updated the 3.0 branch from the head branch - ready for alpha18
[nivanova/samba-autobuild/.git] / docs / manpages / smb.conf.5
1 .\" This manpage has been automatically generated by docbook2man-spec
2 .\" from a DocBook document.  docbook2man-spec can be found at:
3 .\" <http://shell.ipoline.com/~elmert/hacks/docbook2X/> 
4 .\" Please send any bug reports, improvements, comments, patches, 
5 .\" etc. to Steve Cheng <steve@ggi-project.org>.
6 .TH "SMB.CONF" "5" "08 May 2002" "" ""
7 .SH NAME
8 smb.conf \- The configuration file for the Samba suite
9 .SH "SYNOPSIS"
10 .PP
11 The \fIsmb.conf\fR file is a configuration 
12 file for the Samba suite. \fIsmb.conf\fR contains 
13 runtime configuration information for the Samba programs. The
14 \fIsmb.conf\fR file is designed to be configured and 
15 administered by the \fBswat(8)\fR
16 program. The complete description of the file format and 
17 possible parameters held within are here for reference purposes.
18 .SH "FILE FORMAT"
19 .PP
20 The file consists of sections and parameters. A section 
21 begins with the name of the section in square brackets and continues 
22 until the next section begins. Sections contain parameters of the 
23 form
24 .PP
25 \fIname\fR = \fIvalue
26 \fR.PP
27 The file is line-based - that is, each newline-terminated 
28 line represents either a comment, a section name or a parameter.
29 .PP
30 Section and parameter names are not case sensitive.
31 .PP
32 Only the first equals sign in a parameter is significant. 
33 Whitespace before or after the first equals sign is discarded.
34 Leading, trailing and internal whitespace in section and parameter 
35 names is irrelevant. Leading and trailing whitespace in a parameter 
36 value is discarded. Internal whitespace within a parameter value 
37 is retained verbatim.
38 .PP
39 Any line beginning with a semicolon (';') or a hash ('#') 
40 character is ignored, as are lines containing only whitespace.
41 .PP
42 Any line ending in a '\\' is continued
43 on the next line in the customary UNIX fashion.
44 .PP
45 The values following the equals sign in parameters are all 
46 either a string (no quotes needed) or a boolean, which may be given 
47 as yes/no, 0/1 or true/false. Case is not significant in boolean 
48 values, but is preserved in string values. Some items such as 
49 create modes are numeric.
50 .SH "SECTION DESCRIPTIONS"
51 .PP
52 Each section in the configuration file (except for the
53 [global] section) describes a shared resource (known
54 as a "share"). The section name is the name of the 
55 shared resource and the parameters within the section define 
56 the shares attributes.
57 .PP
58 There are three special sections, [global],
59 [homes] and [printers], which are
60 described under \fBspecial sections\fR. The
61 following notes apply to ordinary section descriptions.
62 .PP
63 A share consists of a directory to which access is being 
64 given plus a description of the access rights which are granted 
65 to the user of the service. Some housekeeping options are 
66 also specifiable.
67 .PP
68 Sections are either file share services (used by the 
69 client as an extension of their native file systems) or 
70 printable services (used by the client to access print services 
71 on the host running the server).
72 .PP
73 Sections may be designated \fBguest\fR services,
74 in which case no password is required to access them. A specified 
75 UNIX \fBguest account\fR is used to define access
76 privileges in this case.
77 .PP
78 Sections other than guest services will require a password 
79 to access them. The client provides the username. As older clients 
80 only provide passwords and not usernames, you may specify a list 
81 of usernames to check against the password using the "user =" 
82 option in the share definition. For modern clients such as 
83 Windows 95/98/ME/NT/2000, this should not be necessary.
84 .PP
85 Note that the access rights granted by the server are 
86 masked by the access rights granted to the specified or guest 
87 UNIX user by the host system. The server does not grant more
88 access than the host system grants.
89 .PP
90 The following sample section defines a file space share. 
91 The user has write access to the path \fI/home/bar\fR. 
92 The share is accessed via the share name "foo":
93 .sp
94 .nf
95                 [foo]
96                 path = /home/bar
97                 writeable = true
98         
99         
100 .sp
101 .fi
102 .PP
103 The following sample section defines a printable share. 
104 The share is readonly, but printable. That is, the only write 
105 access permitted is via calls to open, write to and close a 
106 spool file. The \fBguest ok\fR parameter means 
107 access will be permitted as the default guest user (specified 
108 elsewhere):
109 .sp
110 .nf
111                 [aprinter]
112                 path = /usr/spool/public
113                 writeable = false
114                 printable = true
115                 guest ok = true
116         
117         
118 .sp
119 .fi
120 .SH "SPECIAL SECTIONS"
121 .SS "THE  GLOBAL  SECTION"
122 .PP
123 parameters in this section apply to the server 
124 as a whole, or are defaults for sections which do not 
125 specifically define certain items. See the notes
126 under PARAMETERS for more information.
127 .SS "THE  HOMES  SECTION"
128 .PP
129 If a section called homes is included in the 
130 configuration file, services connecting clients to their 
131 home directories can be created on the fly by the server.
132 .PP
133 When the connection request is made, the existing 
134 sections are scanned. If a match is found, it is used. If no 
135 match is found, the requested section name is treated as a 
136 user name and looked up in the local password file. If the 
137 name exists and the correct password has been given, a share is 
138 created by cloning the [homes] section.
139 .PP
140 Some modifications are then made to the newly 
141 created share:
142 .TP 0.2i
143 \(bu
144 The share name is changed from homes to 
145 the located username.
146 .TP 0.2i
147 \(bu
148 If no path was given, the path is set to
149 the user's home directory.
150 .PP
151 If you decide to use a \fBpath =\fR line 
152 in your [homes] section then you may find it useful 
153 to use the %S macro. For example :
154 .PP
155 .PP
156 \fBpath = /data/pchome/%S\fR
157 .PP
158 .PP
159 would be useful if you have different home directories 
160 for your PCs than for UNIX access.
161 .PP
162 .PP
163 This is a fast and simple way to give a large number 
164 of clients access to their home directories with a minimum 
165 of fuss.
166 .PP
167 .PP
168 A similar process occurs if the requested section 
169 name is "homes", except that the share name is not 
170 changed to that of the requesting user. This method of using
171 the [homes] section works well if different users share 
172 a client PC.
173 .PP
174 .PP
175 The [homes] section can specify all the parameters 
176 a normal service section can specify, though some make more sense 
177 than others. The following is a typical and suitable [homes]
178 section:
179 .PP
180 .sp
181 .nf
182                                 [homes]
183                         writeable = yes
184                 
185                 
186 .sp
187 .fi
188 .PP
189 An important point is that if guest access is specified 
190 in the [homes] section, all home directories will be 
191 visible to all clients \fBwithout a password\fR. 
192 In the very unlikely event that this is actually desirable, it 
193 would be wise to also specify \fBread only
194 access\fR.
195 .PP
196 .PP
197 Note that the \fBbrowseable\fR flag for 
198 auto home directories will be inherited from the global browseable 
199 flag, not the [homes] browseable flag. This is useful as 
200 it means setting \fBbrowseable = no\fR in
201 the [homes] section will hide the [homes] share but make
202 any auto home directories visible.
203 .PP
204 .SS "THE  PRINTERS  SECTION"
205 .PP
206 This section works like [homes], 
207 but for printers.
208 .PP
209 If a [printers] section occurs in the 
210 configuration file, users are able to connect to any printer 
211 specified in the local host's printcap file.
212 .PP
213 When a connection request is made, the existing sections 
214 are scanned. If a match is found, it is used. If no match is found, 
215 but a [homes] section exists, it is used as described
216 above. Otherwise, the requested section name is treated as a
217 printer name and the appropriate printcap file is scanned to see 
218 if the requested section name is a valid printer share name. If 
219 a match is found, a new printer share is created by cloning 
220 the [printers] section.
221 .PP
222 A few modifications are then made to the newly created 
223 share:
224 .TP 0.2i
225 \(bu
226 The share name is set to the located printer 
227 name
228 .TP 0.2i
229 \(bu
230 If no printer name was given, the printer name 
231 is set to the located printer name
232 .TP 0.2i
233 \(bu
234 If the share does not permit guest access and 
235 no username was given, the username is set to the located 
236 printer name.
237 .PP
238 Note that the [printers] service MUST be 
239 printable - if you specify otherwise, the server will refuse 
240 to load the configuration file.
241 .PP
242 .PP
243 Typically the path specified would be that of a 
244 world-writeable spool directory with the sticky bit set on 
245 it. A typical [printers] entry would look like 
246 this:
247 .PP
248 .sp
249 .nf
250                 [printers]
251                         path = /usr/spool/public
252                         guest ok = yes
253                         printable = yes 
254                 
255 .sp
256 .fi
257 .PP
258 All aliases given for a printer in the printcap file 
259 are legitimate printer names as far as the server is concerned. 
260 If your printing subsystem doesn't work like that, you will have 
261 to set up a pseudo-printcap. This is a file consisting of one or 
262 more lines like this:
263 .PP
264 .sp
265 .nf
266                                 alias|alias|alias|alias...    
267                 
268                 
269 .sp
270 .fi
271 .PP
272 Each alias should be an acceptable printer name for 
273 your printing subsystem. In the [global] section, specify 
274 the new file as your printcap. The server will then only recognize 
275 names found in your pseudo-printcap, which of course can contain 
276 whatever aliases you like. The same technique could be used 
277 simply to limit access to a subset of your local printers.
278 .PP
279 .PP
280 An alias, by the way, is defined as any component of the 
281 first entry of a printcap record. Records are separated by newlines,
282 components (if there are more than one) are separated by vertical 
283 bar symbols ('|').
284 .PP
285 .PP
286 NOTE: On SYSV systems which use lpstat to determine what 
287 printers are defined on the system you may be able to use
288 "printcap name = lpstat" to automatically obtain a list 
289 of printers. See the "printcap name" option 
290 for more details.
291 .PP
292 .SH "PARAMETERS"
293 .PP
294 parameters define the specific attributes of sections.
295 .PP
296 Some parameters are specific to the [global] section
297 (e.g., \fBsecurity\fR). Some parameters are usable 
298 in all sections (e.g., \fBcreate mode\fR). All others 
299 are permissible only in normal sections. For the purposes of the 
300 following descriptions the [homes] and [printers]
301 sections will be considered normal. The letter \fBG\fR 
302 in parentheses indicates that a parameter is specific to the
303 [global] section. The letter \fBS\fR
304 indicates that a parameter can be specified in a service specific
305 section. Note that all \fBS\fR parameters can also be specified in 
306 the [global] section - in which case they will define
307 the default behavior for all services.
308 .PP
309 parameters are arranged here in alphabetical order - this may 
310 not create best bedfellows, but at least you can find them! Where
311 there are synonyms, the preferred synonym is described, others refer 
312 to the preferred synonym.
313 .SH "VARIABLE SUBSTITUTIONS"
314 .PP
315 Many of the strings that are settable in the config file 
316 can take substitutions. For example the option "path =
317 /tmp/%u" would be interpreted as "path = 
318 /tmp/john" if the user connected with the username john.
319 .PP
320 These substitutions are mostly noted in the descriptions below, 
321 but there are some general substitutions which apply whenever they 
322 might be relevant. These are:
323 .TP
324 \fB%S\fR
325 the name of the current service, if any.
326 .TP
327 \fB%P\fR
328 the root directory of the current service, 
329 if any.
330 .TP
331 \fB%u\fR
332 user name of the current service, if any.
333 .TP
334 \fB%g\fR
335 primary group name of %u.
336 .TP
337 \fB%U\fR
338 session user name (the user name that the client 
339 wanted, not necessarily the same as the one they got).
340 .TP
341 \fB%G\fR
342 primary group name of %U.
343 .TP
344 \fB%H\fR
345 the home directory of the user given 
346 by %u.
347 .TP
348 \fB%v\fR
349 the Samba version.
350 .TP
351 \fB%h\fR
352 the Internet hostname that Samba is running 
353 on.
354 .TP
355 \fB%m\fR
356 the NetBIOS name of the client machine 
357 (very useful).
358 .TP
359 \fB%L\fR
360 the NetBIOS name of the server. This allows you 
361 to change your config based on what the client calls you. Your 
362 server can have a "dual personality".
363
364 Note that this paramater is not available when Samba listens
365 on port 445, as clients no longer send this information 
366 .TP
367 \fB%M\fR
368 the Internet name of the client machine.
369 .TP
370 \fB%N\fR
371 the name of your NIS home directory server. 
372 This is obtained from your NIS auto.map entry. If you have 
373 not compiled Samba with the \fB--with-automount\fR 
374 option then this value will be the same as %L.
375 .TP
376 \fB%p\fR
377 the path of the service's home directory, 
378 obtained from your NIS auto.map entry. The NIS auto.map entry 
379 is split up as "%N:%p".
380 .TP
381 \fB%R\fR
382 the selected protocol level after 
383 protocol negotiation. It can be one of CORE, COREPLUS, 
384 LANMAN1, LANMAN2 or NT1.
385 .TP
386 \fB%d\fR
387 The process id of the current server
388 process.
389 .TP
390 \fB%a\fR
391 the architecture of the remote
392 machine. Only some are recognized, and those may not be 
393 100% reliable. It currently recognizes Samba, WfWg, Win95,
394 WinNT and Win2k. Anything else will be known as 
395 "UNKNOWN". If it gets it wrong then sending a level 
396 3 log to samba@samba.org
397  <URL:mailto:samba@samba.org> should allow it to be fixed.
398 .TP
399 \fB%I\fR
400 The IP address of the client machine.
401 .TP
402 \fB%T\fR
403 the current date and time.
404 .TP
405 \fB%$(\fIenvvar\fB)\fR
406 The value of the environment variable
407 \fIenvar\fR.
408 .PP
409 There are some quite creative things that can be done 
410 with these substitutions and other smb.conf options.
411 .PP
412 .SH "NAME MANGLING"
413 .PP
414 Samba supports "name mangling" so that DOS and 
415 Windows clients can use files that don't conform to the 8.3 format. 
416 It can also be set to adjust the case of 8.3 format filenames.
417 .PP
418 There are several options that control the way mangling is 
419 performed, and they are grouped here rather than listed separately. 
420 For the defaults look at the output of the testparm program. 
421 .PP
422 All of these options can be set separately for each service 
423 (or globally, of course). 
424 .PP
425 The options are: 
426 .TP
427 \fBmangle case = yes/no\fR
428 controls if names that have characters that 
429 aren't of the "default" case are mangled. For example, 
430 if this is yes then a name like "Mail" would be mangled. 
431 Default \fBno\fR.
432 .TP
433 \fBcase sensitive = yes/no\fR
434 controls whether filenames are case sensitive. If 
435 they aren't then Samba must do a filename search and match on passed 
436 names. Default \fBno\fR.
437 .TP
438 \fBdefault case = upper/lower\fR
439 controls what the default case is for new 
440 filenames. Default \fBlower\fR.
441 .TP
442 \fBpreserve case = yes/no\fR
443 controls if new files are created with the 
444 case that the client passes, or if they are forced to be the 
445 "default" case. Default \fByes\fR.
446 .TP
447 \fBshort preserve case = yes/no\fR
448 controls if new files which conform to 8.3 syntax,
449 that is all in upper case and of suitable length, are created 
450 upper case, or if they are forced to be the "default" 
451 case. This option can be use with "preserve case = yes" 
452 to permit long filenames to retain their case, while short names 
453 are lowercased. Default \fByes\fR.
454 .PP
455 By default, Samba 2.2 has the same semantics as a Windows 
456 NT server, in that it is case insensitive but case preserving.
457 .PP
458 .SH "NOTE ABOUT USERNAME/PASSWORD VALIDATION"
459 .PP
460 There are a number of ways in which a user can connect 
461 to a service. The server uses the following steps in determining 
462 if it will allow a connection to a specified service. If all the 
463 steps fail, then the connection request is rejected. However, if one of the 
464 steps succeeds, then the following steps are not checked.
465 .PP
466 If the service is marked "guest only = yes" and the
467 server is running with share-level security ("security = share")
468 then steps 1 to 5 are skipped.
469 .IP 1. 
470 If the client has passed a username/password 
471 pair and that username/password pair is validated by the UNIX 
472 system's password programs then the connection is made as that 
473 username. Note that this includes the 
474 \\\\server\\service%\fIusername\fR method of passing 
475 a username.
476 .IP 2. 
477 If the client has previously registered a username 
478 with the system and now supplies a correct password for that 
479 username then the connection is allowed.
480 .IP 3. 
481 The client's NetBIOS name and any previously 
482 used user names are checked against the supplied password, if 
483 they match then the connection is allowed as the corresponding 
484 user.
485 .IP 4. 
486 If the client has previously validated a
487 username/password pair with the server and the client has passed 
488 the validation token then that username is used. 
489 .IP 5. 
490 If a "user = " field is given in the
491 \fIsmb.conf\fR file for the service and the client 
492 has supplied a password, and that password matches (according to 
493 the UNIX system's password checking) with one of the usernames 
494 from the "user =" field then the connection is made as 
495 the username in the "user =" line. If one 
496 of the username in the "user =" list begins with a
497 \&'@' then that name expands to a list of names in 
498 the group of the same name.
499 .IP 6. 
500 If the service is a guest service then a 
501 connection is made as the username given in the "guest 
502 account =" for the service, irrespective of the 
503 supplied password.
504 .SH "COMPLETE LIST OF GLOBAL PARAMETERS"
505 .PP
506 Here is a list of all global parameters. See the section of 
507 each parameter for details. Note that some are synonyms.
508 .TP 0.2i
509 \(bu
510 \fIabort shutdown script\fR
511 .TP 0.2i
512 \(bu
513 \fIadd printer command\fR
514 .TP 0.2i
515 \(bu
516 \fIadd share command\fR
517 .TP 0.2i
518 \(bu
519 \fIadd user script\fR
520 .TP 0.2i
521 \(bu
522 \fIadd machine script\fR
523 .TP 0.2i
524 \(bu
525 \fIalgorithmic rid base\fR
526 .TP 0.2i
527 \(bu
528 \fIallow trusted domains\fR
529 .TP 0.2i
530 \(bu
531 \fIannounce as\fR
532 .TP 0.2i
533 \(bu
534 \fIannounce version\fR
535 .TP 0.2i
536 \(bu
537 \fIauth methods\fR
538 .TP 0.2i
539 \(bu
540 \fIauto services\fR
541 .TP 0.2i
542 \(bu
543 \fIbind interfaces only\fR
544 .TP 0.2i
545 \(bu
546 \fIbrowse list\fR
547 .TP 0.2i
548 \(bu
549 \fIchange notify timeout\fR
550 .TP 0.2i
551 \(bu
552 \fIchange share command\fR
553 .TP 0.2i
554 \(bu
555 \fIconfig file\fR
556 .TP 0.2i
557 \(bu
558 \fIdeadtime\fR
559 .TP 0.2i
560 \(bu
561 \fIdebug hires timestamp\fR
562 .TP 0.2i
563 \(bu
564 \fIdebug pid\fR
565 .TP 0.2i
566 \(bu
567 \fIdebug timestamp\fR
568 .TP 0.2i
569 \(bu
570 \fIdebug uid\fR
571 .TP 0.2i
572 \(bu
573 \fIdebuglevel\fR
574 .TP 0.2i
575 \(bu
576 \fIdefault\fR
577 .TP 0.2i
578 \(bu
579 \fIdefault service\fR
580 .TP 0.2i
581 \(bu
582 \fIdelete printer command\fR
583 .TP 0.2i
584 \(bu
585 \fIdelete share command\fR
586 .TP 0.2i
587 \(bu
588 \fIdelete user script\fR
589 .TP 0.2i
590 \(bu
591 \fIdfree command\fR
592 .TP 0.2i
593 \(bu
594 \fIdisable spoolss\fR
595 .TP 0.2i
596 \(bu
597 \fIdns proxy\fR
598 .TP 0.2i
599 \(bu
600 \fIdomain admin group\fR
601 .TP 0.2i
602 \(bu
603 \fIdomain guest group\fR
604 .TP 0.2i
605 \(bu
606 \fIdomain logons\fR
607 .TP 0.2i
608 \(bu
609 \fIdomain master\fR
610 .TP 0.2i
611 \(bu
612 \fIencrypt passwords\fR
613 .TP 0.2i
614 \(bu
615 \fIenhanced browsing\fR
616 .TP 0.2i
617 \(bu
618 \fIenumports command\fR
619 .TP 0.2i
620 \(bu
621 \fIgetwd cache\fR
622 .TP 0.2i
623 \(bu
624 \fIhide local users\fR
625 .TP 0.2i
626 \(bu
627 \fIhide unreadable\fR
628 .TP 0.2i
629 \(bu
630 \fIhomedir map\fR
631 .TP 0.2i
632 \(bu
633 \fIhost msdfs\fR
634 .TP 0.2i
635 \(bu
636 \fIhosts equiv\fR
637 .TP 0.2i
638 \(bu
639 \fIinterfaces\fR
640 .TP 0.2i
641 \(bu
642 \fIkeepalive\fR
643 .TP 0.2i
644 \(bu
645 \fIkernel oplocks\fR
646 .TP 0.2i
647 \(bu
648 \fIlanman auth\fR
649 .TP 0.2i
650 \(bu
651 \fIlarge readwrite\fR
652 .TP 0.2i
653 \(bu
654 \fIldap admin dn\fR
655 .TP 0.2i
656 \(bu
657 \fIldap filter\fR
658 .TP 0.2i
659 \(bu
660 \fIldap port\fR
661 .TP 0.2i
662 \(bu
663 \fIldap server\fR
664 .TP 0.2i
665 \(bu
666 \fIldap ssl\fR
667 .TP 0.2i
668 \(bu
669 \fIldap suffix\fR
670 .TP 0.2i
671 \(bu
672 \fIlm announce\fR
673 .TP 0.2i
674 \(bu
675 \fIlm interval\fR
676 .TP 0.2i
677 \(bu
678 \fIload printers\fR
679 .TP 0.2i
680 \(bu
681 \fIlocal master\fR
682 .TP 0.2i
683 \(bu
684 \fIlock dir\fR
685 .TP 0.2i
686 \(bu
687 \fIlock directory\fR
688 .TP 0.2i
689 \(bu
690 \fIlock spin count\fR
691 .TP 0.2i
692 \(bu
693 \fIlock spin time\fR
694 .TP 0.2i
695 \(bu
696 \fIpid directory\fR
697 .TP 0.2i
698 \(bu
699 \fIlog file\fR
700 .TP 0.2i
701 \(bu
702 \fIlog level\fR
703 .TP 0.2i
704 \(bu
705 \fIlogon drive\fR
706 .TP 0.2i
707 \(bu
708 \fIlogon home\fR
709 .TP 0.2i
710 \(bu
711 \fIlogon path\fR
712 .TP 0.2i
713 \(bu
714 \fIlogon script\fR
715 .TP 0.2i
716 \(bu
717 \fIlpq cache time\fR
718 .TP 0.2i
719 \(bu
720 \fImachine password timeout\fR
721 .TP 0.2i
722 \(bu
723 \fImangled stack\fR
724 .TP 0.2i
725 \(bu
726 \fImap to guest\fR
727 .TP 0.2i
728 \(bu
729 \fImax disk size\fR
730 .TP 0.2i
731 \(bu
732 \fImax log size\fR
733 .TP 0.2i
734 \(bu
735 \fImax mux\fR
736 .TP 0.2i
737 \(bu
738 \fImax open files\fR
739 .TP 0.2i
740 \(bu
741 \fImax protocol\fR
742 .TP 0.2i
743 \(bu
744 \fImax smbd processes\fR
745 .TP 0.2i
746 \(bu
747 \fImax ttl\fR
748 .TP 0.2i
749 \(bu
750 \fImax wins ttl\fR
751 .TP 0.2i
752 \(bu
753 \fImax xmit\fR
754 .TP 0.2i
755 \(bu
756 \fImessage command\fR
757 .TP 0.2i
758 \(bu
759 \fImin passwd length\fR
760 .TP 0.2i
761 \(bu
762 \fImin password length\fR
763 .TP 0.2i
764 \(bu
765 \fImin protocol\fR
766 .TP 0.2i
767 \(bu
768 \fImin wins ttl\fR
769 .TP 0.2i
770 \(bu
771 \fIname resolve order\fR
772 .TP 0.2i
773 \(bu
774 \fInetbios aliases\fR
775 .TP 0.2i
776 \(bu
777 \fInetbios name\fR
778 .TP 0.2i
779 \(bu
780 \fInetbios scope\fR
781 .TP 0.2i
782 \(bu
783 \fInis homedir\fR
784 .TP 0.2i
785 \(bu
786 \fInon unix account range\fR
787 .TP 0.2i
788 \(bu
789 \fInt pipe support\fR
790 .TP 0.2i
791 \(bu
792 \fInt status support\fR
793 .TP 0.2i
794 \(bu
795 \fInull passwords\fR
796 .TP 0.2i
797 \(bu
798 \fIobey pam restrictions\fR
799 .TP 0.2i
800 \(bu
801 \fIoplock break wait time\fR
802 .TP 0.2i
803 \(bu
804 \fIos level\fR
805 .TP 0.2i
806 \(bu
807 \fIos2 driver map\fR
808 .TP 0.2i
809 \(bu
810 \fIpam password change\fR
811 .TP 0.2i
812 \(bu
813 \fIpanic action\fR
814 .TP 0.2i
815 \(bu
816 \fIpassdb backend\fR
817 .TP 0.2i
818 \(bu
819 \fIpasswd chat\fR
820 .TP 0.2i
821 \(bu
822 \fIpasswd chat debug\fR
823 .TP 0.2i
824 \(bu
825 \fIpasswd program\fR
826 .TP 0.2i
827 \(bu
828 \fIpassword level\fR
829 .TP 0.2i
830 \(bu
831 \fIpassword server\fR
832 .TP 0.2i
833 \(bu
834 \fIprefered master\fR
835 .TP 0.2i
836 \(bu
837 \fIpreferred master\fR
838 .TP 0.2i
839 \(bu
840 \fIpreload\fR
841 .TP 0.2i
842 \(bu
843 \fIprintcap\fR
844 .TP 0.2i
845 \(bu
846 \fIprintcap name\fR
847 .TP 0.2i
848 \(bu
849 \fIprinter driver file\fR
850 .TP 0.2i
851 \(bu
852 \fIprivate dir\fR
853 .TP 0.2i
854 \(bu
855 \fIprotocol\fR
856 .TP 0.2i
857 \(bu
858 \fIread bmpx\fR
859 .TP 0.2i
860 \(bu
861 \fIread raw\fR
862 .TP 0.2i
863 \(bu
864 \fIread size\fR
865 .TP 0.2i
866 \(bu
867 \fIremote announce\fR
868 .TP 0.2i
869 \(bu
870 \fIremote browse sync\fR
871 .TP 0.2i
872 \(bu
873 \fIrestrict anonymous\fR
874 .TP 0.2i
875 \(bu
876 \fIroot\fR
877 .TP 0.2i
878 \(bu
879 \fIroot dir\fR
880 .TP 0.2i
881 \(bu
882 \fIroot directory\fR
883 .TP 0.2i
884 \(bu
885 \fIsecurity\fR
886 .TP 0.2i
887 \(bu
888 \fIserver string\fR
889 .TP 0.2i
890 \(bu
891 \fIshow add printer wizard\fR
892 .TP 0.2i
893 \(bu
894 \fIshutdown script\fR
895 .TP 0.2i
896 \(bu
897 \fIsmb passwd file\fR
898 .TP 0.2i
899 \(bu
900 \fIsocket address\fR
901 .TP 0.2i
902 \(bu
903 \fIsocket options\fR
904 .TP 0.2i
905 \(bu
906 \fIsource environment\fR
907 .TP 0.2i
908 \(bu
909 \fIssl\fR
910 .TP 0.2i
911 \(bu
912 \fIssl CA certDir\fR
913 .TP 0.2i
914 \(bu
915 \fIssl CA certFile\fR
916 .TP 0.2i
917 \(bu
918 \fIssl ciphers\fR
919 .TP 0.2i
920 \(bu
921 \fIssl client cert\fR
922 .TP 0.2i
923 \(bu
924 \fIssl client key\fR
925 .TP 0.2i
926 \(bu
927 \fIssl compatibility\fR
928 .TP 0.2i
929 \(bu
930 \fIssl egd socket\fR
931 .TP 0.2i
932 \(bu
933 \fIssl entropy bytes\fR
934 .TP 0.2i
935 \(bu
936 \fIssl entropy file\fR
937 .TP 0.2i
938 \(bu
939 \fIssl hosts\fR
940 .TP 0.2i
941 \(bu
942 \fIssl hosts resign\fR
943 .TP 0.2i
944 \(bu
945 \fIssl require clientcert\fR
946 .TP 0.2i
947 \(bu
948 \fIssl require servercert\fR
949 .TP 0.2i
950 \(bu
951 \fIssl server cert\fR
952 .TP 0.2i
953 \(bu
954 \fIssl server key\fR
955 .TP 0.2i
956 \(bu
957 \fIssl version\fR
958 .TP 0.2i
959 \(bu
960 \fIstat cache\fR
961 .TP 0.2i
962 \(bu
963 \fIstat cache size\fR
964 .TP 0.2i
965 \(bu
966 \fIstrip dot\fR
967 .TP 0.2i
968 \(bu
969 \fIsyslog\fR
970 .TP 0.2i
971 \(bu
972 \fIsyslog only\fR
973 .TP 0.2i
974 \(bu
975 \fItemplate homedir\fR
976 .TP 0.2i
977 \(bu
978 \fItemplate shell\fR
979 .TP 0.2i
980 \(bu
981 \fItime offset\fR
982 .TP 0.2i
983 \(bu
984 \fItime server\fR
985 .TP 0.2i
986 \(bu
987 \fItimestamp logs\fR
988 .TP 0.2i
989 \(bu
990 \fItotal print jobs\fR
991 .TP 0.2i
992 \(bu
993 \fIunix extensions\fR
994 .TP 0.2i
995 \(bu
996 \fIunix password sync\fR
997 .TP 0.2i
998 \(bu
999 \fIupdate encrypted\fR
1000 .TP 0.2i
1001 \(bu
1002 \fIuse mmap\fR
1003 .TP 0.2i
1004 \(bu
1005 \fIuse rhosts\fR
1006 .TP 0.2i
1007 \(bu
1008 \fIusername level\fR
1009 .TP 0.2i
1010 \(bu
1011 \fIusername map\fR
1012 .TP 0.2i
1013 \(bu
1014 \fIutmp\fR
1015 .TP 0.2i
1016 \(bu
1017 \fIutmp directory\fR
1018 .TP 0.2i
1019 \(bu
1020 \fIwinbind cache time\fR
1021 .TP 0.2i
1022 \(bu
1023 \fIwinbind enum users\fR
1024 .TP 0.2i
1025 \(bu
1026 \fIwinbind enum groups\fR
1027 .TP 0.2i
1028 \(bu
1029 \fIwinbind gid\fR
1030 .TP 0.2i
1031 \(bu
1032 \fIwinbind separator\fR
1033 .TP 0.2i
1034 \(bu
1035 \fIwinbind uid\fR
1036 .TP 0.2i
1037 \(bu
1038 \fIwinbind use default domain\fR
1039 .TP 0.2i
1040 \(bu
1041 \fIwins hook\fR
1042 .TP 0.2i
1043 \(bu
1044 \fIwins proxy\fR
1045 .TP 0.2i
1046 \(bu
1047 \fIwins server\fR
1048 .TP 0.2i
1049 \(bu
1050 \fIwins support\fR
1051 .TP 0.2i
1052 \(bu
1053 \fIworkgroup\fR
1054 .TP 0.2i
1055 \(bu
1056 \fIwrite raw\fR
1057 .SH "COMPLETE LIST OF SERVICE PARAMETERS"
1058 .PP
1059 Here is a list of all service parameters. See the section on 
1060 each parameter for details. Note that some are synonyms.
1061 .TP 0.2i
1062 \(bu
1063 \fIadmin users\fR
1064 .TP 0.2i
1065 \(bu
1066 \fIallow hosts\fR
1067 .TP 0.2i
1068 \(bu
1069 \fIavailable\fR
1070 .TP 0.2i
1071 \(bu
1072 \fIblocking locks\fR
1073 .TP 0.2i
1074 \(bu
1075 \fIbrowsable\fR
1076 .TP 0.2i
1077 \(bu
1078 \fIbrowseable\fR
1079 .TP 0.2i
1080 \(bu
1081 \fIcase sensitive\fR
1082 .TP 0.2i
1083 \(bu
1084 \fIcasesignames\fR
1085 .TP 0.2i
1086 \(bu
1087 \fIcomment\fR
1088 .TP 0.2i
1089 \(bu
1090 \fIcopy\fR
1091 .TP 0.2i
1092 \(bu
1093 \fIcreate mask\fR
1094 .TP 0.2i
1095 \(bu
1096 \fIcreate mode\fR
1097 .TP 0.2i
1098 \(bu
1099 \fIcsc policy\fR
1100 .TP 0.2i
1101 \(bu
1102 \fIdefault case\fR
1103 .TP 0.2i
1104 \(bu
1105 \fIdefault devmode\fR
1106 .TP 0.2i
1107 \(bu
1108 \fIdelete readonly\fR
1109 .TP 0.2i
1110 \(bu
1111 \fIdelete veto files\fR
1112 .TP 0.2i
1113 \(bu
1114 \fIdeny hosts\fR
1115 .TP 0.2i
1116 \(bu
1117 \fIdirectory\fR
1118 .TP 0.2i
1119 \(bu
1120 \fIdirectory mask\fR
1121 .TP 0.2i
1122 \(bu
1123 \fIdirectory mode\fR
1124 .TP 0.2i
1125 \(bu
1126 \fIdirectory security mask\fR
1127 .TP 0.2i
1128 \(bu
1129 \fIdont descend\fR
1130 .TP 0.2i
1131 \(bu
1132 \fIdos filemode\fR
1133 .TP 0.2i
1134 \(bu
1135 \fIdos filetime resolution\fR
1136 .TP 0.2i
1137 \(bu
1138 \fIdos filetimes\fR
1139 .TP 0.2i
1140 \(bu
1141 \fIexec\fR
1142 .TP 0.2i
1143 \(bu
1144 \fIfake directory create times\fR
1145 .TP 0.2i
1146 \(bu
1147 \fIfake oplocks\fR
1148 .TP 0.2i
1149 \(bu
1150 \fIfollow symlinks\fR
1151 .TP 0.2i
1152 \(bu
1153 \fIforce create mode\fR
1154 .TP 0.2i
1155 \(bu
1156 \fIforce directory mode\fR
1157 .TP 0.2i
1158 \(bu
1159 \fIforce directory security mode\fR
1160 .TP 0.2i
1161 \(bu
1162 \fIforce group\fR
1163 .TP 0.2i
1164 \(bu
1165 \fIforce security mode\fR
1166 .TP 0.2i
1167 \(bu
1168 \fIforce user\fR
1169 .TP 0.2i
1170 \(bu
1171 \fIfstype\fR
1172 .TP 0.2i
1173 \(bu
1174 \fIgroup\fR
1175 .TP 0.2i
1176 \(bu
1177 \fIguest account\fR
1178 .TP 0.2i
1179 \(bu
1180 \fIguest ok\fR
1181 .TP 0.2i
1182 \(bu
1183 \fIguest only\fR
1184 .TP 0.2i
1185 \(bu
1186 \fIhide dot files\fR
1187 .TP 0.2i
1188 \(bu
1189 \fIhide files\fR
1190 .TP 0.2i
1191 \(bu
1192 \fIhosts allow\fR
1193 .TP 0.2i
1194 \(bu
1195 \fIhosts deny\fR
1196 .TP 0.2i
1197 \(bu
1198 \fIinclude\fR
1199 .TP 0.2i
1200 \(bu
1201 \fIinherit acls\fR
1202 .TP 0.2i
1203 \(bu
1204 \fIinherit permissions\fR
1205 .TP 0.2i
1206 \(bu
1207 \fIinvalid users\fR
1208 .TP 0.2i
1209 \(bu
1210 \fIlevel2 oplocks\fR
1211 .TP 0.2i
1212 \(bu
1213 \fIlocking\fR
1214 .TP 0.2i
1215 \(bu
1216 \fIlppause command\fR
1217 .TP 0.2i
1218 \(bu
1219 \fIlpq command\fR
1220 .TP 0.2i
1221 \(bu
1222 \fIlpresume command\fR
1223 .TP 0.2i
1224 \(bu
1225 \fIlprm command\fR
1226 .TP 0.2i
1227 \(bu
1228 \fImagic output\fR
1229 .TP 0.2i
1230 \(bu
1231 \fImagic script\fR
1232 .TP 0.2i
1233 \(bu
1234 \fImangle case\fR
1235 .TP 0.2i
1236 \(bu
1237 \fImangled map\fR
1238 .TP 0.2i
1239 \(bu
1240 \fImangled names\fR
1241 .TP 0.2i
1242 \(bu
1243 \fImangling char\fR
1244 .TP 0.2i
1245 \(bu
1246 \fImap archive\fR
1247 .TP 0.2i
1248 \(bu
1249 \fImap hidden\fR
1250 .TP 0.2i
1251 \(bu
1252 \fImap system\fR
1253 .TP 0.2i
1254 \(bu
1255 \fImax connections\fR
1256 .TP 0.2i
1257 \(bu
1258 \fImax print jobs\fR
1259 .TP 0.2i
1260 \(bu
1261 \fImin print space\fR
1262 .TP 0.2i
1263 \(bu
1264 \fImsdfs root\fR
1265 .TP 0.2i
1266 \(bu
1267 \fInt acl support\fR
1268 .TP 0.2i
1269 \(bu
1270 \fIonly guest\fR
1271 .TP 0.2i
1272 \(bu
1273 \fIonly user\fR
1274 .TP 0.2i
1275 \(bu
1276 \fIoplock contention limit\fR
1277 .TP 0.2i
1278 \(bu
1279 \fIoplocks\fR
1280 .TP 0.2i
1281 \(bu
1282 \fIpath\fR
1283 .TP 0.2i
1284 \(bu
1285 \fIposix locking\fR
1286 .TP 0.2i
1287 \(bu
1288 \fIpostexec\fR
1289 .TP 0.2i
1290 \(bu
1291 \fIpostscript\fR
1292 .TP 0.2i
1293 \(bu
1294 \fIpreexec\fR
1295 .TP 0.2i
1296 \(bu
1297 \fIpreexec close\fR
1298 .TP 0.2i
1299 \(bu
1300 \fIpreserve case\fR
1301 .TP 0.2i
1302 \(bu
1303 \fIprint command\fR
1304 .TP 0.2i
1305 \(bu
1306 \fIprint ok\fR
1307 .TP 0.2i
1308 \(bu
1309 \fIprintable\fR
1310 .TP 0.2i
1311 \(bu
1312 \fIprinter\fR
1313 .TP 0.2i
1314 \(bu
1315 \fIprinter admin\fR
1316 .TP 0.2i
1317 \(bu
1318 \fIprinter driver\fR
1319 .TP 0.2i
1320 \(bu
1321 \fIprinter driver location\fR
1322 .TP 0.2i
1323 \(bu
1324 \fIprinter name\fR
1325 .TP 0.2i
1326 \(bu
1327 \fIprinting\fR
1328 .TP 0.2i
1329 \(bu
1330 \fIpublic\fR
1331 .TP 0.2i
1332 \(bu
1333 \fIqueuepause command\fR
1334 .TP 0.2i
1335 \(bu
1336 \fIqueueresume command\fR
1337 .TP 0.2i
1338 \(bu
1339 \fIread list\fR
1340 .TP 0.2i
1341 \(bu
1342 \fIread only\fR
1343 .TP 0.2i
1344 \(bu
1345 \fIroot postexec\fR
1346 .TP 0.2i
1347 \(bu
1348 \fIroot preexec\fR
1349 .TP 0.2i
1350 \(bu
1351 \fIroot preexec close\fR
1352 .TP 0.2i
1353 \(bu
1354 \fIsecurity mask\fR
1355 .TP 0.2i
1356 \(bu
1357 \fIset directory\fR
1358 .TP 0.2i
1359 \(bu
1360 \fIshare modes\fR
1361 .TP 0.2i
1362 \(bu
1363 \fIshort preserve case\fR
1364 .TP 0.2i
1365 \(bu
1366 \fIstatus\fR
1367 .TP 0.2i
1368 \(bu
1369 \fIstrict allocate\fR
1370 .TP 0.2i
1371 \(bu
1372 \fIstrict locking\fR
1373 .TP 0.2i
1374 \(bu
1375 \fIstrict sync\fR
1376 .TP 0.2i
1377 \(bu
1378 \fIsync always\fR
1379 .TP 0.2i
1380 \(bu
1381 \fIuse client driver\fR
1382 .TP 0.2i
1383 \(bu
1384 \fIuser\fR
1385 .TP 0.2i
1386 \(bu
1387 \fIusername\fR
1388 .TP 0.2i
1389 \(bu
1390 \fIusers\fR
1391 .TP 0.2i
1392 \(bu
1393 \fIvalid users\fR
1394 .TP 0.2i
1395 \(bu
1396 \fIveto files\fR
1397 .TP 0.2i
1398 \(bu
1399 \fIveto oplock files\fR
1400 .TP 0.2i
1401 \(bu
1402 \fIvfs object\fR
1403 .TP 0.2i
1404 \(bu
1405 \fIvfs options\fR
1406 .TP 0.2i
1407 \(bu
1408 \fIvolume\fR
1409 .TP 0.2i
1410 \(bu
1411 \fIwide links\fR
1412 .TP 0.2i
1413 \(bu
1414 \fIwritable\fR
1415 .TP 0.2i
1416 \(bu
1417 \fIwrite cache size\fR
1418 .TP 0.2i
1419 \(bu
1420 \fIwrite list\fR
1421 .TP 0.2i
1422 \(bu
1423 \fIwrite ok\fR
1424 .TP 0.2i
1425 \(bu
1426 \fIwriteable\fR
1427 .SH "EXPLANATION OF EACH PARAMETER"
1428 .TP
1429 \fBabort shutdown script (G)\fR
1430 \fBThis parameter only exists in the HEAD cvs branch\fR
1431 This a full path name to a script called by
1432 \fBsmbd(8)\fRthat
1433 should stop a shutdown procedure issued by the \fIshutdown script\fR.
1434
1435 This command will be run as user.
1436
1437 Default: \fBNone\fR.
1438
1439 Example: \fBabort shutdown script = /sbin/shutdown -c\fR
1440 .TP
1441 \fBadd printer command (G)\fR
1442 With the introduction of MS-RPC based printing
1443 support for Windows NT/2000 clients in Samba 2.2, The MS Add
1444 Printer Wizard (APW) icon is now also available in the 
1445 "Printers..." folder displayed a share listing. The APW
1446 allows for printers to be add remotely to a Samba or Windows 
1447 NT/2000 print server.
1448
1449 For a Samba host this means that the printer must be 
1450 physically added to the underlying printing system. The \fIadd 
1451 printer command\fR defines a script to be run which 
1452 will perform the necessary operations for adding the printer
1453 to the print system and to add the appropriate service definition 
1454 to the \fIsmb.conf\fR file in order that it can be 
1455 shared by \fBsmbd(8)\fR
1456 .
1457
1458 The \fIadd printer command\fR is
1459 automatically invoked with the following parameter (in 
1460 order:
1461 .RS
1462 .TP 0.2i
1463 \(bu
1464 \fIprinter name\fR
1465 .TP 0.2i
1466 \(bu
1467 \fIshare name\fR
1468 .TP 0.2i
1469 \(bu
1470 \fIport name\fR
1471 .TP 0.2i
1472 \(bu
1473 \fIdriver name\fR
1474 .TP 0.2i
1475 \(bu
1476 \fIlocation\fR
1477 .TP 0.2i
1478 \(bu
1479 \fIWindows 9x driver location\fR
1480 .RE
1481 .PP
1482 All parameters are filled in from the PRINTER_INFO_2 structure sent 
1483 by the Windows NT/2000 client with one exception. The "Windows 9x
1484 driver location" parameter is included for backwards compatibility
1485 only. The remaining fields in the structure are generated from answers
1486 to the APW questions.
1487 .PP
1488 .PP
1489 Once the \fIadd printer command\fR has 
1490 been executed, \fBsmbd\fR will reparse the \fI smb.conf\fR to determine if the share defined by the APW
1491 exists. If the sharename is still invalid, then \fBsmbd
1492 \fRwill return an ACCESS_DENIED error to the client.
1493 .PP
1494 .PP
1495 See also \fI delete printer command\fR, \fIprinting\fR,
1496 \fIshow add
1497 printer wizard\fR
1498 .PP
1499 .PP
1500 Default: \fBnone\fR
1501 .PP
1502 .PP
1503 Example: \fBaddprinter command = /usr/bin/addprinter
1504 \fR.PP
1505 .TP
1506 \fBadd share command (G)\fR
1507 Samba 2.2.0 introduced the ability to dynamically 
1508 add and delete shares via the Windows NT 4.0 Server Manager. The 
1509 \fIadd share command\fR is used to define an 
1510 external program or script which will add a new service definition 
1511 to \fIsmb.conf\fR. In order to successfully 
1512 execute the \fIadd share command\fR, \fBsmbd\fR
1513 requires that the administrator be connected using a root account (i.e. 
1514 uid == 0).
1515
1516 When executed, \fBsmbd\fR will automatically invoke the 
1517 \fIadd share command\fR with four parameters.
1518 .RS
1519 .TP 0.2i
1520 \(bu
1521 \fIconfigFile\fR - the location 
1522 of the global \fIsmb.conf\fR file. 
1523 .TP 0.2i
1524 \(bu
1525 \fIshareName\fR - the name of the new 
1526 share.
1527 .TP 0.2i
1528 \(bu
1529 \fIpathName\fR - path to an **existing**
1530 directory on disk.
1531 .TP 0.2i
1532 \(bu
1533 \fIcomment\fR - comment string to associate 
1534 with the new share.
1535 .RE
1536 .PP
1537 This parameter is only used for add file shares. To add printer shares, 
1538 see the \fIadd printer 
1539 command\fR.
1540 .PP
1541 .PP
1542 See also \fIchange share 
1543 command\fR, \fIdelete share
1544 command\fR.
1545 .PP
1546 .PP
1547 Default: \fBnone\fR
1548 .PP
1549 .PP
1550 Example: \fBadd share command = /usr/local/bin/addshare\fR
1551 .PP
1552 .TP
1553 \fBadd machine script (G)\fR
1554 This is the full pathname to a script that will 
1555 be run by smbd(8)when a machine is added
1556 to it's domain using the administrator username and password method. 
1557
1558 This option is only required when using sam back-ends tied to the
1559 Unix uid method of RID calculation such as smbpasswd. This option is only
1560 available in Samba 3.0.
1561
1562 Default: \fBadd machine script = <empty string>
1563 \fR
1564 Example: \fBadd machine script = /usr/sbin/adduser -n -g machines -c Machine -d /dev/null -s /bin/false %u
1565 \fR.TP
1566 \fBadd user script (G)\fR
1567 This is the full pathname to a script that will 
1568 be run \fBAS ROOT\fR by smbd(8)
1569 under special circumstances described below.
1570
1571 Normally, a Samba server requires that UNIX users are 
1572 created for all users accessing files on this server. For sites 
1573 that use Windows NT account databases as their primary user database 
1574 creating these users and keeping the user list in sync with the 
1575 Windows NT PDC is an onerous task. This option allows smbdto create the required UNIX users 
1576 \fBON DEMAND\fR when a user accesses the Samba server.
1577
1578 In order to use this option, smbd
1579 must \fBNOT\fR be set to \fIsecurity = share\fR
1580 and \fIadd user script\fR
1581 must be set to a full pathname for a script that will create a UNIX 
1582 user given one argument of \fI%u\fR, which expands into 
1583 the UNIX user name to create.
1584
1585 When the Windows user attempts to access the Samba server, 
1586 at login (session setup in the SMB protocol) time,  smbdcontacts the \fIpassword server\fR and 
1587 attempts to authenticate the given user with the given password. If the 
1588 authentication succeeds then \fBsmbd\fR 
1589 attempts to find a UNIX user in the UNIX password database to map the 
1590 Windows user into. If this lookup fails, and \fIadd user script
1591 \fRis set then \fBsmbd\fR will
1592 call the specified script \fBAS ROOT\fR, expanding 
1593 any \fI%u\fR argument to be the user name to create.
1594
1595 If this script successfully creates the user then \fBsmbd
1596 \fRwill continue on as though the UNIX user
1597 already existed. In this way, UNIX users are dynamically created to
1598 match existing Windows NT accounts.
1599
1600 See also \fI security\fR,  \fIpassword server\fR, 
1601 \fIdelete user 
1602 script\fR.
1603
1604 Default: \fBadd user script = <empty string>
1605 \fR
1606 Example: \fBadd user script = /usr/local/samba/bin/add_user 
1607 %u\fR
1608 .TP
1609 \fBadmin users (S)\fR
1610 This is a list of users who will be granted 
1611 administrative privileges on the share. This means that they 
1612 will do all file operations as the super-user (root).
1613
1614 You should use this option very carefully, as any user in 
1615 this list will be able to do anything they like on the share, 
1616 irrespective of file permissions.
1617
1618 Default: \fBno admin users\fR
1619
1620 Example: \fBadmin users = jason\fR
1621 .TP
1622 \fBallow hosts (S)\fR
1623 Synonym for  \fIhosts allow\fR.
1624 .TP
1625 \fBalgorithmic rid base (G)\fR
1626 This determines how Samba will use its
1627 algorithmic mapping from uids/gid to the RIDs needed to construct
1628 NT Security Identifiers.
1629
1630 Setting this option to a larger value could be useful to sites
1631 transitioning from WinNT and Win2k, as existing user and 
1632 group rids would otherwise clash with sytem users etc. 
1633
1634 All UIDs and GIDs must be able to be resolved into SIDs for 
1635 the correct operation of ACLs on the server. As such the algorithmic
1636 mapping can't be 'turned off', but pushing it 'out of the way' should
1637 resolve the issues. Users and groups can then be assigned 'low' RIDs
1638 in arbitary-rid supporting backends. 
1639
1640 Default: \fBalgorithmic rid base = 1000\fR
1641
1642 Example: \fBalgorithmic rid base = 100000\fR
1643 .TP
1644 \fBallow trusted domains (G)\fR
1645 This option only takes effect when the \fIsecurity\fR option is set to 
1646 server or domain. 
1647 If it is set to no, then attempts to connect to a resource from 
1648 a domain or workgroup other than the one which smbdis running 
1649 in will fail, even if that domain is trusted by the remote server 
1650 doing the authentication.
1651
1652 This is useful if you only want your Samba server to 
1653 serve resources to users in the domain it is a member of. As 
1654 an example, suppose that there are two domains DOMA and DOMB. DOMB 
1655 is trusted by DOMA, which contains the Samba server. Under normal 
1656 circumstances, a user with an account in DOMB can then access the 
1657 resources of a UNIX account with the same account name on the 
1658 Samba server even if they do not have an account in DOMA. This 
1659 can make implementing a security boundary difficult.
1660
1661 Default: \fBallow trusted domains = yes\fR
1662 .TP
1663 \fBannounce as (G)\fR
1664 This specifies what type of server 
1665 \fBnmbd\fR
1666 will announce itself as, to a network neighborhood browse 
1667 list. By default this is set to Windows NT. The valid options 
1668 are : "NT Server" (which can also be written as "NT"), 
1669 "NT Workstation", "Win95" or "WfW" meaning Windows NT Server, 
1670 Windows NT Workstation, Windows 95 and Windows for Workgroups 
1671 respectively. Do not change this parameter unless you have a 
1672 specific need to stop Samba appearing as an NT server as this 
1673 may prevent Samba servers from participating as browser servers 
1674 correctly.
1675
1676 Default: \fBannounce as = NT Server\fR
1677
1678 Example: \fBannounce as = Win95\fR
1679 .TP
1680 \fBannounce version (G)\fR
1681 This specifies the major and minor version numbers 
1682 that nmbd will use when announcing itself as a server. The default 
1683 is 4.2. Do not change this parameter unless you have a specific 
1684 need to set a Samba server to be a downlevel server.
1685
1686 Default: \fBannounce version = 4.5\fR
1687
1688 Example: \fBannounce version = 2.0\fR
1689 .TP
1690 \fBauto services (G)\fR
1691 This is a synonym for the  \fIpreload\fR.
1692 .TP
1693 \fBauth methods (G)\fR
1694 This option allows the administrator to chose what
1695 authentication methods \fBsmbd\fR will use when authenticating
1696 a user. This option defaults to sensible values based on \fI security\fR.
1697 Each entry in the list attempts to authenticate the user in turn, until
1698 the user authenticates. In practice only one method will ever actually 
1699 be able to complete the authentication.
1700
1701 Default: \fBauth methods = <empty string>\fR
1702
1703 Example: \fBauth methods = guest sam ntdomain\fR
1704 .TP
1705 \fBavailable (S)\fR
1706 This parameter lets you "turn off" a service. If 
1707 \fIavailable = no\fR, then \fBALL\fR 
1708 attempts to connect to the service will fail. Such failures are 
1709 logged.
1710
1711 Default: \fBavailable = yes\fR
1712 .TP
1713 \fBbind interfaces only (G)\fR
1714 This global parameter allows the Samba admin 
1715 to limit what interfaces on a machine will serve SMB requests. If 
1716 affects file service smbd(8)and 
1717 name service nmbd(8)in slightly 
1718 different ways.
1719
1720 For name service it causes \fBnmbd\fR to bind 
1721 to ports 137 and 138 on the interfaces listed in the interfaces parameter. \fBnmbd
1722 \fRalso binds to the "all addresses" interface (0.0.0.0) 
1723 on ports 137 and 138 for the purposes of reading broadcast messages. 
1724 If this option is not set then \fBnmbd\fR will service 
1725 name requests on all of these sockets. If \fIbind interfaces
1726 only\fR is set then \fBnmbd\fR will check the 
1727 source address of any packets coming in on the broadcast sockets 
1728 and discard any that don't match the broadcast addresses of the 
1729 interfaces in the \fIinterfaces\fR parameter list. 
1730 As unicast packets are received on the other sockets it allows 
1731 \fBnmbd\fR to refuse to serve names to machines that 
1732 send packets that arrive through any interfaces not listed in the
1733 \fIinterfaces\fR list. IP Source address spoofing
1734 does defeat this simple check, however so it must not be used
1735 seriously as a security feature for \fBnmbd\fR.
1736
1737 For file service it causes smbd(8)
1738 to bind only to the interface list given in the  interfaces parameter. This restricts the networks that 
1739 \fBsmbd\fR will serve to packets coming in those 
1740 interfaces. Note that you should not use this parameter for machines 
1741 that are serving PPP or other intermittent or non-broadcast network 
1742 interfaces as it will not cope with non-permanent interfaces.
1743
1744 If \fIbind interfaces only\fR is set then 
1745 unless the network address \fB127.0.0.1\fR is added 
1746 to the \fIinterfaces\fR parameter list \fBsmbpasswd(8)\fR
1747 and \fBswat(8)\fRmay 
1748 not work as expected due to the reasons covered below.
1749
1750 To change a users SMB password, the \fBsmbpasswd\fR
1751 by default connects to the \fBlocalhost - 127.0.0.1\fR 
1752 address as an SMB client to issue the password change request. If 
1753 \fIbind interfaces only\fR is set then unless the 
1754 network address \fB127.0.0.1\fR is added to the
1755 \fIinterfaces\fR parameter list then \fB smbpasswd\fR will fail to connect in it's default mode. 
1756 \fBsmbpasswd\fR can be forced to use the primary IP interface 
1757 of the local host by using its  \fI-r remote machine\fR
1758 parameter, with \fIremote machine\fR set 
1759 to the IP name of the primary interface of the local host.
1760
1761 The \fBswat\fR status page tries to connect with
1762 \fBsmbd\fR and \fBnmbd\fR at the address 
1763 \fB127.0.0.1\fR to determine if they are running. 
1764 Not adding \fB127.0.0.1\fR will cause \fB smbd\fR and \fBnmbd\fR to always show
1765 "not running" even if they really are. This can prevent \fB swat\fR from starting/stopping/restarting \fBsmbd\fR
1766 and \fBnmbd\fR.
1767
1768 Default: \fBbind interfaces only = no\fR
1769 .TP
1770 \fBblocking locks (S)\fR
1771 This parameter controls the behavior of smbd(8)when given a request by a client 
1772 to obtain a byte range lock on a region of an open file, and the 
1773 request has a time limit associated with it.
1774
1775 If this parameter is set and the lock range requested 
1776 cannot be immediately satisfied, Samba 2.2 will internally 
1777 queue the lock request, and periodically attempt to obtain 
1778 the lock until the timeout period expires.
1779
1780 If this parameter is set to false, then 
1781 Samba 2.2 will behave as previous versions of Samba would and 
1782 will fail the lock request immediately if the lock range 
1783 cannot be obtained.
1784
1785 Default: \fBblocking locks = yes\fR
1786 .TP
1787 \fBbrowsable (S)\fR
1788 See the \fI browseable\fR.
1789 .TP
1790 \fBbrowse list (G)\fR
1791 This controls whether  \fBsmbd(8)\fRwill serve a browse list to 
1792 a client doing a \fBNetServerEnum\fR call. Normally 
1793 set to true. You should never need to change 
1794 this.
1795
1796 Default: \fBbrowse list = yes\fR
1797 .TP
1798 \fBbrowseable (S)\fR
1799 This controls whether this share is seen in 
1800 the list of available shares in a net view and in the browse list.
1801
1802 Default: \fBbrowseable = yes\fR
1803 .TP
1804 \fBcase sensitive (S)\fR
1805 See the discussion in the section NAME MANGLING.
1806
1807 Default: \fBcase sensitive = no\fR
1808 .TP
1809 \fBcasesignames (S)\fR
1810 Synonym for case 
1811 sensitive.
1812 .TP
1813 \fBchange notify timeout (G)\fR
1814 This SMB allows a client to tell a server to 
1815 "watch" a particular directory for any changes and only reply to
1816 the SMB request when a change has occurred. Such constant scanning of
1817 a directory is expensive under UNIX, hence an  \fBsmbd(8)\fRdaemon only performs such a scan 
1818 on each requested directory once every \fIchange notify 
1819 timeout\fR seconds.
1820
1821 Default: \fBchange notify timeout = 60\fR
1822
1823 Example: \fBchange notify timeout = 300\fR
1824
1825 Would change the scan time to every 5 minutes.
1826 .TP
1827 \fBchange share command (G)\fR
1828 Samba 2.2.0 introduced the ability to dynamically 
1829 add and delete shares via the Windows NT 4.0 Server Manager. The 
1830 \fIchange share command\fR is used to define an 
1831 external program or script which will modify an existing service definition 
1832 in \fIsmb.conf\fR. In order to successfully 
1833 execute the \fIchange share command\fR, \fBsmbd\fR
1834 requires that the administrator be connected using a root account (i.e. 
1835 uid == 0).
1836
1837 When executed, \fBsmbd\fR will automatically invoke the 
1838 \fIchange share command\fR with four parameters.
1839 .RS
1840 .TP 0.2i
1841 \(bu
1842 \fIconfigFile\fR - the location 
1843 of the global \fIsmb.conf\fR file. 
1844 .TP 0.2i
1845 \(bu
1846 \fIshareName\fR - the name of the new 
1847 share.
1848 .TP 0.2i
1849 \(bu
1850 \fIpathName\fR - path to an **existing**
1851 directory on disk.
1852 .TP 0.2i
1853 \(bu
1854 \fIcomment\fR - comment string to associate 
1855 with the new share.
1856 .RE
1857 .PP
1858 This parameter is only used modify existing file shares definitions. To modify 
1859 printer shares, use the "Printers..." folder as seen when browsing the Samba host.
1860 .PP
1861 .PP
1862 See also \fIadd share
1863 command\fR, \fIdelete 
1864 share command\fR.
1865 .PP
1866 .PP
1867 Default: \fBnone\fR
1868 .PP
1869 .PP
1870 Example: \fBchange share command = /usr/local/bin/addshare\fR
1871 .PP
1872 .TP
1873 \fBcomment (S)\fR
1874 This is a text field that is seen next to a share 
1875 when a client does a queries the server, either via the network 
1876 neighborhood or via \fBnet view\fR to list what shares 
1877 are available.
1878
1879 If you want to set the string that is displayed next to the 
1880 machine name then see the \fI server string\fR parameter.
1881
1882 Default: \fBNo comment string\fR
1883
1884 Example: \fBcomment = Fred's Files\fR
1885 .TP
1886 \fBconfig file (G)\fR
1887 This allows you to override the config file 
1888 to use, instead of the default (usually \fIsmb.conf\fR). 
1889 There is a chicken and egg problem here as this option is set 
1890 in the config file!
1891
1892 For this reason, if the name of the config file has changed 
1893 when the parameters are loaded then it will reload them from 
1894 the new config file.
1895
1896 This option takes the usual substitutions, which can 
1897 be very useful.
1898
1899 If the config file doesn't exist then it won't be loaded 
1900 (allowing you to special case the config files of just a few 
1901 clients).
1902
1903 Example: \fBconfig file = /usr/local/samba/lib/smb.conf.%m
1904 \fR.TP
1905 \fBcopy (S)\fR
1906 This parameter allows you to "clone" service 
1907 entries. The specified service is simply duplicated under the 
1908 current service's name. Any parameters specified in the current 
1909 section will override those in the section being copied.
1910
1911 This feature lets you set up a 'template' service and 
1912 create similar services easily. Note that the service being 
1913 copied must occur earlier in the configuration file than the 
1914 service doing the copying.
1915
1916 Default: \fBno value\fR
1917
1918 Example: \fBcopy = otherservice\fR
1919 .TP
1920 \fBcreate mask (S)\fR
1921 A synonym for this parameter is 
1922 \fIcreate mode\fR
1923 \&.
1924
1925 When a file is created, the necessary permissions are 
1926 calculated according to the mapping from DOS modes to UNIX 
1927 permissions, and the resulting UNIX mode is then bit-wise 'AND'ed 
1928 with this parameter. This parameter may be thought of as a bit-wise 
1929 MASK for the UNIX modes of a file. Any bit \fBnot\fR 
1930 set here will be removed from the modes set on a file when it is 
1931 created.
1932
1933 The default value of this parameter removes the 
1934 \&'group' and 'other' write and execute bits from the UNIX modes.
1935
1936 Following this Samba will bit-wise 'OR' the UNIX mode created 
1937 from this parameter with the value of the \fIforce create mode\fR
1938 parameter which is set to 000 by default.
1939
1940 This parameter does not affect directory modes. See the 
1941 parameter \fIdirectory mode
1942 \fRfor details.
1943
1944 See also the \fIforce 
1945 create mode\fR parameter for forcing particular mode 
1946 bits to be set on created files. See also the  \fIdirectory mode\fR parameter for masking 
1947 mode bits on created directories. See also the  \fIinherit permissions\fR parameter.
1948
1949 Note that this parameter does not apply to permissions
1950 set by Windows NT/2000 ACL editors. If the administrator wishes to enforce
1951 a mask on access control lists also, they need to set the \fIsecurity mask\fR.
1952
1953 Default: \fBcreate mask = 0744\fR
1954
1955 Example: \fBcreate mask = 0775\fR
1956 .TP
1957 \fBcreate mode (S)\fR
1958 This is a synonym for \fI create mask\fR.
1959 .TP
1960 \fBcsc policy (S)\fR
1961 This stands for \fBclient-side caching 
1962 policy\fR, and specifies how clients capable of offline
1963 caching will cache the files in the share. The valid values
1964 are: manual, documents, programs, disable.
1965
1966 These values correspond to those used on Windows
1967 servers.
1968
1969 For example, shares containing roaming profiles can have
1970 offline caching disabled using \fBcsc policy = disable
1971 \fR\&.
1972
1973 Default: \fBcsc policy = manual\fR
1974
1975 Example: \fBcsc policy = programs\fR
1976 .TP
1977 \fBdeadtime (G)\fR
1978 The value of the parameter (a decimal integer) 
1979 represents the number of minutes of inactivity before a connection 
1980 is considered dead, and it is disconnected. The deadtime only takes 
1981 effect if the number of open files is zero.
1982
1983 This is useful to stop a server's resources being 
1984 exhausted by a large number of inactive connections.
1985
1986 Most clients have an auto-reconnect feature when a 
1987 connection is broken so in most cases this parameter should be 
1988 transparent to users.
1989
1990 Using this parameter with a timeout of a few minutes 
1991 is recommended for most systems.
1992
1993 A deadtime of zero indicates that no auto-disconnection 
1994 should be performed.
1995
1996 Default: \fBdeadtime = 0\fR
1997
1998 Example: \fBdeadtime = 15\fR
1999 .TP
2000 \fBdebug hires timestamp (G)\fR
2001 Sometimes the timestamps in the log messages 
2002 are needed with a resolution of higher that seconds, this 
2003 boolean parameter adds microsecond resolution to the timestamp 
2004 message header when turned on.
2005
2006 Note that the parameter \fI debug timestamp\fR must be on for this to have an 
2007 effect.
2008
2009 Default: \fBdebug hires timestamp = no\fR
2010 .TP
2011 \fBdebug pid (G)\fR
2012 When using only one log file for more then one 
2013 forked smbd-process there may be hard to follow which process 
2014 outputs which message. This boolean parameter is adds the process-id 
2015 to the timestamp message headers in the logfile when turned on.
2016
2017 Note that the parameter \fI debug timestamp\fR must be on for this to have an 
2018 effect.
2019
2020 Default: \fBdebug pid = no\fR
2021 .TP
2022 \fBdebug timestamp (G)\fR
2023 Samba 2.2 debug log messages are timestamped 
2024 by default. If you are running at a high  \fIdebug level\fR these timestamps
2025 can be distracting. This boolean parameter allows timestamping 
2026 to be turned off.
2027
2028 Default: \fBdebug timestamp = yes\fR
2029 .TP
2030 \fBdebug uid (G)\fR
2031 Samba is sometimes run as root and sometime 
2032 run as the connected user, this boolean parameter inserts the 
2033 current euid, egid, uid and gid to the timestamp message headers 
2034 in the log file if turned on.
2035
2036 Note that the parameter \fI debug timestamp\fR must be on for this to have an 
2037 effect.
2038
2039 Default: \fBdebug uid = no\fR
2040 .TP
2041 \fBdebuglevel (G)\fR
2042 Synonym for \fI log level\fR.
2043 .TP
2044 \fBdefault (G)\fR
2045 A synonym for \fI default service\fR.
2046 .TP
2047 \fBdefault case (S)\fR
2048 See the section on  NAME MANGLING. Also note the  \fIshort preserve case\fR parameter.
2049
2050 Default: \fBdefault case = lower\fR
2051 .TP
2052 \fBdefault devmode (S)\fR
2053 This parameter is only applicable to printable services. When smbd is serving
2054 Printer Drivers to Windows NT/2k/XP clients, each printer on the Samba
2055 server has a Device Mode which defines things such as paper size and
2056 orientation and duplex settings. The device mode can only correctly be
2057 generated by the printer driver itself (which can only be executed on a
2058 Win32 platform). Because smbd is unable to execute the driver code
2059 to generate the device mode, the default behavior is to set this field
2060 to NULL.
2061
2062 Most problems with serving printer drivers to Windows NT/2k/XP clients
2063 can be traced to a problem with the generated device mode. Certain drivers
2064 will do things such as crashing the client's Explorer.exe with a NULL devmode.
2065 However, other printer drivers can cause the client's spooler service
2066 (spoolsv.exe) to die if the devmode was not created by the driver itself
2067 (i.e. smbd generates a default devmode).
2068
2069 This parameter should be used with care and tested with the printer
2070 driver in question. It is better to leave the device mode to NULL
2071 and let the Windows client set the correct values. Because drivers do not
2072 do this all the time, setting \fBdefault devmode = yes\fR
2073 will instruct smbd to generate a default one.
2074
2075 For more information on Windows NT/2k printing and Device Modes,
2076 see the MSDN documentation <URL:http://msdn.microsoft.com/>.
2077
2078 Default: \fBdefault devmode = no\fR
2079 .TP
2080 \fBdefault service (G)\fR
2081 This parameter specifies the name of a service
2082 which will be connected to if the service actually requested cannot
2083 be found. Note that the square brackets are \fBNOT\fR
2084 given in the parameter value (see example below).
2085
2086 There is no default value for this parameter. If this 
2087 parameter is not given, attempting to connect to a nonexistent 
2088 service results in an error.
2089
2090 Typically the default service would be a  \fIguest ok\fR,  \fIread-only\fR service.
2091
2092 Also note that the apparent service name will be changed 
2093 to equal that of the requested service, this is very useful as it 
2094 allows you to use macros like \fI%S\fR to make 
2095 a wildcard service.
2096
2097 Note also that any "_" characters in the name of the service 
2098 used in the default service will get mapped to a "/". This allows for
2099 interesting things.
2100
2101 Example:
2102
2103 .sp
2104 .nf
2105 [global]
2106         default service = pub
2107         
2108 [pub]
2109         path = /%S
2110                 
2111 .sp
2112 .fi
2113 .TP
2114 \fBdelete printer command (G)\fR
2115 With the introduction of MS-RPC based printer
2116 support for Windows NT/2000 clients in Samba 2.2, it is now 
2117 possible to delete printer at run time by issuing the 
2118 DeletePrinter() RPC call.
2119
2120 For a Samba host this means that the printer must be 
2121 physically deleted from underlying printing system. The \fI deleteprinter command\fR defines a script to be run which 
2122 will perform the necessary operations for removing the printer
2123 from the print system and from \fIsmb.conf\fR.
2124
2125 The \fIdelete printer command\fR is 
2126 automatically called with only one parameter: \fI "printer name"\fR.
2127
2128 Once the \fIdelete printer command\fR has 
2129 been executed, \fBsmbd\fR will reparse the \fI smb.conf\fR to associated printer no longer exists. 
2130 If the sharename is still valid, then \fBsmbd
2131 \fRwill return an ACCESS_DENIED error to the client.
2132
2133 See also \fI add printer command\fR, \fIprinting\fR,
2134 \fIshow add
2135 printer wizard\fR
2136
2137 Default: \fBnone\fR
2138
2139 Example: \fBdeleteprinter command = /usr/bin/removeprinter
2140 \fR.TP
2141 \fBdelete readonly (S)\fR
2142 This parameter allows readonly files to be deleted. 
2143 This is not normal DOS semantics, but is allowed by UNIX.
2144
2145 This option may be useful for running applications such 
2146 as rcs, where UNIX file ownership prevents changing file 
2147 permissions, and DOS semantics prevent deletion of a read only file.
2148
2149 Default: \fBdelete readonly = no\fR
2150 .TP
2151 \fBdelete share command (G)\fR
2152 Samba 2.2.0 introduced the ability to dynamically 
2153 add and delete shares via the Windows NT 4.0 Server Manager. The 
2154 \fIdelete share command\fR is used to define an 
2155 external program or script which will remove an existing service 
2156 definition from \fIsmb.conf\fR. In order to successfully 
2157 execute the \fIdelete share command\fR, \fBsmbd\fR
2158 requires that the administrator be connected using a root account (i.e. 
2159 uid == 0).
2160
2161 When executed, \fBsmbd\fR will automatically invoke the 
2162 \fIdelete share command\fR with two parameters.
2163 .RS
2164 .TP 0.2i
2165 \(bu
2166 \fIconfigFile\fR - the location 
2167 of the global \fIsmb.conf\fR file. 
2168 .TP 0.2i
2169 \(bu
2170 \fIshareName\fR - the name of 
2171 the existing service.
2172 .RE
2173 .PP
2174 This parameter is only used to remove file shares. To delete printer shares, 
2175 see the \fIdelete printer 
2176 command\fR.
2177 .PP
2178 .PP
2179 See also \fIadd share
2180 command\fR, \fIchange 
2181 share command\fR.
2182 .PP
2183 .PP
2184 Default: \fBnone\fR
2185 .PP
2186 .PP
2187 Example: \fBdelete share command = /usr/local/bin/delshare\fR
2188 .PP
2189 .TP
2190 \fBdelete user script (G)\fR
2191 This is the full pathname to a script that will 
2192 be run \fBAS ROOT\fR by  \fBsmbd(8)\fRunder special circumstances 
2193 described below.
2194
2195 Normally, a Samba server requires that UNIX users are 
2196 created for all users accessing files on this server. For sites 
2197 that use Windows NT account databases as their primary user database 
2198 creating these users and keeping the user list in sync with the 
2199 Windows NT PDC is an onerous task. This option allows \fB smbd\fR to delete the required UNIX users \fBON 
2200 DEMAND\fR when a user accesses the Samba server and the 
2201 Windows NT user no longer exists.
2202
2203 In order to use this option, \fBsmbd\fR must be 
2204 set to \fIsecurity = domain\fR or \fIsecurity =
2205 user\fR and \fIdelete user script\fR 
2206 must be set to a full pathname for a script 
2207 that will delete a UNIX user given one argument of \fI%u\fR, 
2208 which expands into the UNIX user name to delete.
2209
2210 When the Windows user attempts to access the Samba server, 
2211 at \fBlogin\fR (session setup in the SMB protocol) 
2212 time, \fBsmbd\fR contacts the  \fIpassword server\fR and attempts to authenticate 
2213 the given user with the given password. If the authentication fails 
2214 with the specific Domain error code meaning that the user no longer 
2215 exists then \fBsmbd\fR attempts to find a UNIX user in 
2216 the UNIX password database that matches the Windows user account. If 
2217 this lookup succeeds, and \fIdelete user script\fR is 
2218 set then \fBsmbd\fR will all the specified script 
2219 \fBAS ROOT\fR, expanding any \fI%u\fR 
2220 argument to be the user name to delete.
2221
2222 This script should delete the given UNIX username. In this way, 
2223 UNIX users are dynamically deleted to match existing Windows NT 
2224 accounts.
2225
2226 See also security = domain,
2227 \fIpassword server\fR
2228 , \fIadd user script\fR
2229 \&.
2230
2231 Default: \fBdelete user script = <empty string>
2232 \fR
2233 Example: \fBdelete user script = /usr/local/samba/bin/del_user 
2234 %u\fR
2235 .TP
2236 \fBdelete veto files (S)\fR
2237 This option is used when Samba is attempting to 
2238 delete a directory that contains one or more vetoed directories 
2239 (see the \fIveto files\fR
2240 option). If this option is set to false (the default) then if a vetoed 
2241 directory contains any non-vetoed files or directories then the 
2242 directory delete will fail. This is usually what you want.
2243
2244 If this option is set to true, then Samba 
2245 will attempt to recursively delete any files and directories within 
2246 the vetoed directory. This can be useful for integration with file 
2247 serving systems such as NetAtalk which create meta-files within 
2248 directories you might normally veto DOS/Windows users from seeing 
2249 (e.g. \fI.AppleDouble\fR)
2250
2251 Setting \fBdelete veto files = yes\fR allows these 
2252 directories to be transparently deleted when the parent directory 
2253 is deleted (so long as the user has permissions to do so).
2254
2255 See also the \fIveto 
2256 files\fR parameter.
2257
2258 Default: \fBdelete veto files = no\fR
2259 .TP
2260 \fBdeny hosts (S)\fR
2261 Synonym for \fIhosts 
2262 deny\fR.
2263 .TP
2264 \fBdfree command (G)\fR
2265 The \fIdfree command\fR setting should 
2266 only be used on systems where a problem occurs with the internal 
2267 disk space calculations. This has been known to happen with Ultrix, 
2268 but may occur with other operating systems. The symptom that was 
2269 seen was an error of "Abort Retry Ignore" at the end of each 
2270 directory listing.
2271
2272 This setting allows the replacement of the internal routines to
2273 calculate the total disk space and amount available with an external
2274 routine. The example below gives a possible script that might fulfill
2275 this function.
2276
2277 The external program will be passed a single parameter indicating 
2278 a directory in the filesystem being queried. This will typically consist
2279 of the string \fI./\fR. The script should return two 
2280 integers in ASCII. The first should be the total disk space in blocks, 
2281 and the second should be the number of available blocks. An optional 
2282 third return value can give the block size in bytes. The default 
2283 blocksize is 1024 bytes.
2284
2285 Note: Your script should \fBNOT\fR be setuid or 
2286 setgid and should be owned by (and writeable only by) root!
2287
2288 Default: \fBBy default internal routines for 
2289 determining the disk capacity and remaining space will be used.
2290 \fR
2291 Example: \fBdfree command = /usr/local/samba/bin/dfree
2292 \fR
2293 Where the script dfree (which must be made executable) could be:
2294
2295 .sp
2296 .nf
2297  
2298                 #!/bin/sh
2299                 df $1 | tail -1 | awk '{print $2" "$4}'
2300                 
2301 .sp
2302 .fi
2303
2304 or perhaps (on Sys V based systems):
2305
2306 .sp
2307 .nf
2308  
2309                 #!/bin/sh
2310                 /usr/bin/df -k $1 | tail -1 | awk '{print $3" "$5}'
2311                 
2312 .sp
2313 .fi
2314
2315 Note that you may have to replace the command names 
2316 with full path names on some systems.
2317 .TP
2318 \fBdirectory (S)\fR
2319 Synonym for \fIpath
2320 \fR\&.
2321 .TP
2322 \fBdirectory mask (S)\fR
2323 This parameter is the octal modes which are 
2324 used when converting DOS modes to UNIX modes when creating UNIX 
2325 directories.
2326
2327 When a directory is created, the necessary permissions are 
2328 calculated according to the mapping from DOS modes to UNIX permissions, 
2329 and the resulting UNIX mode is then bit-wise 'AND'ed with this 
2330 parameter. This parameter may be thought of as a bit-wise MASK for 
2331 the UNIX modes of a directory. Any bit \fBnot\fR set 
2332 here will be removed from the modes set on a directory when it is 
2333 created.
2334
2335 The default value of this parameter removes the 'group' 
2336 and 'other' write bits from the UNIX mode, allowing only the 
2337 user who owns the directory to modify it.
2338
2339 Following this Samba will bit-wise 'OR' the UNIX mode 
2340 created from this parameter with the value of the \fIforce directory mode
2341 \fRparameter. This parameter is set to 000 by 
2342 default (i.e. no extra mode bits are added).
2343
2344 Note that this parameter does not apply to permissions
2345 set by Windows NT/2000 ACL editors. If the administrator wishes to enforce
2346 a mask on access control lists also, they need to set the \fIdirectory security mask\fR.
2347
2348 See the \fIforce 
2349 directory mode\fR parameter to cause particular mode 
2350 bits to always be set on created directories.
2351
2352 See also the \fIcreate mode
2353 \fRparameter for masking mode bits on created files, 
2354 and the \fIdirectory 
2355 security mask\fR parameter.
2356
2357 Also refer to the \fI inherit permissions\fR parameter.
2358
2359 Default: \fBdirectory mask = 0755\fR
2360
2361 Example: \fBdirectory mask = 0775\fR
2362 .TP
2363 \fBdirectory mode (S)\fR
2364 Synonym for \fI directory mask\fR
2365 .TP
2366 \fBdirectory security mask (S)\fR
2367 This parameter controls what UNIX permission bits 
2368 can be modified when a Windows NT client is manipulating the UNIX 
2369 permission on a directory using the native NT security dialog 
2370 box.
2371
2372 This parameter is applied as a mask (AND'ed with) to 
2373 the changed permission bits, thus preventing any bits not in 
2374 this mask from being modified. Essentially, zero bits in this 
2375 mask may be treated as a set of bits the user is not allowed 
2376 to change.
2377
2378 If not set explicitly this parameter is set to 0777
2379 meaning a user is allowed to modify all the user/group/world
2380 permissions on a directory.
2381
2382 \fBNote\fR that users who can access the 
2383 Samba server through other means can easily bypass this restriction, 
2384 so it is primarily useful for standalone "appliance" systems. 
2385 Administrators of most normal systems will probably want to leave
2386 it as the default of 0777.
2387
2388 See also the \fI force directory security mode\fR, \fIsecurity mask\fR, 
2389 \fIforce security mode
2390 \fRparameters.
2391
2392 Default: \fBdirectory security mask = 0777\fR
2393
2394 Example: \fBdirectory security mask = 0700\fR
2395 .TP
2396 \fBdisable spoolss (G)\fR
2397 Enabling this parameter will disables Samba's support
2398 for the SPOOLSS set of MS-RPC's and will yield identical behavior
2399 as Samba 2.0.x. Windows NT/2000 clients will downgrade to using
2400 Lanman style printing commands. Windows 9x/ME will be uneffected by
2401 the parameter. However, this will also disable the ability to upload
2402 printer drivers to a Samba server via the Windows NT Add Printer
2403 Wizard or by using the NT printer properties dialog window. It will
2404 also disable the capability of Windows NT/2000 clients to download
2405 print drivers from the Samba host upon demand.
2406 \fBBe very careful about enabling this parameter.\fR
2407
2408 See also use client driver
2409
2410 Default : \fBdisable spoolss = no\fR
2411 .TP
2412 \fBdns proxy (G)\fR
2413 Specifies that nmbd(8)
2414 when acting as a WINS server and finding that a NetBIOS name has not 
2415 been registered, should treat the NetBIOS name word-for-word as a DNS 
2416 name and do a lookup with the DNS server for that name on behalf of 
2417 the name-querying client.
2418
2419 Note that the maximum length for a NetBIOS name is 15 
2420 characters, so the DNS name (or DNS alias) can likewise only be 
2421 15 characters, maximum.
2422
2423 \fBnmbd\fR spawns a second copy of itself to do the
2424 DNS name lookup requests, as doing a name lookup is a blocking 
2425 action.
2426
2427 See also the parameter \fI wins support\fR.
2428
2429 Default: \fBdns proxy = yes\fR
2430 .TP
2431 \fBdomain admin group (G)\fR
2432 This parameter is intended as a temporary solution
2433 to enable users to be a member of the "Domain Admins" group when 
2434 a Samba host is acting as a PDC. A complete solution will be provided
2435 by a system for mapping Windows NT/2000 groups onto UNIX groups.
2436 Please note that this parameter has a somewhat confusing name. It 
2437 accepts a list of usernames and of group names in standard 
2438 \fIsmb.conf\fR notation.
2439
2440 See also \fIdomain
2441 guest group\fR, \fIdomain
2442 logons\fR
2443
2444 Default: \fBno domain administrators\fR
2445
2446 Example: \fBdomain admin group = root @wheel\fR
2447 .TP
2448 \fBdomain guest group (G)\fR
2449 This parameter is intended as a temporary solution
2450 to enable users to be a member of the "Domain Guests" group when 
2451 a Samba host is acting as a PDC. A complete solution will be provided
2452 by a system for mapping Windows NT/2000 groups onto UNIX groups.
2453 Please note that this parameter has a somewhat confusing name. It 
2454 accepts a list of usernames and of group names in standard 
2455 \fIsmb.conf\fR notation.
2456
2457 See also \fIdomain
2458 admin group\fR, \fIdomain
2459 logons\fR
2460
2461 Default: \fBno domain guests\fR
2462
2463 Example: \fBdomain guest group = nobody @guest\fR
2464 .TP
2465 \fBdomain logons (G)\fR
2466 If set to true, the Samba server will serve 
2467 Windows 95/98 Domain logons for the  \fIworkgroup\fR it is in. Samba 2.2 also 
2468 has limited capability to act as a domain controller for Windows 
2469 NT 4 Domains. For more details on setting up this feature see 
2470 the Samba-PDC-HOWTO included in the \fIhtmldocs/\fR
2471 directory shipped with the source code.
2472
2473 Default: \fBdomain logons = no\fR
2474 .TP
2475 \fBdomain master (G)\fR
2476 Tell \fB nmbd(8)\fRto enable WAN-wide browse list
2477 collation. Setting this option causes \fBnmbd\fR to
2478 claim a special domain specific NetBIOS name that identifies 
2479 it as a domain master browser for its given  \fIworkgroup\fR. Local master browsers 
2480 in the same \fIworkgroup\fR on broadcast-isolated 
2481 subnets will give this \fBnmbd\fR their local browse lists, 
2482 and then ask \fBsmbd(8)\fR
2483 for a complete copy of the browse list for the whole wide area 
2484 network. Browser clients will then contact their local master browser, 
2485 and will receive the domain-wide browse list, instead of just the list 
2486 for their broadcast-isolated subnet.
2487
2488 Note that Windows NT Primary Domain Controllers expect to be 
2489 able to claim this \fIworkgroup\fR specific special 
2490 NetBIOS name that identifies them as domain master browsers for 
2491 that \fIworkgroup\fR by default (i.e. there is no 
2492 way to prevent a Windows NT PDC from attempting to do this). This 
2493 means that if this parameter is set and \fBnmbd\fR claims 
2494 the special name for a \fIworkgroup\fR before a Windows 
2495 NT PDC is able to do so then cross subnet browsing will behave 
2496 strangely and may fail.
2497
2498 If \fBdomain logons = yes\fR
2499 , then the default behavior is to enable the \fIdomain 
2500 master\fR parameter. If \fIdomain logons\fR is 
2501 not enabled (the default setting), then neither will \fIdomain 
2502 master\fR be enabled by default.
2503
2504 Default: \fBdomain master = auto\fR
2505 .TP
2506 \fBdont descend (S)\fR
2507 There are certain directories on some systems 
2508 (e.g., the \fI/proc\fR tree under Linux) that are either not 
2509 of interest to clients or are infinitely deep (recursive). This 
2510 parameter allows you to specify a comma-delimited list of directories 
2511 that the server should always show as empty.
2512
2513 Note that Samba can be very fussy about the exact format 
2514 of the "dont descend" entries. For example you may need \fI ./proc\fR instead of just \fI/proc\fR. 
2515 Experimentation is the best policy :-) 
2516
2517 Default: \fBnone (i.e., all directories are OK 
2518 to descend)\fR
2519
2520 Example: \fBdont descend = /proc,/dev\fR
2521 .TP
2522 \fBdos filemode (S)\fR
2523 The default behavior in Samba is to provide 
2524 UNIX-like behavior where only the owner of a file/directory is 
2525 able to change the permissions on it. However, this behavior
2526 is often confusing to DOS/Windows users. Enabling this parameter 
2527 allows a user who has write access to the file (by whatever 
2528 means) to modify the permissions on it. Note that a user
2529 belonging to the group owning the file will not be allowed to
2530 change permissions if the group is only granted read access.
2531 Ownership of the file/directory is not changed, only the permissions 
2532 are modified.
2533
2534 Default: \fBdos filemode = no\fR
2535 .TP
2536 \fBdos filetime resolution (S)\fR
2537 Under the DOS and Windows FAT filesystem, the finest 
2538 granularity on time resolution is two seconds. Setting this parameter 
2539 for a share causes Samba to round the reported time down to the 
2540 nearest two second boundary when a query call that requires one second 
2541 resolution is made to \fBsmbd(8)\fR
2542 .
2543
2544 This option is mainly used as a compatibility option for Visual 
2545 C++ when used against Samba shares. If oplocks are enabled on a 
2546 share, Visual C++ uses two different time reading calls to check if a 
2547 file has changed since it was last read. One of these calls uses a
2548 one-second granularity, the other uses a two second granularity. As
2549 the two second call rounds any odd second down, then if the file has a
2550 timestamp of an odd number of seconds then the two timestamps will not
2551 match and Visual C++ will keep reporting the file has changed. Setting
2552 this option causes the two timestamps to match, and Visual C++ is
2553 happy.
2554
2555 Default: \fBdos filetime resolution = no\fR
2556 .TP
2557 \fBdos filetimes (S)\fR
2558 Under DOS and Windows, if a user can write to a 
2559 file they can change the timestamp on it. Under POSIX semantics, 
2560 only the owner of the file or root may change the timestamp. By 
2561 default, Samba runs with POSIX semantics and refuses to change the 
2562 timestamp on a file if the user \fBsmbd\fR is acting 
2563 on behalf of is not the file owner. Setting this option to  true allows DOS semantics and smbdwill change the file 
2564 timestamp as DOS requires.
2565
2566 Default: \fBdos filetimes = no\fR
2567 .TP
2568 \fBencrypt passwords (G)\fR
2569 This boolean controls whether encrypted passwords 
2570 will be negotiated with the client. Note that Windows NT 4.0 SP3 and 
2571 above and also Windows 98 will by default expect encrypted passwords 
2572 unless a registry entry is changed. To use encrypted passwords in 
2573 Samba see the file ENCRYPTION.txt in the Samba documentation 
2574 directory \fIdocs/\fR shipped with the source code.
2575
2576 In order for encrypted passwords to work correctly
2577 \fBsmbd(8)\fRmust either 
2578 have access to a local \fIsmbpasswd(5)
2579 \fRprogram for information on how to set up 
2580 and maintain this file), or set the security = [server|domain|ads] parameter which 
2581 causes \fBsmbd\fR to authenticate against another 
2582 server.
2583
2584 Default: \fBencrypt passwords = yes\fR
2585 .TP
2586 \fBenhanced browsing (G)\fR
2587 This option enables a couple of enhancements to 
2588 cross-subnet browse propagation that have been added in Samba 
2589 but which are not standard in Microsoft implementations. 
2590
2591 The first enhancement to browse propagation consists of a regular
2592 wildcard query to a Samba WINS server for all Domain Master Browsers,
2593 followed by a browse synchronization with each of the returned
2594 DMBs. The second enhancement consists of a regular randomised browse
2595 synchronization with all currently known DMBs.
2596
2597 You may wish to disable this option if you have a problem with empty
2598 workgroups not disappearing from browse lists. Due to the restrictions
2599 of the browse protocols these enhancements can cause a empty workgroup
2600 to stay around forever which can be annoying.
2601
2602 In general you should leave this option enabled as it makes
2603 cross-subnet browse propagation much more reliable.
2604
2605 Default: \fBenhanced browsing = yes\fR
2606 .TP
2607 \fBenumports command (G)\fR
2608 The concept of a "port" is fairly foreign
2609 to UNIX hosts. Under Windows NT/2000 print servers, a port
2610 is associated with a port monitor and generally takes the form of
2611 a local port (i.e. LPT1:, COM1:, FILE:) or a remote port
2612 (i.e. LPD Port Monitor, etc...). By default, Samba has only one
2613 port defined--"Samba Printer Port". Under 
2614 Windows NT/2000, all printers must have a valid port name. 
2615 If you wish to have a list of ports displayed (\fBsmbd
2616 \fRdoes not use a port name for anything) other than 
2617 the default "Samba Printer Port", you 
2618 can define \fIenumports command\fR to point to
2619 a program which should generate a list of ports, one per line,
2620 to standard output. This listing will then be used in response
2621 to the level 1 and 2 EnumPorts() RPC.
2622
2623 Default: \fBno enumports command\fR
2624
2625 Example: \fBenumports command = /usr/bin/listports
2626 \fR.TP
2627 \fBexec (S)\fR
2628 This is a synonym for  \fIpreexec\fR.
2629 .TP
2630 \fBfake directory create times (S)\fR
2631 NTFS and Windows VFAT file systems keep a create 
2632 time for all files and directories. This is not the same as the 
2633 ctime - status change time - that Unix keeps, so Samba by default 
2634 reports the earliest of the various times Unix does keep. Setting 
2635 this parameter for a share causes Samba to always report midnight 
2636 1-1-1980 as the create time for directories.
2637
2638 This option is mainly used as a compatibility option for 
2639 Visual C++ when used against Samba shares. Visual C++ generated 
2640 makefiles have the object directory as a dependency for each object 
2641 file, and a make rule to create the directory. Also, when NMAKE 
2642 compares timestamps it uses the creation time when examining a 
2643 directory. Thus the object directory will be created if it does not 
2644 exist, but once it does exist it will always have an earlier 
2645 timestamp than the object files it contains.
2646
2647 However, Unix time semantics mean that the create time 
2648 reported by Samba will be updated whenever a file is created or 
2649 or deleted in the directory. NMAKE finds all object files in 
2650 the object directory. The timestamp of the last one built is then 
2651 compared to the timestamp of the object directory. If the 
2652 directory's timestamp if newer, then all object files
2653 will be rebuilt. Enabling this option 
2654 ensures directories always predate their contents and an NMAKE build 
2655 will proceed as expected.
2656
2657 Default: \fBfake directory create times = no\fR
2658 .TP
2659 \fBfake oplocks (S)\fR
2660 Oplocks are the way that SMB clients get permission 
2661 from a server to locally cache file operations. If a server grants 
2662 an oplock (opportunistic lock) then the client is free to assume 
2663 that it is the only one accessing the file and it will aggressively 
2664 cache file data. With some oplock types the client may even cache 
2665 file open/close operations. This can give enormous performance benefits.
2666
2667 When you set \fBfake oplocks = yes\fR, \fBsmbd(8)\fRwill
2668 always grant oplock requests no matter how many clients are using 
2669 the file.
2670
2671 It is generally much better to use the real \fIoplocks\fR support rather 
2672 than this parameter.
2673
2674 If you enable this option on all read-only shares or 
2675 shares that you know will only be accessed from one client at a 
2676 time such as physically read-only media like CDROMs, you will see 
2677 a big performance improvement on many operations. If you enable 
2678 this option on shares where multiple clients may be accessing the 
2679 files read-write at the same time you can get data corruption. Use 
2680 this option carefully!
2681
2682 Default: \fBfake oplocks = no\fR
2683 .TP
2684 \fBfollow symlinks (S)\fR
2685 This parameter allows the Samba administrator 
2686 to stop \fBsmbd(8)\fR
2687 from following symbolic links in a particular share. Setting this 
2688 parameter to no prevents any file or directory 
2689 that is a symbolic link from being followed (the user will get an 
2690 error). This option is very useful to stop users from adding a 
2691 symbolic link to \fI/etc/passwd\fR in their home 
2692 directory for instance. However it will slow filename lookups 
2693 down slightly.
2694
2695 This option is enabled (i.e. \fBsmbd\fR will 
2696 follow symbolic links) by default.
2697
2698 Default: \fBfollow symlinks = yes\fR
2699 .TP
2700 \fBforce create mode (S)\fR
2701 This parameter specifies a set of UNIX mode bit 
2702 permissions that will \fBalways\fR be set on a 
2703 file created by Samba. This is done by bitwise 'OR'ing these bits onto 
2704 the mode bits of a file that is being created or having its 
2705 permissions changed. The default for this parameter is (in octal) 
2706 000. The modes in this parameter are bitwise 'OR'ed onto the file 
2707 mode after the mask set in the \fIcreate mask\fR 
2708 parameter is applied.
2709
2710 See also the parameter \fIcreate 
2711 mask\fR for details on masking mode bits on files.
2712
2713 See also the \fIinherit 
2714 permissions\fR parameter.
2715
2716 Default: \fBforce create mode = 000\fR
2717
2718 Example: \fBforce create mode = 0755\fR
2719
2720 would force all created files to have read and execute 
2721 permissions set for 'group' and 'other' as well as the 
2722 read/write/execute bits set for the 'user'.
2723 .TP
2724 \fBforce directory mode (S)\fR
2725 This parameter specifies a set of UNIX mode bit 
2726 permissions that will \fBalways\fR be set on a directory 
2727 created by Samba. This is done by bitwise 'OR'ing these bits onto the 
2728 mode bits of a directory that is being created. The default for this 
2729 parameter is (in octal) 0000 which will not add any extra permission 
2730 bits to a created directory. This operation is done after the mode 
2731 mask in the parameter \fIdirectory mask\fR is 
2732 applied.
2733
2734 See also the parameter \fI directory mask\fR for details on masking mode bits 
2735 on created directories.
2736
2737 See also the \fI inherit permissions\fR parameter.
2738
2739 Default: \fBforce directory mode = 000\fR
2740
2741 Example: \fBforce directory mode = 0755\fR
2742
2743 would force all created directories to have read and execute
2744 permissions set for 'group' and 'other' as well as the
2745 read/write/execute bits set for the 'user'.
2746 .TP
2747 \fBforce directory  security mode (S)\fR
2748 This parameter controls what UNIX permission bits 
2749 can be modified when a Windows NT client is manipulating the UNIX 
2750 permission on a directory using the native NT security dialog box.
2751
2752 This parameter is applied as a mask (OR'ed with) to the 
2753 changed permission bits, thus forcing any bits in this mask that 
2754 the user may have modified to be on. Essentially, one bits in this 
2755 mask may be treated as a set of bits that, when modifying security 
2756 on a directory, the user has always set to be 'on'.
2757
2758 If not set explicitly this parameter is 000, which 
2759 allows a user to modify all the user/group/world permissions on a 
2760 directory without restrictions.
2761
2762 \fBNote\fR that users who can access the 
2763 Samba server through other means can easily bypass this restriction, 
2764 so it is primarily useful for standalone "appliance" systems. 
2765 Administrators of most normal systems will probably want to leave
2766 it set as 0000.
2767
2768 See also the \fI directory security mask\fR,  \fIsecurity mask\fR, 
2769 \fIforce security mode
2770 \fRparameters.
2771
2772 Default: \fBforce directory security mode = 0\fR
2773
2774 Example: \fBforce directory security mode = 700\fR
2775 .TP
2776 \fBforce group (S)\fR
2777 This specifies a UNIX group name that will be 
2778 assigned as the default primary group for all users connecting 
2779 to this service. This is useful for sharing files by ensuring 
2780 that all access to files on service will use the named group for 
2781 their permissions checking. Thus, by assigning permissions for this 
2782 group to the files and directories within this service the Samba 
2783 administrator can restrict or allow sharing of these files.
2784
2785 In Samba 2.0.5 and above this parameter has extended 
2786 functionality in the following way. If the group name listed here 
2787 has a '+' character prepended to it then the current user accessing 
2788 the share only has the primary group default assigned to this group 
2789 if they are already assigned as a member of that group. This allows 
2790 an administrator to decide that only users who are already in a 
2791 particular group will create files with group ownership set to that 
2792 group. This gives a finer granularity of ownership assignment. For 
2793 example, the setting \fIforce group = +sys\fR means 
2794 that only users who are already in group sys will have their default
2795 primary group assigned to sys when accessing this Samba share. All
2796 other users will retain their ordinary primary group.
2797
2798 If the \fIforce user
2799 \fRparameter is also set the group specified in 
2800 \fIforce group\fR will override the primary group
2801 set in \fIforce user\fR.
2802
2803 See also \fIforce 
2804 user\fR.
2805
2806 Default: \fBno forced group\fR
2807
2808 Example: \fBforce group = agroup\fR
2809 .TP
2810 \fBforce security mode (S)\fR
2811 This parameter controls what UNIX permission 
2812 bits can be modified when a Windows NT client is manipulating 
2813 the UNIX permission on a file using the native NT security dialog 
2814 box.
2815
2816 This parameter is applied as a mask (OR'ed with) to the 
2817 changed permission bits, thus forcing any bits in this mask that 
2818 the user may have modified to be on. Essentially, one bits in this 
2819 mask may be treated as a set of bits that, when modifying security 
2820 on a file, the user has always set to be 'on'.
2821
2822 If not set explicitly this parameter is set to 0,
2823 and allows a user to modify all the user/group/world permissions on a file,
2824 with no restrictions.
2825
2826 \fBNote\fR that users who can access 
2827 the Samba server through other means can easily bypass this restriction, 
2828 so it is primarily useful for standalone "appliance" systems. 
2829 Administrators of most normal systems will probably want to leave
2830 this set to 0000.
2831
2832 See also the \fI force directory security mode\fR,
2833 \fIdirectory security
2834 mask\fR, \fI security mask\fR parameters.
2835
2836 Default: \fBforce security mode = 0\fR
2837
2838 Example: \fBforce security mode = 700\fR
2839 .TP
2840 \fBforce user (S)\fR
2841 This specifies a UNIX user name that will be 
2842 assigned as the default user for all users connecting to this service. 
2843 This is useful for sharing files. You should also use it carefully 
2844 as using it incorrectly can cause security problems.
2845
2846 This user name only gets used once a connection is established. 
2847 Thus clients still need to connect as a valid user and supply a 
2848 valid password. Once connected, all file operations will be performed 
2849 as the "forced user", no matter what username the client connected 
2850 as. This can be very useful.
2851
2852 In Samba 2.0.5 and above this parameter also causes the 
2853 primary group of the forced user to be used as the primary group 
2854 for all file activity. Prior to 2.0.5 the primary group was left 
2855 as the primary group of the connecting user (this was a bug).
2856
2857 See also \fIforce group
2858 \fR
2859 Default: \fBno forced user\fR
2860
2861 Example: \fBforce user = auser\fR
2862 .TP
2863 \fBfstype (S)\fR
2864 This parameter allows the administrator to 
2865 configure the string that specifies the type of filesystem a share 
2866 is using that is reported by \fBsmbd(8)
2867 \fRwhen a client queries the filesystem type
2868 for a share. The default type is NTFS for 
2869 compatibility with Windows NT but this can be changed to other 
2870 strings such as Samba or FAT
2871 if required.
2872
2873 Default: \fBfstype = NTFS\fR
2874
2875 Example: \fBfstype = Samba\fR
2876 .TP
2877 \fBgetwd cache (G)\fR
2878 This is a tuning option. When this is enabled a 
2879 caching algorithm will be used to reduce the time taken for getwd() 
2880 calls. This can have a significant impact on performance, especially 
2881 when the \fIwide links\fR
2882 parameter is set to false.
2883
2884 Default: \fBgetwd cache = yes\fR
2885 .TP
2886 \fBgroup (S)\fR
2887 Synonym for \fIforce 
2888 group\fR.
2889 .TP
2890 \fBguest account (S)\fR
2891 This is a username which will be used for access 
2892 to services which are specified as \fI guest ok\fR (see below). Whatever privileges this 
2893 user has will be available to any client connecting to the guest service. 
2894 Typically this user will exist in the password file, but will not
2895 have a valid login. The user account "ftp" is often a good choice 
2896 for this parameter. If a username is specified in a given service, 
2897 the specified username overrides this one.
2898
2899 One some systems the default guest account "nobody" may not 
2900 be able to print. Use another account in this case. You should test 
2901 this by trying to log in as your guest user (perhaps by using the 
2902 \fBsu -\fR command) and trying to print using the 
2903 system print command such as \fBlpr(1)\fR or \fB lp(1)\fR.
2904
2905 Default: \fBspecified at compile time, usually 
2906 "nobody"\fR
2907
2908 Example: \fBguest account = ftp\fR
2909 .TP
2910 \fBguest ok (S)\fR
2911 If this parameter is yes for 
2912 a service, then no password is required to connect to the service. 
2913 Privileges will be those of the \fI guest account\fR.
2914
2915 See the section below on \fI security\fR for more information about this option.
2916
2917 Default: \fBguest ok = no\fR
2918 .TP
2919 \fBguest only (S)\fR
2920 If this parameter is yes for 
2921 a service, then only guest connections to the service are permitted. 
2922 This parameter will have no effect if  \fIguest ok\fR is not set for the service.
2923
2924 See the section below on \fI security\fR for more information about this option.
2925
2926 Default: \fBguest only = no\fR
2927 .TP
2928 \fBhide dot files (S)\fR
2929 This is a boolean parameter that controls whether 
2930 files starting with a dot appear as hidden files.
2931
2932 Default: \fBhide dot files = yes\fR
2933 .TP
2934 \fBhide files(S)\fR
2935 This is a list of files or directories that are not 
2936 visible but are accessible. The DOS 'hidden' attribute is applied 
2937 to any files or directories that match.
2938
2939 Each entry in the list must be separated by a '/', 
2940 which allows spaces to be included in the entry. '*'
2941 and '?' can be used to specify multiple files or directories 
2942 as in DOS wildcards.
2943
2944 Each entry must be a Unix path, not a DOS path and must 
2945 not include the Unix directory separator '/'.
2946
2947 Note that the case sensitivity option is applicable 
2948 in hiding files.
2949
2950 Setting this parameter will affect the performance of Samba, 
2951 as it will be forced to check all files and directories for a match 
2952 as they are scanned.
2953
2954 See also \fIhide 
2955 dot files\fR, \fI veto files\fR and  \fIcase sensitive\fR.
2956
2957 Default: \fBno file are hidden\fR
2958
2959 Example: \fBhide files =
2960 /.*/DesktopFolderDB/TrashFor%m/resource.frk/\fR
2961
2962 The above example is based on files that the Macintosh 
2963 SMB client (DAVE) available from  
2964 Thursby <URL:http://www.thursby.com> creates for internal use, and also still hides 
2965 all files beginning with a dot.
2966 .TP
2967 \fBhide local users(G)\fR
2968 This parameter toggles the hiding of local UNIX 
2969 users (root, wheel, floppy, etc) from remote clients.
2970
2971 Default: \fBhide local users = no\fR
2972 .TP
2973 \fBhide unreadable (S)\fR
2974 This parameter prevents clients from seeing the
2975 existance of files that cannot be read. Defaults to off.
2976
2977 Default: \fBhide unreadable = no\fR
2978 .TP
2979 \fBhomedir map (G)\fR
2980 If\fInis homedir
2981 \fRis true, and \fBsmbd(8)\fRis also acting 
2982 as a Win95/98 \fIlogon server\fR then this parameter 
2983 specifies the NIS (or YP) map from which the server for the user's 
2984 home directory should be extracted. At present, only the Sun 
2985 auto.home map format is understood. The form of the map is:
2986
2987 \fBusername server:/some/file/system\fR
2988
2989 and the program will extract the servername from before 
2990 the first ':'. There should probably be a better parsing system 
2991 that copes with different map formats and also Amd (another 
2992 automounter) maps.
2993
2994 \fBNOTE :\fRA working NIS client is required on 
2995 the system for this option to work.
2996
2997 See also \fInis homedir\fR
2998 , \fIdomain logons\fR
2999 \&.
3000
3001 Default: \fBhomedir map = <empty string>\fR
3002
3003 Example: \fBhomedir map = amd.homedir\fR
3004 .TP
3005 \fBhost msdfs (G)\fR
3006 This boolean parameter is only available 
3007 if Samba has been configured and compiled with the \fB --with-msdfs\fR option. If set to yes, 
3008 Samba will act as a Dfs server, and allow Dfs-aware clients 
3009 to browse Dfs trees hosted on the server.
3010
3011 See also the \fI msdfs root\fR share level parameter. For
3012 more information on setting up a Dfs tree on Samba,
3013 refer to msdfs_setup.html.
3014
3015 Default: \fBhost msdfs = no\fR
3016 .TP
3017 \fBhosts allow (S)\fR
3018 A synonym for this parameter is \fIallow 
3019 hosts\fR.
3020
3021 This parameter is a comma, space, or tab delimited 
3022 set of hosts which are permitted to access a service.
3023
3024 If specified in the [global] section then it will
3025 apply to all services, regardless of whether the individual 
3026 service has a different setting.
3027
3028 You can specify the hosts by name or IP number. For 
3029 example, you could restrict access to only the hosts on a 
3030 Class C subnet with something like \fBallow hosts = 150.203.5.
3031 \fR\&. The full syntax of the list is described in the man 
3032 page \fIhosts_access(5)\fR. Note that this man
3033 page may not be present on your system, so a brief description will
3034 be given here also.
3035
3036 Note that the localhost address 127.0.0.1 will always 
3037 be allowed access unless specifically denied by a \fIhosts deny\fR option.
3038
3039 You can also specify hosts by network/netmask pairs and 
3040 by netgroup names if your system supports netgroups. The 
3041 \fBEXCEPT\fR keyword can also be used to limit a 
3042 wildcard list. The following examples may provide some help:
3043
3044 Example 1: allow all IPs in 150.203.*.*; except one
3045
3046 \fBhosts allow = 150.203. EXCEPT 150.203.6.66\fR
3047
3048 Example 2: allow hosts that match the given network/netmask
3049
3050 \fBhosts allow = 150.203.15.0/255.255.255.0\fR
3051
3052 Example 3: allow a couple of hosts
3053
3054 \fBhosts allow = lapland, arvidsjaur\fR
3055
3056 Example 4: allow only hosts in NIS netgroup "foonet", but 
3057 deny access from one particular host
3058
3059 \fBhosts allow = @foonet\fR
3060
3061 \fBhosts deny = pirate\fR
3062
3063 Note that access still requires suitable user-level passwords.
3064
3065 See \fBtestparm(1)\fR
3066 for a way of testing your host access to see if it does 
3067 what you expect.
3068
3069 Default: \fBnone (i.e., all hosts permitted access)
3070 \fR
3071 Example: \fBallow hosts = 150.203.5. myhost.mynet.edu.au
3072 \fR.TP
3073 \fBhosts deny (S)\fR
3074 The opposite of \fIhosts allow\fR 
3075 - hosts listed here are \fBNOT\fR permitted access to 
3076 services unless the specific services have their own lists to override 
3077 this one. Where the lists conflict, the \fIallow\fR 
3078 list takes precedence.
3079
3080 Default: \fBnone (i.e., no hosts specifically excluded)
3081 \fR
3082 Example: \fBhosts deny = 150.203.4. badhost.mynet.edu.au
3083 \fR.TP
3084 \fBhosts equiv (G)\fR
3085 If this global parameter is a non-null string, 
3086 it specifies the name of a file to read for the names of hosts 
3087 and users who will be allowed access without specifying a password.
3088
3089 This is not be confused with  \fIhosts allow\fR which is about hosts 
3090 access to services and is more useful for guest services. \fI hosts equiv\fR may be useful for NT clients which will 
3091 not supply passwords to Samba.
3092
3093 \fBNOTE :\fR The use of \fIhosts equiv
3094 \fRcan be a major security hole. This is because you are 
3095 trusting the PC to supply the correct username. It is very easy to 
3096 get a PC to supply a false username. I recommend that the 
3097 \fIhosts equiv\fR option be only used if you really 
3098 know what you are doing, or perhaps on a home network where you trust 
3099 your spouse and kids. And only if you \fBreally\fR trust 
3100 them :-).
3101
3102 Default: \fBno host equivalences\fR
3103
3104 Example: \fBhosts equiv = /etc/hosts.equiv\fR
3105 .TP
3106 \fBinclude (G)\fR
3107 This allows you to include one config file 
3108 inside another. The file is included literally, as though typed 
3109 in place.
3110
3111 It takes the standard substitutions, except \fI%u
3112 \fR, \fI%P\fR and \fI%S\fR.
3113
3114 Default: \fBno file included\fR
3115
3116 Example: \fBinclude = /usr/local/samba/lib/admin_smb.conf
3117 \fR.TP
3118 \fBinherit acls (S)\fR
3119 This parameter can be used to ensure
3120 that if default acls exist on parent directories,
3121 they are always honored when creating a subdirectory.
3122 The default behavior is to use the mode specified
3123 when creating the directory. Enabling this option
3124 sets the mode to 0777, thus guaranteeing that 
3125 default directory acls are propagated.
3126
3127 Default: \fBinherit acls = no\fR
3128 .TP
3129 \fBinherit permissions (S)\fR
3130 The permissions on new files and directories 
3131 are normally governed by \fI create mask\fR,  \fIdirectory mask\fR, \fIforce create mode\fR
3132 and \fIforce 
3133 directory mode\fR but the boolean inherit 
3134 permissions parameter overrides this.
3135
3136 New directories inherit the mode of the parent directory,
3137 including bits such as setgid.
3138
3139 New files inherit their read/write bits from the parent 
3140 directory. Their execute bits continue to be determined by
3141 \fImap archive\fR
3142 , \fImap hidden\fR
3143 and \fImap system\fR
3144 as usual.
3145
3146 Note that the setuid bit is \fBnever\fR set via 
3147 inheritance (the code explicitly prohibits this).
3148
3149 This can be particularly useful on large systems with 
3150 many users, perhaps several thousand, to allow a single [homes] 
3151 share to be used flexibly by each user.
3152
3153 See also \fIcreate mask
3154 \fR, \fI directory mask\fR,  \fIforce create mode\fR and \fIforce directory mode\fR
3155 \&.
3156
3157 Default: \fBinherit permissions = no\fR
3158 .TP
3159 \fBinterfaces (G)\fR
3160 This option allows you to override the default 
3161 network interfaces list that Samba will use for browsing, name 
3162 registration and other NBT traffic. By default Samba will query 
3163 the kernel for the list of all active interfaces and use any 
3164 interfaces except 127.0.0.1 that are broadcast capable.
3165
3166 The option takes a list of interface strings. Each string 
3167 can be in any of the following forms:
3168 .RS
3169 .TP 0.2i
3170 \(bu
3171 a network interface name (such as eth0). 
3172 This may include shell-like wildcards so eth* will match 
3173 any interface starting with the substring "eth"
3174 .TP 0.2i
3175 \(bu
3176 an IP address. In this case the netmask is 
3177 determined from the list of interfaces obtained from the 
3178 kernel
3179 .TP 0.2i
3180 \(bu
3181 an IP/mask pair. 
3182 .TP 0.2i
3183 \(bu
3184 a broadcast/mask pair.
3185 .RE
3186 .PP
3187 The "mask" parameters can either be a bit length (such 
3188 as 24 for a C class network) or a full netmask in dotted 
3189 decimal form.
3190 .PP
3191 .PP
3192 The "IP" parameters above can either be a full dotted 
3193 decimal IP address or a hostname which will be looked up via 
3194 the OS's normal hostname resolution mechanisms.
3195 .PP
3196 .PP
3197 For example, the following line:
3198 .PP
3199 .PP
3200 \fBinterfaces = eth0 192.168.2.10/24 192.168.3.10/255.255.255.0
3201 \fR.PP
3202 .PP
3203 would configure three network interfaces corresponding 
3204 to the eth0 device and IP addresses 192.168.2.10 and 192.168.3.10. 
3205 The netmasks of the latter two interfaces would be set to 255.255.255.0.
3206 .PP
3207 .PP
3208 See also \fIbind 
3209 interfaces only\fR.
3210 .PP
3211 .PP
3212 Default: \fBall active interfaces except 127.0.0.1 
3213 that are broadcast capable\fR
3214 .PP
3215 .TP
3216 \fBinvalid users (S)\fR
3217 This is a list of users that should not be allowed 
3218 to login to this service. This is really a \fBparanoid\fR 
3219 check to absolutely ensure an improper setting does not breach 
3220 your security.
3221
3222 A name starting with a '@' is interpreted as an NIS 
3223 netgroup first (if your system supports NIS), and then as a UNIX 
3224 group if the name was not found in the NIS netgroup database.
3225
3226 A name starting with '+' is interpreted only 
3227 by looking in the UNIX group database. A name starting with 
3228 \&'&' is interpreted only by looking in the NIS netgroup database 
3229 (this requires NIS to be working on your system). The characters 
3230 \&'+' and '&' may be used at the start of the name in either order 
3231 so the value \fI+&group\fR means check the 
3232 UNIX group database, followed by the NIS netgroup database, and 
3233 the value \fI&+group\fR means check the NIS
3234 netgroup database, followed by the UNIX group database (the 
3235 same as the '@' prefix).
3236
3237 The current servicename is substituted for \fI%S\fR. 
3238 This is useful in the [homes] section.
3239
3240 See also \fIvalid users
3241 \fR\&.
3242
3243 Default: \fBno invalid users\fR
3244
3245 Example: \fBinvalid users = root fred admin @wheel
3246 \fR.TP
3247 \fBkeepalive (G)\fR
3248 The value of the parameter (an integer) represents 
3249 the number of seconds between \fIkeepalive\fR 
3250 packets. If this parameter is zero, no keepalive packets will be 
3251 sent. Keepalive packets, if sent, allow the server to tell whether 
3252 a client is still present and responding.
3253
3254 Keepalives should, in general, not be needed if the socket 
3255 being used has the SO_KEEPALIVE attribute set on it (see \fIsocket options\fR). 
3256 Basically you should only use this option if you strike difficulties.
3257
3258 Default: \fBkeepalive = 300\fR
3259
3260 Example: \fBkeepalive = 600\fR
3261 .TP
3262 \fBkernel oplocks (G)\fR
3263 For UNIXes that support kernel based \fIoplocks\fR
3264 (currently only IRIX and the Linux 2.4 kernel), this parameter 
3265 allows the use of them to be turned on or off.
3266
3267 Kernel oplocks support allows Samba \fIoplocks
3268 \fRto be broken whenever a local UNIX process or NFS operation 
3269 accesses a file that \fBsmbd(8)\fR
3270 has oplocked. This allows complete data consistency between 
3271 SMB/CIFS, NFS and local file access (and is a \fBvery\fR 
3272 cool feature :-).
3273
3274 This parameter defaults to on, but is translated
3275 to a no-op on systems that no not have the necessary kernel support.
3276 You should never need to touch this parameter.
3277
3278 See also the \fIoplocks\fR
3279 and \fIlevel2 oplocks
3280 \fRparameters.
3281
3282 Default: \fBkernel oplocks = yes\fR
3283 .TP
3284 \fBlanman auth (G)\fR
3285 This parameter determines whether or not smbdwill
3286 attempt to authenticate users using the LANMAN password hash.
3287 If disabled, only clients which support NT password hashes (e.g. Windows 
3288 NT/2000 clients, smbclient, etc... but not Windows 95/98 or the MS DOS 
3289 network client) will be able to connect to the Samba host.
3290
3291 Default : \fBlanman auth = yes\fR
3292 .TP
3293 \fBlarge readwrite (G)\fR
3294 This parameter determines whether or not smbd
3295 supports the new 64k streaming read and write varient SMB requests introduced
3296 with Windows 2000. Note that due to Windows 2000 client redirector bugs
3297 this requires Samba to be running on a 64-bit capable operating system such
3298 as IRIX, Solaris or a Linux 2.4 kernel. Can improve performance by 10% with
3299 Windows 2000 clients. Defaults to on. Not as tested as some other Samba
3300 code paths.
3301
3302 Default : \fBlarge readwrite = yes\fR
3303 .TP
3304 \fBldap admin dn (G)\fR
3305 This parameter is only available if Samba has been
3306 configure to include the \fB--with-ldapsam\fR option
3307 at compile time. This option should be considered experimental and
3308 under active development.
3309
3310 The \fIldap admin dn\fR defines the Distinguished 
3311 Name (DN) name used by Samba to contact the ldap
3312 server when retreiving user account information. The \fIldap
3313 admin dn\fR is used in conjunction with the admin dn password
3314 stored in the \fIprivate/secrets.tdb\fR file. See the
3315 \fBsmbpasswd(8)\fRman
3316 page for more information on how to accmplish this.
3317
3318 Default : \fBnone\fR
3319 .TP
3320 \fBldap filter (G)\fR
3321 This parameter is only available if Samba has been
3322 configure to include the \fB--with-ldapsam\fR option
3323 at compile time. This option should be considered experimental and
3324 under active development.
3325
3326 This parameter specifies the RFC 2254 compliant LDAP search filter.
3327 The default is to match the login name with the uid 
3328 attribute for all entries matching the sambaAccount 
3329 objectclass. Note that this filter should only return one entry.
3330
3331 Default : \fBldap filter = (&(uid=%u)(objectclass=sambaAccount))\fR
3332 .TP
3333 \fBldap port (G)\fR
3334 This parameter is only available if Samba has been
3335 configure to include the \fB--with-ldapsam\fR option
3336 at compile time. This option should be considered experimental and
3337 under active development.
3338
3339 This option is used to control the tcp port number used to contact
3340 the \fIldap server\fR.
3341 The default is to use the stand LDAPS port 636.
3342
3343 See Also: ldap ssl
3344
3345 Default : \fBldap port = 636\fR
3346 .TP
3347 \fBldap server (G)\fR
3348 This parameter is only available if Samba has been
3349 configure to include the \fB--with-ldapsam\fR option
3350 at compile time. This option should be considered experimental and
3351 under active development.
3352
3353 This parameter should contains the FQDN of the ldap directory 
3354 server which should be queried to locate user account information.
3355
3356 Default : \fBldap server = localhost\fR
3357 .TP
3358 \fBldap ssl (G)\fR
3359 This parameter is only available if Samba has been
3360 configure to include the \fB--with-ldapsam\fR option
3361 at compile time. This option should be considered experimental and
3362 under active development.
3363
3364 This option is used to define whether or not Samba should
3365 use SSL when connecting to the \fIldap
3366 server\fR. This is \fBNOT\fR related to
3367 Samba SSL support which is enabled by specifying the 
3368 \fB--with-ssl\fR option to the \fIconfigure\fR 
3369 script (see \fIssl\fR).
3370
3371 The \fIldap ssl\fR can be set to one of three values:
3372 (a) on - Always use SSL when contacting the 
3373 \fIldap server\fR, (b) off -
3374 Never use SSL when querying the directory, or (c) start_tls 
3375 - Use the LDAPv3 StartTLS extended operation 
3376 (RFC2830) for communicating with the directory server.
3377
3378 Default : \fBldap ssl = on\fR
3379 .TP
3380 \fBldap suffix (G)\fR
3381 This parameter is only available if Samba has been
3382 configure to include the \fB--with-ldapsam\fR option
3383 at compile time. This option should be considered experimental and
3384 under active development.
3385
3386 Default : \fBnone\fR
3387 .TP
3388 \fBlevel2 oplocks (S)\fR
3389 This parameter controls whether Samba supports
3390 level2 (read-only) oplocks on a share.
3391
3392 Level2, or read-only oplocks allow Windows NT clients 
3393 that have an oplock on a file to downgrade from a read-write oplock 
3394 to a read-only oplock once a second client opens the file (instead 
3395 of releasing all oplocks on a second open, as in traditional, 
3396 exclusive oplocks). This allows all openers of the file that 
3397 support level2 oplocks to cache the file for read-ahead only (ie. 
3398 they may not cache writes or lock requests) and increases performance 
3399 for many accesses of files that are not commonly written (such as 
3400 application .EXE files).
3401
3402 Once one of the clients which have a read-only oplock 
3403 writes to the file all clients are notified (no reply is needed 
3404 or waited for) and told to break their oplocks to "none" and 
3405 delete any read-ahead caches.
3406
3407 It is recommended that this parameter be turned on 
3408 to speed access to shared executables.
3409
3410 For more discussions on level2 oplocks see the CIFS spec.
3411
3412 Currently, if \fIkernel 
3413 oplocks\fR are supported then level2 oplocks are 
3414 not granted (even if this parameter is set to yes). 
3415 Note also, the \fIoplocks\fR
3416 parameter must be set to true on this share in order for 
3417 this parameter to have any effect.
3418
3419 See also the \fIoplocks\fR
3420 and \fIkernel oplocks\fR
3421 parameters.
3422
3423 Default: \fBlevel2 oplocks = yes\fR
3424 .TP
3425 \fBlm announce (G)\fR
3426 This parameter determines if  \fBnmbd(8)\fRwill produce Lanman announce 
3427 broadcasts that are needed by OS/2 clients in order for them to see 
3428 the Samba server in their browse list. This parameter can have three 
3429 values, true, false, or
3430 auto. The default is auto. 
3431 If set to false Samba will never produce these 
3432 broadcasts. If set to true Samba will produce 
3433 Lanman announce broadcasts at a frequency set by the parameter 
3434 \fIlm interval\fR. If set to auto 
3435 Samba will not send Lanman announce broadcasts by default but will 
3436 listen for them. If it hears such a broadcast on the wire it will 
3437 then start sending them at a frequency set by the parameter 
3438 \fIlm interval\fR.
3439
3440 See also \fIlm interval
3441 \fR\&.
3442
3443 Default: \fBlm announce = auto\fR
3444
3445 Example: \fBlm announce = yes\fR
3446 .TP
3447 \fBlm interval (G)\fR
3448 If Samba is set to produce Lanman announce 
3449 broadcasts needed by OS/2 clients (see the  \fIlm announce\fR parameter) then this 
3450 parameter defines the frequency in seconds with which they will be 
3451 made. If this is set to zero then no Lanman announcements will be 
3452 made despite the setting of the \fIlm announce\fR 
3453 parameter.
3454
3455 See also \fIlm 
3456 announce\fR.
3457
3458 Default: \fBlm interval = 60\fR
3459
3460 Example: \fBlm interval = 120\fR
3461 .TP
3462 \fBload printers (G)\fR
3463 A boolean variable that controls whether all 
3464 printers in the printcap will be loaded for browsing by default. 
3465 See the printers section for 
3466 more details.
3467
3468 Default: \fBload printers = yes\fR
3469 .TP
3470 \fBlocal master (G)\fR
3471 This option allows \fB nmbd(8)\fRto try and become a local master browser 
3472 on a subnet. If set to false then \fB nmbd\fR will not attempt to become a local master browser 
3473 on a subnet and will also lose in all browsing elections. By
3474 default this value is set to true. Setting this value to true doesn't
3475 mean that Samba will \fBbecome\fR the local master 
3476 browser on a subnet, just that \fBnmbd\fR will \fB participate\fR in elections for local master browser.
3477
3478 Setting this value to false will cause \fBnmbd\fR
3479 \fBnever\fR to become a local master browser.
3480
3481 Default: \fBlocal master = yes\fR
3482 .TP
3483 \fBlock dir (G)\fR
3484 Synonym for \fI lock directory\fR.
3485 .TP
3486 \fBlock directory (G)\fR
3487 This option specifies the directory where lock 
3488 files will be placed. The lock files are used to implement the 
3489 \fImax connections\fR
3490 option.
3491
3492 Default: \fBlock directory = ${prefix}/var/locks\fR
3493
3494 Example: \fBlock directory = /var/run/samba/locks\fR
3495 .TP
3496 \fBlock spin count (G)\fR
3497 This parameter controls the number of times
3498 that smbd should attempt to gain a byte range lock on the 
3499 behalf of a client request. Experiments have shown that
3500 Windows 2k servers do not reply with a failure if the lock
3501 could not be immediately granted, but try a few more times
3502 in case the lock could later be aquired. This behavior
3503 is used to support PC database formats such as MS Access
3504 and FoxPro.
3505
3506 Default: \fBlock spin count = 2\fR
3507 .TP
3508 \fBlock spin time (G)\fR
3509 The time in microseconds that smbd should 
3510 pause before attempting to gain a failed lock. See
3511 \fIlock spin 
3512 count\fR for more details.
3513
3514 Default: \fBlock spin time = 10\fR
3515 .TP
3516 \fBlocking (S)\fR
3517 This controls whether or not locking will be 
3518 performed by the server in response to lock requests from the 
3519 client.
3520
3521 If \fBlocking = no\fR, all lock and unlock 
3522 requests will appear to succeed and all lock queries will report 
3523 that the file in question is available for locking.
3524
3525 If \fBlocking = yes\fR, real locking will be performed 
3526 by the server.
3527
3528 This option \fBmay\fR be useful for read-only 
3529 filesystems which \fBmay\fR not need locking (such as 
3530 CDROM drives), although setting this parameter of no 
3531 is not really recommended even in this case.
3532
3533 Be careful about disabling locking either globally or in a 
3534 specific service, as lack of locking may result in data corruption. 
3535 You should never need to set this parameter.
3536
3537 Default: \fBlocking = yes\fR
3538 .TP
3539 \fBlog file (G)\fR
3540 This option allows you to override the name 
3541 of the Samba log file (also known as the debug file).
3542
3543 This option takes the standard substitutions, allowing 
3544 you to have separate log files for each user or machine.
3545
3546 Example: \fBlog file = /usr/local/samba/var/log.%m
3547 \fR.TP
3548 \fBlog level (G)\fR
3549 The value of the parameter (an integer) allows 
3550 the debug level (logging level) to be specified in the 
3551 \fIsmb.conf\fR file. This is to give greater 
3552 flexibility in the configuration of the system.
3553
3554 The default will be the log level specified on 
3555 the command line or level zero if none was specified.
3556
3557 Example: \fBlog level = 3\fR
3558 .TP
3559 \fBlogon drive (G)\fR
3560 This parameter specifies the local path to 
3561 which the home directory will be connected (see \fIlogon home\fR) 
3562 and is only used by NT Workstations. 
3563
3564 Note that this option is only useful if Samba is set up as a
3565 logon server.
3566
3567 Default: \fBlogon drive = z:\fR
3568
3569 Example: \fBlogon drive = h:\fR
3570 .TP
3571 \fBlogon home (G)\fR
3572 This parameter specifies the home directory 
3573 location when a Win95/98 or NT Workstation logs into a Samba PDC. 
3574 It allows you to do 
3575
3576 C:\\> \fBNET USE H: /HOME\fR
3577
3578 from a command prompt, for example.
3579
3580 This option takes the standard substitutions, allowing 
3581 you to have separate logon scripts for each user or machine.
3582
3583 This parameter can be used with Win9X workstations to ensure 
3584 that roaming profiles are stored in a subdirectory of the user's 
3585 home directory. This is done in the following way:
3586
3587 \fBlogon home = \\\\%N\\%U\\profile\fR
3588
3589 This tells Samba to return the above string, with 
3590 substitutions made when a client requests the info, generally 
3591 in a NetUserGetInfo request. Win9X clients truncate the info to
3592 \\\\server\\share when a user does \fBnet use /home\fR
3593 but use the whole string when dealing with profiles.
3594
3595 Note that in prior versions of Samba, the  \fIlogon path\fR was returned rather than 
3596 \fIlogon home\fR. This broke \fBnet use 
3597 /home\fR but allowed profiles outside the home directory. 
3598 The current implementation is correct, and can be used for 
3599 profiles if you use the above trick.
3600
3601 This option is only useful if Samba is set up as a logon 
3602 server.
3603
3604 Default: \fBlogon home = "\\\\%N\\%U"\fR
3605
3606 Example: \fBlogon home = "\\\\remote_smb_server\\%U"\fR
3607 .TP
3608 \fBlogon path (G)\fR
3609 This parameter specifies the home directory 
3610 where roaming profiles (NTuser.dat etc files for Windows NT) are 
3611 stored. Contrary to previous versi