967dceac8de7194c90c5a0996abc619aa56b5eb8
[kai/samba.git] / docs / faq / Samba-meta-FAQ.txt
1   Samba meta FAQ
2   Dan Shearer & Paul Blackman, ictinus@lake.canberra.edu.au
3   v 0.1, 23 Aug '97
4
5   This is the meta-Frequently Asked Questions (FAQ) document for Samba,
6   the free and very popular SMB and CIFS server product. It contains
7   overview information for the Samba suite of programs, a quick-start
8   guide, and pointers to all other Samba documentation. Other FAQs exist
9   for specific client and server issues, and HOWTO documents for more
10   extended topics to do with Samba software. Current to version Samba
11   1.9.17. Please send any corrections to the author.
12   ______________________________________________________________________
13
14   Table of Contents:
15
16   1.      Quick Reference Guides to Samba Documentation
17
18   1.1.    Samba for the Impatient
19
20   1.2.    All Samba Documentation
21
22   2.      General Information
23
24   2.1.    What is Samba?
25
26   2.2.    What is the current version of Samba?
27
28   2.3.    Where can I get it?
29
30   2.4.    What do the version numbers mean?
31
32   2.5.    Where can I go for further information?
33
34   2.6.    How do I subscribe to the Samba Mailing Lists?
35
36   2.7.    Something's gone wrong - what should I do?
37
38   2.8.    How do I submit patches or bug reports?
39
40   2.9.    What if I have an URGENT message for the developers?
41
42   2.10.   What if I need paid-for support?
43
44   2.11.   Pizza supply details
45
46   3.      About CIFS and SMB
47
48   3.1.    What is the Server Message Block (SMB) Protocol?
49
50   3.2.    What is the Common Internet Filesystem (CIFS)?
51
52   3.3.    What is Browsing?
53
54   4.      Designing A SMB and CIFS Network
55
56   4.1.    Workgroups, Browsing Domains and Authentication Domains
57
58   4.1.1.  Defining the Terms
59
60   4.1.2.  Sharelevel (Workgroup) Security Services
61
62   4.1.3.  Authentication Domain Mode Services
63
64   4.2.    Authentication Schemes
65
66   4.2.1.  Workgroup Mode Services
67
68   4.2.2.  Windows NT-Style Domain
69
70   4.2.3.  NIS
71
72   4.2.4.  Kerberos
73
74   4.2.5.  FTP
75
76   4.2.6.  Default Server Method
77
78   4.2.7.  Client-side Database Only
79
80   4.3.    Post-Authentication: Netlogon, Logon Scripts, Profiles
81
82   5.      Cross-Protocol File Sharing
83
84   6.      Miscellaneous
85
86   6.1.    Is Samba Year 2000 compliant?
87   ______________________________________________________________________
88
89   1\b1.\b.  Q\bQu\bui\bic\bck\bk R\bRe\bef\bfe\ber\bre\ben\bnc\bce\be G\bGu\bui\bid\bde\bes\bs t\bto\bo S\bSa\bam\bmb\bba\ba D\bDo\boc\bcu\bum\bme\ben\bnt\bta\bat\bti\bio\bon\bn
90
91   We are endeavouring to provide links here to every major class of
92   information about Samba or things related to Samba. We cannot list
93   every document, but we are aiming for all documents to be at most two
94   referrals from those listed here. This needs constant maintaining, so
95   please send the author your feedback.
96
97   1\b1.\b.1\b1.\b.  S\bSa\bam\bmb\bba\ba f\bfo\bor\br t\bth\bhe\be I\bIm\bmp\bpa\bat\bti\bie\ben\bnt\bt
98
99   You know you should read the documentation but can't wait to start?
100   What you need to do then is follow the instructions in the following
101   documents, in order. This should be enough to get a _\bs_\bi_\bm_\bp_\bl_\be site going
102   quickly. If you have any problems at all, refer back to this section
103   and do some more reading.
104
105   1. Getting Samba: ``Download Instructions''
106
107   2. Installing Samba: making sure the binaries are in place and work.
108      At the moment there are two kinds of Samba server installs: Unix or
109      close relative <INSTALL.txt> and Others <Samba-Server-
110      FAQ.html#PortInfo>. Do not forget to
111
112   3. Debug sequence: If you think you have completed the previous step
113      and things aren't working properly work through the diagnosis
114      recipe. <DIAGNOSIS.txt>
115
116   4. Exporting files to SMB clients: You should read the manual pages
117      for smb.conf, but here is a quick answer guide. <Samba-Server-
118      FAQ.html#Exporting>
119
120   5. Controlling user access: the quickest and dirtiest way of sharing
121      resources is to use ``share level security.'' If you want to spend
122      more time and have a proper username and password database you must
123      read the paragraph on ``domain mode security.'' If you want
124      encryption (eg you are using Windows NT clients) follow the SMB
125      encryption instructions. <Samba-Server-FAQ.html#SMBEncryptionSteps>
126   6. Browsing: if you are happy to type in "\samba-serverrename" at the
127      client end then do not read any further. Otherwise you need to
128      understand the ``browsing terminoligy'' and read  <BROWSING.txt>.
129
130   7. Printing: See the printing quick answer guide. <Samba-Server-
131      FAQ.html#Printing>
132
133   If you have got everything working to this point, you can expect Samba
134   to be stable and secure: these are its greatest strengths. However
135   Samba has a great deal to offer and to go further you must do some
136   more reading. Speed and security optimisations, printer accounting,
137   network logons, roving profiles, browsing across multiple subnets and
138   so on are all covered either in this document or in those it refers
139   to.
140
141   1\b1.\b.2\b2.\b.  A\bAl\bll\bl S\bSa\bam\bmb\bba\ba D\bDo\boc\bcu\bum\bme\ben\bnt\bta\bat\bti\bio\bon\bn
142
143   +\bo  Meta-FAQ. This is the mother of all documents, and is the one you
144      are reading now. The latest version is always at
145      <http://samba.anu.edu.au/[.....]> but there is probably a much
146      nearer mirror site <../MIRRORS> which you should use instead.
147
148   +\bo  <Samba-Server-FAQ.html> is the best starting point for information
149      about server-side issues. Includes configuration tips and pointers
150      for Samba on particular operating systems (with 40 to choose
151      from...)
152
153   +\bo  <Samba-Client-FAQ.html> is the best starting point for information
154      about client-side issues, includes a list of all clients that work
155      with Samba.
156
157   +\bo  <samba-man-index.html> contains descriptions of and links to all
158      the Samba manual pages, in Unix man and postscript format.
159
160   +\bo  <samba-txt-index.html> has descriptions of and links to a large
161      number of text files have been contributed to samba covering many
162      topics. These are gradually being absorbed into the FAQs and HOWTOS
163      but in the meantime you might find helpful answers here.
164
165   +\bo
166
167   2\b2.\b.  G\bGe\ben\bne\ber\bra\bal\bl I\bIn\bnf\bfo\bor\brm\bma\bat\bti\bio\bon\bn
168
169   All about Samba - what it is, how to get it, related sources of
170   information, how to understand the version numbering scheme, pizza
171   details
172
173   2\b2.\b.1\b1.\b.  W\bWh\bha\bat\bt i\bis\bs S\bSa\bam\bmb\bba\ba?\b?
174
175   Samba is a suite of programs which work together to allow clients to
176   access to a server's filespace and printers via the SMB (Server
177   Message Block) and CIFS (Common Internet Filesystem) protocols.
178   Initially written for Unix, Samba now also runs on Netware, OS/2, VMS,
179   StratOS and Amigas. Ports to BeOS and other operating systems are
180   underway. Samba gives the capability for these operating systems to
181   behave much like a LAN Server, Windows NT Server or Pathworks machine,
182   only with added functionality and flexibility designed to make life
183   easier for administrators.
184   This means that using Samba you can share a server's disks and
185   printers to many sorts of network clients, including Lan Manager,
186   Windows for Workgroups, Windows NT, Linux, OS/2, and AIX. There is
187   also a generic client program supplied as part of the Samba suite
188   which gives a user on the server an ftp-like interface to access
189   filespace and printers on any other SMB/CIFS servers.
190
191   Many users report that compared to other SMB implementations Samba is
192   more stable, faster, and compatible with more clients. Administrators
193   of some large installations say that Samba is the only SMB server
194   available which will scale to many tens of thousands of users without
195   crashing.  The easy way to test these claims is to download it and try
196   it for yourself!
197
198   The suite is supplied with full source code under the GNU Public
199   License <../COPYING>. The GPL means that you can use Samba for
200   whatever purpose you wish (including changing the source or selling it
201   for money) but under all circumstances the source code must be made
202   freely available. A copy of the GPL must always be included in any
203   copy of the package.
204
205   The primary creator of the Samba suite is Andrew Tridgell. Later
206   versions incorporate much effort by many net.helpers. The man pages
207   and this FAQ were originally written by Karl Auer.
208
209   2\b2.\b.2\b2.\b.  W\bWh\bha\bat\bt i\bis\bs t\bth\bhe\be c\bcu\bur\brr\bre\ben\bnt\bt v\bve\ber\brs\bsi\bio\bon\bn o\bof\bf S\bSa\bam\bmb\bba\ba?\b?
210
211   At time of writing, the current version was 1.9.17. If you want to be
212   sure check the bottom of the change-log file.
213   <ftp://samba.anu.edu.au/pub/samba/alpha/change-log>
214
215   For more information see ``What do the version numbers mean?''
216
217   2\b2.\b.3\b3.\b.  W\bWh\bhe\ber\bre\be c\bca\ban\bn I\bI g\bge\bet\bt i\bit\bt?\b?
218
219   The Samba suite is available via anonymous ftp from samba.anu.edu.au
220   and many mirror <../MIRRORS> sites. You will get much faster
221   performance if you use a mirror site. The latest and greatest versions
222   of the suite are in the directory:
223
224   /pub/samba/
225
226   Development (read "alpha") versions, which are NOT necessarily stable
227   and which do NOT necessarily have accurate documentation, are
228   available in the directory:
229
230   /pub/samba/alpha
231
232   Note that binaries are NOT included in any of the above. Samba is
233   distributed ONLY in source form, though binaries may be available from
234   other sites. Most Linux distributions, for example, do contain Samba
235   binaries for that platform. The VMS, OS/2, Netware and Amiga and other
236   ports typically have binaries made available.
237
238   2\b2.\b.4\b4.\b.  W\bWh\bha\bat\bt d\bdo\bo t\bth\bhe\be v\bve\ber\brs\bsi\bio\bon\bn n\bnu\bum\bmb\bbe\ber\brs\bs m\bme\bea\ban\bn?\b?
239
240   It is not recommended that you run a version of Samba with the word
241   "alpha" in its name unless you know what you are doing and are willing
242   to do some debugging. Many, many people just get the latest
243   recommended stable release version and are happy. If you are brave, by
244   all means take the plunge and help with the testing and development -
245   but don't install it on your departmental server. Samba is typically
246   very stable and safe, and this is mostly due to the policy of many
247   public releases.
248
249   How the scheme works:
250
251   1. When major changes are made the version number is increased. For
252      example, the transition from 1.9.16 to 1.9.17. However, this
253      version number will not appear immediately and people should
254      continue to use 1.9.15 for production systems (see next point.)
255
256   2. Just after major changes are made the software is considered
257      unstable, and a series of alpha releases are distributed, for
258      example 1.9.16alpha1. These are for testing by those who know what
259      they are doing.  The "alpha" in the filename will hopefully scare
260      off those who are just looking for the latest version to install.
261
262   3. When Andrew thinks that the alphas have stabilised to the point
263      where he would recommend new users install it, he renames it to the
264      same version number without the alpha, for example 1.9.17.
265
266   4. Inevitably bugs are found in the "stable" releases and minor patch
267      levels are released which give us the pXX series, for example
268      1.9.17p2.
269
270   So the progression goes:
271
272                   1.9.16p10       (production)
273                   1.9.16p11       (production)
274                   1.9.17alpha1    (test sites only)
275                     :
276                   1.9.17alpha20   (test sites only)
277                   1.9.17          (production)
278                   1.9.17p1        (production)
279
280   The above system means that whenever someone looks at the samba ftp
281   site they will be able to grab the highest numbered release without an
282   alpha in the name and be sure of getting the current recommended
283   version.
284
285   2\b2.\b.5\b5.\b.  W\bWh\bhe\ber\bre\be c\bca\ban\bn I\bI g\bgo\bo f\bfo\bor\br f\bfu\bur\brt\bth\bhe\ber\br i\bin\bnf\bfo\bor\brm\bma\bat\bti\bio\bon\bn?\b?
286
287   There are a number of places to look for more information on Samba,
288   including:
289
290   +\bo  Two mailing lists devoted to discussion of Samba-related matters.
291      See below for subscription information.
292
293   +\bo  The newsgroup comp.protocols.smb, which has a great deal of
294      discussion about Samba.
295
296   +\bo  The WWW site 'SAMBA Web Pages' at
297      <http://samba.canberra.edu.au/pub/samba/samba.html> includes:
298
299   +\bo  Links to man pages and documentation, including this FAQ
300
301   +\bo  A comprehensive survey of Samba users
302
303   +\bo  A searchable hypertext archive of the Samba mailing list
304
305   +\bo  Links to Samba source code, binaries, and mirrors of both
306
307   +\bo  This FAQ and the rest in its family
308
309   2\b2.\b.6\b6.\b.  H\bHo\bow\bw d\bdo\bo I\bI s\bsu\bub\bbs\bsc\bcr\bri\bib\bbe\be t\bto\bo t\bth\bhe\be S\bSa\bam\bmb\bba\ba M\bMa\bai\bil\bli\bin\bng\bg L\bLi\bis\bst\bts\bs?\b?
310
311   Send email to listproc@samba.anu.edu.au. Make sure the subject line is
312   blank, and include the following two lines in the body of the message:
313
314        subscribe samba Firstname Lastname
315        subscribe samba-announce Firstname Lastname
316
317   Obviously you should substitute YOUR first name for "Firstname" and
318   YOUR last name for "Lastname"! Try not to send any signature, it
319   sometimes confuses the list processor.
320
321   The samba list is a digest list - every eight hours or so it sends a
322   single message containing all the messages that have been received by
323   the list since the last time and sends a copy of this message to all
324   subscribers. There are thousands of people on this list.
325
326   If you stop being interested in Samba, please send another email to
327   listproc@samba.anu.edu.au. Make sure the subject line is blank, and
328   include the following two lines in the body of the message:
329
330        unsubscribe samba
331        unsubscribe samba-announce
332
333   The F\bFr\bro\bom\bm:\b: line in your message _\bM_\bU_\bS_\bT be the same address you used when
334   you subscribed.
335
336   2\b2.\b.7\b7.\b.  S\bSo\bom\bme\bet\bth\bhi\bin\bng\bg'\b's\bs g\bgo\bon\bne\be w\bwr\bro\bon\bng\bg -\b- w\bwh\bha\bat\bt s\bsh\bho\bou\bul\bld\bd I\bI d\bdo\bo?\b?
337
338   #\b# *\b**\b**\b* I\bIM\bMP\bPO\bOR\bRT\bTA\bAN\bNT\bT!\b! *\b**\b**\b* #\b#
339
340   DO NOT post messages on mailing lists or in newsgroups until you have
341   carried out the first three steps given here!
342
343   1. See if there are any likely looking entries in this FAQ! If you
344      have just installed Samba, have you run through the checklist in
345      DIAGNOSIS.txt <ftp://samba.anu.edu.au/pub/samba/DIAGNOSIS.txt>? It
346      can save you a lot of time and effort.  DIAGNOSIS.txt can also be
347      found in the docs directory of the Samba distribution.
348
349   2. Read the man pages for smbd, nmbd and smb.conf, looking for topics
350      that relate to what you are trying to do.
351
352   3. If there is no obvious solution to hand, try to get a look at the
353      log files for smbd and/or nmbd for the period during which you were
354      having problems. You may need to reconfigure the servers to provide
355      more extensive debugging information - usually level 2 or level 3
356      provide ample debugging info. Inspect these logs closely, looking
357      particularly for the string "Error:".
358
359   4. If you need urgent help and are willing to pay for it see ``Paid
360      Support''.
361
362   If you still haven't got anywhere, ask the mailing list or newsgroup.
363   In general nobody minds answering questions provided you have followed
364   the preceding steps. It might be a good idea to scan the archives of
365   the mailing list, which are available through the Samba web site
366   described in the previous section. When you post be sure to include a
367   good description of your environment and your problem.
368
369   If you successfully solve a problem, please mail the FAQ maintainer a
370   succinct description of the symptom, the problem and the solution, so
371   that an explanation can be incorporated into the next version.
372
373   2\b2.\b.8\b8.\b.  H\bHo\bow\bw d\bdo\bo I\bI s\bsu\bub\bbm\bmi\bit\bt p\bpa\bat\btc\bch\bhe\bes\bs o\bor\br b\bbu\bug\bg r\bre\bep\bpo\bor\brt\bts\bs?\b?
374
375   If you make changes to the source code, _\bp_\bl_\be_\ba_\bs_\be submit these patches so
376   that everyone else gets the benefit of your work. This is one of the
377   most important aspects to the maintainence of Samba. Send all patches
378   to samba-bugs@samba.anu.edu.au. Do not send patches to Andrew Tridgell
379   or any other individual, they may be lost if you do.
380
381   Patch format ------------
382
383   If you are sending a patch to fix a problem then please don't just use
384   standard diff format. As an example, samba-bugs received this patch
385   from someone:
386
387   382a #endif 381a #if !defined(NEWS61)
388
389   How are we supposed to work out what this does and where it goes?
390   These sort of patches only work if we both have identical files in the
391   first place. The Samba sources are constantly changing at the hands of
392   multiple developers, so it doesn't work.
393
394   Please use either context diffs or (even better) unified diffs. You
395   get these using "diff -c4" or "diff -u". If you don't have a diff that
396   can generate these then please send manualy commented patches to I
397   know what is being changed and where. Most patches are applied by hand
398   so the info must be clear.
399
400   This is a basic guideline that will assist us with assessing your
401   problem more efficiently :
402
403   Machine Arch: Machine OS: OS Version: Kernel:
404
405   Compiler: Libc Version:
406
407   Samba Version:
408
409   Network Layout (description):
410
411   What else is on machine (services, etc):
412
413   Some extras :
414
415   +\bo  what you did and what happened
416
417   +\bo  relevant parts of a debugging output file with debuglevel higher.
418      If you can't find the relevant parts, please ask before mailing
419      huge files.
420
421   +\bo  anything else you think is useful to trace down the bug
422
423   2\b2.\b.9\b9.\b.  W\bWh\bha\bat\bt i\bif\bf I\bI h\bha\bav\bve\be a\ban\bn U\bUR\bRG\bGE\bEN\bNT\bT m\bme\bes\bss\bsa\bag\bge\be f\bfo\bor\br t\bth\bhe\be d\bde\bev\bve\bel\blo\bop\bpe\ber\brs\bs?\b?
424
425   If you have spotted something very serious and believe that it is
426   important to contact the developers quickly send a message to samba-
427   urgent@samba.anu.edu.au. This will be processed more quickly than mail
428   to samba-bugs. Please think carefully before using this address. An
429   example of its use might be to report a security hole.
430
431   Examples of things _\bn_\bo_\bt to send to samba-urgent include problems
432   getting Samba to work at all and bugs that cannot potentially cause
433   damage.
434
435   2\b2.\b.1\b10\b0.\b.  W\bWh\bha\bat\bt i\bif\bf I\bI n\bne\bee\bed\bd p\bpa\bai\bid\bd-\b-f\bfo\bor\br s\bsu\bup\bpp\bpo\bor\brt\bt?\b?
436
437   Samba has a large network of consultants who provide Samba support on
438   a commercial basis. The list is included in the package in
439   Support.txt, and the latest version will always be on the main samba
440   ftp site.  Any company in the world can request that the samba team
441   include their details in Support.txt so we can give no guarantee of
442   their services.
443
444   2\b2.\b.1\b11\b1.\b.  P\bPi\biz\bzz\bza\ba s\bsu\bup\bpp\bpl\bly\by d\bde\bet\bta\bai\bil\bls\bs
445
446   Those who have registered in the Samba survey as "Pizza Factory" will
447   already know this, but the rest may need some help. Andrew doesn't ask
448   for payment, but he does appreciate it when people give him pizza.
449   This calls for a little organisation when the pizza donor is twenty
450   thousand kilometres away, but it has been done.
451
452   1. Ring up your local branch of an international pizza chain and see
453      if they honour their vouchers internationally. Pizza Hut do, which
454      is how the entire Canberra Linux Users Group got to eat pizza one
455      night, courtesy of someone in the US.
456
457   2. Ring up a local pizza shop in Canberra and quote a credit card
458      number for a certain amount, and tell them that Andrew will be
459      collecting it (don't forget to tell him.) One kind soul from
460      Germany did this.
461
462   3. Purchase a pizza voucher from your local pizza shop that has no
463      international affiliations and send it to Andrew. It is completely
464      useless but he can hang it on the wall next to the one he already
465      has from Germany :-)
466
467   4. Air freight him a pizza with your favourite regional flavours. It
468      will probably get stuck in customs or torn apart by hungry sniffer
469      dogs but it will have been a noble gesture.
470
471   3\b3.\b.  A\bAb\bbo\bou\but\bt C\bCI\bIF\bFS\bS a\ban\bnd\bd S\bSM\bMB\bB
472
473   3\b3.\b.1\b1.\b.  W\bWh\bha\bat\bt i\bis\bs t\bth\bhe\be S\bSe\ber\brv\bve\ber\br M\bMe\bes\bss\bsa\bag\bge\be B\bBl\blo\boc\bck\bk (\b(S\bSM\bMB\bB)\b) P\bPr\bro\bot\bto\boc\bco\bol\bl?\b?
474
475   SMB is a filesharing protocol that has had several maintainers and
476   contributors over the years including Xerox, 3Com and most recently
477   Microsoft. Names for this protocol include LAN Manager and Microsoft
478   Networking. Parts of the specification has been made public at several
479   versions including in an X/Open document, as listed at
480   <ftp://ftp.microsoft.com/developr/drg/CIFS/>. No specification
481   releases were made between 1992 and 1996, and during that period
482   Microsoft became the SMB implementor with the largest market share.
483   Microsoft developed the specification further for its products but for
484   various reasons connected with developer's workload rather than market
485   strategy did not make the changes public. This culminated with the
486   "Windows NT 0.12" version released with NT 3.5 in 1995 which had
487   significant improvements and bugs. Because Microsoft client systems
488   are so popular, it is fair to say that what Microsoft with Windows
489   affects all suppliers of SMB server products.
490
491   From 1994 Andrew Tridgell began doing some serious work on his
492   Smbserver (now Samba) product and with some helpers started to
493   implement more and more of these protocols. Samba began to take a
494   significant share of the SMB server market.
495
496   3\b3.\b.2\b2.\b.  W\bWh\bha\bat\bt i\bis\bs t\bth\bhe\be C\bCo\bom\bmm\bmo\bon\bn I\bIn\bnt\bte\ber\brn\bne\bet\bt F\bFi\bil\ble\bes\bsy\bys\bst\bte\bem\bm (\b(C\bCI\bIF\bFS\bS)\b)?\b?
497
498   The initial pressure for Microsoft to document their current SMB
499   implementation came from the Samba team, who kept coming across things
500   on the wire that Microsoft either didn't know about or hadn't
501   documented anywhere (even in the sourcecode to Windows NT.) Then Sun
502   Microsystems came out with their WebNFS initiative, designed to
503   replace FTP for file transfers on the Internet. There are many
504   drawbacks to WebNFS (including its scope - it aims to replace HTTP as
505   well!) but the concept was attractive. FTP is not very clever, and why
506   should it be harder to get files from across the world than across the
507   room?
508
509   Some hasty revisions were made and an Internet Draft for the Common
510   Internet Filesystem (CIFS) was released. Note that CIFS is not an
511   Internet standard and is a very long way from becoming one, BUT the
512   protocol specification is in the public domain and ongoing discussions
513   concerning the spec take place on a public mailing list according to
514   the rules of the Internet Engineering Task Force. For more information
515   and pointers see  <http://samba.anu.edu.au/cifs/>
516
517   The following is taken from  <http://www.microsoft.com/intdev/cifs/>
518
519       CIFS defines a standard remote file system access protocol for use
520       over the Internet, enabling groups of users to work together and
521       share documents across the Internet or within their corporate
522       intranets. CIFS is an open, cross-platform technology based on the
523       native file-sharing protocols built into Microsoft Windows and
524       other popular PC operating systems, and supported on dozens of
525       other platforms, including UNIX. With CIFS, millions of computer
526       users can open and share remote files on the Internet without having
527       to install new software or change the way they work."
528
529   If you consider CIFS as a backwardsly-compatible refinement of SMB
530   that will work reasonably efficiently over the Internet you won't be
531   too far wrong.
532
533   The net effect is that Microsoft is now documenting large parts of
534   their Windows NT fileserver protocols. The security concepts embodied
535   in Windows NT are part of the specification, which is why Samba
536   documentation often talks in terms of Windows NT. However there is no
537   reason why a site shouldn't conduct all its file and printer sharing
538   with CIFS and yet have no Microsoft products at all.
539
540   3\b3.\b.3\b3.\b.  W\bWh\bha\bat\bt i\bis\bs B\bBr\bro\bow\bws\bsi\bin\bng\bg?\b?
541
542   The term "Browsing" causes a lot of confusion. It is the part of the
543   SMB/CIFS protocol which allows for resource discovery. For example, in
544   the Windows NT Explorer it is possible to see a "Network
545   Neighbourhood" of computers in the same SMB workgroup. Clicking on the
546   name of one of these machines brings up a list of file and printer
547   resources for connecting to. In this way you can cruise the network,
548   seeing what things are available. How this scales to the Internet is a
549   subject for debate. Look at the CIFS list archives to see what the
550   experts think.
551
552   4\b4.\b.  D\bDe\bes\bsi\big\bgn\bni\bin\bng\bg A\bA S\bSM\bMB\bB a\ban\bnd\bd C\bCI\bIF\bFS\bS N\bNe\bet\btw\bwo\bor\brk\bk
553
554   The big issues for installing any network of LAN or WAN file and print
555   servers are
556
557   +\bo  How and where usernames, passwords and other security information
558      is stored
559
560   +\bo  What method can be used for locating the resources that users have
561      permission to use
562
563   +\bo  What protocols the clients can converse with
564
565   If you buy Netware, Windows NT or just about any other LAN fileserver
566   product you are expected to lock yourself into the product's preferred
567   answers to these questions. This tendancy is restrictive and often
568   very expensive for a site where there is only one kind of client or
569   server, and for sites with a mixture of operating systems it often
570   makes it impossible to share resources between some sets of users.
571
572   The Samba philosophy is to make things as easy as possible for
573   administators, which means allowing as many combinations of clients,
574   servers, operating systems and protocols as possible.
575
576   4\b4.\b.1\b1.\b.  W\bWo\bor\brk\bkg\bgr\bro\bou\bup\bps\bs,\b, B\bBr\bro\bow\bws\bsi\bin\bng\bg D\bDo\bom\bma\bai\bin\bns\bs a\ban\bnd\bd A\bAu\but\bth\bhe\ben\bnt\bti\bic\bca\bat\bti\bio\bon\bn D\bDo\bom\bma\bai\bin\bns\bs
577
578   The concepts of a Workgroup and a Domain are fundamental to SMB
579   networking. Although Microsoft integrates Workgroups and Domains
580   tightly with their authentication procedures there is no reason why
581   this has to be so in an SMB network. Groups of SMB machines can work
582   together just as well with Unix or OS/2 Samba servers as they can with
583   Windows NT servers, even though the password storage and access
584   methods are totally different.
585
586   4\b4.\b.1\b1.\b.1\b1.\b.  D\bDe\bef\bfi\bin\bni\bin\bng\bg t\bth\bhe\be T\bTe\ber\brm\bms\bs
587
588   A Workgroup (or Browsing Domain) is collection of machines that
589   maintain a common database contianing information about their shared
590   resources.  They do not necessarily have any security information in
591   common. The database is dynamic, modified as servers come and go on
592   the network and as resources are added or deleted. The term "browsing"
593   refers to a user accessing the database via whatever interface the
594   client provides. SMB servers agree between themselves as to which ones
595   will maintain the browsing database. Workgroups can be anywhere on a
596   connected TCP/IP network, including on different subnets or anywhere
597   on the Interet. This is a very tricky part of SMB to implement.
598
599   Due to the convoluted history of SMB there is now conflicting
600   terminology describing Domains and Workgroups. "Domain" is used in the
601   browsing specifications to define that group of servers and clients
602   who share a common name and a common browsing database. The following
603   are used exclusively in the context of Workgroup browsing:
604
605   +\bo  Domain Master Browser
606
607   +\bo  Local Master Browser
608
609   Alternative terms include confusing variations such as "Browse
610   Master", and "Master Browser" which we are trying to eliminate from
611   the Samba documentation. We are moving to the use of "Browsing Domain"
612   wherever the word "Domain" occurs in a workgroup context. Ideally
613   "Workgroup" would also be replaced by Browsing Domain but it is very
614   widely used terminology.
615
616   Unfortunately the group of machines which use the the Microsoft method
617   of sharing authentication information (but not any of the many other
618   methods) is also called a Domain. As explained elsewhere Microsoft are
619   not making this protocol public and The following are used exclusively
620   in the context of Microsoft Authentication domains:
621
622   +\bo  Primary Domain Controller
623
624   +\bo  Backup Domain Controller
625
626   +\bo  Domain Logon
627
628   These terms can be very confusing, and so in the Samba documentation
629   we are moving to the term "Authentication Domain" wherever Domain is
630   used in this sense. As a final touch of irony, all Authentication
631   Domains are also Browsing Domains.
632
633   4\b4.\b.1\b1.\b.2\b2.\b.  S\bSh\bha\bar\bre\bel\ble\bev\bve\bel\bl (\b(W\bWo\bor\brk\bkg\bgr\bro\bou\bup\bp)\b) S\bSe\bec\bcu\bur\bri\bit\bty\by S\bSe\ber\brv\bvi\bic\bce\bes\bs
634
635   With the Samba setting "security = SHARE", all shared resources
636   information about what password is associated with them but only hints
637   as to what usernames might be valid (the hint can be 'all users', in
638   which case any username will work. This is usually a bad idea, but
639   reflects both the initial implementations of SMB in the mid-80s and
640   its reincarnation with Windows for Workgroups in 1992. The idea behind
641   workgroup security was that small independant groups of people could
642   share information on an ad-hoc basis without there being an
643   authentication infrastructure present or requiring them to do more
644   than fill in a dialogue box.
645
646   4\b4.\b.1\b1.\b.3\b3.\b.  A\bAu\but\bth\bhe\ben\bnt\bti\bic\bca\bat\bti\bio\bon\bn D\bDo\bom\bma\bai\bin\bn M\bMo\bod\bde\be S\bSe\ber\brv\bvi\bic\bce\bes\bs
647
648   With the Samba settings "security = USER" or "security = SERVER"
649   accesses to all resources are checked for username/password pair
650   matches in a more rigorous manner. This has the effect of emulating a
651   Microsoft Authentication Domain. Whether or not an Authentication
652   Domain is involved depends on how the network has been designed.
653
654   4\b4.\b.2\b2.\b.  A\bAu\but\bth\bhe\ben\bnt\bti\bic\bca\bat\bti\bio\bon\bn S\bSc\bch\bhe\bem\bme\bes\bs
655
656   In the simple case authentication information is stored on a single
657   server and the user types a password on connecting for the first time.
658   However client operating systems often require a password before they
659   can be used at all, and in addition users usually want access to more
660   than one server. Asking users to remember many different passwords in
661   different contexts just does not work. Some kind of distributed
662   authentication database is needed. It must cope with password changes
663   and provide for assigning groups of users the same level of access
664   permissions.
665
666   Authentication decisions are some of the biggest in designing a
667   network.  Are you going to use a scheme native to the client operating
668   system, native to the server operating system, or newly installed on
669   both? A list of options relevant to Samba (ie that make sense in the
670   context of the SMB protocol) follows. Any experiences with other
671   setups would be appreciated. refer to server FAQ for "passwd chat"
672   passwd program password server etc etc...
673
674   4\b4.\b.2\b2.\b.1\b1.\b.  W\bWo\bor\brk\bkg\bgr\bro\bou\bup\bp M\bMo\bod\bde\be S\bSe\ber\brv\bvi\bic\bce\bes\bs
675
676   etc etc
677
678   4\b4.\b.2\b2.\b.2\b2.\b.  W\bWi\bin\bnd\bdo\bow\bws\bs N\bNT\bT-\b-S\bSt\bty\byl\ble\be D\bDo\bom\bma\bai\bin\bn
679
680   Samba compiled with libdes - enabling encrypted passwords security =
681   server
682
683   4\b4.\b.2\b2.\b.3\b3.\b.  N\bNI\bIS\bS
684
685   4\b4.\b.2\b2.\b.4\b4.\b.  K\bKe\ber\brb\bbe\ber\bro\bos\bs
686
687   4\b4.\b.2\b2.\b.5\b5.\b.  F\bFT\bTP\bP
688
689   4\b4.\b.2\b2.\b.6\b6.\b.  D\bDe\bef\bfa\bau\bul\blt\bt S\bSe\ber\brv\bve\ber\br M\bMe\bet\bth\bho\bod\bd
690
691   4\b4.\b.2\b2.\b.7\b7.\b.  C\bCl\bli\bie\ben\bnt\bt-\b-s\bsi\bid\bde\be D\bDa\bat\bta\bab\bba\bas\bse\be O\bOn\bnl\bly\by
692
693   4\b4.\b.3\b3.\b.  P\bPo\bos\bst\bt-\b-A\bAu\but\bth\bhe\ben\bnt\bti\bic\bca\bat\bti\bio\bon\bn:\b: N\bNe\bet\btl\blo\bog\bgo\bon\bn,\b, L\bLo\bog\bgo\bon\bn S\bSc\bcr\bri\bip\bpt\bts\bs,\b, P\bPr\bro\bof\bfi\bil\ble\bes\bs
694
695   5\b5.\b.  C\bCr\bro\bos\bss\bs-\b-P\bPr\bro\bot\bto\boc\bco\bol\bl F\bFi\bil\ble\be S\bSh\bha\bar\bri\bin\bng\bg
696
697   Samba is an important tool for...
698
699   It is possible to...
700
701   File protocol gateways...
702
703   "Setting up a Linux File Server"
704   http://vetrec.mit.edu/people/narf/linux.html
705
706   Two free implementations of Appletalk for Unix are Netatalk,
707   <http://www.umich.edu/~rsug/netatalk/>, and CAP,
708   <http://www.cs.mu.oz.au/appletalk/atalk.html>. What Samba offers MS
709   Windows users, these packages offer to Macs. For more info on these
710   packages, Samba, and Linux (and other UNIX-based systems) see
711   <http://www.eats.com/linux_mac_win.html> 3.5) Sniffing your nework
712
713   6\b6.\b.  M\bMi\bis\bsc\bce\bel\bll\bla\ban\bne\beo\bou\bus\bs
714
715   6\b6.\b.1\b1.\b.  I\bIs\bs S\bSa\bam\bmb\bba\ba Y\bYe\bea\bar\br 2\b20\b00\b00\b0 c\bco\bom\bmp\bpl\bli\bia\ban\bnt\bt?\b?
716
717   The CIFS protocol that Samba implements negotiates times in various
718   formats, all of which are able to cope with dates beyond 2000.
719