4a6de97f92110784c786da90e9a64731cd393435
[jra/samba/.git] / docs / docbook / manpages / smb.conf.5.sgml
1 <!DOCTYPE refentry PUBLIC "-//OASIS//DTD DocBook V4.1//EN">
2 <refentry id="smb.conf">
3
4 <refmeta>
5         <refentrytitle>smb.conf</refentrytitle>
6         <manvolnum>5</manvolnum>
7 </refmeta>
8
9
10 <refnamediv>
11         <refname>smb.conf</refname>
12         <refpurpose>The configuration file for the Samba suite</refpurpose>
13 </refnamediv>
14
15 <refsect1>
16         <title>SYNOPSIS</title>
17
18         <para>The <filename>smb.conf</filename> file is a configuration 
19         file for the Samba suite. <filename>smb.conf</filename> contains 
20         runtime configuration information for the Samba programs. The
21         <filename>smb.conf</filename> file is designed to be configured and 
22         administered by the <ulink url="swat.8.html"><command>swat(8)</command>
23         </ulink> program. The complete description of the file format and 
24         possible parameters held within are here for reference purposes.</para>
25 </refsect1>
26
27 <refsect1>
28         <title id="FILEFORMATSECT">FILE FORMAT</title>
29
30         <para>The file consists of sections and parameters. A section 
31         begins with the name of the section in square brackets and continues 
32         until the next section begins. Sections contain parameters of the 
33         form</para>
34
35         <para><replaceable>name</replaceable> = <replaceable>value
36         </replaceable></para>
37
38         <para>The file is line-based - that is, each newline-terminated 
39         line represents either a comment, a section name or a parameter.</para>
40
41         <para>Section and parameter names are not case sensitive.</para>
42
43         <para>Only the first equals sign in a parameter is significant. 
44         Whitespace before or after the first equals sign is discarded.
45         Leading, trailing and internal whitespace in section and parameter 
46         names is irrelevant. Leading and trailing whitespace in a parameter 
47         value is discarded. Internal whitespace within a parameter value 
48         is retained verbatim.</para>
49
50         <para>Any line beginning with a semicolon (';') or a hash ('#') 
51         character is ignored, as are lines containing only whitespace.</para>
52
53         <para>Any line ending in a '\' is continued
54         on the next line in the customary UNIX fashion.</para>
55
56         <para>The values following the equals sign in parameters are all 
57         either a string (no quotes needed) or a boolean, which may be given 
58         as yes/no, 0/1 or true/false. Case is not significant in boolean 
59         values, but is preserved in string values. Some items such as 
60         create modes are numeric.</para>
61 </refsect1>
62
63 <refsect1>
64         <title>SECTION DESCRIPTIONS</title>
65
66         <para>Each section in the configuration file (except for the
67         [global] section) describes a shared resource (known
68         as a "share"). The section name is the name of the 
69         shared resource and the parameters within the section define 
70         the shares attributes.</para>
71
72         <para>There are three special sections, [global],
73         [homes] and [printers], which are
74         described under <emphasis>special sections</emphasis>. The
75         following notes apply to ordinary section descriptions.</para>
76
77         <para>A share consists of a directory to which access is being 
78         given plus a description of the access rights which are granted 
79         to the user of the service. Some housekeeping options are 
80         also specifiable.</para>
81         
82         <para>Sections are either file share services (used by the 
83         client as an extension of their native file systems) or 
84         printable services (used by the client to access print services 
85         on the host running the server).</para>
86         
87         <para>Sections may be designated <emphasis>guest</emphasis> services,
88         in which case no password is required to access them. A specified 
89         UNIX <emphasis>guest account</emphasis> is used to define access
90         privileges in this case.</para>
91
92         <para>Sections other than guest services will require a password 
93         to access them. The client provides the username. As older clients 
94         only provide passwords and not usernames, you may specify a list 
95         of usernames to check against the password using the "user =" 
96         option in the share definition. For modern clients such as 
97         Windows 95/98/ME/NT/2000, this should not be necessary.</para>
98
99         <para>Note that the access rights granted by the server are 
100         masked by the access rights granted to the specified or guest 
101         UNIX user by the host system. The server does not grant more
102         access than the host system grants.</para>
103         
104         <para>The following sample section defines a file space share. 
105         The user has write access to the path <filename>/home/bar</filename>. 
106         The share is accessed via the share name "foo":</para>
107
108         <screen>
109         <computeroutput>
110         [foo]
111                 path = /home/bar
112                 writeable = true
113         </computeroutput>
114         </screen>
115
116         <para>The following sample section defines a printable share. 
117         The share is readonly, but printable. That is, the only write 
118         access permitted is via calls to open, write to and close a 
119         spool file. The <emphasis>guest ok</emphasis> parameter means 
120         access will be permitted as the default guest user (specified 
121         elsewhere):</para>
122
123         <screen>
124         <computeroutput>
125         [aprinter]
126                 path = /usr/spool/public
127                 writeable = false
128                 printable = true
129                 guest ok = true
130         </computeroutput>
131         </screen>
132 </refsect1>
133
134 <refsect1>
135         <title>SPECIAL SECTIONS</title>
136         
137         <refsect2>
138                 <title>The [global] section</title>
139                 
140                 <para>parameters in this section apply to the server 
141                 as a whole, or are defaults for sections which do not 
142                 specifically define certain items. See the notes
143                 under PARAMETERS for more information.</para>
144         </refsect2>
145         
146         <refsect2>
147                 <title id="HOMESECT">The [homes] section</title>
148                 
149                 <para>If a section called homes is included in the 
150                 configuration file, services connecting clients to their 
151                 home directories can be created on the fly by the server.</para>
152
153                 <para>When the connection request is made, the existing 
154                 sections are scanned. If a match is found, it is used. If no 
155                 match is found, the requested section name is treated as a 
156                 user name and looked up in the local password file. If the 
157                 name exists and the correct password has been given, a share is 
158                 created by cloning the [homes] section.</para>
159                 
160                 <para>Some modifications are then made to the newly 
161                 created share:</para>
162                 
163                 <itemizedlist>
164                 <listitem><para>The share name is changed from homes to 
165                 the located username.</para></listitem>
166
167                 <listitem><para>If no path was given, the path is set to
168                 the user's home directory.</para></listitem>
169                 </itemizedlist>
170
171                 <para>If you decide to use a <emphasis>path =</emphasis> line 
172                 in your [homes] section then you may find it useful 
173                 to use the %S macro. For example :</para>
174
175                 <para><userinput>path = /data/pchome/%S</userinput></para>
176
177                 <para>would be useful if you have different home directories 
178                 for your PCs than for UNIX access.</para>
179
180                 <para>This is a fast and simple way to give a large number 
181                 of clients access to their home directories with a minimum 
182                 of fuss.</para>
183
184                 <para>A similar process occurs if the requested section 
185                 name is "homes", except that the share name is not 
186                 changed to that of the requesting user. This method of using
187                 the [homes] section works well if different users share 
188                 a client PC.</para>
189                 
190                 <para>The [homes] section can specify all the parameters 
191                 a normal service section can specify, though some make more sense 
192                 than others. The following is a typical and suitable [homes]
193                 section:</para>
194
195                 <screen>
196                 <computeroutput>
197                 [homes]
198                         writeable = yes
199                 </computeroutput>
200                 </screen>
201         
202                 <para>An important point is that if guest access is specified 
203                 in the [homes] section, all home directories will be 
204                 visible to all clients <emphasis>without a password</emphasis>. 
205                 In the very unlikely event that this is actually desirable, it 
206                 would be wise to also specify <emphasis>read only
207                 access</emphasis>.</para>
208
209                 <para>Note that the <emphasis>browseable</emphasis> flag for 
210                 auto home directories will be inherited from the global browseable 
211                 flag, not the [homes] browseable flag. This is useful as 
212                 it means setting <emphasis>browseable = no</emphasis> in
213                 the [homes] section will hide the [homes] share but make
214                 any auto home directories visible.</para>
215         </refsect2>
216
217         <refsect2>
218                 <title id="PRINTERSSECT">The [printers] section</title>
219                 
220                 <para>This section works like [homes], 
221                 but for printers.</para>
222
223                 <para>If a [printers] section occurs in the 
224                 configuration file, users are able to connect to any printer 
225                 specified in the local host's printcap file.</para>
226
227                 <para>When a connection request is made, the existing sections 
228                 are scanned. If a match is found, it is used. If no match is found, 
229                 but a [homes] section exists, it is used as described
230                 above. Otherwise, the requested section name is treated as a
231                 printer name and the appropriate printcap file is scanned to see 
232                 if the requested section name is a valid printer share name. If 
233                 a match is found, a new printer share is created by cloning 
234                 the [printers] section.</para>
235
236                 <para>A few modifications are then made to the newly created 
237                 share:</para>
238
239                 <itemizedlist>
240                 <listitem><para>The share name is set to the located printer 
241                 name</para></listitem>
242
243                 <listitem><para>If no printer name was given, the printer name 
244                 is set to the located printer name</para></listitem>
245
246                 <listitem><para>If the share does not permit guest access and 
247                 no username was given, the username is set to the located 
248                 printer name.</para></listitem>
249                 </itemizedlist>
250
251                 <para>Note that the [printers] service MUST be 
252                 printable - if you specify otherwise, the server will refuse 
253                 to load the configuration file.</para>
254                 
255                 <para>Typically the path specified would be that of a 
256                 world-writeable spool directory with the sticky bit set on 
257                 it. A typical [printers] entry would look like 
258                 this:</para>
259
260                 <screen><computeroutput>
261                 [printers]
262                         path = /usr/spool/public
263                         guest ok = yes
264                         printable = yes 
265                 </computeroutput></screen>
266
267                 <para>All aliases given for a printer in the printcap file 
268                 are legitimate printer names as far as the server is concerned. 
269                 If your printing subsystem doesn't work like that, you will have 
270                 to set up a pseudo-printcap. This is a file consisting of one or 
271                 more lines like this:</para>
272
273                 <screen>
274                 <computeroutput>
275                 alias|alias|alias|alias...    
276                 </computeroutput>
277                 </screen>
278
279                 <para>Each alias should be an acceptable printer name for 
280                 your printing subsystem. In the [global] section, specify 
281                 the new file as your printcap.  The server will then only recognize 
282                 names found in your pseudo-printcap, which of course can contain 
283                 whatever aliases you like. The same technique could be used 
284                 simply to limit access to a subset of your local printers.</para>
285
286                 <para>An alias, by the way, is defined as any component of the 
287                 first entry of a printcap record. Records are separated by newlines,
288                 components (if there are more than one) are separated by vertical 
289                 bar symbols ('|').</para>
290                 
291                 <para>NOTE: On SYSV systems which use lpstat to determine what 
292                 printers are defined on the system you may be able to use
293                 "printcap name = lpstat" to automatically obtain a list 
294                 of printers. See the "printcap name" option 
295                 for more details.</para>
296         </refsect2>
297 </refsect1>
298
299 <refsect1>
300         <title>PARAMETERS</title>
301
302         <para>parameters define the specific attributes of sections.</para>
303
304         <para>Some parameters are specific to the [global] section
305         (e.g., <emphasis>security</emphasis>).  Some parameters are usable 
306         in all sections (e.g., <emphasis>create mode</emphasis>). All others 
307         are permissible only in normal sections. For the purposes of the 
308         following descriptions the [homes] and [printers]
309         sections will be considered normal.  The letter <emphasis>G</emphasis> 
310         in parentheses indicates that a parameter is specific to the
311         [global] section. The letter <emphasis>S</emphasis>
312         indicates that a parameter can be specified in a service specific
313         section. Note that all <emphasis>S</emphasis> parameters can also be specified in 
314         the [global] section - in which case they will define
315         the default behavior for all services.</para>
316
317         <para>parameters are arranged here in alphabetical order - this may 
318         not create best bedfellows, but at least you can find them! Where
319         there are synonyms, the preferred synonym is described, others refer 
320         to the preferred synonym.</para>
321 </refsect1>
322
323 <refsect1>
324         <title>VARIABLE SUBSTITUTIONS</title>
325
326         <para>Many of the strings that are settable in the config file 
327         can take substitutions. For example the option "path =
328         /tmp/%u" would be interpreted as "path = 
329         /tmp/john" if the user connected with the username john.</para>
330
331         <para>These substitutions are mostly noted in the descriptions below, 
332         but there are some general substitutions which apply whenever they 
333         might be relevant. These are:</para>
334
335         <variablelist>
336                 <varlistentry>
337                 <term>%S</term>
338                 <listitem><para>the name of the current service, if any.</para>
339                 </listitem>
340                 </varlistentry>
341                 
342                 <varlistentry>
343                 <term>%P</term>
344                 <listitem><para>the root directory of the current service, 
345                 if any.</para></listitem>
346                 </varlistentry>
347                 
348                 <varlistentry>
349                 <term>%u</term>
350                 <listitem><para>user name of the current service, if any.</para>
351                 </listitem>
352                 </varlistentry>
353                 
354                 <varlistentry>
355                 <term>%g</term>
356                 <listitem><para>primary group name of %u.</para></listitem>
357                 </varlistentry>
358                 
359                 <varlistentry>
360                 <term>%U</term>
361                 <listitem><para>session user name (the user name that the client 
362                 wanted, not necessarily the same as the one they got).</para></listitem>
363                 </varlistentry>
364                 
365                 <varlistentry>
366                 <term>%G</term>
367                 <listitem><para>primary group name of %U.</para></listitem>
368                 </varlistentry>
369
370                 <varlistentry>
371                 <term>%H</term>
372                 <listitem><para>the home directory of the user given 
373                 by %u.</para></listitem>
374                 </varlistentry>
375                 
376                 <varlistentry>
377                 <term>%v</term>
378                 <listitem><para>the Samba version.</para></listitem>
379                 </varlistentry>
380                 
381                 <varlistentry>
382                 <term>%h</term>
383                 <listitem><para>the Internet hostname that Samba is running 
384                 on.</para></listitem>
385                 </varlistentry>
386
387                 <varlistentry>
388                 <term>%m</term>
389                 <listitem><para>the NetBIOS name of the client machine 
390                 (very useful).</para></listitem>
391                 </varlistentry>
392                 
393                 <varlistentry>
394                 <term>%L</term>
395                 <listitem><para>the NetBIOS name of the server. This allows you 
396                 to change your config based on what the client calls you. Your 
397                 server can have a "dual personality".</para>
398
399                 <para>Note that this paramater is not available when Samba listens
400                 on port 445, as clients no longer send this information </para>
401                 </listitem>
402
403                 </varlistentry>
404                 
405                 <varlistentry>
406                 <term>%M</term>
407                 <listitem><para>the Internet name of the client machine.
408                 </para></listitem>
409                 </varlistentry>
410                 
411                 <varlistentry>
412                 <term>%N</term>
413                 <listitem><para>the name of your NIS home directory server.  
414                 This is obtained from your NIS auto.map entry.  If you have 
415                 not compiled Samba with the <emphasis>--with-automount</emphasis> 
416                 option then this value will be the same as %L.</para>
417                 </listitem>
418                 </varlistentry>
419                 
420                 <varlistentry>
421                 <term>%p</term>
422                 <listitem><para>the path of the service's home directory, 
423                 obtained from your NIS auto.map entry. The NIS auto.map entry 
424                 is split up as "%N:%p".</para></listitem>
425                 </varlistentry>
426                 
427                 <varlistentry>
428                 <term>%R</term>
429                 <listitem><para>the selected protocol level after 
430                 protocol negotiation. It can be one of CORE, COREPLUS, 
431                 LANMAN1, LANMAN2 or NT1.</para></listitem>
432                 </varlistentry>
433
434                 <varlistentry>
435                 <term>%d</term>
436                 <listitem><para>The process id of the current server
437                 process.</para></listitem>
438                 </varlistentry>
439                 
440                 <varlistentry>
441                 <term>%a</term>
442                 <listitem><para>the architecture of the remote
443                 machine. Only some are recognized, and those may not be 
444                 100% reliable. It currently recognizes Samba, WfWg, Win95,
445                 WinNT and Win2k. Anything else will be known as 
446                 "UNKNOWN". If it gets it wrong then sending a level 
447                 3 log to <ulink url="mailto:samba@samba.org">samba@samba.org
448                 </ulink> should allow it to be fixed.</para></listitem>
449                 </varlistentry>
450                 
451                 <varlistentry>
452                 <term>%I</term>
453                 <listitem><para>The IP address of the client machine.</para>
454                 </listitem>
455                 </varlistentry>
456
457                 <varlistentry>
458                 <term>%T</term>
459                 <listitem><para>the current date and time.</para></listitem>
460                 </varlistentry>
461                 
462                 <varlistentry>
463                 <term>%$(<replaceable>envvar</replaceable>)</term>
464                 <listitem><para>The value of the environment variable
465                 <replaceable>envar</replaceable>.</para></listitem>
466                 </varlistentry>
467         </variablelist>
468
469         <para>There are some quite creative things that can be done 
470         with these substitutions and other smb.conf options.</para
471 </refsect1>
472
473 <refsect1>
474         <title id="NAMEMANGLINGSECT">NAME MANGLING</title>
475         
476         <para>Samba supports "name mangling" so that DOS and 
477         Windows clients can use files that don't conform to the 8.3 format. 
478         It can also be set to adjust the case of 8.3 format filenames.</para>
479
480         <para>There are several options that control the way mangling is 
481         performed, and they are grouped here rather than listed separately. 
482         For the defaults look at the output of the testparm program. </para>
483
484         <para>All of these options can be set separately for each service 
485         (or globally, of course). </para>
486
487         <para>The options are: </para>
488         
489         <variablelist>
490         
491         <varlistentry>
492                 <term>mangle case = yes/no</term>
493                 <listitem><para> controls if names that have characters that 
494                 aren't of the "default" case are mangled. For example, 
495                 if this is yes then a name like "Mail" would be mangled. 
496                 Default <emphasis>no</emphasis>.</para></listitem>
497                 </varlistentry> 
498         
499                 <varlistentry>
500                 <term>case sensitive = yes/no</term>
501                 <listitem><para>controls whether filenames are case sensitive. If 
502                 they aren't then Samba must do a filename search and match on passed 
503                 names. Default <emphasis>no</emphasis>.</para></listitem>
504                 </varlistentry> 
505
506                 <varlistentry>
507                 <term>default case = upper/lower</term>
508                 <listitem><para>controls what the default case is for new 
509                 filenames. Default <emphasis>lower</emphasis>.</para></listitem>
510                 </varlistentry> 
511         
512                 <varlistentry>
513                 <term>preserve case = yes/no</term>
514                 <listitem><para>controls if new files are created with the 
515                 case that the client passes, or if they are forced to be the 
516                 "default" case. Default <emphasis>yes</emphasis>.
517                 </para></listitem>
518                 </varlistentry> 
519
520                 <varlistentry>
521                 <term>short preserve case = yes/no</term>
522                 <listitem><para>controls if new files which conform to 8.3 syntax,
523                 that is all in upper case and of suitable length, are created 
524                 upper case, or if they are forced to be the "default" 
525                 case. This option can be use with "preserve case = yes" 
526                 to permit long filenames to retain their case, while short names 
527                 are lowercased. Default <emphasis>yes</emphasis>.</para></listitem>
528                 </varlistentry> 
529         </variablelist>
530         
531         <para>By default, Samba 2.2 has the same semantics as a Windows 
532         NT server, in that it is case insensitive but case preserving.</para>
533         
534 </refsect1>
535
536 <refsect1>
537         <title id="VALIDATIONSECT">NOTE ABOUT USERNAME/PASSWORD VALIDATION</title>
538
539         <para>There are a number of ways in which a user can connect 
540         to a service. The server uses the following steps in determining 
541         if it will allow a connection to a specified service. If all the 
542         steps fail, then the connection request is rejected.  However, if one of the 
543         steps succeeds, then the following steps are not checked.</para>
544
545         <para>If the service is marked "guest only = yes" then
546         steps 1 to 5 are skipped.</para>
547
548         <orderedlist numeration="Arabic">
549                 <listitem><para>If the client has passed a username/password 
550                 pair and that username/password pair is validated by the UNIX 
551                 system's password programs then the connection is made as that 
552                 username. Note that this includes the 
553                 \\server\service%<replaceable>username</replaceable> method of passing 
554                 a username.</para></listitem>
555
556                 <listitem><para>If the client has previously registered a username 
557                 with the system and now supplies a correct password for that 
558                 username then the connection is allowed.</para></listitem>
559                 
560                 <listitem><para>The client's NetBIOS name and any previously 
561                 used user names are checked against the supplied password, if 
562                 they match then the connection is allowed as the corresponding 
563                 user.</para></listitem>
564                 
565                 <listitem><para>If the client has previously validated a
566                 username/password pair with the server and the client has passed 
567                 the validation token then that username is used. </para></listitem>
568
569                 <listitem><para>If a "user = " field is given in the
570                 <filename>smb.conf</filename> file for the service and the client 
571                 has supplied a password, and that password matches (according to 
572                 the UNIX system's password checking) with one of the usernames 
573                 from the "user =" field then the connection is made as 
574                 the username in the "user =" line. If one 
575                 of the username in the "user =" list begins with a
576                 '@' then that name expands to a list of names in 
577                 the group of the same name.</para></listitem>
578
579                 <listitem><para>If the service is a guest service then a 
580                 connection is made as the username given in the "guest 
581                 account =" for the service, irrespective of the 
582                 supplied password.</para></listitem>
583         </orderedlist>
584
585 </refsect1>
586
587 <refsect1>
588         <title>COMPLETE LIST OF GLOBAL PARAMETERS</title>
589
590         <para>Here is a list of all global parameters. See the section of 
591         each parameter for details.  Note that some are synonyms.</para>
592
593         <itemizedlist>
594                 <listitem><para><link linkend="ABORTSHUTDOWNSCRIPT"><parameter>abort shutdown script</parameter></link></para></listitem>
595                 <listitem><para><link linkend="ADDPRINTERCOMMAND"><parameter>add printer command</parameter></link></para></listitem>
596                 <listitem><para><link linkend="ADDSHARECOMMAND"><parameter>add share command</parameter></link></para></listitem>
597                 <listitem><para><link linkend="ADDUSERSCRIPT"><parameter>add user script</parameter></link></para></listitem>
598                 <listitem><para><link linkend="ADDMACHINESCRIPT"><parameter>add machine script</parameter></link></para></listitem>
599                 <listitem><para><link linkend="ALGORITHMICRIDBASE"><parameter>algorithmic rid base</parameter></link></para></listitem>
600                 <listitem><para><link linkend="ALLOWTRUSTEDDOMAINS"><parameter>allow trusted domains</parameter></link></para></listitem>
601                 <listitem><para><link linkend="ANNOUNCEAS"><parameter>announce as</parameter></link></para></listitem>
602                 <listitem><para><link linkend="ANNOUNCEVERSION"><parameter>announce version</parameter></link></para></listitem>
603                 <listitem><para><link linkend="AUTHMETHODS"><parameter>auth methods</parameter></link></para></listitem>
604                 <listitem><para><link linkend="AUTOSERVICES"><parameter>auto services</parameter></link></para></listitem>
605                 <listitem><para><link linkend="BINDINTERFACESONLY"><parameter>bind interfaces only</parameter></link></para></listitem>
606                 <listitem><para><link linkend="BROWSELIST"><parameter>browse list</parameter></link></para></listitem>
607                 <listitem><para><link linkend="CHANGENOTIFYTIMEOUT"><parameter>change notify timeout</parameter></link></para></listitem>
608                 <listitem><para><link linkend="CHANGESHARECOMMAND"><parameter>change share command</parameter></link></para></listitem>
609                 <listitem><para><link linkend="CONFIGFILE"><parameter>config file</parameter></link></para></listitem>
610                 <listitem><para><link linkend="DEADTIME"><parameter>deadtime</parameter></link></para></listitem>
611                 <listitem><para><link linkend="DEBUGHIRESTIMESTAMP"><parameter>debug hires timestamp</parameter></link></para></listitem>
612                 <listitem><para><link linkend="DEBUGPID"><parameter>debug pid</parameter></link></para></listitem>
613                 <listitem><para><link linkend="DEBUGTIMESTAMP"><parameter>debug timestamp</parameter></link></para></listitem>
614                 <listitem><para><link linkend="DEBUGUID"><parameter>debug uid</parameter></link></para></listitem>
615                 <listitem><para><link linkend="DEBUGLEVEL"><parameter>debuglevel</parameter></link></para></listitem>
616                 <listitem><para><link linkend="DEFAULT"><parameter>default</parameter></link></para></listitem>
617                 <listitem><para><link linkend="DEFAULTSERVICE"><parameter>default service</parameter></link></para></listitem>
618                 <listitem><para><link linkend="DELETEPRINTERCOMMAND"><parameter>delete printer command</parameter></link></para></listitem>
619                 <listitem><para><link linkend="DELETESHARECOMMAND"><parameter>delete share command</parameter></link></para></listitem>
620                 <listitem><para><link linkend="DELETEUSERSCRIPT"><parameter>delete user script</parameter></link></para></listitem>
621                 <listitem><para><link linkend="DFREECOMMAND"><parameter>dfree command</parameter></link></para></listitem>
622                 <listitem><para><link linkend="DISABLESPOOLSS"><parameter>disable spoolss</parameter></link></para></listitem>
623                 <listitem><para><link linkend="DNSPROXY"><parameter>dns proxy</parameter></link></para></listitem>
624                 <listitem><para><link linkend="DOMAINADMINGROUP"><parameter>domain admin group</parameter></link></para></listitem>
625                 <listitem><para><link linkend="DOMAINGUESTGROUP"><parameter>domain guest group</parameter></link></para></listitem>
626                 <listitem><para><link linkend="DOMAINLOGONS"><parameter>domain logons</parameter></link></para></listitem>
627                 <listitem><para><link linkend="DOMAINMASTER"><parameter>domain master</parameter></link></para></listitem>
628                 <listitem><para><link linkend="ENCRYPTPASSWORDS"><parameter>encrypt passwords</parameter></link></para></listitem>
629                 <listitem><para><link linkend="ENHANCEDBROWSING"><parameter>enhanced browsing</parameter></link></para></listitem>
630                 <listitem><para><link linkend="ENUMPORTSCOMMAND"><parameter>enumports command</parameter></link></para></listitem>
631                 <listitem><para><link linkend="GETWDCACHE"><parameter>getwd cache</parameter></link></para></listitem>
632                 <listitem><para><link linkend="HIDELOCALUSERS"><parameter>hide local users</parameter></link></para></listitem>
633                 <listitem><para><link linkend="HIDEUNREADABLE"><parameter>hide unreadable</parameter></link></para></listitem>
634                 <listitem><para><link linkend="HOMEDIRMAP"><parameter>homedir map</parameter></link></para></listitem>
635                 <listitem><para><link linkend="HOSTMSDFS"><parameter>host msdfs</parameter></link></para></listitem>
636                 <listitem><para><link linkend="HOSTSEQUIV"><parameter>hosts equiv</parameter></link></para></listitem>
637                 <listitem><para><link linkend="INTERFACES"><parameter>interfaces</parameter></link></para></listitem>
638                 <listitem><para><link linkend="KEEPALIVE"><parameter>keepalive</parameter></link></para></listitem>
639                 <listitem><para><link linkend="KERNELOPLOCKS"><parameter>kernel oplocks</parameter></link></para></listitem>
640                 <listitem><para><link linkend="LANMANAUTH"><parameter>lanman auth</parameter></link></para></listitem>
641                 <listitem><para><link linkend="LARGEREADWRITE"><parameter>large readwrite</parameter></link></para></listitem>
642                 
643                 <listitem><para><link linkend="LDAPADMINDN"><parameter>ldap admin dn</parameter></link></para></listitem>
644                 <listitem><para><link linkend="LDAPFILTER"><parameter>ldap filter</parameter></link></para></listitem>
645                 <listitem><para><link linkend="LDAPPORT"><parameter>ldap port</parameter></link></para></listitem>
646                 <listitem><para><link linkend="LDAPSERVER"><parameter>ldap server</parameter></link></para></listitem>
647                 <listitem><para><link linkend="LDAPSSL"><parameter>ldap ssl</parameter></link></para></listitem>
648                 <listitem><para><link linkend="LDAPSUFFIX"><parameter>ldap suffix</parameter></link></para></listitem>
649
650                 <listitem><para><link linkend="LMANNOUNCE"><parameter>lm announce</parameter></link></para></listitem>
651                 <listitem><para><link linkend="LMINTERVAL"><parameter>lm interval</parameter></link></para></listitem>
652                 <listitem><para><link linkend="LOADPRINTERS"><parameter>load printers</parameter></link></para></listitem>
653                 <listitem><para><link linkend="LOCALMASTER"><parameter>local master</parameter></link></para></listitem>
654                 <listitem><para><link linkend="LOCKDIR"><parameter>lock dir</parameter></link></para></listitem>
655                 <listitem><para><link linkend="LOCKDIRECTORY"><parameter>lock directory</parameter></link></para></listitem>
656                 <listitem><para><link linkend="LOGFILE"><parameter>log file</parameter></link></para></listitem>
657                 <listitem><para><link linkend="LOGLEVEL"><parameter>log level</parameter></link></para></listitem>
658                 <listitem><para><link linkend="LOGONDRIVE"><parameter>logon drive</parameter></link></para></listitem>
659                 <listitem><para><link linkend="LOGONHOME"><parameter>logon home</parameter></link></para></listitem>
660                 <listitem><para><link linkend="LOGONPATH"><parameter>logon path</parameter></link></para></listitem>
661                 <listitem><para><link linkend="LOGONSCRIPT"><parameter>logon script</parameter></link></para></listitem>
662                 <listitem><para><link linkend="LPQCACHETIME"><parameter>lpq cache time</parameter></link></para></listitem>
663                 <listitem><para><link linkend="MACHINEPASSWORDTIMEOUT"><parameter>machine password timeout</parameter></link></para></listitem>
664                 <listitem><para><link linkend="MANGLEDSTACK"><parameter>mangled stack</parameter></link></para></listitem>
665                 <listitem><para><link linkend="MAPTOGUEST"><parameter>map to guest</parameter></link></para></listitem>
666                 <listitem><para><link linkend="MAXDISKSIZE"><parameter>max disk size</parameter></link></para></listitem>
667                 <listitem><para><link linkend="MAXLOGSIZE"><parameter>max log size</parameter></link></para></listitem>
668                 <listitem><para><link linkend="MAXMUX"><parameter>max mux</parameter></link></para></listitem>
669                 <listitem><para><link linkend="MAXOPENFILES"><parameter>max open files</parameter></link></para></listitem>
670                 <listitem><para><link linkend="MAXPROTOCOL"><parameter>max protocol</parameter></link></para></listitem>
671                 <listitem><para><link linkend="MAXSMBDPROCESSES"><parameter>max smbd processes</parameter></link></para></listitem>
672                 <listitem><para><link linkend="MAXTTL"><parameter>max ttl</parameter></link></para></listitem>
673                 <listitem><para><link linkend="MAXWINSTTL"><parameter>max wins ttl</parameter></link></para></listitem>
674                 <listitem><para><link linkend="MAXXMIT"><parameter>max xmit</parameter></link></para></listitem>
675                 <listitem><para><link linkend="MESSAGECOMMAND"><parameter>message command</parameter></link></para></listitem>
676                 <listitem><para><link linkend="MINPASSWDLENGTH"><parameter>min passwd length</parameter></link></para></listitem>
677                 <listitem><para><link linkend="MINPASSWORDLENGTH"><parameter>min password length</parameter></link></para></listitem>
678                 <listitem><para><link linkend="MINPROTOCOL"><parameter>min protocol</parameter></link></para></listitem>
679                 <listitem><para><link linkend="MINWINSTTL"><parameter>min wins ttl</parameter></link></para></listitem>
680                 <listitem><para><link linkend="NAMERESOLVEORDER"><parameter>name resolve order</parameter></link></para></listitem>
681                 <listitem><para><link linkend="NETBIOSALIASES"><parameter>netbios aliases</parameter></link></para></listitem>
682                 <listitem><para><link linkend="NETBIOSNAME"><parameter>netbios name</parameter></link></para></listitem>
683                 <listitem><para><link linkend="NETBIOSSCOPE"><parameter>netbios scope</parameter></link></para></listitem>
684                 <listitem><para><link linkend="NISHOMEDIR"><parameter>nis homedir</parameter></link></para></listitem>
685                 <listitem><para><link linkend="NONUNIXACCOUNTRANGE"><parameter>non unix account range</parameter></link></para></listitem>
686                 <listitem><para><link linkend="NTPIPESUPPORT"><parameter>nt pipe support</parameter></link></para></listitem>
687                 <listitem><para><link linkend="NTSTATUSSUPPORT"><parameter>nt status support</parameter></link></para></listitem>
688                 <listitem><para><link linkend="NULLPASSWORDS"><parameter>null passwords</parameter></link></para></listitem>
689                 <listitem><para><link linkend="OBEYPAMRESTRICTIONS"><parameter>obey pam restrictions</parameter></link></para></listitem>
690                 <listitem><para><link linkend="OPLOCKBREAKWAITTIME"><parameter>oplock break wait time</parameter></link></para></listitem>
691                 <listitem><para><link linkend="OSLEVEL"><parameter>os level</parameter></link></para></listitem>
692                 <listitem><para><link linkend="OS2DRIVERMAP"><parameter>os2 driver map</parameter></link></para></listitem>
693                 <listitem><para><link linkend="PAMPASSWORDCHANGE"><parameter>pam password change</parameter></link></para></listitem>
694                 <listitem><para><link linkend="PANICACTION"><parameter>panic action</parameter></link></para></listitem>
695                 <listitem><para><link linkend="PASSDBBACKEND"><parameter>passdb backend</parameter></link></para></listitem>
696                 <listitem><para><link linkend="PASSWDCHAT"><parameter>passwd chat</parameter></link></para></listitem>
697                 <listitem><para><link linkend="PASSWDCHATDEBUG"><parameter>passwd chat debug</parameter></link></para></listitem>
698                 <listitem><para><link linkend="PASSWDPROGRAM"><parameter>passwd program</parameter></link></para></listitem>
699                 <listitem><para><link linkend="PASSWORDLEVEL"><parameter>password level</parameter></link></para></listitem>
700                 <listitem><para><link linkend="PASSWORDSERVER"><parameter>password server</parameter></link></para></listitem>
701                 <listitem><para><link linkend="PREFEREDMASTER"><parameter>prefered master</parameter></link></para></listitem>
702                 <listitem><para><link linkend="PREFERREDMASTER"><parameter>preferred master</parameter></link></para></listitem>
703                 <listitem><para><link linkend="PRELOAD"><parameter>preload</parameter></link></para></listitem>
704                 <listitem><para><link linkend="PRINTCAP"><parameter>printcap</parameter></link></para></listitem>
705                 <listitem><para><link linkend="PRINTCAPNAME"><parameter>printcap name</parameter></link></para></listitem>
706                 <listitem><para><link linkend="PRINTERDRIVERFILE"><parameter>printer driver file</parameter></link></para></listitem>
707                 <listitem><para><link linkend="PRIVATEDIR"><parameter>private dir</parameter></link></para></listitem>
708                 <listitem><para><link linkend="PROTOCOL"><parameter>protocol</parameter></link></para></listitem>
709                 <listitem><para><link linkend="READBMPX"><parameter>read bmpx</parameter></link></para></listitem>
710                 <listitem><para><link linkend="READRAW"><parameter>read raw</parameter></link></para></listitem>
711                 <listitem><para><link linkend="READSIZE"><parameter>read size</parameter></link></para></listitem>
712                 <listitem><para><link linkend="REMOTEANNOUNCE"><parameter>remote announce</parameter></link></para></listitem>
713                 <listitem><para><link linkend="REMOTEBROWSESYNC"><parameter>remote browse sync</parameter></link></para></listitem>
714                 <listitem><para><link linkend="RESTRICTANONYMOUS"><parameter>restrict anonymous</parameter></link></para></listitem>
715                 <listitem><para><link linkend="ROOT"><parameter>root</parameter></link></para></listitem>
716                 <listitem><para><link linkend="ROOTDIR"><parameter>root dir</parameter></link></para></listitem>
717                 <listitem><para><link linkend="ROOTDIRECTORY"><parameter>root directory</parameter></link></para></listitem>
718                 <listitem><para><link linkend="SECURITY"><parameter>security</parameter></link></para></listitem>
719                 <listitem><para><link linkend="SERVERSTRING"><parameter>server string</parameter></link></para></listitem>
720                 <listitem><para><link linkend="SHOWADDPRINTERWIZARD"><parameter>show add printer wizard</parameter></link></para></listitem>
721                 <listitem><para><link linkend="SHUTDOWNSCRIPT"><parameter>shutdown script</parameter></link></para></listitem>
722                 <listitem><para><link linkend="SMBPASSWDFILE"><parameter>smb passwd file</parameter></link></para></listitem>
723                 <listitem><para><link linkend="SOCKETADDRESS"><parameter>socket address</parameter></link></para></listitem>
724                 <listitem><para><link linkend="SOCKETOPTIONS"><parameter>socket options</parameter></link></para></listitem>
725                 <listitem><para><link linkend="SOURCEENVIRONMENT"><parameter>source environment</parameter></link></para></listitem>
726
727                 <listitem><para><link linkend="SSL"><parameter>ssl</parameter></link></para></listitem>
728                 <listitem><para><link linkend="SSLCACERTDIR"><parameter>ssl CA certDir</parameter></link></para></listitem>
729                 <listitem><para><link linkend="SSLCACERTFILE"><parameter>ssl CA certFile</parameter></link></para></listitem>
730                 <listitem><para><link linkend="SSLCIPHERS"><parameter>ssl ciphers</parameter></link></para></listitem>
731                 <listitem><para><link linkend="SSLCLIENTCERT"><parameter>ssl client cert</parameter></link></para></listitem>
732                 <listitem><para><link linkend="SSLCLIENTKEY"><parameter>ssl client key</parameter></link></para></listitem>
733                 <listitem><para><link linkend="SSLCOMPATIBILITY"><parameter>ssl compatibility</parameter></link></para></listitem>
734                 <listitem><para><link linkend="SSLEGDSOCKET"><parameter>ssl egd socket</parameter></link></para></listitem>
735                 <listitem><para><link linkend="SSLENTROPYBYTES"><parameter>ssl entropy bytes</parameter></link></para></listitem>
736                 <listitem><para><link linkend="SSLENTROPYFILE"><parameter>ssl entropy file</parameter></link></para></listitem>
737                 <listitem><para><link linkend="SSLHOSTS"><parameter>ssl hosts</parameter></link></para></listitem>
738                 <listitem><para><link linkend="SSLHOSTSRESIGN"><parameter>ssl hosts resign</parameter></link></para></listitem>
739                 <listitem><para><link linkend="SSLREQUIRECLIENTCERT"><parameter>ssl require clientcert</parameter></link></para></listitem>
740                 <listitem><para><link linkend="SSLREQUIRESERVERCERT"><parameter>ssl require servercert</parameter></link></para></listitem>
741                 <listitem><para><link linkend="SSLSERVERCERT"><parameter>ssl server cert</parameter></link></para></listitem>
742                 <listitem><para><link linkend="SSLSERVERKEY"><parameter>ssl server key</parameter></link></para></listitem>
743                 <listitem><para><link linkend="SSLVERSION"><parameter>ssl version</parameter></link></para></listitem>
744
745                 <listitem><para><link linkend="STATCACHE"><parameter>stat cache</parameter></link></para></listitem>
746                 <listitem><para><link linkend="STATCACHESIZE"><parameter>stat cache size</parameter></link></para></listitem>
747                 <listitem><para><link linkend="STRIPDOT"><parameter>strip dot</parameter></link></para></listitem>
748                 <listitem><para><link linkend="SYSLOG"><parameter>syslog</parameter></link></para></listitem>
749                 <listitem><para><link linkend="SYSLOGONLY"><parameter>syslog only</parameter></link></para></listitem>
750                 <listitem><para><link linkend="TEMPLATEHOMEDIR"><parameter>template homedir</parameter></link></para></listitem>
751                 <listitem><para><link linkend="TEMPLATESHELL"><parameter>template shell</parameter></link></para></listitem>
752                 <listitem><para><link linkend="TIMEOFFSET"><parameter>time offset</parameter></link></para></listitem>
753                 <listitem><para><link linkend="TIMESERVER"><parameter>time server</parameter></link></para></listitem>
754                 <listitem><para><link linkend="TIMESTAMPLOGS"><parameter>timestamp logs</parameter></link></para></listitem>
755                 <listitem><para><link linkend="TOTALPRINTJOBS"><parameter>total print jobs</parameter></link></para></listitem>
756                 <listitem><para><link linkend="UNIXEXTENSIONS"><parameter>unix extensions</parameter></link></para></listitem>
757                 <listitem><para><link linkend="UNIXPASSWORDSYNC"><parameter>unix password sync</parameter></link></para></listitem>
758                 <listitem><para><link linkend="UPDATEENCRYPTED"><parameter>update encrypted</parameter></link></para></listitem>
759                 <listitem><para><link linkend="USEMMAP"><parameter>use mmap</parameter></link></para></listitem>
760                 <listitem><para><link linkend="USERHOSTS"><parameter>use rhosts</parameter></link></para></listitem>
761                 <listitem><para><link linkend="USERNAMELEVEL"><parameter>username level</parameter></link></para></listitem>
762                 <listitem><para><link linkend="USERNAMEMAP"><parameter>username map</parameter></link></para></listitem>
763                 <listitem><para><link linkend="UTMP"><parameter>utmp</parameter></link></para></listitem>
764                 <listitem><para><link linkend="UTMPDIRECTORY"><parameter>utmp directory</parameter></link></para></listitem>
765                 <listitem><para><link linkend="WINBINDCACHETIME"><parameter>winbind cache time</parameter></link></para></listitem>
766                 <listitem><para><link linkend="WINBINDENUMUSERS"><parameter>winbind enum users</parameter></link></para></listitem>
767                 <listitem><para><link linkend="WINBINDENUMGROUPS"><parameter>winbind enum groups</parameter></link></para></listitem>
768                 <listitem><para><link linkend="WINBINDGID"><parameter>winbind gid</parameter></link></para></listitem>
769                 <listitem><para><link linkend="WINBINDSEPARATOR"><parameter>winbind separator</parameter></link></para></listitem>
770                 <listitem><para><link linkend="WINBINDUID"><parameter>winbind uid</parameter></link></para></listitem>
771                 <listitem><para><link linkend="WINBINDUSEDEFAULTDOMAIN"><parameter>winbind use default domain</parameter></link></para></listitem>
772                 <listitem><para><link linkend="WINSHOOK"><parameter>wins hook</parameter></link></para></listitem>
773                 <listitem><para><link linkend="WINSPROXY"><parameter>wins proxy</parameter></link></para></listitem>
774                 <listitem><para><link linkend="WINSSERVER"><parameter>wins server</parameter></link></para></listitem>
775                 <listitem><para><link linkend="WINSSUPPORT"><parameter>wins support</parameter></link></para></listitem>
776                 <listitem><para><link linkend="WORKGROUP"><parameter>workgroup</parameter></link></para></listitem>
777                 <listitem><para><link linkend="WRITERAW"><parameter>write raw</parameter></link></para></listitem>
778         </itemizedlist>
779
780 </refsect1>
781
782 <refsect1>
783         <title>COMPLETE LIST OF SERVICE PARAMETERS</title>
784         
785         <para>Here is a list of all service parameters. See the section on 
786         each parameter for details. Note that some are synonyms.</para>
787         
788         <itemizedlist>
789                 <listitem><para><link linkend="ADMINUSERS"><parameter>admin users</parameter></link></para></listitem>
790                 <listitem><para><link linkend="ALLOWHOSTS"><parameter>allow hosts</parameter></link></para></listitem>
791                 <listitem><para><link linkend="AVAILABLE"><parameter>available</parameter></link></para></listitem>
792                 <listitem><para><link linkend="BLOCKINGLOCKS"><parameter>blocking locks</parameter></link></para></listitem>
793                 <listitem><para><link linkend="BROWSABLE"><parameter>browsable</parameter></link></para></listitem>
794                 <listitem><para><link linkend="BROWSEABLE"><parameter>browseable</parameter></link></para></listitem>
795                 <listitem><para><link linkend="CASESENSITIVE"><parameter>case sensitive</parameter></link></para></listitem>
796                 <listitem><para><link linkend="CASESIGNAMES"><parameter>casesignames</parameter></link></para></listitem>
797                 <listitem><para><link linkend="COMMENT"><parameter>comment</parameter></link></para></listitem>
798                 <listitem><para><link linkend="COPY"><parameter>copy</parameter></link></para></listitem>
799                 <listitem><para><link linkend="CREATEMASK"><parameter>create mask</parameter></link></para></listitem>
800                 <listitem><para><link linkend="CREATEMODE"><parameter>create mode</parameter></link></para></listitem>
801                 <listitem><para><link linkend="CSCPOLICY"><parameter>csc policy</parameter></link></para></listitem>
802                 
803                 <listitem><para><link linkend="DEFAULTCASE"><parameter>default case</parameter></link></para></listitem>
804                 <listitem><para><link linkend="DEFAULTDEVMODE"><parameter>default devmode</parameter></link></para></listitem>
805                 <listitem><para><link linkend="DELETEREADONLY"><parameter>delete readonly</parameter></link></para></listitem>
806                 <listitem><para><link linkend="DELETEVETOFILES"><parameter>delete veto files</parameter></link></para></listitem>
807                 <listitem><para><link linkend="DENYHOSTS"><parameter>deny hosts</parameter></link></para></listitem>
808                 <listitem><para><link linkend="DIRECTORY"><parameter>directory</parameter></link></para></listitem>
809                 <listitem><para><link linkend="DIRECTORYMASK"><parameter>directory mask</parameter></link></para></listitem>
810                 <listitem><para><link linkend="DIRECTORYMODE"><parameter>directory mode</parameter></link></para></listitem>
811                 <listitem><para><link linkend="DIRECTORYSECURITYMASK"><parameter>directory security mask</parameter></link></para></listitem>
812                 <listitem><para><link linkend="DONTDESCEND"><parameter>dont descend</parameter></link></para></listitem>
813                 <listitem><para><link linkend="DOSFILEMODE"><parameter>dos filemode</parameter></link></para></listitem>
814                 <listitem><para><link linkend="DOSFILETIMERESOLUTION"><parameter>dos filetime resolution</parameter></link></para></listitem>
815                 <listitem><para><link linkend="DOSFILETIMES"><parameter>dos filetimes</parameter></link></para></listitem>
816                 <listitem><para><link linkend="EXEC"><parameter>exec</parameter></link></para></listitem>
817                 <listitem><para><link linkend="FAKEDIRECTORYCREATETIMES"><parameter>fake directory create times</parameter></link></para></listitem>
818                 <listitem><para><link linkend="FAKEOPLOCKS"><parameter>fake oplocks</parameter></link></para></listitem>
819                 <listitem><para><link linkend="FOLLOWSYMLINKS"><parameter>follow symlinks</parameter></link></para></listitem>
820                 <listitem><para><link linkend="FORCECREATEMODE"><parameter>force create mode</parameter></link></para></listitem>
821                 <listitem><para><link linkend="FORCEDIRECTORYMODE"><parameter>force directory mode</parameter></link></para></listitem>
822                 <listitem><para><link linkend="FORCEDIRECTORYSECURITYMODE"><parameter>force directory security mode</parameter></link></para></listitem>
823                 <listitem><para><link linkend="FORCEGROUP"><parameter>force group</parameter></link></para></listitem>
824                 <listitem><para><link linkend="FORCESECURITYMODE"><parameter>force security mode</parameter></link></para></listitem>
825                 <listitem><para><link linkend="FORCEUSER"><parameter>force user</parameter></link></para></listitem>
826                 <listitem><para><link linkend="FSTYPE"><parameter>fstype</parameter></link></para></listitem>
827                 <listitem><para><link linkend="GROUP"><parameter>group</parameter></link></para></listitem>
828                 <listitem><para><link linkend="GUESTACCOUNT"><parameter>guest account</parameter></link></para></listitem>
829                 <listitem><para><link linkend="GUESTOK"><parameter>guest ok</parameter></link></para></listitem>
830                 <listitem><para><link linkend="GUESTONLY"><parameter>guest only</parameter></link></para></listitem>
831                 <listitem><para><link linkend="HIDEDOTFILES"><parameter>hide dot files</parameter></link></para></listitem>
832                 <listitem><para><link linkend="HIDEFILES"><parameter>hide files</parameter></link></para></listitem>
833                 <listitem><para><link linkend="HOSTSALLOW"><parameter>hosts allow</parameter></link></para></listitem>
834                 <listitem><para><link linkend="HOSTSDENY"><parameter>hosts deny</parameter></link></para></listitem>
835                 <listitem><para><link linkend="INCLUDE"><parameter>include</parameter></link></para></listitem>
836                 <listitem><para><link linkend="INHERITPERMISSIONS"><parameter>inherit permissions</parameter></link></para></listitem>
837                 <listitem><para><link linkend="INVALIDUSERS"><parameter>invalid users</parameter></link></para></listitem>
838                 <listitem><para><link linkend="LEVEL2OPLOCKS"><parameter>level2 oplocks</parameter></link></para></listitem>
839                 <listitem><para><link linkend="LOCKING"><parameter>locking</parameter></link></para></listitem>
840                 <listitem><para><link linkend="LPPAUSECOMMAND"><parameter>lppause command</parameter></link></para></listitem>
841                 <listitem><para><link linkend="LPQCOMMAND"><parameter>lpq command</parameter></link></para></listitem>
842                 <listitem><para><link linkend="LPRESUMECOMMAND"><parameter>lpresume command</parameter></link></para></listitem>
843                 <listitem><para><link linkend="LPRMCOMMAND"><parameter>lprm command</parameter></link></para></listitem>
844                 <listitem><para><link linkend="MAGICOUTPUT"><parameter>magic output</parameter></link></para></listitem>
845                 <listitem><para><link linkend="MAGICSCRIPT"><parameter>magic script</parameter></link></para></listitem>
846                 <listitem><para><link linkend="MANGLECASE"><parameter>mangle case</parameter></link></para></listitem>
847                 <listitem><para><link linkend="MANGLEDMAP"><parameter>mangled map</parameter></link></para></listitem>
848                 <listitem><para><link linkend="MANGLEDNAMES"><parameter>mangled names</parameter></link></para></listitem>
849                 <listitem><para><link linkend="MANGLINGCHAR"><parameter>mangling char</parameter></link></para></listitem>
850                 <listitem><para><link linkend="MAPARCHIVE"><parameter>map archive</parameter></link></para></listitem>
851                 <listitem><para><link linkend="MAPHIDDEN"><parameter>map hidden</parameter></link></para></listitem>
852                 <listitem><para><link linkend="MAPSYSTEM"><parameter>map system</parameter></link></para></listitem>
853                 <listitem><para><link linkend="MAXCONNECTIONS"><parameter>max connections</parameter></link></para></listitem>
854                 <listitem><para><link linkend="MAXPRINTJOBS"><parameter>max print jobs</parameter></link></para></listitem>
855                 <listitem><para><link linkend="MINPRINTSPACE"><parameter>min print space</parameter></link></para></listitem>
856                 <listitem><para><link linkend="MSDFSROOT"><parameter>msdfs root</parameter></link></para></listitem>
857                 <listitem><para><link linkend="NTACLSUPPORT"><parameter>nt acl support</parameter></link></para></listitem>
858                 <listitem><para><link linkend="ONLYGUEST"><parameter>only guest</parameter></link></para></listitem>
859                 <listitem><para><link linkend="ONLYUSER"><parameter>only user</parameter></link></para></listitem>
860                 <listitem><para><link linkend="OPLOCKCONTENTIONLIMIT"><parameter>oplock contention limit</parameter></link></para></listitem>
861                 <listitem><para><link linkend="OPLOCKS"><parameter>oplocks</parameter></link></para></listitem>
862                 <listitem><para><link linkend="PATH"><parameter>path</parameter></link></para></listitem>
863                 <listitem><para><link linkend="POSIXLOCKING"><parameter>posix locking</parameter></link></para></listitem>
864                 <listitem><para><link linkend="POSTEXEC"><parameter>postexec</parameter></link></para></listitem>
865                 <listitem><para><link linkend="POSTSCRIPT"><parameter>postscript</parameter></link></para></listitem>
866                 <listitem><para><link linkend="PREEXEC"><parameter>preexec</parameter></link></para></listitem>
867                 <listitem><para><link linkend="PREEXECCLOSE"><parameter>preexec close</parameter></link></para></listitem>
868                 <listitem><para><link linkend="PRESERVECASE"><parameter>preserve case</parameter></link></para></listitem>
869                 <listitem><para><link linkend="PRINTCOMMAND"><parameter>print command</parameter></link></para></listitem>
870                 <listitem><para><link linkend="PRINTOK"><parameter>print ok</parameter></link></para></listitem>
871                 <listitem><para><link linkend="PRINTABLE"><parameter>printable</parameter></link></para></listitem>
872                 <listitem><para><link linkend="PRINTER"><parameter>printer</parameter></link></para></listitem>
873                 <listitem><para><link linkend="PRINTERADMIN"><parameter>printer admin</parameter></link></para></listitem>
874                 <listitem><para><link linkend="PRINTERDRIVER"><parameter>printer driver</parameter></link></para></listitem>
875                 <listitem><para><link linkend="PRINTERDRIVERLOCATION"><parameter>printer driver location</parameter></link></para></listitem>
876                 <listitem><para><link linkend="PRINTERNAME"><parameter>printer name</parameter></link></para></listitem>
877                 <listitem><para><link linkend="PRINTING"><parameter>printing</parameter></link></para></listitem>
878                 <listitem><para><link linkend="PUBLIC"><parameter>public</parameter></link></para></listitem>
879                 <listitem><para><link linkend="QUEUEPAUSECOMMAND"><parameter>queuepause command</parameter></link></para></listitem>
880                 <listitem><para><link linkend="QUEUERESUMECOMMAND"><parameter>queueresume command</parameter></link></para></listitem>
881                 <listitem><para><link linkend="READLIST"><parameter>read list</parameter></link></para></listitem>
882                 <listitem><para><link linkend="READONLY"><parameter>read only</parameter></link></para></listitem>
883                 <listitem><para><link linkend="ROOTPOSTEXEC"><parameter>root postexec</parameter></link></para></listitem>
884                 <listitem><para><link linkend="ROOTPREEXEC"><parameter>root preexec</parameter></link></para></listitem>
885                 <listitem><para><link linkend="ROOTPREEXECCLOSE"><parameter>root preexec close</parameter></link></para></listitem>
886                 <listitem><para><link linkend="SECURITYMASK"><parameter>security mask</parameter></link></para></listitem>
887                 <listitem><para><link linkend="SETDIRECTORY"><parameter>set directory</parameter></link></para></listitem>
888                 <listitem><para><link linkend="SHAREMODES"><parameter>share modes</parameter></link></para></listitem>
889                 <listitem><para><link linkend="SHORTPRESERVECASE"><parameter>short preserve case</parameter></link></para></listitem>
890                 <listitem><para><link linkend="STATUS"><parameter>status</parameter></link></para></listitem>
891                 <listitem><para><link linkend="STRICTALLOCATE"><parameter>strict allocate</parameter></link></para></listitem>
892                 <listitem><para><link linkend="STRICTLOCKING"><parameter>strict locking</parameter></link></para></listitem>
893                 <listitem><para><link linkend="STRICTSYNC"><parameter>strict sync</parameter></link></para></listitem>
894                 <listitem><para><link linkend="SYNCALWAYS"><parameter>sync always</parameter></link></para></listitem>
895                 <listitem><para><link linkend="USECLIENTDRIVER"><parameter>use client driver</parameter></link></para></listitem>
896                 <listitem><para><link linkend="USER"><parameter>user</parameter></link></para></listitem>
897                 <listitem><para><link linkend="USERNAME"><parameter>username</parameter></link></para></listitem>
898                 <listitem><para><link linkend="USERS"><parameter>users</parameter></link></para></listitem>
899                 <listitem><para><link linkend="VALIDUSERS"><parameter>valid users</parameter></link></para></listitem>
900                 <listitem><para><link linkend="VETOFILES"><parameter>veto files</parameter></link></para></listitem>
901                 <listitem><para><link linkend="VETOOPLOCKFILES"><parameter>veto oplock files</parameter></link></para></listitem>
902                 <listitem><para><link linkend="VFSOBJECT"><parameter>vfs object</parameter></link></para></listitem>
903                 <listitem><para><link linkend="VFSOPTIONS"><parameter>vfs options</parameter></link></para></listitem>
904                 <listitem><para><link linkend="VOLUME"><parameter>volume</parameter></link></para></listitem>
905                 <listitem><para><link linkend="WIDELINKS"><parameter>wide links</parameter></link></para></listitem>
906                 <listitem><para><link linkend="WRITABLE"><parameter>writable</parameter></link></para></listitem>
907                 <listitem><para><link linkend="WRITECACHESIZE"><parameter>write cache size</parameter></link></para></listitem>
908                 <listitem><para><link linkend="WRITELIST"><parameter>write list</parameter></link></para></listitem>
909                 <listitem><para><link linkend="WRITEOK"><parameter>write ok</parameter></link></para></listitem>
910                 <listitem><para><link linkend="WRITEABLE"><parameter>writeable</parameter></link></para></listitem>
911         </itemizedlist>
912
913 </refsect1>
914
915 <refsect1>
916         <title>EXPLANATION OF EACH PARAMETER</title>
917         
918         <variablelist>
919
920                 <varlistentry>
921                 <term><anchor id="ABORTSHUTDOWNSCRIPT">abort shutdown script (G)</term>
922                 <listitem><para><emphasis>This parameter only exists in the HEAD cvs branch</emphasis>
923                 This a full path name to a script called by
924                 <ulink url="smbd.8.html"><command>smbd(8)</command></ulink>  that
925                 should stop a shutdown procedure issued by the <link 
926                 linkend="SHUTDOWNSCRIPT"><parameter>shutdown script</parameter></link>.</para>
927                 
928                 <para>This command will be run as user.</para>
929
930                 <para>Default: <emphasis>None</emphasis>.</para>
931                 <para>Example: <command>abort shutdown script = /sbin/shutdown -c</command></para>
932                 </listitem>
933                 </varlistentry>
934
935
936                 <varlistentry>
937                 <term><anchor id="ADDPRINTERCOMMAND">add printer command (G)</term>
938                 <listitem><para>With the introduction of MS-RPC based printing
939                 support for Windows NT/2000 clients in Samba 2.2, The MS Add
940                 Printer Wizard (APW) icon is now also available in the 
941                 "Printers..." folder displayed a share listing.  The APW
942                 allows for printers to be add remotely to a Samba or Windows 
943                 NT/2000 print server.</para>
944                 
945                 <para>For a Samba host this means that the printer must be 
946                 physically added to the underlying printing system.  The <parameter>add 
947                 printer command</parameter> defines a script to be run which 
948                 will perform the necessary operations for adding the printer
949                 to the print system and to add the appropriate service definition 
950                 to the  <filename>smb.conf</filename> file in order that it can be 
951                 shared by <ulink url="smbd.8.html"><command>smbd(8)</command>
952                 </ulink>.</para>
953                 
954                 <para>The <parameter>add printer command</parameter> is
955                 automatically invoked with the following parameter (in 
956                 order:</para>
957                 
958                 <itemizedlist>
959                         <listitem><para><parameter>printer name</parameter></para></listitem>
960                         <listitem><para><parameter>share name</parameter></para></listitem>
961                         <listitem><para><parameter>port name</parameter></para></listitem>
962                         <listitem><para><parameter>driver name</parameter></para></listitem>
963                         <listitem><para><parameter>location</parameter></para></listitem>
964                         <listitem><para><parameter>Windows 9x driver location</parameter>
965                         </para></listitem>
966                 </itemizedlist>
967                 
968                 <para>All parameters are filled in from the PRINTER_INFO_2 structure sent 
969                 by the Windows NT/2000 client with one exception.  The "Windows 9x
970                 driver location" parameter is included for backwards compatibility
971                 only.  The remaining fields in the structure are generated from answers
972                 to the APW questions.</para>
973                 
974                 <para>Once the <parameter>add printer command</parameter> has 
975                 been executed, <command>smbd</command> will reparse the <filename>
976                 smb.conf</filename> to determine if the share defined by the APW
977                 exists.  If the sharename is still invalid, then <command>smbd
978                 </command> will return an ACCESS_DENIED error to the client.</para>
979                 
980                 <para>See also <link linkend="DELETEPRINTERCOMMAND"><parameter>
981                 delete printer command</parameter></link>, <link 
982                 linkend="printing"><parameter>printing</parameter></link>,
983                 <link linkend="SHOWADDPRINTERWIZARD"><parameter>show add
984                 printer wizard</parameter></link></para>
985                 
986                 <para>Default: <emphasis>none</emphasis></para>
987                 <para>Example: <command>addprinter command = /usr/bin/addprinter
988                 </command></para>
989                 </listitem>
990                 </varlistentry>
991
992
993
994                 <varlistentry>
995                 <term><anchor id="ADDSHARECOMMAND">add share command (G)</term>
996                 <listitem><para>Samba 2.2.0 introduced the ability to dynamically 
997                 add and delete shares via the Windows NT 4.0 Server Manager.  The 
998                 <parameter>add share command</parameter> is used to define an 
999                 external program or script which will add a new service definition 
1000                 to <filename>smb.conf</filename>.  In order to successfully 
1001                 execute the <parameter>add share command</parameter>, <command>smbd</command>
1002                 requires that the administrator be connected using a root account (i.e. 
1003                 uid == 0).
1004                 </para>
1005                 
1006                 <para>
1007                 When executed, <command>smbd</command> will automatically invoke the 
1008                 <parameter>add share command</parameter> with four parameters.
1009                 </para>
1010                 
1011                 <itemizedlist>
1012                         <listitem><para><parameter>configFile</parameter> - the location 
1013                         of the global <filename>smb.conf</filename> file. 
1014                         </para></listitem>
1015                         
1016                         <listitem><para><parameter>shareName</parameter> - the name of the new 
1017                         share.
1018                         </para></listitem>
1019                         
1020                         <listitem><para><parameter>pathName</parameter> - path to an **existing**
1021                         directory on disk.
1022                         </para></listitem>
1023                         
1024                         <listitem><para><parameter>comment</parameter> - comment string to associate 
1025                         with the new share.
1026                         </para></listitem>
1027                 </itemizedlist>
1028                 
1029                 <para>
1030                 This parameter is only used for add file shares.  To add printer shares, 
1031                 see the <link linkend="ADDPRINTERCOMMAND"><parameter>add printer 
1032                 command</parameter></link>.
1033                 </para>
1034                 
1035                 <para>
1036                 See also <link linkend="CHANGESHARECOMMAND"><parameter>change share 
1037                 command</parameter></link>, <link linkend="DELETESHARECOMMAND"><parameter>delete share
1038                 command</parameter></link>.
1039                 </para>
1040                 
1041                 <para>Default: <emphasis>none</emphasis></para>
1042                 <para>Example: <command>add share command = /usr/local/bin/addshare</command></para>
1043                 </listitem>
1044                 </varlistentry>
1045
1046
1047
1048                 <varlistentry>
1049                 <term><anchor id="ADDMACHINESCRIPT">add machine script (G)</term>
1050                 <listitem><para>This is the full pathname to a script that will 
1051                 be run by <ulink url="smbd.8.html">smbd(8)</ulink>  when a machine is added
1052                 to it's domain using the administrator username and password method. </para>
1053
1054                 <para>This option is only required when using sam back-ends tied to the
1055                 Unix uid method of RID calculation such as smbpasswd.  This option is only
1056                 available in Samba 3.0.</para>
1057
1058                 <para>Default: <command>add machine script = &lt;empty string&gt;
1059                 </command></para>       
1060
1061                 <para>Example: <command>add machine script = /usr/sbin/adduser -n -g machines -c Machine -d /dev/null -s /bin/false %u
1062                 </command></para>
1063                 </listitem>
1064                 </varlistentry>
1065
1066
1067                 <varlistentry>
1068                 <term><anchor id="ADDUSERSCRIPT">add user script (G)</term>
1069                 <listitem><para>This is the full pathname to a script that will 
1070                 be run <emphasis>AS ROOT</emphasis> by <ulink url="smbd.8.html">smbd(8)
1071                 </ulink> under special circumstances described below.</para>
1072
1073                 <para>Normally, a Samba server requires that UNIX users are 
1074                 created for all users accessing files on this server. For sites 
1075                 that use Windows NT account databases as their primary user database 
1076                 creating these users and keeping the user list in sync with the 
1077                 Windows NT PDC is an onerous task. This option allows <ulink 
1078                 url="smbd.8.html">smbd</ulink> to create the required UNIX users 
1079                 <emphasis>ON DEMAND</emphasis> when a user accesses the Samba server.</para>
1080
1081                 <para>In order to use this option, <ulink url="smbd.8.html">smbd</ulink> 
1082                 must <emphasis>NOT</emphasis> be set to <parameter>security = share</parameter>
1083                 and <parameter>add user script</parameter>
1084                 must be set to a full pathname for a script that will create a UNIX 
1085                 user given one argument of <parameter>%u</parameter>, which expands into 
1086                 the UNIX user name to create.</para>
1087
1088                 <para>When the Windows user attempts to access the Samba server, 
1089                 at login (session setup in the SMB protocol) time, <ulink url="smbd.8.html">
1090                 smbd</ulink> contacts the <parameter>password server</parameter> and 
1091                 attempts to authenticate the given user with the given password. If the 
1092                 authentication succeeds then <command>smbd</command> 
1093                 attempts to find a UNIX user in the UNIX password database to map the 
1094                 Windows user into. If this lookup fails, and <parameter>add user script
1095                 </parameter> is set then <command>smbd</command> will
1096                 call the specified script <emphasis>AS ROOT</emphasis>, expanding 
1097                 any <parameter>%u</parameter> argument to be the user name to create.</para>
1098
1099                 <para>If this script successfully creates the user then <command>smbd
1100                 </command> will continue on as though the UNIX user
1101                 already existed. In this way, UNIX users are dynamically created to
1102                 match existing Windows NT accounts.</para>
1103
1104                 <para>See also <link linkend="SECURITY"><parameter>
1105                 security</parameter></link>, <link linkend="PASSWORDSERVER">
1106                 <parameter>password server</parameter></link>, 
1107                 <link linkend="DELETEUSERSCRIPT"><parameter>delete user 
1108                 script</parameter></link>.</para>
1109
1110                 <para>Default: <command>add user script = &lt;empty string&gt;
1111                 </command></para>       
1112
1113                 <para>Example: <command>add user script = /usr/local/samba/bin/add_user 
1114                 %u</command></para>
1115                 </listitem>
1116                 </varlistentry>
1117
1118
1119
1120                 <varlistentry>
1121                 <term><anchor id="ADMINUSERS">admin users (S)</term>
1122                 <listitem><para>This is a list of users who will be granted 
1123                 administrative privileges on the share. This means that they 
1124                 will do all file operations as the super-user (root).</para>
1125
1126                 <para>You should use this option very carefully, as any user in 
1127                 this list will be able to do anything they like on the share, 
1128                 irrespective of file permissions.</para>
1129
1130                 <para>Default: <emphasis>no admin users</emphasis></para>
1131
1132                 <para>Example: <command>admin users = jason</command></para>
1133                 </listitem>
1134                 </varlistentry>
1135                 
1136
1137
1138                 <varlistentry>
1139                 <term><anchor id="ALLOWHOSTS">allow hosts (S)</term>
1140                 <listitem><para>Synonym for <link linkend="HOSTSALLOW">
1141                 <parameter>hosts allow</parameter></link>.</para></listitem>
1142                 </varlistentry>
1143                 
1144                 <varlistentry>
1145                 <term><anchor id="ALGORITHMICRIDBASE">algorithmic rid base (G)</term>
1146                 <listitem><para>This determines how Samba will use its
1147                 algorithmic mapping from uids/gid to the RIDs needed to construct
1148                 NT Security Identifiers.</para>
1149
1150                 <para>Setting this option to a larger value could be useful to sites
1151                 transitioning from WinNT and Win2k, as existing user and 
1152                 group rids would otherwise clash with sytem users etc. 
1153                 </para>
1154
1155                 <para>All UIDs and GIDs must be able to be resolved into SIDs for  
1156                 the correct operation of ACLs on the server.  As such the algorithmic
1157                 mapping can't be 'turned off', but pushing it 'out of the way' should
1158                 resolve the issues.  Users and groups can then be assigned 'low' RIDs
1159                 in arbitary-rid supporting backends. </para>
1160
1161                 <para>Default: <command>algorithmic rid base = 1000</command></para>
1162
1163                 <para>Example: <command>algorithmic rid base = 100000</command></para>
1164                 </listitem>
1165                 </varlistentry>
1166                 
1167                 <varlistentry>
1168                 <term><anchor id="ALLOWTRUSTEDDOMAINS">allow trusted domains (G)</term>
1169                 <listitem><para>This option only takes effect when the <link 
1170                 linkend="SECURITY"><parameter>security</parameter></link> option is set to 
1171                 <constant>server</constant> or <constant>domain</constant>.  
1172                 If it is set to no, then attempts to connect to a resource from 
1173                 a domain or workgroup other than the one which <ulink url="smbd.8.html">smbd</ulink> is running 
1174                 in will fail, even if that domain is trusted by the remote server 
1175                 doing the authentication.</para>
1176                 
1177                 <para>This is useful if you only want your Samba server to 
1178                 serve resources to users in the domain it is a member of. As 
1179                 an example, suppose that there are two domains DOMA and DOMB.  DOMB 
1180                 is trusted by DOMA, which contains the Samba server.  Under normal 
1181                 circumstances, a user with an account in DOMB can then access the 
1182                 resources of a UNIX account with the same account name on the 
1183                 Samba server even if they do not have an account in DOMA.  This 
1184                 can make implementing a security boundary difficult.</para>
1185
1186                 <para>Default: <command>allow trusted domains = yes</command></para>
1187
1188                 </listitem>
1189                 </varlistentry>
1190                 
1191
1192
1193                 <varlistentry>
1194                 <term><anchor id="ANNOUNCEAS">announce as (G)</term>
1195                 <listitem><para>This specifies what type of server 
1196                 <ulink url="nmbd.8.html"><command>nmbd</command></ulink> 
1197                 will announce itself as, to a network neighborhood browse 
1198                 list. By default this is set to Windows NT. The valid options 
1199                 are : "NT Server" (which can also be written as "NT"), 
1200                 "NT Workstation", "Win95" or "WfW" meaning Windows NT Server, 
1201                 Windows NT Workstation, Windows 95 and Windows for Workgroups 
1202                 respectively. Do not change this parameter unless you have a 
1203                 specific need to stop Samba appearing as an NT server as this 
1204                 may prevent Samba servers from participating as browser servers 
1205                 correctly.</para>
1206
1207                 <para>Default: <command>announce as = NT Server</command></para>
1208                 
1209                 <para>Example: <command>announce as = Win95</command></para>
1210                 </listitem>
1211                 </varlistentry>
1212                 
1213
1214
1215                 <varlistentry>
1216                 <term><anchor id="ANNOUNCEVERSION">announce version (G)</term>
1217                 <listitem><para>This specifies the major and minor version numbers 
1218                 that nmbd will use when announcing itself as a server. The default 
1219                 is 4.2.  Do not change this parameter unless you have a specific 
1220                 need to set a Samba server to be a downlevel server.</para>
1221
1222                 <para>Default: <command>announce version = 4.5</command></para>
1223
1224                 <para>Example: <command>announce version = 2.0</command></para>
1225                 </listitem>
1226                 </varlistentry>
1227
1228
1229
1230                 <varlistentry>
1231                 <term><anchor id="AUTOSERVICES">auto services (G)</term>
1232                 <listitem><para>This is a synonym for the <link linkend="PRELOAD">
1233                 <parameter>preload</parameter></link>.</para>
1234                 </listitem>
1235                 </varlistentry>
1236                 
1237
1238
1239                 <varlistentry>
1240                 <term><anchor id="AUTHMETHODS">auth methods (G)</term>
1241                 <listitem><para>This option allows the administrator to chose what
1242                 authentication methods <command>smbd</command> will use when authenticating
1243                 a user.  This option defaults to sensible values based on <link linkend="SECURITY"><parameter>
1244                 security</parameter></link>.
1245
1246                 Each entry in the list attempts to authenticate the user in turn, until
1247                 the user authenticates.  In practice only one method will ever actually 
1248                 be able to complete the authentication.
1249                 </para>
1250
1251                 <para>Default: <command>auth methods = &lt;empty string&gt;</command></para>
1252                 <para>Example: <command>auth methods = guest sam ntdomain</command></para>
1253                 </listitem>
1254                 </varlistentry>
1255
1256
1257                 <varlistentry>
1258                 <term><anchor id="AVAILABLE">available (S)</term>
1259                 <listitem><para>This parameter lets you "turn off" a service. If 
1260                 <parameter>available = no</parameter>, then <emphasis>ALL</emphasis> 
1261                 attempts to connect to the service will fail. Such failures are 
1262                 logged.</para>
1263
1264                 <para>Default: <command>available = yes</command></para>
1265                 
1266                 </listitem>
1267                 </varlistentry>
1268                 
1269
1270
1271                 <varlistentry>
1272                 <term><anchor id="BINDINTERFACESONLY">bind interfaces only (G)</term>
1273                 <listitem><para>This global parameter allows the Samba admin 
1274                 to limit what interfaces on a machine will serve SMB requests. If 
1275                 affects file service <ulink url="smbd.8.html">smbd(8)</ulink> and 
1276                 name service <ulink url="nmbd.8.html">nmbd(8)</ulink> in slightly 
1277                 different ways.</para>
1278
1279                 <para>For name service it causes <command>nmbd</command> to bind 
1280                 to ports 137 and 138 on the interfaces listed in the <link 
1281                 linkend="INTERFACES">interfaces</link> parameter. <command>nmbd
1282                 </command> also binds to the "all addresses" interface (0.0.0.0) 
1283                 on ports 137 and 138 for the purposes of reading broadcast messages. 
1284                 If this option is not set then <command>nmbd</command> will service 
1285                 name requests on all of these sockets. If <parameter>bind interfaces
1286                 only</parameter> is set then <command>nmbd</command> will check the 
1287                 source address of any packets coming in on the broadcast sockets 
1288                 and discard any that don't match the broadcast addresses of the 
1289                 interfaces in the <parameter>interfaces</parameter> parameter list. 
1290                 As unicast packets are received on the other sockets it allows 
1291                 <command>nmbd</command> to refuse to serve names to machines that 
1292                 send packets that arrive through any interfaces not listed in the
1293                 <parameter>interfaces</parameter> list.  IP Source address spoofing
1294                 does defeat this simple check, however so it must not be used
1295                 seriously as a security feature for <command>nmbd</command>.</para>
1296
1297                 <para>For file service it causes <ulink url="smbd.8.html">smbd(8)</ulink>
1298                 to bind only to the interface list given in the <link linkend="INTERFACES">
1299                 interfaces</link> parameter. This restricts the networks that 
1300                 <command>smbd</command> will serve to packets coming in those 
1301                 interfaces.  Note that you should not use this parameter for machines 
1302                 that are serving PPP or other intermittent or non-broadcast network 
1303                 interfaces as it will not cope with non-permanent interfaces.</para>
1304
1305                 <para>If <parameter>bind interfaces only</parameter> is set then 
1306                 unless the network address <emphasis>127.0.0.1</emphasis> is added 
1307                 to the <parameter>interfaces</parameter> parameter list <ulink
1308                 url="smbpasswd.8.html"><command>smbpasswd(8)</command></ulink> 
1309                 and <ulink url="swat.8.html"><command>swat(8)</command></ulink> may 
1310                 not work as expected due to the reasons covered below.</para>
1311
1312                 <para>To change a users SMB password, the <command>smbpasswd</command>
1313                 by default connects to the <emphasis>localhost - 127.0.0.1</emphasis> 
1314                 address as an SMB client to issue the password change request. If 
1315                 <parameter>bind interfaces only</parameter> is set then unless the 
1316                 network address <emphasis>127.0.0.1</emphasis> is added to the
1317                 <parameter>interfaces</parameter> parameter list then <command>
1318                 smbpasswd</command> will fail to connect in it's default mode. 
1319                 <command>smbpasswd</command> can be forced to use the primary IP interface 
1320                 of the local host by using its <ulink url="smbpasswd.8.html#minusr">
1321                 <parameter>-r <replaceable>remote machine</replaceable></parameter>
1322                 </ulink> parameter, with <replaceable>remote machine</replaceable> set 
1323                 to the IP name of the primary interface of the local host.</para>
1324
1325                 <para>The <command>swat</command> status page tries to connect with
1326                 <command>smbd</command> and <command>nmbd</command> at the address 
1327                 <emphasis>127.0.0.1</emphasis> to determine if they are running.  
1328                 Not adding <emphasis>127.0.0.1</emphasis>  will cause <command>
1329                 smbd</command> and <command>nmbd</command> to always show
1330                 "not running" even if they really are.  This can prevent <command>
1331                 swat</command> from starting/stopping/restarting <command>smbd</command>
1332                 and <command>nmbd</command>.</para>
1333
1334                 <para>Default: <command>bind interfaces only = no</command></para>
1335                 
1336                 </listitem>
1337                 </varlistentry>
1338
1339
1340
1341                 <varlistentry>
1342                 <term><anchor id="BLOCKINGLOCKS">blocking locks (S)</term>
1343                 <listitem><para>This parameter controls the behavior of <ulink 
1344                 url="smbd.8.html">smbd(8)</ulink> when given a request by a client 
1345                 to obtain a byte range lock on a region of an open file, and the 
1346                 request has a time limit associated with it.</para>
1347                 
1348                 <para>If this parameter is set and the lock range requested 
1349                 cannot be immediately satisfied, Samba 2.2 will internally 
1350                 queue the lock request, and periodically attempt to obtain 
1351                 the lock until the timeout period expires.</para>
1352
1353                 <para>If this parameter is set to <constant>false</constant>, then 
1354                 Samba 2.2 will behave as previous versions of Samba would and 
1355                 will fail the lock request immediately if the lock range 
1356                 cannot be obtained.</para>
1357
1358                 <para>Default: <command>blocking locks = yes</command></para>
1359
1360                 </listitem>
1361                 </varlistentry>
1362                 
1363
1364
1365                 <varlistentry>
1366                 <term><anchor id="BROWSABLE">browsable (S)</term>
1367                 <listitem><para>See the <link linkend="BROWSEABLE"><parameter>
1368                 browseable</parameter></link>.</para></listitem>
1369                 </varlistentry>
1370                 
1371
1372
1373                 <varlistentry>
1374                 <term><anchor id="BROWSELIST">browse list (G)</term>
1375                 <listitem><para>This controls whether <ulink url="smbd.8.html">
1376                 <command>smbd(8)</command></ulink> will serve a browse list to 
1377                 a client doing a <command>NetServerEnum</command> call. Normally 
1378                 set to <constant>true</constant>. You should never need to change 
1379                 this.</para>
1380                 
1381                 <para>Default: <command>browse list = yes</command></para></listitem>
1382                 </varlistentry>
1383                 
1384
1385
1386                 <varlistentry>
1387                 <term><anchor id="BROWSEABLE">browseable (S)</term>
1388                 <listitem><para>This controls whether this share is seen in 
1389                 the list of available shares in a net view and in the browse list.</para>
1390
1391                 <para>Default: <command>browseable = yes</command></para>
1392                 </listitem>
1393                 </varlistentry>
1394                 
1395
1396
1397                 <varlistentry>
1398                 <term><anchor id="CASESENSITIVE">case sensitive (S)</term>
1399                 <listitem><para>See the discussion in the section <link 
1400                 linkend="NAMEMANGLINGSECT">NAME MANGLING</link>.</para>
1401                 
1402                 <para>Default: <command>case sensitive = no</command></para>
1403                 </listitem>
1404                 </varlistentry>
1405
1406
1407
1408                 <varlistentry>
1409                 <term><anchor id="CASESIGNAMES">casesignames (S)</term>
1410                 <listitem><para>Synonym for <link linkend="CASESENSITIVE">case 
1411                 sensitive</link>.</para></listitem>
1412                 </varlistentry>
1413                 
1414                 
1415                 
1416                 <varlistentry>
1417                 <term><anchor id="CHANGENOTIFYTIMEOUT">change notify timeout (G)</term>
1418                 <listitem><para>This SMB allows a client to tell a server to 
1419                 "watch" a particular directory for any changes and only reply to
1420                 the SMB request when a change has occurred. Such constant scanning of
1421                 a directory is expensive under UNIX, hence an <ulink url="smbd.8.html">
1422                 <command>smbd(8)</command></ulink> daemon only performs such a scan 
1423                 on each requested directory once every <parameter>change notify 
1424                 timeout</parameter> seconds.</para>
1425
1426                 <para>Default: <command>change notify timeout = 60</command></para>
1427                 <para>Example: <command>change notify timeout = 300</command></para>
1428
1429                 <para>Would change the scan time to every 5 minutes.</para></listitem>
1430                 </varlistentry>
1431                 
1432
1433
1434                 <varlistentry>
1435                 <term><anchor id="CHANGESHARECOMMAND">change share command (G)</term>
1436                 <listitem><para>Samba 2.2.0 introduced the ability to dynamically 
1437                 add and delete shares via the Windows NT 4.0 Server Manager.  The 
1438                 <parameter>change share command</parameter> is used to define an 
1439                 external program or script which will modify an existing service definition 
1440                 in <filename>smb.conf</filename>.  In order to successfully 
1441                 execute the <parameter>change share command</parameter>, <command>smbd</command>
1442                 requires that the administrator be connected using a root account (i.e. 
1443                 uid == 0).
1444                 </para>
1445                 
1446                 <para>
1447                 When executed, <command>smbd</command> will automatically invoke the 
1448                 <parameter>change share command</parameter> with four parameters.
1449                 </para>
1450                 
1451                 <itemizedlist>
1452                         <listitem><para><parameter>configFile</parameter> - the location 
1453                         of the global <filename>smb.conf</filename> file. 
1454                         </para></listitem>
1455                         
1456                         <listitem><para><parameter>shareName</parameter> - the name of the new 
1457                         share.
1458                         </para></listitem>
1459                         
1460                         <listitem><para><parameter>pathName</parameter> - path to an **existing**
1461                         directory on disk.
1462                         </para></listitem>
1463                         
1464                         <listitem><para><parameter>comment</parameter> - comment string to associate 
1465                         with the new share.
1466                         </para></listitem>
1467                 </itemizedlist>
1468                 
1469                 <para>
1470                 This parameter is only used modify existing file shares definitions.  To modify 
1471                 printer shares, use the "Printers..." folder as seen when browsing the Samba host.
1472                 </para>
1473                 
1474                 <para>
1475                 See also <link linkend="ADDSHARECOMMAND"><parameter>add share
1476                 command</parameter></link>, <link linkend="DELETESHARECOMMAND"><parameter>delete 
1477                 share command</parameter></link>.
1478                 </para>
1479                 
1480                 <para>Default: <emphasis>none</emphasis></para>
1481                 <para>Example: <command>change share command = /usr/local/bin/addshare</command></para>
1482                 </listitem>
1483                 </varlistentry>
1484
1485
1486                 
1487
1488                 
1489                 <varlistentry>
1490                 <term><anchor id="COMMENT">comment (S)</term>
1491                 <listitem><para>This is a text field that is seen next to a share 
1492                 when a client does a queries the server, either via the network 
1493                 neighborhood or via <command>net view</command> to list what shares 
1494                 are available.</para>
1495
1496                 <para>If you want to set the string that is displayed next to the 
1497                 machine name then see the <link linkend="SERVERSTRING"><parameter>
1498                 server string</parameter></link> parameter.</para>
1499
1500                 <para>Default: <emphasis>No comment string</emphasis></para>
1501                 <para>Example: <command>comment = Fred's Files</command></para></listitem>
1502                 </varlistentry>
1503                 
1504                 
1505                 
1506                 <varlistentry>
1507                 <term><anchor id="CONFIGFILE">config file (G)</term>
1508                 <listitem><para>This allows you to override the config file 
1509                 to use, instead of the default (usually <filename>smb.conf</filename>). 
1510                 There is a chicken and egg problem here as this option is set 
1511                 in the config file!</para>
1512
1513                 <para>For this reason, if the name of the config file has changed 
1514                 when the parameters are loaded then it will reload them from 
1515                 the new config file.</para>
1516
1517                 <para>This option takes the usual substitutions, which can 
1518                 be very useful.</para>
1519
1520                 <para>If the config file doesn't exist then it won't be loaded 
1521                 (allowing you to special case the config files of just a few 
1522                 clients).</para>
1523
1524                 <para>Example: <command>config file = /usr/local/samba/lib/smb.conf.%m
1525                 </command></para></listitem>
1526                 </varlistentry>
1527                 
1528                 
1529                 
1530                 <varlistentry>
1531                 <term><anchor id="COPY">copy (S)</term>
1532                 <listitem><para>This parameter allows you to "clone" service 
1533                 entries. The specified service is simply duplicated under the 
1534                 current service's name. Any parameters specified in the current 
1535                 section will override those in the section being copied.</para>
1536
1537                 <para>This feature lets you set up a 'template' service and 
1538                 create similar services easily. Note that the service being 
1539                 copied must occur earlier in the configuration file than the 
1540                 service doing the copying.</para>
1541
1542                 <para>Default: <emphasis>no value</emphasis></para>
1543                 <para>Example: <command>copy = otherservice</command></para></listitem>
1544                 </varlistentry>
1545                 
1546                 
1547                 
1548                 <varlistentry>
1549                 <term><anchor id="CREATEMASK">create mask (S)</term>
1550                 <listitem><para>A synonym for this parameter is 
1551                 <link linkend="CREATEMODE"><parameter>create mode</parameter>
1552                 </link>.</para>
1553
1554                 <para>When a file is created, the necessary permissions are 
1555                 calculated according to the mapping from DOS modes to UNIX 
1556                 permissions, and the resulting UNIX mode is then bit-wise 'AND'ed 
1557                 with this parameter. This parameter may be thought of as a bit-wise 
1558                 MASK for the UNIX modes of a file. Any bit <emphasis>not</emphasis> 
1559                 set here will be removed from the modes set on a file when it is 
1560                 created.</para>
1561
1562                 <para>The default value of this parameter removes the 
1563                 'group' and 'other' write and execute bits from the UNIX modes.</para>
1564
1565                 <para>Following this Samba will bit-wise 'OR' the UNIX mode created 
1566                 from this parameter with the value of the <link
1567                 linkend="FORCECREATEMODE"><parameter>force create mode</parameter></link>
1568                 parameter which is set to 000 by default.</para>
1569
1570                 <para>This parameter does not affect directory modes. See the 
1571                 parameter <link linkend="DIRECTORYMODE"><parameter>directory mode
1572                 </parameter></link> for details.</para>
1573
1574                 <para>See also the <link linkend="FORCECREATEMODE"><parameter>force 
1575                 create mode</parameter></link> parameter for forcing particular mode 
1576                 bits to be set on created files. See also the <link linkend="DIRECTORYMODE">
1577                 <parameter>directory mode</parameter></link> parameter for masking 
1578                 mode bits on created directories.  See also the <link linkend="INHERITPERMISSIONS">
1579                 <parameter>inherit permissions</parameter></link> parameter.</para>
1580
1581                 <para>Note that this parameter does not apply to permissions
1582                 set by Windows NT/2000 ACL editors. If the administrator wishes to enforce
1583                 a mask on access control lists also, they need to set the <link 
1584                 linkend="SECURITYMASK"><parameter>security mask</parameter></link>.</para>
1585
1586                 <para>Default: <command>create mask = 0744</command></para>
1587                 <para>Example: <command>create mask = 0775</command></para></listitem>
1588                 </varlistentry>
1589                 
1590                 
1591                 
1592                 <varlistentry>
1593                 <term><anchor id="CREATEMODE">create mode (S)</term>
1594                 <listitem><para>This is a synonym for <link linkend="CREATEMASK"><parameter>
1595                 create mask</parameter></link>.</para></listitem>
1596                 </varlistentry>
1597                 
1598                 
1599                 <varlistentry>
1600                 <term><anchor id="CSCPOLICY">csc policy (S)</term>
1601                 <listitem><para>This stands for <emphasis>client-side caching 
1602                 policy</emphasis>, and specifies how clients capable of offline
1603                 caching will cache the files in the share. The valid values
1604                 are: manual, documents, programs, disable.</para>
1605
1606                 <para>These values correspond to those used on Windows
1607                 servers.</para>
1608
1609                 <para>For example, shares containing roaming profiles can have
1610                 offline caching disabled using <command>csc policy = disable
1611                 </command>.</para>
1612
1613                 <para>Default: <command>csc policy = manual</command></para>
1614                 <para>Example: <command>csc policy = programs</command></para>
1615                 </listitem>
1616                 </varlistentry>
1617                 
1618                 <varlistentry>
1619                 <term><anchor id="DEADTIME">deadtime (G)</term>
1620                 <listitem><para>The value of the parameter (a decimal integer) 
1621                 represents the number of minutes of inactivity before a connection 
1622                 is considered dead, and it is disconnected. The deadtime only takes 
1623                 effect if the number of open files is zero.</para>
1624                 
1625                 <para>This is useful to stop a server's resources being 
1626                 exhausted by a large number of inactive connections.</para>
1627
1628                 <para>Most clients have an auto-reconnect feature when a 
1629                 connection is broken so in most cases this parameter should be 
1630                 transparent to users.</para>
1631
1632                 <para>Using this parameter with a timeout of a few minutes 
1633                 is recommended for most systems.</para>
1634
1635                 <para>A deadtime of zero indicates that no auto-disconnection 
1636                 should be performed.</para>
1637
1638                 <para>Default: <command>deadtime = 0</command></para>
1639                 <para>Example: <command>deadtime = 15</command></para></listitem>
1640                 </varlistentry>
1641
1642
1643
1644                 <varlistentry>
1645                 <term><anchor id="DEBUGHIRESTIMESTAMP">debug hires timestamp (G)</term>
1646                 <listitem><para>Sometimes the timestamps in the log messages 
1647                 are needed with a resolution of higher that seconds, this 
1648                 boolean parameter adds microsecond resolution to the timestamp 
1649                 message header when turned on.</para>
1650
1651                 <para>Note that the parameter <link linkend="DEBUGTIMESTAMP"><parameter>
1652                 debug timestamp</parameter></link> must be on for this to have an 
1653                 effect.</para>
1654
1655                 <para>Default: <command>debug hires timestamp = no</command></para>
1656                 </listitem>
1657                 </varlistentry>
1658                 
1659
1660
1661                 <varlistentry>
1662                 <term><anchor id="DEBUGPID">debug pid (G)</term>
1663                 <listitem><para>When using only one log file for more then one 
1664                 forked <ulink url="smbd.8.html">smbd</ulink>-process there may be hard to follow which process 
1665                 outputs which message. This boolean parameter is adds the process-id 
1666                 to the timestamp message headers in the logfile when turned on.</para>
1667
1668                 <para>Note that the parameter <link linkend="DEBUGTIMESTAMP"><parameter>
1669                 debug timestamp</parameter></link> must be on for this to have an 
1670                 effect.</para>
1671
1672                 <para>Default: <command>debug pid = no</command></para></listitem>
1673                 </varlistentry>
1674
1675
1676                 <varlistentry>
1677                 <term><anchor id="DEBUGTIMESTAMP">debug timestamp (G)</term>
1678                 <listitem><para>Samba 2.2 debug log messages are timestamped 
1679                 by default. If you are running at a high <link linkend="DEBUGLEVEL">
1680                 <parameter>debug level</parameter></link> these timestamps
1681                 can be distracting. This boolean parameter allows timestamping 
1682                 to be turned off.</para>
1683
1684                 <para>Default: <command>debug timestamp = yes</command></para></listitem>
1685                 </varlistentry>
1686
1687
1688
1689                 <varlistentry>
1690                 <term><anchor id="DEBUGUID">debug uid (G)</term>
1691                 <listitem><para>Samba is sometimes run as root and sometime 
1692                 run as the connected user, this boolean parameter inserts the 
1693                 current euid, egid, uid and gid to the timestamp message headers 
1694                 in the log file if turned on.</para>
1695                 
1696                 <para>Note that the parameter <link linkend="DEBUGTIMESTAMP"><parameter>
1697                 debug timestamp</parameter></link> must be on for this to have an 
1698                 effect.</para>
1699
1700                 <para>Default: <command>debug uid = no</command></para></listitem>
1701                 </varlistentry>
1702
1703
1704
1705                 <varlistentry>
1706                 <term><anchor id="DEBUGLEVEL">debuglevel (G)</term>
1707                 <listitem><para>Synonym for <link linkend="LOGLEVEL"><parameter>
1708                 log level</parameter></link>.</para>
1709                 </listitem>
1710                 </varlistentry>
1711
1712
1713
1714                 <varlistentry>
1715                 <term><anchor id="DEFAULT">default (G)</term>
1716                 <listitem><para>A synonym for <link linkend="DEFAULTSERVICE"><parameter>
1717                 default service</parameter></link>.</para></listitem>
1718                 </varlistentry>
1719                 
1720                 
1721                 
1722                 <varlistentry>
1723                 <term><anchor id="DEFAULTCASE">default case (S)</term>
1724                 <listitem><para>See the section on <link linkend="NAMEMANGLINGSECT">
1725                 NAME MANGLING</link>. Also note the <link linkend="SHORTPRESERVECASE">
1726                 <parameter>short preserve case</parameter></link> parameter.</para>
1727
1728                 <para>Default: <command>default case = lower</command></para>
1729                 </listitem>
1730                 </varlistentry>
1731
1732
1733
1734                 <varlistentry>
1735                 <term><anchor id="DEFAULTDEVMODE">default devmode (S)</term>
1736                 <listitem><para>This parameter is only applicable to <link
1737                 linkend="PRINTOK">printable</link> services.  When smbd is serving
1738                 Printer Drivers to Windows NT/2k/XP clients, each printer on the Samba
1739                 server has a Device Mode which defines things such as paper size and
1740                 orientation and duplex settings.  The device mode can only correctly be
1741                 generated by the printer driver itself (which can only be executed on a
1742                 Win32 platform).  Because smbd is unable to execute the driver code
1743                 to generate the device mode, the default behavior is to set this field
1744                 to NULL.
1745                 </para>
1746
1747                 <para>Most problems with serving printer drivers to Windows NT/2k/XP clients
1748                 can be traced to a problem with the generated device mode.  Certain drivers
1749                 will do things such as crashing the client's Explorer.exe with a NULL devmode.
1750                 However, other printer drivers can cause the client's spooler service
1751                 (spoolsv.exe) to die if the devmode was not created by the driver itself
1752                 (i.e. smbd generates a default devmode).
1753                 </para>
1754
1755                 <para>This parameter should be used with care and tested with the printer
1756                 driver in question.  It is better to leave the device mode to NULL
1757                 and let the Windows client set the correct values.  Because drivers do not
1758                 do this all the time, setting <command>default devmode = yes</command>
1759                 will instruct smbd to generate a default one.
1760                 </para>
1761
1762                 <para>For more information on Windows NT/2k printing and Device Modes,
1763                 see the <ulink url="http://msdn.microsoft.com/">MSDN documentation</ulink>.
1764                 </para>
1765
1766                 <para>Default: <command>default devmode = no</command></para>
1767                 </listitem>
1768                 </varlistentry>
1769
1770
1771
1772                 <varlistentry>
1773                 <term><anchor id="DEFAULTSERVICE">default service (G)</term>
1774                 <listitem><para>This parameter specifies the name of a service
1775                 which will be connected to if the service actually requested cannot
1776                 be found. Note that the square brackets are <emphasis>NOT</emphasis>
1777                 given in the parameter value (see example below).</para>
1778
1779                 <para>There is no default value for this parameter. If this 
1780                 parameter is not given, attempting to connect to a nonexistent 
1781                 service results in an error.</para>
1782
1783                 <para>Typically the default service would be a <link linkend="GUESTOK">
1784                 <parameter>guest ok</parameter></link>, <link linkend="READONLY">
1785                 <parameter>read-only</parameter></link> service.</para>
1786
1787                 <para>Also note that the apparent service name will be changed 
1788                 to equal that of the requested service, this is very useful as it 
1789                 allows you to use macros like <parameter>%S</parameter> to make 
1790                 a wildcard service.</para>
1791
1792                 <para>Note also that any "_" characters in the name of the service 
1793                 used in the default service will get mapped to a "/". This allows for
1794                 interesting things.</para>
1795
1796
1797                 <para>Example:</para>
1798                 
1799                 <para><programlisting>
1800 [global]
1801         default service = pub
1802         
1803 [pub]
1804         path = /%S
1805                 </programlisting></para>
1806                 </listitem>
1807                 </varlistentry>
1808                 
1809
1810
1811                 <varlistentry>
1812                 <term><anchor id="DELETEPRINTERCOMMAND">delete printer command (G)</term>
1813                 <listitem><para>With the introduction of MS-RPC based printer
1814                 support for Windows NT/2000 clients in Samba 2.2, it is now 
1815                 possible to delete printer at run time by issuing the 
1816                 DeletePrinter() RPC call.</para>
1817                 
1818                 <para>For a Samba host this means that the printer must be 
1819                 physically deleted from underlying printing system.  The <parameter>
1820                 deleteprinter command</parameter> defines a script to be run which 
1821                 will perform the necessary operations for removing the printer
1822                 from the print system and from <filename>smb.conf</filename>.
1823                 </para>
1824                 
1825                 <para>The <parameter>delete printer command</parameter> is 
1826                 automatically called with only one parameter: <parameter>
1827                 "printer name"</parameter>.</para>
1828                 
1829                                 
1830                 <para>Once the <parameter>delete printer command</parameter> has 
1831                 been executed, <command>smbd</command> will reparse the <filename>
1832                 smb.conf</filename> to associated printer no longer exists.  
1833                 If the sharename is still valid, then <command>smbd
1834                 </command> will return an ACCESS_DENIED error to the client.</para>
1835                 
1836                 <para>See also <link linkend="ADDPRINTERCOMMAND"><parameter>
1837                 add printer command</parameter></link>, <link 
1838                 linkend="printing"><parameter>printing</parameter></link>,
1839                 <link linkend="SHOWADDPRINTERWIZARD"><parameter>show add
1840                 printer wizard</parameter></link></para>
1841                 
1842                 <para>Default: <emphasis>none</emphasis></para>
1843                 <para>Example: <command>deleteprinter command = /usr/bin/removeprinter
1844                 </command></para>
1845                 </listitem>
1846                 </varlistentry>
1847
1848
1849
1850
1851
1852
1853                 <varlistentry>
1854                 <term><anchor id="DELETEREADONLY">delete readonly (S)</term>
1855                 <listitem><para>This parameter allows readonly files to be deleted.  
1856                 This is not normal DOS semantics, but is allowed by UNIX.</para>
1857                 
1858                 <para>This option may be useful for running applications such 
1859                 as rcs, where UNIX file ownership prevents changing file 
1860                 permissions, and DOS semantics prevent deletion of a read only file.</para>
1861
1862                 <para>Default: <command>delete readonly = no</command></para></listitem>
1863                 </varlistentry>
1864
1865
1866
1867                 <varlistentry>
1868                 <term><anchor id="DELETESHARECOMMAND">delete share command (G)</term>
1869                 <listitem><para>Samba 2.2.0 introduced the ability to dynamically 
1870                 add and delete shares via the Windows NT 4.0 Server Manager.  The 
1871                 <parameter>delete share command</parameter> is used to define an 
1872                 external program or script which will remove an existing service 
1873                 definition from <filename>smb.conf</filename>.  In order to successfully 
1874                 execute the <parameter>delete share command</parameter>, <command>smbd</command>
1875                 requires that the administrator be connected using a root account (i.e. 
1876                 uid == 0).
1877                 </para>
1878                 
1879                 <para>
1880                 When executed, <command>smbd</command> will automatically invoke the 
1881                 <parameter>delete share command</parameter> with two parameters.
1882                 </para>
1883                 
1884                 <itemizedlist>
1885                         <listitem><para><parameter>configFile</parameter> - the location 
1886                         of the global <filename>smb.conf</filename> file. 
1887                         </para></listitem>
1888                         
1889                         <listitem><para><parameter>shareName</parameter> - the name of 
1890                         the existing service.
1891                         </para></listitem>
1892                 </itemizedlist>
1893                 
1894                 <para>
1895                 This parameter is only used to remove file shares.  To delete printer shares, 
1896                 see the <link linkend="DELETEPRINTERCOMMAND"><parameter>delete printer 
1897                 command</parameter></link>.
1898                 </para>
1899                 
1900                 <para>
1901                 See also <link linkend="ADDSHARECOMMAND"><parameter>add share
1902                 command</parameter></link>, <link linkend="CHANGESHARECOMMAND"><parameter>change 
1903                 share command</parameter></link>.
1904                 </para>
1905                 
1906                 <para>Default: <emphasis>none</emphasis></para>
1907                 <para>Example: <command>delete share command = /usr/local/bin/delshare</command></para>
1908                 
1909                 </listitem>
1910                 </varlistentry>
1911
1912
1913                 
1914                 
1915                 <varlistentry>
1916                 <term><anchor id="DELETEUSERSCRIPT">delete user script (G)</term>
1917                 <listitem><para>This is the full pathname to a script that will 
1918                 be run <emphasis>AS ROOT</emphasis> by <ulink url="smbd.8.html">
1919                 <command>smbd(8)</command></ulink> under special circumstances 
1920                 described below.</para>
1921
1922                 <para>Normally, a Samba server requires that UNIX users are 
1923                 created for all users accessing files on this server. For sites 
1924                 that use Windows NT account databases as their primary user database 
1925                 creating these users and keeping the user list in sync with the 
1926                 Windows NT PDC is an onerous task. This option allows <command>
1927                 smbd</command> to delete the required UNIX users <emphasis>ON 
1928                 DEMAND</emphasis> when a user accesses the Samba server and the 
1929                 Windows NT user no longer exists.</para>
1930                 
1931                 <para>In order to use this option, <command>smbd</command> must be 
1932                 set to <parameter>security = domain</parameter> or <parameter>security =
1933                 user</parameter> and <parameter>delete user script</parameter> 
1934                 must be set to a full pathname for a script 
1935                 that will delete a UNIX user given one argument of <parameter>%u</parameter>, 
1936                 which expands into the UNIX user name to delete.</para>
1937
1938                 <para>When the Windows user attempts to access the Samba server, 
1939                 at <emphasis>login</emphasis> (session setup in the SMB protocol) 
1940                 time, <command>smbd</command> contacts the <link linkend="PASSWORDSERVER">
1941                 <parameter>password server</parameter></link> and attempts to authenticate 
1942                 the given user with the given password. If the authentication fails 
1943                 with the specific Domain error code meaning that the user no longer 
1944                 exists then <command>smbd</command> attempts to find a UNIX user in 
1945                 the UNIX password database that matches the Windows user account. If 
1946                 this lookup succeeds, and <parameter>delete user script</parameter> is 
1947                 set then <command>smbd</command> will all the specified script 
1948                 <emphasis>AS ROOT</emphasis>, expanding any <parameter>%u</parameter> 
1949                 argument to be the user name to delete.</para>
1950
1951                 <para>This script should delete the given UNIX username. In this way, 
1952                 UNIX users are dynamically deleted to match existing Windows NT 
1953                 accounts.</para>
1954
1955                 <para>See also <link linkend="SECURITYEQUALSDOMAIN">security = domain</link>,
1956                 <link linkend="PASSWORDSERVER"><parameter>password server</parameter>
1957                 </link>, <link linkend="ADDUSERSCRIPT"><parameter>add user script</parameter>
1958                 </link>.</para>
1959
1960                 <para>Default: <command>delete user script = &lt;empty string&gt;
1961                 </command></para>
1962                 <para>Example: <command>delete user script = /usr/local/samba/bin/del_user 
1963                 %u</command></para></listitem>
1964                 </varlistentry>
1965
1966
1967
1968
1969
1970                 <varlistentry>
1971                 <term><anchor id="DELETEVETOFILES">delete veto files (S)</term>
1972                 <listitem><para>This option is used when Samba is attempting to 
1973                 delete a directory that contains one or more vetoed directories 
1974                 (see the <link linkend="VETOFILES"><parameter>veto files</parameter></link>
1975                 option).  If this option is set to <constant>false</constant> (the default) then if a vetoed 
1976                 directory contains any non-vetoed files or directories then the 
1977                 directory delete will fail. This is usually what you want.</para>
1978
1979                 <para>If this option is set to <constant>true</constant>, then Samba 
1980                 will attempt to recursively delete any files and directories within 
1981                 the vetoed directory. This can be useful for integration with file 
1982                 serving systems such as NetAtalk which create meta-files within 
1983                 directories you might normally veto DOS/Windows users from seeing 
1984                 (e.g. <filename>.AppleDouble</filename>)</para>
1985
1986                 <para>Setting <command>delete veto files = yes</command> allows these 
1987                 directories to be  transparently deleted when the parent directory 
1988                 is deleted (so long as the user has permissions to do so).</para>
1989
1990                 <para>See also the <link linkend="VETOFILES"><parameter>veto 
1991                 files</parameter></link> parameter.</para>
1992
1993                 <para>Default: <command>delete veto files = no</command></para></listitem>
1994                 </varlistentry>
1995
1996
1997
1998
1999                 <varlistentry>
2000                 <term><anchor id="DENYHOSTS">deny hosts (S)</term>
2001                 <listitem><para>Synonym for <link linkend="HOSTSDENY"><parameter>hosts 
2002                 deny</parameter></link>.</para></listitem>
2003                 </varlistentry>
2004
2005                 
2006                 
2007                 
2008                 <varlistentry>
2009                 <term><anchor id="DFREECOMMAND">dfree command (G)</term>
2010                 <listitem><para>The <parameter>dfree command</parameter> setting should 
2011                 only be used on systems where a problem occurs with the internal 
2012                 disk space calculations. This has been known to happen with Ultrix, 
2013                 but may occur with other operating systems. The symptom that was 
2014                 seen was an error of "Abort Retry Ignore" at the end of each 
2015                 directory listing.</para>
2016                 
2017                 <para>This setting allows the replacement of the internal routines to
2018                 calculate the total disk space and amount available with an external
2019                 routine. The example below gives a possible script that might fulfill
2020                 this function.</para>
2021
2022                 <para>The external program will be passed a single parameter indicating 
2023                 a directory in the filesystem being queried. This will typically consist
2024                 of the string <filename>./</filename>. The script should return two 
2025                 integers in ASCII. The first should be the total disk space in blocks, 
2026                 and the second should be the number of available blocks. An optional 
2027                 third return value can give the block size in bytes. The default 
2028                 blocksize is 1024 bytes.</para>
2029
2030                 <para>Note: Your script should <emphasis>NOT</emphasis> be setuid or 
2031                 setgid and should be owned by (and writeable only by) root!</para>
2032
2033                 <para>Default: <emphasis>By default internal routines for 
2034                 determining the disk capacity and remaining space will be used.
2035                 </emphasis></para>
2036
2037                 <para>Example: <command>dfree command = /usr/local/samba/bin/dfree
2038                 </command></para>
2039
2040                 <para>Where the script dfree (which must be made executable) could be:</para>
2041
2042                 <para><programlisting> 
2043                 #!/bin/sh
2044                 df $1 | tail -1 | awk '{print $2" "$4}'
2045                 </programlisting></para>
2046
2047                 <para>or perhaps (on Sys V based systems):</para>
2048
2049                 <para><programlisting> 
2050                 #!/bin/sh
2051                 /usr/bin/df -k $1 | tail -1 | awk '{print $3" "$5}'
2052                 </programlisting></para>
2053                 
2054                 <para>Note that you may have to replace the command names 
2055                 with full path names on some systems.</para>
2056                 </listitem>
2057                 </varlistentry>
2058                 
2059                 
2060                 
2061                 
2062                 <varlistentry>
2063                 <term><anchor id="DIRECTORY">directory (S)</term>
2064                 <listitem><para>Synonym for <link linkend="PATH"><parameter>path
2065                 </parameter></link>.</para></listitem>
2066                 </varlistentry>
2067                 
2068                 
2069                 
2070                 <varlistentry>
2071                 <term><anchor id="DIRECTORYMASK">directory mask (S)</term>
2072                 <listitem><para>This parameter is the octal modes which are 
2073                 used when converting DOS modes to UNIX modes when creating UNIX 
2074                 directories.</para>
2075
2076                 <para>When a directory is created, the necessary permissions are 
2077                 calculated according to the mapping from DOS modes to UNIX permissions, 
2078                 and the resulting UNIX mode is then bit-wise 'AND'ed with this 
2079                 parameter. This parameter may be thought of as a bit-wise MASK for 
2080                 the UNIX modes of a directory. Any bit <emphasis>not</emphasis> set 
2081                 here will be removed from the modes set on a directory when it is 
2082                 created.</para>
2083
2084                 <para>The default value of this parameter removes the 'group' 
2085                 and 'other' write bits from the UNIX mode, allowing only the 
2086                 user who owns the directory to modify it.</para>
2087                 
2088                 <para>Following this Samba will bit-wise 'OR' the UNIX mode 
2089                 created from this parameter with the value of the <link
2090                 linkend="FORCEDIRECTORYMODE"><parameter>force directory mode
2091                 </parameter></link> parameter. This parameter is set to 000 by 
2092                 default (i.e. no extra mode bits are added).</para>
2093
2094                 <para>Note that this parameter does not apply to permissions
2095                 set by Windows NT/2000 ACL editors. If the administrator wishes to enforce
2096                 a mask on access control lists also, they need to set the <link 
2097                 linkend="DIRECTORYSECURITYMASK"><parameter>directory security mask</parameter></link>.</para>
2098
2099                 <para>See the <link linkend="FORCEDIRECTORYMODE"><parameter>force 
2100                 directory mode</parameter></link> parameter to cause particular mode 
2101                 bits to always be set on created directories.</para>
2102
2103                 <para>See also the <link linkend="CREATEMODE"><parameter>create mode
2104                 </parameter></link> parameter for masking mode bits on created files, 
2105                 and the <link linkend="DIRECTORYSECURITYMASK"><parameter>directory 
2106                 security mask</parameter></link> parameter.</para>
2107
2108                 <para>Also refer to the <link linkend="INHERITPERMISSIONS"><parameter>
2109                 inherit permissions</parameter></link> parameter.</para>
2110
2111                 <para>Default: <command>directory mask = 0755</command></para>
2112                 <para>Example: <command>directory mask = 0775</command></para>
2113                 </listitem>
2114                 </varlistentry>
2115
2116
2117
2118                 <varlistentry>
2119                 <term><anchor id="DIRECTORYMODE">directory mode (S)</term>
2120                 <listitem><para>Synonym for <link linkend="DIRECTORYMASK"><parameter>
2121                 directory mask</parameter></link></para></listitem>
2122                 </varlistentry>
2123                 
2124                 
2125                 
2126                 <varlistentry>
2127                 <term><anchor id="DIRECTORYSECURITYMASK">directory security mask (S)</term>
2128                 <listitem><para>This parameter controls what UNIX permission bits 
2129                 can be modified when a Windows NT client is manipulating the UNIX 
2130                 permission on a directory using the native NT security dialog 
2131                 box.</para>
2132
2133                 <para>This parameter is applied as a mask (AND'ed with) to 
2134                 the changed permission bits, thus preventing any bits not in 
2135                 this mask from being modified. Essentially, zero bits in this 
2136                 mask may be treated as a set of bits the user is not allowed 
2137                 to change.</para>
2138
2139                 <para>If not set explicitly this parameter is set to 0777
2140                 meaning a user is allowed to modify all the user/group/world
2141                 permissions on a directory.</para>
2142
2143                 <para><emphasis>Note</emphasis> that users who can access the 
2144                 Samba server through other means can easily bypass this restriction, 
2145                 so it is primarily useful for standalone "appliance" systems.  
2146                 Administrators of most normal systems will probably want to leave
2147                 it as the default of <constant>0777</constant>.</para>
2148
2149                 <para>See also the <link linkend="FORCEDIRECTORYSECURITYMODE"><parameter>
2150                 force directory security mode</parameter></link>, <link
2151                 linkend="SECURITYMASK"><parameter>security mask</parameter></link>, 
2152                 <link linkend="FORCESECURITYMODE"><parameter>force security mode
2153                 </parameter></link> parameters.</para>
2154
2155                 <para>Default: <command>directory security mask = 0777</command></para>
2156                 <para>Example: <command>directory security mask = 0700</command></para>
2157                 </listitem>
2158                 </varlistentry>
2159
2160
2161
2162                 <varlistentry>
2163                 <term><anchor id="DISABLESPOOLSS">disable spoolss (G)</term>
2164                 <listitem><para>Enabling this parameter will disables Samba's support
2165                 for the SPOOLSS set of MS-RPC's and will yield identical behavior
2166                 as Samba 2.0.x.  Windows NT/2000 clients will downgrade to using
2167                 Lanman style printing commands. Windows 9x/ME will be uneffected by
2168                 the parameter. However, this will also disable the ability to upload
2169                 printer drivers to a Samba server via the Windows NT Add Printer
2170                 Wizard or by using the NT printer properties dialog window.  It will
2171                 also disable the capability of Windows NT/2000 clients to download
2172                 print drivers from the Samba host upon demand.
2173                 <emphasis>Be very careful about enabling this parameter.</emphasis>
2174                 </para>
2175
2176                 <para>See also <link linkend="USECLIENTDRIVER">use client driver</link>
2177                 </para>
2178  
2179                 <para>Default : <command>disable spoolss = no</command></para>
2180                 </listitem>
2181                 </varlistentry>
2182                 
2183                 
2184                 
2185                 <varlistentry>
2186                 <term><anchor id="DNSPROXY">dns proxy (G)</term>
2187                 <listitem><para>Specifies that <ulink url="nmbd.8.html">nmbd(8)</ulink> 
2188                 when acting as a WINS server and finding that a NetBIOS name has not 
2189                 been registered, should treat the NetBIOS name word-for-word as a DNS 
2190                 name and do a lookup with the DNS server for that name on behalf of 
2191                 the name-querying client.</para>
2192
2193                 <para>Note that the maximum length for a NetBIOS name is 15 
2194                 characters, so the DNS name (or DNS alias) can likewise only be 
2195                 15 characters, maximum.</para>
2196
2197                 <para><command>nmbd</command> spawns a second copy of itself to do the
2198                 DNS name lookup requests, as doing a name lookup is a blocking 
2199                 action.</para>
2200
2201                 <para>See also the parameter <link linkend="WINSSUPPORT"><parameter>
2202                 wins support</parameter></link>.</para>
2203
2204                 <para>Default: <command>dns proxy = yes</command></para></listitem>
2205                 </varlistentry>
2206
2207
2208
2209                 <varlistentry>
2210                 <term><anchor id="DOMAINADMINGROUP">domain admin group (G)</term>
2211                 <listitem><para>This parameter is intended as a temporary solution
2212                 to enable users to be a member of the "Domain Admins" group when 
2213                 a Samba host is acting as a PDC.  A complete solution will be provided
2214                 by a system for mapping Windows NT/2000 groups onto UNIX groups.
2215                 Please note that this parameter has a somewhat confusing name.  It 
2216                 accepts a list of usernames and of group names in standard 
2217                 <filename>smb.conf</filename>   notation.
2218                 </para>
2219                 
2220                 <para>See also <link linkend="DOMAINGUESTGROUP"><parameter>domain
2221                 guest group</parameter></link>, <link linkend="DOMAINLOGONS"><parameter>domain
2222                 logons</parameter></link>
2223                 </para>
2224                 
2225                 <para>Default: <emphasis>no domain administrators</emphasis></para>
2226                 <para>Example: <command>domain admin group = root @wheel</command></para>
2227                 </listitem>
2228                 </varlistentry>
2229
2230
2231
2232
2233                 <varlistentry>
2234                 <term><anchor id="DOMAINGUESTGROUP">domain guest group (G)</term>
2235                 <listitem><para>This parameter is intended as a temporary solution
2236                 to enable users to be a member of the "Domain Guests" group when 
2237                 a Samba host is acting as a PDC.  A complete solution will be provided
2238                 by a system for mapping Windows NT/2000 groups onto UNIX groups.
2239                 Please note that this parameter has a somewhat confusing name.  It 
2240                 accepts a list of usernames and of group names in standard 
2241                 <filename>smb.conf</filename>   notation.
2242                 </para>
2243                 
2244                 <para>See also <link linkend="DOMAINADMINGROUP"><parameter>domain
2245                 admin group</parameter></link>, <link linkend="DOMAINLOGONS"><parameter>domain
2246                 logons</parameter></link>
2247                 </para>         
2248                 
2249                 <para>Default: <emphasis>no domain guests</emphasis></para>
2250                 <para>Example: <command>domain guest group = nobody @guest</command></para>
2251                 </listitem>
2252                 </varlistentry>
2253
2254
2255                 <varlistentry>
2256                 <term><anchor id="DOMAINLOGONS">domain logons (G)</term>
2257                 <listitem><para>If set to <constant>true</constant>, the Samba server will serve 
2258                 Windows 95/98 Domain logons for the <link linkend="WORKGROUP">
2259                 <parameter>workgroup</parameter></link> it is in. Samba 2.2 also 
2260                 has limited capability to act as a domain controller for Windows 
2261                 NT 4 Domains.  For more details on setting up this feature see 
2262                 the Samba-PDC-HOWTO included in the <filename>htmldocs/</filename>
2263                 directory shipped with the source code.</para>
2264                 
2265                 <para>Default: <command>domain logons = no</command></para></listitem>
2266                 </varlistentry>
2267                 
2268                 
2269                 
2270                 <varlistentry>
2271                 <term><anchor id="DOMAINMASTER">domain master (G)</term>
2272                 <listitem><para>Tell <ulink url="nmbd.8.html"><command>
2273                 nmbd(8)</command></ulink> to enable WAN-wide browse list
2274                 collation. Setting this option causes <command>nmbd</command> to
2275                 claim a special domain specific NetBIOS name that identifies 
2276                 it as a domain master browser for its given <link linkend="WORKGROUP">
2277                 <parameter>workgroup</parameter></link>. Local master browsers 
2278                 in the same <parameter>workgroup</parameter> on broadcast-isolated 
2279                 subnets will give this <command>nmbd</command> their local browse lists, 
2280                 and then ask <ulink url="smbd.8.html"><command>smbd(8)</command></ulink> 
2281                 for a complete copy of the browse list for the whole wide area 
2282                 network.  Browser clients will then contact their local master browser, 
2283                 and will receive the domain-wide browse list, instead of just the list 
2284                 for their broadcast-isolated subnet.</para>
2285
2286                 <para>Note that Windows NT Primary Domain Controllers expect to be 
2287                 able to claim this <parameter>workgroup</parameter> specific special 
2288                 NetBIOS name that identifies them as domain master browsers for 
2289                 that <parameter>workgroup</parameter> by default (i.e. there is no 
2290                 way to prevent a Windows NT PDC from attempting to do this). This 
2291                 means that if this parameter is set and <command>nmbd</command> claims 
2292                 the special name for a <parameter>workgroup</parameter> before a Windows 
2293                 NT PDC is able to do so then cross subnet browsing will behave 
2294                 strangely and may fail.</para>
2295                 
2296                 <para>If <link linkend="DOMAINLOGONS"><command>domain logons = yes</command>
2297                 </link>, then the default behavior is to enable the <parameter>domain 
2298                 master</parameter> parameter.  If <parameter>domain logons</parameter> is 
2299                 not enabled (the default setting), then neither will <parameter>domain 
2300                 master</parameter> be enabled by default.</para>
2301
2302                 <para>Default: <command>domain master = auto</command></para></listitem>
2303                 </varlistentry>
2304                 
2305                 
2306                 
2307                 
2308                 <varlistentry>
2309                 <term><anchor id="DONTDESCEND">dont descend (S)</term>
2310                 <listitem><para>There are certain directories on some systems 
2311                 (e.g., the <filename>/proc</filename> tree under Linux) that are either not 
2312                 of interest to clients or are infinitely deep (recursive). This 
2313                 parameter allows you to specify a comma-delimited list of directories 
2314                 that the server should always show as empty.</para>
2315
2316                 <para>Note that Samba can be very fussy about the exact format 
2317                 of the "dont descend" entries. For example you may need <filename>
2318                 ./proc</filename> instead of just <filename>/proc</filename>. 
2319                 Experimentation is the best policy :-)  </para>
2320                 
2321                 <para>Default: <emphasis>none (i.e., all directories are OK 
2322                 to descend)</emphasis></para>
2323                 <para>Example: <command>dont descend = /proc,/dev</command></para>
2324                 </listitem>
2325                 </varlistentry>
2326                 
2327
2328
2329                 <varlistentry>
2330                 <term><anchor id="DOSFILEMODE">dos filemode (S)</term>
2331                 <listitem><para> The default behavior in Samba is to provide 
2332                 UNIX-like behavior where only the owner of a file/directory is 
2333                 able to change the permissions on it.  However, this behavior
2334                 is often confusing to  DOS/Windows users.  Enabling this parameter 
2335                 allows a user who has write access to the file (by whatever 
2336                 means) to modify the permissions on it.  Note that a user
2337                 belonging to the group owning the file will not be allowed to
2338                 change permissions if the group is only granted read access.
2339                 Ownership of the file/directory is not changed, only the permissions 
2340                 are modified.</para>
2341                 
2342                 <para>Default: <command>dos filemode = no</command></para>
2343                 </listitem>
2344                 </varlistentry>
2345
2346                 
2347                 
2348                 <varlistentry>
2349                 <term><anchor id="DOSFILETIMERESOLUTION">dos filetime resolution (S)</term>
2350                 <listitem><para>Under the DOS and Windows FAT filesystem, the finest 
2351                 granularity on time resolution is two seconds. Setting this parameter 
2352                 for a share causes Samba to round the reported time down to the 
2353                 nearest two second boundary when a query call that requires one second 
2354                 resolution is made to <ulink url="smbd.8.html"><command>smbd(8)</command>
2355                 </ulink>.</para>
2356
2357                 <para>This option is mainly used as a compatibility option for Visual 
2358                 C++ when used against Samba shares. If oplocks are enabled on a 
2359                 share, Visual C++ uses two different time reading calls to check if a 
2360                 file has changed since it was last read. One of these calls uses a
2361                 one-second granularity, the other uses a two second granularity. As
2362                 the two second call rounds any odd second down, then if the file has a
2363                 timestamp of an odd number of seconds then the two timestamps will not
2364                 match and Visual C++ will keep reporting the file has changed. Setting
2365                 this option causes the two timestamps to match, and Visual C++ is
2366                 happy.</para>
2367
2368                 <para>Default: <command>dos filetime resolution = no</command></para>
2369                 </listitem>
2370                 </varlistentry>
2371
2372
2373
2374                 <varlistentry>
2375                 <term><anchor id="DOSFILETIMES">dos filetimes (S)</term>
2376                 <listitem><para>Under DOS and Windows, if a user can write to a 
2377                 file they can change the timestamp on it. Under POSIX semantics, 
2378                 only the owner of the file or root may change the timestamp. By 
2379                 default, Samba runs with POSIX semantics and refuses to change the 
2380                 timestamp on a file if the user <command>smbd</command> is acting 
2381                 on behalf of is not the file owner. Setting this option to <constant>
2382                 true</constant> allows DOS semantics and <ulink url="smbd.8.html">smbd</ulink> will change the file 
2383                 timestamp as DOS requires.</para>
2384
2385                 <para>Default: <command>dos filetimes = no</command></para></listitem>
2386                 </varlistentry>
2387
2388                 
2389
2390                 <varlistentry>
2391                 <term><anchor id="ENCRYPTPASSWORDS">encrypt passwords (G)</term>
2392                 <listitem><para>This boolean controls whether encrypted passwords 
2393                 will be negotiated with the client. Note that Windows NT 4.0 SP3 and 
2394                 above and also Windows 98 will by default expect encrypted passwords 
2395                 unless a registry entry is changed. To use encrypted passwords in 
2396                 Samba see the file ENCRYPTION.txt in the Samba documentation 
2397                 directory <filename>docs/</filename> shipped with the source code.</para>
2398
2399                 <para>In order for encrypted passwords to work correctly
2400                 <ulink url="smbd.8.html"><command>smbd(8)</command></ulink> must either 
2401                 have access to a local <ulink url="smbpasswd.5.html"><filename>smbpasswd(5)
2402                 </filename></ulink> file (see the <ulink url="smbpasswd.8.html"><command>
2403                 smbpasswd(8)</command></ulink> program for information on how to set up 
2404                 and maintain this file), or set the <link
2405                 linkend="SECURITY">security = [server|domain|ads]</link> parameter which 
2406                 causes <command>smbd</command> to authenticate against another 
2407                 server.</para>
2408                 
2409                 <para>Default: <command>encrypt passwords = yes</command></para></listitem>
2410                 </varlistentry>
2411
2412
2413                 <varlistentry>
2414                 <term><anchor id="ENHANCEDBROWSING">enhanced browsing (G)</term>
2415                 <listitem><para>This option enables a couple of enhancements to 
2416                 cross-subnet browse propagation that have been added in Samba 
2417                 but which are not standard in Microsoft implementations.  
2418                 </para>
2419
2420                 <para>The first enhancement to browse propagation consists of a regular
2421                 wildcard query to a Samba WINS server for all Domain Master Browsers,
2422                 followed by a browse synchronization with each of the returned
2423                 DMBs. The second enhancement consists of a regular randomised browse
2424                 synchronization with all currently known DMBs.</para>
2425
2426                 <para>You may wish to disable this option if you have a problem with empty
2427                 workgroups not disappearing from browse lists. Due to the restrictions
2428                 of the browse protocols these enhancements can cause a empty workgroup
2429                 to stay around forever which can be annoying.</para>
2430
2431                 <para>In general you should leave this option enabled as it makes
2432                 cross-subnet browse propagation much more reliable.</para>
2433
2434                 <para>Default: <command>enhanced browsing = yes</command></para>
2435                 </listitem>
2436                 </varlistentry>
2437
2438
2439                 <varlistentry>
2440                 <term><anchor id="ENUMPORTSCOMMAND">enumports command (G)</term>
2441                 <listitem><para>The concept of a "port" is fairly foreign
2442                 to UNIX hosts.  Under Windows NT/2000 print servers, a port
2443                 is associated with a port monitor and generally takes the form of
2444                 a local port (i.e. LPT1:, COM1:, FILE:) or a remote port
2445                 (i.e. LPD Port Monitor, etc...).  By default, Samba has only one
2446                 port defined--<constant>"Samba Printer Port"</constant>.  Under 
2447                 Windows NT/2000, all printers must have a valid port name.  
2448                 If you wish to have a list of ports displayed (<command>smbd
2449                 </command> does not use a port name for anything) other than 
2450                 the default <constant>"Samba Printer Port"</constant>, you 
2451                 can define <parameter>enumports command</parameter> to point to
2452                 a program which should generate a list of ports, one per line,
2453                 to standard output.  This listing will then be used in response
2454                 to the level 1 and 2 EnumPorts() RPC.</para>
2455                 
2456                 <para>Default: <emphasis>no enumports command</emphasis></para>
2457                 <para>Example: <command>enumports command = /usr/bin/listports
2458                 </command></para>
2459                 </listitem>
2460                 </varlistentry>
2461                 
2462                 <varlistentry>
2463                 <term><anchor id="EXEC">exec (S)</term>
2464                 <listitem><para>This is a synonym for <link linkend="PREEXEC">
2465                 <parameter>preexec</parameter></link>.</para></listitem>
2466                 </varlistentry>
2467
2468
2469
2470                 <varlistentry>
2471                 <term><anchor id="FAKEDIRECTORYCREATETIMES">fake directory create times (S)</term>
2472                 <listitem><para>NTFS and Windows VFAT file systems keep a create 
2473                 time for all files and directories. This is not the same as the 
2474                 ctime - status change time - that Unix keeps, so Samba by default 
2475                 reports the earliest of the various times Unix does keep. Setting 
2476                 this parameter for a share causes Samba to always report midnight 
2477                 1-1-1980 as the create time for directories.</para>
2478
2479                 <para>This option is mainly used as a compatibility option for 
2480                 Visual C++ when used against Samba shares. Visual C++ generated 
2481                 makefiles have the object directory as a dependency for each object 
2482                 file, and a make rule to create the directory. Also, when NMAKE 
2483                 compares timestamps it uses the creation time when examining a 
2484                 directory. Thus the object directory will be created if it does not 
2485                 exist, but once it does exist it will always have an earlier 
2486                 timestamp than the object files it contains.</para>
2487
2488                 <para>However, Unix time semantics mean that the create time 
2489                 reported by Samba will be updated whenever a file is created or 
2490                 or deleted in the directory.  NMAKE finds all object files in 
2491                 the object directory.  The timestamp of the last one built is then 
2492                 compared to the timestamp of the object directory.  If the 
2493                 directory's timestamp if newer, then all object files
2494                 will be rebuilt.  Enabling this option 
2495                 ensures directories always predate their contents and an NMAKE build 
2496                 will proceed as expected.</para>
2497
2498                 <para>Default: <command>fake directory create times = no</command></para>
2499                 </listitem>
2500                 </varlistentry>
2501
2502
2503
2504                 <varlistentry>
2505                 <term><anchor id="FAKEOPLOCKS">fake oplocks (S)</term>
2506                 <listitem><para>Oplocks are the way that SMB clients get permission 
2507                 from a server to locally cache file operations. If a server grants 
2508                 an oplock (opportunistic lock) then the client is free to assume 
2509                 that it is the only one accessing the file and it will aggressively 
2510                 cache file data. With some oplock types the client may even cache 
2511                 file open/close operations. This can give enormous performance benefits.
2512                 </para>
2513
2514                 <para>When you set <command>fake oplocks = yes</command>, <ulink 
2515                 url="smbd.8.html"><command>smbd(8)</command></ulink> will
2516                 always grant oplock requests no matter how many clients are using 
2517                 the file.</para>
2518
2519                 <para>It is generally much better to use the real <link 
2520                 linkend="OPLOCKS"><parameter>oplocks</parameter></link> support rather 
2521                 than this parameter.</para>
2522                 
2523                 <para>If you enable this option on all read-only shares or 
2524                 shares that you know will only be accessed from one client at a 
2525                 time such as physically read-only media like CDROMs, you will see 
2526                 a big performance improvement on many operations. If you enable 
2527                 this option on shares where multiple clients may be accessing the 
2528                 files read-write at the same time you can get data corruption. Use 
2529                 this option carefully!</para>
2530                 
2531                 <para>Default: <command>fake oplocks = no</command></para></listitem>
2532                 </varlistentry>
2533
2534
2535
2536                 <varlistentry>
2537                 <term><anchor id="FOLLOWSYMLINKS">follow symlinks (S)</term>
2538                 <listitem><para>This parameter allows the Samba administrator 
2539                 to stop <ulink url="smbd.8.html"><command>smbd(8)</command></ulink> 
2540                 from following symbolic links in a particular share. Setting this 
2541                 parameter to <constant>no</constant> prevents any file or directory 
2542                 that is a symbolic link from being followed (the user will get an 
2543                 error).  This option is very useful to stop users from adding a 
2544                 symbolic link to <filename>/etc/passwd</filename> in their home 
2545                 directory for instance.  However it will slow filename lookups 
2546                 down slightly.</para>
2547
2548                 <para>This option is enabled (i.e. <command>smbd</command> will 
2549                 follow symbolic links) by default.</para>
2550                 
2551                 <para>Default: <command>follow symlinks = yes</command></para></listitem>
2552                 </varlistentry>
2553                 
2554                 
2555                 
2556                 <varlistentry>
2557                 <term><anchor id="FORCECREATEMODE">force create mode (S)</term>
2558                 <listitem><para>This parameter specifies a set of UNIX mode bit 
2559                 permissions that will <emphasis>always</emphasis> be set on a 
2560                 file created by Samba. This is done by bitwise 'OR'ing these bits onto 
2561                 the mode bits of a file that is being created or having its 
2562                 permissions changed. The default for this parameter is (in octal) 
2563                 000. The modes in this parameter are bitwise 'OR'ed onto the file 
2564                 mode after the mask set in the <parameter>create mask</parameter> 
2565                 parameter is applied.</para>
2566                 
2567                 <para>See also the parameter <link linkend="CREATEMASK"><parameter>create 
2568                 mask</parameter></link> for details on masking mode bits on files.</para>
2569
2570                 <para>See also the <link linkend="INHERITPERMISSIONS"><parameter>inherit 
2571                 permissions</parameter></link> parameter.</para>
2572
2573                 <para>Default: <command>force create mode = 000</command></para>
2574                 <para>Example: <command>force create mode = 0755</command></para>
2575
2576                 <para>would force all created files to have read and execute 
2577                 permissions set for 'group' and 'other' as well as the 
2578                 read/write/execute bits set for the 'user'.</para>
2579                 </listitem>
2580                 </varlistentry>
2581
2582
2583
2584                 <varlistentry>
2585                 <term><anchor id="FORCEDIRECTORYMODE">force directory mode (S)</term>
2586                 <listitem><para>This parameter specifies a set of UNIX mode bit 
2587                 permissions that will <emphasis>always</emphasis> be set on a directory 
2588                 created by Samba. This is done by bitwise 'OR'ing these bits onto the 
2589                 mode bits of a directory that is being created. The default for this 
2590                 parameter is (in octal) 0000 which will not add any extra permission 
2591                 bits to a created directory. This operation is done after the mode 
2592                 mask in the parameter <parameter>directory mask</parameter> is 
2593                 applied.</para>
2594
2595                 <para>See also the parameter <link linkend="DIRECTORYMASK"><parameter>
2596                 directory mask</parameter></link> for details on masking mode bits 
2597                 on created directories.</para>
2598                 
2599                 <para>See also the <link linkend="INHERITPERMISSIONS"><parameter>
2600                 inherit permissions</parameter></link> parameter.</para>
2601
2602                 <para>Default: <command>force directory mode = 000</command></para>
2603                 <para>Example: <command>force directory mode = 0755</command></para>
2604
2605                 <para>would force all created directories to have read and execute
2606                 permissions set for 'group' and 'other' as well as the
2607                 read/write/execute bits set for the 'user'.</para>
2608                 </listitem>
2609                 </varlistentry>
2610                 
2611                 
2612                 
2613                 <varlistentry>
2614                 <term><anchor id="FORCEDIRECTORYSECURITYMODE">force directory 
2615                 security mode (S)</term>
2616                 <listitem><para>This parameter controls what UNIX permission bits 
2617                 can be modified when a Windows NT client is manipulating the UNIX 
2618                 permission on a directory using the native NT security dialog box.</para>
2619
2620                 <para>This parameter is applied as a mask (OR'ed with) to the 
2621                 changed permission bits, thus forcing any bits in this mask that 
2622                 the user may have modified to be on. Essentially, one bits in this 
2623                 mask may be treated as a set of bits that, when modifying security 
2624                 on a directory, the user has always set to be 'on'.</para>
2625
2626                 <para>If not set explicitly this parameter is 000, which 
2627                 allows a user to modify all the user/group/world permissions on a 
2628                 directory without restrictions.</para>
2629
2630                 <para><emphasis>Note</emphasis> that users who can access the 
2631                 Samba server through other means can easily bypass this restriction, 
2632                 so it is primarily useful for standalone "appliance" systems.  
2633                 Administrators of most normal systems will probably want to leave
2634                 it set as 0000.</para>
2635
2636                 <para>See also the <link linkend="DIRECTORYSECURITYMASK"><parameter>
2637                 directory security mask</parameter></link>, <link linkend="SECURITYMASK">
2638                 <parameter>security mask</parameter></link>, 
2639                 <link linkend="FORCESECURITYMODE"><parameter>force security mode
2640                 </parameter></link> parameters.</para>
2641
2642                 <para>Default: <command>force directory security mode = 0</command></para>
2643                 <para>Example: <command>force directory security mode = 700</command></para>
2644                 </listitem>
2645                 </varlistentry>
2646
2647
2648
2649
2650                 <varlistentry>
2651                 <term><anchor id="FORCEGROUP">force group (S)</term>
2652                 <listitem><para>This specifies a UNIX group name that will be 
2653                 assigned as the default primary group for all users connecting 
2654                 to this service. This is useful for sharing files by ensuring 
2655                 that all access to files on service will use the named group for 
2656                 their permissions checking. Thus, by assigning permissions for this 
2657                 group to the files and directories within this service the Samba 
2658                 administrator can restrict or allow sharing of these files.</para>
2659
2660                 <para>In Samba 2.0.5 and above this parameter has extended 
2661                 functionality in the following way. If the group name listed here 
2662                 has a '+' character prepended to it then the current user accessing 
2663                 the share only has the primary group default assigned to this group 
2664                 if they are already assigned as a member of that group. This allows 
2665                 an administrator to decide that only users who are already in a 
2666                 particular group will create files with group ownership set to that 
2667                 group. This gives a finer granularity of ownership assignment. For 
2668                 example, the setting <filename>force group = +sys</filename> means 
2669                 that only users who are already in group sys will have their default
2670                 primary group assigned to sys when accessing this Samba share. All
2671                 other users will retain their ordinary primary group.</para>
2672
2673                 <para>If the <link linkend="FORCEUSER"><parameter>force user
2674                 </parameter></link> parameter is also set the group specified in 
2675                 <parameter>force group</parameter> will override the primary group
2676                 set in <parameter>force user</parameter>.</para>
2677
2678                 <para>See also <link linkend="FORCEUSER"><parameter>force 
2679                 user</parameter></link>.</para>
2680
2681                 <para>Default: <emphasis>no forced group</emphasis></para>
2682                 <para>Example: <command>force group = agroup</command></para>
2683                 </listitem>
2684                 </varlistentry>
2685
2686
2687
2688                 <varlistentry>
2689                 <term><anchor id="FORCESECURITYMODE">force security mode (S)</term>
2690                 <listitem><para>This parameter controls what UNIX permission 
2691                 bits can be modified when a Windows NT client is manipulating 
2692                 the UNIX permission on a file using the native NT security dialog 
2693                 box.</para>
2694                 
2695                 <para>This parameter is applied as a mask (OR'ed with) to the 
2696                 changed permission bits, thus forcing any bits in this mask that 
2697                 the user may have modified to be on. Essentially, one bits in this 
2698                 mask may be treated as a set of bits that, when modifying security 
2699                 on a file, the user has always set to be 'on'.</para>
2700
2701                 <para>If not set explicitly this parameter is set to 0,
2702                 and allows a user to modify all the user/group/world permissions on a file,
2703                 with no restrictions.</para>
2704                 
2705                 <para><emphasis>Note</emphasis> that users who can access 
2706                 the Samba server through other means can easily bypass this restriction, 
2707                 so it is primarily useful for standalone "appliance" systems.  
2708                 Administrators of most normal systems will probably want to leave
2709                 this set to 0000.</para>
2710
2711                 <para>See also the <link linkend="FORCEDIRECTORYSECURITYMODE"><parameter>
2712                 force directory security mode</parameter></link>,
2713                 <link linkend="DIRECTORYSECURITYMASK"><parameter>directory security
2714                 mask</parameter></link>, <link linkend="SECURITYMASK"><parameter>
2715                 security mask</parameter></link> parameters.</para>
2716
2717                 <para>Default: <command>force security mode = 0</command></para>
2718                 <para>Example: <command>force security mode = 700</command></para>
2719                 </listitem>
2720                 </varlistentry>
2721                 
2722                 
2723                 
2724                 <varlistentry>
2725                 <term><anchor id="FORCEUSER">force user (S)</term>
2726                 <listitem><para>This specifies a UNIX user name that will be 
2727                 assigned as the default user for all users connecting to this service. 
2728                 This is useful for sharing files. You should also use it carefully 
2729                 as using it incorrectly can cause security problems.</para>
2730
2731                 <para>This user name only gets used once a connection is established. 
2732                 Thus clients still need to connect as a valid user and supply a 
2733                 valid password. Once connected, all file operations will be performed 
2734                 as the "forced user", no matter what username the client connected 
2735                 as.  This can be very useful.</para>
2736
2737                 <para>In Samba 2.0.5 and above this parameter also causes the 
2738                 primary group of the forced user to be used as the primary group 
2739                 for all file activity. Prior to 2.0.5 the primary group was left 
2740                 as the primary group of the connecting user (this was a bug).</para>
2741
2742                 <para>See also <link linkend="FORCEGROUP"><parameter>force group
2743                 </parameter></link></para>
2744
2745                 <para>Default: <emphasis>no forced user</emphasis></para>
2746                 <para>Example: <command>force user = auser</command></para>
2747                 </listitem>
2748                 </varlistentry>
2749
2750
2751
2752                 <varlistentry>
2753                 <term><anchor id="FSTYPE">fstype (S)</term>
2754                 <listitem><para>This parameter allows the administrator to 
2755                 configure the string that specifies the type of filesystem a share 
2756                 is using that is reported by <ulink url="smbd.8.html"><command>smbd(8)
2757                 </command></ulink> when a client queries the filesystem type
2758                 for a share. The default type is <constant>NTFS</constant> for 
2759                 compatibility with Windows NT but this can be changed to other 
2760                 strings such as <constant>Samba</constant> or <constant>FAT
2761                 </constant> if required.</para>
2762                 
2763                 <para>Default: <command>fstype = NTFS</command></para>
2764                 <para>Example: <command>fstype = Samba</command></para></listitem>
2765                 </varlistentry>
2766                 
2767                 
2768                 
2769                 <varlistentry>
2770                 <term><anchor id="GETWDCACHE">getwd cache (G)</term>
2771                 <listitem><para>This is a tuning option. When this is enabled a 
2772                 caching algorithm will be used to reduce the time taken for getwd() 
2773                 calls. This can have a significant impact on performance, especially 
2774                 when the <link linkend="WIDELINKS"><parameter>wide links</parameter>
2775                 </link>parameter is set to <constant>false</constant>.</para>
2776
2777                 <para>Default: <command>getwd cache = yes</command></para>
2778                 </listitem>
2779                 </varlistentry>
2780
2781
2782
2783                 <varlistentry>
2784                 <term><anchor id="GROUP">group (S)</term>
2785                 <listitem><para>Synonym for <link linkend="FORCEGROUP"><parameter>force 
2786                 group</parameter></link>.</para></listitem>
2787                 </varlistentry>
2788                 
2789                 
2790                 
2791                 <varlistentry>
2792                 <term><anchor id="GUESTACCOUNT">guest account (S)</term>
2793                 <listitem><para>This is a username which will be used for access 
2794                 to services which are specified as <link linkend="GUESTOK"><parameter>
2795                 guest ok</parameter></link> (see below). Whatever privileges this 
2796                 user has will be available to any client connecting to the guest service. 
2797                 Typically this user will exist in the password file, but will not
2798                 have a valid login. The user account "ftp" is often a good choice 
2799                 for this parameter. If a username is specified in a given service, 
2800                 the specified username overrides this one.</para>
2801
2802                 <para>One some systems the default guest account "nobody" may not 
2803                 be able to print. Use another account in this case. You should test 
2804                 this by trying to log in as your guest user (perhaps by using the 
2805                 <command>su -</command> command) and trying to print using the 
2806                 system print command such as <command>lpr(1)</command> or <command>
2807                 lp(1)</command>.</para>
2808                 
2809                 <para>Default: <emphasis>specified at compile time, usually 
2810                 "nobody"</emphasis></para>
2811
2812                 <para>Example: <command>guest account = ftp</command></para></listitem>
2813                 </varlistentry>
2814
2815                 
2816                 
2817                 <varlistentry>
2818                 <term><anchor id="GUESTOK">guest ok (S)</term>
2819                 <listitem><para>If this parameter is <constant>yes</constant> for 
2820                 a service, then no password is required to connect to the service. 
2821                 Privileges will be those of the <link linkend="GUESTACCOUNT"><parameter>
2822                 guest account</parameter></link>.</para>
2823
2824                 <para>See the section below on <link linkend="SECURITY"><parameter>
2825                 security</parameter></link> for more information about this option.
2826                 </para>
2827
2828                 <para>Default: <command>guest ok = no</command></para></listitem>
2829                 </varlistentry>
2830                 
2831                 
2832                 
2833                 <varlistentry>
2834                 <term><anchor id="GUESTONLY">guest only (S)</term>
2835                 <listitem><para>If this parameter is <constant>yes</constant> for 
2836                 a service, then only guest connections to the service are permitted. 
2837                 This parameter will have no effect if <link linkend="GUESTOK">
2838                 <parameter>guest ok</parameter></link> is not set for the service.</para>
2839
2840                 <para>See the section below on <link linkend="SECURITY"><parameter>
2841                 security</parameter></link> for more information about this option.
2842                 </para>
2843
2844                 <para>Default: <command>guest only = no</command></para></listitem>
2845                 </varlistentry>
2846
2847
2848                 
2849                 <varlistentry>
2850                 <term><anchor id="HIDEDOTFILES">hide dot files (S)</term>
2851                 <listitem><para>This is a boolean parameter that controls whether 
2852                 files starting with a dot appear as hidden files.</para>
2853
2854                 <para>Default: <command>hide dot files = yes</command></para></listitem>
2855                 </varlistentry>
2856
2857
2858         
2859                 <varlistentry>
2860                 <term><anchor id="HIDEFILES">hide files(S)</term>
2861                 <listitem><para>This is a list of files or directories that are not 
2862                 visible but are accessible.  The DOS 'hidden' attribute is applied 
2863                 to any files or directories that match.</para>
2864
2865                 <para>Each entry in the list must be separated by a '/', 
2866                 which allows spaces to be included in the entry.  '*'
2867                 and '?' can be used to specify multiple files or directories 
2868                 as in DOS wildcards.</para>
2869
2870                 <para>Each entry must be a Unix path, not a DOS path and must 
2871                 not include the Unix directory separator '/'.</para>
2872
2873                 <para>Note that the case sensitivity option is applicable 
2874                 in hiding files.</para>
2875                 
2876                 <para>Setting this parameter will affect the performance of Samba, 
2877                 as it will be forced to check all files and directories for a match 
2878                 as they are scanned.</para>
2879
2880                 <para>See also <link linkend="HIDEDOTFILES"><parameter>hide 
2881                 dot files</parameter></link>, <link linkend="VETOFILES"><parameter>
2882                 veto files</parameter></link> and <link linkend="CASESENSITIVE">
2883                 <parameter>case sensitive</parameter></link>.</para>
2884
2885                 <para>Default: <emphasis>no file are hidden</emphasis></para>
2886                 <para>Example: <command>hide files =
2887                 /.*/DesktopFolderDB/TrashFor%m/resource.frk/</command></para>
2888
2889                 <para>The above example is based on files that the Macintosh 
2890                 SMB client (DAVE) available from <ulink url="http://www.thursby.com"> 
2891                 Thursby</ulink> creates for internal use, and also still hides 
2892                 all files beginning with a dot.</para></listitem>
2893                 </varlistentry>
2894                 
2895                 
2896                 
2897                 <varlistentry>
2898                 <term><anchor id="HIDELOCALUSERS">hide local users(G)</term>
2899                 <listitem><para>This parameter toggles the hiding of local UNIX 
2900                 users (root, wheel, floppy, etc) from remote clients.</para>
2901
2902                 <para>Default: <command>hide local users = no</command></para></listitem>
2903                 </varlistentry>
2904
2905
2906
2907                 <varlistentry>
2908                 <term><anchor id="HIDEUNREADABLE">hide unreadable (S)</term>
2909                 <listitem><para>This parameter prevents clients from seeing the
2910                 existance of files that cannot be read. Defaults to off.</para>
2911
2912                 <para>Default: <command>hide unreadable = no</command></para></listitem>
2913                 </varlistentry>
2914
2915
2916
2917                 <varlistentry>
2918                 <term><anchor id="HOMEDIRMAP">homedir map (G)</term>
2919                 <listitem><para>If<link linkend="NISHOMEDIR"><parameter>nis homedir
2920                 </parameter></link> is <constant>true</constant>, and <ulink 
2921                 url="smbd.8.html"><command>smbd(8)</command></ulink> is also acting 
2922                 as a Win95/98 <parameter>logon server</parameter> then this parameter 
2923                 specifies the NIS (or YP) map from which the server for the user's 
2924                 home directory should be extracted.  At present, only the Sun 
2925                 auto.home map format is understood. The form of the map is:</para>
2926
2927                 <para><command>username server:/some/file/system</command></para>
2928
2929                 <para>and the program will extract the servername from before 
2930                 the first ':'.  There should probably be a better parsing system 
2931                 that copes with different map formats and also Amd (another 
2932                 automounter) maps.</para>
2933                 
2934                 <para><emphasis>NOTE :</emphasis>A working NIS client is required on 
2935                 the system for this option to work.</para>
2936
2937                 <para>See also <link linkend="NISHOMEDIR"><parameter>nis homedir</parameter>
2938                 </link>, <link linkend="DOMAINLOGONS"><parameter>domain logons</parameter>
2939                 </link>.</para>
2940
2941                 <para>Default: <command>homedir map = &lt;empty string&gt;</command></para>
2942                 <para>Example: <command>homedir map = amd.homedir</command></para>
2943                 </listitem>
2944                 </varlistentry>
2945
2946
2947
2948
2949         
2950                 <varlistentry>
2951                 <term><anchor id="HOSTMSDFS">host msdfs (G)</term>
2952                 <listitem><para>This boolean parameter is only available 
2953                 if Samba has been configured and compiled with the <command>
2954                 --with-msdfs</command> option. If set to <constant>yes</constant>, 
2955                 Samba will act as a Dfs server, and  allow Dfs-aware clients 
2956                 to browse Dfs trees hosted on the server.</para>
2957
2958                 <para>See also the <link linkend="MSDFSROOT"><parameter>
2959                 msdfs root</parameter></link> share  level  parameter.  For
2960                 more  information  on  setting  up a Dfs tree on Samba,
2961                 refer to <ulink url="msdfs_setup.html">msdfs_setup.html</ulink>.
2962                 </para>
2963                 
2964                 <para>Default: <command>host msdfs = no</command></para>
2965                 </listitem>
2966                 </varlistentry>
2967
2968         
2969                 <varlistentry>
2970                 <term><anchor id="HOSTSALLOW">hosts allow (S)</term>
2971                 <listitem><para>A synonym for this parameter is <parameter>allow 
2972                 hosts</parameter>.</para>
2973                 
2974                 <para>This parameter is a comma, space, or tab delimited 
2975                 set of hosts which are permitted to access a service.</para>
2976
2977                 <para>If specified in the [global] section then it will
2978                 apply to all services, regardless of whether the individual 
2979                 service has a different setting.</para>
2980
2981                 <para>You can specify the hosts by name or IP number. For 
2982                 example, you could restrict access to only the hosts on a 
2983                 Class C subnet with something like <command>allow hosts = 150.203.5.
2984                 </command>. The full syntax of the list is described in the man 
2985                 page <filename>hosts_access(5)</filename>. Note that this man
2986                 page may not be present on your system, so a brief description will