- clarified dan s's clarifications of the difference between domains and
[kai/samba.git] / docs / textdocs / DOMAIN.txt
index 87a86a73fee2ebb6286e89ac699323a5f80341d3..5328dc7018b970fd985fe79bd82698395eef5b7a 100644 (file)
@@ -5,22 +5,23 @@ Subject:      Network Logons and Roving Profiles
 ===========================================================================
 
 A domain and a workgroup are exactly the same thing in terms of network
-functionality. The difference is topological and is determined by where
-the authentication database is stored. Every workgroup server has its
-own database of usernames and passwords, whereas a domain has a single
-logon facility made possible by a distributed password database.
+browsing.  The difference is that a distributable authentication
+database is associated with a domain, for secure login access to a
+network.  Also, different access rights can be granted to users if they
+successfully authenticate against a domain logon server (samba does not
+support this, but NT server and other systems based on NT server do).
 
 The SMB client logging on to a domain has an expectation that every other
 server in the domain should accept the same authentication information.
-However the network functionality of domains and workgroups is identical
-and is explained in BROWSING.txt.
+However the network browsing functionality of domains and workgroups is
+identical and is explained in BROWSING.txt.
 
 Issues related to the single-logon network model are discussed in this
-document. Samba supports domain logons, network logon scripts and user
+document.  Samba supports domain logons, network logon scripts, and user
 profiles.  The support is still experimental, but it seems to work.
 
-The support is also not complete. Samba does not yet support the sharing
-of the Windows NT-style SAM database with other systems. However this is
+The support is also not complete.  Samba does not yet support the sharing
+of the Windows NT-style SAM database with other systems.  However this is
 only one way of having a shared user database: exactly the same effect can
 be achieved by having all servers in a domain share a distributed NIS or
 Kerberos authentication database.
@@ -30,22 +31,28 @@ logon server.  The first one to reply gets the job, and validates its
 password using whatever mechanism the Samba administrator has installed.
 It is possible (but very stupid) to create a domain where the user
 database is not shared between servers, ie they are effectively workgroup
-servers advertising themselves as participating in a domain. This
+servers advertising themselves as participating in a domain.  This
 demonstrates how authentication is quite different from but closely
 involved with domains.
 
 Another thing commonly associated with single-logon domains is remote
-administration over the SMB protocol. Again, there is no reason why this
+administration over the SMB protocol.  Again, there is no reason why this
 cannot be implemented with an underlying username database which is
-different from the Windows NT SAM. Support for the Remote Administration
+different from the Windows NT SAM.  Support for the Remote Administration
 Protocol is planned for a future release of Samba.
 
-The domain support works for WfWg, and Win95 clients. Support for Windows
+The domain support works for WfWg, and Win95 clients.  Support for Windows
 NT and OS/2 clients is still being worked on and is still experimental.
-Support for profiles is confirmed as working for Win95 and NT 4.0, although
-NT Workstation requires manual configuration of user accounts with NT's
-"User Manager for Domains", and no automatic profile location support is
-available.
+Support for profiles is confirmed as working for Win95, NT 4.0 and NT 3.51,
+although NT Workstation requires manual configuration of user accounts with
+NT's "User Manager for Domains", and no automatic profile location support
+is available using samba, although it has been confirmed as possible to use
+an NT server to specify that the location of profiles is on a samba server.
+
+The help of an NT server can be enlisted, both for profile storage and
+for user authentication.  For details on user authentication, see
+security_level.txt.  For details on profile storage, see below.
+
 
 Using these features you can make your clients verify their logon via
 the Samba server, make clients run a batch file when they logon to
@@ -53,7 +60,7 @@ the network and download their preferences, desktop and start menu.
 
 
 Configuration Instructions:    Network Logons
-==============================================
+==========================================
 
 To use domain logons and profiles you need to do the following:
 
@@ -70,9 +77,10 @@ To use domain logons and profiles you need to do the following:
 3) Create a share called [netlogon] in your smb.conf. This share should
    be readable by all users, and probably should not be writeable. This
    share will hold your network logon scripts, and the CONFIG.POL file
-   (Note: for details on the CONFIG.POL file, refer to the Microsoft
-   Windows NT Administration documentation.  The format of these files
-   is not known, so you will need to use Microsoft tools.)
+   (Note: for details on the CONFIG.POL file, how to use it, what it is,
+   refer to the Microsoft Windows NT Administration documentation.
+   The format of these files is not known, so you will need to use
+   Microsoft tools).
 
 For example I have used:
 
@@ -116,7 +124,7 @@ DOS style files under unix.
    some useful programs there to execute from the batch files.
 
 NOTE: You must be using "security = user" or "security = server" for
-domain logons to work correctly. Share level security won't work
+domain logons to work correctly.  Share level security won't work
 correctly.
 
 
@@ -143,8 +151,8 @@ component of the path, the profile creation / reading fails.
 Windows 95
 ----------
 
-When a user first logs in on Windows 95, the file user.dat is created,
-as are folders "start menu", "desktop", "programs" and "nethood".  
+When a user first logs in on Windows 95, the file user.DAT is created,
+as are folders "Start Menu", "Desktop", "Programs" and "Nethood".  
 These directories and their contents will be merged with the local
 versions stored in c:\windows\profiles\username on subsequent logins,
 taking the most recent from each.  You will need to use the [global]
@@ -152,9 +160,9 @@ options "preserve case = yes", "short case preserve = yes" and
 "case sensitive = no" in order to maintain capital letters in shortcuts
 in any of the profile folders.
 
-The user.dat file contains all the user's preferences.  If you wish to
-enforce a set of preferences, rename their user.dat file to user.man,
-and deny them write access to the file.
+The user.DAT file contains all the user's preferences.  If you wish to
+enforce a set of preferences, rename their user.DAT file to user.MAN,
+and deny them write access to this file.
 
 2) On the Windows 95 machine, go to Control Panel | Passwords and
    select the User Profiles tab.  Select the required level of
@@ -176,8 +184,10 @@ concept of roaming profiles, if you ask me.
 
 You will now find that the Microsoft Networks Login box contains
 [user, password, domain] instead of just [user, password].  Type in
-the samba server's domain name (or any other domain known to exist),
-user name and user's password.
+the samba server's domain name (or any other domain known to exist,
+but bear in mind that the user will be authenticated against this
+domain and profiles downloaded from it, if that domain logon server
+supports it), user name and user's password.
 
 Once the user has been successfully validated, the Windows 95 machine
 will inform you that 'The user has not logged on before' and asks you
@@ -185,16 +195,22 @@ if you wish to save the user's preferences?  Select 'yes'.
 
 Once the Windows 95 client comes up with the desktop, you should be able
 to examine the contents of the directory specified in the "logon path"
-(the default is \\samba_server\username) and verify that the "desktop",
-"start menu", "programs" and "nethood" folders have been created.
+on the samba server and verify that the "Desktop", "Start Menu",
+"Programs" and "Nethood" folders have been created.
 
 These folders will be cached locally on the client, and updated when
 the user logs off (if you haven't made them read-only by then :-).
-If you make the folders read-only, then you will find that if the user
-creates further folders or short-cuts, that the client will merge the
-profile contents downloaded with the contents of the profile directory
-already on the local client, taking the newest folders and short-cuts
-from each set.
+You will find that if the user creates further folders or short-cuts,
+that the client will merge the profile contents downloaded with the
+contents of the profile directory already on the local client, taking
+the newest folders and short-cuts from each set.
+
+If you have made the folders / files read-only on the samba server,
+then you will get errors from the w95 machine on logon and logout, as
+it attempts to merge the local and the remote profile.  Basically, if
+you have any errors reported by the w95 machine, check the unix file
+permissions and ownership rights on the profile directory contents,
+on the samba server.
 
 
 If you have problems creating user profiles, you can reset the user's
@@ -222,7 +238,7 @@ they will be told that they are logging in "for the first time".
    ProfilePath (making a backup if any of the files are needed).
 
    This will have the effect of removing the local (read-only hidden
-   system file) user.dat in their profile directory, as well as the
+   system file) user.DAT in their profile directory, as well as the
    local "desktop", "nethood", "start menu" and "programs" folders.
 
 4) search for the user's .PWL password-cacheing file in the c:\windows
@@ -231,7 +247,7 @@ they will be told that they are logging in "for the first time".
 5) log off the windows 95 client.
 
 6) check the contents of the profile path (see "logon path" described
-   above), and delete the user.dat or user.man file for the user,
+   above), and delete the user.DAT or user.MAN file for the user,
    making a backup if required.  
 
 
@@ -249,7 +265,7 @@ Windows NT Workstation 4.0
 --------------------------
 
 When a user first logs in to a Windows NT Workstation, the profile
-ntuser.dat is created.  The "User Manager for Domains" can be used
+NTuser.MAN is created.  The "User Manager for Domains" can be used
 to specify the location of the profile.  Samba cannot be a domain
 logon server for NT, therefore you will need to manually configure
 each and every account.  [lkcl 10aug97 - i tried setting the path
@@ -271,12 +287,13 @@ component; create path component].
 In the profile directory, NT creates more folders than 95.  It creates
 "Application Data" and others, as well as "Desktop", "Nethood",
 "Start Menu" and "Programs".  The profile itself is stored in a file
-ntuser.dat.  Nothing appears to be stored in the .PDS directory.
+NTuser.DAT.  Nothing appears to be stored in the .PDS directory, and
+its purpose is currently unknown.
 
 You can use the System Control Panel to copy a local profile onto
 a samba server (see NT Help on profiles: it is also capable of firing
 up the correct location in the System Control Panel for you).  The
-NT Help file also mentions that renaming ntuser.dat to ntuser.man
+NT Help file also mentions that renaming NTuser.DAT to NTuser.MAN
 turns a profile into a mandatory one.
 
 [lkcl 10aug97 - i notice that NT Workstation tells me that it is
@@ -285,6 +302,30 @@ case, or whether there is some configuration issue, as yet unknown,
 that makes NT Workstation _think_ that the link is a slow one is a
 matter to be resolved].
 
+[lkcl 20aug97 - after samba digest correspondance, one user found, and
+another confirmed, that profiles cannot be loaded from a samba server
+unless "security = user" and "encrypted passwords = yes" (see the file
+ENCRYPTION.txt) or "security = server" and "password server = ip.address.
+of.yourNTserver" are used.  either of these options will allow the NT
+workstation to access the samba server using LAN manager encrypted
+passwords, without the user intervention normally required by NT
+workstation for clear-text passwords].
+
+[lkcl 25aug97 - more comments received about NT profiles: the case of
+the profile _matters_.  the file _must_ be called NTuser.DAT or, for
+a mandatory profile, NTuser.MAN].
+
+
+Windows NT Server
+-----------------
+
+Following the instructions for NT Workstation, there is nothing to stop
+you specifying any path that you like for the location of users' profiles.
+Therefore, you could specify that the profile be stored on a samba server,
+or any other SMB server, as long as that SMB server supports encrypted
+passwords.
+
+
 
 Sharing Profiles between W95 and NT Workstation 4.0
 ---------------------------------------------------
@@ -302,6 +343,12 @@ this has its drawbacks: i created a shortcut to telnet.exe, which attempts
 to run from the c:\winnt\system32 directory.  this directory is obviously
 unlikely to exist on a W95 host].
 
-If you have this set up correctly, you will find separate user.dat and
-ntuser.dat files in the same profile directory.
+If you have this set up correctly, you will find separate user.DAT and
+NTuser.DAT files in the same profile directory.
+
+[lkcl 25aug97 - there are some issues to resolve with downloading of
+NT profiles, probably to do with time/date stamps.  i have found that
+NTuser.DAT is never updated on the workstation after the first time that
+it is copied to the local workstation profile directory.  this is in
+contrast to w95, where it _does_ transfer / update profiles correctly].