong></a>
439 <p><li > <a href="smb.conf.5.html#kerneloplocks"><strong>kernel oplocks</strong></a>
440 <p><li > <a href="smb.conf.5.html#ldapfilter"><strong>ldap filter</strong></a>
441 <p><li > <a href="smb.conf.5.html#ldapport"><strong>ldap port</strong></a>
442 <p><li > <a href="smb.conf.5.html#ldaproot"><strong>ldap root</strong></a>
443 <p><li > <a href="smb.conf.5.html#ldaprootpasswd"><strong>ldap root passwd</strong></a>
444 <p><li > <a href="smb.conf.5.html#ldapserver"><strong>ldap server</strong></a>
445 <p><li > <a href="smb.conf.5.html#ldapsuffix"><strong>ldap suffix</strong></a>
446 <p><li > <a href="smb.conf.5.html#lmannounce"><strong>lm announce</strong></a>
447 <p><li > <a href="smb.conf.5.html#lminterval"><strong>lm interval</strong></a>
448 <p><li > <a href="smb.conf.5.html#loadprinters"><strong>load printers</strong></a>
449 <p><li > <a href="smb.conf.5.html#localmaster"><strong>local master</strong></a>
450 <p><li > <a href="smb.conf.5.html#lockdir"><strong>lock dir</strong></a>
451 <p><li > <a href="smb.conf.5.html#lockdirectory"><strong>lock directory</strong></a>
452 <p><li > <a href="smb.conf.5.html#logfile"><strong>log file</strong></a>
453 <p><li > <a href="smb.conf.5.html#loglevel"><strong>log level</strong></a>
454 <p><li > <a href="smb.conf.5.html#logondrive"><strong>logon drive</strong></a>
455 <p><li > <a href="smb.conf.5.html#logonhome"><strong>logon home</strong></a>
456 <p><li > <a href="smb.conf.5.html#logonpath"><strong>logon path</strong></a>
457 <p><li > <a href="smb.conf.5.html#logonscript"><strong>logon script</strong></a>
458 <p><li > <a href="smb.conf.5.html#lpqcachetime"><strong>lpq cache time</strong></a>
459 <p><li > <a href="smb.conf.5.html#machinepasswordtimeout"><strong>machine password timeout</strong></a>
460 <p><li > <a href="smb.conf.5.html#mangledstack"><strong>mangled stack</strong></a>
461 <p><li > <a href="smb.conf.5.html#maptoguest"><strong>map to guest</strong></a>
462 <p><li > <a href="smb.conf.5.html#maxdisksize"><strong>max disk size</strong></a>
463 <p><li > <a href="smb.conf.5.html#maxlogsize"><strong>max log size</strong></a>
464 <p><li > <a href="smb.conf.5.html#maxmux"><strong>max mux</strong></a>
465 <p><li > <a href="smb.conf.5.html#maxopenfiles"><strong>max open files</strong></a>
466 <p><li > <a href="smb.conf.5.html#maxpacket"><strong>max packet</strong></a>
467 <p><li > <a href="smb.conf.5.html#maxttl"><strong>max ttl</strong></a>
468 <p><li > <a href="smb.conf.5.html#maxwinsttl"><strong>max wins ttl</strong></a>
469 <p><li > <a href="smb.conf.5.html#maxxmit"><strong>max xmit</strong></a>
470 <p><li > <a href="smb.conf.5.html#messagecommand"><strong>message command</strong></a>
471 <p><li > <a href="smb.conf.5.html#minpasswdlength"><strong>min passwd length</strong></a>
472 <p><li > <a href="smb.conf.5.html#minpasswordlength"><strong>min password length</strong></a>
473 <p><li > <a href="smb.conf.5.html#minwinsttl"><strong>min wins ttl</strong></a>
474 <p><li > <a href="smb.conf.5.html#nameresolveorder"><strong>name resolve order</strong></a>
475 <p><li > <a href="smb.conf.5.html#netbiosaliases"><strong>netbios aliases</strong></a>
476 <p><li > <a href="smb.conf.5.html#netbiosname"><strong>netbios name</strong></a>
477 <p><li > <a href="smb.conf.5.html#netbiosscope"><strong>netbios scope</strong></a>
478 <p><li > <a href="smb.conf.5.html#nishomedir"><strong>nis homedir</strong></a>
479 <p><li > <a href="smb.conf.5.html#ntaclsupport"><strong>nt acl support</strong></a>
480 <p><li > <a href="smb.conf.5.html#ntpipesupport"><strong>nt pipe support</strong></a>
481 <p><li > <a href="smb.conf.5.html#ntsmbsupport"><strong>nt smb support</strong></a>
482 <p><li > <a href="smb.conf.5.html#nullpasswords"><strong>null passwords</strong></a>
483 <p><li > <a href="smb.conf.5.html#olelockingcompatibility"><strong>ole locking compatibility</strong></a>
484 <p><li > <a href="smb.conf.5.html#oplockbreakwaittime"><strong>oplock break wait time</strong></a>
485 <p><li > <a href="smb.conf.5.html#oslevel"><strong>os level</strong></a>
486 <p><li > <a href="smb.conf.5.html#packetsize"><strong>packet size</strong></a>
487 <p><li > <a href="smb.conf.5.html#panicaction"><strong>panic action</strong></a>
488 <p><li > <a href="smb.conf.5.html#passwdchat"><strong>passwd chat</strong></a>
489 <p><li > <a href="smb.conf.5.html#passwdchatdebug"><strong>passwd chat debug</strong></a>
490 <p><li > <a href="smb.conf.5.html#passwdprogram"><strong>passwd program</strong></a>
491 <p><li > <a href="smb.conf.5.html#passwordlevel"><strong>password level</strong></a>
492 <p><li > <a href="smb.conf.5.html#passwordserver"><strong>password server</strong></a>
493 <p><li > <a href="smb.conf.5.html#preferedmaster"><strong>prefered master</strong></a>
494 <p><li > <a href="smb.conf.5.html#preferredmaster"><strong>preferred master</strong></a>
495 <p><li > <a href="smb.conf.5.html#preload"><strong>preload</strong></a>
496 <p><li > <a href="smb.conf.5.html#printcap"><strong>printcap</strong></a>
497 <p><li > <a href="smb.conf.5.html#printcapname"><strong>printcap name</strong></a>
498 <p><li > <a href="smb.conf.5.html#printerdriverfile"><strong>printer driver file</strong></a>
499 <p><li > <a href="smb.conf.5.html#protocol"><strong>protocol</strong></a>
500 <p><li > <a href="smb.conf.5.html#readbmpx"><strong>read bmpx</strong></a>
501 <p><li > <a href="smb.conf.5.html#readprediction"><strong>read prediction</strong></a>
502 <p><li > <a href="smb.conf.5.html#readraw"><strong>read raw</strong></a>
503 <p><li > <a href="smb.conf.5.html#readsize"><strong>read size</strong></a>
504 <p><li > <a href="smb.conf.5.html#remoteannounce"><strong>remote announce</strong></a>
505 <p><li > <a href="smb.conf.5.html#remotebrowsesync"><strong>remote browse sync</strong></a>
506 <p><li > <a href="smb.conf.5.html#restrictanonymous"><strong>restrict anonymous</strong></a>
507 <p><li > <a href="smb.conf.5.html#root"><strong>root</strong></a>
508 <p><li > <a href="smb.conf.5.html#rootdir"><strong>root dir</strong></a>
509 <p><li > <a href="smb.conf.5.html#rootdirectory"><strong>root directory</strong></a>
510 <p><li > <a href="smb.conf.5.html#security"><strong>security</strong></a>
511 <p><li > <a href="smb.conf.5.html#serverstring"><strong>server string</strong></a>
512 <p><li > <a href="smb.conf.5.html#sharedmemsize"><strong>shared mem size</strong></a>
513 <p><li > <a href="smb.conf.5.html#smbpasswdfile"><strong>smb passwd file</strong></a>
514 <p><li > <a href="smb.conf.5.html#smbrun"><strong>smbrun</strong></a>
515 <p><li > <a href="smb.conf.5.html#socketaddress"><strong>socket address</strong></a>
516 <p><li > <a href="smb.conf.5.html#socketoptions"><strong>socket options</strong></a>
517 <p><li > <a href="smb.conf.5.html#sourceenvironment"><strong>source environment</strong></a>
518 <p><li > <a href="smb.conf.5.html#ssl"><strong>ssl</strong></a>
519 <p><li > <a href="smb.conf.5.html#sslCAcertDir"><strong>ssl CA certDir</strong></a>
520 <p><li > <a href="smb.conf.5.html#sslCAcertFile"><strong>ssl CA certFile</strong></a>
521 <p><li > <a href="smb.conf.5.html#sslciphers"><strong>ssl ciphers</strong></a>
522 <p><li > <a href="smb.conf.5.html#sslclientcert"><strong>ssl client cert</strong></a>
523 <p><li > <a href="smb.conf.5.html#sslclientkey"><strong>ssl client key</strong></a>
524 <p><li > <a href="smb.conf.5.html#sslcompatibility"><strong>ssl compatibility</strong></a>
525 <p><li > <a href="smb.conf.5.html#sslhosts"><strong>ssl hosts</strong></a>
526 <p><li > <a href="smb.conf.5.html#sslhostsresign"><strong>ssl hosts resign</strong></a>
527 <p><li > <a href="smb.conf.5.html#sslrequireclientcert"><strong>ssl require clientcert</strong></a>
528 <p><li > <a href="smb.conf.5.html#sslrequireservercert"><strong>ssl require servercert</strong></a>
529 <p><li > <a href="smb.conf.5.html#sslservercert"><strong>ssl server cert</strong></a>
530 <p><li > <a href="smb.conf.5.html#sslserverkey"><strong>ssl server key</strong></a>
531 <p><li > <a href="smb.conf.5.html#sslversion"><strong>ssl version</strong></a>
532 <p><li > <a href="smb.conf.5.html#statcache"><strong>stat cache</strong></a>
533 <p><li > <a href="smb.conf.5.html#statcachesize"><strong>stat cache size</strong></a>
534 <p><li > <a href="smb.conf.5.html#stripdot"><strong>strip dot</strong></a>
535 <p><li > <a href="smb.conf.5.html#syslog"><strong>syslog</strong></a>
536 <p><li > <a href="smb.conf.5.html#syslogonly"><strong>syslog only</strong></a>
537 <p><li > <a href="smb.conf.5.html#templatehomedir"><strong>template homedir</strong></a>
538 <p><li > <a href="smb.conf.5.html#templateshell"><strong>template shell</strong></a>
539 <p><li > <a href="smb.conf.5.html#timeoffset"><strong>time offset</strong></a>
540 <p><li > <a href="smb.conf.5.html#timeserver"><strong>time server</strong></a>
541 <p><li > <a href="smb.conf.5.html#timestamplogs"><strong>timestamp logs</strong></a>
542 <p><li > <a href="smb.conf.5.html#unixpasswordsync"><strong>unix password sync</strong></a>
543 <p><li > <a href="smb.conf.5.html#unixrealname"><strong>unix realname</strong></a>
544 <p><li > <a href="smb.conf.5.html#updateencrypted"><strong>update encrypted</strong></a>
545 <p><li > <a href="smb.conf.5.html#userhosts"><strong>use rhosts</strong></a>
546 <p><li > <a href="smb.conf.5.html#usernamelevel"><strong>username level</strong></a>
547 <p><li > <a href="smb.conf.5.html#usernamemap"><strong>username map</strong></a>
548 <p><li > <a href="smb.conf.5.html#utmpdirectory"><strong>utmp directory</strong></a>
549 <p><li > <a href="smb.conf.5.html#validchars"><strong>valid chars</strong></a>
550 <p><li > <a href="smb.conf.5.html#winbindcachetime"><strong>winbind cache time</strong></a>
551 <p><li > <a href="smb.conf.5.html#winbindgid"><strong>winbind gid</strong></a>
552 <p><li > <a href="smb.conf.5.html#winbinduid"><strong>winbind uid</strong></a>
553 <p><li > <a href="smb.conf.5.html#winshook"><strong>wins hook</strong></a>
554 <p><li > <a href="smb.conf.5.html#winsproxy"><strong>wins proxy</strong></a>
555 <p><li > <a href="smb.conf.5.html#winsserver"><strong>wins server</strong></a>
556 <p><li > <a href="smb.conf.5.html#winssupport"><strong>wins support</strong></a>
557 <p><li > <a href="smb.conf.5.html#workgroup"><strong>workgroup</strong></a>
558 <p><li > <a href="smb.conf.5.html#writeraw"><strong>write raw</strong></a>
559 <p></dl>
563 <p>Here is a list of all service parameters. See the section of each
564 parameter for details. Note that some are synonyms.
565 <p><dl>
566 <p><li > <a href="smb.conf.5.html#adminusers"><strong>admin users</strong></a>
567 <p><li > <a href="smb.conf.5.html#allowhosts"><strong>allow hosts</strong></a>
568 <p><li > <a href="smb.conf.5.html#alternatepermissions"><strong>alternate permissions</strong></a>
569 <p><li > <a href="smb.conf.5.html#available"><strong>available</strong></a>
570 <p><li > <a href="smb.conf.5.html#blockinglocks"><strong>blocking locks</strong></a>
571 <p><li > <a href="smb.conf.5.html#browsable"><strong>browsable</strong></a>
572 <p><li > <a href="smb.conf.5.html#browseable"><strong>browseable</strong></a>
573 <p><li > <a href="smb.conf.5.html#casesensitive"><strong>case sensitive</strong></a>
574 <p><li > <a href="smb.conf.5.html#casesignames"><strong>casesignames</strong></a>
575 <p><li > <a href="smb.conf.5.html#comment"><strong>comment</strong></a>
576 <p><li > <a href="smb.conf.5.html#copy"><strong>copy</strong></a>
577 <p><li > <a href="smb.conf.5.html#createmask"><strong>create mask</strong></a>
578 <p><li > <a href="smb.conf.5.html#createmode"><strong>create mode</strong></a>
579 <p><li > <a href="smb.conf.5.html#defaultcase"><strong>default case</strong></a>
580 <p><li > <a href="smb.conf.5.html#deletereadonly"><strong>delete readonly</strong></a>
581 <p><li > <a href="smb.conf.5.html#deletevetofiles"><strong>delete veto files</strong></a>
582 <p><li > <a href="smb.conf.5.html#denyhosts"><strong>deny hosts</strong></a>
583 <p><li > <a href="smb.conf.5.html#directory"><strong>directory</strong></a>
584 <p><li > <a href="smb.conf.5.html#directorymask"><strong>directory mask</strong></a>
585 <p><li > <a href="smb.conf.5.html#directorymode"><strong>directory mode</strong></a>
586 <p><li > <a href="smb.conf.5.html#directorysecuritymask"><strong>directory security mask</strong></a>
587 <p><li > <a href="smb.conf.5.html#dontdescend"><strong>dont descend</strong></a>
588 <p><li > <a href="smb.conf.5.html#dosfiletimeresolution"><strong>dos filetime resolution</strong></a>
589 <p><li > <a href="smb.conf.5.html#dosfiletimes"><strong>dos filetimes</strong></a>
590 <p><li > <a href="smb.conf.5.html#exec"><strong>exec</strong></a>
591 <p><li > <a href="smb.conf.5.html#fakedirectorycreatetimes"><strong>fake directory create times</strong></a>
592 <p><li > <a href="smb.conf.5.html#fakeoplocks"><strong>fake oplocks</strong></a>
593 <p><li > <a href="smb.conf.5.html#followsymlinks"><strong>follow symlinks</strong></a>
594 <p><li > <a href="smb.conf.5.html#forcecreatemode"><strong>force create mode</strong></a>
595 <p><li > <a href="smb.conf.5.html#forcedirectorymode"><strong>force directory mode</strong></a>
596 <p><li > <a href="smb.conf.5.html#forcedirectorysecuritymode"><strong>force directory security mode</strong></a>
597 <p><li > <a href="smb.conf.5.html#forcegroup"><strong>force group</strong></a>
598 <p><li > <a href="smb.conf.5.html#forcesecuritymode"><strong>force security mode</strong></a>
599 <p><li > <a href="smb.conf.5.html#forceuser"><strong>force user</strong></a>
600 <p><li > <a href="smb.conf.5.html#fstype"><strong>fstype</strong></a>
601 <p><li > <a href="smb.conf.5.html#group"><strong>group</strong></a>
602 <p><li > <a href="smb.conf.5.html#guestaccount"><strong>guest account</strong></a>
603 <p><li > <a href="smb.conf.5.html#guestok"><strong>guest ok</strong></a>
604 <p><li > <a href="smb.conf.5.html#guestonly"><strong>guest only</strong></a>
605 <p><li > <a href="smb.conf.5.html#hidedotfiles"><strong>hide dot files</strong></a>
606 <p><li > <a href="smb.conf.5.html#hidefiles"><strong>hide files</strong></a>
607 <p><li > <a href="smb.conf.5.html#hostsallow"><strong>hosts allow</strong></a>
608 <p><li > <a href="smb.conf.5.html#hostsdeny"><strong>hosts deny</strong></a>
609 <p><li > <a href="smb.conf.5.html#include"><strong>include</strong></a>
610 <p><li > <a href="smb.conf.5.html#inheritpermissions"><strong>inherit permissions</strong></a>
611 <p><li > <a href="smb.conf.5.html#invalidusers"><strong>invalid users</strong></a>
612 <p><li > <a href="smb.conf.5.html#level2oplocks"><strong>level2 oplocks</strong></a>
613 <p><li > <a href="smb.conf.5.html#locking"><strong>locking</strong></a>
614 <p><li > <a href="smb.conf.5.html#lppausecommand"><strong>lppause command</strong></a>
615 <p><li > <a href="smb.conf.5.html#lpqcommand"><strong>lpq command</strong></a>
616 <p><li > <a href="smb.conf.5.html#lpresumecommand"><strong>lpresume command</strong></a>
617 <p><li > <a href="smb.conf.5.html#lprmcommand"><strong>lprm command</strong></a>
618 <p><li > <a href="smb.conf.5.html#magicoutput"><strong>magic output</strong></a>
619 <p><li > <a href="smb.conf.5.html#magicscript"><strong>magic script</strong></a>
620 <p><li > <a href="smb.conf.5.html#manglecase"><strong>mangle case</strong></a>
621 <p><li > <a href="smb.conf.5.html#manglelocks"><strong>mangle locks</strong></a>
622 <p><li > <a href="smb.conf.5.html#mangledmap"><strong>mangled map</strong></a>
623 <p><li > <a href="smb.conf.5.html#manglednames"><strong>mangled names</strong></a>
624 <p><li > <a href="smb.conf.5.html#manglingchar"><strong>mangling char</strong></a>
625 <p><li > <a href="smb.conf.5.html#maparchive"><strong>map archive</strong></a>
626 <p><li > <a href="smb.conf.5.html#maphidden"><strong>map hidden</strong></a>
627 <p><li > <a href="smb.conf.5.html#mapsystem"><strong>map system</strong></a>
628 <p><li > <a href="smb.conf.5.html#maxconnections"><strong>max connections</strong></a>
629 <p><li > <a href="smb.conf.5.html#minprintspace"><strong>min print space</strong></a>
630 <p><li > <a href="smb.conf.5.html#onlyguest"><strong>only guest</strong></a>
631 <p><li > <a href="smb.conf.5.html#onlyuser"><strong>only user</strong></a>
632 <p><li > <a href="smb.conf.5.html#oplockcontentionlimit"><strong>oplock contention limit</strong></a>
633 <p><li > <a href="smb.conf.5.html#oplocks"><strong>oplocks</strong></a>
634 <p><li > <a href="smb.conf.5.html#path"><strong>path</strong></a>
635 <p><li > <a href="smb.conf.5.html#postexec"><strong>postexec</strong></a>
636 <p><li > <a href="smb.conf.5.html#postscript"><strong>postscript</strong></a>
637 <p><li > <a href="smb.conf.5.html#preexec"><strong>preexec</strong></a>
638 <p><li > <a href="smb.conf.5.html#preexecclose"><strong>preexec close</strong></a>
639 <p><li > <a href="smb.conf.5.html#preservecase"><strong>preserve case</strong></a>
640 <p><li > <a href="smb.conf.5.html#printcommand"><strong>print command</strong></a>
641 <p><li > <a href="smb.conf.5.html#printok"><strong>print ok</strong></a>
642 <p><li > <a href="smb.conf.5.html#printable"><strong>printable</strong></a>
643 <p><li > <a href="smb.conf.5.html#printer"><strong>printer</strong></a>
644 <p><li > <a href="smb.conf.5.html#printeradmin"><strong>printer admin</strong></a>
645 <p><li > <a href="smb.conf.5.html#printerdriver"><strong>printer driver</strong></a>
646 <p><li > <a href="smb.conf.5.html#printerdriverlocation"><strong>printer driver location</strong></a>
647 <p><li > <a href="smb.conf.5.html#printername"><strong>printer name</strong></a>
648 <p><li > <a href="smb.conf.5.html#printing"><strong>printing</strong></a>
649 <p><li > <a href="smb.conf.5.html#public"><strong>public</strong></a>
650 <p><li > <a href="smb.conf.5.html#queuepausecommand"><strong>queuepause command</strong></a>
651 <p><li > <a href="smb.conf.5.html#queueresumecommand"><strong>queueresume command</strong></a>
652 <p><li > <a href="smb.conf.5.html#readlist"><strong>read list</strong></a>
653 <p><li > <a href="smb.conf.5.html#readonly"><strong>read only</strong></a>
654 <p><li > <a href="smb.conf.5.html#rootpostexec"><strong>root postexec</strong></a>
655 <p><li > <a href="smb.conf.5.html#rootpreexec"><strong>root preexec</strong></a>
656 <p><li > <a href="smb.conf.5.html#rootpreexecclose"><strong>root preexec close</strong></a>
657 <p><li > <a href="smb.conf.5.html#securitymask"><strong>security mask</strong></a>
658 <p><li > <a href="smb.conf.5.html#setdirectory"><strong>set directory</strong></a>
659 <p><li > <a href="smb.conf.5.html#sharemodes"><strong>share modes</strong></a>
660 <p><li > <a href="smb.conf.5.html#shortpreservecase"><strong>short preserve case</strong></a>
661 <p><li > <a href="smb.conf.5.html#status"><strong>status</strong></a>
662 <p><li > <a href="smb.conf.5.html#strictlocking"><strong>strict locking</strong></a>
663 <p><li > <a href="smb.conf.5.html#strictsync"><strong>strict sync</strong></a>
664 <p><li > <a href="smb.conf.5.html#syncalways"><strong>sync always</strong></a>
665 <p><li > <a href="smb.conf.5.html#user"><strong>user</strong></a>
666 <p><li > <a href="smb.conf.5.html#username"><strong>username</strong></a>
667 <p><li > <a href="smb.conf.5.html#users"><strong>users</strong></a>
668 <p><li > <a href="smb.conf.5.html#utmp"><strong>utmp</strong></a>
669 <p><li > <a href="smb.conf.5.html#validusers"><strong>valid users</strong></a>
670 <p><li > <a href="smb.conf.5.html#vetofiles"><strong>veto files</strong></a>
671 <p><li > <a href="smb.conf.5.html#vetooplockfiles"><strong>veto oplock files</strong></a>
672 <p><li > <a href="smb.conf.5.html#volume"><strong>volume</strong></a>
673 <p><li > <a href="smb.conf.5.html#widelinks"><strong>wide links</strong></a>
674 <p><li > <a href="smb.conf.5.html#writable"><strong>writable</strong></a>
675 <p><li > <a href="smb.conf.5.html#writecachesize"><strong>write cache size</strong></a>
676 <p><li > <a href="smb.conf.5.html#writelist"><strong>write list</strong></a>
677 <p><li > <a href="smb.conf.5.html#writeok"><strong>write ok</strong></a>
678 <p><li > <a href="smb.conf.5.html#writeable"><strong>writeable</strong></a>
679 <p></dl>
683 <p><dl>
684 <p><a name="adduserscript"></a>
685 <p></p><dt><strong><strong>add user script (G)</strong></strong><dd>
686 <p>This is the full pathname to a script that will be run <em>AS ROOT</em> by
687 <a href="smbd.8.html"><strong>smbd (8)</strong></a> under special circumstances decribed
688 below.
689 <p>Normally, a Samba server requires that UNIX users are created for all
690 users accessing files on this server. For sites that use Windows NT
691 account databases as their primary user database creating these users
692 and keeping the user list in sync with the Windows NT PDC is an
693 onerous task. This option allows <a href="smbd.8.html"><strong>smbd</strong></a> to create
694 the required UNIX users <em>ON DEMAND</em> when a user accesses the Samba
695 server.
696 <p>In order to use this option, <a href="smbd.8.html"><strong>smbd</strong></a> must be set to
697 <a href="smb.conf.5.html#securityequalserver"><strong>security=server</strong></a> or
698 <a href="smb.conf.5.html#securityequaldomain"><strong>security=domain</strong></a> and <strong>"add user script"</strong>
699 must be set to a full pathname for a script that will create a UNIX user
700 given one argument of <strong>%u</strong>, which expands into the UNIX user name to
701 create.
702 <p>When the Windows user attempts to access the Samba server, at
703 <em>"login"</em>(session setup in the SMB protocol) time,
704 <a href="smbd.8.html"><strong>smbd</strong></a> contacts the <a href="smb.conf.5.html#passwordserver"><strong>password
705 server</strong></a> and attempts to authenticate the given user
706 with the given password. If the authentication succeeds then
707 <a href="smbd.8.html"><strong>smbd</strong></a> attempts to find a UNIX user in the UNIX
708 password database to map the Windows user into. If this lookup fails,
709 and <strong>"add user script"</strong> is set then <a href="smbd.8.html"><strong>smbd</strong></a> will
710 call the specified script <em>AS ROOT</em>, expanding any <strong>%u</strong> argument
711 to be the user name to create.
712 <p>If this script successfully creates the user then
713 <a href="smbd.8.html"><strong>smbd</strong></a> will continue on as though the UNIX user
714 already existed. In this way, UNIX users are dynamically created to
715 match existing Windows NT accounts.
716 <p>See also <a href="smb.conf.5.html#securityequalserver"><strong>security=server</strong></a>,
717 <a href="smb.conf.5.html#securityequaldomain"><strong>security=domain</strong></a>, <a href="smb.conf.5.html#passwordserver"><strong>password
718 server</strong></a>, <a href="smb.conf.5.html#deleteuserscript"><strong>delete user
719 script</strong></a>.
720 <p><strong>Default:</strong>
721 <code>  add user script = &lt;empty string&gt;</code>
722 <p><strong>Example:</strong>
723 <code>  add user script = /usr/local/samba/bin/add_user %u</code>
724 <p><a name="adminusers"></a>
725 <p></p><dt><strong><strong>admin users (S)</strong></strong><dd>
726 <p>This is a list of users who will be granted administrative privileges
727 on the share. This means that they will do all file operations as the
728 super-user (root).
729 <p>You should use this option very carefully, as any user in this list
730 will be able to do anything they like on the share, irrespective of
731 file permissions.
732 <p><strong>Default:</strong> <br>
733 <code>  no admin users</code>
734 <p><strong>Example:</strong> <br>
735 <code>  admin users = jason</code>
736 <p><a name="allowhosts"></a>
737 <p></p><dt><strong><strong>allow hosts (S)</strong></strong><dd>
738 <p>Synonym for <a href="smb.conf.5.html#hostsallow"><strong>hosts allow</strong></a>.
739 <p><a name="allowtrusteddomains"></a>
740 <p></p><dt><strong><strong>allow trusted domains (G)</strong></strong><dd>
741 <p>This option only takes effect when the <a href="smb.conf.5.html#security"><strong>security</strong></a>
742 option is set to <strong>server</strong> or <strong>domain</strong>.  If it is set to no,
743 then attempts to connect to a resource from a domain or workgroup other than
744 the one which smbd is running in will fail, even if that domain
745 is trusted by the remote server doing the authentication.
746 <p>This is useful if you only want your Samba server to serve resources
747 to users in the domain it is a member of. As an example, suppose that there are
748 two domains DOMA and DOMB.  DOMB is trusted by DOMA, which contains
749 the Samba server.  Under normal circumstances, a user with an account
750 in DOMB can then access the resources of a UNIX account with the same
751 account name on the Samba server even if they do not have an account
752 in DOMA.  This can make implementing a security boundary difficult.
753 <p><strong>Default:</strong>
754 <code>     allow trusted domains = Yes</code>
755 <p><strong>Example:</strong>
756 <code>     allow trusted domains = No</code>
757 <p><a name="alternatepermissions"></a>
758 <p></p><dt><strong><strong>alternate permissions (S)</strong></strong><dd>
759 <p>This is a deprecated parameter. It no longer has any effect in Samba2.0.
760 In previous versions of Samba it affected the way the DOS "read only"
761 attribute was mapped for a file. In Samba2.0 a file is marked "read only"
762 if the UNIX file does not have the 'w' bit set for the owner of the file,
763 regardless if the owner of the file is the currently logged on user or not.
764 <p><a name="announceas"></a>
765 <p></p><dt><strong><strong>announce as (G)</strong></strong><dd>
766 <p>This specifies what type of server <a href="nmbd.8.html"><strong>nmbd</strong></a> will
767 announce itself as, to a network neighborhood browse list. By default
768 this is set to Windows NT. The valid options are : "NT", which is a
769 synonym for "NT Server", "NT Server", "NT Workstation", "Win95" or
770 "WfW" meaning Windows NT Server, Windows NT Workstation, Windows 95
771 and Windows for Workgroups respectively. Do not change this parameter
772 unless you have a specific need to stop Samba appearing as an NT server
773 as this may prevent Samba servers from participating as browser servers correctly.
774 <p><strong>Default:</strong>
775 <code>  announce as = NT Server</code>
776 <p><strong>Example</strong>
777 <code>  announce as = Win95</code>
778 <p><a name="announceversion"></a>
779 <p></p><dt><strong><strong>announce version (G)</strong></strong><dd>
780 <p>This specifies the major and minor version numbers that nmbd will use
781 when announcing itself as a server. The default is 4.2.  Do not change
782 this parameter unless you have a specific need to set a Samba server
783 to be a downlevel server.
784 <p><strong>Default:</strong>
785 <code>  announce version = 4.2</code>
786 <p><strong>Example:</strong>
787 <code>  announce version = 2.0</code>
788 <p><a name="autoservices"></a>
789 <p></p><dt><strong><strong>auto services (G)</strong></strong><dd>
790 <p>This is a list of services that you want to be automatically added to
791 the browse lists. This is most useful for homes and printers services
792 that would otherwise not be visible.
793 <p>Note that if you just want all printers in your printcap file loaded
794 then the <a href="smb.conf.5.html#loadprinters"><strong>"load printers"</strong></a> option is easier.
795 <p><strong>Default:</strong>
796 <code>  no auto services</code>
797 <p><strong>Example:</strong>
798 <code>  auto services = fred lp colorlp</code>
799 <p><a name="available"></a>
800 <p></p><dt><strong><strong>available (S)</strong></strong><dd>
801 <p>This parameter lets you <em>'turn off'</em> a service. If <code>'available = no'</code>,
802 then <em>ALL</em> attempts to connect to the service will fail. Such failures
803 are logged.
804 <p><strong>Default:</strong>
805 <code>  available = yes</code>
806 <p><strong>Example:</strong>
807 <code>  available = no</code>
808 <p><a name="bindinterfacesonly"></a>
809 <p></p><dt><strong><strong>bind interfaces only (G)</strong></strong><dd>
810 <p>This global parameter allows the Samba admin to limit what interfaces
811 on a machine will serve smb requests. If affects file service
812 <a href="smbd.8.html"><strong>smbd</strong></a> and name service <a href="nmbd.8.html"><strong>nmbd</strong></a>
813 in slightly different ways.
814 <p>For name service it causes <a href="nmbd.8.html"><strong>nmbd</strong></a> to bind to ports
815 137 and 138 on the interfaces listed in the
816 <a href="smb.conf.5.html#interfaces"><strong>'interfaces'</strong></a>
817 parameter. <a href="nmbd.8.html"><strong>nmbd</strong></a> also binds to the 'all
818 addresses' interface ( on ports 137 and 138 for the purposes
819 of reading broadcast messages. If this option is not set then
820 <a href="nmbd.8.html"><strong>nmbd</strong></a> will service name requests on all of these
821 sockets. If <strong>"bind interfaces only"</strong> is set then
822 <a href="nmbd.8.html"><strong>nmbd</strong></a> will check the source address of any
823 packets coming in on the broadcast sockets and discard any that don't
824 match the broadcast addresses of the interfaces in the
825 <a href="smb.conf.5.html#interfaces"><strong>'interfaces'</strong></a> parameter list. As unicast packets
826 are received on the other sockets it allows <a href="nmbd.8.html"><strong>nmbd</strong></a>
827 to refuse to serve names to machines that send packets that arrive
828 through any interfaces not listed in the
829 <a href="smb.conf.5.html#interfaces"><strong>"interfaces"</strong></a> list.  IP Source address spoofing
830 does defeat this simple check, however so it must not be used
831 seriously as a security feature for <a href="nmbd.8.html"><strong>nmbd</strong></a>.
832 <p>For file service it causes <a href="smbd.8.html"><strong>smbd</strong></a> to bind only to
833 the interface list given in the <a href="smb.conf.5.html#interfaces"><strong>'interfaces'</strong></a>
834 parameter. This restricts the networks that <a href="smbd.8.html"><strong>smbd</strong></a>
835 will serve to packets coming in those interfaces.  Note that you
836 should not use this parameter for machines that are serving PPP or
837 other intermittent or non-broadcast network interfaces as it will not
838 cope with non-permanent interfaces.
839 <p>If <strong>"bind interfaces only"</strong> is set then unless the network address
840 <em></em> is added to the <a href="smb.conf.5.html#interfaces"><strong>'interfaces'</strong></a> parameter
841 list <a href="smbpasswd.8.html"><strong>smbpasswd</strong></a> and
842 <a href="swat.8.html"><strong>swat</strong></a> may not work as expected due to the
843 reasons covered below.
844 <p>To change a users SMB password, the <a href="smbpasswd.8.html"><strong>smbpasswd</strong></a>
845 by default connects to the <em>"localhost" -</em> address as an SMB
846 client to issue the password change request. If <strong>"bind interfaces only"</strong>
847 is set then unless the network address <em></em> is added to the
848 <a href="smb.conf.5.html#interfaces"><strong>'interfaces'</strong></a> parameter list then
849 <a href="smbpasswd.8.html"><strong>smbpasswd</strong></a> will fail to connect in it's
850 default mode. <a href="smbpasswd.8.html"><strong>smbpasswd</strong></a> can be forced to
851 use the primary IP interface of the local host by using its
852 <a href="smbpasswd.8.html#minusr"><strong>"-r remote machine"</strong></a> parameter, with
853 <strong>"remote machine"</strong> set to the IP name of the primary interface
854 of the local host.
855 <p>The <a href="swat.8.html"><strong>swat</strong></a> status page tries to connect with
856 <a href="smbd.8.html"><strong>smbd</strong></a> and <a href="nmbd.8.html"><strong>nmbd</strong></a> at the address 
857 <em></em> to determine if they are running.  Not adding <em></em>  will cause
858 <a href="smbd.8.html"><strong>smbd</strong></a> and <a href="nmbd.8.html"><strong>nmbd</strong></a> to always show
859 "not running" even if they really are.  This can prevent
860 <a href="swat.8.html"><strong>swat</strong></a> from starting/stopping/restarting
861 <a href="smbd.8.html"><strong>smbd</strong></a> and <a href="nmbd.8.html"><strong>nmbd</strong></a>.
862 <p><strong>Default:</strong>
863 <code>  bind interfaces only = False</code>
864 <p><strong>Example:</strong>
865 <code>  bind interfaces only = True</code>
866 <p><a name="blockinglocks"></a>
867 <p></p><dt><strong><strong>blocking locks (S)</strong></strong><dd>
868 <p>This parameter controls the behavior of <a href="smbd.8.html"><strong>smbd</strong></a> when
869 given a request by a client to obtain a byte range lock on a region
870 of an open file, and the request has a time limit associated with it.
871 <p>If this parameter is set and the lock range requested cannot be
872 immediately satisfied, Samba 2.0 will internally queue the lock 
873 request, and periodically attempt to obtain the lock until the
874 timeout period expires.
875 <p>If this parameter is set to "False", then Samba 2.0 will behave
876 as previous versions of Samba would and will fail the lock
877 request immediately if the lock range cannot be obtained.
878 <p>This parameter can be set per share.
879 <p><strong>Default:</strong>
880 <code>  blocking locks = True</code>
881 <p><strong>Example:</strong>
882 <code>  blocking locks = False</code>
883 <p><a name="browsable"></a>
884 <p></p><dt><strong><strong>browsable (S)</strong></strong><dd>
885 <p>Synonym for <a href="smb.conf.5.html#browseable"><strong>browseable</strong></a>.
886 <p><a name="browselist"></a>
887 <p></p><dt><strong><strong>browse list(G)</strong></strong><dd>
888 <p>This controls whether <a href="smbd.8.html"><strong>smbd</strong></a> will serve a browse
889 list to a client doing a NetServerEnum call. Normally set to true. You
890 should never need to change this.
891 <p><strong>Default:</strong>
892 <code>  browse list = Yes</code>
893 <p><a name="browseable"></a>
894 <p></p><dt><strong><strong>browseable</strong></strong><dd>
895 <p>This controls whether this share is seen in the list of available
896 shares in a net view and in the browse list.
897 <p><strong>Default:</strong>
898 <code>  browseable = Yes</code>
899 <p><strong>Example:</strong>
900 <code>  browseable = No</code>
901 <p><a name="casesensitive"></a>
902 <p></p><dt><strong><strong>case sensitive (S)</strong></strong><dd>
903 <p>See the discussion in the section <a href="smb.conf.5.html#NAMEMANGLING"><strong>NAME MANGLING</strong></a>.
904 <p><a name="casesignames"></a>
905 <p></p><dt><strong><strong>casesignames (S)</strong></strong><dd>
906 <p>Synonym for <a href="smb.conf.5.html#casesensitive"><strong>"case sensitive"</strong></a>.
907 <p><a name="changenotifytimeout"></a>
908 <p></p><dt><strong><strong>change notify timeout (G)</strong></strong><dd>
909 <p>One of the new NT SMB requests that Samba 2.0 supports is the
910 "ChangeNotify" requests. This SMB allows a client to tell a server to
911 <em>"watch"</em> a particular directory for any changes and only reply to
912 the SMB request when a change has occurred. Such constant scanning of
913 a directory is expensive under UNIX, hence an
914 <a href="smbd.8.html"><strong>smbd</strong></a> daemon only performs such a scan on each
915 requested directory once every <strong>change notify timeout</strong> seconds.
916 <p><strong>change notify timeout</strong> is specified in units of seconds.
917 <p><strong>Default:</strong>
918 <code>  change notify timeout = 60</code>
919 <p><strong>Example:</strong>
920 <code>  change notify timeout = 300</code>
921 <p>Would change the scan time to every 5 minutes.
922 <p><a name="characterset"></a>
923 <p></p><dt><strong><strong>character set (G)</strong></strong><dd>
924 <p>This allows a smbd to map incoming filenames from a DOS Code page (see
925 the <a href="smb.conf.5.html#clientcodepage"><strong>client code page</strong></a> parameter) to several
926 built in UNIX character sets. The built in code page translations are:
927 <p><dl>
928 <p><li > <strong>ISO8859-1</strong> Western European UNIX character set. The parameter
929 <a href="smb.conf.5.html#clientcodepage"><strong>client code page</strong></a> <em>MUST</em> be set to code
930 page 850 if the <strong>character set</strong> parameter is set to iso8859-1
931 in order for the conversion to the UNIX character set to be done
932 correctly.
933 <p><li > <strong>ISO8859-2</strong> Eastern European UNIX character set. The parameter
934 <a href="smb.conf.5.html#clientcodepage"><strong>client code page</strong></a> <em>MUST</em> be set to code
935 page 852 if the <strong>character set</strong> parameter is set to ISO8859-2
936 in order for the conversion to the UNIX character set to be done
937 correctly. 
938 <p><li > <strong>ISO8859-5</strong> Russian Cyrillic UNIX character set. The parameter
939 <a href="smb.conf.5.html#clientcodepage"><strong>client code page</strong></a> <em>MUST</em> be set to code
940 page 866 if the <strong>character set</strong> parameter is set to ISO8859-5
941 in order for the conversion to the UNIX character set to be done
942 correctly. 
943 <p><li > <strong>ISO8859-7</strong> Greek UNIX character set. The parameter
944 <a href="smb.conf.5.html#clientcodepage"><strong>client code page</strong></a> <em>MUST</em> be set to code
945 page 737 if the <strong>character set</strong> parameter is set to ISO8859-7
946 in order for the conversion to the UNIX character set to be done
947 correctly. 
948 <p><li > <strong>KOI8-R</strong> Alternate mapping for Russian Cyrillic UNIX
949 character set. The parameter <a href="smb.conf.5.html#clientcodepage"><strong>client code
950 page</strong></a> <em>MUST</em> be set to code page 866 if the
951 <strong>character set</strong> parameter is set to KOI8-R in order for the
952 conversion to the UNIX character set to be done correctly.
953 <p></dl>
954 <p><em>BUG</em>. These MSDOS code page to UNIX character set mappings should
955 be dynamic, like the loading of MS DOS code pages, not static.
956 <p>See also <a href="smb.conf.5.html#clientcodepage"><strong>client code page</strong></a>.  Normally this
957 parameter is not set, meaning no filename translation is done.
958 <p><strong>Default:</strong>
959 <code>  character set = &lt;empty string&gt;</code>
960 <p><strong>Example:</strong>
961 <code>  character set = ISO8859-1</code>
962 <p><a name="clientcodepage"></a>
963 <p></p><dt><strong><strong>client code page (G)</strong></strong><dd>
964 <p>This parameter specifies the DOS code page that the clients accessing
965 Samba are using. To determine what code page a Windows or DOS client
966 is using, open a DOS command prompt and type the command "chcp". This
967 will output the code page. The default for USA MS-DOS, Windows 95, and
968 Windows NT releases is code page 437. The default for western european
969 releases of the above operating systems is code page 850.
970 <p>This parameter tells <a href="smbd.8.html"><strong>smbd</strong></a> which of the
971 <code>codepage.XXX</code> files to dynamically load on startup. These files,
972 described more fully in the manual page <a href="make_smbcodepage.1.html"><strong>make_smbcodepage
973 (1)</strong></a>, tell <a href="smbd.8.html"><strong>smbd</strong></a> how
974 to map lower to upper case characters to provide the case insensitivity
975 of filenames that Windows clients expect.
976 <p>Samba currently ships with the following code page files :
977 <p><dl>
978 <p><li > <strong>Code Page 437 - MS-DOS Latin US</strong>
979 <p><li > <strong>Code Page 737 - Windows '95 Greek</strong>
980 <p><li > <strong>Code Page 850 - MS-DOS Latin 1</strong>
981 <p><li > <strong>Code Page 852 - MS-DOS Latin 2</strong>
982 <p><li > <strong>Code Page 861 - MS-DOS Icelandic</strong>
983 <p><li > <strong>Code Page 866 - MS-DOS Cyrillic</strong>
984 <p><li > <strong>Code Page 932 - MS-DOS Japanese SJIS</strong>
985 <p><li > <strong>Code Page 936 - MS-DOS Simplified Chinese</strong>
986 <p><li > <strong>Code Page 949 - MS-DOS Korean Hangul</strong>
987 <p><li > <strong>Code Page 950 - MS-DOS Traditional Chinese</strong>
988 <p></dl>
989 <p>Thus this parameter may have any of the values 437, 737, 850, 852,
990 861, 932, 936, 949, or 950.  If you don't find the codepage you need,
991 read the comments in one of the other codepage files and the
992 <a href="make_smbcodepage.1.html"><strong>make_smbcodepage (1)</strong></a> man page and
993 write one. Please remember to donate it back to the Samba user
994 community.
995 <p>This parameter co-operates with the <a href="smb.conf.5.html#validchars"><strong>"valid
996 chars"</strong></a> parameter in determining what characters are
997 valid in filenames and how capitalization is done. If you set both
998 this parameter and the <a href="smb.conf.5.html#validchars"><strong>"valid chars"</strong></a> parameter
999 the <strong>"client code page"</strong> parameter <em>MUST</em> be set before the
1000 <a href="smb.conf.5.html#validchars"><strong>"valid chars"</strong></a> parameter in the <strong>smb.conf</strong>
1001 file. The <a href="smb.conf.5.html#validchars"><strong>"valid chars"</strong></a> string will then augment
1002 the character settings in the "client code page" parameter.
1003 <p>If not set, <strong>"client code page"</strong> defaults to 850.
1004 <p>See also : <a href="smb.conf.5.html#validchars"><strong>"valid chars"</strong></a>
1005 <p><strong>Default:</strong>
1006 <code>  client code page = 850</code>
1007 <p><strong>Example:</strong>
1008 <code>  client code page = 936</code>
1009 <p><a name="codingsystem"></a>
1010 <p></p><dt><strong><strong>codingsystem (G)</strong></strong><dd>
1011 <p>This parameter is used to determine how incoming Shift-JIS Japanese
1012 characters are mapped from the incoming <a href="smb.conf.5.html#clientcodepage"><strong>"client code
1013 page"</strong></a> used by the client, into file names in the
1014 UNIX filesystem. Only useful if <a href="smb.conf.5.html#clientcodepage"><strong>"client code
1015 page"</strong></a> is set to 932 (Japanese Shift-JIS).
1016 <p>The options are :
1017 <p><dl>
1018 <p><li > <strong>SJIS</strong>  Shift-JIS. Does no conversion of the incoming filename.
1019 <p><li > <strong>JIS8, J8BB, J8BH, J8@B, J8@J, J8@H </strong> Convert from incoming
1020 Shift-JIS to eight bit JIS code with different shift-in, shift out
1021 codes.
1022 <p><li > <strong>JIS7, J7BB, J7BH, J7@B, J7@J, J7@H </strong> Convert from incoming
1023 Shift-JIS to seven bit JIS code with different shift-in, shift out
1024 codes.
1025 <p><li > <strong>JUNET, JUBB, JUBH, JU@B, JU@J, JU@H </strong> Convert from incoming
1026 Shift-JIS to JUNET code with different shift-in, shift out codes.
1027 <p><li > <strong>EUC</strong>  Convert an incoming Shift-JIS character to EUC code.
1028 <p><li > <strong>HEX</strong> Convert an incoming Shift-JIS character to a 3 byte hex
1029 representation, i.e. <code>:AB</code>.
1030 <p><li > <strong>CAP</strong> Convert an incoming Shift-JIS character to the 3 byte hex
1031 representation used by the Columbia AppleTalk Program (CAP),
1032 i.e. <code>:AB</code>.  This is used for compatibility between Samba and CAP.
1033 <p></dl>
1034 <p><a name="comment"></a>
1035 <p></p><dt><strong><strong>comment (S)</strong></strong><dd>
1036 <p>This is a text field that is seen next to a share when a client does a
1037 queries the server, either via the network neighborhood or via "net
1038 view" to list what shares are available.
1039 <p>If you want to set the string that is displayed next to the machine
1040 name then see the server string command.
1041 <p><strong>Default:</strong>
1042 <code>  No comment string</code>
1043 <p><strong>Example:</strong>
1044 <code>  comment = Fred's Files</code>
1045 <p><a name="configfile"></a>
1046 <p></p><dt><strong><strong>config file (G)</strong></strong><dd>
1047 <p>This allows you to override the config file to use, instead of the
1048 default (usually <strong>smb.conf</strong>). There is a chicken and egg problem
1049 here as this option is set in the config file!
1050 <p>For this reason, if the name of the config file has changed when the
1051 parameters are loaded then it will reload them from the new config
1052 file.
1053 <p>This option takes the usual substitutions, which can be very useful.
1054 <p>If the config file doesn't exist then it won't be loaded (allowing you
1055 to special case the config files of just a few clients).
1056 <p><strong>Example:</strong>
1057 <code>  config file = /usr/local/samba/lib/smb.conf.%m</code>
1058 <p><a name="copy"></a>
1059 <p></p><dt><strong><strong>copy (S)</strong></strong><dd>
1060 <p>This parameter allows you to <em>'clone'</em> service entries. The specified
1061 service is simply duplicated under the current service's name. Any
1062 parameters specified in the current section will override those in the
1063 section being copied.
1064 <p>This feature lets you set up a 'template' service and create similar
1065 services easily. Note that the service being copied must occur earlier
1066 in the configuration file than the service doing the copying.
1067 <p><strong>Default:</strong>
1068 <code>  none</code>
1069 <p><strong>Example:</strong>
1070 <code>  copy = otherservice</code>
1071 <p><a name="createmask"></a>
1072 <p></p><dt><strong><strong>create mask (S)</strong></strong><dd>
1073 <p>A synonym for this parameter is <a href="smb.conf.5.html#createmode"><strong>'create mode'</strong></a>.
1074 <p>When a file is created, the necessary permissions are calculated
1075 according to the mapping from DOS modes to UNIX permissions, and the
1076 resulting UNIX mode is then bit-wise 'AND'ed with this parameter.
1077 This parameter may be thought of as a bit-wise MASK for the UNIX modes
1078 of a file. Any bit <em>*not*</em> set here will be removed from the modes set
1079 on a file when it is created.
1080 <p>The default value of this parameter removes the 'group' and 'other'
1081 write and execute bits from the UNIX modes.
1082 <p>Following this Samba will bit-wise 'OR' the UNIX mode created from
1083 this parameter with the value of the "force create mode" parameter
1084 which is set to 000 by default.
1085 <p>This parameter does not affect directory modes. See the parameter
1086 <a href="smb.conf.5.html#directorymode"><strong>'directory mode'</strong></a> for details.
1087 <p>See also the <a href="smb.conf.5.html#forcecreatemode"><strong>"force create mode"</strong></a> parameter
1088 for forcing particular mode bits to be set on created files. See also
1089 the <a href="smb.conf.5.html#directorymode"><strong>"directory mode"</strong></a> parameter for masking
1090 mode bits on created directories.
1091 See also the <a href="smb.conf.5.html#inheritpermissions"><strong>"inherit permissions"</strong></a> parameter.
1092 <p><strong>Default:</strong>
1093 <code>  create mask = 0744</code>
1094 <p><strong>Example:</strong>
1095 <code>  create mask = 0775</code>
1096 <p><a name="createmode"></a>
1097 <p></p><dt><strong><strong>create mode (S)</strong></strong><dd>
1098 <p>This is a synonym for <a href="smb.conf.5.html#createmask"><strong>create mask</strong></a>.
1099 <p><a name="deadtime"></a>
1100 <p></p><dt><strong><strong>deadtime (G)</strong></strong><dd>
1101 <p>The value of the parameter (a decimal integer) represents the number
1102 of minutes of inactivity before a connection is considered dead, and
1103 it is disconnected. The deadtime only takes effect if the number of
1104 open files is zero.
1105 <p>This is useful to stop a server's resources being exhausted by a large
1106 number of inactive connections.
1107 <p>Most clients have an auto-reconnect feature when a connection is
1108 broken so in most cases this parameter should be transparent to users.
1109 <p>Using this parameter with a timeout of a few minutes is recommended
1110 for most systems.
1111 <p>A deadtime of zero indicates that no auto-disconnection should be
1112 performed.
1113 <p><strong>Default:</strong>
1114 <code>  deadtime = 0</code>
1115 <p><strong>Example:</strong>
1116 <code>  deadtime = 15</code>
1117 <p><a name="debughirestimestamp"></a>
1118 <p></p><dt><strong><strong>debug hires timestamp (G)</strong></strong><dd>
1119 <p>Sometimes the timestamps in the log messages are needed with a
1120 resolution of higher that seconds, this boolean parameter adds
1121 microsecond resolution to the timestamp message header when turned on.
1122 <p>Note that the parameter <a href="smb.conf.5.html#debugtimestamp"><strong>debug timestamp</strong></a>
1123 must be on for this to have an effect.
1124 <p><strong>Default:</strong>
1125 <code> debug hires timestamp = No</code>
1126 <p><strong>Example:</strong>
1127 <code> debug hires timestamp = Yes</code>
1128 <p><a name="debugtimestamp"></a>
1129 <p></p><dt><strong><strong>debug timestamp (G)</strong></strong><dd>
1130 <p>Samba2.0 debug log messages are timestamped by default. If you are
1131 running at a high <a href="smb.conf.5.html#debuglevel"><strong>"debug level"</strong></a> these timestamps
1132 can be distracting. This boolean parameter allows timestamping to be turned
1133 off.
1134 <p><strong>Default:</strong>
1135 <code>  debug timestamp = Yes</code>
1136 <p><strong>Example:</strong>
1137 <code>  debug timestamp = No</code>
1138 <p><a name="debugpid"></a>
1139 <p></p><dt><strong><strong>debug pid (G)</strong></strong><dd>
1140 <p>When using only one log file for more then one forked smbd-process
1141 there may be hard to follow which process outputs which message.
1142 This boolean parameter is adds the process-id to the timestamp message
1143 headers in the logfile when turned on.
1144 <p>Note that the parameter <a href="smb.conf.5.html#debugtimestamp"><strong>debug timestamp</strong></a>
1145 must be on for this to have an effect.
1146 <p><strong>Default:</strong>
1147 <code>  debug pid = No</code>
1148 <p><strong>Example:</strong>
1149 <code>  debug pid = Yes</code>
1150 <p><a name="debuguid"></a>
1151 <p></p><dt><strong><strong>debug uid (G)</strong></strong><dd>
1152 <p>Samba is sometimes run as root and sometime run as the connected
1153 user, this boolean parameter inserts the current euid, egid, uid
1154 and gid to the timestamp message headers in the log file if turned on.
1155 <p>Note that the parameter <a href="smb.conf.5.html#debugtimestamp"><strong>debug timestamp</strong></a>
1156 must be on for this to have an effect.
1157 <p><strong>Default:</strong>
1158 <code>  debug uid = No</code>
1159 <p><strong>Example:</strong>
1160 <code>  debug uid = Yes</code>
1161 <p><a name="debuglevel"></a>
1162 <p></p><dt><strong><strong>debug level (G)</strong></strong><dd>
1163 <p>The value of the parameter (an integer) allows the debug level
1164 (logging level) to be specified in the <strong>smb.conf</strong> file. This is to
1165 give greater flexibility in the configuration of the system.
1166 <p>The default will be the debug level specified on the command line
1167 or level zero if none was specified.
1168 <p><strong>Example:</strong>
1169 <code>  debug level = 3</code>
1170 <p><a name="default"></a>
1171 <p></p><dt><strong><strong>default (G)</strong></strong><dd>
1172 <p>A synonym for <a href="smb.conf.5.html#defaultservice"><strong>default service</strong></a>.
1173 <p><a name="defaultcase"></a>
1174 <p></p><dt><strong><strong>default case (S)</strong></strong><dd>
1175 <p>See the section on <a href="smb.conf.5.html#NAMEMANGLING"><strong>"NAME MANGLING"</strong></a>. Also note
1176 the <a href="smb.conf.5.html#shortpreservecase"><strong>"short preserve case"</strong></a> parameter.
1177 <p><a name="defaultservice"></a>
1178 <p></p><dt><strong><strong>default service (G)</strong></strong><dd>
1179 <p>This parameter specifies the name of a service which will be connected
1180 to if the service actually requested cannot be found. Note that the
1181 square brackets are <em>NOT</em> given in the parameter value (see example
1182 below).
1183 <p>There is no default value for this parameter. If this parameter is not
1184 given, attempting to connect to a nonexistent service results in an
1185 error.
1186 <p>Typically the default service would be a <a href="smb.conf.5.html#guestok"><strong>guest ok</strong></a>,
1187 <a href="smb.conf.5.html#readonly"><strong>read-only</strong></a> service.
1188 <p>Also note that the apparent service name will be changed to equal that
1189 of the requested service, this is very useful as it allows you to use
1190 macros like <a href="smb.conf.5.html#percentS"><strong>%S</strong></a> to make a wildcard service.
1191 <p>Note also that any <code>'_'</code> characters in the name of the service used
1192 in the default service will get mapped to a <code>'/'</code>. This allows for
1193 interesting things.
1194 <p><strong>Example:</strong>
1195 <pre>
1197         default service = pub
1199         [pub]
1200                 path = /%S
1202 </pre>
1204 <p><a name="deleteuserscript"></a>
1205 <p></p><dt><strong><strong>delete user script (G)</strong></strong><dd>
1206 <p>This is the full pathname to a script that will be run <em>AS ROOT</em> by
1207 <a href="smbd.8.html"><strong>smbd (8)</strong></a> under special circumstances decribed
1208 below.
1209 <p>Normally, a Samba server requires that UNIX users are created for all
1210 users accessing files on this server. For sites that use Windows NT
1211 account databases as their primary user database creating these users
1212 and keeping the user list in sync with the Windows NT PDC is an
1213 onerous task. This option allows <a href="smbd.8.html"><strong>smbd</strong></a> to delete
1214 the required UNIX users <em>ON DEMAND</em> when a user accesses the Samba
1215 server and the Windows NT user no longer exists.
1216 <p>In order to use this option, <a href="smbd.8.html"><strong>smbd</strong></a> must be set to
1217 <a href="smb.conf.5.html#securityequaldomain"><strong>security=domain</strong></a> and <strong>"delete user
1218 script"</strong> must be set to a full pathname for a script that will delete
1219 a UNIX user given one argument of <strong>%u</strong>, which expands into the UNIX
1220 user name to delete. <em>NOTE</em> that this is different to the
1221 <a href="smb.conf.5.html#adduserscript"><strong>add user script</strong></a> which will work with the
1222 <a href="smb.conf.5.html#securityequalserver"><strong>security=server</strong></a> option as well as
1223 <a href="smb.conf.5.html#securityequaldomain"><strong>security=domain</strong></a>. The reason for this
1224 is only when Samba is a domain member does it get the information
1225 on an attempted user logon that a user no longer exists. In the
1226 <a href="smb.conf.5.html#securityequalserver"><strong>security=server</strong></a> mode a missing user
1227 is treated the same as an invalid password logon attempt. Deleting
1228 the user in this circumstance would not be a good idea.
1229 <p>When the Windows user attempts to access the Samba server, at
1230 <em>"login"</em>(session setup in the SMB protocol) time,
1231 <a href="smbd.8.html"><strong>smbd</strong></a> contacts the <a href="smb.conf.5.html#passwordserver"><strong>password
1232 server</strong></a> and attempts to authenticate the given user
1233 with the given password. If the authentication fails with the specific
1234 Domain error code meaning that the user no longer exists then
1235 <a href="smbd.8.html"><strong>smbd</strong></a> attempts to find a UNIX user in the UNIX
1236 password database that matches the Windows user account. If this lookup succeeds,
1237 and <strong>"delete user script"</strong> is set then <a href="smbd.8.html"><strong>smbd</strong></a> will
1238 call the specified script <em>AS ROOT</em>, expanding any <strong>%u</strong> argument
1239 to be the user name to delete.
1240 <p>This script should delete the given UNIX username. In this way, UNIX
1241 users are dynamically deleted to match existing Windows NT accounts.
1242 <p>See also <a href="smb.conf.5.html#securityequaldomain"><strong>security=domain</strong></a>,
1243 <a href="smb.conf.5.html#passwordserver"><strong>password server</strong></a>, <a href="smb.conf.5.html#adduserscript"><strong>add user
1244 script</strong></a>.
1245 <p><strong>Default:</strong>
1246 <code>  delete user script = &lt;empty string&gt;</code>
1247 <p><strong>Example:</strong>
1248 <code>  delete user script = /usr/local/samba/bin/del_user %u</code>
1249 <p><a name="deletereadonly"></a>
1250 <p></p><dt><strong><strong>delete readonly (S)</strong></strong><dd>
1251 <p>This parameter allows readonly files to be deleted.  This is not
1252 normal DOS semantics, but is allowed by UNIX.
1253 <p>This option may be useful for running applications such as rcs, where
1254 UNIX file ownership prevents changing file permissions, and DOS
1255 semantics prevent deletion of a read only file.
1256 <p><strong>Default:</strong>
1257 <code>  delete readonly = No</code>
1258 <p><strong>Example:</strong>
1259 <code>  delete readonly = Yes</code>
1260 <p><a name="deletevetofiles"></a>
1261 <p></p><dt><strong><strong>delete veto files (S)</strong></strong><dd>
1262 <p>This option is used when Samba is attempting to delete a directory
1263 that contains one or more vetoed directories (see the <a href="smb.conf.5.html#vetofiles"><strong>'veto
1264 files'</strong></a> option).  If this option is set to False (the
1265 default) then if a vetoed directory contains any non-vetoed files or
1266 directories then the directory delete will fail. This is usually what
1267 you want.
1268 <p>If this option is set to True, then Samba will attempt to recursively
1269 delete any files and directories within the vetoed directory. This can
1270 be useful for integration with file serving systems such as <strong>NetAtalk</strong>,
1271 which create meta-files within directories you might normally veto
1272 DOS/Windows users from seeing (e.g. <code>.AppleDouble</code>)
1273 <p>Setting <code>'delete veto files = True'</code> allows these directories to be 
1274 transparently deleted when the parent directory is deleted (so long
1275 as the user has permissions to do so).
1276 <p>See also the <a href="smb.conf.5.html#vetofiles"><strong>veto files</strong></a> parameter.
1277 <p><strong>Default:</strong>
1278 <code>  delete veto files = False</code>
1279 <p><strong>Example:</strong>
1280 <code>  delete veto files = True</code>
1281 <p><a name="denyhosts"></a>
1282 <p></p><dt><strong><strong>deny hosts (S)</strong></strong><dd>
1283 <p>Synonym for <a href="smb.conf.5.html#hostsdeny"><strong>hosts deny</strong></a>.
1284 <p><a name="dfreecommand"></a>
1285 <p></p><dt><strong><strong>dfree command (G)</strong></strong><dd>
1286 <p>The dfree command setting should only be used on systems where a
1287 problem occurs with the internal disk space calculations. This has
1288 been known to happen with Ultrix, but may occur with other operating
1289 systems. The symptom that was seen was an error of "Abort Retry
1290 Ignore" at the end of each directory listing.
1291 <p>This setting allows the replacement of the internal routines to
1292 calculate the total disk space and amount available with an external
1293 routine. The example below gives a possible script that might fulfill
1294 this function.
1295 <p>The external program will be passed a single parameter indicating a
1296 directory in the filesystem being queried. This will typically consist
1297 of the string <code>"./"</code>. The script should return two integers in
1298 ascii. The first should be the total disk space in blocks, and the
1299 second should be the number of available blocks. An optional third
1300 return value can give the block size in bytes. The default blocksize
1301 is 1024 bytes.
1302 <p>Note: Your script should <em>NOT</em> be setuid or setgid and should be
1303 owned by (and writeable only by) root!
1304 <p><strong>Default:</strong>
1305 <code>  By default internal routines for determining the disk capacity
1306 and remaining space will be used.</code>
1307 <p><strong>Example:</strong>
1308 <code>  dfree command = /usr/local/samba/bin/dfree</code>
1309 <p>Where the script dfree (which must be made executable) could be:
1310 <p><pre>
1312         #!/bin/sh
1313         df $1 | tail -1 | awk '{print $2" "$4}'
1315 </pre>
1317 <p>or perhaps (on Sys V based systems):
1318 <p><pre>
1320         #!/bin/sh
1321         /usr/bin/df -k $1 | tail -1 | awk '{print $3" "$5}'
1323 </pre>
1325 <p>Note that you may have to replace the command names with full
1326 path names on some systems.
1327 <p><a name="directory"></a>
1328 <p></p><dt><strong><strong>directory (S)</strong></strong><dd>
1329 <p>Synonym for <a href="smb.conf.5.html#path"><strong>path</strong></a>.
1330 <p><a name="directorymask"></a>
1331 <p></p><dt><strong><strong>directory mask (S)</strong></strong><dd>
1332 <p>This parameter is the octal modes which are used when converting DOS
1333 modes to UNIX modes when creating UNIX directories.
1334 <p>When a directory is created, the necessary permissions are calculated
1335 according to the mapping from DOS modes to UNIX permissions, and the
1336 resulting UNIX mode is then bit-wise 'AND'ed with this parameter.
1337 This parameter may be thought of as a bit-wise MASK for the UNIX modes
1338 of a directory. Any bit <em>*not*</em> set here will be removed from the
1339 modes set on a directory when it is created.
1340 <p>The default value of this parameter removes the 'group' and 'other'
1341 write bits from the UNIX mode, allowing only the user who owns the
1342 directory to modify it.
1343 <p>Following this Samba will bit-wise 'OR' the UNIX mode created from
1344 this parameter with the value of the "force directory mode"
1345 parameter. This parameter is set to 000 by default (i.e. no extra mode
1346 bits are added).
1347 <p>See the <a href="smb.conf.5.html#forcedirectorymode"><strong>"force directory mode"</strong></a> parameter
1348 to cause particular mode bits to always be set on created directories.
1349 <p>See also the <a href="smb.conf.5.html#createmode"><strong>"create mode"</strong></a> parameter for masking
1350 mode bits on created files, and the <a href="smb.conf.5.html#directorysecuritymask"><strong>"directory security mask"</strong></a>
1351 parameter.
1352 <p>See also the <a href="smb.conf.5.html#inheritpermissions"><strong>"inherit permissions"</strong></a> parameter.
1353 <p><strong>Default:</strong>
1354 <code>  directory mask = 0755</code>
1355 <p><strong>Example:</strong>
1356 <code>  directory mask = 0775</code>
1357 <p><a name="directorymode"></a>
1358 <p></p><dt><strong><strong>directory mode (S)</strong></strong><dd>
1359 <p>Synonym for <a href="smb.conf.5.html#directorymask"><strong>directory mask</strong></a>.
1360 <p><a name="directorysecuritymask"></a>
1361 <p></p><dt><strong><strong>directory security mask (S)</strong></strong><dd>
1362 <p>This parameter controls what UNIX permission bits can be modified
1363 when a Windows NT client is manipulating the UNIX permission on a
1364 directory using the native NT security dialog box.
1365 <p>This parameter is applied as a mask (AND'ed with) to the changed
1366 permission bits, thus preventing any bits not in this mask from
1367 being modified. Essentially, zero bits in this mask may be treated
1368 as a set of bits the user is not allowed to change.
1369 <p>If not set explicitly this parameter is set to the same value as the
1370 <a href="smb.conf.5.html#directorymask"><strong>directory mask</strong></a> parameter. To allow a user to
1371 modify all the user/group/world permissions on a directory, set this
1372 parameter to 0777.
1373 <p><em>Note</em> that users who can access the Samba server through other
1374 means can easily bypass this restriction, so it is primarily
1375 useful for standalone "appliance" systems.  Administrators of
1376 most normal systems will probably want to set it to 0777.
1377 <p>See also the <a href="smb.conf.5.html#forcedirectorysecuritymode"><strong>force directory security
1378 mode</strong></a>, <a href="smb.conf.5.html#securitymask"><strong>security
1379 mask</strong></a>, <a href="smb.conf.5.html#forcesecuritymode"><strong>force security mode</strong></a>
1380 parameters.
1381 <p><strong>Default:</strong>
1382 <code>  directory security mask = &lt;same as directory mask&gt;</code>
1383 <p><strong>Example:</strong>
1384 <code>  directory security mask = 0777</code>
1385 <p><a name="dnsproxy"></a>
1386 <p></p><dt><strong><strong>dns proxy (G)</strong></strong><dd>
1387 <p>Specifies that <a href="nmbd.8.html"><strong>nmbd</strong></a> when acting as a WINS
1388 server and finding that a NetBIOS name has not been registered, should
1389 treat the NetBIOS name word-for-word as a DNS name and do a lookup
1390 with the DNS server for that name on behalf of the name-querying
1391 client.
1392 <p>Note that the maximum length for a NetBIOS name is 15 characters, so
1393 the DNS name (or DNS alias) can likewise only be 15 characters,
1394 maximum.
1395 <p><a href="nmbd.8.html"><strong>nmbd</strong></a> spawns a second copy of itself to do the
1396 DNS name lookup requests, as doing a name lookup is a blocking action.
1397 <p>See also the parameter <a href="smb.conf.5.html#winssupport"><strong>wins support</strong></a>.
1398 <p><strong>Default:</strong>
1399 <code>  dns proxy = yes</code>
1400 <p><a name="domainadmingroup"></a>
1401 <strong>domain admin group (G)</strong>
1402 <p>This is an <strong>EXPERIMENTAL</strong> parameter that is part of the unfinished
1403 Samba NT Domain Controller Code. It may be removed in a later release.
1404 To work with the latest code builds that may have more support for
1405 Samba NT Domain Controller functionality please subscribe to the
1406 mailing list <strong>Samba-ntdom</strong> available by visiting the web page at
1407 <a href=""></a>
1408 <p><a name="domainadminusers"></a> 
1409 <p></p><dt><strong><strong>domain admin users (G)</strong></strong><dd>
1410 <p>This is an <strong>EXPERIMENTAL</strong> parameter that is part of the unfinished
1411 Samba NT Domain Controller Code. It may be removed in a later release.
1412 To work with the latest code builds that may have more support for
1413 Samba NT Domain Controller functionality please subscribe to the
1414 mailing list <strong>Samba-ntdom</strong> available by visiting the web page at
1415 <a href=""></a>
1416 <p><a name="domaingroups"></a>
1417 <p></p><dt><strong><strong>domain groups (G)</strong></strong><dd>
1418 <p>This is an <strong>EXPERIMENTAL</strong> parameter that is part of the unfinished
1419 Samba NT Domain Controller Code. It may be removed in a later release.
1420 To work with the latest code builds that may have more support for
1421 Samba NT Domain Controller functionality please subscribe to the
1422 mailing list <strong>Samba-ntdom</strong> available by visiting the web page at
1423 <a href=""></a>
1424 <p><a name="domainguestgroup"></a>
1425 <p></p><dt><strong><strong>domain guest group (G)</strong></strong><dd>
1426 <p>This is an <strong>EXPERIMENTAL</strong> parameter that is part of the unfinished
1427 Samba NT Domain Controller Code. It may be removed in a later release.
1428 To work with the latest code builds that may have more support for
1429 Samba NT Domain Controller functionality please subscribe to the
1430 mailing list <strong>Samba-ntdom</strong> available by visiting the web page at 
1431 <a href=""></a>
1432 <p><a name="domainguestusers"></a>
1433 <p></p><dt><strong><strong>domain guest users (G)</strong></strong><dd>
1434 <p>This is an <strong>EXPERIMENTAL</strong> parameter that is part of the unfinished
1435 Samba NT Domain Controller Code. It may be removed in a later release.
1436 To work with the latest code builds that may have more support for
1437 Samba NT Domain Controller functionality please subscribe to the
1438 mailing list <strong>Samba-ntdom</strong> available by visiting the web page at
1439 <a href=""></a>
1440 <p><a name="domainlogons"></a>
1441 <p></p><dt><strong><strong>domain logons (G)</strong></strong><dd>
1442 <p>If set to true, the Samba server will serve Windows 95/98 Domain
1443 logons for the <a href="smb.conf.5.html#workgroup"><strong>workgroup</strong></a> it is in. For more
1444 details on setting up this feature see the file DOMAINS.txt in the
1445 Samba documentation directory <code>docs/</code> shipped with the source code.
1446 <p>Note that Win95/98 Domain logons are <em>NOT</em> the same as Windows
1447 NT Domain logons. NT Domain logons require a Primary Domain Controller
1448 (PDC) for the Domain. It is intended that in a future release Samba
1449 will be able to provide this functionality for Windows NT clients
1450 also.
1451 <p><strong>Default:</strong>
1452 <code>  domain logons = no</code>
1453 <p><a name="domainmaster"></a>
1454 <p></p><dt><strong><strong>domain master (G)</strong></strong><dd>
1455 <p>Tell <a href="nmbd.8.html"><strong>nmbd</strong></a> to enable WAN-wide browse list
1456 collation. Setting this option causes <a href="nmbd.8.html"><strong>nmbd</strong></a> to
1457 claim a special domain specific NetBIOS name that identifies it as a
1458 domain master browser for its given
1459 <a href="smb.conf.5.html#workgroup"><strong>workgroup</strong></a>. Local master browsers in the same
1460 <a href="smb.conf.5.html#workgroup"><strong>workgroup</strong></a> on broadcast-isolated subnets will give
1461 this <a href="nmbd.8.html"><strong>nmbd</strong></a> their local browse lists, and then
1462 ask <a href="smbd.8.html"><strong>smbd</strong></a> for a complete copy of the browse list
1463 for the whole wide area network.  Browser clients will then contact
1464 their local master browser, and will receive the domain-wide browse
1465 list, instead of just the list for their broadcast-isolated subnet.
1466 <p>Note that Windows NT Primary Domain Controllers expect to be able to
1467 claim this <a href="smb.conf.5.html#workgroup"><strong>workgroup</strong></a> specific special NetBIOS
1468 name that identifies them as domain master browsers for that
1469 <a href="smb.conf.5.html#workgroup"><strong>workgroup</strong></a> by default (i.e. there is no way to
1470 prevent a Windows NT PDC from attempting to do this). This means that
1471 if this parameter is set and <a href="nmbd.8.html"><strong>nmbd</strong></a> claims the
1472 special name for a <a href="smb.conf.5.html#workgroup"><strong>workgroup</strong></a> before a Windows NT
1473 PDC is able to do so then cross subnet browsing will behave strangely
1474 and may fail.
1475 <p><strong>Default:</strong>
1476 <code>  domain master = no</code>
1477 <p><a name="dontdescend"></a>
1478 <p></p><dt><strong><strong>dont descend (S)</strong></strong><dd>
1479 <p>There are certain directories on some systems (e.g., the <code>/proc</code> tree
1480 under Linux) that are either not of interest to clients or are
1481 infinitely deep (recursive). This parameter allows you to specify a
1482 comma-delimited list of directories that the server should always show
1483 as empty.
1484 <p>Note that Samba can be very fussy about the exact format of the "dont
1485 descend" entries. For example you may need <code>"./proc"</code> instead of
1486 just <code>"/proc"</code>. Experimentation is the best policy :-)
1487 <p><strong>Default:</strong>
1488 <code>  none (i.e., all directories are OK to descend)</code>
1489 <p><strong>Example:</strong>
1490 <code>  dont descend = /proc,/dev</code>
1491 <p><a name="dosfiletimeresolution"></a>
1492 <p></p><dt><strong><strong>dos filetime resolution (S)</strong></strong><dd>
1493 <p>Under the DOS and Windows FAT filesystem, the finest granularity on
1494 time resolution is two seconds. Setting this parameter for a share
1495 causes Samba to round the reported time down to the nearest two second
1496 boundary when a query call that requires one second resolution is made
1497 to <a href="smbd.8.html"><strong>smbd</strong></a>.
1498 <p>This option is mainly used as a compatibility option for Visual C++
1499 when used against Samba shares. If oplocks are enabled on a share,
1500 Visual C++ uses two different time reading calls to check if a file
1501 has changed since it was last read. One of these calls uses a
1502 one-second granularity, the other uses a two second granularity. As
1503 the two second call rounds any odd second down, then if the file has a
1504 timestamp of an odd number of seconds then the two timestamps will not
1505 match and Visual C++ will keep reporting the file has changed. Setting
1506 this option causes the two timestamps to match, and Visual C++ is
1507 happy.
1508 <p><strong>Default:</strong>
1509 <code>  dos filetime resolution = False</code>
1510 <p><strong>Example:</strong>
1511 <code>  dos filetime resolution = True</code>
1512 <p><a name="dosfiletimes"></a>
1513 <p></p><dt><strong><strong>dos filetimes (S)</strong></strong><dd>
1514 <p>Under DOS and Windows, if a user can write to a file they can change
1515 the timestamp on it. Under POSIX semantics, only the owner of the file
1516 or root may change the timestamp. By default, Samba runs with POSIX
1517 semantics and refuses to change the timestamp on a file if the user
1518 smbd is acting on behalf of is not the file owner. Setting this option
1519 to True allows DOS semantics and smbd will change the file timestamp as
1520 DOS requires.
1521 <p><strong>Default:</strong>
1522 <code>  dos filetimes = False</code>
1523 <p><strong>Example:</strong>
1524 <code>  dos filetimes = True</code>
1525 <p><a name="encryptpasswords"></a>
1526 <p></p><dt><strong><strong>encrypt passwords (G)</strong></strong><dd>
1527 <p>This boolean controls whether encrypted passwords will be negotiated
1528 with the client. Note that Windows NT 4.0 SP3 and above and also
1529 Windows 98 will by default expect encrypted passwords unless a
1530 registry entry is changed. To use encrypted passwords in Samba see the
1531 file ENCRYPTION.txt in the Samba documentation directory <code>docs/</code>
1532 shipped with the source code.
1533 <p>In order for encrypted passwords to work correctly
1534 <a href="smbd.8.html"><strong>smbd</strong></a> must either have access to a local
1535 <a href="smbpasswd.5.html"><strong>smbpasswd (5)</strong></a> file (see the
1536 <a href="smbpasswd.8.html"><strong>smbpasswd (8)</strong></a> program for information on
1537 how to set up and maintain this file), or set the
1538 <a href="smb.conf.5.html#security"><strong>security=</strong></a> parameter to either
1539 <a href="smb.conf.5.html#securityequalserver"><strong>"server"</strong></a> or
1540 <a href="smb.conf.5.html#securityequaldomain"><strong>"domain"</strong></a> which causes
1541 <a href="smbd.8.html"><strong>smbd</strong></a> to authenticate against another server.
1542 <p><a name="exec"></a>
1543 <p></p><dt><strong><strong>exec (S)</strong></strong><dd>
1544 <p>This is a synonym for <a href="smb.conf.5.html#preexec"><strong>preexec</strong></a>.
1545 <p><a name="fakedirectorycreatetimes"></a>
1546 <p></p><dt><strong><strong>fake directory create times (S)</strong></strong><dd>
1547 <p>NTFS and Windows VFAT file systems keep a create time for all files
1548 and directories. This is not the same as the ctime - status change
1549 time - that Unix keeps, so Samba by default reports the earliest of
1550 the various times Unix does keep. Setting this parameter for a share
1551 causes Samba to always report midnight 1-1-1980 as the create time for
1552 directories.
1553 <p>This option is mainly used as a compatibility option for Visual C++
1554 when used against Samba shares. Visual C++ generated makefiles have
1555 the object directory as a dependency for each object file, and a make
1556 rule to create the directory. Also, when NMAKE compares timestamps it
1557 uses the creation time when examining a directory. Thus the object
1558 directory will be created if it does not exist, but once it does exist
1559 it will always have an earlier timestamp than the object files it
1560 contains.
1561 <p>However, Unix time semantics mean that the create time reported by
1562 Samba will be updated whenever a file is created or deleted in the
1563 directory. NMAKE therefore finds all object files in the object
1564 directory bar the last one built are out of date compared to the
1565 directory and rebuilds them. Enabling this option ensures directories
1566 always predate their contents and an NMAKE build will proceed as
1567 expected.
1568 <p><strong>Default:</strong>
1569 <code>  fake directory create times = False</code>
1570 <p><strong>Example:</strong>
1571 <code>  fake directory create times = True</code>
1572 <p><a name="fakeoplocks"></a>
1573 <p></p><dt><strong><strong>fake oplocks (S)</strong></strong><dd>
1574 <p>Oplocks are the way that SMB clients get permission from a server to
1575 locally cache file operations. If a server grants an oplock
1576 (opportunistic lock) then the client is free to assume that it is the
1577 only one accessing the file and it will aggressively cache file
1578 data. With some oplock types the client may even cache file open/close
1579 operations. This can give enormous performance benefits.
1580 <p>When you set <code>"fake oplocks = yes"</code> <a href="smbd.8.html"><strong>smbd</strong></a> will
1581 always grant oplock requests no matter how many clients are using the
1582 file.
1583 <p>It is generally much better to use the real <a href="smb.conf.5.html#oplocks"><strong>oplocks</strong></a>
1584 support rather than this parameter.
1585 <p>If you enable this option on all read-only shares or shares that you
1586 know will only be accessed from one client at a time such as
1587 physically read-only media like CDROMs, you will see a big performance
1588 improvement on many operations. If you enable this option on shares
1589 where multiple clients may be accessing the files read-write at the
1590 same time you can get data corruption. Use this option carefully!
1591 <p>This option is disabled by default.
1592 <p><a name="followsymlinks"></a>
1593 <p></p><dt><strong><strong>follow symlinks (S)</strong></strong><dd>
1594 <p>This parameter allows the Samba administrator to stop
1595 <a href="smbd.8.html"><strong>smbd</strong></a> from following symbolic links in a
1596 particular share. Setting this parameter to <em>"No"</em> prevents any file
1597 or directory that is a symbolic link from being followed (the user
1598 will get an error).  This option is very useful to stop users from
1599 adding a symbolic link to <code>/etc/passwd</code> in their home directory for
1600 instance.  However it will slow filename lookups down slightly.
1601 <p>This option is enabled (i.e. <a href="smbd.8.html"><strong>smbd</strong></a> will follow
1602 symbolic links) by default.
1603 <p><a name="forcecreatemode"></a>
1604 <p></p><dt><strong><strong>force create mode (S)</strong></strong><dd>
1605 <p>This parameter specifies a set of UNIX mode bit permissions that will
1606 <em>*always*</em> be set on a file by Samba. This is done by bitwise
1607 'OR'ing these bits onto the mode bits of a file that is being created
1608 or having its permissions changed. The default for this parameter is
1609 (in octal) 000. The modes in this parameter are bitwise 'OR'ed onto
1610 the file mode after the mask set in the <a href="smb.conf.5.html#createmask"><strong>"create
1611 mask"</strong></a> parameter is applied.
1612 <p>See also the parameter <a href="smb.conf.5.html#createmask"><strong>"create mask"</strong></a> for details
1613 on masking mode bits on files.
1614 <p>See also the <a href="smb.conf.5.html#inheritpermissions"><strong>"inherit permissions"</strong></a> parameter.
1615 <p><strong>Default:</strong>
1616 <code>  force create mode = 000</code>
1617 <p><strong>Example:</strong>
1618 <code>  force create mode = 0755</code>
1619 <p>would force all created files to have read and execute permissions set
1620 for 'group' and 'other' as well as the read/write/execute bits set for
1621 the 'user'.
1622 <p><a name="forcedirectorymode"></a>
1623 <p></p><dt><strong><strong>force directory mode (S)</strong></strong><dd>
1624 <p>This parameter specifies a set of UNIX mode bit permissions that will
1625 <em>*always*</em> be set on a directory created by Samba. This is done by
1626 bitwise 'OR'ing these bits onto the mode bits of a directory that is
1627 being created. The default for this parameter is (in octal) 0000 which
1628 will not add any extra permission bits to a created directory. This
1629 operation is done after the mode mask in the parameter
1630 <a href="smb.conf.5.html#directorymask"><strong>"directory mask"</strong></a> is applied.
1631 <p>See also the parameter <a href="smb.conf.5.html#directorymask"><strong>"directory mask"</strong></a> for
1632 details on masking mode bits on created directories.
1633 <p>See also the <a href="smb.conf.5.html#inheritpermissions"><strong>"inherit permissions"</strong></a> parameter.
1634 <p><strong>Default:</strong>
1635 <code>  force directory mode = 000</code>
1636 <p><strong>Example:</strong>
1637 <code>  force directory mode = 0755</code>
1638 <p>would force all created directories to have read and execute
1639 permissions set for 'group' and 'other' as well as the
1640 read/write/execute bits set for the 'user'.
1641 <p><a name="forcedirectorysecuritymode"></a>
1642 <p></p><dt><strong><strong>force directory security mode (S)</strong></strong><dd>
1643 <p>This parameter controls what UNIX permission bits can be modified when
1644 a Windows NT client is manipulating the UNIX permission on a directory
1645 using the native NT security dialog box.
1646 <p>This parameter is applied as a mask (OR'ed with) to the changed
1647 permission bits, thus forcing any bits in this mask that the user may
1648 have modified to be on. Essentially, one bits in this mask may be
1649 treated as a set of bits that, when modifying security on a directory,
1650 the user has always set to be 'on'.
1651 <p>If not set explicitly this parameter is set to the same value as the
1652 <a href="smb.conf.5.html#forcedirectorymode"><strong>force directory mode</strong></a> parameter. To allow
1653 a user to modify all the user/group/world permissions on a directory,
1654 with restrictions set this parameter to 000.
1655 <p><em>Note</em> that users who can access the Samba server through other
1656 means can easily bypass this restriction, so it is primarily
1657 useful for standalone "appliance" systems.  Administrators of
1658 most normal systems will probably want to set it to 0000.
1659 <p>See also the <a href="smb.conf.5.html#directorysecuritymask"><strong>directory security mask</strong></a>,
1660 <a href="smb.conf.5.html#securitymask"><strong>security mask</strong></a>, <a href="smb.conf.5.html#forcesecuritymode"><strong>force security
1661 mode</strong></a> parameters.
1662 <p><strong>Default:</strong>
1663 <code>  force directory security mode = &lt;same as force directory mode&gt;</code>
1664 <p><strong>Example:</strong>
1665 <code>  force directory security mode = 0</code>
1666 <p><a name="forcegroup"></a>
1667 <p></p><dt><strong><strong>force group (S)</strong></strong><dd>
1668 <p>This specifies a UNIX group name that will be assigned as the default
1669 primary group for all users connecting to this service. This is useful
1670 for sharing files by ensuring that all access to files on service will
1671 use the named group for their permissions checking. Thus, by assigning
1672 permissions for this group to the files and directories within this
1673 service the Samba administrator can restrict or allow sharing of these
1674 files.
1675 <p>In Samba 2.0.5 and above this parameter has extended functionality in the following
1676 way. If the group name listed here has a '+' character prepended to it
1677 then the current user accessing the share only has the primary group 
1678 default assigned to this group if they are already assigned as a member
1679 of that group. This allows an administrator to decide that only users
1680 who are already in a particular group will create files with group 
1681 ownership set to that group. This gives a finer granularity of ownership
1682 assignment. For example, the setting <code>force group = +sys</code> means
1683 that only users who are already in group sys will have their default
1684 primary group assigned to sys when accessing this Samba share. All
1685 other users will retain their ordinary primary group.
1686 <p>If the <a href="smb.conf.5.html#forceuser"><strong>"force user"</strong></a> parameter is also set the
1687 group specified in <strong>force group</strong> will override the primary group
1688 set in <a href="smb.conf.5.html#forceuser"><strong>"force user"</strong></a>.
1689 <p>See also <a href="smb.conf.5.html#forceuser"><strong>"force user"</strong></a>
1690 <p><strong>Default:</strong>
1691 <code>  no forced group</code>
1692 <p><strong>Example:</strong>
1693 <code>  force group = agroup</code>
1694 <p><a name="forcesecuritymode"></a>
1695 <p></p><dt><strong><strong>force security mode (S)</strong></strong><dd>
1696 <p>This parameter controls what UNIX permission bits can be modified when
1697 a Windows NT client is manipulating the UNIX permission on a file
1698 using the native NT security dialog box.
1699 <p>This parameter is applied as a mask (OR'ed with) to the changed
1700 permission bits, thus forcing any bits in this mask that the user may
1701 have modified to be on. Essentially, one bits in this mask may be
1702 treated as a set of bits that, when modifying security on a file, the
1703 user has always set to be 'on'.
1704 <p>If not set explicitly this parameter is set to the same value as the
1705 <a href="smb.conf.5.html#forcecreatemode"><strong>force create mode</strong></a> parameter. To allow
1706 a user to modify all the user/group/world permissions on a file,
1707 with no restrictions set this parameter to 000.
1708 <p><em>Note</em> that users who can access the Samba server through other
1709 means can easily bypass this restriction, so it is primarily
1710 useful for standalone "appliance" systems.  Administrators of
1711 most normal systems will probably want to set it to 0000.
1712 <p>See also the <a href="smb.conf.5.html#forcedirectorysecuritymode"><strong>force directory security
1713 mode</strong></a>, <a href="smb.conf.5.html#directorysecuritymask"><strong>directory security
1714 mask</strong></a>, <a href="smb.conf.5.html#securitymask"><strong>security mask</strong></a>
1715 parameters.
1716 <p><strong>Default:</strong>
1717 <code>  force security mode = &lt;same as force create mode&gt;</code>
1718 <p><strong>Example:</strong>
1719 <code>  force security mode = 0</code>
1720 <p><a name="forceuser"></a>
1721 <p></p><dt><strong><strong>force user (S)</strong></strong><dd>
1722 <p>This specifies a UNIX user name that will be assigned as the default
1723 user for all users connecting to this service. This is useful for
1724 sharing files. You should also use it carefully as using it
1725 incorrectly can cause security problems.
1726 <p>This user name only gets used once a connection is established. Thus
1727 clients still need to connect as a valid user and supply a valid
1728 password. Once connected, all file operations will be performed as the
1729 <code>"forced user"</code>, no matter what username the client connected as.
1730 <p>This can be very useful.
1731 <p>In Samba 2.0.5 and above this parameter also causes the primary
1732 group of the forced user to be used as the primary group for all
1733 file activity. Prior to 2.0.5 the primary group was left as the
1734 primary group of the connecting user (this was a bug).
1735 <p>See also <a href="smb.conf.5.html#forcegroup"><strong>"force group"</strong></a>
1736 <p><strong>Default:</strong>
1737 <code>  no forced user</code>
1738 <p><strong>Example:</strong>
1739 <code>  force user = auser</code>
1740 <p><a name="fstype"></a>
1741 <p></p><dt><strong><strong>fstype (S)</strong></strong><dd>
1742 <p>This parameter allows the administrator to configure the string that
1743 specifies the type of filesystem a share is using that is reported by
1744 <a href="smbd.8.html"><strong>smbd</strong></a> when a client queries the filesystem type
1745 for a share. The default type is <strong>"NTFS"</strong> for compatibility with
1746 Windows NT but this can be changed to other strings such as "Samba" or
1747 "FAT" if required.
1748 <p><strong>Default:</strong>
1749 <code>  fstype = NTFS</code>
1750 <p><strong>Example:</strong>
1751 <code>  fstype = Samba</code>
1752 <p><a name="getwdcache"></a>
1753 <p></p><dt><strong><strong>getwd cache (G)</strong></strong><dd>
1754 <p>This is a tuning option. When this is enabled a caching algorithm
1755 will be used to reduce the time taken for getwd() calls. This can have
1756 a significant impact on performance, especially when the
1757 <a href="smb.conf.5.html#widelinks"><strong>widelinks</strong></a> parameter is set to False.
1758 <p><strong>Default:</strong>
1759 <code>  getwd cache = No</code>
1760 <p><strong>Example:</strong>
1761 <code>  getwd cache = Yes</code>
1762 <p><a name="group"></a>
1763 <p></p><dt><strong><strong>group (S)</strong></strong><dd>
1764 <p>Synonym for <a href="smb.conf.5.html#forcegroup"><strong>"force group"</strong></a>.
1765 <p><a name="guestaccount"></a>
1766 <p></p><dt><strong><strong>guest account (S)</strong></strong><dd>
1767 <p>This is a username which will be used for access to services which are
1768 specified as <a href="smb.conf.5.html#guestok"><strong>'guest ok'</strong></a> (see below). Whatever
1769 privileges this user has will be available to any client connecting to
1770 the guest service. Typically this user will exist in the password
1771 file, but will not have a valid login. The user account <strong>"ftp"</strong> is
1772 often a good choice for this parameter. If a username is specified in
1773 a given service, the specified username overrides this one.
1774 <p>One some systems the default guest account "nobody" may not be able to
1775 print. Use another account in this case. You should test this by
1776 trying to log in as your guest user (perhaps by using the <code>"su -"</code>
1777 command) and trying to print using the system print command such as
1778 <strong>lpr (1)</strong> or <strong>lp (1)</strong>.
1779 <p><strong>Default:</strong>
1780 <code>  specified at compile time, usually "nobody"</code>
1781 <p><strong>Example:</strong>
1782 <code>  guest account = ftp</code>
1783 <p><a name="guestok"></a>
1784 <p></p><dt><strong><strong>guest ok (S)</strong></strong><dd>
1785 <p>If this parameter is <em>'yes'</em> for a service, then no password is
1786 required to connect to the service. Privileges will be those of the
1787 <a href="smb.conf.5.html#guestaccount"><strong>guest account</strong></a>.
1788 <p>See the section below on <a href="smb.conf.5.html#security"><strong>security</strong></a> for more
1789 information about this option.
1790 <p><strong>Default:</strong>
1791 <code>  guest ok = no</code>
1792 <p><strong>Example:</strong>
1793 <code>  guest ok = yes</code>
1794 <p><a name="guestonly"></a>
1795 <p></p><dt><strong><strong>guest only (S)</strong></strong><dd>
1796 <p>If this parameter is <em>'yes'</em> for a service, then only guest
1797 connections to the service are permitted. This parameter will have no
1798 affect if <a href="smb.conf.5.html#guestok"><strong>"guest ok"</strong></a> or <a href="smb.conf.5.html#public"><strong>"public"</strong></a>
1799 is not set for the service.
1800 <p>See the section below on <a href="smb.conf.5.html#security"><strong>security</strong></a> for more
1801 information about this option.
1802 <p><strong>Default:</strong>
1803 <code>  guest only = no</code>
1804 <p><strong>Example:</strong>
1805 <code>  guest only = yes</code>
1806 <p><a name="hidedotfiles"></a>
1807 <p></p><dt><strong><strong>hide dot files (S)</strong></strong><dd>
1808 <p>This is a boolean parameter that controls whether files starting with
1809 a dot appear as hidden files.
1810 <p><strong>Default:</strong>
1811 <code>  hide dot files = yes</code>
1812 <p><strong>Example:</strong>
1813 <code>  hide dot files = no</code>
1814 <p><a name="hidefiles"></a>
1815 <p></p><dt><strong><strong>hide files(S)</strong></strong><dd>
1816 <p>This is a list of files or directories that are not visible but are
1817 accessible.  The DOS 'hidden' attribute is applied to any files or
1818 directories that match.
1819 <p>Each entry in the list must be separated by a <code>'/'</code>, which allows
1820 spaces to be included in the entry.  <code>'*'</code> and <code>'?'</code> can be used
1821 to specify multiple files or directories as in DOS wildcards.
1822 <p>Each entry must be a Unix path, not a DOS path and must not include the 
1823 Unix directory separator <code>'/'</code>.
1824 <p>Note that the case sensitivity option is applicable in hiding files.
1825 <p>Setting this parameter will affect the performance of Samba, as it
1826 will be forced to check all files and directories for a match as they
1827 are scanned.
1828 <p>See also <a href="smb.conf.5.html#hidedotfiles"><strong>"hide dot files"</strong></a>, <a href="smb.conf.5.html#vetofiles"><strong>"veto
1829 files"</strong></a> and <a href="smb.conf.5.html#casesensitive"><strong>"case sensitive"</strong></a>.
1830 <p><strong>Default</strong>
1831 <pre>
1833         No files or directories are hidden by this option (dot files are
1834         hidden by default because of the "hide dot files" option).
1836 </pre>
1838 <p><strong>Example</strong>
1839 <code>  hide files = /.*/DesktopFolderDB/TrashFor%m/resource.frk/</code>
1840 <p>The above example is based on files that the Macintosh SMB client
1841 (DAVE) available from <a href=""><strong>Thursby</strong></a> creates for
1842 internal use, and also still hides all files beginning with a dot.
1843 <p><a name="hidelocalusers"></a>
1844 <p></p><dt><strong><strong>hide local users(G)</strong></strong><dd>
1845 <p>This parameter toggles the hiding of local UNIX users (root, wheel, floppy, etc)
1846 from remote clients.
1847 <p><strong>Default:</strong>
1848 <code> hide local users = No</code>
1849 <p><strong>Example:</strong>
1850 <code> hide local users = Yes</code>
1851 <p><a name="homedirmap"></a>
1852 <p></p><dt><strong><strong>homedir map (G)</strong></strong><dd>
1853 <p>If <a href="smb.conf.5.html#nishomedir"><strong>"nis homedir"</strong></a> is true, and
1854 <a href="smbd.8.html"><strong>smbd</strong></a> is also acting as a Win95/98 <a href="smb.conf.5.html#domainlogons"><strong>logon
1855 server</strong></a> then this parameter specifies the NIS (or YP)
1856 map from which the server for the user's home directory should be
1857 extracted.  At present, only the Sun auto.home map format is
1858 understood. The form of the map is:
1859 <p><code>username       server:/some/file/system</code>
1860 <p>and the program will extract the servername from before the first
1861 <code>':'</code>.  There should probably be a better parsing system that copes
1862 with different map formats and also Amd (another automounter) maps.
1863 <p>NB: A working NIS is required on the system for this option to work.
1864 <p>See also <a href="smb.conf.5.html#nishomedir"><strong>"nis homedir"</strong></a>, <a href="smb.conf.5.html#domainlogons"><strong>domain
1865 logons</strong></a>.
1866 <p><strong>Default:</strong>
1867 <code>  homedir map = auto.home</code>
1868 <p><strong>Example:</strong>
1869 <code>  homedir map = amd.homedir</code>
1870 <p><a name="hostsallow"></a>
1871 <p></p><dt><strong><strong>hosts allow (S)</strong></strong><dd>
1872 <p>A synonym for this parameter is <a href="smb.conf.5.html#allowhosts"><strong>'allow hosts'</strong></a>
1873 <p>This parameter is a comma, space, or tab delimited set of hosts which
1874 are permitted to access a service.
1875 <p>If specified in the <a href="smb.conf.5.html#global"><strong>[global]</strong></a> section then it will
1876 apply to all services, regardless of whether the individual service
1877 has a different setting.
1878 <p>You can specify the hosts by name or IP number. For example, you could
1879 restrict access to only the hosts on a Class C subnet with something
1880 like <code>"allow hosts = 150.203.5."</code>. The full syntax of the list is
1881 described in the man page <strong>hosts_access (5)</strong>. Note that this man
1882 page may not be present on your system, so a brief description will
1883 be given here also.
1884 <p>Note that the localhost address will always be allowed
1885 access unless specifically denied by a "hosts deny" option.
1886 <p>You can also specify hosts by network/netmask pairs and by netgroup
1887 names if your system supports netgroups. The <em>EXCEPT</em> keyword can also
1888 be used to limit a wildcard list. The following examples may provide
1889 some help:
1890 <p><strong>Example 1</strong>: allow all IPs in 150.203.*.* except one
1891 <p><code>       hosts allow = 150.203. EXCEPT</code>
1892 <p><strong>Example 2</strong>: allow hosts that match the given network/netmask
1893 <p><code>       hosts allow =</code>
1894 <p><strong>Example 3</strong>: allow a couple of hosts
1895 <p><code>       hosts allow = lapland, arvidsjaur</code>
1896 <p><strong>Example 4</strong>: allow only hosts in NIS netgroup "foonet", but 
1897 deny access from one particular host
1898 <p><code>       hosts allow = @foonet</code>
1899 <p><code>       hosts deny = pirate</code>
1900 <p>Note that access still requires suitable user-level passwords.
1901 <p>See <a href="testparm.1.html"><strong>testparm (1)</strong></a> for a way of testing your
1902 host access to see if it does what you expect.
1903 <p><strong>Default:</strong>
1904 <code>  none (i.e., all hosts permitted access)</code>
1905 <p><strong>Example:</strong>
1906 <code>  allow hosts = 150.203.5.</code>
1907 <p><a name="hostsdeny"></a>
1908 <p></p><dt><strong><strong>hosts deny (S)</strong></strong><dd>
1909 <p>The opposite of <a href="smb.conf.5.html#hostsallow"><strong>'hosts allow'</strong></a> - hosts listed
1910 here are <em>NOT</em> permitted access to services unless the specific
1911 services have their own lists to override this one. Where the lists
1912 conflict, the <a href="smb.conf.5.html#hostsallow"><strong>'allow'</strong></a> list takes precedence.
1913 <p><strong>Default:</strong>
1914 <code>  none (i.e., no hosts specifically excluded)</code>
1915 <p><strong>Example:</strong>
1916 <code>  hosts deny = 150.203.4.</code>
1917 <p><a name="hostsequiv"></a>
1918 <p></p><dt><strong><strong>hosts equiv (G)</strong></strong><dd>
1919 <p>If this global parameter is a non-null string, it specifies the name
1920 of a file to read for the names of hosts and users who will be allowed
1921 access without specifying a password.
1922 <p>This is not be confused with <a href="smb.conf.5.html#hostsallow"><strong>hosts allow</strong></a> which
1923 is about hosts access to services and is more useful for guest
1924 services. <strong>hosts equiv</strong> may be useful for NT clients which will not
1925 supply passwords to samba.
1926 <p>NOTE: The use of <strong>hosts equiv</strong> can be a major security hole. This is
1927 because you are trusting the PC to supply the correct username. It is
1928 very easy to get a PC to supply a false username. I recommend that the
1929 <strong>hosts equiv</strong> option be only used if you really know what you are
1930 doing, or perhaps on a home network where you trust your spouse and
1931 kids. And only if you <em>really</em> trust them :-).
1932 <p><strong>Default</strong>
1933 <code>  No host equivalences</code>
1934 <p><strong>Example</strong>
1935 <code>  hosts equiv = /etc/hosts.equiv</code>
1936 <p><a name="include"></a>
1937 <p></p><dt><strong><strong>include (G)</strong></strong><dd>
1938 <p>This allows you to include one config file inside another.  The file
1939 is included literally, as though typed in place.
1940 <p>It takes the standard substitutions, except <a href="smb.conf.5.html#percentu"><strong>%u</strong></a>,
1941 <a href="smb.conf.5.html#percentP"><strong>%P</strong></a> and <a href="smb.conf.5.html#percentS"><strong>%S</strong></a>.
1942 <p><a name="inheritpermissions"></a>
1943 <p></p><dt><strong><strong>inherit permissions (S)</strong></strong><dd>
1944 <p>The permissions on new files and directories are normally governed by
1945 <a href="smb.conf.5.html#createmask"><strong>"create mask"</strong></a>,
1946 <a href="smb.conf.5.html#directorymask"><strong>"directory mask"</strong></a>,
1947 <a href="smb.conf.5.html#forcecreatemode"><strong>"force create mode"</strong></a> and
1948 <a href="smb.conf.5.html#forcedirectorymode"><strong>"force directory mode"</strong></a>
1949 but the boolean inherit permissions parameter overrides this.
1950 <p>New directories inherit the mode of the parent directory,
1951 including bits such as setgid.
1952 <p>New files inherit their read/write bits from the parent directory.
1953 Their execute bits continue to be determined by
1954 <a href="smb.conf.5.html#maparchive"><strong>"map archive"</strong></a>,
1955 <a href="smb.conf.5.html#maphidden"><strong>"map hidden"</strong></a> and
1956 <a href="smb.conf.5.html#mapsystem"><strong>"map system"</strong></a> as usual.
1957 <p>Note that the setuid bit is *never* set via inheritance
1958 (the code explicitly prohibits this).
1959 <p>This can be particularly useful on large systems with many users,
1960 perhaps several thousand,
1961 to allow a single <strong>[homes]</strong> share to be used flexibly by each user.
1962 <p>See also <a href="smb.conf.5.html#createmask"><strong>"create mask"</strong></a>, <a href="smb.conf.5.html#directorymask"><strong>"directory mask"</strong></a>,
1963 <a href="smb.conf.5.html#forcecreatemode"><strong>"force create mode"</strong></a> and
1964 <a href="smb.conf.5.html#forcedirectorymode"><strong>"force directory mode"</strong></a>.
1965 <p><strong>Default</strong>
1966 <code>   inherit permissions = no</code>
1967 <p><strong>Example</strong>
1968 <code>   inherit permissions = yes</code>
1969 <p><a name="interfaces"></a>
1970 <p></p><dt><strong><strong>interfaces (G)</strong></strong><dd>
1971 <p>This option allows you to override the default network interfaces list
1972 that Samba will use for browsing, name registration and other NBT
1973 traffic. By default Samba will query the kernel for the list of all
1974 active interfaces and use any interfaces except that are
1975 broadcast capable.
1976 <p>The option takes a list of interface strings. Each string can be in
1977 any of the following forms:
1978 <p><dl>
1979 <li > a network interface name (such as eth0). This may include
1980      shell-like wildcards so eth* will match any interface starting
1981      with the substring "eth"
1982 <li > an IP address. In this case the netmask is determined
1983      from the list of interfaces obtained from the kernel
1984 <li > an IP/mask pair. 
1985 <li > a broadcast/mask pair. 
1986 </dl>
1987 <p>The "mask" parameters can either be a bit length (such as 24 for a C
1988 class network) or a full netmask in dotted decmal form.
1989 <p>The "IP" parameters above can either be a full dotted decimal IP
1990 address or a hostname which will be looked up via the OSes normal
1991 hostname resolution mechanisms.
1992 <p>For example, the following line:
1993 <p><code>interfaces = eth0</code>
1994 <p>would configure three network interfaces corresponding to the eth0
1995 device and IP addresses and The netmasks of
1996 the latter two interfaces would be set to
1997 <p>See also <a href="smb.conf.5.html#bindinterfacesonly"><strong>"bind interfaces only"</strong></a>.
1998 <p><a name="invalidusers"></a>
1999 <p></p><dt><strong><strong>invalid users (S)</strong></strong><dd>
2000 <p>This is a list of users that should not be allowed to login to this
2001 service. This is really a <em>"paranoid"</em> check to absolutely ensure an
2002 improper setting does not breach your security.
2003 <p>A name starting with a <code>'@'</code> is interpreted as an NIS netgroup first
2004 (if your system supports NIS), and then as a UNIX group if the name
2005 was not found in the NIS netgroup database.
2006 <p>A name starting with <code>'+'</code> is interpreted only by looking in the
2007 UNIX group database. A name starting with <code>'&amp;'</code> is interpreted only
2008 by looking in the NIS netgroup database (this requires NIS to be
2009 working on your system). The characters <code>'+'</code> and <code>'&amp;'</code> may be
2010 used at the start of the name in either order so the value
2011 <code>"+&amp;group"</code> means check the UNIX group database, followed by the NIS
2012 netgroup database, and the value <code>"&amp;+group"</code> means check the NIS
2013 netgroup database, followed by the UNIX group database (the same as
2014 the <code>'@'</code> prefix).
2015 <p>The current servicename is substituted for
2016 <a href="smb.conf.5.html#percentS"><strong>%S</strong></a>. This is useful in the <a href="smb.conf.5.html#homes"><strong>[homes]</strong></a>
2017 section.
2018 <p>See also <a href="smb.conf.5.html#validusers"><strong>"valid users"</strong></a>.
2019 <p><strong>Default:</strong>
2020 <code>  No invalid users</code>
2021 <p><strong>Example:</strong>
2022 <code>  invalid users = root fred admin @wheel</code>
2023 <p><a name="keepalive"></a>
2024 <p></p><dt><strong><strong>keepalive (G)</strong></strong><dd>
2025 <p>The value of the parameter (an integer) represents the number of
2026 seconds between <strong>'keepalive'</strong> packets. If this parameter is zero, no
2027 keepalive packets will be sent. Keepalive packets, if sent, allow the
2028 server to tell whether a client is still present and responding.
2029 <p>Keepalives should, in general, not be needed if the socket being used
2030 has the SO_KEEPALIVE attribute set on it (see <a href="smb.conf.5.html#socketoptions"><strong>"socket
2031 options"</strong></a>). Basically you should only use this option
2032 if you strike difficulties.
2033 <p><strong>Default:</strong>
2034 <code>  keepalive = 0</code>
2035 <p><strong>Example:</strong>
2036 <code>  keepalive = 60</code>
2037 <p><a name="kerneloplocks"></a>
2038 <p></p><dt><strong><strong>kernel oplocks (G)</strong></strong><dd>
2039 <p>For UNIXs that support kernel based <a href="smb.conf.5.html#oplocks"><strong>oplocks</strong></a>
2040 (currently only IRIX but hopefully also Linux and FreeBSD soon) this
2041 parameter allows the use of them to be turned on or off.
2042 <p>Kernel oplocks support allows Samba <a href="smb.conf.5.html#oplocks"><strong>oplocks</strong></a> to be
2043 broken whenever a local UNIX process or NFS operation accesses a file
2044 that <a href="smbd.8.html"><strong>smbd</strong></a> has oplocked. This allows complete
2045 data consistency between SMB/CIFS, NFS and local file access (and is a
2046 <em>very</em> cool feature :-).
2047 <p>This parameter defaults to <em>"On"</em> on systems that have the support,
2048 and <em>"off"</em> on systems that don't. You should never need to touch
2049 this parameter.
2050 <p>See also the <a href="smb.conf.5.html#oplocks"><strong>"oplocks"</strong></a> and <a href="smb.conf.5.html#level2oplocks"><strong>"level2 oplocks"</strong></a>
2051 parameters.
2052 <p><a name="ldapfilter"></a>
2053 <p></p><dt><strong><strong>ldap filter (G)</strong></strong><dd>
2054 <p>This parameter is part of the <em>EXPERIMENTAL</em> Samba support for a
2055 password database stored on an LDAP server back-end. These options
2056 are only available if your version of Samba was configured with
2057 the <strong>--with-ldap</strong> option.
2058 <p>This parameter specifies an LDAP search filter used to search for a
2059 user name in the LDAP database. It must contain the string
2060 <a href="smb.conf.5.html#percentU"><strong>%u</strong></a> which will be replaced with the user being
2061 searched for.
2062 <p><strong>Default:</strong>
2063 <code>  empty string.</code>
2064 <p><a name="ldapport"></a>
2065 <p></p><dt><strong><strong>ldap port (G)</strong></strong><dd>
2066 <p>This parameter is part of the <em>EXPERIMENTAL</em> Samba support for a
2067 password database stored on an LDAP server back-end. These options
2068 are only available if your version of Samba was configured with
2069 the <strong>--with-ldap</strong> option.
2070 <p>This parameter specifies the TCP port number to use to contact
2071 the LDAP server on.
2072 <p><strong>Default:</strong>
2073 <code>  ldap port = 389.</code>
2074 <p><a name="ldaproot"></a>
2075 <p></p><dt><strong><strong>ldap root (G)</strong></strong><dd>
2076 <p>This parameter is part of the <em>EXPERIMENTAL</em> Samba support for a
2077 password database stored on an LDAP server back-end. These options
2078 are only available if your version of Samba was configured with
2079 the <strong>--with-ldap</strong> option.
2080 <p>This parameter specifies the entity to bind to the LDAP server
2081 as (essentially the LDAP username) in order to be able to perform
2082 queries and modifications on the LDAP database.
2083 <p>See also <a href="smb.conf.5.html#ldaprootpasswd"><strong>ldap root passwd</strong></a>.
2084 <p><strong>Default:</strong>
2085 <code>  empty string (no user defined)</code>
2086 <p><a name="ldaprootpasswd"></a>
2087 <p></p><dt><strong><strong>ldap root passwd (G)</strong></strong><dd>
2088 <p>This parameter is part of the <em>EXPERIMENTAL</em> Samba support for a
2089 password database stored on an LDAP server back-end. These options
2090 are only available if your version of Samba was configured with
2091 the <strong>--with-ldap</strong> option.
2092 <p>This parameter specifies the password for the entity to bind to the
2093 LDAP server as (the password for this LDAP username) in order to be
2094 able to perform queries and modifications on the LDAP database.
2095 <p><em>BUGS:</em> This parameter should <em>NOT</em> be a readable parameter
2096 in the <strong>smb.conf</strong> file and will be removed once a correct
2097 storage place is found.
2098 <p>See also <a href="smb.conf.5.html#ldaproot"><strong>ldap root</strong></a>.
2099 <p><strong>Default:</strong>
2100 <code>  empty string.</code>
2101 <p><a name="ldapserver"></a>
2102 <p></p><dt><strong><strong>ldap server (G)</strong></strong><dd>
2103 <p>This parameter is part of the <em>EXPERIMENTAL</em> Samba support for a
2104 password database stored on an LDAP server back-end. These options
2105 are only available if your version of Samba was configured with
2106 the <strong>--with-ldap</strong> option.
2107 <p>This parameter specifies the DNS name of the LDAP server to use
2108 for SMB/CIFS authentication purposes.
2109 <p><strong>Default:</strong>
2110 <code>  ldap server = localhost</code>
2111 <p><a name="ldapsuffix"></a>
2112 <p></p><dt><strong><strong>ldap suffix (G)</strong></strong><dd>
2113 <p>This parameter is part of the <em>EXPERIMENTAL</em> Samba support for a
2114 password database stored on an LDAP server back-end. These options
2115 are only available if your version of Samba was configured with
2116 the <strong>--with-ldap</strong> option.
2117 <p>This parameter specifies the <code>"dn"</code> or LDAP <em>"distinguished name"</em>
2118 that tells <a href="smbd.8.html"><strong>smbd</strong></a> to start from when searching
2119 for an entry in the LDAP password database.
2120 <p><strong>Default:</strong>
2121 <code>  empty string.</code>
2122 <p><a name="level2oplocks"></a>
2123 <p></p><dt><strong><strong>level2 oplocks (S)</strong></strong><dd>
2124 <p>This parameter (new in Samba 2.0.5) controls whether Samba supports
2125 level2 (read-only) oplocks on a share. In Samba 2.0.5 this parameter
2126 defaults to "False" as the code is new, but will default to "True"
2127 in a later release.
2128 <p>Level2, or read-only oplocks allow Windows NT clients that have an
2129 oplock on a file to downgrade from a read-write oplock to a read-only
2130 oplock once a second client opens the file (instead of releasing all
2131 oplocks on a second open, as in traditional, exclusive oplocks). This
2132 allows all openers of the file that support level2 oplocks to cache
2133 the file for read-ahead only (ie. they may not cache writes or lock
2134 requests) and increases performance for many acesses of files that
2135 are not commonly written (such as application .EXE files).
2136 <p>Once one of the clients which have a read-only oplock writes to
2137 the file all clients are notified (no reply is needed or waited
2138 for) and told to break their oplocks to "none" and delete any
2139 read-ahead caches.
2140 <p>It is recommended that this parameter be turned on to speed access
2141 to shared executables (and also to test the code :-).
2142 <p>For more discussions on level2 oplocks see the CIFS spec.
2143 <p>Currently, if <a href="smb.conf.5.html#kerneloplocks"><strong>"kernel oplocks"</strong></a> are supported
2144 then level2 oplocks are not granted (even if this parameter is set
2145 to <code>"true"</code>). Note also, the <a href="smb.conf.5.html#oplocks"><strong>"oplocks"</strong></a> parameter must
2146 be set to "true" on this share in order for this parameter to have any
2147 effect.
2148 <p>See also the <a href="smb.conf.5.html#oplocks"><strong>"oplocks"</strong></a> and <a href="smb.conf.5.html#kerneloplocks"><strong>"kernel oplocks"</strong></a> parameters.
2149 <p><strong>Default:</strong>
2150 <code> level2 oplocks = False</code>
2151 <p><strong>Example:</strong>
2152 <code> level2 oplocks = True</code>
2153 <p><a name="lmannounce"></a>
2154 <p></p><dt><strong><strong>lm announce (G)</strong></strong><dd>
2155 <p>This parameter determines if <a href="nmbd.8.html"><strong>nmbd</strong></a> will produce
2156 Lanman announce broadcasts that are needed by <strong>OS/2</strong> clients in order
2157 for them to see the Samba server in their browse list. This parameter
2158 can have three values, <code>"true"</code>, <code>"false"</code>, or <code>"auto"</code>. The
2159 default is <code>"auto"</code>.  If set to <code>"false"</code> Samba will never produce
2160 these broadcasts. If set to <code>"true"</code> Samba will produce Lanman
2161 announce broadcasts at a frequency set by the parameter <a href="smb.conf.5.html#lminterval"><strong>"lm
2162 interval"</strong></a>. If set to <code>"auto"</code> Samba will not send Lanman
2163 announce broadcasts by default but will listen for them. If it hears
2164 such a broadcast on the wire it will then start sending them at a
2165 frequency set by the parameter <a href="smb.conf.5.html#lminterval"><strong>"lm interval"</strong></a>.
2166 <p>See also <a href="smb.conf.5.html#lminterval"><strong>"lm interval"</strong></a>.
2167 <p><strong>Default:</strong>
2168 <code>  lm announce = auto</code>
2169 <p><strong>Example:</strong>
2170 <code>  lm announce = true</code>
2171 <p><a name="lminterval"></a>
2172 <p></p><dt><strong><strong>lm interval (G)</strong></strong><dd>
2173 <p>If Samba is set to produce Lanman announce broadcasts needed by
2174 <strong>OS/2</strong> clients (see the <a href="smb.conf.5.html#lmannounce"><strong>"lm announce"</strong></a>
2175 parameter) then this parameter defines the frequency in seconds with
2176 which they will be made.  If this is set to zero then no Lanman
2177 announcements will be made despite the setting of the <a href="smb.conf.5.html#lmannounce"><strong>"lm
2178 announce"</strong></a> parameter.
2179 <p>See also <a href="smb.conf.5.html#lmannounce"><strong>"lm announce"</strong></a>.
2180 <p><strong>Default:</strong>
2181 <code>  lm interval = 60</code>
2182 <p><strong>Example:</strong>
2183 <code>  lm interval = 120</code>
2184 <p><a name="loadprinters"></a>
2185 <p></p><dt><strong><strong>load printers (G)</strong></strong><dd>
2186 <p>A boolean variable that controls whether all printers in the printcap
2187 will be loaded for browsing by default. See the
2188 <a href="smb.conf.5.html#printers"><strong>"printers"</strong></a> section for more details.
2189 <p><strong>Default:</strong>
2190 <code>  load printers = yes</code>
2191 <p><strong>Example:</strong>
2192 <code>  load printers = no</code>
2193 <p><a name="localmaster"></a>
2194 <p></p><dt><strong><strong>local master (G)</strong></strong><dd>
2195 <p>This option allows <a href="nmbd.8.html"><strong>nmbd</strong></a> to try and become a
2196 local master browser on a subnet. If set to False then
2197 <a href="nmbd.8.html"><strong>nmbd</strong></a> will not attempt to become a local master
2198 browser on a subnet and will also lose in all browsing elections. By
2199 default this value is set to true. Setting this value to true doesn't
2200 mean that Samba will <em>become</em> the local master browser on a subnet,
2201 just that <a href="nmbd.8.html"><strong>nmbd</strong></a> will <em>participate</em> in
2202 elections for local master browser.
2203 <p>Setting this value to False will cause <a href="nmbd.8.html"><strong>nmbd</strong></a>
2204 <em>never</em> to become a local master browser.
2205 <p><strong>Default:</strong>
2206 <code>  local master = yes</code>
2207 <p><a name="lockdir"></a>
2208 <p></p><dt><strong><strong>lock dir (G)</strong></strong><dd>
2209 <p>Synonym for <a href="smb.conf.5.html#lockdirectory"><strong>"lock directory"</strong></a>.
2210 <p><a name="lockdirectory"></a>
2211 <p></p><dt><strong><strong>lock directory (G)</strong></strong><dd>
2212 <p>This option specifies the directory where lock files will be placed.
2213 The lock files are used to implement the <a href="smb.conf.5.html#maxconnections"><strong>"max
2214 connections"</strong></a> option.
2215 <p><strong>Default:</strong>
2216 <code>  lock directory = /tmp/samba</code>
2217 <p><strong>Example:</strong>
2218 <code>  lock directory = /usr/local/samba/var/locks</code>
2219 <p><a name="locking"></a>
2220 <p></p><dt><strong><strong>locking (S)</strong></strong><dd>
2221 <p>This controls whether or not locking will be performed by the server
2222 in response to lock requests from the client.
2223 <p>If <code>"locking = no"</code>, all lock and unlock requests will appear to
2224 succeed and all lock queries will indicate that the queried lock is
2225 clear.
2226 <p>If <code>"locking = yes"</code>, real locking will be performed by the server.
2227 <p>This option <em>may</em> be useful for read-only filesystems which <em>may</em>
2228 not need locking (such as cdrom drives), although setting this
2229 parameter of <code>"no"</code> is not really recommended even in this case.
2230 <p>Be careful about disabling locking either globally or in a specific
2231 service, as lack of locking may result in data corruption. You should
2232 never need to set this parameter.
2233 <p><strong>Default:</strong>
2234 <code>  locking = yes</code>
2235 <p><strong>Example:</strong>
2236 <code>  locking = no</code>
2237 <p><a name="logfile"></a>
2238 <p></p><dt><strong><strong>log file (G)</strong></strong><dd>
2239 <p>This options allows you to override the name of the Samba log file
2240 (also known as the debug file).
2241 <p>This option takes the standard substitutions, allowing you to have
2242 separate log files for each user or machine.
2243 <p><strong>Example:</strong>
2244 <code>  log file = /usr/local/samba/var/log.%m</code>
2245 <p><a name="loglevel"></a>
2246 <p></p><dt><strong><strong>log level (G)</strong></strong><dd>
2247 <p>Synonym for <a href="smb.conf.5.html#debuglevel"><strong>"debug level"</strong></a>.
2248 <p><a name="logondrive"></a>
2249 <p></p><dt><strong><strong>logon drive (G)</strong></strong><dd>
2250 <p>This parameter specifies the local path to which the home directory
2251 will be connected (see <a href="smb.conf.5.html#logonhome"><strong>"logon home"</strong></a>) and is only
2252 used by NT Workstations. 
2253 <p>Note that this option is only useful if Samba is set up as a
2254 <a href="smb.conf.5.html#domainlogons"><strong>logon server</strong></a>.
2255 <p><strong>Example:</strong>
2256 <code>  logon drive = h:</code>
2257 <p><a name="logonhome"></a>
2258 <p></p><dt><strong><strong>logon home (G)</strong></strong><dd>
2259 <p>This parameter specifies the home directory location when a Win95/98 or
2260 NT Workstation logs into a Samba PDC.  It allows you to do 
2261 <p><code>"NET USE H: /HOME"</code>
2262 <p>from a command prompt, for example.
2263 <p>This option takes the standard substitutions, allowing you to have
2264 separate logon scripts for each user or machine.
2265 <p>This parameter can be used with Win9X workstations to ensure that
2266 roaming profiles are stored in a subdirectory of the user's home
2267 directory.  This is done in the following way:
2268 <p><code>"     logon home = \\%L\%U\profile"</code>
2269 <p>This tells Samba to return the above string, with substitutions made
2270 when a client requests the info, generally in a NetUserGetInfo request.
2271 Win9X clients truncate the info to \\server\share when a user does <code>"net use /home"</code>,
2272 but use the whole string when dealing with profiles.
2273 <p>Note that in prior versions of Samba, the <code>"logon path"</code> was returned rather than
2274 <code>"logon home"</code>.  This broke <code>"net use /home"</code> but allowed profiles outside the 
2275 home directory.  The current implementation is correct, and can be used for profiles
2276 if you use the above trick.
2277 <p>Note that this option is only useful if Samba is set up as a
2278 <a href="smb.conf.5.html#domainlogons"><strong>logon server</strong></a>.
2279 <p><strong>Example:</strong>
2280 <code>  logon home = "\\remote_smb_server\%U"</code>
2281 <p><strong>Default:</strong>
2282 <code>  logon home = "\\%N\%U"</code>
2283 <p><a name="logonpath"></a>
2284 <p></p><dt><strong><strong>logon path (G)</strong></strong><dd>
2285 <p>This parameter specifies the home directory where roaming profiles
2286 (NTuser.dat etc files for Windows NT) are stored.  Contrary to previous 
2287 versions of these manual pages, it has nothing to do with Win 9X roaming
2288 profiles.  To find out how to handle roaming profiles for Win 9X system, see 
2289 the <code>"logon home"</code> parameter.
2290 <p>This option takes the standard substitutions, allowing you to have
2291 separate logon scripts for each user or machine.  It also specifies
2292 the directory from which the <code>"application data"</code>, (<code>"desktop"</code>, <code>"start menu"</code>,
2293 <code>"network neighborhood"</code>, <code>"programs"</code> and other folders, and their
2294 contents, are loaded and displayed on your Windows NT client.
2295 <p>The share and the path must be readable by the user for the
2296 preferences and directories to be loaded onto the Windows NT
2297 client.  The share must be writeable when the logs in for the first
2298 time, in order that the Windows NT client can create the NTuser.dat
2299 and other directories.
2300 <p>Thereafter, the directories and any of the contents can, if required, be
2301 made read-only.  It is not advisable that the NTuser.dat file be made
2302 read-only - rename it to to achieve the desired effect (a
2303 <em>MAN</em>datory profile). 
2304 <p>Windows clients can sometimes maintain a connection to the [homes]
2305 share, even though there is no user logged in.  Therefore, it is vital
2306 that the logon path does not include a reference to the homes share
2307 (i.e. setting this parameter to <code>\\%N\HOMES\profile_path</code> will cause
2308 problems).
2309 <p>This option takes the standard substitutions, allowing you to have
2310 separate logon scripts for each user or machine.
2311 <p>Note that this option is only useful if Samba is set up as a
2312 <a href="smb.conf.5.html#domainlogons"><strong>logon server</strong></a>.
2313 <p><strong>Default:</strong>
2314 <code>  logon path = \\%N\%U\profile</code>
2315 <p><strong>Example:</strong>
2316 <code>  logon path = \\PROFILESERVER\HOME_DIR\%U\PROFILE</code>
2317 <p><a name="logonscript"></a>
2318 <p></p><dt><strong><strong>logon script (G)</strong></strong><dd>
2319 <p>This parameter specifies the batch file (.bat) or NT command file
2320 (.cmd) to be downloaded and run on a machine when a user successfully
2321 logs in.  The file must contain the DOS style cr/lf line endings.
2322 Using a DOS-style editor to create the file is recommended.
2323 <p>The script must be a relative path to the <code>[netlogon]</code> service.  If
2324 the <code>[netlogon]</code> service specifies a <a href="smb.conf.5.html#path"><strong>path</strong></a> of
2325 /usr/local/samba/netlogon, and logon script = STARTUP.BAT, then the
2326 file that will be downloaded is:
2327 <p><code>/usr/local/samba/netlogon/STARTUP.BAT</code>
2328 <p>The contents of the batch file is entirely your choice.  A suggested
2329 command would be to add <code>NET TIME \\SERVER /SET /YES</code>, to force every
2330 machine to synchronize clocks with the same time server.  Another use
2331 would be to add <code>NET USE U: \\SERVER\UTILS</code> for commonly used
2332 utilities, or <code>NET USE Q: \\SERVER\ISO9001_QA</code> for example.
2333 <p>Note that it is particularly important not to allow write access to
2334 the <code>[netlogon]</code> share, or to grant users write permission on the
2335 batch files in a secure environment, as this would allow the batch
2336 files to be arbitrarily modified and security to be breached.
2337 <p>This option takes the standard substitutions, allowing you to have
2338 separate logon scripts for each user or machine.
2339 <p>Note that this option is only useful if Samba is set up as a
2340 <a href="smb.conf.5.html#domainlogons"><strong>logon server</strong></a>.
2341 <p><strong>Example:</strong>
2342 <code>  logon script = scripts\%U.bat</code>
2343 <p><a name="lppausecommand"></a>
2344 <p></p><dt><strong><strong>lppause command (S)</strong></strong><dd>
2345 <p>This parameter specifies the command to be executed on the server host
2346 in order to stop printing or spooling a specific print job.
2347 <p>This command should be a program or script which takes a printer name
2348 and job number to pause the print job. One way of implementing this is
2349 by using job priorities, where jobs having a too low priority won't be
2350 sent to the printer.
2351 <p>If a <code>"%p"</code> is given then the printername is put in its place. A
2352 <code>"%j"</code> is replaced with the job number (an integer).  On HPUX (see
2353 <a href="smb.conf.5.html#printing"><strong>printing=hpux</strong></a>), if the <code>"-p%p"</code> option is added
2354 to the lpq command, the job will show up with the correct status,
2355 i.e. if the job priority is lower than the set fence priority it will
2356 have the PAUSED status, whereas if the priority is equal or higher it
2357 will have the SPOOLED or PRINTING status.
2358 <p>Note that it is good practice to include the absolute path in the
2359 lppause command as the PATH may not be available to the server.
2360 <p>See also the <a href="smb.conf.5.html#printing"><strong>"printing"</strong></a> parameter.
2361 <p><strong>Default:</strong>
2362         Currently no default value is given to this string, unless the
2363 value of the <a href="smb.conf.5.html#printing"><strong>"printing"</strong></a> parameter is <code>SYSV</code>, in
2364 which case the default is :
2365 <p><code>       lp -i %p-%j -H hold</code>
2366 <p>or if the value of the <a href="smb.conf.5.html#printing"><strong>"printing"</strong></a> parameter is <code>softq</code>,
2367 then the default is:
2368 <p><code>       qstat -s -j%j -h</code>
2369 <p><strong>Example for HPUX:</strong>
2370         lppause command = /usr/bin/lpalt %p-%j -p0
2371 <p><a name="lpqcachetime"></a>
2372 <p></p><dt><strong><strong>lpq cache time (G)</strong></strong><dd>
2373 <p>This controls how long lpq info will be cached for to prevent the
2374 <strong>lpq</strong> command being called too often. A separate cache is kept for
2375 each variation of the <strong>lpq</strong> command used by the system, so if you
2376 use different <strong>lpq</strong> commands for different users then they won't
2377 share cache information.
2378 <p>The cache files are stored in <code>/tmp/lpq.xxxx</code> where xxxx is a hash of
2379 the <strong>lpq</strong> command in use.
2380 <p>The default is 10 seconds, meaning that the cached results of a
2381 previous identical <strong>lpq</strong> command will be used if the cached data is
2382 less than 10 seconds old. A large value may be advisable if your
2383 <strong>lpq</strong> command is very slow.
2384 <p>A value of 0 will disable caching completely.
2385 <p>See also the <a href="smb.conf.5.html#printing"><strong>"printing"</strong></a> parameter.
2386 <p><strong>Default:</strong>
2387 <code>  lpq cache time = 10</code>
2388 <p><strong>Example:</strong>
2389 <code>  lpq cache time = 30</code>
2390 <p><a name="lpqcommand"></a>
2391 <p></p><dt><strong><strong>lpq command (S)</strong></strong><dd>
2392 <p>This parameter specifies the command to be executed on the server host
2393 in order to obtain <code>"lpq"</code>-style printer status information.
2394 <p>This command should be a program or script which takes a printer name
2395 as its only parameter and outputs printer status information.
2396 <p>Currently eight styles of printer status information are supported;
2397 BSD, AIX, LPRNG, PLP, SYSV, HPUX, QNX and SOFTQ. This covers most UNIX
2398 systems. You control which type is expected using the
2399 <a href="smb.conf.5.html#printing"><strong>"printing ="</strong></a> option.
2400 <p>Some clients (notably Windows for Workgroups) may not correctly send
2401 the connection number for the printer they are requesting status
2402 information about. To get around this, the server reports on the first
2403 printer service connected to by the client. This only happens if the
2404 connection number sent is invalid.
2405 <p>If a <code>%p</code> is given then the printername is put in its place. Otherwise
2406 it is placed at the end of the command.
2407 <p>Note that it is good practice to include the absolute path in the <strong>lpq
2408 command</strong> as the PATH may not be available to the server.
2409 <p>See also the <a href="smb.conf.5.html#printing"><strong>"printing"</strong></a> parameter.
2410 <p><strong>Default:</strong>
2411 <code>        depends on the setting of printing =</code>
2412 <p><strong>Example:</strong>
2413 <code>  lpq command = /usr/bin/lpq %p</code>
2414 <p><a name="lpresumecommand"></a>
2415 <p></p><dt><strong><strong>lpresume command (S)</strong></strong><dd>
2416 <p>This parameter specifies the command to be executed on the server host
2417 in order to restart or continue printing or spooling a specific print
2418 job.
2419 <p>This command should be a program or script which takes a printer name
2420 and job number to resume the print job. See also the <a href="smb.conf.5.html#lppausecommand"><strong>"lppause
2421 command"</strong></a> parameter.
2422 <p>If a <code>%p</code> is given then the printername is put in its place. A
2423 <code>%j</code> is replaced with the job number (an integer).
2424 <p>Note that it is good practice to include the absolute path in the <strong>lpresume
2425 command</strong> as the PATH may not be available to the server.
2426 <p>See also the <a href="smb.conf.5.html#printing"><strong>"printing"</strong></a> parameter.
2427 <p><strong>Default:</strong>
2428 <p>Currently no default value is given to this string, unless the
2429 value of the <a href="smb.conf.5.html#printing"><strong>"printing"</strong></a> parameter is <code>SYSV</code>, in
2430 which case the default is :
2431 <p><code>       lp -i %p-%j -H resume</code>
2432 <p>or if the value of the <a href="smb.conf.5.html#printing"><strong>"printing"</strong></a> parameter is <code>softq</code>,
2433 then the default is:
2434 <p><code>       qstat -s -j%j -r</code>
2435 <p><strong>Example for HPUX:</strong>
2436 <code>        lpresume command = /usr/bin/lpalt %p-%j -p2</code>
2437 <p><a name="lprmcommand"></a>
2438 <p></p><dt><strong><strong>lprm command (S)</strong></strong><dd>
2439 <p>This parameter specifies the command to be executed on the server host
2440 in order to delete a print job.
2441 <p>This command should be a program or script which takes a printer name
2442 and job number, and deletes the print job.
2443 <p>If a <code>%p</code> is given then the printername is put in its place. A
2444 <code>%j</code> is replaced with the job number (an integer).
2445 <p>Note that it is good practice to include the absolute path in the
2446 <strong>lprm command</strong> as the PATH may not be available to the server.
2447 <p>See also the <a href="smb.conf.5.html#printing"><strong>"printing"</strong></a> parameter.
2448 <p><strong>Default:</strong>
2449 <code>  depends on the setting of "printing ="</code>
2450 <p><strong>Example 1:</strong>
2451 <code>  lprm command = /usr/bin/lprm -P%p %j</code>
2452 <p><strong>Example 2:</strong>
2453 <code>  lprm command = /usr/bin/cancel %p-%j</code>
2454 <p><a name="machinepasswordtimeout"></a>
2455 <p></p><dt><strong><strong>machine password timeout (G)</strong></strong><dd>
2456 <p>If a Samba server is a member of an Windows NT Domain (see the
2457 <a href="smb.conf.5.html#securityequaldomain"><strong>"security=domain"</strong></a>) parameter) then
2458 periodically a running <a href="smbd.8.html"><strong>smbd</strong></a> process will try and
2459 change the <strong>MACHINE ACCOUNT PASWORD</strong> stored in the file called
2460 <code>&lt;Domain&gt;.&lt;Machine&gt;.mac</code> where <code>&lt;Domain&gt;</code> is the name of the
2461 Domain we are a member of and <code>&lt;Machine&gt;</code> is the primary
2462 <a href="smb.conf.5.html#netbiosname"><strong>"NetBIOS name"</strong></a> of the machine
2463 <a href="smbd.8.html"><strong>smbd</strong></a> is running on. This parameter specifies how
2464 often this password will be changed, in seconds. The default is one
2465 week (expressed in seconds), the same as a Windows NT Domain member
2466 server.
2467 <p>See also <a href="smbpasswd.8.html"><strong>smbpasswd (8)</strong></a>, and the
2468 <a href="smb.conf.5.html#securityequaldomain"><strong>"security=domain"</strong></a>) parameter.
2469 <p><strong>Default:</strong>
2470 <code>  machine password timeout = 604800</code>
2471 <p><a name="magicoutput"></a>
2472 <p></p><dt><strong><strong>magic output (S)</strong></strong><dd>
2473 <p>This parameter specifies the name of a file which will contain output
2474 created by a magic script (see the <a href="smb.conf.5.html#magicscript"><strong>"magic
2475 script"</strong></a> parameter below).
2476 <p>Warning: If two clients use the same <a href="smb.conf.5.html#magicscript"><strong>"magic
2477 script"</strong></a> in the same directory the output file content
2478 is undefined.
2479 <p><strong>Default:</strong>
2480 <code>  magic output = &lt;magic script name&gt;.out</code>
2481 <p><strong>Example:</strong>
2482 <code>  magic output = myfile.txt</code>
2483 <p><a name="magicscript"></a>
2484 <p></p><dt><strong><strong>magic script (S)</strong></strong><dd>
2485 <p>This parameter specifies the name of a file which, if opened, will be
2486 executed by the server when the file is closed. This allows a UNIX
2487 script to be sent to the Samba host and executed on behalf of the
2488 connected user.
2489 <p>Scripts executed in this way will be deleted upon completion,
2490 permissions permitting.
2491 <p>If the script generates output, output will be sent to the file
2492 specified by the <a href="smb.conf.5.html#magicoutput"><strong>"magic output"</strong></a> parameter (see
2493 above).
2494 <p>Note that some shells are unable to interpret scripts containing
2495 carriage-return-linefeed instead of linefeed as the end-of-line
2496 marker. Magic scripts must be executable <em>"as is"</em> on the host,
2497 which for some hosts and some shells will require filtering at the DOS
2498 end.
2499 <p>Magic scripts are <em>EXPERIMENTAL</em> and should <em>NOT</em> be relied upon.
2500 <p><strong>Default:</strong>
2501 <code>  None. Magic scripts disabled.</code>
2502 <p><strong>Example:</strong>
2503 <code>  magic script = user.csh</code>
2504 <p><a name="manglecase"></a>
2505 <p></p><dt><strong><strong>mangle case (S)</strong></strong><dd>
2506 <p>See the section on <a href="smb.conf.5.html#NAMEMANGLING"><strong>"NAME MANGLING"</strong></a>.
2507 <p><a name="manglelocks"></a>
2508 <p></p><dt><strong><strong>mangle locks (S)</strong></strong><dd>
2509 <p>This option is was introduced with Samba 2.0.4 and above and has been
2510 removed in Samba 2.0.6 as Samba now dynamically configures such things
2511 on 32 bit systems.
2512 <p><a name="mangledmap"></a>
2513 <p></p><dt><strong><strong>mangled map (S)</strong></strong><dd>
2514 <p>This is for those who want to directly map UNIX file names which can
2515 not be represented on Windows/DOS.  The mangling of names is not always
2516 what is needed.  In particular you may have documents with file
2517 extensions that differ between DOS and UNIX. For example, under UNIX
2518 it is common to use <code>".html"</code> for HTML files, whereas under
2519 Windows/DOS <code>".htm"</code> is more commonly used.
2520 <p>So to map <code>"html"</code> to <code>"htm"</code> you would use:
2521 <p><code>  mangled map = (*.html *.htm)</code>
2522 <p>One very useful case is to remove the annoying <code>";1"</code> off the ends
2523 of filenames on some CDROMS (only visible under some UNIXs). To do
2524 this use a map of (*;1 *).
2525 <p><strong>default:</strong>
2526 <code>  no mangled map</code>
2527 <p><strong>Example:</strong>
2528 <code>  mangled map = (*;1 *)</code>
2529 <p><a name="manglednames"></a>
2530 <p></p><dt><strong><strong>mangled names (S)</strong></strong><dd>
2531 <p>This controls whether non-DOS names under UNIX should be mapped to
2532 DOS-compatible names ("mangled") and made visible, or whether non-DOS
2533 names should simply be ignored.
2534 <p>See the section on <a href="smb.conf.5.html#NAMEMANGLING"><strong>"NAME MANGLING"</strong></a> for details
2535 on how to control the mangling process.
2536 <p>If mangling is used then the mangling algorithm is as follows:
2537 <p><dl>
2538 <p><li > The first (up to) five alphanumeric characters before the
2539 rightmost dot of the filename are preserved, forced to upper case, and
2540 appear as the first (up to) five characters of the mangled name.
2541 <p><li > A tilde <code>"~"</code> is appended to the first part of the mangled
2542 name, followed by a two-character unique sequence, based on the
2543 original root name (i.e., the original filename minus its final
2544 extension). The final extension is included in the hash calculation
2545 only if it contains any upper case characters or is longer than three
2546 characters.
2547 <p>Note that the character to use may be specified using the
2548 <a href="smb.conf.5.html#manglingchar"><strong>"mangling char"</strong></a> option, if you don't like
2549 <code>'~'</code>.
2550 <p><li > The first three alphanumeric characters of the final extension
2551 are preserved, forced to upper case and appear as the extension of the
2552 mangled name. The final extension is defined as that part of the
2553 original filename after the rightmost dot. If there are no dots in the
2554 filename, the mangled name will have no extension (except in the case
2555 of <a href="smb.conf.5.html#hidefiles"><strong>"hidden files"</strong></a> - see below).
2556 <p><li > Files whose UNIX name begins with a dot will be presented as DOS
2557 hidden files. The mangled name will be created as for other filenames,
2558 but with the leading dot removed and <code>"___"</code> as its extension regardless
2559 of actual original extension (that's three underscores).
2560 <p></dl>
2561 <p>The two-digit hash value consists of upper case alphanumeric
2562 characters.
2563 <p>This algorithm can cause name collisions only if files in a directory
2564 share the same first five alphanumeric characters. The probability of
2565 such a clash is 1/1300.
2566 <p>The name mangling (if enabled) allows a file to be copied between UNIX
2567 directories from Windows/DOS while retaining the long UNIX
2568 filename. UNIX files can be renamed to a new extension from
2569 Windows/DOS and will retain the same basename. Mangled names do not
2570 change between sessions.
2571 <p><strong>Default:</strong>
2572 <code>  mangled names = yes</code>
2573 <p><strong>Example:</strong>
2574 <code>  mangled names = no</code>
2575 <p><a name="manglingchar"></a>
2576 <p></p><dt><strong><strong>mangling char (S)</strong></strong><dd>
2577 <p>This controls what character is used as the <em>"magic"</em> character in
2578 <a href="smb.conf.5.html#manglednames"><strong>name mangling</strong></a>. The default is a <code>'~'</code> but
2579 this may interfere with some software. Use this option to set it to
2580 whatever you prefer.
2581 <p><strong>Default:</strong>
2582 <code>  mangling char = ~</code>
2583 <p><strong>Example:</strong>
2584 <code>  mangling char = ^</code>
2585 <p><a name="mangledstack"></a>
2586 <p></p><dt><strong><strong>mangled stack (G)</strong></strong><dd>
2587 <p>This parameter controls the number of mangled names that should be
2588 cached in the Samba server <a href="smbd.8.html"><strong>smbd</strong></a>.
2589 <p>This stack is a list of recently mangled base names (extensions are
2590 only maintained if they are longer than 3 characters or contains upper
2591 case characters).
2592 <p>The larger this value, the more likely it is that mangled names can be
2593 successfully converted to correct long UNIX names. However, large
2594 stack sizes will slow most directory access. Smaller stacks save
2595 memory in the server (each stack element costs 256 bytes).
2596 <p>It is not possible to absolutely guarantee correct long file names, so
2597 be prepared for some surprises!
2598 <p><strong>Default:</strong>
2599 <code>  mangled stack = 50</code>
2600 <p><strong>Example:</strong>
2601 <code>  mangled stack = 100</code>
2602 <p><a name="maparchive"></a>
2603 <p></p><dt><strong><strong>map archive (S)</strong></strong><dd>
2604 <p>This controls whether the DOS archive attribute should be mapped to
2605 the UNIX owner execute bit.  The DOS archive bit is set when a file
2606 has been modified since its last backup.  One motivation for this
2607 option it to keep Samba/your PC from making any file it touches from
2608 becoming executable under UNIX.  This can be quite annoying for shared
2609 source code, documents, etc...
2610 <p>Note that this requires the <a href="smb.conf.5.html#createmask"><strong>"create mask"</strong></a>
2611 parameter to be set such that owner execute bit is not masked out
2612 (i.e. it must include 100). See the parameter <a href="smb.conf.5.html#createmask"><strong>"create
2613 mask"</strong></a> for details.
2614 <p><strong>Default:</strong>
2615 <code>      map archive = yes</code>
2616 <p><strong>Example:</strong>
2617 <code>      map archive = no</code>
2618 <p><a name="maphidden"></a>
2619 <p></p><dt><strong><strong>map hidden (S)</strong></strong><dd>
2620 <p>This controls whether DOS style hidden files should be mapped to the
2621 UNIX world execute bit.
2622 <p>Note that this requires the <a href="smb.conf.5.html#createmask"><strong>"create mask"</strong></a> to be
2623 set such that the world execute bit is not masked out (i.e. it must
2624 include 001). See the parameter <a href="smb.conf.5.html#createmask"><strong>"create mask"</strong></a>
2625 for details.
2626 <p><strong>Default:</strong>
2627 <code>  map hidden = no</code>
2628 <p><strong>Example:</strong>
2629 <code>  map hidden = yes</code>
2630 <p><a name="mapsystem"></a>
2631 <p></p><dt><strong><strong>map system (S)</strong></strong><dd>
2632 <p>This controls whether DOS style system files should be mapped to the
2633 UNIX group execute bit.
2634 <p>Note that this requires the <a href="smb.conf.5.html#createmask"><strong>"create mask"</strong></a> to be
2635 set such that the group execute bit is not masked out (i.e. it must
2636 include 010). See the parameter <a href="smb.conf.5.html#createmask"><strong>"create mask"</strong></a>
2637 for details.
2638 <p><strong>Default:</strong>
2639 <code>  map system = no</code>
2640 <p><strong>Example:</strong>
2641 <code>  map system = yes</code>
2642 <p><a name="maptoguest"></a>
2643 <p></p><dt><strong><strong>map to guest (G)</strong></strong><dd>
2644 <p>This parameter is only useful in <a href="smb.conf.5.html#security"><strong>security</strong></a> modes
2645 other than <a href="smb.conf.5.html#securityequalshare"><strong>"security=share"</strong></a> - i.e. user,
2646 server, and domain.
2647 <p>This parameter can take three different values, which tell
2648 <a href="smbd.8.html"><strong>smbd</strong></a> what to do with user login requests that
2649 don't match a valid UNIX user in some way.
2650 <p>The three settings are :
2651 <p><dl>
2652 <p><li > <strong>"Never"</strong> - Means user login requests with an invalid password
2653 are rejected. This is the default.
2654 <p><li > <strong>"Bad User"</strong> - Means user logins with an invalid password are
2655 rejected, unless the username does not exist, in which case it is
2656 treated as a guest login and mapped into the <a href="smb.conf.5.html#guestaccount"><strong>"guest
2657 account"</strong></a>.
2658 <p><li > <strong>"Bad Password"</strong> - Means user logins with an invalid
2659 password are treated as a guest login and mapped into the
2660 <a href="smb.conf.5.html#guestaccount"><strong>"guest account"</strong></a>. Note that this can
2661 cause problems as it means that any user incorrectly typing their
2662 password will be silently logged on a <strong>"guest"</strong> - and 
2663 will not know the reason they cannot access files they think
2664 they should - there will have been no message given to them
2665 that they got their password wrong. Helpdesk services will
2666 <em>*hate*</em> you if you set the <strong>"map to guest"</strong> parameter
2667 this way :-).
2668 <p></dl>
2669 <p>Note that this parameter is needed to set up <strong>"Guest"</strong> share
2670 services when using <a href="smb.conf.5.html#security"><strong>security</strong></a> modes other than
2671 share. This is because in these modes the name of the resource being
2672 requested is <em>*not*</em> sent to the server until after the server has
2673 successfully authenticated the client so the server cannot make
2674 authentication decisions at the correct time (connection to the
2675 share) for <strong>"Guest"</strong> shares.
2676 <p>For people familiar with the older Samba releases, this parameter
2677 maps to the old compile-time setting of the GUEST_SESSSETUP value
2678 in local.h.
2679 <p><strong>Default:</strong>
2680 <code>  map to guest = Never</code>
2681   <strong>Example</strong>:
2682 <code>  map to guest = Bad User</code>
2683 <p><a name="maxconnections"></a>
2684 <p></p><dt><strong><strong>max connections (S)</strong></strong><dd>
2685 <p>This option allows the number of simultaneous connections to a service
2686 to be limited. If <strong>"max connections"</strong> is greater than 0 then
2687 connections will be refused if this number of connections to the
2688 service are already open. A value of zero mean an unlimited number of
2689 connections may be made.
2690 <p>Record lock files are used to implement this feature. The lock files
2691 will be stored in the directory specified by the <a href="smb.conf.5.html#lockdirectory"><strong>"lock
2692 directory"</strong></a> option.
2693 <p><strong>Default:</strong>
2694 <code>  max connections = 0</code>
2695 <p><strong>Example:</strong>
2696 <code>  max connections = 10</code>
2697 <p><a name="maxdisksize"></a>
2698 <p></p><dt><strong><strong>max disk size (G)</strong></strong><dd>
2699 <p>This option allows you to put an upper limit on the apparent size of
2700 disks. If you set this option to 100 then all shares will appear to be
2701 not larger than 100 MB in size.
2702 <p>Note that this option does not limit the amount of data you can put on
2703 the disk. In the above case you could still store much more than 100
2704 MB on the disk, but if a client ever asks for the amount of free disk
2705 space or the total disk size then the result will be bounded by the
2706 amount specified in <strong>"max disk size"</strong>.
2707 <p>This option is primarily useful to work around bugs in some pieces of
2708 software that can't handle very large disks, particularly disks over
2709 1GB in size.
2710 <p>A <strong>"max disk size"</strong> of 0 means no limit.
2711 <p><strong>Default:</strong>
2712 <code>  max disk size = 0</code>
2713 <p><strong>Example:</strong>
2714 <code>  max disk size = 1000</code>
2715 <p><a name="maxlogsize"></a>
2716 <p></p><dt><strong><strong>max log size (G)</strong></strong><dd>
2717 <p>This option (an integer in kilobytes) specifies the max size the log
2718 file should grow to. Samba periodically checks the size and if it is
2719 exceeded it will rename the file, adding a <code>".old"</code> extension.
2720 <p>A size of 0 means no limit.
2721 <p><strong>Default:</strong>
2722 <code>  max log size = 5000</code>
2723 <p><strong>Example:</strong>
2724 <code>  max log size = 1000</code>
2725 <p><a name="maxmux"></a>
2726 <p></p><dt><strong><strong>max mux (G)</strong></strong><dd>
2727 <p>This option controls the maximum number of outstanding simultaneous
2728 SMB operations that samba tells the client it will allow. You should
2729 never need to set this parameter.
2730 <p><strong>Default:</strong>
2731 <code>  max mux = 50</code>
2732 <p><a name="maxopenfiles"></a>
2733 <p></p><dt><strong><strong>max open files (G)</strong></strong><dd>
2734 <p>This parameter limits the maximum number of open files that one
2735 <a href="smbd.8.html"><strong>smbd</strong></a> file serving process may have open for
2736 a client at any one time. The default for this parameter is set
2737 very high (10,000) as Samba uses only one bit per unopened file.
2738 <p>The limit of the number of open files is usually set by the
2739 UNIX per-process file descriptor limit rather than this parameter
2740 so you should never need to touch this parameter.
2741 <p><strong>Default:</strong>
2742 <code>  max open files = 10000</code>
2743 <p><a name="maxpacket"></a>
2744 <p></p><dt><strong><strong>max packet (G)</strong></strong><dd>
2745 <p>Synonym for <a href="smb.conf.5.html#packetsize"><strong>"packet size"</strong></a>.
2746 <p><a name="maxttl"></a>
2747 <p></p><dt><strong><strong>max ttl (G)</strong></strong><dd>
2748 <p>This option tells <a href="nmbd.8.html"><strong>nmbd</strong></a> what the default 'time
2749 to live' of NetBIOS names should be (in seconds) when
2750 <a href="nmbd.8.html"><strong>nmbd</strong></a> is requesting a name using either a
2751 broadcast packet or from a WINS server. You should never need to
2752 change this parameter. The default is 3 days.
2753 <p><strong>Default:</strong>
2754 <code>  max ttl = 259200</code>
2755 <p><a name="maxwinsttl"></a>
2756 <p></p><dt><strong><strong>max wins ttl (G)</strong></strong><dd>
2757 <p>This option tells <a href="nmbd.8.html"><strong>nmbd</strong></a> when acting as a WINS
2758 server <a href="smb.conf.5.html#winssupport"><strong>(wins support =true)</strong></a> what the maximum
2759 'time to live' of NetBIOS names that <a href="nmbd.8.html"><strong>nmbd</strong></a> will
2760 grant will be (in seconds). You should never need to change this
2761 parameter.  The default is 6 days (518400 seconds).
2762 <p>See also the <a href="smb.conf.5.html#minwinsttl"><strong>"min wins ttl"</strong></a> parameter.
2763 <p><strong>Default:</strong>
2764 <code>        max wins ttl = 518400</code>
2765 <p><a name="maxxmit"></a>
2766 <p></p><dt><strong><strong>max xmit (G)</strong></strong><dd>
2767 <p>This option controls the maximum packet size that will be negotiated
2768 by Samba. The default is 65535, which is the maximum. In some cases
2769 you may find you get better performance with a smaller value. A value
2770 below 2048 is likely to cause problems.
2771 <p><strong>Default:</strong>
2772 <code>  max xmit = 65535</code>
2773 <p><strong>Example:</strong>
2774 <code>  max xmit = 8192</code>
2775 <p><a name="messagecommand"></a>
2776 <p></p><dt><strong><strong>message command (G)</strong></strong><dd>
2777 <p>This specifies what command to run when the server receives a WinPopup
2778 style message.
2779 <p>This would normally be a command that would deliver the message
2780 somehow. How this is to be done is up to your imagination.
2781 <p>An example is:
2782 <p><code>   message command = csh -c 'xedit %s;rm %s' &amp;</code>
2783 <p>This delivers the message using <strong>xedit</strong>, then removes it
2785 IMMEDIATELY</em>. That's why I have the <code>'&amp;'</code> on the end. If it doesn't
2786 return immediately then your PCs may freeze when sending messages
2787 (they should recover after 30secs, hopefully).
2788 <p>All messages are delivered as the global guest user. The command takes
2789 the standard substitutions, although <a href="smb.conf.5.html#percentu"><strong>%u</strong></a> won't work
2790 (<a href="smb.conf.5.html#percentU"><strong>%U</strong></a> may be better in this case).
2791 <p>Apart from the standard substitutions, some additional ones apply. In
2792 particular:
2793 <p><dl>
2794 <p><li > <code>"%s"</code> = the filename containing the message.
2795 <p><li > <code>"%t"</code> = the destination that the message was sent to (probably the server
2796 name).
2797 <p><li > <code>"%f"</code> = who the message is from.
2798 <p></dl>
2799 <p>You could make this command send mail, or whatever else takes your
2800 fancy. Please let us know of any really interesting ideas you have.
2801 <p>Here's a way of sending the messages as mail to root:
2802 <p><code>message command = /bin/mail -s 'message from %f on %m' root &lt; %s; rm %s</code>
2803 <p>If you don't have a message command then the message won't be
2804 delivered and Samba will tell the sender there was an
2805 error. Unfortunately WfWg totally ignores the error code and carries
2806 on regardless, saying that the message was delivered.
2807 <p>If you want to silently delete it then try:
2808 <p><code>"message command = rm %s"</code>.
2809 <p><strong>Default:</strong>
2810 <code>  no message command</code>
2811 <p><strong>Example:</strong>
2812 <code>        message command = csh -c 'xedit %s;rm %s' &amp;</code>
2813 <p><a name="minprintspace"></a>
2814 <p></p><dt><strong><strong>min print space (S)</strong></strong><dd>
2815 <p>This sets the minimum amount of free disk space that must be available
2816 before a user will be able to spool a print job. It is specified in
2817 kilobytes. The default is 0, which means a user can always spool a print
2818 job.
2819 <p>See also the <a href="smb.conf.5.html#printing"><strong>printing</strong></a> parameter.
2820 <p><strong>Default:</strong>
2821 <code>  min print space = 0</code>
2822 <p><strong>Example:</strong>
2823 <code>  min print space = 2000</code>
2824 <p><a name="minpasswdlength"></a>
2825 <p></p><dt><strong><strong>min passwd length (G)</strong></strong><dd>
2826 <p>Synonym for <a href="smb.conf.5.html#minpasswordlength"><strong>"min password length"</strong></a>.
2827 <p><a name="minpasswordlength"></a>
2828 <p></p><dt><strong><strong>min password length (G)</strong></strong><dd>
2829 <p>This option sets the minimum length in characters of a plaintext password
2830 than smbd will accept when performing UNIX password changing.
2831 <p>See also <a href="smb.conf.5.html#unixpasswordsync"><strong>"unix password sync"</strong></a>,
2832 <a href="smb.conf.5.html#passwdprogram"><strong>"passwd program"</strong></a> and <a href="smb.conf.5.html#passwdchatdebug"><strong>"passwd chat
2833 debug"</strong></a>.
2834 <p><strong>Default:</strong>
2835 <code>  min password length = 5</code>
2836 <p><a name="minwinsttl"></a>
2837 <p></p><dt><strong><strong>min wins ttl (G)</strong></strong><dd>
2838 <p>This option tells <a href="nmbd.8.html"><strong>nmbd</strong></a> when acting as a WINS
2839 server <a href="smb.conf.5.html#winssupport"><strong>(wins support = true)</strong></a> what the minimum
2840 'time to live' of NetBIOS names that <a href="nmbd.8.html"><strong>nmbd</strong></a> will
2841 grant will be (in seconds). You should never need to change this
2842 parameter.  The default is 6 hours (21600 seconds).
2843 <p><strong>Default:</strong>
2844 <code>  min wins ttl = 21600</code>
2845 <p><a name="nameresolveorder"></a>
2846 <p></p><dt><strong><strong>name resolve order (G)</strong></strong><dd>
2847 <p>This option is used by the programs in the Samba suite to determine
2848 what naming services and in what order to resolve host names to IP
2849 addresses. The option takes a space separated string of different name
2850 resolution options.
2851 <p>The options are :"lmhosts", "host", "wins" and "bcast". They cause
2852 names to be resolved as follows :
2853 <p><dl>
2854 <p><li > <strong>lmhosts</strong> : Lookup an IP address in the Samba lmhosts file.
2855 If the line in lmhosts has no name type attached to the NetBIOS
2856 name (see the <a href="lmhosts.5.html"><strong>lmhosts (5)</strong></a> for details) then
2857 any name type matches for lookup.
2858 <p><li > <strong>host</strong> : Do a standard host name to IP address resolution,
2859 using the system /etc/hosts, NIS, or DNS lookups. This method of name
2860 resolution is operating system depended for instance on IRIX or
2861 Solaris this may be controlled by the <em>/etc/nsswitch.conf</em> file).
2862 Note that this method is only used if the NetBIOS name type being
2863 queried is the 0x20 (server) name type, otherwise it is ignored.
2864 <p><li > <strong>wins</strong> : Query a name with the IP address listed in the
2865 <a href="smb.conf.5.html#winsserver"><strong>wins server</strong></a> parameter. If no WINS server has
2866 been specified this method will be ignored.
2867 <p><li > <strong>bcast</strong> : Do a broadcast on each of the known local interfaces
2868 listed in the <a href="smb.conf.5.html#interfaces"><strong>interfaces</strong></a> parameter. This is the
2869 least reliable of the name resolution methods as it depends on the
2870 target host being on a locally connected subnet.
2871 <p></dl>
2872 <p><strong>Default:</strong>
2873 <code>  name resolve order = lmhosts host wins bcast</code>
2874 <p><strong>Example:</strong>
2875 <code>  name resolve order = lmhosts bcast host</code>
2876 <p>This will cause the local lmhosts file to be examined first, followed
2877 by a broadcast attempt, followed by a normal system hostname lookup.
2878 <p><a name="netbiosaliases"></a>
2879 <p></p><dt><strong><strong>netbios aliases (G)</strong></strong><dd>
2880 <p>This is a list of NetBIOS names that <a href="nmbd.8.html"><strong>nmbd</strong></a> will
2881 advertise as additional names by which the Samba server is known. This
2882 allows one machine to appear in browse lists under multiple names. If
2883 a machine is acting as a <a href="smb.conf.5.html#localmaster"><strong>browse server</strong></a> or
2884 <a href="smb.conf.5.html#domainlogons"><strong>logon server</strong></a> none of these names will be
2885 advertised as either browse server or logon servers, only the primary
2886 name of the machine will be advertised with these capabilities.
2887 <p>See also <a href="smb.conf.5.html#netbiosname"><strong>"netbios name"</strong></a>.
2888 <p><strong>Default:</strong>
2889 <code>  empty string (no additional names)</code>
2890 <p><strong>Example:</strong>
2891 <code>  netbios aliases = TEST TEST1 TEST2</code>
2892 <p><a name="netbiosname"></a>
2893 <p></p><dt><strong><strong>netbios name (G)</strong></strong><dd>
2894 <p>This sets the NetBIOS name by which a Samba server is known. By
2895 default it is the same as the first component of the host's DNS name.
2896 If a machine is a <a href="smb.conf.5.html#localmaster"><strong>browse server</strong></a> or
2897 <a href="smb.conf.5.html#domainlogons"><strong>logon server</strong></a> this name (or the first component
2898 of the hosts DNS name) will be the name that these services are
2899 advertised under.
2900 <p>See also <a href="smb.conf.5.html#netbiosaliases"><strong>"netbios aliases"</strong></a>.
2901 <p><strong>Default:</strong>
2902 <code>  Machine DNS name.</code>
2903 <p><strong>Example:</strong>
2904 <code>  netbios name = MYNAME</code>
2905 <p><a name="netbiosscope"></a>
2906 <p></p><dt><strong><strong>netbios scope (G)</strong></strong><dd>
2907 <p>This sets the NetBIOS scope that Samba will operate under. This should
2908 not be set unless every machine on your LAN also sets this value.
2909 <p><a name="nishomedir"></a>
2910 <p></p><dt><strong><strong>nis homedir (G)</strong></strong><dd>
2911 <p>Get the home share server from a NIS map. For UNIX systems that use an
2912 automounter, the user's home directory will often be mounted on a
2913 workstation on demand from a remote server. 
2914 <p>When the Samba logon server is not the actual home directory server,
2915 but is mounting the home directories via NFS then two network hops
2916 would be required to access the users home directory if the logon
2917 server told the client to use itself as the SMB server for home
2918 directories (one over SMB and one over NFS). This can be very
2919 slow.
2920 <p>This option allows Samba to return the home share as being on a
2921 different server to the logon server and as long as a Samba daemon is
2922 running on the home directory server, it will be mounted on the Samba
2923 client directly from the directory server. When Samba is returning the
2924 home share to the client, it will consult the NIS map specified in
2925 <a href="smb.conf.5.html#homedirmap"><strong>"homedir map"</strong></a> and return the server listed
2926 there.
2927 <p>Note that for this option to work there must be a working NIS
2928 system and the Samba server with this option must also be a
2929 <a href="smb.conf.5.html#domainlogons"><strong>logon server</strong></a>.
2930 <p><strong>Default:</strong>
2931 <code>  nis homedir = false</code>
2932 <p><strong>Example:</strong>
2933 <code>  nis homedir = true</code>
2934 <p><a name="ntaclsupport"></a>
2935 <p></p><dt><strong><strong>nt acl support (G)</strong></strong><dd>
2936 <p>This boolean parameter controls whether <a href="smbd.8.html"><strong>smbd</strong></a>
2937 will attempt to map UNIX permissions into Windows NT access control lists.
2938 <p><strong>Default:</strong>
2939 <code>  nt acl support = yes</code>
2940 <p><strong>Example:</strong>
2941 <code>  nt acl support = no</code>
2942 <p><a name="ntpipesupport"></a>
2943 <p></p><dt><strong><strong>nt pipe support (G)</strong></strong><dd>
2944 <p>This boolean parameter controls whether <a href="smbd.8.html"><strong>smbd</strong></a>
2945 will allow Windows NT clients to connect to the NT SMB specific
2946 <code>IPC$</code> pipes. This is a developer debugging option and can be left
2947 alone.
2948 <p><strong>Default:</strong>
2949 <code>  nt pipe support = yes</code>
2950 <p><a name="ntsmbsupport"></a>
2951 <p></p><dt><strong><strong>nt smb support (G)</strong></strong><dd>
2952 <p>This boolean parameter controls whether <a href="smbd.8.html"><strong>smbd</strong></a>
2953 will negotiate NT specific SMB support with Windows NT
2954 clients. Although this is a developer debugging option and should be
2955 left alone, benchmarking has discovered that Windows NT clients give
2956 faster performance with this option set to <code>"no"</code>. This is still
2957 being investigated. If this option is set to <code>"no"</code> then Samba
2958 offers exactly the same SMB calls that versions prior to Samba2.0
2959 offered. This information may be of use if any users are having
2960 problems with NT SMB support.
2961 <p><strong>Default:</strong>
2962 <code>  nt support = yes</code>
2963 <p><a name="nullpasswords"></a>
2964 <p></p><dt><strong><strong>null passwords (G)</strong></strong><dd>
2965 <p>Allow or disallow client access to accounts that have null passwords. 
2966 <p>See also <a href="smbpasswd.5.html"><strong>smbpasswd (5)</strong></a>.
2967 <p><strong>Default:</strong>
2968 <code>  null passwords = no</code>
2969 <p><strong>Example:</strong>
2970 <code>  null passwords = yes</code>
2971 <p><a name="olelockingcompatibility"></a>
2972 <p></p><dt><strong><strong>ole locking compatibility (G)</strong></strong><dd>
2973 <p>This parameter allows an administrator to turn off the byte range lock
2974 manipulation that is done within Samba to give compatibility for OLE
2975 applications. Windows OLE applications use byte range locking as a
2976 form of inter-process communication, by locking ranges of bytes around
2977 the 2^32 region of a file range. This can cause certain UNIX lock
2978 managers to crash or otherwise cause problems. Setting this parameter
2979 to <code>"no"</code> means you trust your UNIX lock manager to handle such cases
2980 correctly.
2981 <p><strong>Default:</strong>
2982 <code>  ole locking compatibility = yes</code>
2983 <p><strong>Example:</strong>
2984 <code>  ole locking compatibility = no</code>
2985 <p><a name="onlyguest"></a>
2986 <p></p><dt><strong><strong>only guest (S)</strong></strong><dd>
2987 <p>A synonym for <a href="smb.conf.5.html#guestonly"><strong>"guest only"</strong></a>.
2988 <p><a name="onlyuser"></a>
2989 <p></p><dt><strong><strong>only user (S)</strong></strong><dd>
2990 <p>This is a boolean option that controls whether connections with
2991 usernames not in the <a href="smb.conf.5.html#user"><strong>user=</strong></a> list will be allowed. By
2992 default this option is disabled so a client can supply a username to
2993 be used by the server.
2994 <p>Note that this also means Samba won't try to deduce usernames from the
2995 service name. This can be annoying for the <a href="smb.conf.5.html#homes"><strong>[homes]</strong></a>
2996 section. To get around this you could use "<a href="smb.conf.5.html#user"><strong>user</strong></a> =
2997 <a href="smb.conf.5.html#percentS"><strong>%S</strong></a>" which means your <a href="smb.conf.5.html#user"><strong>"user"</strong></a> list
2998 will be just the service name, which for home directories is the name
2999 of the user.
3000 <p>See also the <a href="smb.conf.5.html#user"><strong>user</strong></a> parameter.
3001 <p><strong>Default:</strong>
3002 <code>  only user = False</code>
3003 <p><strong>Example:</strong>
3004 <code>  only user = True</code>
3005 <p><a name="oplocks"></a>
3006 <p></p><dt><strong><strong>oplocks (S)</strong></strong><dd>
3007 <p>This boolean option tells smbd whether to issue oplocks (opportunistic
3008 locks) to file open requests on this share. The oplock code can
3009 dramatically (approx. 30% or more) improve the speed of access to files
3010 on Samba servers. It allows the clients to aggressively cache files
3011 locally and you may want to disable this option for unreliable network
3012 environments (it is turned on by default in Windows NT Servers).  For
3013 more information see the file Speed.txt in the Samba docs/ directory.
3014 <p>Oplocks may be selectively turned off on certain files on a per share basis.
3015 See the 'veto oplock files' parameter. On some systems oplocks are recognized
3016 by the underlying operating system. This allows data synchronization between
3017 all access to oplocked files, whether it be via Samba or NFS or a local
3018 UNIX process. See the <a href="smb.conf.5.html#kerneloplocks"><strong>kernel oplocks</strong></a> parameter
3019 for details.
3020 <p>See also the <a href="smb.conf.5.html#kerneloplocks"><strong>"kernel oplocks"</strong></a> and
3021 <a href="smb.conf.5.html#level2oplocks"><strong>"level2 oplocks"</strong></a> parameters.
3022 <p><strong>Default:</strong>
3023 <code>  oplocks = True</code>
3024 <p><strong>Example:</strong>
3025 <code>  oplocks = False</code>
3026 <p><a name="oplockbreakwaittime"></a>
3027 <p></p><dt><strong><strong>oplock break wait time (G)</strong></strong><dd>
3028 <p>This is a tuning parameter added due to bugs in both Windows 9x and WinNT.
3029 If Samba responds to a client too quickly when that client issues an SMB that
3030 can cause an oplock break request, then the client redirector can fail and
3031 not respond to the break request. This tuning parameter (which is set in
3032 milliseconds) is the amount of time Samba will wait before sending an
3033 oplock break request to such (broken) clients.
3035 OPLOCK CODE</em>.
3036 <p><strong>Default:</strong>
3037 <code>  oplock break wait time = 10</code>
3038 <p><a name="oplockcontentionlimit"></a>
3039 <p></p><dt><strong><strong>oplock contention limit (S)</strong></strong><dd>
3040 <p>This is a <em>very</em> advanced <a href="smbd.8.html"><strong>smbd</strong></a> tuning option to improve
3041 the efficiency of the granting of oplocks under multiple client contention for the same file.
3042 <p>In brief it specifies a number, which causes smbd not to grant an oplock even
3043 when requested if the approximate number of clients contending for an oplock on
3044 the same file goes over this limit. This causes <a href="smbd.8.html"><strong>smbd</strong></a> to
3045 behave in a similar way to Windows NT.
3047 OPLOCK CODE</em>.
3048 <p><strong>Default:</strong>
3049 <code> oplock contention limit = 2</code>
3050 <p><a name="oslevel"></a>
3051 <p></p><dt><strong><strong>os level (G)</strong></strong><dd>
3052 <p>This integer value controls what level Samba advertises itself as for
3053 browse elections. The value of this parameter determines whether
3054 <a href="nmbd.8.html"><strong>nmbd</strong></a> has a chance of becoming a local master
3055 browser for the <a href="smb.conf.5.html#workgroup"><strong>WORKGROUP</strong></a> in the local broadcast
3056 area. The default is zero, which means <a href="nmbd.8.html"><strong>nmbd</strong></a> will
3057 lose elections to Windows machines. See BROWSING.txt in the Samba
3058 docs/ directory for details.
3059 <p><strong>Default:</strong>
3060 <code>  os level = 20</code>
3061 <p><strong>Example:</strong>
3062 <code>  os level = 65    ; This will win against any NT Server</code>
3063 <p><a name="packetsize"></a>
3064 <p></p><dt><strong><strong>packet size (G)</strong></strong><dd>
3065 <p>This is a deprecated parameter that has no effect on the current
3066 Samba code. It is left in the parameter list to prevent breaking
3067 old <strong>smb.conf</strong> files.
3068 <p><a name="panicaction"></a>
3069 <p></p><dt><strong><strong>panic action (G)</strong></strong><dd>
3070 <p>This is a Samba developer option that allows a system command to be
3071 called when either <a href="smbd.8.html"><strong>smbd</strong></a> or
3072 <a href="nmbd.8.html"><strong>nmbd</strong></a> crashes. This is usually used to draw
3073 attention to the fact that a problem occurred.
3074 <p><strong>Default:</strong>
3075 <code>  panic action = &lt;empty string&gt;</code>
3076 <p><a name="passwdchat"></a>
3077 <p></p><dt><strong><strong>passwd chat (G)</strong></strong><dd>
3078 <p>This string controls the <em>"chat"</em> conversation that takes places
3079 between <a href="smbd.8.html"><strong>smbd</strong></a> and the local password changing
3080 program to change the users password. The string describes a sequence
3081 of response-receive pairs that <a href="smbd.8.html"><strong>smbd</strong></a> uses to
3082 determine what to send to the <a href="smb.conf.5.html#passwdprogram"><strong>passwd</strong></a> program
3083 and what to expect back. If the expected output is not received then
3084 the password is not changed.
3085 <p>This chat sequence is often quite site specific, depending on what
3086 local methods are used for password control (such as NIS etc).
3087 <p>The string can contain the macros <code>"%o"</code> and <code>"%n"</code> which are
3088 substituted for the old and new passwords respectively. It can also
3089 contain the standard macros <code>"\n"</code>, <code>"\r"</code>, <code>"\t"</code> and <code>"\s"</code>
3090 to give line-feed, carriage-return, tab and space.
3091 <p>The string can also contain a <code>'*'</code> which matches any sequence of
3092 characters.
3093 <p>Double quotes can be used to collect strings with spaces in them into
3094 a single string.
3095 <p>If the send string in any part of the chat sequence is a fullstop
3096 <code>"."</code>  then no string is sent. Similarly, is the expect string is a
3097 fullstop then no string is expected.
3098 <p>Note that if the <a href="smb.conf.5.html#unixpasswordsync"><strong>"unix password sync"</strong></a>
3099 parameter is set to true, then this sequence is called <em>*AS ROOT*</em>
3100 when the SMB password in the smbpasswd file is being changed, without
3101 access to the old password cleartext. In this case the old password
3102 cleartext is set to <code>""</code> (the empty string).
3103 <p>See also <a href="smb.conf.5.html#unixpasswordsync"><strong>"unix password sync"</strong></a>,
3104 <a href="smb.conf.5.html#passwdprogram"><strong>"passwd program"</strong></a> and <a href="smb.conf.5.html#passwdchatdebug"><strong>"passwd chat
3105 debug"</strong></a>.
3106 <p><strong>Example:</strong> 
3107 <pre>
3108  passwd chat = "*Enter OLD password*" %o\n "*Enter NEW password*" %n\n "*Reenter NEW password*" %n\n "*Password changed*"
3110 </pre>
3112 <p><strong>Default:</strong>
3113 <pre>
3114        passwd chat = *old*password* %o\n *new*password* %n\n *new*password* %n\n *changed*
3115 </pre>