4d8d0a27857ed9aa525c9c2024f674ddd323c2f4
[jra/samba/.git] / docs / manpages / smb.conf.5
1 .\" This manpage has been automatically generated by docbook2man-spec
2 .\" from a DocBook document.  docbook2man-spec can be found at:
3 .\" <http://shell.ipoline.com/~elmert/hacks/docbook2X/> 
4 .\" Please send any bug reports, improvements, comments, patches, 
5 .\" etc. to Steve Cheng <steve@ggi-project.org>.
6 .TH "SMB.CONF" "5" "24 April 2002" "" ""
7 .SH NAME
8 smb.conf \- The configuration file for the Samba suite
9 .SH "SYNOPSIS"
10 .PP
11 The \fIsmb.conf\fR file is a configuration 
12 file for the Samba suite. \fIsmb.conf\fR contains 
13 runtime configuration information for the Samba programs. The
14 \fIsmb.conf\fR file is designed to be configured and 
15 administered by the \fBswat(8)\fR
16 program. The complete description of the file format and 
17 possible parameters held within are here for reference purposes.
18 .SH "FILE FORMAT"
19 .PP
20 The file consists of sections and parameters. A section 
21 begins with the name of the section in square brackets and continues 
22 until the next section begins. Sections contain parameters of the 
23 form
24 .PP
25 \fIname\fR = \fIvalue
26 \fR.PP
27 The file is line-based - that is, each newline-terminated 
28 line represents either a comment, a section name or a parameter.
29 .PP
30 Section and parameter names are not case sensitive.
31 .PP
32 Only the first equals sign in a parameter is significant. 
33 Whitespace before or after the first equals sign is discarded.
34 Leading, trailing and internal whitespace in section and parameter 
35 names is irrelevant. Leading and trailing whitespace in a parameter 
36 value is discarded. Internal whitespace within a parameter value 
37 is retained verbatim.
38 .PP
39 Any line beginning with a semicolon (';') or a hash ('#') 
40 character is ignored, as are lines containing only whitespace.
41 .PP
42 Any line ending in a '\\' is continued
43 on the next line in the customary UNIX fashion.
44 .PP
45 The values following the equals sign in parameters are all 
46 either a string (no quotes needed) or a boolean, which may be given 
47 as yes/no, 0/1 or true/false. Case is not significant in boolean 
48 values, but is preserved in string values. Some items such as 
49 create modes are numeric.
50 .SH "SECTION DESCRIPTIONS"
51 .PP
52 Each section in the configuration file (except for the
53 [global] section) describes a shared resource (known
54 as a "share"). The section name is the name of the 
55 shared resource and the parameters within the section define 
56 the shares attributes.
57 .PP
58 There are three special sections, [global],
59 [homes] and [printers], which are
60 described under \fBspecial sections\fR. The
61 following notes apply to ordinary section descriptions.
62 .PP
63 A share consists of a directory to which access is being 
64 given plus a description of the access rights which are granted 
65 to the user of the service. Some housekeeping options are 
66 also specifiable.
67 .PP
68 Sections are either file share services (used by the 
69 client as an extension of their native file systems) or 
70 printable services (used by the client to access print services 
71 on the host running the server).
72 .PP
73 Sections may be designated \fBguest\fR services,
74 in which case no password is required to access them. A specified 
75 UNIX \fBguest account\fR is used to define access
76 privileges in this case.
77 .PP
78 Sections other than guest services will require a password 
79 to access them. The client provides the username. As older clients 
80 only provide passwords and not usernames, you may specify a list 
81 of usernames to check against the password using the "user =" 
82 option in the share definition. For modern clients such as 
83 Windows 95/98/ME/NT/2000, this should not be necessary.
84 .PP
85 Note that the access rights granted by the server are 
86 masked by the access rights granted to the specified or guest 
87 UNIX user by the host system. The server does not grant more
88 access than the host system grants.
89 .PP
90 The following sample section defines a file space share. 
91 The user has write access to the path \fI/home/bar\fR. 
92 The share is accessed via the share name "foo":
93 .sp
94 .nf
95                 [foo]
96                 path = /home/bar
97                 writeable = true
98         
99         
100 .sp
101 .fi
102 .PP
103 The following sample section defines a printable share. 
104 The share is readonly, but printable. That is, the only write 
105 access permitted is via calls to open, write to and close a 
106 spool file. The \fBguest ok\fR parameter means 
107 access will be permitted as the default guest user (specified 
108 elsewhere):
109 .sp
110 .nf
111                 [aprinter]
112                 path = /usr/spool/public
113                 writeable = false
114                 printable = true
115                 guest ok = true
116         
117         
118 .sp
119 .fi
120 .SH "SPECIAL SECTIONS"
121 .SS "THE  GLOBAL  SECTION"
122 .PP
123 parameters in this section apply to the server 
124 as a whole, or are defaults for sections which do not 
125 specifically define certain items. See the notes
126 under PARAMETERS for more information.
127 .SS "THE  HOMES  SECTION"
128 .PP
129 If a section called homes is included in the 
130 configuration file, services connecting clients to their 
131 home directories can be created on the fly by the server.
132 .PP
133 When the connection request is made, the existing 
134 sections are scanned. If a match is found, it is used. If no 
135 match is found, the requested section name is treated as a 
136 user name and looked up in the local password file. If the 
137 name exists and the correct password has been given, a share is 
138 created by cloning the [homes] section.
139 .PP
140 Some modifications are then made to the newly 
141 created share:
142 .TP 0.2i
143 \(bu
144 The share name is changed from homes to 
145 the located username.
146 .TP 0.2i
147 \(bu
148 If no path was given, the path is set to
149 the user's home directory.
150 .PP
151 If you decide to use a \fBpath =\fR line 
152 in your [homes] section then you may find it useful 
153 to use the %S macro. For example :
154 .PP
155 .PP
156 \fBpath = /data/pchome/%S\fR
157 .PP
158 .PP
159 would be useful if you have different home directories 
160 for your PCs than for UNIX access.
161 .PP
162 .PP
163 This is a fast and simple way to give a large number 
164 of clients access to their home directories with a minimum 
165 of fuss.
166 .PP
167 .PP
168 A similar process occurs if the requested section 
169 name is "homes", except that the share name is not 
170 changed to that of the requesting user. This method of using
171 the [homes] section works well if different users share 
172 a client PC.
173 .PP
174 .PP
175 The [homes] section can specify all the parameters 
176 a normal service section can specify, though some make more sense 
177 than others. The following is a typical and suitable [homes]
178 section:
179 .PP
180 .sp
181 .nf
182                                 [homes]
183                         writeable = yes
184                 
185                 
186 .sp
187 .fi
188 .PP
189 An important point is that if guest access is specified 
190 in the [homes] section, all home directories will be 
191 visible to all clients \fBwithout a password\fR. 
192 In the very unlikely event that this is actually desirable, it 
193 would be wise to also specify \fBread only
194 access\fR.
195 .PP
196 .PP
197 Note that the \fBbrowseable\fR flag for 
198 auto home directories will be inherited from the global browseable 
199 flag, not the [homes] browseable flag. This is useful as 
200 it means setting \fBbrowseable = no\fR in
201 the [homes] section will hide the [homes] share but make
202 any auto home directories visible.
203 .PP
204 .SS "THE  PRINTERS  SECTION"
205 .PP
206 This section works like [homes], 
207 but for printers.
208 .PP
209 If a [printers] section occurs in the 
210 configuration file, users are able to connect to any printer 
211 specified in the local host's printcap file.
212 .PP
213 When a connection request is made, the existing sections 
214 are scanned. If a match is found, it is used. If no match is found, 
215 but a [homes] section exists, it is used as described
216 above. Otherwise, the requested section name is treated as a
217 printer name and the appropriate printcap file is scanned to see 
218 if the requested section name is a valid printer share name. If 
219 a match is found, a new printer share is created by cloning 
220 the [printers] section.
221 .PP
222 A few modifications are then made to the newly created 
223 share:
224 .TP 0.2i
225 \(bu
226 The share name is set to the located printer 
227 name
228 .TP 0.2i
229 \(bu
230 If no printer name was given, the printer name 
231 is set to the located printer name
232 .TP 0.2i
233 \(bu
234 If the share does not permit guest access and 
235 no username was given, the username is set to the located 
236 printer name.
237 .PP
238 Note that the [printers] service MUST be 
239 printable - if you specify otherwise, the server will refuse 
240 to load the configuration file.
241 .PP
242 .PP
243 Typically the path specified would be that of a 
244 world-writeable spool directory with the sticky bit set on 
245 it. A typical [printers] entry would look like 
246 this:
247 .PP
248 .sp
249 .nf
250                 [printers]
251                         path = /usr/spool/public
252                         guest ok = yes
253                         printable = yes 
254                 
255 .sp
256 .fi
257 .PP
258 All aliases given for a printer in the printcap file 
259 are legitimate printer names as far as the server is concerned. 
260 If your printing subsystem doesn't work like that, you will have 
261 to set up a pseudo-printcap. This is a file consisting of one or 
262 more lines like this:
263 .PP
264 .sp
265 .nf
266                                 alias|alias|alias|alias...    
267                 
268                 
269 .sp
270 .fi
271 .PP
272 Each alias should be an acceptable printer name for 
273 your printing subsystem. In the [global] section, specify 
274 the new file as your printcap. The server will then only recognize 
275 names found in your pseudo-printcap, which of course can contain 
276 whatever aliases you like. The same technique could be used 
277 simply to limit access to a subset of your local printers.
278 .PP
279 .PP
280 An alias, by the way, is defined as any component of the 
281 first entry of a printcap record. Records are separated by newlines,
282 components (if there are more than one) are separated by vertical 
283 bar symbols ('|').
284 .PP
285 .PP
286 NOTE: On SYSV systems which use lpstat to determine what 
287 printers are defined on the system you may be able to use
288 "printcap name = lpstat" to automatically obtain a list 
289 of printers. See the "printcap name" option 
290 for more details.
291 .PP
292 .SH "PARAMETERS"
293 .PP
294 parameters define the specific attributes of sections.
295 .PP
296 Some parameters are specific to the [global] section
297 (e.g., \fBsecurity\fR). Some parameters are usable 
298 in all sections (e.g., \fBcreate mode\fR). All others 
299 are permissible only in normal sections. For the purposes of the 
300 following descriptions the [homes] and [printers]
301 sections will be considered normal. The letter \fBG\fR 
302 in parentheses indicates that a parameter is specific to the
303 [global] section. The letter \fBS\fR
304 indicates that a parameter can be specified in a service specific
305 section. Note that all \fBS\fR parameters can also be specified in 
306 the [global] section - in which case they will define
307 the default behavior for all services.
308 .PP
309 parameters are arranged here in alphabetical order - this may 
310 not create best bedfellows, but at least you can find them! Where
311 there are synonyms, the preferred synonym is described, others refer 
312 to the preferred synonym.
313 .SH "VARIABLE SUBSTITUTIONS"
314 .PP
315 Many of the strings that are settable in the config file 
316 can take substitutions. For example the option "path =
317 /tmp/%u" would be interpreted as "path = 
318 /tmp/john" if the user connected with the username john.
319 .PP
320 These substitutions are mostly noted in the descriptions below, 
321 but there are some general substitutions which apply whenever they 
322 might be relevant. These are:
323 .TP
324 \fB%S\fR
325 the name of the current service, if any.
326 .TP
327 \fB%P\fR
328 the root directory of the current service, 
329 if any.
330 .TP
331 \fB%u\fR
332 user name of the current service, if any.
333 .TP
334 \fB%g\fR
335 primary group name of %u.
336 .TP
337 \fB%U\fR
338 session user name (the user name that the client 
339 wanted, not necessarily the same as the one they got).
340 .TP
341 \fB%G\fR
342 primary group name of %U.
343 .TP
344 \fB%H\fR
345 the home directory of the user given 
346 by %u.
347 .TP
348 \fB%v\fR
349 the Samba version.
350 .TP
351 \fB%h\fR
352 the Internet hostname that Samba is running 
353 on.
354 .TP
355 \fB%m\fR
356 the NetBIOS name of the client machine 
357 (very useful).
358 .TP
359 \fB%L\fR
360 the NetBIOS name of the server. This allows you 
361 to change your config based on what the client calls you. Your 
362 server can have a "dual personality".
363
364 Note that this paramater is not available when Samba listens
365 on port 445, as clients no longer send this information 
366 .TP
367 \fB%M\fR
368 the Internet name of the client machine.
369 .TP
370 \fB%N\fR
371 the name of your NIS home directory server. 
372 This is obtained from your NIS auto.map entry. If you have 
373 not compiled Samba with the \fB--with-automount\fR 
374 option then this value will be the same as %L.
375 .TP
376 \fB%p\fR
377 the path of the service's home directory, 
378 obtained from your NIS auto.map entry. The NIS auto.map entry 
379 is split up as "%N:%p".
380 .TP
381 \fB%R\fR
382 the selected protocol level after 
383 protocol negotiation. It can be one of CORE, COREPLUS, 
384 LANMAN1, LANMAN2 or NT1.
385 .TP
386 \fB%d\fR
387 The process id of the current server
388 process.
389 .TP
390 \fB%a\fR
391 the architecture of the remote
392 machine. Only some are recognized, and those may not be 
393 100% reliable. It currently recognizes Samba, WfWg, Win95,
394 WinNT and Win2k. Anything else will be known as 
395 "UNKNOWN". If it gets it wrong then sending a level 
396 3 log to samba@samba.org
397  <URL:mailto:samba@samba.org> should allow it to be fixed.
398 .TP
399 \fB%I\fR
400 The IP address of the client machine.
401 .TP
402 \fB%T\fR
403 the current date and time.
404 .TP
405 \fB%$(\fIenvvar\fB)\fR
406 The value of the environment variable
407 \fIenvar\fR.
408 .PP
409 There are some quite creative things that can be done 
410 with these substitutions and other smb.conf options.
411 .PP
412 .SH "NAME MANGLING"
413 .PP
414 Samba supports "name mangling" so that DOS and 
415 Windows clients can use files that don't conform to the 8.3 format. 
416 It can also be set to adjust the case of 8.3 format filenames.
417 .PP
418 There are several options that control the way mangling is 
419 performed, and they are grouped here rather than listed separately. 
420 For the defaults look at the output of the testparm program. 
421 .PP
422 All of these options can be set separately for each service 
423 (or globally, of course). 
424 .PP
425 The options are: 
426 .TP
427 \fBmangle case = yes/no\fR
428 controls if names that have characters that 
429 aren't of the "default" case are mangled. For example, 
430 if this is yes then a name like "Mail" would be mangled. 
431 Default \fBno\fR.
432 .TP
433 \fBcase sensitive = yes/no\fR
434 controls whether filenames are case sensitive. If 
435 they aren't then Samba must do a filename search and match on passed 
436 names. Default \fBno\fR.
437 .TP
438 \fBdefault case = upper/lower\fR
439 controls what the default case is for new 
440 filenames. Default \fBlower\fR.
441 .TP
442 \fBpreserve case = yes/no\fR
443 controls if new files are created with the 
444 case that the client passes, or if they are forced to be the 
445 "default" case. Default \fByes\fR.
446 .TP
447 \fBshort preserve case = yes/no\fR
448 controls if new files which conform to 8.3 syntax,
449 that is all in upper case and of suitable length, are created 
450 upper case, or if they are forced to be the "default" 
451 case. This option can be use with "preserve case = yes" 
452 to permit long filenames to retain their case, while short names 
453 are lowercased. Default \fByes\fR.
454 .PP
455 By default, Samba 2.2 has the same semantics as a Windows 
456 NT server, in that it is case insensitive but case preserving.
457 .PP
458 .SH "NOTE ABOUT USERNAME/PASSWORD VALIDATION"
459 .PP
460 There are a number of ways in which a user can connect 
461 to a service. The server uses the following steps in determining 
462 if it will allow a connection to a specified service. If all the 
463 steps fail, then the connection request is rejected. However, if one of the 
464 steps succeeds, then the following steps are not checked.
465 .PP
466 If the service is marked "guest only = yes" then
467 steps 1 to 5 are skipped.
468 .IP 1. 
469 If the client has passed a username/password 
470 pair and that username/password pair is validated by the UNIX 
471 system's password programs then the connection is made as that 
472 username. Note that this includes the 
473 \\\\server\\service%\fIusername\fR method of passing 
474 a username.
475 .IP 2. 
476 If the client has previously registered a username 
477 with the system and now supplies a correct password for that 
478 username then the connection is allowed.
479 .IP 3. 
480 The client's NetBIOS name and any previously 
481 used user names are checked against the supplied password, if 
482 they match then the connection is allowed as the corresponding 
483 user.
484 .IP 4. 
485 If the client has previously validated a
486 username/password pair with the server and the client has passed 
487 the validation token then that username is used. 
488 .IP 5. 
489 If a "user = " field is given in the
490 \fIsmb.conf\fR file for the service and the client 
491 has supplied a password, and that password matches (according to 
492 the UNIX system's password checking) with one of the usernames 
493 from the "user =" field then the connection is made as 
494 the username in the "user =" line. If one 
495 of the username in the "user =" list begins with a
496 \&'@' then that name expands to a list of names in 
497 the group of the same name.
498 .IP 6. 
499 If the service is a guest service then a 
500 connection is made as the username given in the "guest 
501 account =" for the service, irrespective of the 
502 supplied password.
503 .SH "COMPLETE LIST OF GLOBAL PARAMETERS"
504 .PP
505 Here is a list of all global parameters. See the section of 
506 each parameter for details. Note that some are synonyms.
507 .TP 0.2i
508 \(bu
509 \fIabort shutdown script\fR
510 .TP 0.2i
511 \(bu
512 \fIadd printer command\fR
513 .TP 0.2i
514 \(bu
515 \fIadd share command\fR
516 .TP 0.2i
517 \(bu
518 \fIadd user script\fR
519 .TP 0.2i
520 \(bu
521 \fIadd machine script\fR
522 .TP 0.2i
523 \(bu
524 \fIalgorithmic rid base\fR
525 .TP 0.2i
526 \(bu
527 \fIallow trusted domains\fR
528 .TP 0.2i
529 \(bu
530 \fIannounce as\fR
531 .TP 0.2i
532 \(bu
533 \fIannounce version\fR
534 .TP 0.2i
535 \(bu
536 \fIauth methods\fR
537 .TP 0.2i
538 \(bu
539 \fIauto services\fR
540 .TP 0.2i
541 \(bu
542 \fIbind interfaces only\fR
543 .TP 0.2i
544 \(bu
545 \fIbrowse list\fR
546 .TP 0.2i
547 \(bu
548 \fIchange notify timeout\fR
549 .TP 0.2i
550 \(bu
551 \fIchange share command\fR
552 .TP 0.2i
553 \(bu
554 \fIconfig file\fR
555 .TP 0.2i
556 \(bu
557 \fIdeadtime\fR
558 .TP 0.2i
559 \(bu
560 \fIdebug hires timestamp\fR
561 .TP 0.2i
562 \(bu
563 \fIdebug pid\fR
564 .TP 0.2i
565 \(bu
566 \fIdebug timestamp\fR
567 .TP 0.2i
568 \(bu
569 \fIdebug uid\fR
570 .TP 0.2i
571 \(bu
572 \fIdebuglevel\fR
573 .TP 0.2i
574 \(bu
575 \fIdefault\fR
576 .TP 0.2i
577 \(bu
578 \fIdefault service\fR
579 .TP 0.2i
580 \(bu
581 \fIdelete printer command\fR
582 .TP 0.2i
583 \(bu
584 \fIdelete share command\fR
585 .TP 0.2i
586 \(bu
587 \fIdelete user script\fR
588 .TP 0.2i
589 \(bu
590 \fIdfree command\fR
591 .TP 0.2i
592 \(bu
593 \fIdisable spoolss\fR
594 .TP 0.2i
595 \(bu
596 \fIdns proxy\fR
597 .TP 0.2i
598 \(bu
599 \fIdomain admin group\fR
600 .TP 0.2i
601 \(bu
602 \fIdomain guest group\fR
603 .TP 0.2i
604 \(bu
605 \fIdomain logons\fR
606 .TP 0.2i
607 \(bu
608 \fIdomain master\fR
609 .TP 0.2i
610 \(bu
611 \fIencrypt passwords\fR
612 .TP 0.2i
613 \(bu
614 \fIenhanced browsing\fR
615 .TP 0.2i
616 \(bu
617 \fIenumports command\fR
618 .TP 0.2i
619 \(bu
620 \fIgetwd cache\fR
621 .TP 0.2i
622 \(bu
623 \fIhide local users\fR
624 .TP 0.2i
625 \(bu
626 \fIhide unreadable\fR
627 .TP 0.2i
628 \(bu
629 \fIhomedir map\fR
630 .TP 0.2i
631 \(bu
632 \fIhost msdfs\fR
633 .TP 0.2i
634 \(bu
635 \fIhosts equiv\fR
636 .TP 0.2i
637 \(bu
638 \fIinterfaces\fR
639 .TP 0.2i
640 \(bu
641 \fIkeepalive\fR
642 .TP 0.2i
643 \(bu
644 \fIkernel oplocks\fR
645 .TP 0.2i
646 \(bu
647 \fIlanman auth\fR
648 .TP 0.2i
649 \(bu
650 \fIlarge readwrite\fR
651 .TP 0.2i
652 \(bu
653 \fIldap admin dn\fR
654 .TP 0.2i
655 \(bu
656 \fIldap filter\fR
657 .TP 0.2i
658 \(bu
659 \fIldap port\fR
660 .TP 0.2i
661 \(bu
662 \fIldap server\fR
663 .TP 0.2i
664 \(bu
665 \fIldap ssl\fR
666 .TP 0.2i
667 \(bu
668 \fIldap suffix\fR
669 .TP 0.2i
670 \(bu
671 \fIlm announce\fR
672 .TP 0.2i
673 \(bu
674 \fIlm interval\fR
675 .TP 0.2i
676 \(bu
677 \fIload printers\fR
678 .TP 0.2i
679 \(bu
680 \fIlocal master\fR
681 .TP 0.2i
682 \(bu
683 \fIlock dir\fR
684 .TP 0.2i
685 \(bu
686 \fIlock directory\fR
687 .TP 0.2i
688 \(bu
689 \fIlog file\fR
690 .TP 0.2i
691 \(bu
692 \fIlog level\fR
693 .TP 0.2i
694 \(bu
695 \fIlogon drive\fR
696 .TP 0.2i
697 \(bu
698 \fIlogon home\fR
699 .TP 0.2i
700 \(bu
701 \fIlogon path\fR
702 .TP 0.2i
703 \(bu
704 \fIlogon script\fR
705 .TP 0.2i
706 \(bu
707 \fIlpq cache time\fR
708 .TP 0.2i
709 \(bu
710 \fImachine password timeout\fR
711 .TP 0.2i
712 \(bu
713 \fImangled stack\fR
714 .TP 0.2i
715 \(bu
716 \fImap to guest\fR
717 .TP 0.2i
718 \(bu
719 \fImax disk size\fR
720 .TP 0.2i
721 \(bu
722 \fImax log size\fR
723 .TP 0.2i
724 \(bu
725 \fImax mux\fR
726 .TP 0.2i
727 \(bu
728 \fImax open files\fR
729 .TP 0.2i
730 \(bu
731 \fImax protocol\fR
732 .TP 0.2i
733 \(bu
734 \fImax smbd processes\fR
735 .TP 0.2i
736 \(bu
737 \fImax ttl\fR
738 .TP 0.2i
739 \(bu
740 \fImax wins ttl\fR
741 .TP 0.2i
742 \(bu
743 \fImax xmit\fR
744 .TP 0.2i
745 \(bu
746 \fImessage command\fR
747 .TP 0.2i
748 \(bu
749 \fImin passwd length\fR
750 .TP 0.2i
751 \(bu
752 \fImin password length\fR
753 .TP 0.2i
754 \(bu
755 \fImin protocol\fR
756 .TP 0.2i
757 \(bu
758 \fImin wins ttl\fR
759 .TP 0.2i
760 \(bu
761 \fIname resolve order\fR
762 .TP 0.2i
763 \(bu
764 \fInetbios aliases\fR
765 .TP 0.2i
766 \(bu
767 \fInetbios name\fR
768 .TP 0.2i
769 \(bu
770 \fInetbios scope\fR
771 .TP 0.2i
772 \(bu
773 \fInis homedir\fR
774 .TP 0.2i
775 \(bu
776 \fInon unix account range\fR
777 .TP 0.2i
778 \(bu
779 \fInt pipe support\fR
780 .TP 0.2i
781 \(bu
782 \fInt status support\fR
783 .TP 0.2i
784 \(bu
785 \fInull passwords\fR
786 .TP 0.2i
787 \(bu
788 \fIobey pam restrictions\fR
789 .TP 0.2i
790 \(bu
791 \fIoplock break wait time\fR
792 .TP 0.2i
793 \(bu
794 \fIos level\fR
795 .TP 0.2i
796 \(bu
797 \fIos2 driver map\fR
798 .TP 0.2i
799 \(bu
800 \fIpam password change\fR
801 .TP 0.2i
802 \(bu
803 \fIpanic action\fR
804 .TP 0.2i
805 \(bu
806 \fIpassdb backend\fR
807 .TP 0.2i
808 \(bu
809 \fIpasswd chat\fR
810 .TP 0.2i
811 \(bu
812 \fIpasswd chat debug\fR
813 .TP 0.2i
814 \(bu
815 \fIpasswd program\fR
816 .TP 0.2i
817 \(bu
818 \fIpassword level\fR
819 .TP 0.2i
820 \(bu
821 \fIpassword server\fR
822 .TP 0.2i
823 \(bu
824 \fIprefered master\fR
825 .TP 0.2i
826 \(bu
827 \fIpreferred master\fR
828 .TP 0.2i
829 \(bu
830 \fIpreload\fR
831 .TP 0.2i
832 \(bu
833 \fIprintcap\fR
834 .TP 0.2i
835 \(bu
836 \fIprintcap name\fR
837 .TP 0.2i
838 \(bu
839 \fIprinter driver file\fR
840 .TP 0.2i
841 \(bu
842 \fIprivate dir\fR
843 .TP 0.2i
844 \(bu
845 \fIprotocol\fR
846 .TP 0.2i
847 \(bu
848 \fIread bmpx\fR
849 .TP 0.2i
850 \(bu
851 \fIread raw\fR
852 .TP 0.2i
853 \(bu
854 \fIread size\fR
855 .TP 0.2i
856 \(bu
857 \fIremote announce\fR
858 .TP 0.2i
859 \(bu
860 \fIremote browse sync\fR
861 .TP 0.2i
862 \(bu
863 \fIrestrict anonymous\fR
864 .TP 0.2i
865 \(bu
866 \fIroot\fR
867 .TP 0.2i
868 \(bu
869 \fIroot dir\fR
870 .TP 0.2i
871 \(bu
872 \fIroot directory\fR
873 .TP 0.2i
874 \(bu
875 \fIsecurity\fR
876 .TP 0.2i
877 \(bu
878 \fIserver string\fR
879 .TP 0.2i
880 \(bu
881 \fIshow add printer wizard\fR
882 .TP 0.2i
883 \(bu
884 \fIshutdown script\fR
885 .TP 0.2i
886 \(bu
887 \fIsmb passwd file\fR
888 .TP 0.2i
889 \(bu
890 \fIsocket address\fR
891 .TP 0.2i
892 \(bu
893 \fIsocket options\fR
894 .TP 0.2i
895 \(bu
896 \fIsource environment\fR
897 .TP 0.2i
898 \(bu
899 \fIssl\fR
900 .TP 0.2i
901 \(bu
902 \fIssl CA certDir\fR
903 .TP 0.2i
904 \(bu
905 \fIssl CA certFile\fR
906 .TP 0.2i
907 \(bu
908 \fIssl ciphers\fR
909 .TP 0.2i
910 \(bu
911 \fIssl client cert\fR
912 .TP 0.2i
913 \(bu
914 \fIssl client key\fR
915 .TP 0.2i
916 \(bu
917 \fIssl compatibility\fR
918 .TP 0.2i
919 \(bu
920 \fIssl egd socket\fR
921 .TP 0.2i
922 \(bu
923 \fIssl entropy bytes\fR
924 .TP 0.2i
925 \(bu
926 \fIssl entropy file\fR
927 .TP 0.2i
928 \(bu
929 \fIssl hosts\fR
930 .TP 0.2i
931 \(bu
932 \fIssl hosts resign\fR
933 .TP 0.2i
934 \(bu
935 \fIssl require clientcert\fR
936 .TP 0.2i
937 \(bu
938 \fIssl require servercert\fR
939 .TP 0.2i
940 \(bu
941 \fIssl server cert\fR
942 .TP 0.2i
943 \(bu
944 \fIssl server key\fR
945 .TP 0.2i
946 \(bu
947 \fIssl version\fR
948 .TP 0.2i
949 \(bu
950 \fIstat cache\fR
951 .TP 0.2i
952 \(bu
953 \fIstat cache size\fR
954 .TP 0.2i
955 \(bu
956 \fIstrip dot\fR
957 .TP 0.2i
958 \(bu
959 \fIsyslog\fR
960 .TP 0.2i
961 \(bu
962 \fIsyslog only\fR
963 .TP 0.2i
964 \(bu
965 \fItemplate homedir\fR
966 .TP 0.2i
967 \(bu
968 \fItemplate shell\fR
969 .TP 0.2i
970 \(bu
971 \fItime offset\fR
972 .TP 0.2i
973 \(bu
974 \fItime server\fR
975 .TP 0.2i
976 \(bu
977 \fItimestamp logs\fR
978 .TP 0.2i
979 \(bu
980 \fItotal print jobs\fR
981 .TP 0.2i
982 \(bu
983 \fIunix extensions\fR
984 .TP 0.2i
985 \(bu
986 \fIunix password sync\fR
987 .TP 0.2i
988 \(bu
989 \fIupdate encrypted\fR
990 .TP 0.2i
991 \(bu
992 \fIuse mmap\fR
993 .TP 0.2i
994 \(bu
995 \fIuse rhosts\fR
996 .TP 0.2i
997 \(bu
998 \fIusername level\fR
999 .TP 0.2i
1000 \(bu
1001 \fIusername map\fR
1002 .TP 0.2i
1003 \(bu
1004 \fIutmp\fR
1005 .TP 0.2i
1006 \(bu
1007 \fIutmp directory\fR
1008 .TP 0.2i
1009 \(bu
1010 \fIwinbind cache time\fR
1011 .TP 0.2i
1012 \(bu
1013 \fIwinbind enum users\fR
1014 .TP 0.2i
1015 \(bu
1016 \fIwinbind enum groups\fR
1017 .TP 0.2i
1018 \(bu
1019 \fIwinbind gid\fR
1020 .TP 0.2i
1021 \(bu
1022 \fIwinbind separator\fR
1023 .TP 0.2i
1024 \(bu
1025 \fIwinbind uid\fR
1026 .TP 0.2i
1027 \(bu
1028 \fIwinbind use default domain\fR
1029 .TP 0.2i
1030 \(bu
1031 \fIwins hook\fR
1032 .TP 0.2i
1033 \(bu
1034 \fIwins proxy\fR
1035 .TP 0.2i
1036 \(bu
1037 \fIwins server\fR
1038 .TP 0.2i
1039 \(bu
1040 \fIwins support\fR
1041 .TP 0.2i
1042 \(bu
1043 \fIworkgroup\fR
1044 .TP 0.2i
1045 \(bu
1046 \fIwrite raw\fR
1047 .SH "COMPLETE LIST OF SERVICE PARAMETERS"
1048 .PP
1049 Here is a list of all service parameters. See the section on 
1050 each parameter for details. Note that some are synonyms.
1051 .TP 0.2i
1052 \(bu
1053 \fIadmin users\fR
1054 .TP 0.2i
1055 \(bu
1056 \fIallow hosts\fR
1057 .TP 0.2i
1058 \(bu
1059 \fIavailable\fR
1060 .TP 0.2i
1061 \(bu
1062 \fIblocking locks\fR
1063 .TP 0.2i
1064 \(bu
1065 \fIbrowsable\fR
1066 .TP 0.2i
1067 \(bu
1068 \fIbrowseable\fR
1069 .TP 0.2i
1070 \(bu
1071 \fIcase sensitive\fR
1072 .TP 0.2i
1073 \(bu
1074 \fIcasesignames\fR
1075 .TP 0.2i
1076 \(bu
1077 \fIcomment\fR
1078 .TP 0.2i
1079 \(bu
1080 \fIcopy\fR
1081 .TP 0.2i
1082 \(bu
1083 \fIcreate mask\fR
1084 .TP 0.2i
1085 \(bu
1086 \fIcreate mode\fR
1087 .TP 0.2i
1088 \(bu
1089 \fIcsc policy\fR
1090 .TP 0.2i
1091 \(bu
1092 \fIdefault case\fR
1093 .TP 0.2i
1094 \(bu
1095 \fIdefault devmode\fR
1096 .TP 0.2i
1097 \(bu
1098 \fIdelete readonly\fR
1099 .TP 0.2i
1100 \(bu
1101 \fIdelete veto files\fR
1102 .TP 0.2i
1103 \(bu
1104 \fIdeny hosts\fR
1105 .TP 0.2i
1106 \(bu
1107 \fIdirectory\fR
1108 .TP 0.2i
1109 \(bu
1110 \fIdirectory mask\fR
1111 .TP 0.2i
1112 \(bu
1113 \fIdirectory mode\fR
1114 .TP 0.2i
1115 \(bu
1116 \fIdirectory security mask\fR
1117 .TP 0.2i
1118 \(bu
1119 \fIdont descend\fR
1120 .TP 0.2i
1121 \(bu
1122 \fIdos filemode\fR
1123 .TP 0.2i
1124 \(bu
1125 \fIdos filetime resolution\fR
1126 .TP 0.2i
1127 \(bu
1128 \fIdos filetimes\fR
1129 .TP 0.2i
1130 \(bu
1131 \fIexec\fR
1132 .TP 0.2i
1133 \(bu
1134 \fIfake directory create times\fR
1135 .TP 0.2i
1136 \(bu
1137 \fIfake oplocks\fR
1138 .TP 0.2i
1139 \(bu
1140 \fIfollow symlinks\fR
1141 .TP 0.2i
1142 \(bu
1143 \fIforce create mode\fR
1144 .TP 0.2i
1145 \(bu
1146 \fIforce directory mode\fR
1147 .TP 0.2i
1148 \(bu
1149 \fIforce directory security mode\fR
1150 .TP 0.2i
1151 \(bu
1152 \fIforce group\fR
1153 .TP 0.2i
1154 \(bu
1155 \fIforce security mode\fR
1156 .TP 0.2i
1157 \(bu
1158 \fIforce user\fR
1159 .TP 0.2i
1160 \(bu
1161 \fIfstype\fR
1162 .TP 0.2i
1163 \(bu
1164 \fIgroup\fR
1165 .TP 0.2i
1166 \(bu
1167 \fIguest account\fR
1168 .TP 0.2i
1169 \(bu
1170 \fIguest ok\fR
1171 .TP 0.2i
1172 \(bu
1173 \fIguest only\fR
1174 .TP 0.2i
1175 \(bu
1176 \fIhide dot files\fR
1177 .TP 0.2i
1178 \(bu
1179 \fIhide files\fR
1180 .TP 0.2i
1181 \(bu
1182 \fIhosts allow\fR
1183 .TP 0.2i
1184 \(bu
1185 \fIhosts deny\fR
1186 .TP 0.2i
1187 \(bu
1188 \fIinclude\fR
1189 .TP 0.2i
1190 \(bu
1191 \fIinherit permissions\fR
1192 .TP 0.2i
1193 \(bu
1194 \fIinvalid users\fR
1195 .TP 0.2i
1196 \(bu
1197 \fIlevel2 oplocks\fR
1198 .TP 0.2i
1199 \(bu
1200 \fIlocking\fR
1201 .TP 0.2i
1202 \(bu
1203 \fIlppause command\fR
1204 .TP 0.2i
1205 \(bu
1206 \fIlpq command\fR
1207 .TP 0.2i
1208 \(bu
1209 \fIlpresume command\fR
1210 .TP 0.2i
1211 \(bu
1212 \fIlprm command\fR
1213 .TP 0.2i
1214 \(bu
1215 \fImagic output\fR
1216 .TP 0.2i
1217 \(bu
1218 \fImagic script\fR
1219 .TP 0.2i
1220 \(bu
1221 \fImangle case\fR
1222 .TP 0.2i
1223 \(bu
1224 \fImangled map\fR
1225 .TP 0.2i
1226 \(bu
1227 \fImangled names\fR
1228 .TP 0.2i
1229 \(bu
1230 \fImangling char\fR
1231 .TP 0.2i
1232 \(bu
1233 \fImap archive\fR
1234 .TP 0.2i
1235 \(bu
1236 \fImap hidden\fR
1237 .TP 0.2i
1238 \(bu
1239 \fImap system\fR
1240 .TP 0.2i
1241 \(bu
1242 \fImax connections\fR
1243 .TP 0.2i
1244 \(bu
1245 \fImax print jobs\fR
1246 .TP 0.2i
1247 \(bu
1248 \fImin print space\fR
1249 .TP 0.2i
1250 \(bu
1251 \fImsdfs root\fR
1252 .TP 0.2i
1253 \(bu
1254 \fInt acl support\fR
1255 .TP 0.2i
1256 \(bu
1257 \fIonly guest\fR
1258 .TP 0.2i
1259 \(bu
1260 \fIonly user\fR
1261 .TP 0.2i
1262 \(bu
1263 \fIoplock contention limit\fR
1264 .TP 0.2i
1265 \(bu
1266 \fIoplocks\fR
1267 .TP 0.2i
1268 \(bu
1269 \fIpath\fR
1270 .TP 0.2i
1271 \(bu
1272 \fIposix locking\fR
1273 .TP 0.2i
1274 \(bu
1275 \fIpostexec\fR
1276 .TP 0.2i
1277 \(bu
1278 \fIpostscript\fR
1279 .TP 0.2i
1280 \(bu
1281 \fIpreexec\fR
1282 .TP 0.2i
1283 \(bu
1284 \fIpreexec close\fR
1285 .TP 0.2i
1286 \(bu
1287 \fIpreserve case\fR
1288 .TP 0.2i
1289 \(bu
1290 \fIprint command\fR
1291 .TP 0.2i
1292 \(bu
1293 \fIprint ok\fR
1294 .TP 0.2i
1295 \(bu
1296 \fIprintable\fR
1297 .TP 0.2i
1298 \(bu
1299 \fIprinter\fR
1300 .TP 0.2i
1301 \(bu
1302 \fIprinter admin\fR
1303 .TP 0.2i
1304 \(bu
1305 \fIprinter driver\fR
1306 .TP 0.2i
1307 \(bu
1308 \fIprinter driver location\fR
1309 .TP 0.2i
1310 \(bu
1311 \fIprinter name\fR
1312 .TP 0.2i
1313 \(bu
1314 \fIprinting\fR
1315 .TP 0.2i
1316 \(bu
1317 \fIpublic\fR
1318 .TP 0.2i
1319 \(bu
1320 \fIqueuepause command\fR
1321 .TP 0.2i
1322 \(bu
1323 \fIqueueresume command\fR
1324 .TP 0.2i
1325 \(bu
1326 \fIread list\fR
1327 .TP 0.2i
1328 \(bu
1329 \fIread only\fR
1330 .TP 0.2i
1331 \(bu
1332 \fIroot postexec\fR
1333 .TP 0.2i
1334 \(bu
1335 \fIroot preexec\fR
1336 .TP 0.2i
1337 \(bu
1338 \fIroot preexec close\fR
1339 .TP 0.2i
1340 \(bu
1341 \fIsecurity mask\fR
1342 .TP 0.2i
1343 \(bu
1344 \fIset directory\fR
1345 .TP 0.2i
1346 \(bu
1347 \fIshare modes\fR
1348 .TP 0.2i
1349 \(bu
1350 \fIshort preserve case\fR
1351 .TP 0.2i
1352 \(bu
1353 \fIstatus\fR
1354 .TP 0.2i
1355 \(bu
1356 \fIstrict allocate\fR
1357 .TP 0.2i
1358 \(bu
1359 \fIstrict locking\fR
1360 .TP 0.2i
1361 \(bu
1362 \fIstrict sync\fR
1363 .TP 0.2i
1364 \(bu
1365 \fIsync always\fR
1366 .TP 0.2i
1367 \(bu
1368 \fIuse client driver\fR
1369 .TP 0.2i
1370 \(bu
1371 \fIuser\fR
1372 .TP 0.2i
1373 \(bu
1374 \fIusername\fR
1375 .TP 0.2i
1376 \(bu
1377 \fIusers\fR
1378 .TP 0.2i
1379 \(bu
1380 \fIvalid users\fR
1381 .TP 0.2i
1382 \(bu
1383 \fIveto files\fR
1384 .TP 0.2i
1385 \(bu
1386 \fIveto oplock files\fR
1387 .TP 0.2i
1388 \(bu
1389 \fIvfs object\fR
1390 .TP 0.2i
1391 \(bu
1392 \fIvfs options\fR
1393 .TP 0.2i
1394 \(bu
1395 \fIvolume\fR
1396 .TP 0.2i
1397 \(bu
1398 \fIwide links\fR
1399 .TP 0.2i
1400 \(bu
1401 \fIwritable\fR
1402 .TP 0.2i
1403 \(bu
1404 \fIwrite cache size\fR
1405 .TP 0.2i
1406 \(bu
1407 \fIwrite list\fR
1408 .TP 0.2i
1409 \(bu
1410 \fIwrite ok\fR
1411 .TP 0.2i
1412 \(bu
1413 \fIwriteable\fR
1414 .SH "EXPLANATION OF EACH PARAMETER"
1415 .TP
1416 \fBabort shutdown script (G)\fR
1417 \fBThis parameter only exists in the HEAD cvs branch\fR
1418 This a full path name to a script called by
1419 \fBsmbd(8)\fRthat
1420 should stop a shutdown procedure issued by the \fIshutdown script\fR.
1421
1422 This command will be run as user.
1423
1424 Default: \fBNone\fR.
1425
1426 Example: \fBabort shutdown script = /sbin/shutdown -c\fR
1427 .TP
1428 \fBadd printer command (G)\fR
1429 With the introduction of MS-RPC based printing
1430 support for Windows NT/2000 clients in Samba 2.2, The MS Add
1431 Printer Wizard (APW) icon is now also available in the 
1432 "Printers..." folder displayed a share listing. The APW
1433 allows for printers to be add remotely to a Samba or Windows 
1434 NT/2000 print server.
1435
1436 For a Samba host this means that the printer must be 
1437 physically added to the underlying printing system. The \fIadd 
1438 printer command\fR defines a script to be run which 
1439 will perform the necessary operations for adding the printer
1440 to the print system and to add the appropriate service definition 
1441 to the \fIsmb.conf\fR file in order that it can be 
1442 shared by \fBsmbd(8)\fR
1443 .
1444
1445 The \fIadd printer command\fR is
1446 automatically invoked with the following parameter (in 
1447 order:
1448 .RS
1449 .TP 0.2i
1450 \(bu
1451 \fIprinter name\fR
1452 .TP 0.2i
1453 \(bu
1454 \fIshare name\fR
1455 .TP 0.2i
1456 \(bu
1457 \fIport name\fR
1458 .TP 0.2i
1459 \(bu
1460 \fIdriver name\fR
1461 .TP 0.2i
1462 \(bu
1463 \fIlocation\fR
1464 .TP 0.2i
1465 \(bu
1466 \fIWindows 9x driver location\fR
1467 .RE
1468 .PP
1469 All parameters are filled in from the PRINTER_INFO_2 structure sent 
1470 by the Windows NT/2000 client with one exception. The "Windows 9x
1471 driver location" parameter is included for backwards compatibility
1472 only. The remaining fields in the structure are generated from answers
1473 to the APW questions.
1474 .PP
1475 .PP
1476 Once the \fIadd printer command\fR has 
1477 been executed, \fBsmbd\fR will reparse the \fI smb.conf\fR to determine if the share defined by the APW
1478 exists. If the sharename is still invalid, then \fBsmbd
1479 \fRwill return an ACCESS_DENIED error to the client.
1480 .PP
1481 .PP
1482 See also \fI delete printer command\fR, \fIprinting\fR,
1483 \fIshow add
1484 printer wizard\fR
1485 .PP
1486 .PP
1487 Default: \fBnone\fR
1488 .PP
1489 .PP
1490 Example: \fBaddprinter command = /usr/bin/addprinter
1491 \fR.PP
1492 .TP
1493 \fBadd share command (G)\fR
1494 Samba 2.2.0 introduced the ability to dynamically 
1495 add and delete shares via the Windows NT 4.0 Server Manager. The 
1496 \fIadd share command\fR is used to define an 
1497 external program or script which will add a new service definition 
1498 to \fIsmb.conf\fR. In order to successfully 
1499 execute the \fIadd share command\fR, \fBsmbd\fR
1500 requires that the administrator be connected using a root account (i.e. 
1501 uid == 0).
1502
1503 When executed, \fBsmbd\fR will automatically invoke the 
1504 \fIadd share command\fR with four parameters.
1505 .RS
1506 .TP 0.2i
1507 \(bu
1508 \fIconfigFile\fR - the location 
1509 of the global \fIsmb.conf\fR file. 
1510 .TP 0.2i
1511 \(bu
1512 \fIshareName\fR - the name of the new 
1513 share.
1514 .TP 0.2i
1515 \(bu
1516 \fIpathName\fR - path to an **existing**
1517 directory on disk.
1518 .TP 0.2i
1519 \(bu
1520 \fIcomment\fR - comment string to associate 
1521 with the new share.
1522 .RE
1523 .PP
1524 This parameter is only used for add file shares. To add printer shares, 
1525 see the \fIadd printer 
1526 command\fR.
1527 .PP
1528 .PP
1529 See also \fIchange share 
1530 command\fR, \fIdelete share
1531 command\fR.
1532 .PP
1533 .PP
1534 Default: \fBnone\fR
1535 .PP
1536 .PP
1537 Example: \fBadd share command = /usr/local/bin/addshare\fR
1538 .PP
1539 .TP
1540 \fBadd machine script (G)\fR
1541 This is the full pathname to a script that will 
1542 be run by smbd(8)when a machine is added
1543 to it's domain using the administrator username and password method. 
1544
1545 This option is only required when using sam back-ends tied to the
1546 Unix uid method of RID calculation such as smbpasswd. This option is only
1547 available in Samba 3.0.
1548
1549 Default: \fBadd machine script = <empty string>
1550 \fR
1551 Example: \fBadd machine script = /usr/sbin/adduser -n -g machines -c Machine -d /dev/null -s /bin/false %u
1552 \fR.TP
1553 \fBadd user script (G)\fR
1554 This is the full pathname to a script that will 
1555 be run \fBAS ROOT\fR by smbd(8)
1556 under special circumstances described below.
1557
1558 Normally, a Samba server requires that UNIX users are 
1559 created for all users accessing files on this server. For sites 
1560 that use Windows NT account databases as their primary user database 
1561 creating these users and keeping the user list in sync with the 
1562 Windows NT PDC is an onerous task. This option allows smbdto create the required UNIX users 
1563 \fBON DEMAND\fR when a user accesses the Samba server.
1564
1565 In order to use this option, smbd
1566 must \fBNOT\fR be set to \fIsecurity = share\fR
1567 and \fIadd user script\fR
1568 must be set to a full pathname for a script that will create a UNIX 
1569 user given one argument of \fI%u\fR, which expands into 
1570 the UNIX user name to create.
1571
1572 When the Windows user attempts to access the Samba server, 
1573 at login (session setup in the SMB protocol) time,  smbdcontacts the \fIpassword server\fR and 
1574 attempts to authenticate the given user with the given password. If the 
1575 authentication succeeds then \fBsmbd\fR 
1576 attempts to find a UNIX user in the UNIX password database to map the 
1577 Windows user into. If this lookup fails, and \fIadd user script
1578 \fRis set then \fBsmbd\fR will
1579 call the specified script \fBAS ROOT\fR, expanding 
1580 any \fI%u\fR argument to be the user name to create.
1581
1582 If this script successfully creates the user then \fBsmbd
1583 \fRwill continue on as though the UNIX user
1584 already existed. In this way, UNIX users are dynamically created to
1585 match existing Windows NT accounts.
1586
1587 See also \fI security\fR,  \fIpassword server\fR, 
1588 \fIdelete user 
1589 script\fR.
1590
1591 Default: \fBadd user script = <empty string>
1592 \fR
1593 Example: \fBadd user script = /usr/local/samba/bin/add_user 
1594 %u\fR
1595 .TP
1596 \fBadmin users (S)\fR
1597 This is a list of users who will be granted 
1598 administrative privileges on the share. This means that they 
1599 will do all file operations as the super-user (root).
1600
1601 You should use this option very carefully, as any user in 
1602 this list will be able to do anything they like on the share, 
1603 irrespective of file permissions.
1604
1605 Default: \fBno admin users\fR
1606
1607 Example: \fBadmin users = jason\fR
1608 .TP
1609 \fBallow hosts (S)\fR
1610 Synonym for  \fIhosts allow\fR.
1611 .TP
1612 \fBalgorithmic rid base (G)\fR
1613 This determines how Samba will use its
1614 algorithmic mapping from uids/gid to the RIDs needed to construct
1615 NT Security Identifiers.
1616
1617 Setting this option to a larger value could be useful to sites
1618 transitioning from WinNT and Win2k, as existing user and 
1619 group rids would otherwise clash with sytem users etc. 
1620
1621 All UIDs and GIDs must be able to be resolved into SIDs for 
1622 the correct operation of ACLs on the server. As such the algorithmic
1623 mapping can't be 'turned off', but pushing it 'out of the way' should
1624 resolve the issues. Users and groups can then be assigned 'low' RIDs
1625 in arbitary-rid supporting backends. 
1626
1627 Default: \fBalgorithmic rid base = 1000\fR
1628
1629 Example: \fBalgorithmic rid base = 100000\fR
1630 .TP
1631 \fBallow trusted domains (G)\fR
1632 This option only takes effect when the \fIsecurity\fR option is set to 
1633 server or domain. 
1634 If it is set to no, then attempts to connect to a resource from 
1635 a domain or workgroup other than the one which smbdis running 
1636 in will fail, even if that domain is trusted by the remote server 
1637 doing the authentication.
1638
1639 This is useful if you only want your Samba server to 
1640 serve resources to users in the domain it is a member of. As 
1641 an example, suppose that there are two domains DOMA and DOMB. DOMB 
1642 is trusted by DOMA, which contains the Samba server. Under normal 
1643 circumstances, a user with an account in DOMB can then access the 
1644 resources of a UNIX account with the same account name on the 
1645 Samba server even if they do not have an account in DOMA. This 
1646 can make implementing a security boundary difficult.
1647
1648 Default: \fBallow trusted domains = yes\fR
1649 .TP
1650 \fBannounce as (G)\fR
1651 This specifies what type of server 
1652 \fBnmbd\fR
1653 will announce itself as, to a network neighborhood browse 
1654 list. By default this is set to Windows NT. The valid options 
1655 are : "NT Server" (which can also be written as "NT"), 
1656 "NT Workstation", "Win95" or "WfW" meaning Windows NT Server, 
1657 Windows NT Workstation, Windows 95 and Windows for Workgroups 
1658 respectively. Do not change this parameter unless you have a 
1659 specific need to stop Samba appearing as an NT server as this 
1660 may prevent Samba servers from participating as browser servers 
1661 correctly.
1662
1663 Default: \fBannounce as = NT Server\fR
1664
1665 Example: \fBannounce as = Win95\fR
1666 .TP
1667 \fBannounce version (G)\fR
1668 This specifies the major and minor version numbers 
1669 that nmbd will use when announcing itself as a server. The default 
1670 is 4.2. Do not change this parameter unless you have a specific 
1671 need to set a Samba server to be a downlevel server.
1672
1673 Default: \fBannounce version = 4.5\fR
1674
1675 Example: \fBannounce version = 2.0\fR
1676 .TP
1677 \fBauto services (G)\fR
1678 This is a synonym for the  \fIpreload\fR.
1679 .TP
1680 \fBauth methods (G)\fR
1681 This option allows the administrator to chose what
1682 authentication methods \fBsmbd\fR will use when authenticating
1683 a user. This option defaults to sensible values based on \fI security\fR.
1684 Each entry in the list attempts to authenticate the user in turn, until
1685 the user authenticates. In practice only one method will ever actually 
1686 be able to complete the authentication.
1687
1688 Default: \fBauth methods = <empty string>\fR
1689
1690 Example: \fBauth methods = guest sam ntdomain\fR
1691 .TP
1692 \fBavailable (S)\fR
1693 This parameter lets you "turn off" a service. If 
1694 \fIavailable = no\fR, then \fBALL\fR 
1695 attempts to connect to the service will fail. Such failures are 
1696 logged.
1697
1698 Default: \fBavailable = yes\fR
1699 .TP
1700 \fBbind interfaces only (G)\fR
1701 This global parameter allows the Samba admin 
1702 to limit what interfaces on a machine will serve SMB requests. If 
1703 affects file service smbd(8)and 
1704 name service nmbd(8)in slightly 
1705 different ways.
1706
1707 For name service it causes \fBnmbd\fR to bind 
1708 to ports 137 and 138 on the interfaces listed in the interfaces parameter. \fBnmbd
1709 \fRalso binds to the "all addresses" interface (0.0.0.0) 
1710 on ports 137 and 138 for the purposes of reading broadcast messages. 
1711 If this option is not set then \fBnmbd\fR will service 
1712 name requests on all of these sockets. If \fIbind interfaces
1713 only\fR is set then \fBnmbd\fR will check the 
1714 source address of any packets coming in on the broadcast sockets 
1715 and discard any that don't match the broadcast addresses of the 
1716 interfaces in the \fIinterfaces\fR parameter list. 
1717 As unicast packets are received on the other sockets it allows 
1718 \fBnmbd\fR to refuse to serve names to machines that 
1719 send packets that arrive through any interfaces not listed in the
1720 \fIinterfaces\fR list. IP Source address spoofing
1721 does defeat this simple check, however so it must not be used
1722 seriously as a security feature for \fBnmbd\fR.
1723
1724 For file service it causes smbd(8)
1725 to bind only to the interface list given in the  interfaces parameter. This restricts the networks that 
1726 \fBsmbd\fR will serve to packets coming in those 
1727 interfaces. Note that you should not use this parameter for machines 
1728 that are serving PPP or other intermittent or non-broadcast network 
1729 interfaces as it will not cope with non-permanent interfaces.
1730
1731 If \fIbind interfaces only\fR is set then 
1732 unless the network address \fB127.0.0.1\fR is added 
1733 to the \fIinterfaces\fR parameter list \fBsmbpasswd(8)\fR
1734 and \fBswat(8)\fRmay 
1735 not work as expected due to the reasons covered below.
1736
1737 To change a users SMB password, the \fBsmbpasswd\fR
1738 by default connects to the \fBlocalhost - 127.0.0.1\fR 
1739 address as an SMB client to issue the password change request. If 
1740 \fIbind interfaces only\fR is set then unless the 
1741 network address \fB127.0.0.1\fR is added to the
1742 \fIinterfaces\fR parameter list then \fB smbpasswd\fR will fail to connect in it's default mode. 
1743 \fBsmbpasswd\fR can be forced to use the primary IP interface 
1744 of the local host by using its  \fI-r remote machine\fR
1745 parameter, with \fIremote machine\fR set 
1746 to the IP name of the primary interface of the local host.
1747
1748 The \fBswat\fR status page tries to connect with
1749 \fBsmbd\fR and \fBnmbd\fR at the address 
1750 \fB127.0.0.1\fR to determine if they are running. 
1751 Not adding \fB127.0.0.1\fR will cause \fB smbd\fR and \fBnmbd\fR to always show
1752 "not running" even if they really are. This can prevent \fB swat\fR from starting/stopping/restarting \fBsmbd\fR
1753 and \fBnmbd\fR.
1754
1755 Default: \fBbind interfaces only = no\fR
1756 .TP
1757 \fBblocking locks (S)\fR
1758 This parameter controls the behavior of smbd(8)when given a request by a client 
1759 to obtain a byte range lock on a region of an open file, and the 
1760 request has a time limit associated with it.
1761
1762 If this parameter is set and the lock range requested 
1763 cannot be immediately satisfied, Samba 2.2 will internally 
1764 queue the lock request, and periodically attempt to obtain 
1765 the lock until the timeout period expires.
1766
1767 If this parameter is set to false, then 
1768 Samba 2.2 will behave as previous versions of Samba would and 
1769 will fail the lock request immediately if the lock range 
1770 cannot be obtained.
1771
1772 Default: \fBblocking locks = yes\fR
1773 .TP
1774 \fBbrowsable (S)\fR
1775 See the \fI browseable\fR.
1776 .TP
1777 \fBbrowse list (G)\fR
1778 This controls whether  \fBsmbd(8)\fRwill serve a browse list to 
1779 a client doing a \fBNetServerEnum\fR call. Normally 
1780 set to true. You should never need to change 
1781 this.
1782
1783 Default: \fBbrowse list = yes\fR
1784 .TP
1785 \fBbrowseable (S)\fR
1786 This controls whether this share is seen in 
1787 the list of available shares in a net view and in the browse list.
1788
1789 Default: \fBbrowseable = yes\fR
1790 .TP
1791 \fBcase sensitive (S)\fR
1792 See the discussion in the section NAME MANGLING.
1793
1794 Default: \fBcase sensitive = no\fR
1795 .TP
1796 \fBcasesignames (S)\fR
1797 Synonym for case 
1798 sensitive.
1799 .TP
1800 \fBchange notify timeout (G)\fR
1801 This SMB allows a client to tell a server to 
1802 "watch" a particular directory for any changes and only reply to
1803 the SMB request when a change has occurred. Such constant scanning of
1804 a directory is expensive under UNIX, hence an  \fBsmbd(8)\fRdaemon only performs such a scan 
1805 on each requested directory once every \fIchange notify 
1806 timeout\fR seconds.
1807
1808 Default: \fBchange notify timeout = 60\fR
1809
1810 Example: \fBchange notify timeout = 300\fR
1811
1812 Would change the scan time to every 5 minutes.
1813 .TP
1814 \fBchange share command (G)\fR
1815 Samba 2.2.0 introduced the ability to dynamically 
1816 add and delete shares via the Windows NT 4.0 Server Manager. The 
1817 \fIchange share command\fR is used to define an 
1818 external program or script which will modify an existing service definition 
1819 in \fIsmb.conf\fR. In order to successfully 
1820 execute the \fIchange share command\fR, \fBsmbd\fR
1821 requires that the administrator be connected using a root account (i.e. 
1822 uid == 0).
1823
1824 When executed, \fBsmbd\fR will automatically invoke the 
1825 \fIchange share command\fR with four parameters.
1826 .RS
1827 .TP 0.2i
1828 \(bu
1829 \fIconfigFile\fR - the location 
1830 of the global \fIsmb.conf\fR file. 
1831 .TP 0.2i
1832 \(bu
1833 \fIshareName\fR - the name of the new 
1834 share.
1835 .TP 0.2i
1836 \(bu
1837 \fIpathName\fR - path to an **existing**
1838 directory on disk.
1839 .TP 0.2i
1840 \(bu
1841 \fIcomment\fR - comment string to associate 
1842 with the new share.
1843 .RE
1844 .PP
1845 This parameter is only used modify existing file shares definitions. To modify 
1846 printer shares, use the "Printers..." folder as seen when browsing the Samba host.
1847 .PP
1848 .PP
1849 See also \fIadd share
1850 command\fR, \fIdelete 
1851 share command\fR.
1852 .PP
1853 .PP
1854 Default: \fBnone\fR
1855 .PP
1856 .PP
1857 Example: \fBchange share command = /usr/local/bin/addshare\fR
1858 .PP
1859 .TP
1860 \fBcomment (S)\fR
1861 This is a text field that is seen next to a share 
1862 when a client does a queries the server, either via the network 
1863 neighborhood or via \fBnet view\fR to list what shares 
1864 are available.
1865
1866 If you want to set the string that is displayed next to the 
1867 machine name then see the \fI server string\fR parameter.
1868
1869 Default: \fBNo comment string\fR
1870
1871 Example: \fBcomment = Fred's Files\fR
1872 .TP
1873 \fBconfig file (G)\fR
1874 This allows you to override the config file 
1875 to use, instead of the default (usually \fIsmb.conf\fR). 
1876 There is a chicken and egg problem here as this option is set 
1877 in the config file!
1878
1879 For this reason, if the name of the config file has changed 
1880 when the parameters are loaded then it will reload them from 
1881 the new config file.
1882
1883 This option takes the usual substitutions, which can 
1884 be very useful.
1885
1886 If the config file doesn't exist then it won't be loaded 
1887 (allowing you to special case the config files of just a few 
1888 clients).
1889
1890 Example: \fBconfig file = /usr/local/samba/lib/smb.conf.%m
1891 \fR.TP
1892 \fBcopy (S)\fR
1893 This parameter allows you to "clone" service 
1894 entries. The specified service is simply duplicated under the 
1895 current service's name. Any parameters specified in the current 
1896 section will override those in the section being copied.
1897
1898 This feature lets you set up a 'template' service and 
1899 create similar services easily. Note that the service being 
1900 copied must occur earlier in the configuration file than the 
1901 service doing the copying.
1902
1903 Default: \fBno value\fR
1904
1905 Example: \fBcopy = otherservice\fR
1906 .TP
1907 \fBcreate mask (S)\fR
1908 A synonym for this parameter is 
1909 \fIcreate mode\fR
1910 \&.
1911
1912 When a file is created, the necessary permissions are 
1913 calculated according to the mapping from DOS modes to UNIX 
1914 permissions, and the resulting UNIX mode is then bit-wise 'AND'ed 
1915 with this parameter. This parameter may be thought of as a bit-wise 
1916 MASK for the UNIX modes of a file. Any bit \fBnot\fR 
1917 set here will be removed from the modes set on a file when it is 
1918 created.
1919
1920 The default value of this parameter removes the 
1921 \&'group' and 'other' write and execute bits from the UNIX modes.
1922
1923 Following this Samba will bit-wise 'OR' the UNIX mode created 
1924 from this parameter with the value of the \fIforce create mode\fR
1925 parameter which is set to 000 by default.
1926
1927 This parameter does not affect directory modes. See the 
1928 parameter \fIdirectory mode
1929 \fRfor details.
1930
1931 See also the \fIforce 
1932 create mode\fR parameter for forcing particular mode 
1933 bits to be set on created files. See also the  \fIdirectory mode\fR parameter for masking 
1934 mode bits on created directories. See also the  \fIinherit permissions\fR parameter.
1935
1936 Note that this parameter does not apply to permissions
1937 set by Windows NT/2000 ACL editors. If the administrator wishes to enforce
1938 a mask on access control lists also, they need to set the \fIsecurity mask\fR.
1939
1940 Default: \fBcreate mask = 0744\fR
1941
1942 Example: \fBcreate mask = 0775\fR
1943 .TP
1944 \fBcreate mode (S)\fR
1945 This is a synonym for \fI create mask\fR.
1946 .TP
1947 \fBcsc policy (S)\fR
1948 This stands for \fBclient-side caching 
1949 policy\fR, and specifies how clients capable of offline
1950 caching will cache the files in the share. The valid values
1951 are: manual, documents, programs, disable.
1952
1953 These values correspond to those used on Windows
1954 servers.
1955
1956 For example, shares containing roaming profiles can have
1957 offline caching disabled using \fBcsc policy = disable
1958 \fR\&.
1959
1960 Default: \fBcsc policy = manual\fR
1961
1962 Example: \fBcsc policy = programs\fR
1963 .TP
1964 \fBdeadtime (G)\fR
1965 The value of the parameter (a decimal integer) 
1966 represents the number of minutes of inactivity before a connection 
1967 is considered dead, and it is disconnected. The deadtime only takes 
1968 effect if the number of open files is zero.
1969
1970 This is useful to stop a server's resources being 
1971 exhausted by a large number of inactive connections.
1972
1973 Most clients have an auto-reconnect feature when a 
1974 connection is broken so in most cases this parameter should be 
1975 transparent to users.
1976
1977 Using this parameter with a timeout of a few minutes 
1978 is recommended for most systems.
1979
1980 A deadtime of zero indicates that no auto-disconnection 
1981 should be performed.
1982
1983 Default: \fBdeadtime = 0\fR
1984
1985 Example: \fBdeadtime = 15\fR
1986 .TP
1987 \fBdebug hires timestamp (G)\fR
1988 Sometimes the timestamps in the log messages 
1989 are needed with a resolution of higher that seconds, this 
1990 boolean parameter adds microsecond resolution to the timestamp 
1991 message header when turned on.
1992
1993 Note that the parameter \fI debug timestamp\fR must be on for this to have an 
1994 effect.
1995
1996 Default: \fBdebug hires timestamp = no\fR
1997 .TP
1998 \fBdebug pid (G)\fR
1999 When using only one log file for more then one 
2000 forked smbd-process there may be hard to follow which process 
2001 outputs which message. This boolean parameter is adds the process-id 
2002 to the timestamp message headers in the logfile when turned on.
2003
2004 Note that the parameter \fI debug timestamp\fR must be on for this to have an 
2005 effect.
2006
2007 Default: \fBdebug pid = no\fR
2008 .TP
2009 \fBdebug timestamp (G)\fR
2010 Samba 2.2 debug log messages are timestamped 
2011 by default. If you are running at a high  \fIdebug level\fR these timestamps
2012 can be distracting. This boolean parameter allows timestamping 
2013 to be turned off.
2014
2015 Default: \fBdebug timestamp = yes\fR
2016 .TP
2017 \fBdebug uid (G)\fR
2018 Samba is sometimes run as root and sometime 
2019 run as the connected user, this boolean parameter inserts the 
2020 current euid, egid, uid and gid to the timestamp message headers 
2021 in the log file if turned on.
2022
2023 Note that the parameter \fI debug timestamp\fR must be on for this to have an 
2024 effect.
2025
2026 Default: \fBdebug uid = no\fR
2027 .TP
2028 \fBdebuglevel (G)\fR
2029 Synonym for \fI log level\fR.
2030 .TP
2031 \fBdefault (G)\fR
2032 A synonym for \fI default service\fR.
2033 .TP
2034 \fBdefault case (S)\fR
2035 See the section on  NAME MANGLING. Also note the  \fIshort preserve case\fR parameter.
2036
2037 Default: \fBdefault case = lower\fR
2038 .TP
2039 \fBdefault devmode (S)\fR
2040 This parameter is only applicable to printable services. When smbd is serving
2041 Printer Drivers to Windows NT/2k/XP clients, each printer on the Samba
2042 server has a Device Mode which defines things such as paper size and
2043 orientation and duplex settings. The device mode can only correctly be
2044 generated by the printer driver itself (which can only be executed on a
2045 Win32 platform). Because smbd is unable to execute the driver code
2046 to generate the device mode, the default behavior is to set this field
2047 to NULL.
2048
2049 Most problems with serving printer drivers to Windows NT/2k/XP clients
2050 can be traced to a problem with the generated device mode. Certain drivers
2051 will do things such as crashing the client's Explorer.exe with a NULL devmode.
2052 However, other printer drivers can cause the client's spooler service
2053 (spoolsv.exe) to die if the devmode was not created by the driver itself
2054 (i.e. smbd generates a default devmode).
2055
2056 This parameter should be used with care and tested with the printer
2057 driver in question. It is better to leave the device mode to NULL
2058 and let the Windows client set the correct values. Because drivers do not
2059 do this all the time, setting \fBdefault devmode = yes\fR
2060 will instruct smbd to generate a default one.
2061
2062 For more information on Windows NT/2k printing and Device Modes,
2063 see the MSDN documentation <URL:http://msdn.microsoft.com/>.
2064
2065 Default: \fBdefault devmode = no\fR
2066 .TP
2067 \fBdefault service (G)\fR
2068 This parameter specifies the name of a service
2069 which will be connected to if the service actually requested cannot
2070 be found. Note that the square brackets are \fBNOT\fR
2071 given in the parameter value (see example below).
2072
2073 There is no default value for this parameter. If this 
2074 parameter is not given, attempting to connect to a nonexistent 
2075 service results in an error.
2076
2077 Typically the default service would be a  \fIguest ok\fR,  \fIread-only\fR service.
2078
2079 Also note that the apparent service name will be changed 
2080 to equal that of the requested service, this is very useful as it 
2081 allows you to use macros like \fI%S\fR to make 
2082 a wildcard service.
2083
2084 Note also that any "_" characters in the name of the service 
2085 used in the default service will get mapped to a "/". This allows for
2086 interesting things.
2087
2088 Example:
2089
2090 .sp
2091 .nf
2092 [global]
2093         default service = pub
2094         
2095 [pub]
2096         path = /%S
2097                 
2098 .sp
2099 .fi
2100 .TP
2101 \fBdelete printer command (G)\fR
2102 With the introduction of MS-RPC based printer
2103 support for Windows NT/2000 clients in Samba 2.2, it is now 
2104 possible to delete printer at run time by issuing the 
2105 DeletePrinter() RPC call.
2106
2107 For a Samba host this means that the printer must be 
2108 physically deleted from underlying printing system. The \fI deleteprinter command\fR defines a script to be run which 
2109 will perform the necessary operations for removing the printer
2110 from the print system and from \fIsmb.conf\fR.
2111
2112 The \fIdelete printer command\fR is 
2113 automatically called with only one parameter: \fI "printer name"\fR.
2114
2115 Once the \fIdelete printer command\fR has 
2116 been executed, \fBsmbd\fR will reparse the \fI smb.conf\fR to associated printer no longer exists. 
2117 If the sharename is still valid, then \fBsmbd
2118 \fRwill return an ACCESS_DENIED error to the client.
2119
2120 See also \fI add printer command\fR, \fIprinting\fR,
2121 \fIshow add
2122 printer wizard\fR
2123
2124 Default: \fBnone\fR
2125
2126 Example: \fBdeleteprinter command = /usr/bin/removeprinter
2127 \fR.TP
2128 \fBdelete readonly (S)\fR
2129 This parameter allows readonly files to be deleted. 
2130 This is not normal DOS semantics, but is allowed by UNIX.
2131
2132 This option may be useful for running applications such 
2133 as rcs, where UNIX file ownership prevents changing file 
2134 permissions, and DOS semantics prevent deletion of a read only file.
2135
2136 Default: \fBdelete readonly = no\fR
2137 .TP
2138 \fBdelete share command (G)\fR
2139 Samba 2.2.0 introduced the ability to dynamically 
2140 add and delete shares via the Windows NT 4.0 Server Manager. The 
2141 \fIdelete share command\fR is used to define an 
2142 external program or script which will remove an existing service 
2143 definition from \fIsmb.conf\fR. In order to successfully 
2144 execute the \fIdelete share command\fR, \fBsmbd\fR
2145 requires that the administrator be connected using a root account (i.e. 
2146 uid == 0).
2147
2148 When executed, \fBsmbd\fR will automatically invoke the 
2149 \fIdelete share command\fR with two parameters.
2150 .RS
2151 .TP 0.2i
2152 \(bu
2153 \fIconfigFile\fR - the location 
2154 of the global \fIsmb.conf\fR file. 
2155 .TP 0.2i
2156 \(bu
2157 \fIshareName\fR - the name of 
2158 the existing service.
2159 .RE
2160 .PP
2161 This parameter is only used to remove file shares. To delete printer shares, 
2162 see the \fIdelete printer 
2163 command\fR.
2164 .PP
2165 .PP
2166 See also \fIadd share
2167 command\fR, \fIchange 
2168 share command\fR.
2169 .PP
2170 .PP
2171 Default: \fBnone\fR
2172 .PP
2173 .PP
2174 Example: \fBdelete share command = /usr/local/bin/delshare\fR
2175 .PP
2176 .TP
2177 \fBdelete user script (G)\fR
2178 This is the full pathname to a script that will 
2179 be run \fBAS ROOT\fR by  \fBsmbd(8)\fRunder special circumstances 
2180 described below.
2181
2182 Normally, a Samba server requires that UNIX users are 
2183 created for all users accessing files on this server. For sites 
2184 that use Windows NT account databases as their primary user database 
2185 creating these users and keeping the user list in sync with the 
2186 Windows NT PDC is an onerous task. This option allows \fB smbd\fR to delete the required UNIX users \fBON 
2187 DEMAND\fR when a user accesses the Samba server and the 
2188 Windows NT user no longer exists.
2189
2190 In order to use this option, \fBsmbd\fR must be 
2191 set to \fIsecurity = domain\fR or \fIsecurity =
2192 user\fR and \fIdelete user script\fR 
2193 must be set to a full pathname for a script 
2194 that will delete a UNIX user given one argument of \fI%u\fR, 
2195 which expands into the UNIX user name to delete.
2196
2197 When the Windows user attempts to access the Samba server, 
2198 at \fBlogin\fR (session setup in the SMB protocol) 
2199 time, \fBsmbd\fR contacts the  \fIpassword server\fR and attempts to authenticate 
2200 the given user with the given password. If the authentication fails 
2201 with the specific Domain error code meaning that the user no longer 
2202 exists then \fBsmbd\fR attempts to find a UNIX user in 
2203 the UNIX password database that matches the Windows user account. If 
2204 this lookup succeeds, and \fIdelete user script\fR is 
2205 set then \fBsmbd\fR will all the specified script 
2206 \fBAS ROOT\fR, expanding any \fI%u\fR 
2207 argument to be the user name to delete.
2208
2209 This script should delete the given UNIX username. In this way, 
2210 UNIX users are dynamically deleted to match existing Windows NT 
2211 accounts.
2212
2213 See also security = domain,
2214 \fIpassword server\fR
2215 , \fIadd user script\fR
2216 \&.
2217
2218 Default: \fBdelete user script = <empty string>
2219 \fR
2220 Example: \fBdelete user script = /usr/local/samba/bin/del_user 
2221 %u\fR
2222 .TP
2223 \fBdelete veto files (S)\fR
2224 This option is used when Samba is attempting to 
2225 delete a directory that contains one or more vetoed directories 
2226 (see the \fIveto files\fR
2227 option). If this option is set to false (the default) then if a vetoed 
2228 directory contains any non-vetoed files or directories then the 
2229 directory delete will fail. This is usually what you want.
2230
2231 If this option is set to true, then Samba 
2232 will attempt to recursively delete any files and directories within 
2233 the vetoed directory. This can be useful for integration with file 
2234 serving systems such as NetAtalk which create meta-files within 
2235 directories you might normally veto DOS/Windows users from seeing 
2236 (e.g. \fI.AppleDouble\fR)
2237
2238 Setting \fBdelete veto files = yes\fR allows these 
2239 directories to be transparently deleted when the parent directory 
2240 is deleted (so long as the user has permissions to do so).
2241
2242 See also the \fIveto 
2243 files\fR parameter.
2244
2245 Default: \fBdelete veto files = no\fR
2246 .TP
2247 \fBdeny hosts (S)\fR
2248 Synonym for \fIhosts 
2249 deny\fR.
2250 .TP
2251 \fBdfree command (G)\fR
2252 The \fIdfree command\fR setting should 
2253 only be used on systems where a problem occurs with the internal 
2254 disk space calculations. This has been known to happen with Ultrix, 
2255 but may occur with other operating systems. The symptom that was 
2256 seen was an error of "Abort Retry Ignore" at the end of each 
2257 directory listing.
2258
2259 This setting allows the replacement of the internal routines to
2260 calculate the total disk space and amount available with an external
2261 routine. The example below gives a possible script that might fulfill
2262 this function.
2263
2264 The external program will be passed a single parameter indicating 
2265 a directory in the filesystem being queried. This will typically consist
2266 of the string \fI./\fR. The script should return two 
2267 integers in ASCII. The first should be the total disk space in blocks, 
2268 and the second should be the number of available blocks. An optional 
2269 third return value can give the block size in bytes. The default 
2270 blocksize is 1024 bytes.
2271
2272 Note: Your script should \fBNOT\fR be setuid or 
2273 setgid and should be owned by (and writeable only by) root!
2274
2275 Default: \fBBy default internal routines for 
2276 determining the disk capacity and remaining space will be used.
2277 \fR
2278 Example: \fBdfree command = /usr/local/samba/bin/dfree
2279 \fR
2280 Where the script dfree (which must be made executable) could be:
2281
2282 .sp
2283 .nf
2284  
2285                 #!/bin/sh
2286                 df $1 | tail -1 | awk '{print $2" "$4}'
2287                 
2288 .sp
2289 .fi
2290
2291 or perhaps (on Sys V based systems):
2292
2293 .sp
2294 .nf
2295  
2296                 #!/bin/sh
2297                 /usr/bin/df -k $1 | tail -1 | awk '{print $3" "$5}'
2298                 
2299 .sp
2300 .fi
2301
2302 Note that you may have to replace the command names 
2303 with full path names on some systems.
2304 .TP
2305 \fBdirectory (S)\fR
2306 Synonym for \fIpath
2307 \fR\&.
2308 .TP
2309 \fBdirectory mask (S)\fR
2310 This parameter is the octal modes which are 
2311 used when converting DOS modes to UNIX modes when creating UNIX 
2312 directories.
2313
2314 When a directory is created, the necessary permissions are 
2315 calculated according to the mapping from DOS modes to UNIX permissions, 
2316 and the resulting UNIX mode is then bit-wise 'AND'ed with this 
2317 parameter. This parameter may be thought of as a bit-wise MASK for 
2318 the UNIX modes of a directory. Any bit \fBnot\fR set 
2319 here will be removed from the modes set on a directory when it is 
2320 created.
2321
2322 The default value of this parameter removes the 'group' 
2323 and 'other' write bits from the UNIX mode, allowing only the 
2324 user who owns the directory to modify it.
2325
2326 Following this Samba will bit-wise 'OR' the UNIX mode 
2327 created from this parameter with the value of the \fIforce directory mode
2328 \fRparameter. This parameter is set to 000 by 
2329 default (i.e. no extra mode bits are added).
2330
2331 Note that this parameter does not apply to permissions
2332 set by Windows NT/2000 ACL editors. If the administrator wishes to enforce
2333 a mask on access control lists also, they need to set the \fIdirectory security mask\fR.
2334
2335 See the \fIforce 
2336 directory mode\fR parameter to cause particular mode 
2337 bits to always be set on created directories.
2338
2339 See also the \fIcreate mode
2340 \fRparameter for masking mode bits on created files, 
2341 and the \fIdirectory 
2342 security mask\fR parameter.
2343
2344 Also refer to the \fI inherit permissions\fR parameter.
2345
2346 Default: \fBdirectory mask = 0755\fR
2347
2348 Example: \fBdirectory mask = 0775\fR
2349 .TP
2350 \fBdirectory mode (S)\fR
2351 Synonym for \fI directory mask\fR
2352 .TP
2353 \fBdirectory security mask (S)\fR
2354 This parameter controls what UNIX permission bits 
2355 can be modified when a Windows NT client is manipulating the UNIX 
2356 permission on a directory using the native NT security dialog 
2357 box.
2358
2359 This parameter is applied as a mask (AND'ed with) to 
2360 the changed permission bits, thus preventing any bits not in 
2361 this mask from being modified. Essentially, zero bits in this 
2362 mask may be treated as a set of bits the user is not allowed 
2363 to change.
2364
2365 If not set explicitly this parameter is set to 0777
2366 meaning a user is allowed to modify all the user/group/world
2367 permissions on a directory.
2368
2369 \fBNote\fR that users who can access the 
2370 Samba server through other means can easily bypass this restriction, 
2371 so it is primarily useful for standalone "appliance" systems. 
2372 Administrators of most normal systems will probably want to leave
2373 it as the default of 0777.
2374
2375 See also the \fI force directory security mode\fR, \fIsecurity mask\fR, 
2376 \fIforce security mode
2377 \fRparameters.
2378
2379 Default: \fBdirectory security mask = 0777\fR
2380
2381 Example: \fBdirectory security mask = 0700\fR
2382 .TP
2383 \fBdisable spoolss (G)\fR
2384 Enabling this parameter will disables Samba's support
2385 for the SPOOLSS set of MS-RPC's and will yield identical behavior
2386 as Samba 2.0.x. Windows NT/2000 clients will downgrade to using
2387 Lanman style printing commands. Windows 9x/ME will be uneffected by
2388 the parameter. However, this will also disable the ability to upload
2389 printer drivers to a Samba server via the Windows NT Add Printer
2390 Wizard or by using the NT printer properties dialog window. It will
2391 also disable the capability of Windows NT/2000 clients to download
2392 print drivers from the Samba host upon demand.
2393 \fBBe very careful about enabling this parameter.\fR
2394
2395 See also use client driver
2396
2397 Default : \fBdisable spoolss = no\fR
2398 .TP
2399 \fBdns proxy (G)\fR
2400 Specifies that nmbd(8)
2401 when acting as a WINS server and finding that a NetBIOS name has not 
2402 been registered, should treat the NetBIOS name word-for-word as a DNS 
2403 name and do a lookup with the DNS server for that name on behalf of 
2404 the name-querying client.
2405
2406 Note that the maximum length for a NetBIOS name is 15 
2407 characters, so the DNS name (or DNS alias) can likewise only be 
2408 15 characters, maximum.
2409
2410 \fBnmbd\fR spawns a second copy of itself to do the
2411 DNS name lookup requests, as doing a name lookup is a blocking 
2412 action.
2413
2414 See also the parameter \fI wins support\fR.
2415
2416 Default: \fBdns proxy = yes\fR
2417 .TP
2418 \fBdomain admin group (G)\fR
2419 This parameter is intended as a temporary solution
2420 to enable users to be a member of the "Domain Admins" group when 
2421 a Samba host is acting as a PDC. A complete solution will be provided
2422 by a system for mapping Windows NT/2000 groups onto UNIX groups.
2423 Please note that this parameter has a somewhat confusing name. It 
2424 accepts a list of usernames and of group names in standard 
2425 \fIsmb.conf\fR notation.
2426
2427 See also \fIdomain
2428 guest group\fR, \fIdomain
2429 logons\fR
2430
2431 Default: \fBno domain administrators\fR
2432
2433 Example: \fBdomain admin group = root @wheel\fR
2434 .TP
2435 \fBdomain guest group (G)\fR
2436 This parameter is intended as a temporary solution
2437 to enable users to be a member of the "Domain Guests" group when 
2438 a Samba host is acting as a PDC. A complete solution will be provided
2439 by a system for mapping Windows NT/2000 groups onto UNIX groups.
2440 Please note that this parameter has a somewhat confusing name. It 
2441 accepts a list of usernames and of group names in standard 
2442 \fIsmb.conf\fR notation.
2443
2444 See also \fIdomain
2445 admin group\fR, \fIdomain
2446 logons\fR
2447
2448 Default: \fBno domain guests\fR
2449
2450 Example: \fBdomain guest group = nobody @guest\fR
2451 .TP
2452 \fBdomain logons (G)\fR
2453 If set to true, the Samba server will serve 
2454 Windows 95/98 Domain logons for the  \fIworkgroup\fR it is in. Samba 2.2 also 
2455 has limited capability to act as a domain controller for Windows 
2456 NT 4 Domains. For more details on setting up this feature see 
2457 the Samba-PDC-HOWTO included in the \fIhtmldocs/\fR
2458 directory shipped with the source code.
2459
2460 Default: \fBdomain logons = no\fR
2461 .TP
2462 \fBdomain master (G)\fR
2463 Tell \fB nmbd(8)\fRto enable WAN-wide browse list
2464 collation. Setting this option causes \fBnmbd\fR to
2465 claim a special domain specific NetBIOS name that identifies 
2466 it as a domain master browser for its given  \fIworkgroup\fR. Local master browsers 
2467 in the same \fIworkgroup\fR on broadcast-isolated 
2468 subnets will give this \fBnmbd\fR their local browse lists, 
2469 and then ask \fBsmbd(8)\fR
2470 for a complete copy of the browse list for the whole wide area 
2471 network. Browser clients will then contact their local master browser, 
2472 and will receive the domain-wide browse list, instead of just the list 
2473 for their broadcast-isolated subnet.
2474
2475 Note that Windows NT Primary Domain Controllers expect to be 
2476 able to claim this \fIworkgroup\fR specific special 
2477 NetBIOS name that identifies them as domain master browsers for 
2478 that \fIworkgroup\fR by default (i.e. there is no 
2479 way to prevent a Windows NT PDC from attempting to do this). This 
2480 means that if this parameter is set and \fBnmbd\fR claims 
2481 the special name for a \fIworkgroup\fR before a Windows 
2482 NT PDC is able to do so then cross subnet browsing will behave 
2483 strangely and may fail.
2484
2485 If \fBdomain logons = yes\fR
2486 , then the default behavior is to enable the \fIdomain 
2487 master\fR parameter. If \fIdomain logons\fR is 
2488 not enabled (the default setting), then neither will \fIdomain 
2489 master\fR be enabled by default.
2490
2491 Default: \fBdomain master = auto\fR
2492 .TP
2493 \fBdont descend (S)\fR
2494 There are certain directories on some systems 
2495 (e.g., the \fI/proc\fR tree under Linux) that are either not 
2496 of interest to clients or are infinitely deep (recursive). This 
2497 parameter allows you to specify a comma-delimited list of directories 
2498 that the server should always show as empty.
2499
2500 Note that Samba can be very fussy about the exact format 
2501 of the "dont descend" entries. For example you may need \fI ./proc\fR instead of just \fI/proc\fR. 
2502 Experimentation is the best policy :-) 
2503
2504 Default: \fBnone (i.e., all directories are OK 
2505 to descend)\fR
2506
2507 Example: \fBdont descend = /proc,/dev\fR
2508 .TP
2509 \fBdos filemode (S)\fR
2510 The default behavior in Samba is to provide 
2511 UNIX-like behavior where only the owner of a file/directory is 
2512 able to change the permissions on it. However, this behavior
2513 is often confusing to DOS/Windows users. Enabling this parameter 
2514 allows a user who has write access to the file (by whatever 
2515 means) to modify the permissions on it. Note that a user
2516 belonging to the group owning the file will not be allowed to
2517 change permissions if the group is only granted read access.
2518 Ownership of the file/directory is not changed, only the permissions 
2519 are modified.
2520
2521 Default: \fBdos filemode = no\fR
2522 .TP
2523 \fBdos filetime resolution (S)\fR
2524 Under the DOS and Windows FAT filesystem, the finest 
2525 granularity on time resolution is two seconds. Setting this parameter 
2526 for a share causes Samba to round the reported time down to the 
2527 nearest two second boundary when a query call that requires one second 
2528 resolution is made to \fBsmbd(8)\fR
2529 .
2530
2531 This option is mainly used as a compatibility option for Visual 
2532 C++ when used against Samba shares. If oplocks are enabled on a 
2533 share, Visual C++ uses two different time reading calls to check if a 
2534 file has changed since it was last read. One of these calls uses a
2535 one-second granularity, the other uses a two second granularity. As
2536 the two second call rounds any odd second down, then if the file has a
2537 timestamp of an odd number of seconds then the two timestamps will not
2538 match and Visual C++ will keep reporting the file has changed. Setting
2539 this option causes the two timestamps to match, and Visual C++ is
2540 happy.
2541
2542 Default: \fBdos filetime resolution = no\fR
2543 .TP
2544 \fBdos filetimes (S)\fR
2545 Under DOS and Windows, if a user can write to a 
2546 file they can change the timestamp on it. Under POSIX semantics, 
2547 only the owner of the file or root may change the timestamp. By 
2548 default, Samba runs with POSIX semantics and refuses to change the 
2549 timestamp on a file if the user \fBsmbd\fR is acting 
2550 on behalf of is not the file owner. Setting this option to  true allows DOS semantics and smbdwill change the file 
2551 timestamp as DOS requires.
2552
2553 Default: \fBdos filetimes = no\fR
2554 .TP
2555 \fBencrypt passwords (G)\fR
2556 This boolean controls whether encrypted passwords 
2557 will be negotiated with the client. Note that Windows NT 4.0 SP3 and 
2558 above and also Windows 98 will by default expect encrypted passwords 
2559 unless a registry entry is changed. To use encrypted passwords in 
2560 Samba see the file ENCRYPTION.txt in the Samba documentation 
2561 directory \fIdocs/\fR shipped with the source code.
2562
2563 In order for encrypted passwords to work correctly
2564 \fBsmbd(8)\fRmust either 
2565 have access to a local \fIsmbpasswd(5)
2566 \fRprogram for information on how to set up 
2567 and maintain this file), or set the security = [server|domain|ads] parameter which 
2568 causes \fBsmbd\fR to authenticate against another 
2569 server.
2570
2571 Default: \fBencrypt passwords = yes\fR
2572 .TP
2573 \fBenhanced browsing (G)\fR
2574 This option enables a couple of enhancements to 
2575 cross-subnet browse propagation that have been added in Samba 
2576 but which are not standard in Microsoft implementations. 
2577
2578 The first enhancement to browse propagation consists of a regular
2579 wildcard query to a Samba WINS server for all Domain Master Browsers,
2580 followed by a browse synchronization with each of the returned
2581 DMBs. The second enhancement consists of a regular randomised browse
2582 synchronization with all currently known DMBs.
2583
2584 You may wish to disable this option if you have a problem with empty
2585 workgroups not disappearing from browse lists. Due to the restrictions
2586 of the browse protocols these enhancements can cause a empty workgroup
2587 to stay around forever which can be annoying.
2588
2589 In general you should leave this option enabled as it makes
2590 cross-subnet browse propagation much more reliable.
2591
2592 Default: \fBenhanced browsing = yes\fR
2593 .TP
2594 \fBenumports command (G)\fR
2595 The concept of a "port" is fairly foreign
2596 to UNIX hosts. Under Windows NT/2000 print servers, a port
2597 is associated with a port monitor and generally takes the form of
2598 a local port (i.e. LPT1:, COM1:, FILE:) or a remote port
2599 (i.e. LPD Port Monitor, etc...). By default, Samba has only one
2600 port defined--"Samba Printer Port". Under 
2601 Windows NT/2000, all printers must have a valid port name. 
2602 If you wish to have a list of ports displayed (\fBsmbd
2603 \fRdoes not use a port name for anything) other than 
2604 the default "Samba Printer Port", you 
2605 can define \fIenumports command\fR to point to
2606 a program which should generate a list of ports, one per line,
2607 to standard output. This listing will then be used in response
2608 to the level 1 and 2 EnumPorts() RPC.
2609
2610 Default: \fBno enumports command\fR
2611
2612 Example: \fBenumports command = /usr/bin/listports
2613 \fR.TP
2614 \fBexec (S)\fR
2615 This is a synonym for  \fIpreexec\fR.
2616 .TP
2617 \fBfake directory create times (S)\fR
2618 NTFS and Windows VFAT file systems keep a create 
2619 time for all files and directories. This is not the same as the 
2620 ctime - status change time - that Unix keeps, so Samba by default 
2621 reports the earliest of the various times Unix does keep. Setting 
2622 this parameter for a share causes Samba to always report midnight 
2623 1-1-1980 as the create time for directories.
2624
2625 This option is mainly used as a compatibility option for 
2626 Visual C++ when used against Samba shares. Visual C++ generated 
2627 makefiles have the object directory as a dependency for each object 
2628 file, and a make rule to create the directory. Also, when NMAKE 
2629 compares timestamps it uses the creation time when examining a 
2630 directory. Thus the object directory will be created if it does not 
2631 exist, but once it does exist it will always have an earlier 
2632 timestamp than the object files it contains.
2633
2634 However, Unix time semantics mean that the create time 
2635 reported by Samba will be updated whenever a file is created or 
2636 or deleted in the directory. NMAKE finds all object files in 
2637 the object directory. The timestamp of the last one built is then 
2638 compared to the timestamp of the object directory. If the 
2639 directory's timestamp if newer, then all object files
2640 will be rebuilt. Enabling this option 
2641 ensures directories always predate their contents and an NMAKE build 
2642 will proceed as expected.
2643
2644 Default: \fBfake directory create times = no\fR
2645 .TP
2646 \fBfake oplocks (S)\fR
2647 Oplocks are the way that SMB clients get permission 
2648 from a server to locally cache file operations. If a server grants 
2649 an oplock (opportunistic lock) then the client is free to assume 
2650 that it is the only one accessing the file and it will aggressively 
2651 cache file data. With some oplock types the client may even cache 
2652 file open/close operations. This can give enormous performance benefits.
2653
2654 When you set \fBfake oplocks = yes\fR, \fBsmbd(8)\fRwill
2655 always grant oplock requests no matter how many clients are using 
2656 the file.
2657
2658 It is generally much better to use the real \fIoplocks\fR support rather 
2659 than this parameter.
2660
2661 If you enable this option on all read-only shares or 
2662 shares that you know will only be accessed from one client at a 
2663 time such as physically read-only media like CDROMs, you will see 
2664 a big performance improvement on many operations. If you enable 
2665 this option on shares where multiple clients may be accessing the 
2666 files read-write at the same time you can get data corruption. Use 
2667 this option carefully!
2668
2669 Default: \fBfake oplocks = no\fR
2670 .TP
2671 \fBfollow symlinks (S)\fR
2672 This parameter allows the Samba administrator 
2673 to stop \fBsmbd(8)\fR
2674 from following symbolic links in a particular share. Setting this 
2675 parameter to no prevents any file or directory 
2676 that is a symbolic link from being followed (the user will get an 
2677 error). This option is very useful to stop users from adding a 
2678 symbolic link to \fI/etc/passwd\fR in their home 
2679 directory for instance. However it will slow filename lookups 
2680 down slightly.
2681
2682 This option is enabled (i.e. \fBsmbd\fR will 
2683 follow symbolic links) by default.
2684
2685 Default: \fBfollow symlinks = yes\fR
2686 .TP
2687 \fBforce create mode (S)\fR
2688 This parameter specifies a set of UNIX mode bit 
2689 permissions that will \fBalways\fR be set on a 
2690 file created by Samba. This is done by bitwise 'OR'ing these bits onto 
2691 the mode bits of a file that is being created or having its 
2692 permissions changed. The default for this parameter is (in octal) 
2693 000. The modes in this parameter are bitwise 'OR'ed onto the file 
2694 mode after the mask set in the \fIcreate mask\fR 
2695 parameter is applied.
2696
2697 See also the parameter \fIcreate 
2698 mask\fR for details on masking mode bits on files.
2699
2700 See also the \fIinherit 
2701 permissions\fR parameter.
2702
2703 Default: \fBforce create mode = 000\fR
2704
2705 Example: \fBforce create mode = 0755\fR
2706
2707 would force all created files to have read and execute 
2708 permissions set for 'group' and 'other' as well as the 
2709 read/write/execute bits set for the 'user'.
2710 .TP
2711 \fBforce directory mode (S)\fR
2712 This parameter specifies a set of UNIX mode bit 
2713 permissions that will \fBalways\fR be set on a directory 
2714 created by Samba. This is done by bitwise 'OR'ing these bits onto the 
2715 mode bits of a directory that is being created. The default for this 
2716 parameter is (in octal) 0000 which will not add any extra permission 
2717 bits to a created directory. This operation is done after the mode 
2718 mask in the parameter \fIdirectory mask\fR is 
2719 applied.
2720
2721 See also the parameter \fI directory mask\fR for details on masking mode bits 
2722 on created directories.
2723
2724 See also the \fI inherit permissions\fR parameter.
2725
2726 Default: \fBforce directory mode = 000\fR
2727
2728 Example: \fBforce directory mode = 0755\fR
2729
2730 would force all created directories to have read and execute
2731 permissions set for 'group' and 'other' as well as the
2732 read/write/execute bits set for the 'user'.
2733 .TP
2734 \fBforce directory  security mode (S)\fR
2735 This parameter controls what UNIX permission bits 
2736 can be modified when a Windows NT client is manipulating the UNIX 
2737 permission on a directory using the native NT security dialog box.
2738
2739 This parameter is applied as a mask (OR'ed with) to the 
2740 changed permission bits, thus forcing any bits in this mask that 
2741 the user may have modified to be on. Essentially, one bits in this 
2742 mask may be treated as a set of bits that, when modifying security 
2743 on a directory, the user has always set to be 'on'.
2744
2745 If not set explicitly this parameter is 000, which 
2746 allows a user to modify all the user/group/world permissions on a 
2747 directory without restrictions.
2748
2749 \fBNote\fR that users who can access the 
2750 Samba server through other means can easily bypass this restriction, 
2751 so it is primarily useful for standalone "appliance" systems. 
2752 Administrators of most normal systems will probably want to leave
2753 it set as 0000.
2754
2755 See also the \fI directory security mask\fR,  \fIsecurity mask\fR, 
2756 \fIforce security mode
2757 \fRparameters.
2758
2759 Default: \fBforce directory security mode = 0\fR
2760
2761 Example: \fBforce directory security mode = 700\fR
2762 .TP
2763 \fBforce group (S)\fR
2764 This specifies a UNIX group name that will be 
2765 assigned as the default primary group for all users connecting 
2766 to this service. This is useful for sharing files by ensuring 
2767 that all access to files on service will use the named group for 
2768 their permissions checking. Thus, by assigning permissions for this 
2769 group to the files and directories within this service the Samba 
2770 administrator can restrict or allow sharing of these files.
2771
2772 In Samba 2.0.5 and above this parameter has extended 
2773 functionality in the following way. If the group name listed here 
2774 has a '+' character prepended to it then the current user accessing 
2775 the share only has the primary group default assigned to this group 
2776 if they are already assigned as a member of that group. This allows 
2777 an administrator to decide that only users who are already in a 
2778 particular group will create files with group ownership set to that 
2779 group. This gives a finer granularity of ownership assignment. For 
2780 example, the setting \fIforce group = +sys\fR means 
2781 that only users who are already in group sys will have their default
2782 primary group assigned to sys when accessing this Samba share. All
2783 other users will retain their ordinary primary group.
2784
2785 If the \fIforce user
2786 \fRparameter is also set the group specified in 
2787 \fIforce group\fR will override the primary group
2788 set in \fIforce user\fR.
2789
2790 See also \fIforce 
2791 user\fR.
2792
2793 Default: \fBno forced group\fR
2794
2795 Example: \fBforce group = agroup\fR
2796 .TP
2797 \fBforce security mode (S)\fR
2798 This parameter controls what UNIX permission 
2799 bits can be modified when a Windows NT client is manipulating 
2800 the UNIX permission on a file using the native NT security dialog 
2801 box.
2802
2803 This parameter is applied as a mask (OR'ed with) to the 
2804 changed permission bits, thus forcing any bits in this mask that 
2805 the user may have modified to be on. Essentially, one bits in this 
2806 mask may be treated as a set of bits that, when modifying security 
2807 on a file, the user has always set to be 'on'.
2808
2809 If not set explicitly this parameter is set to 0,
2810 and allows a user to modify all the user/group/world permissions on a file,
2811 with no restrictions.
2812
2813 \fBNote\fR that users who can access 
2814 the Samba server through other means can easily bypass this restriction, 
2815 so it is primarily useful for standalone "appliance" systems. 
2816 Administrators of most normal systems will probably want to leave
2817 this set to 0000.
2818
2819 See also the \fI force directory security mode\fR,
2820 \fIdirectory security
2821 mask\fR, \fI security mask\fR parameters.
2822
2823 Default: \fBforce security mode = 0\fR
2824
2825 Example: \fBforce security mode = 700\fR
2826 .TP
2827 \fBforce user (S)\fR
2828 This specifies a UNIX user name that will be 
2829 assigned as the default user for all users connecting to this service. 
2830 This is useful for sharing files. You should also use it carefully 
2831 as using it incorrectly can cause security problems.
2832
2833 This user name only gets used once a connection is established. 
2834 Thus clients still need to connect as a valid user and supply a 
2835 valid password. Once connected, all file operations will be performed 
2836 as the "forced user", no matter what username the client connected 
2837 as. This can be very useful.
2838
2839 In Samba 2.0.5 and above this parameter also causes the 
2840 primary group of the forced user to be used as the primary group 
2841 for all file activity. Prior to 2.0.5 the primary group was left 
2842 as the primary group of the connecting user (this was a bug).
2843
2844 See also \fIforce group
2845 \fR
2846 Default: \fBno forced user\fR
2847
2848 Example: \fBforce user = auser\fR
2849 .TP
2850 \fBfstype (S)\fR
2851 This parameter allows the administrator to 
2852 configure the string that specifies the type of filesystem a share 
2853 is using that is reported by \fBsmbd(8)
2854 \fRwhen a client queries the filesystem type
2855 for a share. The default type is NTFS for 
2856 compatibility with Windows NT but this can be changed to other 
2857 strings such as Samba or FAT
2858 if required.
2859
2860 Default: \fBfstype = NTFS\fR
2861
2862 Example: \fBfstype = Samba\fR
2863 .TP
2864 \fBgetwd cache (G)\fR
2865 This is a tuning option. When this is enabled a 
2866 caching algorithm will be used to reduce the time taken for getwd() 
2867 calls. This can have a significant impact on performance, especially 
2868 when the \fIwide links\fR
2869 parameter is set to false.
2870
2871 Default: \fBgetwd cache = yes\fR
2872 .TP
2873 \fBgroup (S)\fR
2874 Synonym for \fIforce 
2875 group\fR.
2876 .TP
2877 \fBguest account (S)\fR
2878 This is a username which will be used for access 
2879 to services which are specified as \fI guest ok\fR (see below). Whatever privileges this 
2880 user has will be available to any client connecting to the guest service. 
2881 Typically this user will exist in the password file, but will not
2882 have a valid login. The user account "ftp" is often a good choice 
2883 for this parameter. If a username is specified in a given service, 
2884 the specified username overrides this one.
2885
2886 One some systems the default guest account "nobody" may not 
2887 be able to print. Use another account in this case. You should test 
2888 this by trying to log in as your guest user (perhaps by using the 
2889 \fBsu -\fR command) and trying to print using the 
2890 system print command such as \fBlpr(1)\fR or \fB lp(1)\fR.
2891
2892 Default: \fBspecified at compile time, usually 
2893 "nobody"\fR
2894
2895 Example: \fBguest account = ftp\fR
2896 .TP
2897 \fBguest ok (S)\fR
2898 If this parameter is yes for 
2899 a service, then no password is required to connect to the service. 
2900 Privileges will be those of the \fI guest account\fR.
2901
2902 See the section below on \fI security\fR for more information about this option.
2903
2904 Default: \fBguest ok = no\fR
2905 .TP
2906 \fBguest only (S)\fR
2907 If this parameter is yes for 
2908 a service, then only guest connections to the service are permitted. 
2909 This parameter will have no effect if  \fIguest ok\fR is not set for the service.
2910
2911 See the section below on \fI security\fR for more information about this option.
2912
2913 Default: \fBguest only = no\fR
2914 .TP
2915 \fBhide dot files (S)\fR
2916 This is a boolean parameter that controls whether 
2917 files starting with a dot appear as hidden files.
2918
2919 Default: \fBhide dot files = yes\fR
2920 .TP
2921 \fBhide files(S)\fR
2922 This is a list of files or directories that are not 
2923 visible but are accessible. The DOS 'hidden' attribute is applied 
2924 to any files or directories that match.
2925
2926 Each entry in the list must be separated by a '/', 
2927 which allows spaces to be included in the entry. '*'
2928 and '?' can be used to specify multiple files or directories 
2929 as in DOS wildcards.
2930
2931 Each entry must be a Unix path, not a DOS path and must 
2932 not include the Unix directory separator '/'.
2933
2934 Note that the case sensitivity option is applicable 
2935 in hiding files.
2936
2937 Setting this parameter will affect the performance of Samba, 
2938 as it will be forced to check all files and directories for a match 
2939 as they are scanned.
2940
2941 See also \fIhide 
2942 dot files\fR, \fI veto files\fR and  \fIcase sensitive\fR.
2943
2944 Default: \fBno file are hidden\fR
2945
2946 Example: \fBhide files =
2947 /.*/DesktopFolderDB/TrashFor%m/resource.frk/\fR
2948
2949 The above example is based on files that the Macintosh 
2950 SMB client (DAVE) available from  
2951 Thursby <URL:http://www.thursby.com> creates for internal use, and also still hides 
2952 all files beginning with a dot.
2953 .TP
2954 \fBhide local users(G)\fR
2955 This parameter toggles the hiding of local UNIX 
2956 users (root, wheel, floppy, etc) from remote clients.
2957
2958 Default: \fBhide local users = no\fR
2959 .TP
2960 \fBhide unreadable (S)\fR
2961 This parameter prevents clients from seeing the
2962 existance of files that cannot be read. Defaults to off.
2963
2964 Default: \fBhide unreadable = no\fR
2965 .TP
2966 \fBhomedir map (G)\fR
2967 If\fInis homedir
2968 \fRis true, and \fBsmbd(8)\fRis also acting 
2969 as a Win95/98 \fIlogon server\fR then this parameter 
2970 specifies the NIS (or YP) map from which the server for the user's 
2971 home directory should be extracted. At present, only the Sun 
2972 auto.home map format is understood. The form of the map is:
2973
2974 \fBusername server:/some/file/system\fR
2975
2976 and the program will extract the servername from before 
2977 the first ':'. There should probably be a better parsing system 
2978 that copes with different map formats and also Amd (another 
2979 automounter) maps.
2980
2981 \fBNOTE :\fRA working NIS client is required on 
2982 the system for this option to work.
2983
2984 See also \fInis homedir\fR
2985 , \fIdomain logons\fR
2986 \&.
2987
2988 Default: \fBhomedir map = <empty string>\fR
2989
2990 Example: \fBhomedir map = amd.homedir\fR
2991 .TP
2992 \fBhost msdfs (G)\fR
2993 This boolean parameter is only available 
2994 if Samba has been configured and compiled with the \fB --with-msdfs\fR option. If set to yes, 
2995 Samba will act as a Dfs server, and allow Dfs-aware clients 
2996 to browse Dfs trees hosted on the server.
2997
2998 See also the \fI msdfs root\fR share level parameter. For
2999 more information on setting up a Dfs tree on Samba,
3000 refer to msdfs_setup.html.
3001
3002 Default: \fBhost msdfs = no\fR
3003 .TP
3004 \fBhosts allow (S)\fR
3005 A synonym for this parameter is \fIallow 
3006 hosts\fR.
3007
3008 This parameter is a comma, space, or tab delimited 
3009 set of hosts which are permitted to access a service.
3010
3011 If specified in the [global] section then it will
3012 apply to all services, regardless of whether the individual 
3013 service has a different setting.
3014
3015 You can specify the hosts by name or IP number. For 
3016 example, you could restrict access to only the hosts on a 
3017 Class C subnet with something like \fBallow hosts = 150.203.5.
3018 \fR\&. The full syntax of the list is described in the man 
3019 page \fIhosts_access(5)\fR. Note that this man
3020 page may not be present on your system, so a brief description will
3021 be given here also.
3022
3023 Note that the localhost address 127.0.0.1 will always 
3024 be allowed access unless specifically denied by a \fIhosts deny\fR option.
3025
3026 You can also specify hosts by network/netmask pairs and 
3027 by netgroup names if your system supports netgroups. The 
3028 \fBEXCEPT\fR keyword can also be used to limit a 
3029 wildcard list. The following examples may provide some help:
3030
3031 Example 1: allow all IPs in 150.203.*.*; except one
3032
3033 \fBhosts allow = 150.203. EXCEPT 150.203.6.66\fR
3034
3035 Example 2: allow hosts that match the given network/netmask
3036
3037 \fBhosts allow = 150.203.15.0/255.255.255.0\fR
3038
3039 Example 3: allow a couple of hosts
3040
3041 \fBhosts allow = lapland, arvidsjaur\fR
3042
3043 Example 4: allow only hosts in NIS netgroup "foonet", but 
3044 deny access from one particular host
3045
3046 \fBhosts allow = @foonet\fR
3047
3048 \fBhosts deny = pirate\fR
3049
3050 Note that access still requires suitable user-level passwords.
3051
3052 See \fBtestparm(1)\fR
3053 for a way of testing your host access to see if it does 
3054 what you expect.
3055
3056 Default: \fBnone (i.e., all hosts permitted access)
3057 \fR
3058 Example: \fBallow hosts = 150.203.5. myhost.mynet.edu.au
3059 \fR.TP
3060 \fBhosts deny (S)\fR
3061 The opposite of \fIhosts allow\fR 
3062 - hosts listed here are \fBNOT\fR permitted access to 
3063 services unless the specific services have their own lists to override 
3064 this one. Where the lists conflict, the \fIallow\fR 
3065 list takes precedence.
3066
3067 Default: \fBnone (i.e., no hosts specifically excluded)
3068 \fR
3069 Example: \fBhosts deny = 150.203.4. badhost.mynet.edu.au
3070 \fR.TP
3071 \fBhosts equiv (G)\fR
3072 If this global parameter is a non-null string, 
3073 it specifies the name of a file to read for the names of hosts 
3074 and users who will be allowed access without specifying a password.
3075
3076 This is not be confused with  \fIhosts allow\fR which is about hosts 
3077 access to services and is more useful for guest services. \fI hosts equiv\fR may be useful for NT clients which will 
3078 not supply passwords to Samba.
3079
3080 \fBNOTE :\fR The use of \fIhosts equiv
3081 \fRcan be a major security hole. This is because you are 
3082 trusting the PC to supply the correct username. It is very easy to 
3083 get a PC to supply a false username. I recommend that the 
3084 \fIhosts equiv\fR option be only used if you really 
3085 know what you are doing, or perhaps on a home network where you trust 
3086 your spouse and kids. And only if you \fBreally\fR trust 
3087 them :-).
3088
3089 Default: \fBno host equivalences\fR
3090
3091 Example: \fBhosts equiv = /etc/hosts.equiv\fR
3092 .TP
3093 \fBinclude (G)\fR
3094 This allows you to include one config file 
3095 inside another. The file is included literally, as though typed 
3096 in place.
3097
3098 It takes the standard substitutions, except \fI%u
3099 \fR, \fI%P\fR and \fI%S\fR.
3100
3101 Default: \fBno file included\fR
3102
3103 Example: \fBinclude = /usr/local/samba/lib/admin_smb.conf
3104 \fR.TP
3105 \fBinherit permissions (S)\fR
3106 The permissions on new files and directories 
3107 are normally governed by \fI create mask\fR,  \fIdirectory mask\fR, \fIforce create mode\fR
3108 and \fIforce 
3109 directory mode\fR but the boolean inherit 
3110 permissions parameter overrides this.
3111
3112 New directories inherit the mode of the parent directory,
3113 including bits such as setgid.
3114
3115 New files inherit their read/write bits from the parent 
3116 directory. Their execute bits continue to be determined by
3117 \fImap archive\fR
3118 , \fImap hidden\fR
3119 and \fImap system\fR
3120 as usual.
3121
3122 Note that the setuid bit is \fBnever\fR set via 
3123 inheritance (the code explicitly prohibits this).
3124
3125 This can be particularly useful on large systems with 
3126 many users, perhaps several thousand, to allow a single [homes] 
3127 share to be used flexibly by each user.
3128
3129 See also \fIcreate mask
3130 \fR, \fI directory mask\fR,  \fIforce create mode\fR and \fIforce directory mode\fR
3131 \&.
3132
3133 Default: \fBinherit permissions = no\fR
3134 .TP
3135 \fBinterfaces (G)\fR
3136 This option allows you to override the default 
3137 network interfaces list that Samba will use for browsing, name 
3138 registration and other NBT traffic. By default Samba will query 
3139 the kernel for the list of all active interfaces and use any 
3140 interfaces except 127.0.0.1 that are broadcast capable.
3141
3142 The option takes a list of interface strings. Each string 
3143 can be in any of the following forms:
3144 .RS
3145 .TP 0.2i
3146 \(bu
3147 a network interface name (such as eth0). 
3148 This may include shell-like wildcards so eth* will match 
3149 any interface starting with the substring "eth"
3150 .TP 0.2i
3151 \(bu
3152 an IP address. In this case the netmask is 
3153 determined from the list of interfaces obtained from the 
3154 kernel
3155 .TP 0.2i
3156 \(bu
3157 an IP/mask pair. 
3158 .TP 0.2i
3159 \(bu
3160 a broadcast/mask pair.
3161 .RE
3162 .PP
3163 The "mask" parameters can either be a bit length (such 
3164 as 24 for a C class network) or a full netmask in dotted 
3165 decimal form.
3166 .PP
3167 .PP
3168 The "IP" parameters above can either be a full dotted 
3169 decimal IP address or a hostname which will be looked up via 
3170 the OS's normal hostname resolution mechanisms.
3171 .PP
3172 .PP
3173 For example, the following line:
3174 .PP
3175 .PP
3176 \fBinterfaces = eth0 192.168.2.10/24 192.168.3.10/255.255.255.0
3177 \fR.PP
3178 .PP
3179 would configure three network interfaces corresponding 
3180 to the eth0 device and IP addresses 192.168.2.10 and 192.168.3.10. 
3181 The netmasks of the latter two interfaces would be set to 255.255.255.0.
3182 .PP
3183 .PP
3184 See also \fIbind 
3185 interfaces only\fR.
3186 .PP
3187 .PP
3188 Default: \fBall active interfaces except 127.0.0.1 
3189 that are broadcast capable\fR
3190 .PP
3191 .TP
3192 \fBinvalid users (S)\fR
3193 This is a list of users that should not be allowed 
3194 to login to this service. This is really a \fBparanoid\fR 
3195 check to absolutely ensure an improper setting does not breach 
3196 your security.
3197
3198 A name starting with a '@' is interpreted as an NIS 
3199 netgroup first (if your system supports NIS), and then as a UNIX 
3200 group if the name was not found in the NIS netgroup database.
3201
3202 A name starting with '+' is interpreted only 
3203 by looking in the UNIX group database. A name starting with 
3204 \&'&' is interpreted only by looking in the NIS netgroup database 
3205 (this requires NIS to be working on your system). The characters 
3206 \&'+' and '&' may be used at the start of the name in either order 
3207 so the value \fI+&group\fR means check the 
3208 UNIX group database, followed by the NIS netgroup database, and 
3209 the value \fI&+group\fR means check the NIS
3210 netgroup database, followed by the UNIX group database (the 
3211 same as the '@' prefix).
3212
3213 The current servicename is substituted for \fI%S\fR. 
3214 This is useful in the [homes] section.
3215
3216 See also \fIvalid users
3217 \fR\&.
3218
3219 Default: \fBno invalid users\fR
3220
3221 Example: \fBinvalid users = root fred admin @wheel
3222 \fR.TP
3223 \fBkeepalive (G)\fR
3224 The value of the parameter (an integer) represents 
3225 the number of seconds between \fIkeepalive\fR 
3226 packets. If this parameter is zero, no keepalive packets will be 
3227 sent. Keepalive packets, if sent, allow the server to tell whether 
3228 a client is still present and responding.
3229
3230 Keepalives should, in general, not be needed if the socket 
3231 being used has the SO_KEEPALIVE attribute set on it (see \fIsocket options\fR). 
3232 Basically you should only use this option if you strike difficulties.
3233
3234 Default: \fBkeepalive = 300\fR
3235
3236 Example: \fBkeepalive = 600\fR
3237 .TP
3238 \fBkernel oplocks (G)\fR
3239 For UNIXes that support kernel based \fIoplocks\fR
3240 (currently only IRIX and the Linux 2.4 kernel), this parameter 
3241 allows the use of them to be turned on or off.
3242
3243 Kernel oplocks support allows Samba \fIoplocks
3244 \fRto be broken whenever a local UNIX process or NFS operation 
3245 accesses a file that \fBsmbd(8)\fR
3246 has oplocked. This allows complete data consistency between 
3247 SMB/CIFS, NFS and local file access (and is a \fBvery\fR 
3248 cool feature :-).
3249
3250 This parameter defaults to on, but is translated
3251 to a no-op on systems that no not have the necessary kernel support.
3252 You should never need to touch this parameter.
3253
3254 See also the \fIoplocks\fR
3255 and \fIlevel2 oplocks
3256 \fRparameters.
3257
3258 Default: \fBkernel oplocks = yes\fR
3259 .TP
3260 \fBlanman auth (G)\fR
3261 This parameter determines whether or not smbdwill
3262 attempt to authenticate users using the LANMAN password hash.
3263 If disabled, only clients which support NT password hashes (e.g. Windows 
3264 NT/2000 clients, smbclient, etc... but not Windows 95/98 or the MS DOS 
3265 network client) will be able to connect to the Samba host.
3266
3267 Default : \fBlanman auth = yes\fR
3268 .TP
3269 \fBlarge readwrite (G)\fR
3270 This parameter determines whether or not smbd
3271 supports the new 64k streaming read and write varient SMB requests introduced
3272 with Windows 2000. Note that due to Windows 2000 client redirector bugs
3273 this requires Samba to be running on a 64-bit capable operating system such
3274 as IRIX, Solaris or a Linux 2.4 kernel. Can improve performance by 10% with
3275 Windows 2000 clients. Defaults to on. Not as tested as some other Samba
3276 code paths.
3277
3278 Default : \fBlarge readwrite = yes\fR
3279 .TP
3280 \fBldap admin dn (G)\fR
3281 This parameter is only available if Samba has been
3282 configure to include the \fB--with-ldapsam\fR option
3283 at compile time. This option should be considered experimental and
3284 under active development.
3285
3286 The \fIldap admin dn\fR defines the Distinguished 
3287 Name (DN) name used by Samba to contact the ldap
3288 server when retreiving user account information. The \fIldap
3289 admin dn\fR is used in conjunction with the admin dn password
3290 stored in the \fIprivate/secrets.tdb\fR file. See the
3291 \fBsmbpasswd(8)\fRman
3292 page for more information on how to accmplish this.
3293
3294 Default : \fBnone\fR
3295 .TP
3296 \fBldap filter (G)\fR
3297 This parameter is only available if Samba has been
3298 configure to include the \fB--with-ldapsam\fR option
3299 at compile time. This option should be considered experimental and
3300 under active development.
3301
3302 This parameter specifies the RFC 2254 compliant LDAP search filter.
3303 The default is to match the login name with the uid 
3304 attribute for all entries matching the sambaAccount 
3305 objectclass. Note that this filter should only return one entry.
3306
3307 Default : \fBldap filter = (&(uid=%u)(objectclass=sambaAccount))\fR
3308 .TP
3309 \fBldap port (G)\fR
3310 This parameter is only available if Samba has been
3311 configure to include the \fB--with-ldapsam\fR option
3312 at compile time. This option should be considered experimental and
3313 under active development.
3314
3315 This option is used to control the tcp port number used to contact
3316 the \fIldap server\fR.
3317 The default is to use the stand LDAPS port 636.
3318
3319 See Also: ldap ssl
3320
3321 Default : \fBldap port = 636\fR
3322 .TP
3323 \fBldap server (G)\fR
3324 This parameter is only available if Samba has been
3325 configure to include the \fB--with-ldapsam\fR option
3326 at compile time. This option should be considered experimental and
3327 under active development.
3328
3329 This parameter should contains the FQDN of the ldap directory 
3330 server which should be queried to locate user account information.
3331
3332 Default : \fBldap server = localhost\fR
3333 .TP
3334 \fBldap ssl (G)\fR
3335 This parameter is only available if Samba has been
3336 configure to include the \fB--with-ldapsam\fR option
3337 at compile time. This option should be considered experimental and
3338 under active development.
3339
3340 This option is used to define whether or not Samba should
3341 use SSL when connecting to the \fIldap
3342 server\fR. This is \fBNOT\fR related to
3343 Samba SSL support which is enabled by specifying the 
3344 \fB--with-ssl\fR option to the \fIconfigure\fR 
3345 script (see \fIssl\fR).
3346
3347 The \fIldap ssl\fR can be set to one of three values:
3348 (a) on - Always use SSL when contacting the 
3349 \fIldap server\fR, (b) off -
3350 Never use SSL when querying the directory, or (c) start_tls 
3351 - Use the LDAPv3 StartTLS extended operation 
3352 (RFC2830) for communicating with the directory server.
3353
3354 Default : \fBldap ssl = on\fR
3355 .TP
3356 \fBldap suffix (G)\fR
3357 This parameter is only available if Samba has been
3358 configure to include the \fB--with-ldapsam\fR option
3359 at compile time. This option should be considered experimental and
3360 under active development.
3361
3362 Default : \fBnone\fR
3363 .TP
3364 \fBlevel2 oplocks (S)\fR
3365 This parameter controls whether Samba supports
3366 level2 (read-only) oplocks on a share.
3367
3368 Level2, or read-only oplocks allow Windows NT clients 
3369 that have an oplock on a file to downgrade from a read-write oplock 
3370 to a read-only oplock once a second client opens the file (instead 
3371 of releasing all oplocks on a second open, as in traditional, 
3372 exclusive oplocks). This allows all openers of the file that 
3373 support level2 oplocks to cache the file for read-ahead only (ie. 
3374 they may not cache writes or lock requests) and increases performance 
3375 for many accesses of files that are not commonly written (such as 
3376 application .EXE files).
3377
3378 Once one of the clients which have a read-only oplock 
3379 writes to the file all clients are notified (no reply is needed 
3380 or waited for) and told to break their oplocks to "none" and 
3381 delete any read-ahead caches.
3382
3383 It is recommended that this parameter be turned on 
3384 to speed access to shared executables.
3385
3386 For more discussions on level2 oplocks see the CIFS spec.
3387
3388 Currently, if \fIkernel 
3389 oplocks\fR are supported then level2 oplocks are 
3390 not granted (even if this parameter is set to yes). 
3391 Note also, the \fIoplocks\fR
3392 parameter must be set to true on this share in order for 
3393 this parameter to have any effect.
3394
3395 See also the \fIoplocks\fR
3396 and \fIkernel oplocks\fR
3397 parameters.
3398
3399 Default: \fBlevel2 oplocks = yes\fR
3400 .TP
3401 \fBlm announce (G)\fR
3402 This parameter determines if  \fBnmbd(8)\fRwill produce Lanman announce 
3403 broadcasts that are needed by OS/2 clients in order for them to see 
3404 the Samba server in their browse list. This parameter can have three 
3405 values, true, false, or
3406 auto. The default is auto. 
3407 If set to false Samba will never produce these 
3408 broadcasts. If set to true Samba will produce 
3409 Lanman announce broadcasts at a frequency set by the parameter 
3410 \fIlm interval\fR. If set to auto 
3411 Samba will not send Lanman announce broadcasts by default but will 
3412 listen for them. If it hears such a broadcast on the wire it will 
3413 then start sending them at a frequency set by the parameter 
3414 \fIlm interval\fR.
3415
3416 See also \fIlm interval
3417 \fR\&.
3418
3419 Default: \fBlm announce = auto\fR
3420
3421 Example: \fBlm announce = yes\fR
3422 .TP
3423 \fBlm interval (G)\fR
3424 If Samba is set to produce Lanman announce 
3425 broadcasts needed by OS/2 clients (see the  \fIlm announce\fR parameter) then this 
3426 parameter defines the frequency in seconds with which they will be 
3427 made. If this is set to zero then no Lanman announcements will be 
3428 made despite the setting of the \fIlm announce\fR 
3429 parameter.
3430
3431 See also \fIlm 
3432 announce\fR.
3433
3434 Default: \fBlm interval = 60\fR
3435
3436 Example: \fBlm interval = 120\fR
3437 .TP
3438 \fBload printers (G)\fR
3439 A boolean variable that controls whether all 
3440 printers in the printcap will be loaded for browsing by default. 
3441 See the printers section for 
3442 more details.
3443
3444 Default: \fBload printers = yes\fR
3445 .TP
3446 \fBlocal master (G)\fR
3447 This option allows \fB nmbd(8)\fRto try and become a local master browser 
3448 on a subnet. If set to false then \fB nmbd\fR will not attempt to become a local master browser 
3449 on a subnet and will also lose in all browsing elections. By
3450 default this value is set to true. Setting this value to true doesn't
3451 mean that Samba will \fBbecome\fR the local master 
3452 browser on a subnet, just that \fBnmbd\fR will \fB participate\fR in elections for local master browser.
3453
3454 Setting this value to false will cause \fBnmbd\fR
3455 \fBnever\fR to become a local master browser.
3456
3457 Default: \fBlocal master = yes\fR
3458 .TP
3459 \fBlock dir (G)\fR
3460 Synonym for \fI lock directory\fR.
3461 .TP
3462 \fBlock directory (G)\fR
3463 This option specifies the directory where lock 
3464 files will be placed. The lock files are used to implement the 
3465 \fImax connections\fR
3466 option.
3467
3468 Default: \fBlock directory = ${prefix}/var/locks\fR
3469
3470 Example: \fBlock directory = /var/run/samba/locks\fR
3471 .TP
3472 \fBlocking (S)\fR
3473 This controls whether or not locking will be 
3474 performed by the server in response to lock requests from the 
3475 client.
3476
3477 If \fBlocking = no\fR, all lock and unlock 
3478 requests will appear to succeed and all lock queries will report 
3479 that the file in question is available for locking.
3480
3481 If \fBlocking = yes\fR, real locking will be performed 
3482 by the server.
3483
3484 This option \fBmay\fR be useful for read-only 
3485 filesystems which \fBmay\fR not need locking (such as 
3486 CDROM drives), although setting this parameter of no 
3487 is not really recommended even in this case.
3488
3489 Be careful about disabling locking either globally or in a 
3490 specific service, as lack of locking may result in data corruption. 
3491 You should never need to set this parameter.
3492
3493 Default: \fBlocking = yes\fR
3494 .TP
3495 \fBlog file (G)\fR
3496 This option allows you to override the name 
3497 of the Samba log file (also known as the debug file).
3498
3499 This option takes the standard substitutions, allowing 
3500 you to have separate log files for each user or machine.
3501
3502 Example: \fBlog file = /usr/local/samba/var/log.%m
3503 \fR.TP
3504 \fBlog level (G)\fR
3505 The value of the parameter (an integer) allows 
3506 the debug level (logging level) to be specified in the 
3507 \fIsmb.conf\fR file. This is to give greater 
3508 flexibility in the configuration of the system.
3509
3510 The default will be the log level specified on 
3511 the command line or level zero if none was specified.
3512
3513 Example: \fBlog level = 3\fR
3514 .TP
3515 \fBlogon drive (G)\fR
3516 This parameter specifies the local path to 
3517 which the home directory will be connected (see \fIlogon home\fR) 
3518 and is only used by NT Workstations. 
3519
3520 Note that this option is only useful if Samba is set up as a
3521 logon server.
3522
3523 Default: \fBlogon drive = z:\fR
3524
3525 Example: \fBlogon drive = h:\fR
3526 .TP
3527 \fBlogon home (G)\fR
3528 This parameter specifies the home directory 
3529 location when a Win95/98 or NT Workstation logs into a Samba PDC. 
3530 It allows you to do 
3531
3532 C:\\> \fBNET USE H: /HOME\fR
3533
3534 from a command prompt, for example.
3535
3536 This option takes the standard substitutions, allowing 
3537 you to have separate logon scripts for each user or machine.
3538
3539 This parameter can be used with Win9X workstations to ensure 
3540 that roaming profiles are stored in a subdirectory of the user's 
3541 home directory. This is done in the following way:
3542
3543 \fBlogon home = \\\\%N\\%U\\profile\fR
3544
3545 This tells Samba to return the above string, with 
3546 substitutions made when a client requests the info, generally 
3547 in a NetUserGetInfo request. Win9X clients truncate the info to
3548 \\\\server\\share when a user does \fBnet use /home\fR
3549 but use the whole string when dealing with profiles.
3550
3551 Note that in prior versions of Samba, the  \fIlogon path\fR was returned rather than 
3552 \fIlogon home\fR. This broke \fBnet use 
3553 /home\fR but allowed profiles outside the home directory. 
3554 The current implementation is correct, and can be used for 
3555 profiles if you use the above trick.
3556
3557 This option is only useful if Samba is set up as a logon 
3558 server.
3559
3560 Default: \fBlogon home = "\\\\%N\\%U"\fR
3561
3562 Example: \fBlogon home = "\\\\remote_smb_server\\%U"\fR
3563 .TP
3564 \fBlogon path (G)\fR
3565 This parameter specifies the home directory 
3566 where roaming profiles (NTuser.dat etc files for Windows NT) are 
3567 stored. Contrary to previous versions of these manual pages, it has 
3568 nothing to do with Win 9X roaming profiles. To find out how to 
3569 handle roaming profiles for Win 9X system, see the  \fIlogon home\fR parameter.
3570
3571 This option takes the standard substitutions, allowing you 
3572 to have separate logon scripts for each user or machine. It also 
3573 specifies the directory from which the "Application Data", 
3574 (\fIdesktop\fR, \fIstart menu\fR,
3575 \fInetwork neighborhood\fR, \fIprograms\fR 
3576 and other folders, and their contents, are loaded and displayed on 
3577 your Windows NT client.
3578
3579 The share and the path must be readable by the user for 
3580 the preferences and directories to be loaded onto the Windows NT
3581 client. The share must be writeable when the user logs in for the first
3582 time, in order that the Windows NT client can create the NTuser.dat
3583 and other directories.
3584
3585 Thereafter, the directories and any of the contents can, 
3586 if required, be made read-only. It is not advisable that the 
3587 NTuser.dat file be made read-only - rename it to NTuser.man to 
3588 achieve the desired effect (a \fBMAN\fRdatory 
3589 profile). 
3590
3591 Windows clients can sometimes maintain a connection to 
3592 the [homes] share, even though there is no user logged in. 
3593 Therefore, it is vital that the logon path does not include a 
3594 reference to the homes share (i.e. setting this parameter to
3595 \\%N\\%U\\profile_path will cause problems).
3596
3597 This option takes the standard substitutions, allowing 
3598 you to have separate logon scripts for each user or machine.
3599
3600 Note that this option is only useful if Samba is set up 
3601 as a logon server.
3602
3603 Default: \fBlogon path = \\\\%N\\%U\\profile\fR
3604
3605 Example: \fBlogon path = \\\\PROFILESERVER\\PROFILE\\%U\fR
3606 .TP
3607 \fBlogon script (G)\fR
3608 This parameter specifies the batch file (.bat) or 
3609 NT command file (.cmd) to be downloaded and run on a machine when 
3610 a user successfully logs in. The file must contain the DOS 
3611 style CR/LF line endings. Using a DOS-style editor to create the 
3612 file is recommended.
3613
3614 The script must be a relative path to the [netlogon] 
3615 service. If the [netlogon] service specifies a  \fIpath\fR of \fI/usr/local/samba/netlogon
3616 \fR, and \fBlogon script = STARTUP.BAT\fR, then 
3617 the file that will be downloaded is:
3618
3619 \fI/usr/local/samba/netlogon/STARTUP.BAT\fR
3620
3621 The contents of the batch file are entirely your choice. A 
3622 suggested command would be to add \fBNET TIME \\\\SERVER /SET 
3623 /YES\fR, to force every machine to synchronize clocks with 
3624 the same time server. Another use would be to add \fBNET USE 
3625 U: \\\\SERVER\\UTILS\fR for commonly used utilities, or \fB NET USE Q: \\\\SERVER\\ISO9001_QA\fR for example.
3626
3627 Note that it is particularly important not to allow write 
3628 access to the [netlogon] share, or to grant users write permission 
3629 on the batch files in a secure environment, as this would allow 
3630 the batch files to be arbitrarily modified and security to be 
3631 breached.
3632
3633 This option takes the standard substitutions, allowing you 
3634 to have separate logon scripts for each user or machine.
3635
3636 This option is only useful if Samba is set up as a logon 
3637 server.
3638
3639 Default: \fBno logon script defined\fR
3640
3641 Example: \fBlogon script = scripts\\%U.bat\fR
3642 .TP
3643 \fBlppause command (S)\fR
3644 This parameter specifies the command to be 
3645 executed on the server host in order to stop printing or spooling 
3646 a specific print job.
3647
3648 This command should be a program or script which takes 
3649 a printer name and job number to pause the print job. One way 
3650 of implementing this is by using job priorities, where jobs 
3651 having a too low priority won't be sent to the printer.
3652
3653 If a \fI%p\fR is given then the printer name 
3654 is put in its place. A \fI%j\fR is replaced with 
3655 the job number (an integer). On HPUX (see \fIprinting=hpux
3656 \fR), if the \fI-p%p\fR option is added 
3657 to the lpq command, the job will show up with the correct status, i.e. 
3658 if the job priority is lower than the set fence priority it will 
3659 have the PAUSED status, whereas if the priority is equal or higher it 
3660 will have the SPOOLED or PRINTING status.
3661
3662 Note that it is good practice to include the absolute path 
3663 in the lppause command as the PATH may not be available to the server.
3664
3665 See also the \fIprinting
3666 \fRparameter.
3667
3668 Default: Currently no default value is given to 
3669 this string, unless the value of the \fIprinting\fR 
3670 parameter is SYSV, in which case the default is :
3671
3672 \fBlp -i %p-%j -H hold\fR
3673
3674 or if the value of the \fIprinting\fR parameter 
3675 is SOFTQ, then the default is:
3676
3677 \fBqstat -s -j%j -h\fR
3678
3679 Example for HPUX: \fBlppause command = /usr/bin/lpalt 
3680 %p-%j -p0\fR
3681 .TP
3682 \fBlpq cache time (G)\fR
3683 This controls how long lpq info will be cached 
3684 for to prevent the \fBlpq\fR command being called too 
3685 often. A separate cache is kept for each variation of the \fB lpq\fR command used by the system, so if you use different 
3686 \fBlpq\fR commands for different users then they won't
3687 share cache information.
3688
3689 The cache files are stored in \fI/tmp/lpq.xxxx\fR 
3690 where xxxx is a hash of the \fBlpq\fR command in use.
3691
3692 The default is 10 seconds, meaning that the cached results 
3693 of a previous identical \fBlpq\fR command will be used 
3694 if the cached data is less than 10 seconds old. A large value may 
3695 be advisable if your \fBlpq\fR command is very slow.
3696
3697 A value of 0 will disable caching completely.
3698
3699 See also the \fIprinting
3700 \fRparameter.
3701
3702 Default: \fBlpq cache time = 10\fR
3703
3704 Example: \fBlpq cache time = 30\fR
3705 .TP
3706 \fBlpq command (S)\fR
3707 This parameter specifies the command to be 
3708 executed on the server host in order to obtain \fBlpq
3709 \fR-style printer status information.
3710
3711 This command should be a program or script which 
3712 takes a printer name as its only parameter and outputs printer 
3713 status information.
3714
3715 Currently eight styles of printer status information 
3716 are supported; BSD, AIX, LPRNG, PLP, SYSV, HPUX, QNX and SOFTQ. 
3717 This covers most UNIX systems. You control which type is expected 
3718 using the \fIprinting =\fR option.
3719
3720 Some clients (notably Windows for Workgroups) may not 
3721 correctly send the connection number for the printer they are 
3722 requesting status information about. To get around this, the 
3723 server reports on the first printer service connected to by the 
3724 client. This only happens if the connection number sent is invalid.
3725
3726 If a \fI%p\fR is given then the printer name 
3727 is put in its place. Otherwise it is placed at the end of the 
3728 command.
3729
3730 Note that it is good practice to include the absolute path 
3731 in the \fIlpq command\fR as the \fB$PATH
3732 \fRmay not be available to the server.
3733
3734 See also the \fIprinting
3735 \fRparameter.
3736
3737 Default: \fBdepends on the setting of \fI printing\fB\fR
3738
3739 Example: \fBlpq command = /usr/bin/lpq -P%p\fR
3740 .TP
3741 \fBlpresume command (S)\fR
3742 This parameter specifies the command to be 
3743 executed on the server host in order to restart or continue 
3744 printing or spooling a specific print job.
3745
3746 This command should be a program or script which takes 
3747 a printer name and job number to resume the print job. See 
3748 also the \fIlppause command
3749 \fRparameter.
3750
3751 If a \fI%p\fR is given then the printer name 
3752 is put in its place. A \fI%j\fR is replaced with 
3753 the job number (an integer).
3754
3755 Note that it is good practice to include the absolute path 
3756 in the \fIlpresume command\fR as the PATH may not 
3757 be available to the server.
3758
3759 See also the \fIprinting
3760 \fRparameter.
3761
3762 Default: Currently no default value is given 
3763 to this string, unless the value of the \fIprinting\fR 
3764 parameter is SYSV, in which case the default is :
3765
3766 \fBlp -i %p-%j -H resume\fR
3767
3768 or if the value of the \fIprinting\fR parameter 
3769 is SOFTQ, then the default is:
3770
3771 \fBqstat -s -j%j -r\fR
3772
3773 Example for HPUX: \fBlpresume command = /usr/bin/lpalt 
3774 %p-%j -p2\fR
3775 .TP
3776 \fBlprm command (S)\fR
3777 This parameter specifies the command to be 
3778 executed on the server host in order to delete a print job.
3779
3780 This command should be a program or script which takes 
3781 a printer name and job number, and deletes the print job.
3782
3783 If a \fI%p\fR is given then the printer name 
3784 is put in its place. A \fI%j\fR is replaced with 
3785 the job number (an integer).
3786
3787 Note that it is good practice to include the absolute 
3788 path in the \fIlprm command\fR as the PATH may not be 
3789 available to the server.
3790
3791 See also the \fIprinting
3792 \fRparameter.
3793
3794 Default: \fBdepends on the setting of \fIprinting
3795 \fB\fR
3796 Example 1: \fBlprm command = /usr/bin/lprm -P%p %j
3797 \fR
3798 Example 2: \fBlprm command = /usr/bin/cancel %p-%j
3799 \fR.TP
3800 \fBmachine password timeout (G)\fR
3801 If a Samba server is a member of a Windows 
3802 NT Domain (see the security = domain) 
3803 parameter) then periodically a running  smbd(8)process will try and change the MACHINE ACCOUNT 
3804 PASSWORD stored in the TDB called \fIprivate/secrets.tdb
3805 \fR\&. This parameter specifies how often this password 
3806 will be changed, in seconds. The default is one week (expressed in 
3807 seconds), the same as a Windows NT Domain member server.
3808
3809 See also \fBsmbpasswd(8)
3810 \fR, and the  security = domain) parameter.
3811
3812 Default: \fBmachine password timeout = 604800\fR
3813 .TP
3814 \fBmagic output (S)\fR
3815 This parameter specifies the name of a file 
3816 which will contain output created by a magic script (see the 
3817 \fImagic script\fR
3818 parameter below).
3819
3820 Warning: If two clients use the same \fImagic script
3821 \fRin the same directory the output file content
3822 is undefined.
3823
3824 Default: \fBmagic output = <magic script name>.out
3825 \fR
3826 Example: \fBmagic output = myfile.txt\fR
3827 .TP
3828 \fBmagic script (S)\fR
3829 This parameter specifies the name of a file which, 
3830 if opened, will be executed by the server when the file is closed. 
3831 This allows a UNIX script to be sent to the Samba host and 
3832 executed on behalf of the connected user.
3833
3834 Scripts executed in this way will be deleted upon 
3835 completion assuming that the user has the appropriate level 
3836 of privilege and the file permissions allow the deletion.
3837
3838 If the script generates output, output will be sent to 
3839 the file specified by the \fI magic output\fR parameter (see above).
3840
3841 Note that some shells are unable to interpret scripts 
3842 containing CR/LF instead of CR as 
3843 the end-of-line marker. Magic scripts must be executable 
3844 \fBas is\fR on the host, which for some hosts and 
3845 some shells will require filtering at the DOS end.
3846
3847 Magic scripts are \fBEXPERIMENTAL\fR and 
3848 should \fBNOT\fR be relied upon.
3849
3850 Default: \fBNone. Magic scripts disabled.\fR
3851
3852 Example: \fBmagic script = user.csh\fR
3853 .TP
3854 \fBmangle case (S)\fR
3855 See the section on  NAME MANGLING
3856
3857 Default: \fBmangle case = no\fR
3858 .TP
3859 \fBmangled map (S)\fR
3860 This is for those who want to directly map UNIX 
3861 file names which cannot be represented on Windows/DOS. The mangling 
3862 of names is not always what is needed. In particular you may have 
3863 documents with file extensions that differ between DOS and UNIX. 
3864 For example, under UNIX it is common to use \fI.html\fR 
3865 for HTML files, whereas under Windows/DOS \fI.htm\fR 
3866 is more commonly used.
3867
3868 So to map \fIhtml\fR to \fIhtm\fR 
3869 you would use:
3870
3871 \fBmangled map = (*.html *.htm)\fR
3872
3873 One very useful case is to remove the annoying \fI;1
3874 \fRoff the ends of filenames on some CDROMs (only visible 
3875 under some UNIXes). To do this use a map of (*;1 *;).
3876
3877 Default: \fBno mangled map\fR
3878
3879 Example: \fBmangled map = (*;1 *;)\fR
3880 .TP
3881 \fBmangled names (S)\fR
3882 This controls whether non-DOS names under UNIX 
3883 should be mapped to DOS-compatible names ("mangled") and made visible, 
3884 or whether non-DOS names should simply be ignored.
3885
3886 See the section on  NAME MANGLING for details on how to control the mangling process.
3887
3888 If mangling is used then the mangling algorithm is as follows:
3889 .RS
3890 .TP 0.2i
3891 \(bu
3892 The first (up to) five alphanumeric characters 
3893 before the rightmost dot of the filename are preserved, forced 
3894 to upper case, and appear as the first (up to) five characters 
3895 of the mangled name.
3896 .TP 0.2i
3897 \(bu
3898 A tilde "~" is appended to the first part of the mangled
3899 name, followed by a two-character unique sequence, based on the
3900 original root name (i.e., the original filename minus its final
3901 extension). The final extension is included in the hash calculation
3902 only if it contains any upper case characters or is longer than three
3903 characters.
3904
3905 Note that the character to use may be specified using 
3906 the \fImangling char\fR
3907 option, if you don't like '~'.
3908 .TP 0.2i
3909 \(bu
3910 The first three alphanumeric characters of the final 
3911 extension are preserved, forced to upper case and appear as the 
3912 extension of the mangled name. The final extension is defined as that 
3913 part of the original filename after the rightmost dot. If there are no 
3914 dots in the filename, the mangled name will have no extension (except 
3915 in the case of "hidden files" - see below).
3916 .TP 0.2i
3917 \(bu
3918 Files whose UNIX name begins with a dot will be 
3919 presented as DOS hidden files. The mangled name will be created as 
3920 for other filenames, but with the leading dot removed and "___" as 
3921 its extension regardless of actual original extension (that's three 
3922 underscores).
3923 .RE
3924 .PP
3925 The two-digit hash value consists of upper case 
3926 alphanumeric characters.
3927 .PP
3928 .PP
3929 This algorithm can cause name collisions only if files 
3930 in a directory share the same first five alphanumeric characters. 
3931 The probability of such a clash is 1/1300.
3932 .PP
3933 .PP
3934 The name mangling (if enabled) allows a file to be 
3935 copied between UNIX directories from Windows/DOS while retaining 
3936 the long UNIX filename. UNIX files can be renamed to a new extension 
3937 from Windows/DOS and will retain the same basename. Mangled names 
3938 do not change between sessions.
3939 .PP
3940 .PP
3941 Default: \fBmangled names = yes\fR
3942 .PP
3943 .TP
3944 \fBmangled stack (G)\fR
3945 This parameter controls the number of mangled names 
3946 that should be cached in the Samba server  smbd(8).
3947
3948 This stack is a list of recently mangled base names 
3949 (extensions are only maintained if they are longer than 3 characters 
3950 or contains upper case characters).
3951
3952 The larger this value, the more likely it is that mangled 
3953 names can be successfully converted to correct long UNIX names. 
3954 However, large stack sizes will slow most directory accesses. Smaller 
3955 stacks save memory in the server (each stack element costs 256 bytes).
3956
3957 It is not possible to absolutely guarantee correct long 
3958 filenames, so be prepared for some surprises!
3959
3960 Default: \fBmangled stack = 50\fR
3961
3962 Example: \fBmangled stack = 100\fR
3963 .TP
3964 \fBmangling char (S)\fR
3965 This controls what character is used as 
3966 the \fBmagic\fR character in name mangling. The default is a '~'
3967 but this may interfere with some software. Use this option to set 
3968 it to whatever you prefer.
3969
3970 Default: \fBmangling char = ~\fR
3971
3972 Example: \fBmangling char = ^\fR
3973 .TP
3974 \fBmap archive (S)\fR
3975 This controls whether the DOS archive attribute 
3976 should be mapped to the UNIX owner execute bit. The DOS archive bit 
3977 is set when a file has been modified since its last backup. One 
3978 motivation for this option it to keep Samba/your PC from making 
3979 any file it touches from becoming executable under UNIX. This can 
3980 be quite annoying for shared source code, documents, etc...
3981
3982 Note that this requires the \fIcreate mask\fR
3983 parameter to be set such that owner execute bit is not masked out 
3984 (i.e. it must include 100). See the parameter  \fIcreate mask\fR for details.
3985
3986 Default: \fBmap archive = yes\fR
3987 .TP
3988 \fBmap hidden (S)\fR
3989 This controls whether DOS style hidden files 
3990 should be mapped to the UNIX world execute bit.
3991
3992 Note that this requires the \fIcreate mask\fR 
3993 to be set such that the world execute bit is not masked out (i.e. 
3994 it must include 001). See the parameter  \fIcreate mask\fR for details.
3995
3996 Default: \fBmap hidden = no\fR
3997 .TP
3998 \fBmap system (S)\fR
3999 This controls whether DOS style system files 
4000 should be mapped to the UNIX group execute bit.
4001
4002 Note that this requires the \fIcreate mask\fR 
4003 to be set such that the group execute bit is not masked out (i.e. 
4004 it must include 010). See the parameter  \fIcreate mask\fR for details.
4005
4006 Default: \fBmap system = no\fR
4007 .TP
4008 \fBmap to guest (G)\fR
4009 This parameter is only useful in  security modes other than \fIsecurity = share\fR 
4010 - i.e. user, server, 
4011 and domain.
4012
4013 This parameter can take three different values, which tell
4014 smbd(8)what to do with user 
4015 login requests that don't match a valid UNIX user in some way.
4016
4017 The three settings are :
4018 .RS
4019 .TP 0.2i
4020 \(bu
4021 Never - Means user login 
4022 requests with an invalid password are rejected. This is the 
4023 default.
4024 .TP 0.2i
4025 \(bu
4026 Bad User - Means user
4027 logins with an invalid password are rejected, unless the username 
4028 does not exist, in which case it is treated as a guest login and 
4029 mapped into the \fI guest account\fR.
4030 .TP 0.2i
4031 \(bu
4032 Bad Password - Means user logins 
4033 with an invalid password are treated as a guest login and mapped 
4034 into the guest account. Note that 
4035 this can cause problems as it means that any user incorrectly typing 
4036 their password will be silently logged on as "guest" - and 
4037 will not know the reason they cannot access files they think
4038 they should - there will have been no message given to them
4039 that they got their password wrong. Helpdesk services will
4040 \fBhate\fR you if you set the \fImap to 
4041 guest\fR parameter this way :-).
4042 .RE
4043 .PP
4044 Note that this parameter is needed to set up "Guest" 
4045 share services when using \fIsecurity\fR modes other than 
4046 share. This is because in these modes the name of the resource being
4047 requested is \fBnot\fR sent to the server until after 
4048 the server has successfully authenticated the client so the server 
4049 cannot make authentication decisions at the correct time (connection 
4050 to the share) for "Guest" shares.
4051 .PP
4052 .PP
4053 For people familiar with the older Samba releases, this 
4054 parameter maps to the old compile-time setting of the  GUEST_SESSSETUP value in local.h.
4055 .PP
4056 .PP
4057 Default: \fBmap to guest = Never\fR
4058 .PP
4059 .PP
4060 Example: \fBmap to guest = Bad User\fR
4061 .PP
4062 .TP
4063 \fBmax connections (S)\fR
4064 This option allows the number of simultaneous 
4065 connections to a service to be limited. If \fImax connections
4066 \fRis greater than 0 then connections will be refused if 
4067 this number of connections to the service are already open. A value 
4068 of zero mean an unlimited number of connections may be made.
4069
4070 Record lock files are used to implement this feature. The 
4071 lock files will be stored in the directory specified by the \fIlock directory\fR 
4072 option.
4073
4074 Default: \fBmax connections = 0\fR
4075
4076 Example: \fBmax connections = 10\fR
4077 .TP
4078 \fBmax disk size (G)\fR
4079 This option allows you to put an upper limit 
4080 on the apparent size of disks. If you set this option to 100 
4081 then all shares will appear to be not larger than 100 MB in 
4082 size.
4083
4084 Note that this option does not limit the amount of 
4085 data you can put on the disk. In the above case you could still 
4086 store much more than 100 MB on the disk, but if a client ever asks 
4087 for the amount of free disk space or the total disk size then the 
4088 result will be bounded by the amount specified in \fImax 
4089 disk size\fR.
4090
4091 This option is primarily useful to work around bugs 
4092 in some pieces of software that can't handle very large disks, 
4093 particularly disks over 1GB in size.
4094
4095 A \fImax disk size\fR of 0 means no limit.
4096
4097 Default: \fBmax disk size = 0\fR
4098
4099 Example: \fBmax disk size = 1000\fR
4100 .TP
4101 \fBmax log size (G)\fR
4102 This option (an integer in kilobytes) specifies 
4103 the max size the log file should grow to. Samba periodically checks 
4104 the size and if it is exceeded it will rename the file, adding 
4105 a \fI.old\fR extension.
4106
4107 A size of 0 means no limit.
4108
4109 Default: \fBmax log size = 5000\fR
4110
4111 Example: \fBmax log size = 1000\fR
4112 .TP
4113 \fBmax mux (G)\fR
4114 This option controls the maximum number of 
4115 outstanding simultaneous SMB operations that Samba tells the client 
4116 it will allow. You should never need to set this parameter.
4117
4118 Default: \fBmax mux = 50\fR
4119 .TP
4120 \fBmax open files (G)\fR
4121 This parameter limits the maximum number of 
4122 open files that one smbd(8)file 
4123 serving process may have open for a client at any one time. The 
4124 default for this parameter is set very high (10,000) as Samba uses 
4125 only one bit per unopened file.
4126
4127 The limit of the number of open files is usually set 
4128 by the UNIX per-process file descriptor limit rather than 
4129 this parameter so you should never need to touch this parameter.
4130
4131 Default: \fBmax open files = 10000\fR
4132 .TP
4133 \fBmax print jobs (S)\fR
4134 This parameter limits the maximum number of 
4135 jobs allowable in a Samba printer queue at any given moment.
4136 If this number is exceeded, \fB smbd(8)\fRwill remote "Out of Space" to the client.
4137 See all \fItotal
4138 print jobs\fR.
4139
4140 Default: \fBmax print jobs = 1000\fR
4141
4142 Example: \fBmax print jobs = 5000\fR
4143 .TP
4144 \fBmax protocol (G)\fR
4145 The value of the parameter (a string) is the highest 
4146 protocol level that will be supported by the server.
4147
4148 Possible values are :
4149 .RS
4150 .TP 0.2i
4151 \(bu
4152 CORE: Earliest version. No 
4153 concept of user names.
4154 .TP 0.2i
4155 \(bu
4156 COREPLUS: Slight improvements on 
4157 CORE for efficiency.
4158 .TP 0.2i
4159 \(bu
4160 LANMAN1: First \fB modern\fR version of the protocol. Long filename
4161 support.
4162 .TP 0.2i
4163 \(bu
4164 LANMAN2: Updates to Lanman1 protocol.
4165 .TP 0.2i
4166 \(bu
4167 NT1: Current up to date version of 
4168 the protocol. Used by Windows NT. Known as CIFS.
4169 .RE
4170 .PP
4171 Normally this option should not be set as the automatic 
4172 negotiation phase in the SMB protocol takes care of choosing 
4173 the appropriate protocol.
4174 .PP
4175 .PP
4176 See also \fImin
4177 protocol\fR
4178 .PP
4179 .PP
4180 Default: \fBmax protocol = NT1\fR
4181 .PP
4182 .PP
4183 Example: \fBmax protocol = LANMAN1\fR
4184 .PP
4185 .TP
4186 \fBmax smbd processes (G)\fR
4187 This parameter limits the maximum number of 
4188 \fBsmbd(8)\fR
4189 processes concurrently running on a system and is intended
4190 as a stopgap to prevent degrading service to clients in the event
4191 that the server has insufficient resources to handle more than this
4192 number of connections. Remember that under normal operating
4193 conditions, each user will have an smbdassociated with him or her
4194 to handle connections to all shares from a given host.
4195
4196 Default: \fBmax smbd processes = 0\fR ## no limit
4197
4198 Example: \fBmax smbd processes = 1000\fR
4199 .TP
4200 \fBmax ttl (G)\fR
4201 This option tells nmbd(8)
4202 what the default 'time to live' of NetBIOS names should be (in seconds) 
4203 when \fBnmbd\fR is requesting a name using either a
4204 broadcast packet or from a WINS server. You should never need to
4205 change this parameter. The default is 3 days.
4206
4207 Default: \fBmax ttl = 259200\fR
4208 .TP
4209 \fBmax wins ttl (G)\fR
4210 This option tells nmbd(8)
4211 when acting as a WINS server ( \fIwins support = yes\fR) what the maximum
4212 \&'time to live' of NetBIOS names that \fBnmbd\fR 
4213 will grant will be (in seconds). You should never need to change this
4214 parameter. The default is 6 days (518400 seconds).
4215
4216 See also the \fImin 
4217 wins ttl\fR parameter.
4218
4219 Default: \fBmax wins ttl = 518400\fR
4220 .TP
4221 \fBmax xmit (G)\fR
4222 This option controls the maximum packet size 
4223 that will be negotiated by Samba. The default is 65535, which 
4224 is the maximum. In some cases you may find you get better performance 
4225 with a smaller value. A value below 2048 is likely to cause problems.
4226
4227 Default: \fBmax xmit = 65535\fR
4228
4229 Example: \fBmax xmit = 8192\fR
4230 .TP
4231 \fBmessage command (G)\fR
4232 This specifies what command to run when the 
4233 server receives a WinPopup style message.
4234
4235 This would normally be a command that would 
4236 deliver the message somehow. How this is to be done is 
4237 up to your imagination.
4238
4239 An example is:
4240
4241 \fBmessage command = csh -c 'xedit %s;rm %s' &\fR
4242
4243 This delivers the message using \fBxedit\fR, then 
4244 removes it afterwards. \fBNOTE THAT IT IS VERY IMPORTANT 
4245 THAT THIS COMMAND RETURN IMMEDIATELY\fR. That's why I 
4246 have the '&' on the end. If it doesn't return immediately then 
4247 your PCs may freeze when sending messages (they should recover 
4248 after 30 seconds, hopefully).
4249
4250 All messages are delivered as the global guest user. 
4251 The command takes the standard substitutions, although \fI %u\fR won't work (\fI%U\fR may be better 
4252 in this case).
4253
4254 Apart from the standard substitutions, some additional 
4255 ones apply. In particular:
4256 .RS
4257 .TP 0.2i
4258 \(bu
4259 \fI%s\fR = the filename containing 
4260 the message.
4261 .TP 0.2i
4262 \(bu
4263 \fI%t\fR = the destination that 
4264 the message was sent to (probably the server name).
4265 .TP 0.2i
4266 \(bu
4267 \fI%f\fR = who the message 
4268 is from.
4269 .RE
4270 .PP
4271 You could make this command send mail, or whatever else 
4272 takes your fancy. Please let us know of any really interesting 
4273 ideas you have.
4274 .PP
4275 .PP
4276 Here's a way of sending the messages as mail to root:
4277 .PP
4278 .PP
4279 \fBmessage command = /bin/mail -s 'message from %f on 
4280 %m' root < %s; rm %s\fR
4281 .PP
4282 .PP
4283 If you don't have a message command then the message 
4284 won't be delivered and Samba will tell the sender there was 
4285 an error. Unfortunately WfWg totally ignores the error code 
4286 and carries on regardless, saying that the message was delivered.
4287 .PP
4288 .PP
4289 If you want to silently delete it then try:
4290 .PP
4291 .PP
4292 \fBmessage command = rm %s\fR
4293 .PP
4294 .PP
4295 Default: \fBno message command\fR
4296 .PP
4297 .PP
4298 Example: \fBmessage command = csh -c 'xedit %s;
4299 rm %s' &\fR
4300 .PP
4301 .TP
4302 \fBmin passwd length (G)\fR
4303 Synonym for  \fImin password length\fR.
4304 .TP
4305 \fBmin password length (G)\fR
4306 This option sets the minimum length in characters 
4307 of a plaintext password that \fBsmbd\fR will accept when performing 
4308 UNIX password changing.
4309
4310 See also \fIunix 
4311 password sync\fR,  \fIpasswd program\fR and \fIpasswd chat debug\fR
4312 \&.
4313
4314 Default: \fBmin password length = 5\fR
4315 .TP
4316 \fBmin print space (S)\fR
4317 This sets the minimum amount of free disk 
4318 space that must be available before a user will be able to spool 
4319 a print job. It is specified in kilobytes. The default is 0, which 
4320 means a user can always spool a print job.
4321
4322 See also the \fIprinting
4323 \fRparameter.
4324
4325 Default: \fBmin print space = 0\fR
4326
4327 Example: \fBmin print space = 2000\fR
4328 .TP
4329 \fBmin protocol (G)\fR
4330 The value of the parameter (a string) is the 
4331 lowest SMB protocol dialect than Samba will support. Please refer
4332 to the \fImax protocol\fR
4333 parameter for a list of valid protocol names and a brief description
4334 of each. You may also wish to refer to the C source code in
4335 \fIsource/smbd/negprot.c\fR for a listing of known protocol
4336 dialects supported by clients.
4337
4338 If you are viewing this parameter as a security measure, you should
4339 also refer to the \fIlanman 
4340 auth\fR parameter. Otherwise, you should never need 
4341 to change this parameter.
4342
4343 Default : \fBmin protocol = CORE\fR
4344
4345 Example : \fBmin protocol = NT1\fR # disable DOS 
4346 clients
4347 .TP
4348 \fBmin wins ttl (G)\fR
4349 This option tells nmbd(8)
4350 when acting as a WINS server (\fI wins support = yes\fR) what the minimum 'time to live' 
4351 of NetBIOS names that \fBnmbd\fR will grant will be (in 
4352 seconds). You should never need to change this parameter. The default 
4353 is 6 hours (21600 seconds).
4354
4355 Default: \fBmin wins ttl = 21600\fR
4356 .TP
4357 \fBmsdfs root (S)\fR
4358 This boolean parameter is only available if 
4359 Samba is configured and compiled with the \fB --with-msdfs\fR option. If set to yes, 
4360 Samba treats the share as a Dfs root and allows clients to browse 
4361 the distributed file system tree rooted at the share directory. 
4362 Dfs links are specified in the share directory by symbolic 
4363 links of the form \fImsdfs:serverA\\shareA,serverB\\shareB
4364 \fRand so on. For more information on setting up a Dfs tree 
4365 on Samba, refer to msdfs_setup.html
4366 .
4367
4368 See also \fIhost msdfs
4369 \fR
4370 Default: \fBmsdfs root = no\fR
4371 .TP
4372 \fBname resolve order (G)\fR
4373 This option is used by the programs in the Samba 
4374 suite to determine what naming services to use and in what order 
4375 to resolve host names to IP addresses. The option takes a space 
4376 separated string of name resolution options.
4377
4378 The options are :"lmhosts", "host", "wins" and "bcast". They 
4379 cause names to be resolved as follows :
4380 .RS
4381 .TP 0.2i
4382 \(bu
4383 lmhosts : Lookup an IP 
4384 address in the Samba lmhosts file. If the line in lmhosts has 
4385 no name type attached to the NetBIOS name (see the lmhosts(5)for details) then
4386 any name type matches for lookup.
4387 .TP 0.2i
4388 \(bu
4389 host : Do a standard host 
4390 name to IP address resolution, using the system \fI/etc/hosts
4391 \fR, NIS, or DNS lookups. This method of name resolution 
4392 is operating system depended for instance on IRIX or Solaris this 
4393 may be controlled by the \fI/etc/nsswitch.conf\fR 
4394 file. Note that this method is only used if the NetBIOS name 
4395 type being queried is the 0x20 (server) name type, otherwise 
4396 it is ignored.
4397 .TP 0.2i
4398 \(bu
4399 wins : Query a name with 
4400 the IP address listed in the \fI wins server\fR parameter. If no WINS server has
4401 been specified this method will be ignored.
4402 .TP 0.2i
4403 \(bu
4404 bcast : Do a broadcast on 
4405 each of the known local interfaces listed in the \fIinterfaces\fR 
4406 parameter. This is the least reliable of the name resolution 
4407 methods as it depends on the target host being on a locally 
4408 connected subnet.
4409 .RE
4410 .PP
4411 Default: \fBname resolve order = lmhosts host wins bcast
4412 \fR.PP
4413 .PP
4414 Example: \fBname resolve order = lmhosts bcast host
4415 \fR.PP
4416 .PP
4417 This will cause the local lmhosts file to be examined 
4418 first, followed by a broadcast attempt, followed by a normal 
4419 system hostname lookup.
4420 .PP
4421 .TP
4422 \fBnetbios aliases (G)\fR
4423 This is a list of NetBIOS names that nmbd(8)will advertise as additional 
4424 names by which the Samba server is known. This allows one machine 
4425 to appear in browse lists under multiple names. If a machine is 
4426 acting as a browse server or logon server none 
4427 of these names will be advertised as either browse server or logon 
4428 servers, only the primary name of the machine will be advertised 
4429 with these capabilities.
4430
4431 See also \fInetbios 
4432 name\fR.
4433
4434 Default: \fBempty string (no additional names)\fR
4435
4436 Example: \fBnetbios aliases = TEST TEST1 TEST2\fR
4437 .TP
4438 \fBnetbios name (G)\fR
4439 This sets the NetBIOS name by which a Samba 
4440 server is known. By default it is the same as the first component 
4441 of the host's DNS name. If a machine is a browse server or
4442 logon server this name (or the first component
4443 of the hosts DNS name) will be the name that these services are
4444 advertised under.
4445
4446 See also \fInetbios 
4447 aliases\fR.
4448
4449 Default: \fBmachine DNS name\fR
4450
4451 Example: \fBnetbios name = MYNAME\fR
4452 .TP
4453 \fBnetbios scope (G)\fR
4454 This sets the NetBIOS scope that Samba will 
4455 operate under. This should not be set unless every machine 
4456 on your LAN also sets this value.
4457 .TP
4458 \fBnis homedir (G)\fR
4459 Get the home share server from a NIS map. For 
4460 UNIX systems that use an automounter, the user's home directory 
4461 will often be mounted on a workstation on demand from a remote 
4462 server. 
4463
4464 When the Samba logon server is not the actual home directory 
4465 server, but is mounting the home directories via NFS then two 
4466 network hops would be required to access the users home directory 
4467 if the logon server told the client to use itself as the SMB server 
4468 for home directories (one over SMB and one over NFS). This can 
4469 be very slow.
4470
4471 This option allows Samba to return the home share as 
4472 being on a different server to the logon server and as 
4473 long as a Samba daemon is running on the home directory server, 
4474 it will be mounted on the Samba client directly from the directory 
4475 server. When Samba is returning the home share to the client, it 
4476 will consult the NIS map specified in  \fIhomedir map\fR and return the server 
4477 listed there.
4478
4479 Note that for this option to work there must be a working 
4480 NIS system and the Samba server with this option must also 
4481 be a logon server.
4482
4483 Default: \fBnis homedir = no\fR
4484 .TP
4485 \fBnon unix account range (G)\fR
4486 The non unix account range parameter specifies 
4487 the range of 'user ids' that are allocated by the various 'non unix 
4488 account' passdb backends. These backends allow
4489 the storage of passwords for users who don't exist in /etc/passwd. 
4490 This is most often used for machine account creation. 
4491 This range of ids should have no existing local or NIS users within 
4492 it as strange conflicts can occur otherwise.
4493
4494 NOTE: These userids never appear on the system and Samba will never
4495 \&'become' these users. They are used only to ensure that the algorithmic 
4496 RID mapping does not conflict with normal users.
4497
4498 Default: \fBnon unix account range = <empty string>
4499 \fR
4500 Example: \fBnon unix account range = 10000-20000\fR
4501 .TP
4502 \fBnt acl support (S)\fR
4503 This boolean parameter controls whether 
4504 smbd(8)will attempt to map 
4505 UNIX per