0b6abaf80f6e959d094728ed2f9500b8f59082ef
[nivanova/samba-autobuild/.git] / docs / docbook / projdoc / Integrating-with-Windows.sgml
1 <chapter id="integrate-ms-networks">
2  
3  
4 <chapterinfo>
5         <author>
6                 <firstname>John</firstname><surname>Terpstra</surname>
7                 <affiliation>
8                         <orgname>Samba Team</orgname>
9                         <address>
10                         <email>jht@samba.org</email>
11                         </address>
12                 </affiliation>
13         </author>
14  
15  
16         <pubdate> (Jan 01 2001) </pubdate>
17 </chapterinfo>
18  
19 <title>Integrating MS Windows networks with Samba</title>
20  
21 <sect1>
22 <title>Agenda</title>
23
24 <para>
25 To identify the key functional mechanisms of MS Windows networking 
26 to enable the deployment of Samba as a means of extending and/or 
27 replacing MS Windows NT/2000 technology.
28 </para>
29
30 <para>
31 We will examine:
32 </para>
33
34 <orderedlist>
35         <listitem><para>Name resolution in a pure Unix/Linux TCP/IP 
36         environment
37         </para></listitem>
38
39         <listitem><para>Name resolution as used within MS Windows 
40         networking
41         </para></listitem>
42
43         <listitem><para>How browsing functions and how to deploy stable 
44         and dependable browsing using Samba
45         </para></listitem>
46         
47         <listitem><para>MS Windows security options and how to 
48         configure Samba for seemless integration
49         </para></listitem>
50
51         <listitem><para>Configuration of Samba as:</para>
52                 <orderedlist>
53                 <listitem><para>A stand-alone server</para></listitem>
54                 <listitem><para>An MS Windows NT 3.x/4.0 security domain member
55                 </para></listitem>
56                 <listitem><para>An alternative to an MS Windows NT 3.x/4.0 Domain Controller
57                 </para></listitem>
58                 </orderedlist>
59         </listitem>
60 </orderedlist>
61
62 </sect1>
63
64
65 <sect1>
66 <title>Name Resolution in a pure Unix/Linux world</title>
67
68 <para>
69 The key configuration files covered in this section are:
70 </para>
71
72 <itemizedlist>
73         <listitem><para><filename>/etc/hosts</filename></para></listitem>
74         <listitem><para><filename>/etc/resolv.conf</filename></para></listitem>
75         <listitem><para><filename>/etc/host.conf</filename></para></listitem>
76         <listitem><para><filename>/etc/nsswitch.conf</filename></para></listitem>
77 </itemizedlist>
78
79 <sect2>
80 <title><filename>/etc/hosts</filename></title>
81
82 <para>
83 Contains a static list of IP Addresses and names.
84 eg:
85 </para>
86 <para><programlisting>
87         127.0.0.1       localhost localhost.localdomain
88         192.168.1.1     bigbox.caldera.com      bigbox  alias4box
89 </programlisting></para>
90
91 <para>
92 The purpose of <filename>/etc/hosts</filename> is to provide a 
93 name resolution mechanism so that uses do not need to remember 
94 IP addresses.
95 </para>
96
97
98 <para>
99 Network packets that are sent over the physical network transport 
100 layer communicate not via IP addresses but rather using the Media 
101 Access Control address, or MAC address. IP Addresses are currently 
102 32 bits in length and are typically presented as four (4) decimal 
103 numbers that are separated by a dot (or period). eg: 168.192.1.1
104 </para>
105
106 <para>
107 MAC Addresses use 48 bits (or 6 bytes) and are typically represented 
108 as two digit hexadecimal numbers separated by colons. eg: 
109 40:8e:0a:12:34:56
110 </para>
111
112 <para>
113 Every network interfrace must have an MAC address. Associated with 
114 a MAC address there may be one or more IP addresses. There is NO 
115 relationship between an IP address and a MAC address, all such assignments 
116 are arbitary or discretionary in nature. At the most basic level all 
117 network communications takes place using MAC addressing. Since MAC 
118 addresses must be globally unique, and generally remains fixed for 
119 any particular interface, the assignment of an IP address makes sense 
120 from a network management perspective. More than one IP address can 
121 be assigned per MAC address. One address must be the primary IP address, 
122 this is the address that will be returned in the ARP reply.
123 </para>
124
125 <para>
126 When a user or a process wants to communicate with another machine 
127 the protocol implementation ensures that the "machine name" or "host 
128 name" is resolved to an IP address in a manner that is controlled 
129 by the TCP/IP configuration control files. The file 
130 <filename>/etc/hosts</filename> is one such file.
131 </para>
132
133 <para>
134 When the IP address of the destination interface has been 
135 determined a protocol called ARP/RARP isused to identify 
136 the MAC address of the target interface. ARP stands for Address 
137 Resolution Protocol, and is a broadcast oriented method that 
138 uses UDP (User Datagram Protocol) to send a request to all 
139 interfaces on the local network segment using the all 1's MAC 
140 address. Network interfaces are programmed to respond to two 
141 MAC addresses only; their own unique address and the address 
142 ff:ff:ff:ff:ff:ff. The reply packet from an ARP request will 
143 contain the MAC address and the primary IP address for each 
144 interface.
145 </para>
146
147 <para>
148 The <filename>/etc/hosts</filename> file is foundational to all 
149 Unix/Linux TCP/IP installations and as a minumum will contain 
150 the localhost and local network interface IP addresses and the 
151 primary names by which they are known within the local machine. 
152 This file helps to prime the pump so that a basic level of name 
153 resolution can exist before any other method of name resolution 
154 becomes available.
155 </para>
156
157 </sect2>
158
159
160 <sect2>
161 <title><filename>/etc/resolv.conf</filename></title>
162
163 <para>
164 This file tells the name resolution libraries:
165 </para>
166
167 <itemizedlist>
168         <listitem><para>The name of the domain to which the machine 
169         belongs
170         </para></listitem>
171         
172         <listitem><para>The name(s) of any domains that should be 
173         automatically searched when trying to resolve unqualified 
174         host names to their IP address
175         </para></listitem>
176         
177         <listitem><para>The name or IP address of available Domain 
178         Name Servers that may be asked to perform name to address 
179         translation lookups
180         </para></listitem>
181 </itemizedlist>
182
183 </sect2>
184
185
186 <sect2>
187 <title><filename>/etc/host.conf</filename></title>
188
189
190 <para>
191 <filename>/etc/host.conf</filename> is the primary means by 
192 which the setting in /etc/resolv.conf may be affected. It is a 
193 critical configuration file.  This file controls the order by 
194 which name resolution may procede. The typical structure is:
195 </para>
196
197 <para><programlisting>
198         order hosts,bind
199         multi on
200 </programlisting></para>
201
202 <para>
203 then both addresses should be returned. Please refer to the 
204 man page for host.conf for further details.
205 </para>
206
207
208 </sect2>
209
210
211
212 <sect2>
213 <title><filename>/etc/nsswitch.conf</filename></title>
214
215 <para>
216 This file controls the actual name resolution targets. The 
217 file typically has resolver object specifications as follows:
218 </para>
219
220
221 <para><programlisting>
222         # /etc/nsswitch.conf
223         #
224         # Name Service Switch configuration file.
225         #
226
227         passwd:         compat
228         # Alternative entries for password authentication are:
229         # passwd:       compat files nis ldap winbind
230         shadow:         compat
231         group:          compat
232
233         hosts:          files nis dns
234         # Alternative entries for host name resolution are:
235         # hosts:        files dns nis nis+ hesoid db compat ldap wins
236         networks:       nis files dns
237
238         ethers:         nis files
239         protocols:      nis files
240         rpc:            nis files
241         services:       nis files
242 </programlisting></para>
243
244 <para>
245 Of course, each of these mechanisms requires that the appropriate 
246 facilities and/or services are correctly configured.
247 </para>
248
249 <para>
250 It should be noted that unless a network request/message must be 
251 sent, TCP/IP networks are silent. All TCP/IP communications assumes a 
252 principal of speaking only when necessary.
253 </para>
254
255 <para>
256 Samba version 2.2.0 will add Linux support for extensions to 
257 the name service switch infrastructure so that linux clients will 
258 be able to obtain resolution of MS Windows NetBIOS names to IP 
259 Addresses. To gain this functionality Samba needs to be compiled 
260 with appropriate arguments to the make command (ie: <command>make 
261 nsswitch/libnss_wins.so</command>). The resulting library should 
262 then be installed in the <filename>/lib</filename> directory and 
263 the "wins" parameter needs to be added to the "hosts:" line in 
264 the <filename>/etc/nsswitch.conf</filename> file. At this point it 
265 will be possible to ping any MS Windows machine by it's NetBIOS 
266 machine name, so long as that machine is within the workgroup to 
267 which both the samba machine and the MS Windows machine belong.
268 </para>
269
270 </sect2>
271 </sect1>
272
273
274 <sect1>
275 <title>Name resolution as used within MS Windows networking</title>
276
277 <para>
278 MS Windows networking is predicated about the name each machine 
279 is given. This name is known variously (and inconsistently) as 
280 the "computer name", "machine name", "networking name", "netbios name", 
281 "SMB name". All terms mean the same thing with the exception of 
282 "netbios name" which can apply also to the name of the workgroup or the 
283 domain name. The terms "workgroup" and "domain" are really just a 
284 simply name with which the machine is associated. All NetBIOS names 
285 are exactly 16 characters in length. The 16th character is reserved. 
286 It is used to store a one byte value that indicates service level 
287 information for the NetBIOS name that is registered. A NetBIOS machine 
288 name is therefore registered for each service type that is provided by 
289 the client/server.
290 </para>
291
292 <para>
293 The following are typical NetBIOS name/service type registrations:
294 </para>
295
296 <para><programlisting>
297         Unique NetBIOS Names:
298                 MACHINENAME<00> = Server Service is running on MACHINENAME
299                 MACHINENAME<03> = Generic Machine Name (NetBIOS name)
300                 MACHINENAME<20> = LanMan Server service is running on MACHINENAME
301                 WORKGROUP<1b> = Domain Master Browser
302
303         Group Names:
304                 WORKGROUP<03> = Generic Name registered by all members of WORKGROUP
305                 WORKGROUP<1c> = Domain Controllers / Netlogon Servers
306                 WORKGROUP<1d> = Local Master Browsers
307                 WORKGROUP<1e> = Internet Name Resolvers
308 </programlisting></para>
309
310 <para>
311 It should be noted that all NetBIOS machines register their own 
312 names as per the above. This is in vast contrast to TCP/IP 
313 installations where traditionally the system administrator will 
314 determine in the /etc/hosts or in the DNS database what names 
315 are associated with each IP address.
316 </para>
317
318 <para>
319 One further point of clarification should be noted, the <filename>/etc/hosts</filename> 
320 file and the DNS records do not provide the NetBIOS name type information 
321 that MS Windows clients depend on to locate the type of service that may 
322 be needed. An example of this is what happens when an MS Windows client 
323 wants to locate a domain logon server. It find this service and the IP 
324 address of a server that provides it by performing a lookup (via a 
325 NetBIOS broadcast) for enumeration of all machines that have 
326 registered the name type *<1c>. A logon request is then sent to each 
327 IP address that is returned in the enumerated list of IP addresses. Which 
328 ever machine first replies then ends up providing the logon services.
329 </para>
330
331 <para>
332 The name "workgroup" or "domain" really can be confusing since these 
333 have the added significance of indicating what is the security 
334 architecture of the MS Windows network. The term "workgroup" indicates 
335 that the primary nature of the network environment is that of a 
336 peer-to-peer design. In a WORKGROUP all machines are responsible for 
337 their own security, and generally such security is limited to use of 
338 just a password (known as SHARE MORE security). In most situations 
339 with peer-to-peer networking the users who control their own machines 
340 will simply opt to have no security at all. It is possible to have 
341 USER MODE security in a WORKGROUP environment, thus requiring use 
342 of a user name and a matching password.
343 </para>
344
345 <para>
346 MS Windows networking is thus predetermined to use machine names 
347 for all local and remote machine message passing. The protocol used is 
348 called Server Message Block (SMB) and this is implemented using 
349 the NetBIOS protocol (Network Basic Input Output System). NetBIOS can 
350 be encapsulated using LLC (Logical Link Control) protocol - in which case 
351 the resulting protocol is called NetBEUI (Network Basic Extended User 
352 Interface). NetBIOS can also be run over IPX (Internetworking Packet 
353 Exchange) protocol as used by Novell NetWare, and it can be run 
354 over TCP/IP protocols - in which case the resulting protocol is called 
355 NBT or NetBT, the NetBIOS over TCP/IP.
356 </para>
357
358 <para>
359 MS Windows machines use a complex array of name resolution mechanisms. 
360 Since we are primarily concerned with TCP/IP this demonstration is 
361 limited to this area.
362 </para>
363
364 <sect2>
365 <title>The NetBIOS Name Cache</title>
366
367 <para>
368 All MS Windows machines employ an in memory buffer in which is 
369 stored the NetBIOS names and their IP addresses for all external 
370 machines that that the local machine has communicated with over the 
371 past 10-15 minutes. It is more efficient to obtain an IP address 
372 for a machine from the local cache than it is to go through all the 
373 configured name resolution mechanisms.
374 </para>
375
376 <para>
377 If a machine whose name is in the local name cache has been shut 
378 down before the name had been expired and flushed from the cache, then 
379 an attempt to exchange a message with that machine will be subject 
380 to time-out delays. ie: It's name is in the cache, so a name resolution 
381 lookup will succeed, but the machine can not respond. This can be 
382 frustrating for users - but it is a characteristic of the protocol.
383 </para>
384
385 <para>
386 The MS Windows utility that allows examination of the NetBIOS 
387 name cache is called "nbtstat". The Samba equivalent of this 
388 is called "nmblookup".
389 </para>
390
391 </sect2>
392
393 <sect2>
394 <title>The LMHOSTS file</title>
395
396 <para>
397 This file is usually located in MS Windows NT 4.0 or 
398 2000 in <filename>C:\WINNT\SYSTEM32\DRIVERS\ETC</filename> and contains 
399 the IP Address and the machine name in matched pairs. The 
400 <filename>LMHOSTS</filename> file performs NetBIOS name 
401 to IP address mapping oriented.
402 </para>
403
404 <para>
405 It typically looks like:
406 </para>
407
408 <para><programlisting>
409         # Copyright (c) 1998 Microsoft Corp.
410         #
411         # This is a sample LMHOSTS file used by the Microsoft Wins Client (NetBIOS
412         # over TCP/IP) stack for Windows98
413         #
414         # This file contains the mappings of IP addresses to NT computernames
415         # (NetBIOS) names.  Each entry should be kept on an individual line.
416         # The IP address should be placed in the first column followed by the
417         # corresponding computername. The address and the comptername
418         # should be separated by at least one space or tab. The "#" character
419         # is generally used to denote the start of a comment (see the exceptions
420         # below).
421         #
422         # This file is compatible with Microsoft LAN Manager 2.x TCP/IP lmhosts
423         # files and offers the following extensions:
424         #
425         #      #PRE
426         #      #DOM:&lt;domain&gt;
427         #      #INCLUDE &lt;filename&gt;
428         #      #BEGIN_ALTERNATE
429         #      #END_ALTERNATE
430         #      \0xnn (non-printing character support)
431         #
432         # Following any entry in the file with the characters "#PRE" will cause
433         # the entry to be preloaded into the name cache. By default, entries are
434         # not preloaded, but are parsed only after dynamic name resolution fails.
435         #
436         # Following an entry with the "#DOM:&lt;domain&gt;" tag will associate the
437         # entry with the domain specified by &lt;domain&gt;. This affects how the
438         # browser and logon services behave in TCP/IP environments. To preload
439         # the host name associated with #DOM entry, it is necessary to also add a
440         # #PRE to the line. The &lt;domain&gt; is always preloaded although it will not
441         # be shown when the name cache is viewed.
442         #
443         # Specifying "#INCLUDE &lt;filename&gt;" will force the RFC NetBIOS (NBT)
444         # software to seek the specified &lt;filename&gt; and parse it as if it were
445         # local. &lt;filename&gt; is generally a UNC-based name, allowing a
446         # centralized lmhosts file to be maintained on a server.
447         # It is ALWAYS necessary to provide a mapping for the IP address of the
448         # server prior to the #INCLUDE. This mapping must use the #PRE directive.
449         # In addtion the share "public" in the example below must be in the
450         # LanManServer list of "NullSessionShares" in order for client machines to
451         # be able to read the lmhosts file successfully. This key is under
452         # \machine\system\currentcontrolset\services\lanmanserver\parameters\nullsessionshares
453         # in the registry. Simply add "public" to the list found there.
454         #
455         # The #BEGIN_ and #END_ALTERNATE keywords allow multiple #INCLUDE
456         # statements to be grouped together. Any single successful include
457         # will cause the group to succeed.
458         #
459         # Finally, non-printing characters can be embedded in mappings by
460         # first surrounding the NetBIOS name in quotations, then using the
461         # \0xnn notation to specify a hex value for a non-printing character.
462         #
463         # The following example illustrates all of these extensions:
464         #
465         # 102.54.94.97     rhino         #PRE #DOM:networking  #net group's DC
466         # 102.54.94.102    "appname  \0x14"                    #special app server
467         # 102.54.94.123    popular            #PRE             #source server
468         # 102.54.94.117    localsrv           #PRE             #needed for the include
469         #
470         # #BEGIN_ALTERNATE
471         # #INCLUDE \\localsrv\public\lmhosts
472         # #INCLUDE \\rhino\public\lmhosts
473         # #END_ALTERNATE
474         #
475         # In the above example, the "appname" server contains a special
476         # character in its name, the "popular" and "localsrv" server names are
477         # preloaded, and the "rhino" server name is specified so it can be used
478         # to later #INCLUDE a centrally maintained lmhosts file if the "localsrv"
479         # system is unavailable.
480         #
481         # Note that the whole file is parsed including comments on each lookup,
482         # so keeping the number of comments to a minimum will improve performance.
483         # Therefore it is not advisable to simply add lmhosts file entries onto the
484         # end of this file.
485 </programlisting></para>
486
487 </sect2>
488
489 <sect2>
490 <title>HOSTS file</title>
491
492 <para>
493 This file is usually located in MS Windows NT 4.0 or 2000 in 
494 <filename>C:\WINNT\SYSTEM32\DRIVERS\ETC</filename> and contains 
495 the IP Address and the IP hostname in matched pairs. It can be 
496 used by the name resolution infrastructure in MS Windows, depending 
497 on how the TCP/IP environment is configured. This file is in 
498 every way the equivalent of the Unix/Linux <filename>/etc/hosts</filename> file.
499 </para>
500 </sect2>
501
502
503 <sect2>
504 <title>DNS Lookup</title>
505
506 <para>
507 This capability is configured in the TCP/IP setup area in the network 
508 configuration facility. If enabled an elaborate name resolution sequence 
509 is followed the precise nature of which isdependant on what the NetBIOS 
510 Node Type parameter is configured to. A Node Type of 0 means use 
511 NetBIOS broadcast (over UDP broadcast) is first used if the name 
512 that is the subject of a name lookup is not found in the NetBIOS name 
513 cache. If that fails then DNS, HOSTS and LMHOSTS are checked. If set to 
514 Node Type 8, then a NetBIOS Unicast (over UDP Unicast) is sent to the 
515 WINS Server to obtain a lookup before DNS, HOSTS, LMHOSTS, or broadcast 
516 lookup is used.
517 </para>
518
519 </sect2>
520
521 <sect2>
522 <title>WINS Lookup</title>
523
524 <para>
525 A WINS (Windows Internet Name Server) service is the equivaent of the 
526 rfc1001/1002 specified NBNS (NetBIOS Name Server). A WINS server stores 
527 the names and IP addresses that are registered by a Windows client 
528 if the TCP/IP setup has been given at least one WINS Server IP Address.
529 </para>
530
531 <para>
532 To configure Samba to be a WINS server the following parameter needs 
533 to be added to the <filename>smb.conf</filename> file:
534 </para>
535
536 <para><programlisting>
537         wins support = Yes
538 </programlisting></para>
539
540 <para>
541 To configure Samba to use a WINS server the following parameters are 
542 needed in the smb.conf file:
543 </para>
544
545 <para><programlisting>
546         wins support = No
547         wins server = xxx.xxx.xxx.xxx
548 </programlisting></para>
549
550 <para>
551 where <replaceable>xxx.xxx.xxx.xxx</replaceable> is the IP address 
552 of the WINS server.
553 </para>
554
555 </sect2>
556 </sect1>
557
558
559 <sect1>
560 <title>How browsing functions and how to deploy stable and 
561 dependable browsing using Samba</title>
562
563
564 <para>
565 As stated above, MS Windows machines register their NetBIOS names 
566 (ie: the machine name for each service type in operation) on start 
567 up. Also, as stated above, the exact method by which this name registration 
568 takes place is determined by whether or not the MS Windows client/server 
569 has been given a WINS server address, whether or not LMHOSTS lookup 
570 is enabled, or if DNS for NetBIOS name resolution is enabled, etc.
571 </para>
572
573 <para>
574 In the case where there is no WINS server all name registrations as 
575 well as name lookups are done by UDP broadcast. This isolates name 
576 resolution to the local subnet, unless LMHOSTS is used to list all 
577 names and IP addresses. In such situations Samba provides a means by 
578 which the samba server name may be forcibly injected into the browse 
579 list of a remote MS Windows network (using the "remote announce" parameter).
580 </para>
581
582 <para>
583 Where a WINS server is used, the MS Windows client will use UDP 
584 unicast to register with the WINS server. Such packets can be routed 
585 and thus WINS allows name resolution to function across routed networks.
586 </para>
587
588 <para>
589 During the startup process an election will take place to create a 
590 local master browser if one does not already exist. On each NetBIOS network 
591 one machine will be elected to function as the domain master browser. This 
592 domain browsing has nothing to do with MS security domain control. 
593 Instead, the domain master browser serves the role of contacting each local 
594 master browser (found by asking WINS or from LMHOSTS) and exchanging browse 
595 list contents. This way every master browser will eventually obtain a complete 
596 list of all machines that are on the network. Every 11-15 minutes an election 
597 is held to determine which machine will be the master browser. By nature of 
598 the election criteria used, the machine with the highest uptime, or the 
599 most senior protocol version, or other criteria, will win the election 
600 as domain master browser.
601 </para>
602
603 <para>
604 Clients wishing to browse the network make use of this list, but also depend 
605 on the availability of correct name resolution to the respective IP 
606 address/addresses. 
607 </para>
608
609 <para>
610 Any configuration that breaks name resolution and/or browsing intrinsics 
611 will annoy users because they will have to put up with protracted 
612 inability to use the network services.
613 </para>
614
615 <para>
616 Samba supports a feature that allows forced synchonisation 
617 of browse lists across routed networks using the "remote 
618 browse sync" parameter in the smb.conf file. This causes Samba 
619 to contact the local master browser on a remote network and 
620 to request browse list synchronisation. This effectively bridges 
621 two networks that are separated by routers. The two remote 
622 networks may use either broadcast based name resolution or WINS 
623 based name resolution, but it should be noted that the "remote 
624 browse sync" parameter provides browse list synchronisation - and 
625 that is distinct from name to address resolution, in other 
626 words, for cross subnet browsing to function correctly it is 
627 essential that a name to address resolution mechanism be provided. 
628 This mechanism could be via DNS, <filename>/etc/hosts</filename>, 
629 and so on.
630 </para>
631
632 </sect1>
633
634 <sect1>
635 <title>MS Windows security options and how to configure 
636 Samba for seemless integration</title>
637
638 <para>
639 MS Windows clients may use encrypted passwords as part of a 
640 challenege/response authentication model (a.k.a. NTLMv1) or 
641 alone, or clear text strings for simple password based 
642 authentication. It should be realized that with the SMB 
643 protocol the password is passed over the network either 
644 in plain text or encrypted, but not both in the same 
645 authentication requets.
646 </para>
647
648 <para>
649 When encrypted passwords are used a password that has been 
650 entered by the user is encrypted in two ways:
651 </para>
652
653 <itemizedlist>
654         <listitem><para>An MD4 hash of the UNICODE of the password
655         string.  This is known as the NT hash.
656         </para></listitem>
657
658         <listitem><para>The password is converted to upper case,
659         and then padded or trucated to 14 bytes.  This string is 
660         then appended with 5 bytes of NULL characters and split to
661         form two 56 bit DES keys to encrypt a "magic" 8 byte value.
662         The resulting 16 bytes for the LanMan hash.
663         </para></listitem>      
664 </itemizedlist>
665
666 <para>
667 You should refer to the <ulink url="ENCRYPTION.html">
668 Password Encryption</ulink> chapter in this HOWTO collection
669 for more details on the inner workings
670 </para>
671
672 <para>
673 MS Windows 95 pre-service pack 1, MS Windows NT versions 3.x 
674 and version 4.0 pre-service pack 3 will use either mode of 
675 password authentication. All versions of MS Windows that follow 
676 these versions no longer support plain text passwords by default.
677 </para>
678
679 <para>
680 MS Windows clients have a habit of dropping network mappings that 
681 have been idle for 10 minutes or longer. When the user attempts to 
682 use the mapped drive connection that has been dropped the SMB protocol 
683 has a mechanism by which the connection can be re-established using 
684 a cached copy of the password.
685 </para>
686
687 <para>
688 When Microsoft changed the default password mode, they dropped support for 
689 caching of the plain text password. This means that when the registry 
690 parameter is changed to re-enable use of plain text passwords it appears to 
691 work, but when a dropped mapping attempts to revalidate it will fail if 
692 the remote authentication server does not support encrypted passwords. 
693 This means that it is definitely not a good idea to re-enable plain text 
694 password support in such clients.
695 </para>
696
697 <para>
698 The following parameters can be used to work around the 
699 issue of Windows 9x client upper casing usernames and
700 password before transmitting them to the SMB server
701 when using clear text authentication.
702 </para>
703
704 <para><programlisting>
705         <ulink url="smb.conf.5.html#PASSWORDLEVEL">passsword level</ulink> = <replaceable>integer</replaceable>
706         <ulink url="smb.conf.5.html#USERNAMELEVEL">username level</ulink> = <replaceable>integer</replaceable>
707 </programlisting></para>
708
709 <para>
710 By default Samba will lower case the username before attempting
711 to lookup the user in the database of local system accounts.
712 Because UNIX usernames conventionally only contain lower case
713 character, the <parameter>username level</parameter> parameter
714 is rarely even needed.
715 </para>
716
717 <para>
718 However, password on UNIX systems often make use of mixed case
719 characters.  This means that in order for a user on a Windows 9x
720 client to connect to a Samba server using clear text authentication,
721 the <parameter>password level</parameter> must be set to the maximum
722 number of upper case letter which <emphasis>could</emphasis> appear
723 is a password.  Note that is the server OS uses the traditional
724 DES version of crypt(), then a <parameter>password level</parameter>
725 of 8 will result in case insensitive passwords as seen from Windows
726 users.  This will also result in longer login times as Samba
727 hash to compute the permutations of the password string and 
728 try them one by one until a match is located (or all combinations fail).
729 </para>
730
731 <para>
732 The best option to adopt is to enable support for encrypted passwords 
733 where ever Samba is used. There are three configuration possibilities 
734 for support of encrypted passwords:
735 </para>
736
737
738 <sect2>
739 <title>Use MS Windows NT as an authentication server</title>
740
741 <para>
742 This method involves the additions of the following parameters 
743 in the smb.conf file:
744 </para>
745
746 <para><programlisting>
747         encrypt passwords = Yes
748         security = server
749         password server = "NetBIOS_name_of_PDC"
750 </programlisting></para>
751
752
753 <para>
754 There are two ways of identifying whether or not a username and 
755 password pair was valid or not. One uses the reply information provided 
756 as part of the authentication messaging process, the other uses 
757 just and error code.
758 </para>
759
760 <para>
761 The down-side of this mode of configuration is the fact that 
762 for security reasons Samba will send the password server a bogus 
763 username and a bogus password and if the remote server fails to 
764 reject the username and password pair then an alternative mode 
765 of identification of validation is used. Where a site uses password 
766 lock out after a certain number of failed authentication attempts 
767 this will result in user lockouts.
768 </para>
769
770 <para>
771 Use of this mode of authentication does require there to be 
772 a standard Unix account for the user, this account can be blocked 
773 to prevent logons by other than MS Windows clients.
774 </para>
775
776 </sect2>
777
778 <sect2>
779 <title>Make Samba a member of an MS Windows NT security domain</title>
780
781 <para>
782 This method involves additon of the following paramters in the smb.conf file:
783 </para>
784
785 <para><programlisting>
786         encrypt passwords = Yes
787         security = domain
788         workgroup = "name of NT domain"
789         password server = *
790 </programlisting></para>
791
792 <para>
793 The use of the "*" argument to "password server" will cause samba 
794 to locate the domain controller in a way analogous to the way 
795 this is done within MS Windows NT.
796 </para>
797
798 <para>
799 In order for this method to work the Samba server needs to join the 
800 MS Windows NT security domain. This is done as follows:
801 </para>
802
803 <itemizedlist>
804         <listitem><para>On the MS Windows NT domain controller using 
805         the Server Manager add a machine account for the Samba server.
806         </para></listitem>
807         
808         <listitem><para>Next, on the Linux system execute: 
809         <command>smbpasswd -r PDC_NAME -j DOMAIN_NAME</command>
810         </para></listitem>
811 </itemizedlist>
812
813 <para>
814 Use of this mode of authentication does require there to be 
815 a standard Unix account for the user in order to assign
816 a uid once the account has been authenticated by the remote
817 Windows DC.  This account can be blocked to prevent logons by 
818 other than MS Windows clients by things such as setting an invalid
819 shell in the <filename>/etc/passwd</filename> entry.
820 </para>
821
822 <para>
823 An alternative to assigning UIDs to Windows users on a 
824 Samba member server is presented in the <ulink
825 url="winbind.html">Winbind Overview</ulink> chapter in
826 this HOWTO collection.
827 </para>
828
829
830 </sect2>
831
832
833 <sect2>
834 <title>Configure Samba as an authentication server</title>
835
836 <para>
837 This mode of authentication demands that there be on the 
838 Unix/Linux system both a Unix style account as well as and 
839 smbpasswd entry for the user. The Unix system account can be 
840 locked if required as only the encrypted password will be 
841 used for SMB client authentication.
842 </para>
843
844 <para>
845 This method involves addition of the following parameters to 
846 the smb.conf file:
847 </para>
848
849 <para><programlisting>
850 ## please refer to the Samba PDC HOWTO chapter later in 
851 ## this collection for more details
852 [global]
853         encrypt passwords = Yes
854         security = user
855         domain logons = Yes
856         ; an OS level of 33 or more is recommended
857         os level = 33
858
859 [NETLOGON]
860         path = /somewhare/in/file/system
861         read only = yes
862 </programlisting></para>
863
864 <para>
865 in order for this method to work a Unix system account needs 
866 to be created for each user, as well as for each MS Windows NT/2000 
867 machine. The following structure is required.
868 </para>
869
870 <sect3>
871 <title>Users</title>
872
873 <para>
874 A user account that may provide a home directory should be 
875 created. The following Linux system commands are typical of 
876 the procedure for creating an account.
877 </para>
878
879 <para><programlisting>
880         # useradd -s /bin/bash -d /home/"userid" -m "userid"
881         # passwd "userid"
882           Enter Password: &lt;pw&gt;
883           
884         # smbpasswd -a "userid"
885           Enter Password: &lt;pw&gt;
886 </programlisting></para>
887 </sect3>
888
889 <sect3>
890 <title>MS Windows NT Machine Accounts</title>
891
892 <para>
893 These are required only when Samba is used as a domain 
894 controller.  Refer to the Samba-PDC-HOWTO for more details.
895 </para>
896
897 <para><programlisting>
898         # useradd -s /bin/false -d /dev/null "machine_name"\$
899         # passwd -l "machine_name"\$
900         # smbpasswd -a -m "machine_name"
901 </programlisting></para>
902 </sect3>
903 </sect2>
904 </sect1>
905
906
907 <sect1>
908 <title>Conclusions</title>
909
910 <para>
911 Samba provides a flexible means to operate as...
912 </para>
913
914 <itemizedlist>
915         <listitem><para>A Stand-alone server - No special action is needed 
916         other than to create user accounts. Stand-alone servers do NOT 
917         provide network logon services, meaning that machines that use this 
918         server do NOT perform a domain logon but instead make use only of 
919         the MS Windows logon which is local to the MS Windows 
920         workstation/server.
921         </para></listitem>
922         
923         <listitem><para>An MS Windows NT 3.x/4.0 security domain member.
924         </para></listitem>
925         
926
927         <listitem><para>An alternative to an MS Windows NT 3.x/4.0 
928         Domain Controller.
929         </para></listitem>
930
931 </itemizedlist>
932
933 </sect1>
934
935 </chapter>