updated the 3.0 branch from the head branch - ready for alpha18
[nivanova/samba-autobuild/.git] / docs / htmldocs / Samba-HOWTO-Collection.html
1 <HTML
2 ><HEAD
3 ><TITLE
4 >SAMBA Project Documentation</TITLE
5 ><META
6 NAME="GENERATOR"
7 CONTENT="Modular DocBook HTML Stylesheet Version 1.57"></HEAD
8 ><BODY
9 CLASS="BOOK"
10 BGCOLOR="#FFFFFF"
11 TEXT="#000000"
12 LINK="#0000FF"
13 VLINK="#840084"
14 ALINK="#0000FF"
15 ><DIV
16 CLASS="BOOK"
17 ><A
18 NAME="SAMBA-PROJECT-DOCUMENTATION"
19 ></A
20 ><DIV
21 CLASS="TITLEPAGE"
22 ><H1
23 CLASS="TITLE"
24 ><A
25 NAME="SAMBA-PROJECT-DOCUMENTATION"
26 >SAMBA Project Documentation</A
27 ></H1
28 ><H3
29 CLASS="AUTHOR"
30 ><A
31 NAME="AEN4"
32 >SAMBA Team</A
33 ></H3
34 ><HR></DIV
35 ><HR><H1
36 ><A
37 NAME="AEN8"
38 >Abstract</A
39 ></H1
40 ><P
41 ><EM
42 >Last Update</EM
43 > : Mon Apr  1 08:47:26 CST 2002</P
44 ><P
45 >This book is a collection of HOWTOs added to Samba documentation over the years.
46 I try to ensure that all are current, but sometimes the is a larger job
47 than one person can maintain.  The most recent version of this document
48 can be found at <A
49 HREF="http://www.samba.org/"
50 TARGET="_top"
51 >http://www.samba.org/</A
52 >
53 on the "Documentation" page.  Please send updates to <A
54 HREF="mailto:jerry@samba.org"
55 TARGET="_top"
56 >jerry@samba.org</A
57 >.</P
58 ><P
59 >This documentation is distributed under the GNU General Public License (GPL) 
60 version 2.  A copy of the license is included with the Samba source
61 distribution.  A copy can be found on-line at <A
62 HREF="http://www.fsf.org/licenses/gpl.txt"
63 TARGET="_top"
64 >http://www.fsf.org/licenses/gpl.txt</A
65 ></P
66 ><P
67 >Cheers, jerry</P
68 ><DIV
69 CLASS="TOC"
70 ><DL
71 ><DT
72 ><B
73 >Table of Contents</B
74 ></DT
75 ><DT
76 >1. <A
77 HREF="#INSTALL"
78 >How to Install and Test SAMBA</A
79 ></DT
80 ><DD
81 ><DL
82 ><DT
83 >1.1. <A
84 HREF="#AEN20"
85 >Step 0: Read the man pages</A
86 ></DT
87 ><DT
88 >1.2. <A
89 HREF="#AEN28"
90 >Step 1: Building the Binaries</A
91 ></DT
92 ><DT
93 >1.3. <A
94 HREF="#AEN56"
95 >Step 2: The all important step</A
96 ></DT
97 ><DT
98 >1.4. <A
99 HREF="#AEN60"
100 >Step 3: Create the smb configuration file.</A
101 ></DT
102 ><DT
103 >1.5. <A
104 HREF="#AEN74"
105 >Step 4: Test your config file with 
106         <B
107 CLASS="COMMAND"
108 >testparm</B
109 ></A
110 ></DT
111 ><DT
112 >1.6. <A
113 HREF="#AEN80"
114 >Step 5: Starting the smbd and nmbd</A
115 ></DT
116 ><DD
117 ><DL
118 ><DT
119 >1.6.1. <A
120 HREF="#AEN90"
121 >Step 5a: Starting from inetd.conf</A
122 ></DT
123 ><DT
124 >1.6.2. <A
125 HREF="#AEN119"
126 >Step 5b. Alternative: starting it as a daemon</A
127 ></DT
128 ></DL
129 ></DD
130 ><DT
131 >1.7. <A
132 HREF="#AEN135"
133 >Step 6: Try listing the shares available on your 
134         server</A
135 ></DT
136 ><DT
137 >1.8. <A
138 HREF="#AEN144"
139 >Step 7: Try connecting with the unix client</A
140 ></DT
141 ><DT
142 >1.9. <A
143 HREF="#AEN160"
144 >Step 8: Try connecting from a DOS, WfWg, Win9x, WinNT, 
145         Win2k, OS/2, etc... client</A
146 ></DT
147 ><DT
148 >1.10. <A
149 HREF="#AEN174"
150 >What If Things Don't Work?</A
151 ></DT
152 ><DD
153 ><DL
154 ><DT
155 >1.10.1. <A
156 HREF="#AEN179"
157 >Diagnosing Problems</A
158 ></DT
159 ><DT
160 >1.10.2. <A
161 HREF="#AEN183"
162 >Scope IDs</A
163 ></DT
164 ><DT
165 >1.10.3. <A
166 HREF="#AEN186"
167 >Choosing the Protocol Level</A
168 ></DT
169 ><DT
170 >1.10.4. <A
171 HREF="#AEN195"
172 >Printing from UNIX to a Client PC</A
173 ></DT
174 ><DT
175 >1.10.5. <A
176 HREF="#AEN199"
177 >Locking</A
178 ></DT
179 ><DT
180 >1.10.6. <A
181 HREF="#AEN209"
182 >Mapping Usernames</A
183 ></DT
184 ><DT
185 >1.10.7. <A
186 HREF="#AEN212"
187 >Other Character Sets</A
188 ></DT
189 ></DL
190 ></DD
191 ></DL
192 ></DD
193 ><DT
194 >2. <A
195 HREF="#INTEGRATE-MS-NETWORKS"
196 >Integrating MS Windows networks with Samba</A
197 ></DT
198 ><DD
199 ><DL
200 ><DT
201 >2.1. <A
202 HREF="#AEN226"
203 >Agenda</A
204 ></DT
205 ><DT
206 >2.2. <A
207 HREF="#AEN248"
208 >Name Resolution in a pure Unix/Linux world</A
209 ></DT
210 ><DD
211 ><DL
212 ><DT
213 >2.2.1. <A
214 HREF="#AEN264"
215 ><TT
216 CLASS="FILENAME"
217 >/etc/hosts</TT
218 ></A
219 ></DT
220 ><DT
221 >2.2.2. <A
222 HREF="#AEN280"
223 ><TT
224 CLASS="FILENAME"
225 >/etc/resolv.conf</TT
226 ></A
227 ></DT
228 ><DT
229 >2.2.3. <A
230 HREF="#AEN291"
231 ><TT
232 CLASS="FILENAME"
233 >/etc/host.conf</TT
234 ></A
235 ></DT
236 ><DT
237 >2.2.4. <A
238 HREF="#AEN299"
239 ><TT
240 CLASS="FILENAME"
241 >/etc/nsswitch.conf</TT
242 ></A
243 ></DT
244 ></DL
245 ></DD
246 ><DT
247 >2.3. <A
248 HREF="#AEN311"
249 >Name resolution as used within MS Windows networking</A
250 ></DT
251 ><DD
252 ><DL
253 ><DT
254 >2.3.1. <A
255 HREF="#AEN323"
256 >The NetBIOS Name Cache</A
257 ></DT
258 ><DT
259 >2.3.2. <A
260 HREF="#AEN328"
261 >The LMHOSTS file</A
262 ></DT
263 ><DT
264 >2.3.3. <A
265 HREF="#AEN336"
266 >HOSTS file</A
267 ></DT
268 ><DT
269 >2.3.4. <A
270 HREF="#AEN341"
271 >DNS Lookup</A
272 ></DT
273 ><DT
274 >2.3.5. <A
275 HREF="#AEN344"
276 >WINS Lookup</A
277 ></DT
278 ></DL
279 ></DD
280 ><DT
281 >2.4. <A
282 HREF="#AEN356"
283 >How browsing functions and how to deploy stable and 
284 dependable browsing using Samba</A
285 ></DT
286 ><DT
287 >2.5. <A
288 HREF="#AEN366"
289 >MS Windows security options and how to configure 
290 Samba for seemless integration</A
291 ></DT
292 ><DD
293 ><DL
294 ><DT
295 >2.5.1. <A
296 HREF="#AEN394"
297 >Use MS Windows NT as an authentication server</A
298 ></DT
299 ><DT
300 >2.5.2. <A
301 HREF="#AEN402"
302 >Make Samba a member of an MS Windows NT security domain</A
303 ></DT
304 ><DT
305 >2.5.3. <A
306 HREF="#AEN419"
307 >Configure Samba as an authentication server</A
308 ></DT
309 ><DD
310 ><DL
311 ><DT
312 >2.5.3.1. <A
313 HREF="#AEN426"
314 >Users</A
315 ></DT
316 ><DT
317 >2.5.3.2. <A
318 HREF="#AEN431"
319 >MS Windows NT Machine Accounts</A
320 ></DT
321 ></DL
322 ></DD
323 ></DL
324 ></DD
325 ><DT
326 >2.6. <A
327 HREF="#AEN436"
328 >Conclusions</A
329 ></DT
330 ></DL
331 ></DD
332 ><DT
333 >3. <A
334 HREF="#PAM"
335 >Configuring PAM for distributed but centrally 
336 managed authentication</A
337 ></DT
338 ><DD
339 ><DL
340 ><DT
341 >3.1. <A
342 HREF="#AEN457"
343 >Samba and PAM</A
344 ></DT
345 ><DT
346 >3.2. <A
347 HREF="#AEN501"
348 >Distributed Authentication</A
349 ></DT
350 ><DT
351 >3.3. <A
352 HREF="#AEN508"
353 >PAM Configuration in smb.conf</A
354 ></DT
355 ></DL
356 ></DD
357 ><DT
358 >4. <A
359 HREF="#MSDFS"
360 >Hosting a Microsoft Distributed File System tree on Samba</A
361 ></DT
362 ><DD
363 ><DL
364 ><DT
365 >4.1. <A
366 HREF="#AEN528"
367 >Instructions</A
368 ></DT
369 ><DD
370 ><DL
371 ><DT
372 >4.1.1. <A
373 HREF="#AEN563"
374 >Notes</A
375 ></DT
376 ></DL
377 ></DD
378 ></DL
379 ></DD
380 ><DT
381 >5. <A
382 HREF="#UNIX-PERMISSIONS"
383 >UNIX Permission Bits and Windows NT Access Control Lists</A
384 ></DT
385 ><DD
386 ><DL
387 ><DT
388 >5.1. <A
389 HREF="#AEN583"
390 >Viewing and changing UNIX permissions using the NT 
391         security dialogs</A
392 ></DT
393 ><DT
394 >5.2. <A
395 HREF="#AEN592"
396 >How to view file security on a Samba share</A
397 ></DT
398 ><DT
399 >5.3. <A
400 HREF="#AEN603"
401 >Viewing file ownership</A
402 ></DT
403 ><DT
404 >5.4. <A
405 HREF="#AEN623"
406 >Viewing file or directory permissions</A
407 ></DT
408 ><DD
409 ><DL
410 ><DT
411 >5.4.1. <A
412 HREF="#AEN638"
413 >File Permissions</A
414 ></DT
415 ><DT
416 >5.4.2. <A
417 HREF="#AEN652"
418 >Directory Permissions</A
419 ></DT
420 ></DL
421 ></DD
422 ><DT
423 >5.5. <A
424 HREF="#AEN659"
425 >Modifying file or directory permissions</A
426 ></DT
427 ><DT
428 >5.6. <A
429 HREF="#AEN681"
430 >Interaction with the standard Samba create mask 
431         parameters</A
432 ></DT
433 ><DT
434 >5.7. <A
435 HREF="#AEN745"
436 >Interaction with the standard Samba file attribute 
437         mapping</A
438 ></DT
439 ></DL
440 ></DD
441 ><DT
442 >6. <A
443 HREF="#PRINTING"
444 >Printing Support in Samba 2.2.x</A
445 ></DT
446 ><DD
447 ><DL
448 ><DT
449 >6.1. <A
450 HREF="#AEN766"
451 >Introduction</A
452 ></DT
453 ><DT
454 >6.2. <A
455 HREF="#AEN788"
456 >Configuration</A
457 ></DT
458 ><DD
459 ><DL
460 ><DT
461 >6.2.1. <A
462 HREF="#AEN799"
463 >Creating [print$]</A
464 ></DT
465 ><DT
466 >6.2.2. <A
467 HREF="#AEN834"
468 >Setting Drivers for Existing Printers</A
469 ></DT
470 ><DT
471 >6.2.3. <A
472 HREF="#AEN851"
473 >Support a large number of printers</A
474 ></DT
475 ><DT
476 >6.2.4. <A
477 HREF="#AEN862"
478 >Adding New Printers via the Windows NT APW</A
479 ></DT
480 ><DT
481 >6.2.5. <A
482 HREF="#AEN887"
483 >Samba and Printer Ports</A
484 ></DT
485 ></DL
486 ></DD
487 ><DT
488 >6.3. <A
489 HREF="#AEN895"
490 >The Imprints Toolset</A
491 ></DT
492 ><DD
493 ><DL
494 ><DT
495 >6.3.1. <A
496 HREF="#AEN899"
497 >What is Imprints?</A
498 ></DT
499 ><DT
500 >6.3.2. <A
501 HREF="#AEN909"
502 >Creating Printer Driver Packages</A
503 ></DT
504 ><DT
505 >6.3.3. <A
506 HREF="#AEN912"
507 >The Imprints server</A
508 ></DT
509 ><DT
510 >6.3.4. <A
511 HREF="#AEN916"
512 >The Installation Client</A
513 ></DT
514 ></DL
515 ></DD
516 ><DT
517 >6.4. <A
518 HREF="#AEN938"
519 ><A
520 NAME="MIGRATION"
521 ></A
522 >Migration to from Samba 2.0.x to 2.2.x</A
523 ></DT
524 ></DL
525 ></DD
526 ><DT
527 >7. <A
528 HREF="#DOMAIN-SECURITY"
529 >security = domain in Samba 2.x</A
530 ></DT
531 ><DD
532 ><DL
533 ><DT
534 >7.1. <A
535 HREF="#AEN992"
536 >Joining an NT Domain with Samba 2.2</A
537 ></DT
538 ><DT
539 >7.2. <A
540 HREF="#AEN1056"
541 >Samba and Windows 2000 Domains</A
542 ></DT
543 ><DT
544 >7.3. <A
545 HREF="#AEN1061"
546 >Why is this better than security = server?</A
547 ></DT
548 ></DL
549 ></DD
550 ><DT
551 >8. <A
552 HREF="#SAMBA-PDC"
553 >How to Configure Samba 2.2 as a Primary Domain Controller</A
554 ></DT
555 ><DD
556 ><DL
557 ><DT
558 >8.1. <A
559 HREF="#AEN1094"
560 >Prerequisite Reading</A
561 ></DT
562 ><DT
563 >8.2. <A
564 HREF="#AEN1100"
565 >Background</A
566 ></DT
567 ><DT
568 >8.3. <A
569 HREF="#AEN1139"
570 >Configuring the Samba Domain Controller</A
571 ></DT
572 ><DT
573 >8.4. <A
574 HREF="#AEN1182"
575 >Creating Machine Trust Accounts and Joining Clients to the
576 Domain</A
577 ></DT
578 ><DD
579 ><DL
580 ><DT
581 >8.4.1. <A
582 HREF="#AEN1201"
583 >Manual Creation of Machine Trust Accounts</A
584 ></DT
585 ><DT
586 >8.4.2. <A
587 HREF="#AEN1236"
588 >"On-the-Fly" Creation of Machine Trust Accounts</A
589 ></DT
590 ><DT
591 >8.4.3. <A
592 HREF="#AEN1245"
593 >Joining the Client to the Domain</A
594 ></DT
595 ></DL
596 ></DD
597 ><DT
598 >8.5. <A
599 HREF="#AEN1260"
600 >Common Problems and Errors</A
601 ></DT
602 ><DT
603 >8.6. <A
604 HREF="#AEN1308"
605 >System Policies and Profiles</A
606 ></DT
607 ><DT
608 >8.7. <A
609 HREF="#AEN1352"
610 >What other help can I get?</A
611 ></DT
612 ><DT
613 >8.8. <A
614 HREF="#AEN1466"
615 >Domain Control for Windows 9x/ME</A
616 ></DT
617 ><DD
618 ><DL
619 ><DT
620 >8.8.1. <A
621 HREF="#AEN1492"
622 >Configuration Instructions:    Network Logons</A
623 ></DT
624 ><DT
625 >8.8.2. <A
626 HREF="#AEN1511"
627 >Configuration Instructions:    Setting up Roaming User Profiles</A
628 ></DT
629 ><DD
630 ><DL
631 ><DT
632 >8.8.2.1. <A
633 HREF="#AEN1519"
634 >Windows NT Configuration</A
635 ></DT
636 ><DT
637 >8.8.2.2. <A
638 HREF="#AEN1527"
639 >Windows 9X Configuration</A
640 ></DT
641 ><DT
642 >8.8.2.3. <A
643 HREF="#AEN1535"
644 >Win9X and WinNT Configuration</A
645 ></DT
646 ><DT
647 >8.8.2.4. <A
648 HREF="#AEN1542"
649 >Windows 9X Profile Setup</A
650 ></DT
651 ><DT
652 >8.8.2.5. <A
653 HREF="#AEN1578"
654 >Windows NT Workstation 4.0</A
655 ></DT
656 ><DT
657 >8.8.2.6. <A
658 HREF="#AEN1591"
659 >Windows NT Server</A
660 ></DT
661 ><DT
662 >8.8.2.7. <A
663 HREF="#AEN1594"
664 >Sharing Profiles between W95 and NT Workstation 4.0</A
665 ></DT
666 ></DL
667 ></DD
668 ></DL
669 ></DD
670 ><DT
671 >8.9. <A
672 HREF="#AEN1604"
673 >DOMAIN_CONTROL.txt : Windows NT Domain Control &#38; Samba</A
674 ></DT
675 ></DL
676 ></DD
677 ><DT
678 >9. <A
679 HREF="#SAMBA-BDC"
680 >How to Act as a Backup Domain Controller in a Purely Samba Controlled Domain</A
681 ></DT
682 ><DD
683 ><DL
684 ><DT
685 >9.1. <A
686 HREF="#AEN1640"
687 >Prerequisite Reading</A
688 ></DT
689 ><DT
690 >9.2. <A
691 HREF="#AEN1644"
692 >Background</A
693 ></DT
694 ><DT
695 >9.3. <A
696 HREF="#AEN1652"
697 >What qualifies a Domain Controller on the network?</A
698 ></DT
699 ><DD
700 ><DL
701 ><DT
702 >9.3.1. <A
703 HREF="#AEN1655"
704 >How does a Workstation find its domain controller?</A
705 ></DT
706 ><DT
707 >9.3.2. <A
708 HREF="#AEN1658"
709 >When is the PDC needed?</A
710 ></DT
711 ></DL
712 ></DD
713 ><DT
714 >9.4. <A
715 HREF="#AEN1661"
716 >Can Samba be a Backup Domain Controller?</A
717 ></DT
718 ><DT
719 >9.5. <A
720 HREF="#AEN1665"
721 >How do I set up a Samba BDC?</A
722 ></DT
723 ><DD
724 ><DL
725 ><DT
726 >9.5.1. <A
727 HREF="#AEN1681"
728 >How do I replicate the smbpasswd file?</A
729 ></DT
730 ></DL
731 ></DD
732 ></DL
733 ></DD
734 ><DT
735 >10. <A
736 HREF="#SAMBA-LDAP-HOWTO"
737 >Storing Samba's User/Machine Account information in an LDAP Directory</A
738 ></DT
739 ><DD
740 ><DL
741 ><DT
742 >10.1. <A
743 HREF="#AEN1702"
744 >Purpose</A
745 ></DT
746 ><DT
747 >10.2. <A
748 HREF="#AEN1722"
749 >Introduction</A
750 ></DT
751 ><DT
752 >10.3. <A
753 HREF="#AEN1751"
754 >Supported LDAP Servers</A
755 ></DT
756 ><DT
757 >10.4. <A
758 HREF="#AEN1756"
759 >Schema and Relationship to the RFC 2307 posixAccount</A
760 ></DT
761 ><DT
762 >10.5. <A
763 HREF="#AEN1768"
764 >Configuring Samba with LDAP</A
765 ></DT
766 ><DD
767 ><DL
768 ><DT
769 >10.5.1. <A
770 HREF="#AEN1770"
771 >OpenLDAP configuration</A
772 ></DT
773 ><DT
774 >10.5.2. <A
775 HREF="#AEN1787"
776 >Configuring Samba</A
777 ></DT
778 ></DL
779 ></DD
780 ><DT
781 >10.6. <A
782 HREF="#AEN1815"
783 >Accounts and Groups management</A
784 ></DT
785 ><DT
786 >10.7. <A
787 HREF="#AEN1820"
788 >Security and sambaAccount</A
789 ></DT
790 ><DT
791 >10.8. <A
792 HREF="#AEN1840"
793 >LDAP specials attributes for sambaAccounts</A
794 ></DT
795 ><DT
796 >10.9. <A
797 HREF="#AEN1910"
798 >Example LDIF Entries for a sambaAccount</A
799 ></DT
800 ><DT
801 >10.10. <A
802 HREF="#AEN1918"
803 >Comments</A
804 ></DT
805 ></DL
806 ></DD
807 ><DT
808 >11. <A
809 HREF="#WINBIND"
810 >Unified Logons between Windows NT and UNIX using Winbind</A
811 ></DT
812 ><DD
813 ><DL
814 ><DT
815 >11.1. <A
816 HREF="#AEN1947"
817 >Abstract</A
818 ></DT
819 ><DT
820 >11.2. <A
821 HREF="#AEN1951"
822 >Introduction</A
823 ></DT
824 ><DT
825 >11.3. <A
826 HREF="#AEN1964"
827 >What Winbind Provides</A
828 ></DT
829 ><DD
830 ><DL
831 ><DT
832 >11.3.1. <A
833 HREF="#AEN1971"
834 >Target Uses</A
835 ></DT
836 ></DL
837 ></DD
838 ><DT
839 >11.4. <A
840 HREF="#AEN1975"
841 >How Winbind Works</A
842 ></DT
843 ><DD
844 ><DL
845 ><DT
846 >11.4.1. <A
847 HREF="#AEN1980"
848 >Microsoft Remote Procedure Calls</A
849 ></DT
850 ><DT
851 >11.4.2. <A
852 HREF="#AEN1984"
853 >Name Service Switch</A
854 ></DT
855 ><DT
856 >11.4.3. <A
857 HREF="#AEN2000"
858 >Pluggable Authentication Modules</A
859 ></DT
860 ><DT
861 >11.4.4. <A
862 HREF="#AEN2008"
863 >User and Group ID Allocation</A
864 ></DT
865 ><DT
866 >11.4.5. <A
867 HREF="#AEN2012"
868 >Result Caching</A
869 ></DT
870 ></DL
871 ></DD
872 ><DT
873 >11.5. <A
874 HREF="#AEN2015"
875 >Installation and Configuration</A
876 ></DT
877 ><DD
878 ><DL
879 ><DT
880 >11.5.1. <A
881 HREF="#AEN2022"
882 >Introduction</A
883 ></DT
884 ><DT
885 >11.5.2. <A
886 HREF="#AEN2035"
887 >Requirements</A
888 ></DT
889 ><DT
890 >11.5.3. <A
891 HREF="#AEN2049"
892 >Testing Things Out</A
893 ></DT
894 ><DD
895 ><DL
896 ><DT
897 >11.5.3.1. <A
898 HREF="#AEN2060"
899 >Configure and compile SAMBA</A
900 ></DT
901 ><DT
902 >11.5.3.2. <A
903 HREF="#AEN2079"
904 >Configure <TT
905 CLASS="FILENAME"
906 >nsswitch.conf</TT
907 > and the 
908 winbind libraries</A
909 ></DT
910 ><DT
911 >11.5.3.3. <A
912 HREF="#AEN2104"
913 >Configure smb.conf</A
914 ></DT
915 ><DT
916 >11.5.3.4. <A
917 HREF="#AEN2120"
918 >Join the SAMBA server to the PDC domain</A
919 ></DT
920 ><DT
921 >11.5.3.5. <A
922 HREF="#AEN2131"
923 >Start up the winbindd daemon and test it!</A
924 ></DT
925 ><DT
926 >11.5.3.6. <A
927 HREF="#AEN2167"
928 >Fix the <TT
929 CLASS="FILENAME"
930 >/etc/rc.d/init.d/smb</TT
931 > startup files</A
932 ></DT
933 ><DT
934 >11.5.3.7. <A
935 HREF="#AEN2189"
936 >Configure Winbind and PAM</A
937 ></DT
938 ></DL
939 ></DD
940 ></DL
941 ></DD
942 ><DT
943 >11.6. <A
944 HREF="#AEN2236"
945 >Limitations</A
946 ></DT
947 ><DT
948 >11.7. <A
949 HREF="#AEN2246"
950 >Conclusion</A
951 ></DT
952 ></DL
953 ></DD
954 ><DT
955 >12. <A
956 HREF="#OS2"
957 >OS2 Client HOWTO</A
958 ></DT
959 ><DD
960 ><DL
961 ><DT
962 >12.1. <A
963 HREF="#AEN2260"
964 >FAQs</A
965 ></DT
966 ><DD
967 ><DL
968 ><DT
969 >12.1.1. <A
970 HREF="#AEN2262"
971 >How can I configure OS/2 Warp Connect or 
972                 OS/2 Warp 4 as a client for Samba?</A
973 ></DT
974 ><DT
975 >12.1.2. <A
976 HREF="#AEN2277"
977 >How can I configure OS/2 Warp 3 (not Connect), 
978                 OS/2 1.2, 1.3 or 2.x for Samba?</A
979 ></DT
980 ><DT
981 >12.1.3. <A
982 HREF="#AEN2286"
983 >Are there any other issues when OS/2 (any version) 
984                 is used as a client?</A
985 ></DT
986 ><DT
987 >12.1.4. <A
988 HREF="#AEN2290"
989 >How do I get printer driver download working 
990                 for OS/2 clients?</A
991 ></DT
992 ></DL
993 ></DD
994 ></DL
995 ></DD
996 ><DT
997 >13. <A
998 HREF="#CVS-ACCESS"
999 >HOWTO Access Samba source code via CVS</A
1000 ></DT
1001 ><DD
1002 ><DL
1003 ><DT
1004 >13.1. <A
1005 HREF="#AEN2306"
1006 >Introduction</A
1007 ></DT
1008 ><DT
1009 >13.2. <A
1010 HREF="#AEN2311"
1011 >CVS Access to samba.org</A
1012 ></DT
1013 ><DD
1014 ><DL
1015 ><DT
1016 >13.2.1. <A
1017 HREF="#AEN2314"
1018 >Access via CVSweb</A
1019 ></DT
1020 ><DT
1021 >13.2.2. <A
1022 HREF="#AEN2319"
1023 >Access via cvs</A
1024 ></DT
1025 ></DL
1026 ></DD
1027 ></DL
1028 ></DD
1029 ><DT
1030 ><A
1031 HREF="#AEN2347"
1032 >Index</A
1033 ></DT
1034 ></DL
1035 ></DIV
1036 ><DIV
1037 CLASS="CHAPTER"
1038 ><HR><H1
1039 ><A
1040 NAME="INSTALL"
1041 >Chapter 1. How to Install and Test SAMBA</A
1042 ></H1
1043 ><DIV
1044 CLASS="SECT1"
1045 ><H1
1046 CLASS="SECT1"
1047 ><A
1048 NAME="AEN20"
1049 >1.1. Step 0: Read the man pages</A
1050 ></H1
1051 ><P
1052 >The man pages distributed with SAMBA contain 
1053         lots of useful info that will help to get you started. 
1054         If you don't know how to read man pages then try 
1055         something like:</P
1056 ><P
1057 ><TT
1058 CLASS="PROMPT"
1059 >$ </TT
1060 ><TT
1061 CLASS="USERINPUT"
1062 ><B
1063 >nroff -man smbd.8 | more
1064         </B
1065 ></TT
1066 ></P
1067 ><P
1068 >Other sources of information are pointed to 
1069         by the Samba web site,<A
1070 HREF="http://www.samba.org/"
1071 TARGET="_top"
1072 >       http://www.samba.org</A
1073 ></P
1074 ></DIV
1075 ><DIV
1076 CLASS="SECT1"
1077 ><HR><H1
1078 CLASS="SECT1"
1079 ><A
1080 NAME="AEN28"
1081 >1.2. Step 1: Building the Binaries</A
1082 ></H1
1083 ><P
1084 >To do this, first run the program <B
1085 CLASS="COMMAND"
1086 >./configure
1087         </B
1088 > in the source directory. This should automatically 
1089         configure Samba for your operating system. If you have unusual 
1090         needs then you may wish to run</P
1091 ><P
1092 ><TT
1093 CLASS="PROMPT"
1094 >root# </TT
1095 ><TT
1096 CLASS="USERINPUT"
1097 ><B
1098 >./configure --help
1099         </B
1100 ></TT
1101 ></P
1102 ><P
1103 >first to see what special options you can enable.
1104         Then executing</P
1105 ><P
1106 ><TT
1107 CLASS="PROMPT"
1108 >root# </TT
1109 ><TT
1110 CLASS="USERINPUT"
1111 ><B
1112 >make</B
1113 ></TT
1114 ></P
1115 ><P
1116 >will create the binaries. Once it's successfully 
1117         compiled you can use </P
1118 ><P
1119 ><TT
1120 CLASS="PROMPT"
1121 >root# </TT
1122 ><TT
1123 CLASS="USERINPUT"
1124 ><B
1125 >make install</B
1126 ></TT
1127 ></P
1128 ><P
1129 >to install the binaries and manual pages. You can 
1130         separately install the binaries and/or man pages using</P
1131 ><P
1132 ><TT
1133 CLASS="PROMPT"
1134 >root# </TT
1135 ><TT
1136 CLASS="USERINPUT"
1137 ><B
1138 >make installbin
1139         </B
1140 ></TT
1141 ></P
1142 ><P
1143 >and</P
1144 ><P
1145 ><TT
1146 CLASS="PROMPT"
1147 >root# </TT
1148 ><TT
1149 CLASS="USERINPUT"
1150 ><B
1151 >make installman
1152         </B
1153 ></TT
1154 ></P
1155 ><P
1156 >Note that if you are upgrading for a previous version 
1157         of Samba you might like to know that the old versions of 
1158         the binaries will be renamed with a ".old" extension. You 
1159         can go back to the previous version with</P
1160 ><P
1161 ><TT
1162 CLASS="PROMPT"
1163 >root# </TT
1164 ><TT
1165 CLASS="USERINPUT"
1166 ><B
1167 >make revert
1168         </B
1169 ></TT
1170 ></P
1171 ><P
1172 >if you find this version a disaster!</P
1173 ></DIV
1174 ><DIV
1175 CLASS="SECT1"
1176 ><HR><H1
1177 CLASS="SECT1"
1178 ><A
1179 NAME="AEN56"
1180 >1.3. Step 2: The all important step</A
1181 ></H1
1182 ><P
1183 >At this stage you must fetch yourself a 
1184         coffee or other drink you find stimulating. Getting the rest 
1185         of the install right can sometimes be tricky, so you will 
1186         probably need it.</P
1187 ><P
1188 >If you have installed samba before then you can skip 
1189         this step.</P
1190 ></DIV
1191 ><DIV
1192 CLASS="SECT1"
1193 ><HR><H1
1194 CLASS="SECT1"
1195 ><A
1196 NAME="AEN60"
1197 >1.4. Step 3: Create the smb configuration file.</A
1198 ></H1
1199 ><P
1200 >There are sample configuration files in the examples 
1201         subdirectory in the distribution. I suggest you read them 
1202         carefully so you can see how the options go together in 
1203         practice. See the man page for all the options.</P
1204 ><P
1205 >The simplest useful configuration file would be 
1206         something like this:</P
1207 ><P
1208 ><TABLE
1209 BORDER="0"
1210 BGCOLOR="#E0E0E0"
1211 WIDTH="100%"
1212 ><TR
1213 ><TD
1214 ><PRE
1215 CLASS="PROGRAMLISTING"
1216 >       [global]
1217            workgroup = MYGROUP
1218
1219            [homes]
1220               guest ok = no
1221               read only = no
1222         </PRE
1223 ></TD
1224 ></TR
1225 ></TABLE
1226 ></P
1227 ><P
1228 >which would allow connections by anyone with an 
1229         account on the server, using either their login name or 
1230         "homes" as the service name. (Note that I also set the 
1231         workgroup that Samba is part of. See BROWSING.txt for details)</P
1232 ><P
1233 >Note that <B
1234 CLASS="COMMAND"
1235 >make install</B
1236 > will not install 
1237         a <TT
1238 CLASS="FILENAME"
1239 >smb.conf</TT
1240 > file. You need to create it 
1241         yourself. </P
1242 ><P
1243 >Make sure you put the smb.conf file in the same place 
1244         you specified in the<TT
1245 CLASS="FILENAME"
1246 >Makefile</TT
1247 > (the default is to 
1248         look for it in <TT
1249 CLASS="FILENAME"
1250 >/usr/local/samba/lib/</TT
1251 >).</P
1252 ><P
1253 >For more information about security settings for the 
1254         [homes] share please refer to the document UNIX_SECURITY.txt.</P
1255 ></DIV
1256 ><DIV
1257 CLASS="SECT1"
1258 ><HR><H1
1259 CLASS="SECT1"
1260 ><A
1261 NAME="AEN74"
1262 >1.5. Step 4: Test your config file with 
1263         <B
1264 CLASS="COMMAND"
1265 >testparm</B
1266 ></A
1267 ></H1
1268 ><P
1269 >It's important that you test the validity of your
1270         <TT
1271 CLASS="FILENAME"
1272 >smb.conf</TT
1273 > file using the testparm program. 
1274         If testparm runs OK then it will list the loaded services. If 
1275         not it will give an error message.</P
1276 ><P
1277 >Make sure it runs OK and that the services look 
1278         reasonable before proceeding. </P
1279 ></DIV
1280 ><DIV
1281 CLASS="SECT1"
1282 ><HR><H1
1283 CLASS="SECT1"
1284 ><A
1285 NAME="AEN80"
1286 >1.6. Step 5: Starting the smbd and nmbd</A
1287 ></H1
1288 ><P
1289 >You must choose to start smbd and nmbd either
1290         as daemons or from <B
1291 CLASS="COMMAND"
1292 >inetd</B
1293 >. Don't try
1294         to do both!  Either you can put them in <TT
1295 CLASS="FILENAME"
1296 >       inetd.conf</TT
1297 > and have them started on demand
1298         by <B
1299 CLASS="COMMAND"
1300 >inetd</B
1301 >, or you can start them as
1302         daemons either from the command line or in <TT
1303 CLASS="FILENAME"
1304 >       /etc/rc.local</TT
1305 >. See the man pages for details
1306         on the command line options. Take particular care to read
1307         the bit about what user you need to be in order to start
1308         Samba.  In many cases you must be root.</P
1309 ><P
1310 >The main advantage of starting <B
1311 CLASS="COMMAND"
1312 >smbd</B
1313 >
1314         and <B
1315 CLASS="COMMAND"
1316 >nmbd</B
1317 > using the recommended daemon method
1318         is that they will respond slightly more quickly to an initial connection
1319         request.</P
1320 ><DIV
1321 CLASS="SECT2"
1322 ><HR><H2
1323 CLASS="SECT2"
1324 ><A
1325 NAME="AEN90"
1326 >1.6.1. Step 5a: Starting from inetd.conf</A
1327 ></H2
1328 ><P
1329 >NOTE; The following will be different if 
1330                 you use NIS or NIS+ to distributed services maps.</P
1331 ><P
1332 >Look at your <TT
1333 CLASS="FILENAME"
1334 >/etc/services</TT
1335 >. 
1336                 What is defined at port 139/tcp. If nothing is defined 
1337                 then add a line like this:</P
1338 ><P
1339 ><TT
1340 CLASS="USERINPUT"
1341 ><B
1342 >netbios-ssn     139/tcp</B
1343 ></TT
1344 ></P
1345 ><P
1346 >similarly for 137/udp you should have an entry like:</P
1347 ><P
1348 ><TT
1349 CLASS="USERINPUT"
1350 ><B
1351 >netbios-ns     137/udp</B
1352 ></TT
1353 ></P
1354 ><P
1355 >Next edit your <TT
1356 CLASS="FILENAME"
1357 >/etc/inetd.conf</TT
1358
1359                 and add two lines something like this:</P
1360 ><P
1361 ><TABLE
1362 BORDER="0"
1363 BGCOLOR="#E0E0E0"
1364 WIDTH="100%"
1365 ><TR
1366 ><TD
1367 ><PRE
1368 CLASS="PROGRAMLISTING"
1369 >               netbios-ssn stream tcp nowait root /usr/local/samba/bin/smbd smbd 
1370                 netbios-ns dgram udp wait root /usr/local/samba/bin/nmbd nmbd 
1371                 </PRE
1372 ></TD
1373 ></TR
1374 ></TABLE
1375 ></P
1376 ><P
1377 >The exact syntax of <TT
1378 CLASS="FILENAME"
1379 >/etc/inetd.conf</TT
1380
1381                 varies between unixes. Look at the other entries in inetd.conf 
1382                 for a guide.</P
1383 ><P
1384 >NOTE: Some unixes already have entries like netbios_ns 
1385                 (note the underscore) in <TT
1386 CLASS="FILENAME"
1387 >/etc/services</TT
1388 >. 
1389                 You must either edit <TT
1390 CLASS="FILENAME"
1391 >/etc/services</TT
1392 > or
1393                 <TT
1394 CLASS="FILENAME"
1395 >/etc/inetd.conf</TT
1396 > to make them consistent.</P
1397 ><P
1398 >NOTE: On many systems you may need to use the 
1399                 "interfaces" option in smb.conf to specify the IP address 
1400                 and netmask of your interfaces. Run <B
1401 CLASS="COMMAND"
1402 >ifconfig</B
1403
1404                 as root if you don't know what the broadcast is for your
1405                 net. <B
1406 CLASS="COMMAND"
1407 >nmbd</B
1408 > tries to determine it at run 
1409                 time, but fails on some unixes. See the section on "testing nmbd" 
1410                 for a method of finding if you need to do this.</P
1411 ><P
1412 >!!!WARNING!!! Many unixes only accept around 5 
1413                 parameters on the command line in <TT
1414 CLASS="FILENAME"
1415 >inetd.conf</TT
1416 >. 
1417                 This means you shouldn't use spaces between the options and 
1418                 arguments, or you should use a script, and start the script 
1419                 from <B
1420 CLASS="COMMAND"
1421 >inetd</B
1422 >.</P
1423 ><P
1424 >Restart <B
1425 CLASS="COMMAND"
1426 >inetd</B
1427 >, perhaps just send 
1428                 it a HUP. If you have installed an earlier version of <B
1429 CLASS="COMMAND"
1430 >               nmbd</B
1431 > then you may need to kill nmbd as well.</P
1432 ></DIV
1433 ><DIV
1434 CLASS="SECT2"
1435 ><HR><H2
1436 CLASS="SECT2"
1437 ><A
1438 NAME="AEN119"
1439 >1.6.2. Step 5b. Alternative: starting it as a daemon</A
1440 ></H2
1441 ><P
1442 >To start the server as a daemon you should create 
1443                 a script something like this one, perhaps calling 
1444                 it <TT
1445 CLASS="FILENAME"
1446 >startsmb</TT
1447 >.</P
1448 ><P
1449 ><TABLE
1450 BORDER="0"
1451 BGCOLOR="#E0E0E0"
1452 WIDTH="100%"
1453 ><TR
1454 ><TD
1455 ><PRE
1456 CLASS="PROGRAMLISTING"
1457 >               #!/bin/sh
1458                 /usr/local/samba/bin/smbd -D 
1459                 /usr/local/samba/bin/nmbd -D 
1460                 </PRE
1461 ></TD
1462 ></TR
1463 ></TABLE
1464 ></P
1465 ><P
1466 >then make it executable with <B
1467 CLASS="COMMAND"
1468 >chmod 
1469                 +x startsmb</B
1470 ></P
1471 ><P
1472 >You can then run <B
1473 CLASS="COMMAND"
1474 >startsmb</B
1475 > by 
1476                 hand or execute it from <TT
1477 CLASS="FILENAME"
1478 >/etc/rc.local</TT
1479 >
1480                 </P
1481 ><P
1482 >To kill it send a kill signal to the processes 
1483                 <B
1484 CLASS="COMMAND"
1485 >nmbd</B
1486 > and <B
1487 CLASS="COMMAND"
1488 >smbd</B
1489 >.</P
1490 ><P
1491 >NOTE: If you use the SVR4 style init system then 
1492                 you may like to look at the <TT
1493 CLASS="FILENAME"
1494 >examples/svr4-startup</TT
1495 >
1496                 script to make Samba fit into that system.</P
1497 ></DIV
1498 ></DIV
1499 ><DIV
1500 CLASS="SECT1"
1501 ><HR><H1
1502 CLASS="SECT1"
1503 ><A
1504 NAME="AEN135"
1505 >1.7. Step 6: Try listing the shares available on your 
1506         server</A
1507 ></H1
1508 ><P
1509 ><TT
1510 CLASS="PROMPT"
1511 >$ </TT
1512 ><TT
1513 CLASS="USERINPUT"
1514 ><B
1515 >smbclient -L 
1516         <TT
1517 CLASS="REPLACEABLE"
1518 ><I
1519 >yourhostname</I
1520 ></TT
1521 ></B
1522 ></TT
1523 ></P
1524 ><P
1525 >Your should get back a list of shares available on 
1526         your server. If you don't then something is incorrectly setup. 
1527         Note that this method can also be used to see what shares 
1528         are available on other LanManager clients (such as WfWg).</P
1529 ><P
1530 >If you choose user level security then you may find 
1531         that Samba requests a password before it will list the shares. 
1532         See the <B
1533 CLASS="COMMAND"
1534 >smbclient</B
1535 > man page for details. (you 
1536         can force it to list the shares without a password by
1537         adding the option -U% to the command line. This will not work 
1538         with non-Samba servers)</P
1539 ></DIV
1540 ><DIV
1541 CLASS="SECT1"
1542 ><HR><H1
1543 CLASS="SECT1"
1544 ><A
1545 NAME="AEN144"
1546 >1.8. Step 7: Try connecting with the unix client</A
1547 ></H1
1548 ><P
1549 ><TT
1550 CLASS="PROMPT"
1551 >$ </TT
1552 ><TT
1553 CLASS="USERINPUT"
1554 ><B
1555 >smbclient <TT
1556 CLASS="REPLACEABLE"
1557 ><I
1558 >       //yourhostname/aservice</I
1559 ></TT
1560 ></B
1561 ></TT
1562 ></P
1563 ><P
1564 >Typically the <TT
1565 CLASS="REPLACEABLE"
1566 ><I
1567 >yourhostname</I
1568 ></TT
1569
1570         would be the name of the host where you installed <B
1571 CLASS="COMMAND"
1572 >       smbd</B
1573 >. The <TT
1574 CLASS="REPLACEABLE"
1575 ><I
1576 >aservice</I
1577 ></TT
1578 > is 
1579         any service you have defined in the <TT
1580 CLASS="FILENAME"
1581 >smb.conf</TT
1582
1583         file. Try your user name if you just have a [homes] section
1584         in <TT
1585 CLASS="FILENAME"
1586 >smb.conf</TT
1587 >.</P
1588 ><P
1589 >For example if your unix host is bambi and your login 
1590         name is fred you would type:</P
1591 ><P
1592 ><TT
1593 CLASS="PROMPT"
1594 >$ </TT
1595 ><TT
1596 CLASS="USERINPUT"
1597 ><B
1598 >smbclient //bambi/fred
1599         </B
1600 ></TT
1601 ></P
1602 ></DIV
1603 ><DIV
1604 CLASS="SECT1"
1605 ><HR><H1
1606 CLASS="SECT1"
1607 ><A
1608 NAME="AEN160"
1609 >1.9. Step 8: Try connecting from a DOS, WfWg, Win9x, WinNT, 
1610         Win2k, OS/2, etc... client</A
1611 ></H1
1612 ><P
1613 >Try mounting disks. eg:</P
1614 ><P
1615 ><TT
1616 CLASS="PROMPT"
1617 >C:\WINDOWS\&#62; </TT
1618 ><TT
1619 CLASS="USERINPUT"
1620 ><B
1621 >net use d: \\servername\service
1622         </B
1623 ></TT
1624 ></P
1625 ><P
1626 >Try printing. eg:</P
1627 ><P
1628 ><TT
1629 CLASS="PROMPT"
1630 >C:\WINDOWS\&#62; </TT
1631 ><TT
1632 CLASS="USERINPUT"
1633 ><B
1634 >net use lpt1:
1635         \\servername\spoolservice</B
1636 ></TT
1637 ></P
1638 ><P
1639 ><TT
1640 CLASS="PROMPT"
1641 >C:\WINDOWS\&#62; </TT
1642 ><TT
1643 CLASS="USERINPUT"
1644 ><B
1645 >print filename
1646         </B
1647 ></TT
1648 ></P
1649 ><P
1650 >Celebrate, or send me a bug report!</P
1651 ></DIV
1652 ><DIV
1653 CLASS="SECT1"
1654 ><HR><H1
1655 CLASS="SECT1"
1656 ><A
1657 NAME="AEN174"
1658 >1.10. What If Things Don't Work?</A
1659 ></H1
1660 ><P
1661 >If nothing works and you start to think "who wrote 
1662         this pile of trash" then I suggest you do step 2 again (and 
1663         again) till you calm down.</P
1664 ><P
1665 >Then you might read the file DIAGNOSIS.txt and the 
1666         FAQ. If you are still stuck then try the mailing list or 
1667         newsgroup (look in the README for details). Samba has been 
1668         successfully installed at thousands of sites worldwide, so maybe 
1669         someone else has hit your problem and has overcome it. You could 
1670         also use the WWW site to scan back issues of the samba-digest.</P
1671 ><P
1672 >When you fix the problem PLEASE send me some updates to the
1673         documentation (or source code) so that the next person will find it
1674         easier. </P
1675 ><DIV
1676 CLASS="SECT2"
1677 ><HR><H2
1678 CLASS="SECT2"
1679 ><A
1680 NAME="AEN179"
1681 >1.10.1. Diagnosing Problems</A
1682 ></H2
1683 ><P
1684 >If you have installation problems then go to 
1685                 <TT
1686 CLASS="FILENAME"
1687 >DIAGNOSIS.txt</TT
1688 > to try to find the 
1689                 problem.</P
1690 ></DIV
1691 ><DIV
1692 CLASS="SECT2"
1693 ><HR><H2
1694 CLASS="SECT2"
1695 ><A
1696 NAME="AEN183"
1697 >1.10.2. Scope IDs</A
1698 ></H2
1699 ><P
1700 >By default Samba uses a blank scope ID. This means 
1701                 all your windows boxes must also have a blank scope ID. 
1702                 If you really want to use a non-blank scope ID then you will 
1703                 need to use the -i &#60;scope&#62; option to nmbd, smbd, and 
1704                 smbclient. All your PCs will need to have the same setting for 
1705                 this to work. I do not recommend scope IDs.</P
1706 ></DIV
1707 ><DIV
1708 CLASS="SECT2"
1709 ><HR><H2
1710 CLASS="SECT2"
1711 ><A
1712 NAME="AEN186"
1713 >1.10.3. Choosing the Protocol Level</A
1714 ></H2
1715 ><P
1716 >The SMB protocol has many dialects. Currently 
1717                 Samba supports 5, called CORE, COREPLUS, LANMAN1, 
1718                 LANMAN2 and NT1.</P
1719 ><P
1720 >You can choose what maximum protocol to support 
1721                 in the <TT
1722 CLASS="FILENAME"
1723 >smb.conf</TT
1724 > file. The default is 
1725                 NT1 and that is the best for the vast majority of sites.</P
1726 ><P
1727 >In older versions of Samba you may have found it 
1728                 necessary to use COREPLUS. The limitations that led to 
1729                 this have mostly been fixed. It is now less likely that you 
1730                 will want to use less than LANMAN1. The only remaining advantage 
1731                 of COREPLUS is that for some obscure reason WfWg preserves 
1732                 the case of passwords in this protocol, whereas under LANMAN1, 
1733                 LANMAN2 or NT1 it uppercases all passwords before sending them,
1734                 forcing you to use the "password level=" option in some cases.</P
1735 ><P
1736 >The main advantage of LANMAN2 and NT1 is support for 
1737                 long filenames with some clients (eg: smbclient, Windows NT 
1738                 or Win95). </P
1739 ><P
1740 >See the smb.conf(5) manual page for more details.</P
1741 ><P
1742 >Note: To support print queue reporting you may find 
1743                 that you have to use TCP/IP as the default protocol under 
1744                 WfWg. For some reason if you leave Netbeui as the default 
1745                 it may break the print queue reporting on some systems. 
1746                 It is presumably a WfWg bug.</P
1747 ></DIV
1748 ><DIV
1749 CLASS="SECT2"
1750 ><HR><H2
1751 CLASS="SECT2"
1752 ><A
1753 NAME="AEN195"
1754 >1.10.4. Printing from UNIX to a Client PC</A
1755 ></H2
1756 ><P
1757 >To use a printer that is available via a smb-based 
1758                 server from a unix host you will need to compile the 
1759                 smbclient program. You then need to install the script 
1760                 "smbprint". Read the instruction in smbprint for more details.
1761                 </P
1762 ><P
1763 >There is also a SYSV style script that does much 
1764                 the same thing called smbprint.sysv. It contains instructions.</P
1765 ></DIV
1766 ><DIV
1767 CLASS="SECT2"
1768 ><HR><H2
1769 CLASS="SECT2"
1770 ><A
1771 NAME="AEN199"
1772 >1.10.5. Locking</A
1773 ></H2
1774 ><P
1775 >One area which sometimes causes trouble is locking.</P
1776 ><P
1777 >There are two types of locking which need to be 
1778                 performed by a SMB server. The first is "record locking" 
1779                 which allows a client to lock a range of bytes in a open file. 
1780                 The second is the "deny modes" that are specified when a file 
1781                 is open.</P
1782 ><P
1783 >Record locking semantics under Unix is very
1784                 different from record locking under Windows. Versions
1785                 of Samba before 2.2 have tried to use the native
1786                 fcntl() unix system call to implement proper record
1787                 locking between different Samba clients. This can not
1788                 be fully correct due to several reasons. The simplest
1789                 is the fact that a Windows client is allowed to lock a
1790                 byte range up to 2^32 or 2^64, depending on the client
1791                 OS. The unix locking only supports byte ranges up to
1792                 2^31. So it is not possible to correctly satisfy a
1793                 lock request above 2^31. There are many more
1794                 differences, too many to be listed here.</P
1795 ><P
1796 >Samba 2.2 and above implements record locking
1797                 completely independent of the underlying unix
1798                 system. If a byte range lock that the client requests
1799                 happens to fall into the range 0-2^31, Samba hands
1800                 this request down to the Unix system. All other locks
1801                 can not be seen by unix anyway.</P
1802 ><P
1803 >Strictly a SMB server should check for locks before 
1804                 every read and write call on a file. Unfortunately with the 
1805                 way fcntl() works this can be slow and may overstress the 
1806                 rpc.lockd. It is also almost always unnecessary as clients 
1807                 are supposed to independently make locking calls before reads 
1808                 and writes anyway if locking is important to them. By default 
1809                 Samba only makes locking calls when explicitly asked
1810                 to by a client, but if you set "strict locking = yes" then it will
1811                 make lock checking calls on every read and write. </P
1812 ><P
1813 >You can also disable by range locking completely 
1814                 using "locking = no". This is useful for those shares that 
1815                 don't support locking or don't need it (such as cdroms). In 
1816                 this case Samba fakes the return codes of locking calls to 
1817                 tell clients that everything is OK.</P
1818 ><P
1819 >The second class of locking is the "deny modes". These 
1820                 are set by an application when it opens a file to determine 
1821                 what types of access should be allowed simultaneously with 
1822                 its open. A client may ask for DENY_NONE, DENY_READ, DENY_WRITE 
1823                 or DENY_ALL. There are also special compatibility modes called 
1824                 DENY_FCB and  DENY_DOS.</P
1825 ><P
1826 >You can disable share modes using "share modes = no". 
1827                 This may be useful on a heavily loaded server as the share 
1828                 modes code is very slow. See also the FAST_SHARE_MODES 
1829                 option in the Makefile for a way to do full share modes 
1830                 very fast using shared memory (if your OS supports it).</P
1831 ></DIV
1832 ><DIV
1833 CLASS="SECT2"
1834 ><HR><H2
1835 CLASS="SECT2"
1836 ><A
1837 NAME="AEN209"
1838 >1.10.6. Mapping Usernames</A
1839 ></H2
1840 ><P
1841 >If you have different usernames on the PCs and 
1842                 the unix server then take a look at the "username map" option. 
1843                 See the smb.conf man page for details.</P
1844 ></DIV
1845 ><DIV
1846 CLASS="SECT2"
1847 ><HR><H2
1848 CLASS="SECT2"
1849 ><A
1850 NAME="AEN212"
1851 >1.10.7. Other Character Sets</A
1852 ></H2
1853 ><P
1854 >If you have problems using filenames with accented 
1855                 characters in them (like the German, French or Scandinavian 
1856                 character sets) then I recommend you look at the "valid chars" 
1857                 option in smb.conf and also take a look at the validchars 
1858                 package in the examples directory.</P
1859 ></DIV
1860 ></DIV
1861 ></DIV
1862 ><DIV
1863 CLASS="CHAPTER"
1864 ><HR><H1
1865 ><A
1866 NAME="INTEGRATE-MS-NETWORKS"
1867 >Chapter 2. Integrating MS Windows networks with Samba</A
1868 ></H1
1869 ><DIV
1870 CLASS="SECT1"
1871 ><H1
1872 CLASS="SECT1"
1873 ><A
1874 NAME="AEN226"
1875 >2.1. Agenda</A
1876 ></H1
1877 ><P
1878 >To identify the key functional mechanisms of MS Windows networking 
1879 to enable the deployment of Samba as a means of extending and/or 
1880 replacing MS Windows NT/2000 technology.</P
1881 ><P
1882 >We will examine:</P
1883 ><P
1884 ></P
1885 ><OL
1886 TYPE="1"
1887 ><LI
1888 ><P
1889 >Name resolution in a pure Unix/Linux TCP/IP 
1890         environment
1891         </P
1892 ></LI
1893 ><LI
1894 ><P
1895 >Name resolution as used within MS Windows 
1896         networking
1897         </P
1898 ></LI
1899 ><LI
1900 ><P
1901 >How browsing functions and how to deploy stable 
1902         and dependable browsing using Samba
1903         </P
1904 ></LI
1905 ><LI
1906 ><P
1907 >MS Windows security options and how to 
1908         configure Samba for seemless integration
1909         </P
1910 ></LI
1911 ><LI
1912 ><P
1913 >Configuration of Samba as:</P
1914 ><P
1915 ></P
1916 ><OL
1917 TYPE="a"
1918 ><LI
1919 ><P
1920 >A stand-alone server</P
1921 ></LI
1922 ><LI
1923 ><P
1924 >An MS Windows NT 3.x/4.0 security domain member
1925                 </P
1926 ></LI
1927 ><LI
1928 ><P
1929 >An alternative to an MS Windows NT 3.x/4.0 Domain Controller
1930                 </P
1931 ></LI
1932 ></OL
1933 ></LI
1934 ></OL
1935 ></DIV
1936 ><DIV
1937 CLASS="SECT1"
1938 ><HR><H1
1939 CLASS="SECT1"
1940 ><A
1941 NAME="AEN248"
1942 >2.2. Name Resolution in a pure Unix/Linux world</A
1943 ></H1
1944 ><P
1945 >The key configuration files covered in this section are:</P
1946 ><P
1947 ></P
1948 ><UL
1949 ><LI
1950 ><P
1951 ><TT
1952 CLASS="FILENAME"
1953 >/etc/hosts</TT
1954 ></P
1955 ></LI
1956 ><LI
1957 ><P
1958 ><TT
1959 CLASS="FILENAME"
1960 >/etc/resolv.conf</TT
1961 ></P
1962 ></LI
1963 ><LI
1964 ><P
1965 ><TT
1966 CLASS="FILENAME"
1967 >/etc/host.conf</TT
1968 ></P
1969 ></LI
1970 ><LI
1971 ><P
1972 ><TT
1973 CLASS="FILENAME"
1974 >/etc/nsswitch.conf</TT
1975 ></P
1976 ></LI
1977 ></UL
1978 ><DIV
1979 CLASS="SECT2"
1980 ><HR><H2
1981 CLASS="SECT2"
1982 ><A
1983 NAME="AEN264"
1984 >2.2.1. <TT
1985 CLASS="FILENAME"
1986 >/etc/hosts</TT
1987 ></A
1988 ></H2
1989 ><P
1990 >Contains a static list of IP Addresses and names.
1991 eg:</P
1992 ><P
1993 ><TABLE
1994 BORDER="0"
1995 BGCOLOR="#E0E0E0"
1996 WIDTH="100%"
1997 ><TR
1998 ><TD
1999 ><PRE
2000 CLASS="PROGRAMLISTING"
2001 >       127.0.0.1       localhost localhost.localdomain
2002         192.168.1.1     bigbox.caldera.com      bigbox  alias4box</PRE
2003 ></TD
2004 ></TR
2005 ></TABLE
2006 ></P
2007 ><P
2008 >The purpose of <TT
2009 CLASS="FILENAME"
2010 >/etc/hosts</TT
2011 > is to provide a 
2012 name resolution mechanism so that uses do not need to remember 
2013 IP addresses.</P
2014 ><P
2015 >Network packets that are sent over the physical network transport 
2016 layer communicate not via IP addresses but rather using the Media 
2017 Access Control address, or MAC address. IP Addresses are currently 
2018 32 bits in length and are typically presented as four (4) decimal 
2019 numbers that are separated by a dot (or period). eg: 168.192.1.1</P
2020 ><P
2021 >MAC Addresses use 48 bits (or 6 bytes) and are typically represented 
2022 as two digit hexadecimal numbers separated by colons. eg: 
2023 40:8e:0a:12:34:56</P
2024 ><P
2025 >Every network interfrace must have an MAC address. Associated with 
2026 a MAC address there may be one or more IP addresses. There is NO 
2027 relationship between an IP address and a MAC address, all such assignments 
2028 are arbitary or discretionary in nature. At the most basic level all 
2029 network communications takes place using MAC addressing. Since MAC 
2030 addresses must be globally unique, and generally remains fixed for 
2031 any particular interface, the assignment of an IP address makes sense 
2032 from a network management perspective. More than one IP address can 
2033 be assigned per MAC address. One address must be the primary IP address, 
2034 this is the address that will be returned in the ARP reply.</P
2035 ><P
2036 >When a user or a process wants to communicate with another machine 
2037 the protocol implementation ensures that the "machine name" or "host 
2038 name" is resolved to an IP address in a manner that is controlled 
2039 by the TCP/IP configuration control files. The file 
2040 <TT
2041 CLASS="FILENAME"
2042 >/etc/hosts</TT
2043 > is one such file.</P
2044 ><P
2045 >When the IP address of the destination interface has been 
2046 determined a protocol called ARP/RARP isused to identify 
2047 the MAC address of the target interface. ARP stands for Address 
2048 Resolution Protocol, and is a broadcast oriented method that 
2049 uses UDP (User Datagram Protocol) to send a request to all 
2050 interfaces on the local network segment using the all 1's MAC 
2051 address. Network interfaces are programmed to respond to two 
2052 MAC addresses only; their own unique address and the address 
2053 ff:ff:ff:ff:ff:ff. The reply packet from an ARP request will 
2054 contain the MAC address and the primary IP address for each 
2055 interface.</P
2056 ><P
2057 >The <TT
2058 CLASS="FILENAME"
2059 >/etc/hosts</TT
2060 > file is foundational to all 
2061 Unix/Linux TCP/IP installations and as a minumum will contain 
2062 the localhost and local network interface IP addresses and the 
2063 primary names by which they are known within the local machine. 
2064 This file helps to prime the pump so that a basic level of name 
2065 resolution can exist before any other method of name resolution 
2066 becomes available.</P
2067 ></DIV
2068 ><DIV
2069 CLASS="SECT2"
2070 ><HR><H2
2071 CLASS="SECT2"
2072 ><A
2073 NAME="AEN280"
2074 >2.2.2. <TT
2075 CLASS="FILENAME"
2076 >/etc/resolv.conf</TT
2077 ></A
2078 ></H2
2079 ><P
2080 >This file tells the name resolution libraries:</P
2081 ><P
2082 ></P
2083 ><UL
2084 ><LI
2085 ><P
2086 >The name of the domain to which the machine 
2087         belongs
2088         </P
2089 ></LI
2090 ><LI
2091 ><P
2092 >The name(s) of any domains that should be 
2093         automatically searched when trying to resolve unqualified 
2094         host names to their IP address
2095         </P
2096 ></LI
2097 ><LI
2098 ><P
2099 >The name or IP address of available Domain 
2100         Name Servers that may be asked to perform name to address 
2101         translation lookups
2102         </P
2103 ></LI
2104 ></UL
2105 ></DIV
2106 ><DIV
2107 CLASS="SECT2"
2108 ><HR><H2
2109 CLASS="SECT2"
2110 ><A
2111 NAME="AEN291"
2112 >2.2.3. <TT
2113 CLASS="FILENAME"
2114 >/etc/host.conf</TT
2115 ></A
2116 ></H2
2117 ><P
2118 ><TT
2119 CLASS="FILENAME"
2120 >/etc/host.conf</TT
2121 > is the primary means by 
2122 which the setting in /etc/resolv.conf may be affected. It is a 
2123 critical configuration file.  This file controls the order by 
2124 which name resolution may procede. The typical structure is:</P
2125 ><P
2126 ><TABLE
2127 BORDER="0"
2128 BGCOLOR="#E0E0E0"
2129 WIDTH="100%"
2130 ><TR
2131 ><TD
2132 ><PRE
2133 CLASS="PROGRAMLISTING"
2134 >       order hosts,bind
2135         multi on</PRE
2136 ></TD
2137 ></TR
2138 ></TABLE
2139 ></P
2140 ><P
2141 >then both addresses should be returned. Please refer to the 
2142 man page for host.conf for further details.</P
2143 ></DIV
2144 ><DIV
2145 CLASS="SECT2"
2146 ><HR><H2
2147 CLASS="SECT2"
2148 ><A
2149 NAME="AEN299"
2150 >2.2.4. <TT
2151 CLASS="FILENAME"
2152 >/etc/nsswitch.conf</TT
2153 ></A
2154 ></H2
2155 ><P
2156 >This file controls the actual name resolution targets. The 
2157 file typically has resolver object specifications as follows:</P
2158 ><P
2159 ><TABLE
2160 BORDER="0"
2161 BGCOLOR="#E0E0E0"
2162 WIDTH="100%"
2163 ><TR
2164 ><TD
2165 ><PRE
2166 CLASS="PROGRAMLISTING"
2167 >       # /etc/nsswitch.conf
2168         #
2169         # Name Service Switch configuration file.
2170         #
2171
2172         passwd:         compat
2173         # Alternative entries for password authentication are:
2174         # passwd:       compat files nis ldap winbind
2175         shadow:         compat
2176         group:          compat
2177
2178         hosts:          files nis dns
2179         # Alternative entries for host name resolution are:
2180         # hosts:        files dns nis nis+ hesoid db compat ldap wins
2181         networks:       nis files dns
2182
2183         ethers:         nis files
2184         protocols:      nis files
2185         rpc:            nis files
2186         services:       nis files</PRE
2187 ></TD
2188 ></TR
2189 ></TABLE
2190 ></P
2191 ><P
2192 >Of course, each of these mechanisms requires that the appropriate 
2193 facilities and/or services are correctly configured.</P
2194 ><P
2195 >It should be noted that unless a network request/message must be 
2196 sent, TCP/IP networks are silent. All TCP/IP communications assumes a 
2197 principal of speaking only when necessary.</P
2198 ><P
2199 >Samba version 2.2.0 will add Linux support for extensions to 
2200 the name service switch infrastructure so that linux clients will 
2201 be able to obtain resolution of MS Windows NetBIOS names to IP 
2202 Addresses. To gain this functionality Samba needs to be compiled 
2203 with appropriate arguments to the make command (ie: <B
2204 CLASS="COMMAND"
2205 >make 
2206 nsswitch/libnss_wins.so</B
2207 >). The resulting library should 
2208 then be installed in the <TT
2209 CLASS="FILENAME"
2210 >/lib</TT
2211 > directory and 
2212 the "wins" parameter needs to be added to the "hosts:" line in 
2213 the <TT
2214 CLASS="FILENAME"
2215 >/etc/nsswitch.conf</TT
2216 > file. At this point it 
2217 will be possible to ping any MS Windows machine by it's NetBIOS 
2218 machine name, so long as that machine is within the workgroup to 
2219 which both the samba machine and the MS Windows machine belong.</P
2220 ></DIV
2221 ></DIV
2222 ><DIV
2223 CLASS="SECT1"
2224 ><HR><H1
2225 CLASS="SECT1"
2226 ><A
2227 NAME="AEN311"
2228 >2.3. Name resolution as used within MS Windows networking</A
2229 ></H1
2230 ><P
2231 >MS Windows networking is predicated about the name each machine 
2232 is given. This name is known variously (and inconsistently) as 
2233 the "computer name", "machine name", "networking name", "netbios name", 
2234 "SMB name". All terms mean the same thing with the exception of 
2235 "netbios name" which can apply also to the name of the workgroup or the 
2236 domain name. The terms "workgroup" and "domain" are really just a 
2237 simply name with which the machine is associated. All NetBIOS names 
2238 are exactly 16 characters in length. The 16th character is reserved. 
2239 It is used to store a one byte value that indicates service level 
2240 information for the NetBIOS name that is registered. A NetBIOS machine 
2241 name is therefore registered for each service type that is provided by 
2242 the client/server.</P
2243 ><P
2244 >The following are typical NetBIOS name/service type registrations:</P
2245 ><P
2246 ><TABLE
2247 BORDER="0"
2248 BGCOLOR="#E0E0E0"
2249 WIDTH="100%"
2250 ><TR
2251 ><TD
2252 ><PRE
2253 CLASS="PROGRAMLISTING"
2254 >       Unique NetBIOS Names:
2255                 MACHINENAME&#60;00&#62; = Server Service is running on MACHINENAME
2256                 MACHINENAME&#60;03&#62; = Generic Machine Name (NetBIOS name)
2257                 MACHINENAME&#60;20&#62; = LanMan Server service is running on MACHINENAME
2258                 WORKGROUP&#60;1b&#62; = Domain Master Browser
2259
2260         Group Names:
2261                 WORKGROUP&#60;03&#62; = Generic Name registered by all members of WORKGROUP
2262                 WORKGROUP&#60;1c&#62; = Domain Controllers / Netlogon Servers
2263                 WORKGROUP&#60;1d&#62; = Local Master Browsers
2264                 WORKGROUP&#60;1e&#62; = Internet Name Resolvers</PRE
2265 ></TD
2266 ></TR
2267 ></TABLE
2268 ></P
2269 ><P
2270 >It should be noted that all NetBIOS machines register their own 
2271 names as per the above. This is in vast contrast to TCP/IP 
2272 installations where traditionally the system administrator will 
2273 determine in the /etc/hosts or in the DNS database what names 
2274 are associated with each IP address.</P
2275 ><P
2276 >One further point of clarification should be noted, the <TT
2277 CLASS="FILENAME"
2278 >/etc/hosts</TT
2279
2280 file and the DNS records do not provide the NetBIOS name type information 
2281 that MS Windows clients depend on to locate the type of service that may 
2282 be needed. An example of this is what happens when an MS Windows client 
2283 wants to locate a domain logon server. It find this service and the IP 
2284 address of a server that provides it by performing a lookup (via a 
2285 NetBIOS broadcast) for enumeration of all machines that have 
2286 registered the name type *&#60;1c&#62;. A logon request is then sent to each 
2287 IP address that is returned in the enumerated list of IP addresses. Which 
2288 ever machine first replies then ends up providing the logon services.</P
2289 ><P
2290 >The name "workgroup" or "domain" really can be confusing since these 
2291 have the added significance of indicating what is the security 
2292 architecture of the MS Windows network. The term "workgroup" indicates 
2293 that the primary nature of the network environment is that of a 
2294 peer-to-peer design. In a WORKGROUP all machines are responsible for 
2295 their own security, and generally such security is limited to use of 
2296 just a password (known as SHARE MORE security). In most situations 
2297 with peer-to-peer networking the users who control their own machines 
2298 will simply opt to have no security at all. It is possible to have 
2299 USER MODE security in a WORKGROUP environment, thus requiring use 
2300 of a user name and a matching password.</P
2301 ><P
2302 >MS Windows networking is thus predetermined to use machine names 
2303 for all local and remote machine message passing. The protocol used is 
2304 called Server Message Block (SMB) and this is implemented using 
2305 the NetBIOS protocol (Network Basic Input Output System). NetBIOS can 
2306 be encapsulated using LLC (Logical Link Control) protocol - in which case 
2307 the resulting protocol is called NetBEUI (Network Basic Extended User 
2308 Interface). NetBIOS can also be run over IPX (Internetworking Packet 
2309 Exchange) protocol as used by Novell NetWare, and it can be run 
2310 over TCP/IP protocols - in which case the resulting protocol is called 
2311 NBT or NetBT, the NetBIOS over TCP/IP.</P
2312 ><P
2313 >MS Windows machines use a complex array of name resolution mechanisms. 
2314 Since we are primarily concerned with TCP/IP this demonstration is 
2315 limited to this area.</P
2316 ><DIV
2317 CLASS="SECT2"
2318 ><HR><H2
2319 CLASS="SECT2"
2320 ><A
2321 NAME="AEN323"
2322 >2.3.1. The NetBIOS Name Cache</A
2323 ></H2
2324 ><P
2325 >All MS Windows machines employ an in memory buffer in which is 
2326 stored the NetBIOS names and their IP addresses for all external 
2327 machines that that the local machine has communicated with over the 
2328 past 10-15 minutes. It is more efficient to obtain an IP address 
2329 for a machine from the local cache than it is to go through all the 
2330 configured name resolution mechanisms.</P
2331 ><P
2332 >If a machine whose name is in the local name cache has been shut 
2333 down before the name had been expired and flushed from the cache, then 
2334 an attempt to exchange a message with that machine will be subject 
2335 to time-out delays. ie: It's name is in the cache, so a name resolution 
2336 lookup will succeed, but the machine can not respond. This can be 
2337 frustrating for users - but it is a characteristic of the protocol.</P
2338 ><P
2339 >The MS Windows utility that allows examination of the NetBIOS 
2340 name cache is called "nbtstat". The Samba equivalent of this 
2341 is called "nmblookup".</P
2342 ></DIV
2343 ><DIV
2344 CLASS="SECT2"
2345 ><HR><H2
2346 CLASS="SECT2"
2347 ><A
2348 NAME="AEN328"
2349 >2.3.2. The LMHOSTS file</A
2350 ></H2
2351 ><P
2352 >This file is usually located in MS Windows NT 4.0 or 
2353 2000 in <TT
2354 CLASS="FILENAME"
2355 >C:\WINNT\SYSTEM32\DRIVERS\ETC</TT
2356 > and contains 
2357 the IP Address and the machine name in matched pairs. The 
2358 <TT
2359 CLASS="FILENAME"
2360 >LMHOSTS</TT
2361 > file performs NetBIOS name 
2362 to IP address mapping oriented.</P
2363 ><P
2364 >It typically looks like:</P
2365 ><P
2366 ><TABLE
2367 BORDER="0"
2368 BGCOLOR="#E0E0E0"
2369 WIDTH="100%"
2370 ><TR
2371 ><TD
2372 ><PRE
2373 CLASS="PROGRAMLISTING"
2374 >       # Copyright (c) 1998 Microsoft Corp.
2375         #
2376         # This is a sample LMHOSTS file used by the Microsoft Wins Client (NetBIOS
2377         # over TCP/IP) stack for Windows98
2378         #
2379         # This file contains the mappings of IP addresses to NT computernames
2380         # (NetBIOS) names.  Each entry should be kept on an individual line.
2381         # The IP address should be placed in the first column followed by the
2382         # corresponding computername. The address and the comptername
2383         # should be separated by at least one space or tab. The "#" character
2384         # is generally used to denote the start of a comment (see the exceptions
2385         # below).
2386         #
2387         # This file is compatible with Microsoft LAN Manager 2.x TCP/IP lmhosts
2388         # files and offers the following extensions:
2389         #
2390         #      #PRE
2391         #      #DOM:&#60;domain&#62;
2392         #      #INCLUDE &#60;filename&#62;
2393         #      #BEGIN_ALTERNATE
2394         #      #END_ALTERNATE
2395         #      \0xnn (non-printing character support)
2396         #
2397         # Following any entry in the file with the characters "#PRE" will cause
2398         # the entry to be preloaded into the name cache. By default, entries are
2399         # not preloaded, but are parsed only after dynamic name resolution fails.
2400         #
2401         # Following an entry with the "#DOM:&#60;domain&#62;" tag will associate the
2402         # entry with the domain specified by &#60;domain&#62;. This affects how the
2403         # browser and logon services behave in TCP/IP environments. To preload
2404         # the host name associated with #DOM entry, it is necessary to also add a
2405         # #PRE to the line. The &#60;domain&#62; is always preloaded although it will not
2406         # be shown when the name cache is viewed.
2407         #
2408         # Specifying "#INCLUDE &#60;filename&#62;" will force the RFC NetBIOS (NBT)
2409         # software to seek the specified &#60;filename&#62; and parse it as if it were
2410         # local. &#60;filename&#62; is generally a UNC-based name, allowing a
2411         # centralized lmhosts file to be maintained on a server.
2412         # It is ALWAYS necessary to provide a mapping for the IP address of the
2413         # server prior to the #INCLUDE. This mapping must use the #PRE directive.
2414         # In addtion the share "public" in the example below must be in the
2415         # LanManServer list of "NullSessionShares" in order for client machines to
2416         # be able to read the lmhosts file successfully. This key is under
2417         # \machine\system\currentcontrolset\services\lanmanserver\parameters\nullsessionshares
2418         # in the registry. Simply add "public" to the list found there.
2419         #
2420         # The #BEGIN_ and #END_ALTERNATE keywords allow multiple #INCLUDE
2421         # statements to be grouped together. Any single successful include
2422         # will cause the group to succeed.
2423         #
2424         # Finally, non-printing characters can be embedded in mappings by
2425         # first surrounding the NetBIOS name in quotations, then using the
2426         # \0xnn notation to specify a hex value for a non-printing character.
2427         #
2428         # The following example illustrates all of these extensions:
2429         #
2430         # 102.54.94.97     rhino         #PRE #DOM:networking  #net group's DC
2431         # 102.54.94.102    "appname  \0x14"                    #special app server
2432         # 102.54.94.123    popular            #PRE             #source server
2433         # 102.54.94.117    localsrv           #PRE             #needed for the include
2434         #
2435         # #BEGIN_ALTERNATE
2436         # #INCLUDE \\localsrv\public\lmhosts
2437         # #INCLUDE \\rhino\public\lmhosts
2438         # #END_ALTERNATE
2439         #
2440         # In the above example, the "appname" server contains a special
2441         # character in its name, the "popular" and "localsrv" server names are
2442         # preloaded, and the "rhino" server name is specified so it can be used
2443         # to later #INCLUDE a centrally maintained lmhosts file if the "localsrv"
2444         # system is unavailable.
2445         #
2446         # Note that the whole file is parsed including comments on each lookup,
2447         # so keeping the number of comments to a minimum will improve performance.
2448         # Therefore it is not advisable to simply add lmhosts file entries onto the
2449         # end of this file.</PRE
2450 ></TD
2451 ></TR
2452 ></TABLE
2453 ></P
2454 ></DIV
2455 ><DIV
2456 CLASS="SECT2"
2457 ><HR><H2
2458 CLASS="SECT2"
2459 ><A
2460 NAME="AEN336"
2461 >2.3.3. HOSTS file</A
2462 ></H2
2463 ><P
2464 >This file is usually located in MS Windows NT 4.0 or 2000 in 
2465 <TT
2466 CLASS="FILENAME"
2467 >C:\WINNT\SYSTEM32\DRIVERS\ETC</TT
2468 > and contains 
2469 the IP Address and the IP hostname in matched pairs. It can be 
2470 used by the name resolution infrastructure in MS Windows, depending 
2471 on how the TCP/IP environment is configured. This file is in 
2472 every way the equivalent of the Unix/Linux <TT
2473 CLASS="FILENAME"
2474 >/etc/hosts</TT
2475 > file.</P
2476 ></DIV
2477 ><DIV
2478 CLASS="SECT2"
2479 ><HR><H2
2480 CLASS="SECT2"
2481 ><A
2482 NAME="AEN341"
2483 >2.3.4. DNS Lookup</A
2484 ></H2
2485 ><P
2486 >This capability is configured in the TCP/IP setup area in the network 
2487 configuration facility. If enabled an elaborate name resolution sequence 
2488 is followed the precise nature of which isdependant on what the NetBIOS 
2489 Node Type parameter is configured to. A Node Type of 0 means use 
2490 NetBIOS broadcast (over UDP broadcast) is first used if the name 
2491 that is the subject of a name lookup is not found in the NetBIOS name 
2492 cache. If that fails then DNS, HOSTS and LMHOSTS are checked. If set to 
2493 Node Type 8, then a NetBIOS Unicast (over UDP Unicast) is sent to the 
2494 WINS Server to obtain a lookup before DNS, HOSTS, LMHOSTS, or broadcast 
2495 lookup is used.</P
2496 ></DIV
2497 ><DIV
2498 CLASS="SECT2"
2499 ><HR><H2
2500 CLASS="SECT2"
2501 ><A
2502 NAME="AEN344"
2503 >2.3.5. WINS Lookup</A
2504 ></H2
2505 ><P
2506 >A WINS (Windows Internet Name Server) service is the equivaent of the 
2507 rfc1001/1002 specified NBNS (NetBIOS Name Server). A WINS server stores 
2508 the names and IP addresses that are registered by a Windows client 
2509 if the TCP/IP setup has been given at least one WINS Server IP Address.</P
2510 ><P
2511 >To configure Samba to be a WINS server the following parameter needs 
2512 to be added to the <TT
2513 CLASS="FILENAME"
2514 >smb.conf</TT
2515 > file:</P
2516 ><P
2517 ><TABLE
2518 BORDER="0"
2519 BGCOLOR="#E0E0E0"
2520 WIDTH="100%"
2521 ><TR
2522 ><TD
2523 ><PRE
2524 CLASS="PROGRAMLISTING"
2525 >       wins support = Yes</PRE
2526 ></TD
2527 ></TR
2528 ></TABLE
2529 ></P
2530 ><P
2531 >To configure Samba to use a WINS server the following parameters are 
2532 needed in the smb.conf file:</P
2533 ><P
2534 ><TABLE
2535 BORDER="0"
2536 BGCOLOR="#E0E0E0"
2537 WIDTH="100%"
2538 ><TR
2539 ><TD
2540 ><PRE
2541 CLASS="PROGRAMLISTING"
2542 >       wins support = No
2543         wins server = xxx.xxx.xxx.xxx</PRE
2544 ></TD
2545 ></TR
2546 ></TABLE
2547 ></P
2548 ><P
2549 >where <TT
2550 CLASS="REPLACEABLE"
2551 ><I
2552 >xxx.xxx.xxx.xxx</I
2553 ></TT
2554 > is the IP address 
2555 of the WINS server.</P
2556 ></DIV
2557 ></DIV
2558 ><DIV
2559 CLASS="SECT1"
2560 ><HR><H1
2561 CLASS="SECT1"
2562 ><A
2563 NAME="AEN356"
2564 >2.4. How browsing functions and how to deploy stable and 
2565 dependable browsing using Samba</A
2566 ></H1
2567 ><P
2568 >As stated above, MS Windows machines register their NetBIOS names 
2569 (ie: the machine name for each service type in operation) on start 
2570 up. Also, as stated above, the exact method by which this name registration 
2571 takes place is determined by whether or not the MS Windows client/server 
2572 has been given a WINS server address, whether or not LMHOSTS lookup 
2573 is enabled, or if DNS for NetBIOS name resolution is enabled, etc.</P
2574 ><P
2575 >In the case where there is no WINS server all name registrations as 
2576 well as name lookups are done by UDP broadcast. This isolates name 
2577 resolution to the local subnet, unless LMHOSTS is used to list all 
2578 names and IP addresses. In such situations Samba provides a means by 
2579 which the samba server name may be forcibly injected into the browse 
2580 list of a remote MS Windows network (using the "remote announce" parameter).</P
2581 ><P
2582 >Where a WINS server is used, the MS Windows client will use UDP 
2583 unicast to register with the WINS server. Such packets can be routed 
2584 and thus WINS allows name resolution to function across routed networks.</P
2585 ><P
2586 >During the startup process an election will take place to create a 
2587 local master browser if one does not already exist. On each NetBIOS network 
2588 one machine will be elected to function as the domain master browser. This 
2589 domain browsing has nothing to do with MS security domain control. 
2590 Instead, the domain master browser serves the role of contacting each local 
2591 master browser (found by asking WINS or from LMHOSTS) and exchanging browse 
2592 list contents. This way every master browser will eventually obtain a complete 
2593 list of all machines that are on the network. Every 11-15 minutes an election 
2594 is held to determine which machine will be the master browser. By nature of 
2595 the election criteria used, the machine with the highest uptime, or the 
2596 most senior protocol version, or other criteria, will win the election 
2597 as domain master browser.</P
2598 ><P
2599 >Clients wishing to browse the network make use of this list, but also depend 
2600 on the availability of correct name resolution to the respective IP 
2601 address/addresses. </P
2602 ><P
2603 >Any configuration that breaks name resolution and/or browsing intrinsics 
2604 will annoy users because they will have to put up with protracted 
2605 inability to use the network services.</P
2606 ><P
2607 >Samba supports a feature that allows forced synchonisation 
2608 of browse lists across routed networks using the "remote 
2609 browse sync" parameter in the smb.conf file. This causes Samba 
2610 to contact the local master browser on a remote network and 
2611 to request browse list synchronisation. This effectively bridges 
2612 two networks that are separated by routers. The two remote 
2613 networks may use either broadcast based name resolution or WINS 
2614 based name resolution, but it should be noted that the "remote 
2615 browse sync" parameter provides browse list synchronisation - and 
2616 that is distinct from name to address resolution, in other 
2617 words, for cross subnet browsing to function correctly it is 
2618 essential that a name to address resolution mechanism be provided. 
2619 This mechanism could be via DNS, <TT
2620 CLASS="FILENAME"
2621 >/etc/hosts</TT
2622 >, 
2623 and so on.</P
2624 ></DIV
2625 ><DIV
2626 CLASS="SECT1"
2627 ><HR><H1
2628 CLASS="SECT1"
2629 ><A
2630 NAME="AEN366"
2631 >2.5. MS Windows security options and how to configure 
2632 Samba for seemless integration</A
2633 ></H1
2634 ><P
2635 >MS Windows clients may use encrypted passwords as part of a 
2636 challenege/response authentication model (a.k.a. NTLMv1) or 
2637 alone, or clear text strings for simple password based 
2638 authentication. It should be realized that with the SMB 
2639 protocol the password is passed over the network either 
2640 in plain text or encrypted, but not both in the same 
2641 authentication requets.</P
2642 ><P
2643 >When encrypted passwords are used a password that has been 
2644 entered by the user is encrypted in two ways:</P
2645 ><P
2646 ></P
2647 ><UL
2648 ><LI
2649 ><P
2650 >An MD4 hash of the UNICODE of the password
2651         string.  This is known as the NT hash.
2652         </P
2653 ></LI
2654 ><LI
2655 ><P
2656 >The password is converted to upper case,
2657         and then padded or trucated to 14 bytes.  This string is 
2658         then appended with 5 bytes of NULL characters and split to
2659         form two 56 bit DES keys to encrypt a "magic" 8 byte value.
2660         The resulting 16 bytes for the LanMan hash.
2661         </P
2662 ></LI
2663 ></UL
2664 ><P
2665 >You should refer to the <A
2666 HREF="ENCRYPTION.html"
2667 TARGET="_top"
2668 >Password Encryption</A
2669 > chapter in this HOWTO collection
2670 for more details on the inner workings</P
2671 ><P
2672 >MS Windows 95 pre-service pack 1, MS Windows NT versions 3.x 
2673 and version 4.0 pre-service pack 3 will use either mode of 
2674 password authentication. All versions of MS Windows that follow 
2675 these versions no longer support plain text passwords by default.</P
2676 ><P
2677 >MS Windows clients have a habit of dropping network mappings that 
2678 have been idle for 10 minutes or longer. When the user attempts to 
2679 use the mapped drive connection that has been dropped the SMB protocol 
2680 has a mechanism by which the connection can be re-established using 
2681 a cached copy of the password.</P
2682 ><P
2683 >When Microsoft changed the default password mode, they dropped support for 
2684 caching of the plain text password. This means that when the registry 
2685 parameter is changed to re-enable use of plain text passwords it appears to 
2686 work, but when a dropped mapping attempts to revalidate it will fail if 
2687 the remote authentication server does not support encrypted passwords. 
2688 This means that it is definitely not a good idea to re-enable plain text 
2689 password support in such clients.</P
2690 ><P
2691 >The following parameters can be used to work around the 
2692 issue of Windows 9x client upper casing usernames and
2693 password before transmitting them to the SMB server
2694 when using clear text authentication.</P
2695 ><P
2696 ><TABLE
2697 BORDER="0"
2698 BGCOLOR="#E0E0E0"
2699 WIDTH="100%"
2700 ><TR
2701 ><TD
2702 ><PRE
2703 CLASS="PROGRAMLISTING"
2704 >       <A
2705 HREF="smb.conf.5.html#PASSWORDLEVEL"
2706 TARGET="_top"
2707 >passsword level</A
2708 > = <TT
2709 CLASS="REPLACEABLE"
2710 ><I
2711 >integer</I
2712 ></TT
2713 >
2714         <A
2715 HREF="smb.conf.5.html#USERNAMELEVEL"
2716 TARGET="_top"
2717 >username level</A
2718 > = <TT
2719 CLASS="REPLACEABLE"
2720 ><I
2721 >integer</I
2722 ></TT
2723 ></PRE
2724 ></TD
2725 ></TR
2726 ></TABLE
2727 ></P
2728 ><P
2729 >By default Samba will lower case the username before attempting
2730 to lookup the user in the database of local system accounts.
2731 Because UNIX usernames conventionally only contain lower case
2732 character, the <TT
2733 CLASS="PARAMETER"
2734 ><I
2735 >username level</I
2736 ></TT
2737 > parameter
2738 is rarely even needed.</P
2739 ><P
2740 >However, password on UNIX systems often make use of mixed case
2741 characters.  This means that in order for a user on a Windows 9x
2742 client to connect to a Samba server using clear text authentication,
2743 the <TT
2744 CLASS="PARAMETER"
2745 ><I
2746 >password level</I
2747 ></TT
2748 > must be set to the maximum
2749 number of upper case letter which <EM
2750 >could</EM
2751 > appear
2752 is a password.  Note that is the server OS uses the traditional
2753 DES version of crypt(), then a <TT
2754 CLASS="PARAMETER"
2755 ><I
2756 >password level</I
2757 ></TT
2758 >
2759 of 8 will result in case insensitive passwords as seen from Windows
2760 users.  This will also result in longer login times as Samba
2761 hash to compute the permutations of the password string and 
2762 try them one by one until a match is located (or all combinations fail).</P
2763 ><P
2764 >The best option to adopt is to enable support for encrypted passwords 
2765 where ever Samba is used. There are three configuration possibilities 
2766 for support of encrypted passwords:</P
2767 ><DIV
2768 CLASS="SECT2"
2769 ><HR><H2
2770 CLASS="SECT2"
2771 ><A
2772 NAME="AEN394"
2773 >2.5.1. Use MS Windows NT as an authentication server</A
2774 ></H2
2775 ><P
2776 >This method involves the additions of the following parameters 
2777 in the smb.conf file:</P
2778 ><P
2779 ><TABLE
2780 BORDER="0"
2781 BGCOLOR="#E0E0E0"
2782 WIDTH="100%"
2783 ><TR
2784 ><TD
2785 ><PRE
2786 CLASS="PROGRAMLISTING"
2787 >       encrypt passwords = Yes
2788         security = server
2789         password server = "NetBIOS_name_of_PDC"</PRE
2790 ></TD
2791 ></TR
2792 ></TABLE
2793 ></P
2794 ><P
2795 >There are two ways of identifying whether or not a username and 
2796 password pair was valid or not. One uses the reply information provided 
2797 as part of the authentication messaging process, the other uses 
2798 just and error code.</P
2799 ><P
2800 >The down-side of this mode of configuration is the fact that 
2801 for security reasons Samba will send the password server a bogus 
2802 username and a bogus password and if the remote server fails to 
2803 reject the username and password pair then an alternative mode 
2804 of identification of validation is used. Where a site uses password 
2805 lock out after a certain number of failed authentication attempts 
2806 this will result in user lockouts.</P
2807 ><P
2808 >Use of this mode of authentication does require there to be 
2809 a standard Unix account for the user, this account can be blocked 
2810 to prevent logons by other than MS Windows clients.</P
2811 ></DIV
2812 ><DIV
2813 CLASS="SECT2"
2814 ><HR><H2
2815 CLASS="SECT2"
2816 ><A
2817 NAME="AEN402"
2818 >2.5.2. Make Samba a member of an MS Windows NT security domain</A
2819 ></H2
2820 ><P
2821 >This method involves additon of the following paramters in the smb.conf file:</P
2822 ><P
2823 ><TABLE
2824 BORDER="0"
2825 BGCOLOR="#E0E0E0"
2826 WIDTH="100%"
2827 ><TR
2828 ><TD
2829 ><PRE
2830 CLASS="PROGRAMLISTING"
2831 >       encrypt passwords = Yes
2832         security = domain
2833         workgroup = "name of NT domain"
2834         password server = *</PRE
2835 ></TD
2836 ></TR
2837 ></TABLE
2838 ></P
2839 ><P
2840 >The use of the "*" argument to "password server" will cause samba 
2841 to locate the domain controller in a way analogous to the way 
2842 this is done within MS Windows NT.</P
2843 ><P
2844 >In order for this method to work the Samba server needs to join the 
2845 MS Windows NT security domain. This is done as follows:</P
2846 ><P
2847 ></P
2848 ><UL
2849 ><LI
2850 ><P
2851 >On the MS Windows NT domain controller using 
2852         the Server Manager add a machine account for the Samba server.
2853         </P
2854 ></LI
2855 ><LI
2856 ><P
2857 >Next, on the Linux system execute: 
2858         <B
2859 CLASS="COMMAND"
2860 >smbpasswd -r PDC_NAME -j DOMAIN_NAME</B
2861 >
2862         </P
2863 ></LI
2864 ></UL
2865 ><P
2866 >Use of this mode of authentication does require there to be 
2867 a standard Unix account for the user in order to assign
2868 a uid once the account has been authenticated by the remote
2869 Windows DC.  This account can be blocked to prevent logons by 
2870 other than MS Windows clients by things such as setting an invalid
2871 shell in the <TT
2872 CLASS="FILENAME"
2873 >/etc/passwd</TT
2874 > entry.</P
2875 ><P
2876 >An alternative to assigning UIDs to Windows users on a 
2877 Samba member server is presented in the <A
2878 HREF="winbind.html"
2879 TARGET="_top"
2880 >Winbind Overview</A
2881 > chapter in
2882 this HOWTO collection.</P
2883 ></DIV
2884 ><DIV
2885 CLASS="SECT2"
2886 ><HR><H2
2887 CLASS="SECT2"
2888 ><A
2889 NAME="AEN419"
2890 >2.5.3. Configure Samba as an authentication server</A
2891 ></H2
2892 ><P
2893 >This mode of authentication demands that there be on the 
2894 Unix/Linux system both a Unix style account as well as and 
2895 smbpasswd entry for the user. The Unix system account can be 
2896 locked if required as only the encrypted password will be 
2897 used for SMB client authentication.</P
2898 ><P
2899 >This method involves addition of the following parameters to 
2900 the smb.conf file:</P
2901 ><P
2902 ><TABLE
2903 BORDER="0"
2904 BGCOLOR="#E0E0E0"
2905 WIDTH="100%"
2906 ><TR
2907 ><TD
2908 ><PRE
2909 CLASS="PROGRAMLISTING"
2910 >## please refer to the Samba PDC HOWTO chapter later in 
2911 ## this collection for more details
2912 [global]
2913         encrypt passwords = Yes
2914         security = user
2915         domain logons = Yes
2916         ; an OS level of 33 or more is recommended
2917         os level = 33
2918
2919 [NETLOGON]
2920         path = /somewhare/in/file/system
2921         read only = yes</PRE
2922 ></TD
2923 ></TR
2924 ></TABLE
2925 ></P
2926 ><P
2927 >in order for this method to work a Unix system account needs 
2928 to be created for each user, as well as for each MS Windows NT/2000 
2929 machine. The following structure is required.</P
2930 ><DIV
2931 CLASS="SECT3"
2932 ><HR><H3
2933 CLASS="SECT3"
2934 ><A
2935 NAME="AEN426"
2936 >2.5.3.1. Users</A
2937 ></H3
2938 ><P
2939 >A user account that may provide a home directory should be 
2940 created. The following Linux system commands are typical of 
2941 the procedure for creating an account.</P
2942 ><P
2943 ><TABLE
2944 BORDER="0"
2945 BGCOLOR="#E0E0E0"
2946 WIDTH="100%"
2947 ><TR
2948 ><TD
2949 ><PRE
2950 CLASS="PROGRAMLISTING"
2951 >       # useradd -s /bin/bash -d /home/"userid" -m "userid"
2952         # passwd "userid"
2953           Enter Password: &#60;pw&#62;
2954           
2955         # smbpasswd -a "userid"
2956           Enter Password: &#60;pw&#62;</PRE
2957 ></TD
2958 ></TR
2959 ></TABLE
2960 ></P
2961 ></DIV
2962 ><DIV
2963 CLASS="SECT3"
2964 ><HR><H3
2965 CLASS="SECT3"
2966 ><A
2967 NAME="AEN431"
2968 >2.5.3.2. MS Windows NT Machine Accounts</A
2969 ></H3
2970 ><P
2971 >These are required only when Samba is used as a domain 
2972 controller.  Refer to the Samba-PDC-HOWTO for more details.</P
2973 ><P
2974 ><TABLE
2975 BORDER="0"
2976 BGCOLOR="#E0E0E0"
2977 WIDTH="100%"
2978 ><TR
2979 ><TD
2980 ><PRE
2981 CLASS="PROGRAMLISTING"
2982 >       # useradd -s /bin/false -d /dev/null "machine_name"\$
2983         # passwd -l "machine_name"\$
2984         # smbpasswd -a -m "machine_name"</PRE
2985 ></TD
2986 ></TR
2987 ></TABLE
2988 ></P
2989 ></DIV
2990 ></DIV
2991 ></DIV
2992 ><DIV
2993 CLASS="SECT1"
2994 ><HR><H1
2995 CLASS="SECT1"
2996 ><A
2997 NAME="AEN436"
2998 >2.6. Conclusions</A
2999 ></H1
3000 ><P
3001 >Samba provides a flexible means to operate as...</P
3002 ><P
3003 ></P
3004 ><UL
3005 ><LI
3006 ><P
3007 >A Stand-alone server - No special action is needed 
3008         other than to create user accounts. Stand-alone servers do NOT 
3009         provide network logon services, meaning that machines that use this 
3010         server do NOT perform a domain logon but instead make use only of 
3011         the MS Windows logon which is local to the MS Windows 
3012         workstation/server.
3013         </P
3014 ></LI
3015 ><LI
3016 ><P
3017 >An MS Windows NT 3.x/4.0 security domain member.
3018         </P
3019 ></LI
3020 ><LI
3021 ><P
3022 >An alternative to an MS Windows NT 3.x/4.0 
3023         Domain Controller.
3024         </P
3025 ></LI
3026 ></UL
3027 ></DIV
3028 ></DIV
3029 ><DIV
3030 CLASS="CHAPTER"
3031 ><HR><H1
3032 ><A
3033 NAME="PAM"
3034 >Chapter 3. Configuring PAM for distributed but centrally 
3035 managed authentication</A
3036 ></H1
3037 ><DIV
3038 CLASS="SECT1"
3039 ><H1
3040 CLASS="SECT1"
3041 ><A
3042 NAME="AEN457"
3043 >3.1. Samba and PAM</A
3044 ></H1
3045 ><P
3046 >A number of Unix systems (eg: Sun Solaris), as well as the 
3047 xxxxBSD family and Linux, now utilize the Pluggable Authentication 
3048 Modules (PAM) facility to provide all authentication, 
3049 authorization and resource control services. Prior to the 
3050 introduction of PAM, a decision to use an alternative to 
3051 the system password database (<TT
3052 CLASS="FILENAME"
3053 >/etc/passwd</TT
3054 >) 
3055 would require the provision of alternatives for all programs that provide 
3056 security services. Such a choice would involve provision of 
3057 alternatives to such programs as: <B
3058 CLASS="COMMAND"
3059 >login</B
3060 >, 
3061 <B
3062 CLASS="COMMAND"
3063 >passwd</B
3064 >, <B
3065 CLASS="COMMAND"
3066 >chown</B
3067 >, etc.</P
3068 ><P
3069 >PAM provides a mechanism that disconnects these security programs 
3070 from the underlying authentication/authorization infrastructure.
3071 PAM is configured either through one file <TT
3072 CLASS="FILENAME"
3073 >/etc/pam.conf</TT
3074 > (Solaris), 
3075 or by editing individual files that are located in <TT
3076 CLASS="FILENAME"
3077 >/etc/pam.d</TT
3078 >.</P
3079 ><P
3080 >The following is an example <TT
3081 CLASS="FILENAME"
3082 >/etc/pam.d/login</TT
3083 > configuration file. 
3084 This example had all options been uncommented is probably not usable 
3085 as it stacks many conditions before allowing successful completion 
3086 of the login process. Essentially all conditions can be disabled 
3087 by commenting them out except the calls to <TT
3088 CLASS="FILENAME"
3089 >pam_pwdb.so</TT
3090 >.</P
3091 ><P
3092 ><TABLE
3093 BORDER="0"
3094 BGCOLOR="#E0E0E0"
3095 WIDTH="100%"
3096 ><TR
3097 ><TD
3098 ><PRE
3099 CLASS="PROGRAMLISTING"
3100 >#%PAM-1.0
3101 # The PAM configuration file for the `login' service
3102 #
3103 auth            required        pam_securetty.so
3104 auth            required        pam_nologin.so
3105 # auth          required        pam_dialup.so
3106 # auth          optional        pam_mail.so
3107 auth            required        pam_pwdb.so shadow md5
3108 # account       requisite       pam_time.so
3109 account         required        pam_pwdb.so
3110 session         required        pam_pwdb.so
3111 # session       optional        pam_lastlog.so
3112 # password      required        pam_cracklib.so retry=3
3113 password        required        pam_pwdb.so shadow md5</PRE
3114 ></TD
3115 ></TR
3116 ></TABLE
3117 ></P
3118 ><P
3119 >PAM allows use of replacable modules. Those available on a 
3120 sample system include:</P
3121 ><P
3122 ><TABLE
3123 BORDER="0"
3124 BGCOLOR="#E0E0E0"
3125 WIDTH="100%"
3126 ><TR
3127 ><TD
3128 ><PRE
3129 CLASS="PROGRAMLISTING"
3130 >$ /bin/ls /lib/security
3131 pam_access.so    pam_ftp.so          pam_limits.so     
3132 pam_ncp_auth.so  pam_rhosts_auth.so  pam_stress.so     
3133 pam_cracklib.so  pam_group.so        pam_listfile.so   
3134 pam_nologin.so   pam_rootok.so       pam_tally.so      
3135 pam_deny.so      pam_issue.so        pam_mail.so       
3136 pam_permit.so    pam_securetty.so    pam_time.so       
3137 pam_dialup.so    pam_lastlog.so      pam_mkhomedir.so  
3138 pam_pwdb.so      pam_shells.so       pam_unix.so       
3139 pam_env.so       pam_ldap.so         pam_motd.so       
3140 pam_radius.so    pam_smbpass.so      pam_unix_acct.so  
3141 pam_wheel.so     pam_unix_auth.so    pam_unix_passwd.so
3142 pam_userdb.so    pam_warn.so         pam_unix_session.so</PRE
3143 ></TD
3144 ></TR
3145 ></TABLE
3146 ></P
3147 ><P
3148 >The following example for the login program replaces the use of 
3149 the <TT
3150 CLASS="FILENAME"
3151 >pam_pwdb.so</TT
3152 > module which uses the system 
3153 password database (<TT
3154 CLASS="FILENAME"
3155 >/etc/passwd</TT
3156 >,
3157 <TT
3158 CLASS="FILENAME"
3159 >/etc/shadow</TT
3160 >, <TT
3161 CLASS="FILENAME"
3162 >/etc/group</TT
3163 >) with 
3164 the module <TT
3165 CLASS="FILENAME"
3166 >pam_smbpass.so</TT
3167 > which uses the Samba 
3168 database which contains the Microsoft MD4 encrypted password 
3169 hashes. This database is stored in either 
3170 <TT
3171 CLASS="FILENAME"
3172 >/usr/local/samba/private/smbpasswd</TT
3173 >, 
3174 <TT
3175 CLASS="FILENAME"
3176 >/etc/samba/smbpasswd</TT
3177 >, or in 
3178 <TT
3179 CLASS="FILENAME"
3180 >/etc/samba.d/smbpasswd</TT
3181 >, depending on the 
3182 Samba implementation for your Unix/Linux system. The 
3183 <TT
3184 CLASS="FILENAME"
3185 >pam_smbpass.so</TT
3186 > module is provided by 
3187 Samba version 2.2.1 or later. It can be compiled by specifying the 
3188 <B
3189 CLASS="COMMAND"
3190 >--with-pam_smbpass</B
3191 > options when running Samba's
3192 <TT
3193 CLASS="FILENAME"
3194 >configure</TT
3195 > script.  For more information
3196 on the <TT
3197 CLASS="FILENAME"
3198 >pam_smbpass</TT
3199 > module, see the documentation
3200 in the <TT
3201 CLASS="FILENAME"
3202 >source/pam_smbpass</TT
3203 > directory of the Samba 
3204 source distribution.</P
3205 ><P
3206 ><TABLE
3207 BORDER="0"
3208 BGCOLOR="#E0E0E0"
3209 WIDTH="100%"
3210 ><TR
3211 ><TD
3212 ><PRE
3213 CLASS="PROGRAMLISTING"
3214 >#%PAM-1.0
3215 # The PAM configuration file for the `login' service
3216 #
3217 auth            required        pam_smbpass.so nodelay
3218 account         required        pam_smbpass.so nodelay
3219 session         required        pam_smbpass.so nodelay
3220 password        required        pam_smbpass.so nodelay</PRE
3221 ></TD
3222 ></TR
3223 ></TABLE
3224 ></P
3225 ><P
3226 >The following is the PAM configuration file for a particular 
3227 Linux system. The default condition uses <TT
3228 CLASS="FILENAME"
3229 >pam_pwdb.so</TT
3230 >.</P
3231 ><P
3232 ><TABLE
3233 BORDER="0"
3234 BGCOLOR="#E0E0E0"
3235 WIDTH="100%"
3236 ><TR
3237 ><TD
3238 ><PRE
3239 CLASS="PROGRAMLISTING"
3240 >#%PAM-1.0
3241 # The PAM configuration file for the `samba' service
3242 #
3243 auth       required     /lib/security/pam_pwdb.so nullok nodelay shadow audit
3244 account    required     /lib/security/pam_pwdb.so audit nodelay
3245 session    required     /lib/security/pam_pwdb.so nodelay
3246 password   required     /lib/security/pam_pwdb.so shadow md5</PRE
3247 ></TD
3248 ></TR
3249 ></TABLE
3250 ></P
3251 ><P
3252 >In the following example the decision has been made to use the 
3253 smbpasswd database even for basic samba authentication. Such a 
3254 decision could also be made for the passwd program and would 
3255 thus allow the smbpasswd passwords to be changed using the passwd 
3256 program.</P
3257 ><P
3258 ><TABLE
3259 BORDER="0"
3260 BGCOLOR="#E0E0E0"
3261 WIDTH="100%"
3262 ><TR
3263 ><TD
3264 ><PRE
3265 CLASS="PROGRAMLISTING"
3266 >#%PAM-1.0
3267 # The PAM configuration file for the `samba' service
3268 #
3269 auth       required     /lib/security/pam_smbpass.so nodelay
3270 account    required     /lib/security/pam_pwdb.so audit nodelay
3271 session    required     /lib/security/pam_pwdb.so nodelay
3272 password   required     /lib/security/pam_smbpass.so nodelay smbconf=/etc/samba.d/smb.conf</PRE
3273 ></TD
3274 ></TR
3275 ></TABLE
3276 ></P
3277 ><P
3278 >Note: PAM allows stacking of authentication mechanisms. It is 
3279 also possible to pass information obtained within on PAM module through 
3280 to the next module in the PAM stack. Please refer to the documentation for 
3281 your particular system implementation for details regarding the specific 
3282 capabilities of PAM in this environment. Some Linux implmentations also 
3283 provide the <TT
3284 CLASS="FILENAME"
3285 >pam_stack.so</TT
3286 > module that allows all 
3287 authentication to be configured in a single central file. The 
3288 <TT
3289 CLASS="FILENAME"
3290 >pam_stack.so</TT
3291 > method has some very devoted followers 
3292 on the basis that it allows for easier administration. As with all issues in 
3293 life though, every decision makes trade-offs, so you may want examine the 
3294 PAM documentation for further helpful information.</P
3295 ></DIV
3296 ><DIV
3297 CLASS="SECT1"
3298 ><HR><H1
3299 CLASS="SECT1"
3300 ><A
3301 NAME="AEN501"
3302 >3.2. Distributed Authentication</A
3303 ></H1
3304 ><P
3305 >The astute administrator will realize from this that the 
3306 combination of <TT
3307 CLASS="FILENAME"
3308 >pam_smbpass.so</TT
3309 >, 
3310 <B
3311 CLASS="COMMAND"
3312 >winbindd</B
3313 >, and <B
3314 CLASS="COMMAND"
3315 >rsync</B
3316 > (see
3317 <A
3318 HREF="http://rsync.samba.org/"
3319 TARGET="_top"
3320 >http://rsync.samba.org/</A
3321 >)
3322 will allow the establishment of a centrally managed, distributed 
3323 user/password database that can also be used by all 
3324 PAM (eg: Linux) aware programs and applications. This arrangement 
3325 can have particularly potent advantages compared with the 
3326 use of Microsoft Active Directory Service (ADS) in so far as 
3327 reduction of wide area network authentication traffic.</P
3328 ></DIV
3329 ><DIV
3330 CLASS="SECT1"
3331 ><HR><H1
3332 CLASS="SECT1"
3333 ><A
3334 NAME="AEN508"
3335 >3.3. PAM Configuration in smb.conf</A
3336 ></H1
3337 ><P
3338 >There is an option in smb.conf called <A
3339 HREF="smb.conf.5.html#OBEYPAMRESTRICTIONS"
3340 TARGET="_top"
3341 >obey pam restrictions</A
3342 >. 
3343 The following is from the on-line help for this option in SWAT;</P
3344 ><P
3345 >When Samba 2.2 is configure to enable PAM support (i.e. 
3346 <TT
3347 CLASS="CONSTANT"
3348 >--with-pam</TT
3349 >), this parameter will 
3350 control whether or not Samba should obey PAM's account 
3351 and session management directives. The default behavior 
3352 is to use PAM for clear text authentication only and to 
3353 ignore any account or session management. Note that Samba always 
3354 ignores PAM for authentication in the case of 
3355 <A
3356 HREF="smb.conf.5.html#ENCRYPTPASSWORDS"
3357 TARGET="_top"
3358 >encrypt passwords = yes</A
3359 >. 
3360 The reason is that PAM modules cannot support the challenge/response 
3361 authentication mechanism needed in the presence of SMB 
3362 password encryption. </P
3363 ><P
3364 >Default: <B
3365 CLASS="COMMAND"
3366 >obey pam restrictions = no</B
3367 ></P
3368 ></DIV
3369 ></DIV
3370 ><DIV
3371 CLASS="CHAPTER"
3372 ><HR><H1
3373 ><A
3374 NAME="MSDFS"
3375 >Chapter 4. Hosting a Microsoft Distributed File System tree on Samba</A
3376 ></H1
3377 ><DIV
3378 CLASS="SECT1"
3379 ><H1
3380 CLASS="SECT1"
3381 ><A
3382 NAME="AEN528"
3383 >4.1. Instructions</A
3384 ></H1
3385 ><P
3386 >The Distributed File System (or Dfs) provides a means of 
3387         separating the logical view of files and directories that users 
3388         see from the actual physical locations of these resources on the 
3389         network. It allows for higher availability, smoother storage expansion, 
3390         load balancing etc. For more information about Dfs, refer to  <A
3391 HREF="http://www.microsoft.com/NTServer/nts/downloads/winfeatures/NTSDistrFile/AdminGuide.asp"
3392 TARGET="_top"
3393 >       Microsoft documentation</A
3394 >. </P
3395 ><P
3396 >This document explains how to host a Dfs tree on a Unix 
3397         machine (for Dfs-aware clients to browse) using Samba.</P
3398 ><P
3399 >To enable SMB-based DFS for Samba, configure it with the 
3400         <TT
3401 CLASS="PARAMETER"
3402 ><I
3403 >--with-msdfs</I
3404 ></TT
3405 > option. Once built, a 
3406         Samba server can be made a Dfs server by setting the global 
3407         boolean <A
3408 HREF="smb.conf.5.html#HOSTMSDFS"
3409 TARGET="_top"
3410 ><TT
3411 CLASS="PARAMETER"
3412 ><I
3413 >       host msdfs</I
3414 ></TT
3415 ></A
3416 > parameter in the <TT
3417 CLASS="FILENAME"
3418 >smb.conf
3419         </TT
3420 > file. You designate a share as a Dfs root using the share 
3421         level boolean <A
3422 HREF="smb.conf.5.html#MSDFSROOT"
3423 TARGET="_top"
3424 ><TT
3425 CLASS="PARAMETER"
3426 ><I
3427 >       msdfs root</I
3428 ></TT
3429 ></A
3430 > parameter. A Dfs root directory on 
3431         Samba hosts Dfs links in the form of symbolic links that point 
3432         to other servers. For example, a symbolic link
3433         <TT
3434 CLASS="FILENAME"
3435 >junction-&#62;msdfs:storage1\share1</TT
3436 > in 
3437         the share directory acts as the Dfs junction. When Dfs-aware 
3438         clients attempt to access the junction link, they are redirected 
3439         to the storage location (in this case, \\storage1\share1).</P
3440 ><P
3441 >Dfs trees on Samba work with all Dfs-aware clients ranging 
3442         from Windows 95 to 2000.</P
3443 ><P
3444 >Here's an example of setting up a Dfs tree on a Samba