d19f9ef6f9e04f6bb5e689abd31eec88dc55b5be
[nivanova/samba-autobuild/.git] / docs / manpages / smb.conf.5
1 .\" This manpage has been automatically generated by docbook2man-spec
2 .\" from a DocBook document.  docbook2man-spec can be found at:
3 .\" <http://shell.ipoline.com/~elmert/hacks/docbook2X/> 
4 .\" Please send any bug reports, improvements, comments, patches, 
5 .\" etc. to Steve Cheng <steve@ggi-project.org>.
6 .TH "SMB.CONF" "5" "16 April 2002" "" ""
7 .SH NAME
8 smb.conf \- The configuration file for the Samba suite
9 .SH "SYNOPSIS"
10 .PP
11 The \fIsmb.conf\fR file is a configuration 
12 file for the Samba suite. \fIsmb.conf\fR contains 
13 runtime configuration information for the Samba programs. The
14 \fIsmb.conf\fR file is designed to be configured and 
15 administered by the \fBswat(8)\fR
16 program. The complete description of the file format and 
17 possible parameters held within are here for reference purposes.
18 .SH "FILE FORMAT"
19 .PP
20 The file consists of sections and parameters. A section 
21 begins with the name of the section in square brackets and continues 
22 until the next section begins. Sections contain parameters of the 
23 form
24 .PP
25 \fIname\fR = \fIvalue
26 \fR.PP
27 The file is line-based - that is, each newline-terminated 
28 line represents either a comment, a section name or a parameter.
29 .PP
30 Section and parameter names are not case sensitive.
31 .PP
32 Only the first equals sign in a parameter is significant. 
33 Whitespace before or after the first equals sign is discarded. 
34 Leading, trailing and internal whitespace in section and parameter 
35 names is irrelevant. Leading and trailing whitespace in a parameter 
36 value is discarded. Internal whitespace within a parameter value 
37 is retained verbatim.
38 .PP
39 Any line beginning with a semicolon (';') or a hash ('#') 
40 character is ignored, as are lines containing only whitespace.
41 .PP
42 Any line ending in a '\\' is continued
43 on the next line in the customary UNIX fashion.
44 .PP
45 The values following the equals sign in parameters are all 
46 either a string (no quotes needed) or a boolean, which may be given 
47 as yes/no, 0/1 or true/false. Case is not significant in boolean 
48 values, but is preserved in string values. Some items such as 
49 create modes are numeric.
50 .SH "SECTION DESCRIPTIONS"
51 .PP
52 Each section in the configuration file (except for the
53 [global] section) describes a shared resource (known
54 as a "share"). The section name is the name of the 
55 shared resource and the parameters within the section define 
56 the shares attributes.
57 .PP
58 There are three special sections, [global],
59 [homes] and [printers], which are
60 described under \fBspecial sections\fR. The
61 following notes apply to ordinary section descriptions.
62 .PP
63 A share consists of a directory to which access is being 
64 given plus a description of the access rights which are granted 
65 to the user of the service. Some housekeeping options are 
66 also specifiable.
67 .PP
68 Sections are either file share services (used by the 
69 client as an extension of their native file systems) or 
70 printable services (used by the client to access print services 
71 on the host running the server).
72 .PP
73 Sections may be designated \fBguest\fR services, 
74 in which case no password is required to access them. A specified 
75 UNIX \fBguest account\fR is used to define access
76 privileges in this case.
77 .PP
78 Sections other than guest services will require a password 
79 to access them. The client provides the username. As older clients 
80 only provide passwords and not usernames, you may specify a list 
81 of usernames to check against the password using the "user =" 
82 option in the share definition. For modern clients such as 
83 Windows 95/98/ME/NT/2000, this should not be necessary.
84 .PP
85 Note that the access rights granted by the server are 
86 masked by the access rights granted to the specified or guest 
87 UNIX user by the host system. The server does not grant more
88 access than the host system grants.
89 .PP
90 The following sample section defines a file space share. 
91 The user has write access to the path \fI/home/bar\fR. 
92 The share is accessed via the share name "foo":
93 .sp
94 .nf
95                 [foo]
96                 path = /home/bar
97                 writeable = true
98         
99         
100 .sp
101 .fi
102 .PP
103 The following sample section defines a printable share. 
104 The share is readonly, but printable. That is, the only write 
105 access permitted is via calls to open, write to and close a 
106 spool file. The \fBguest ok\fR parameter means 
107 access will be permitted as the default guest user (specified 
108 elsewhere):
109 .sp
110 .nf
111                 [aprinter]
112                 path = /usr/spool/public
113                 writeable = false
114                 printable = true
115                 guest ok = true
116         
117         
118 .sp
119 .fi
120 .SH "SPECIAL SECTIONS"
121 .SS "THE  GLOBAL  SECTION"
122 .PP
123 parameters in this section apply to the server 
124 as a whole, or are defaults for sections which do not 
125 specifically define certain items. See the notes
126 under PARAMETERS for more information.
127 .SS "THE  HOMES  SECTION"
128 .PP
129 If a section called homes is included in the 
130 configuration file, services connecting clients to their 
131 home directories can be created on the fly by the server.
132 .PP
133 When the connection request is made, the existing 
134 sections are scanned. If a match is found, it is used. If no 
135 match is found, the requested section name is treated as a 
136 user name and looked up in the local password file. If the 
137 name exists and the correct password has been given, a share is 
138 created by cloning the [homes] section.
139 .PP
140 Some modifications are then made to the newly 
141 created share:
142 .TP 0.2i
143 \(bu
144 The share name is changed from homes to 
145 the located username.
146 .TP 0.2i
147 \(bu
148 If no path was given, the path is set to
149 the user's home directory.
150 .PP
151 If you decide to use a \fBpath =\fR line 
152 in your [homes] section then you may find it useful 
153 to use the %S macro. For example :
154 .PP
155 .PP
156 \fBpath = /data/pchome/%S\fR
157 .PP
158 .PP
159 would be useful if you have different home directories 
160 for your PCs than for UNIX access.
161 .PP
162 .PP
163 This is a fast and simple way to give a large number 
164 of clients access to their home directories with a minimum 
165 of fuss.
166 .PP
167 .PP
168 A similar process occurs if the requested section 
169 name is "homes", except that the share name is not 
170 changed to that of the requesting user. This method of using
171 the [homes] section works well if different users share 
172 a client PC.
173 .PP
174 .PP
175 The [homes] section can specify all the parameters 
176 a normal service section can specify, though some make more sense 
177 than others. The following is a typical and suitable [homes]
178 section:
179 .PP
180 .sp
181 .nf
182                                 [homes]
183                         writeable = yes
184                 
185                 
186 .sp
187 .fi
188 .PP
189 An important point is that if guest access is specified 
190 in the [homes] section, all home directories will be 
191 visible to all clients \fBwithout a password\fR. 
192 In the very unlikely event that this is actually desirable, it 
193 would be wise to also specify \fBread only
194 access\fR.
195 .PP
196 .PP
197 Note that the \fBbrowseable\fR flag for 
198 auto home directories will be inherited from the global browseable 
199 flag, not the [homes] browseable flag. This is useful as 
200 it means setting \fBbrowseable = no\fR in
201 the [homes] section will hide the [homes] share but make
202 any auto home directories visible.
203 .PP
204 .SS "THE  PRINTERS  SECTION"
205 .PP
206 This section works like [homes], 
207 but for printers.
208 .PP
209 If a [printers] section occurs in the 
210 configuration file, users are able to connect to any printer 
211 specified in the local host's printcap file.
212 .PP
213 When a connection request is made, the existing sections 
214 are scanned. If a match is found, it is used. If no match is found, 
215 but a [homes] section exists, it is used as described
216 above. Otherwise, the requested section name is treated as a
217 printer name and the appropriate printcap file is scanned to see 
218 if the requested section name is a valid printer share name. If 
219 a match is found, a new printer share is created by cloning 
220 the [printers] section.
221 .PP
222 A few modifications are then made to the newly created 
223 share:
224 .TP 0.2i
225 \(bu
226 The share name is set to the located printer 
227 name
228 .TP 0.2i
229 \(bu
230 If no printer name was given, the printer name 
231 is set to the located printer name
232 .TP 0.2i
233 \(bu
234 If the share does not permit guest access and 
235 no username was given, the username is set to the located 
236 printer name.
237 .PP
238 Note that the [printers] service MUST be 
239 printable - if you specify otherwise, the server will refuse 
240 to load the configuration file.
241 .PP
242 .PP
243 Typically the path specified would be that of a 
244 world-writeable spool directory with the sticky bit set on 
245 it. A typical [printers] entry would look like 
246 this:
247 .PP
248 .sp
249 .nf
250                 [printers]
251                         path = /usr/spool/public
252                         guest ok = yes
253                         printable = yes 
254                 
255 .sp
256 .fi
257 .PP
258 All aliases given for a printer in the printcap file 
259 are legitimate printer names as far as the server is concerned. 
260 If your printing subsystem doesn't work like that, you will have 
261 to set up a pseudo-printcap. This is a file consisting of one or 
262 more lines like this:
263 .PP
264 .sp
265 .nf
266                                 alias|alias|alias|alias...    
267                 
268                 
269 .sp
270 .fi
271 .PP
272 Each alias should be an acceptable printer name for 
273 your printing subsystem. In the [global] section, specify 
274 the new file as your printcap. The server will then only recognize 
275 names found in your pseudo-printcap, which of course can contain 
276 whatever aliases you like. The same technique could be used 
277 simply to limit access to a subset of your local printers.
278 .PP
279 .PP
280 An alias, by the way, is defined as any component of the 
281 first entry of a printcap record. Records are separated by newlines,
282 components (if there are more than one) are separated by vertical 
283 bar symbols ('|').
284 .PP
285 .PP
286 NOTE: On SYSV systems which use lpstat to determine what 
287 printers are defined on the system you may be able to use
288 "printcap name = lpstat" to automatically obtain a list 
289 of printers. See the "printcap name" option 
290 for more details.
291 .PP
292 .SH "PARAMETERS"
293 .PP
294 parameters define the specific attributes of sections.
295 .PP
296 Some parameters are specific to the [global] section
297 (e.g., \fBsecurity\fR). Some parameters are usable 
298 in all sections (e.g., \fBcreate mode\fR). All others 
299 are permissible only in normal sections. For the purposes of the 
300 following descriptions the [homes] and [printers]
301 sections will be considered normal. The letter \fBG\fR 
302 in parentheses indicates that a parameter is specific to the
303 [global] section. The letter \fBS\fR
304 indicates that a parameter can be specified in a service specific
305 section. Note that all \fBS\fR parameters can also be specified in 
306 the [global] section - in which case they will define
307 the default behavior for all services.
308 .PP
309 parameters are arranged here in alphabetical order - this may 
310 not create best bedfellows, but at least you can find them! Where
311 there are synonyms, the preferred synonym is described, others refer 
312 to the preferred synonym.
313 .SH "VARIABLE SUBSTITUTIONS"
314 .PP
315 Many of the strings that are settable in the config file 
316 can take substitutions. For example the option "path =
317 /tmp/%u" would be interpreted as "path = 
318 /tmp/john" if the user connected with the username john.
319 .PP
320 These substitutions are mostly noted in the descriptions below, 
321 but there are some general substitutions which apply whenever they 
322 might be relevant. These are:
323 .TP
324 \fB%S\fR
325 the name of the current service, if any.
326 .TP
327 \fB%P\fR
328 the root directory of the current service, 
329 if any.
330 .TP
331 \fB%u\fR
332 user name of the current service, if any.
333 .TP
334 \fB%g\fR
335 primary group name of %u.
336 .TP
337 \fB%U\fR
338 session user name (the user name that the client 
339 wanted, not necessarily the same as the one they got).
340 .TP
341 \fB%G\fR
342 primary group name of %U.
343 .TP
344 \fB%H\fR
345 the home directory of the user given 
346 by %u.
347 .TP
348 \fB%v\fR
349 the Samba version.
350 .TP
351 \fB%h\fR
352 the Internet hostname that Samba is running 
353 on.
354 .TP
355 \fB%m\fR
356 the NetBIOS name of the client machine 
357 (very useful).
358 .TP
359 \fB%L\fR
360 the NetBIOS name of the server. This allows you 
361 to change your config based on what the client calls you. Your 
362 server can have a "dual personality".
363
364 Note that this paramater is not available when Samba listens
365 on port 445, as clients no longer send this information 
366 .TP
367 \fB%M\fR
368 the Internet name of the client machine.
369 .TP
370 \fB%N\fR
371 the name of your NIS home directory server. 
372 This is obtained from your NIS auto.map entry. If you have 
373 not compiled Samba with the \fB--with-automount\fR 
374 option then this value will be the same as %L.
375 .TP
376 \fB%p\fR
377 the path of the service's home directory, 
378 obtained from your NIS auto.map entry. The NIS auto.map entry 
379 is split up as "%N:%p".
380 .TP
381 \fB%R\fR
382 the selected protocol level after 
383 protocol negotiation. It can be one of CORE, COREPLUS, 
384 LANMAN1, LANMAN2 or NT1.
385 .TP
386 \fB%d\fR
387 The process id of the current server 
388 process.
389 .TP
390 \fB%a\fR
391 the architecture of the remote
392 machine. Only some are recognized, and those may not be 
393 100% reliable. It currently recognizes Samba, WfWg, Win95,
394 WinNT and Win2k. Anything else will be known as 
395 "UNKNOWN". If it gets it wrong then sending a level 
396 3 log to samba@samba.org
397  <URL:mailto:samba@samba.org> should allow it to be fixed.
398 .TP
399 \fB%I\fR
400 The IP address of the client machine.
401 .TP
402 \fB%T\fR
403 the current date and time.
404 .TP
405 \fB%$(\fIenvvar\fB)\fR
406 The value of the environment variable
407 \fIenvar\fR.
408 .PP
409 There are some quite creative things that can be done 
410 with these substitutions and other smb.conf options.
411 .PP
412 .SH "NAME MANGLING"
413 .PP
414 Samba supports "name mangling" so that DOS and 
415 Windows clients can use files that don't conform to the 8.3 format. 
416 It can also be set to adjust the case of 8.3 format filenames.
417 .PP
418 There are several options that control the way mangling is 
419 performed, and they are grouped here rather than listed separately. 
420 For the defaults look at the output of the testparm program. 
421 .PP
422 All of these options can be set separately for each service 
423 (or globally, of course). 
424 .PP
425 The options are: 
426 .TP
427 \fBmangle case = yes/no\fR
428 controls if names that have characters that 
429 aren't of the "default" case are mangled. For example, 
430 if this is yes then a name like "Mail" would be mangled. 
431 Default \fBno\fR.
432 .TP
433 \fBcase sensitive = yes/no\fR
434 controls whether filenames are case sensitive. If 
435 they aren't then Samba must do a filename search and match on passed 
436 names. Default \fBno\fR.
437 .TP
438 \fBdefault case = upper/lower\fR
439 controls what the default case is for new 
440 filenames. Default \fBlower\fR.
441 .TP
442 \fBpreserve case = yes/no\fR
443 controls if new files are created with the 
444 case that the client passes, or if they are forced to be the 
445 "default" case. Default \fByes\fR.
446 .TP
447 \fBshort preserve case = yes/no\fR
448 controls if new files which conform to 8.3 syntax, 
449 that is all in upper case and of suitable length, are created 
450 upper case, or if they are forced to be the "default" 
451 case. This option can be use with "preserve case = yes" 
452 to permit long filenames to retain their case, while short names 
453 are lowercased. Default \fByes\fR.
454 .PP
455 By default, Samba 2.2 has the same semantics as a Windows 
456 NT server, in that it is case insensitive but case preserving.
457 .PP
458 .SH "NOTE ABOUT USERNAME/PASSWORD VALIDATION"
459 .PP
460 There are a number of ways in which a user can connect 
461 to a service. The server uses the following steps in determining 
462 if it will allow a connection to a specified service. If all the 
463 steps fail, then the connection request is rejected. However, if one of the 
464 steps succeeds, then the following steps are not checked.
465 .PP
466 If the service is marked "guest only = yes" then
467 steps 1 to 5 are skipped.
468 .IP 1. 
469 If the client has passed a username/password 
470 pair and that username/password pair is validated by the UNIX 
471 system's password programs then the connection is made as that 
472 username. Note that this includes the 
473 \\\\server\\service%\fIusername\fR method of passing 
474 a username.
475 .IP 2. 
476 If the client has previously registered a username 
477 with the system and now supplies a correct password for that 
478 username then the connection is allowed.
479 .IP 3. 
480 The client's NetBIOS name and any previously 
481 used user names are checked against the supplied password, if 
482 they match then the connection is allowed as the corresponding 
483 user.
484 .IP 4. 
485 If the client has previously validated a
486 username/password pair with the server and the client has passed 
487 the validation token then that username is used. 
488 .IP 5. 
489 If a "user = " field is given in the
490 \fIsmb.conf\fR file for the service and the client 
491 has supplied a password, and that password matches (according to 
492 the UNIX system's password checking) with one of the usernames 
493 from the "user =" field then the connection is made as 
494 the username in the "user =" line. If one 
495 of the username in the "user =" list begins with a
496 \&'@' then that name expands to a list of names in 
497 the group of the same name.
498 .IP 6. 
499 If the service is a guest service then a 
500 connection is made as the username given in the "guest 
501 account =" for the service, irrespective of the 
502 supplied password.
503 .SH "COMPLETE LIST OF GLOBAL PARAMETERS"
504 .PP
505 Here is a list of all global parameters. See the section of 
506 each parameter for details. Note that some are synonyms.
507 .TP 0.2i
508 \(bu
509 \fIabort shutdown script\fR
510 .TP 0.2i
511 \(bu
512 \fIadd printer command\fR
513 .TP 0.2i
514 \(bu
515 \fIadd share command\fR
516 .TP 0.2i
517 \(bu
518 \fIadd user script\fR
519 .TP 0.2i
520 \(bu
521 \fIadd machine script\fR
522 .TP 0.2i
523 \(bu
524 \fIallow trusted domains\fR
525 .TP 0.2i
526 \(bu
527 \fIannounce as\fR
528 .TP 0.2i
529 \(bu
530 \fIannounce version\fR
531 .TP 0.2i
532 \(bu
533 \fIauth methods\fR
534 .TP 0.2i
535 \(bu
536 \fIauto services\fR
537 .TP 0.2i
538 \(bu
539 \fIbind interfaces only\fR
540 .TP 0.2i
541 \(bu
542 \fIbrowse list\fR
543 .TP 0.2i
544 \(bu
545 \fIchange notify timeout\fR
546 .TP 0.2i
547 \(bu
548 \fIchange share command\fR
549 .TP 0.2i
550 \(bu
551 \fIconfig file\fR
552 .TP 0.2i
553 \(bu
554 \fIdeadtime\fR
555 .TP 0.2i
556 \(bu
557 \fIdebug hires timestamp\fR
558 .TP 0.2i
559 \(bu
560 \fIdebug pid\fR
561 .TP 0.2i
562 \(bu
563 \fIdebug timestamp\fR
564 .TP 0.2i
565 \(bu
566 \fIdebug uid\fR
567 .TP 0.2i
568 \(bu
569 \fIdebuglevel\fR
570 .TP 0.2i
571 \(bu
572 \fIdefault\fR
573 .TP 0.2i
574 \(bu
575 \fIdefault service\fR
576 .TP 0.2i
577 \(bu
578 \fIdelete printer command\fR
579 .TP 0.2i
580 \(bu
581 \fIdelete share command\fR
582 .TP 0.2i
583 \(bu
584 \fIdelete user script\fR
585 .TP 0.2i
586 \(bu
587 \fIdfree command\fR
588 .TP 0.2i
589 \(bu
590 \fIdisable spoolss\fR
591 .TP 0.2i
592 \(bu
593 \fIdns proxy\fR
594 .TP 0.2i
595 \(bu
596 \fIdomain admin group\fR
597 .TP 0.2i
598 \(bu
599 \fIdomain guest group\fR
600 .TP 0.2i
601 \(bu
602 \fIdomain logons\fR
603 .TP 0.2i
604 \(bu
605 \fIdomain master\fR
606 .TP 0.2i
607 \(bu
608 \fIencrypt passwords\fR
609 .TP 0.2i
610 \(bu
611 \fIenhanced browsing\fR
612 .TP 0.2i
613 \(bu
614 \fIenumports command\fR
615 .TP 0.2i
616 \(bu
617 \fIgetwd cache\fR
618 .TP 0.2i
619 \(bu
620 \fIhide local users\fR
621 .TP 0.2i
622 \(bu
623 \fIhide unreadable\fR
624 .TP 0.2i
625 \(bu
626 \fIhomedir map\fR
627 .TP 0.2i
628 \(bu
629 \fIhost msdfs\fR
630 .TP 0.2i
631 \(bu
632 \fIhosts equiv\fR
633 .TP 0.2i
634 \(bu
635 \fIinterfaces\fR
636 .TP 0.2i
637 \(bu
638 \fIkeepalive\fR
639 .TP 0.2i
640 \(bu
641 \fIkernel oplocks\fR
642 .TP 0.2i
643 \(bu
644 \fIlanman auth\fR
645 .TP 0.2i
646 \(bu
647 \fIlarge readwrite\fR
648 .TP 0.2i
649 \(bu
650 \fIldap admin dn\fR
651 .TP 0.2i
652 \(bu
653 \fIldap filter\fR
654 .TP 0.2i
655 \(bu
656 \fIldap port\fR
657 .TP 0.2i
658 \(bu
659 \fIldap server\fR
660 .TP 0.2i
661 \(bu
662 \fIldap ssl\fR
663 .TP 0.2i
664 \(bu
665 \fIldap suffix\fR
666 .TP 0.2i
667 \(bu
668 \fIlm announce\fR
669 .TP 0.2i
670 \(bu
671 \fIlm interval\fR
672 .TP 0.2i
673 \(bu
674 \fIload printers\fR
675 .TP 0.2i
676 \(bu
677 \fIlocal master\fR
678 .TP 0.2i
679 \(bu
680 \fIlock dir\fR
681 .TP 0.2i
682 \(bu
683 \fIlock directory\fR
684 .TP 0.2i
685 \(bu
686 \fIlog file\fR
687 .TP 0.2i
688 \(bu
689 \fIlog level\fR
690 .TP 0.2i
691 \(bu
692 \fIlogon drive\fR
693 .TP 0.2i
694 \(bu
695 \fIlogon home\fR
696 .TP 0.2i
697 \(bu
698 \fIlogon path\fR
699 .TP 0.2i
700 \(bu
701 \fIlogon script\fR
702 .TP 0.2i
703 \(bu
704 \fIlpq cache time\fR
705 .TP 0.2i
706 \(bu
707 \fImachine password timeout\fR
708 .TP 0.2i
709 \(bu
710 \fImangled stack\fR
711 .TP 0.2i
712 \(bu
713 \fImap to guest\fR
714 .TP 0.2i
715 \(bu
716 \fImax disk size\fR
717 .TP 0.2i
718 \(bu
719 \fImax log size\fR
720 .TP 0.2i
721 \(bu
722 \fImax mux\fR
723 .TP 0.2i
724 \(bu
725 \fImax open files\fR
726 .TP 0.2i
727 \(bu
728 \fImax protocol\fR
729 .TP 0.2i
730 \(bu
731 \fImax smbd processes\fR
732 .TP 0.2i
733 \(bu
734 \fImax ttl\fR
735 .TP 0.2i
736 \(bu
737 \fImax wins ttl\fR
738 .TP 0.2i
739 \(bu
740 \fImax xmit\fR
741 .TP 0.2i
742 \(bu
743 \fImessage command\fR
744 .TP 0.2i
745 \(bu
746 \fImin passwd length\fR
747 .TP 0.2i
748 \(bu
749 \fImin password length\fR
750 .TP 0.2i
751 \(bu
752 \fImin protocol\fR
753 .TP 0.2i
754 \(bu
755 \fImin wins ttl\fR
756 .TP 0.2i
757 \(bu
758 \fIname resolve order\fR
759 .TP 0.2i
760 \(bu
761 \fInetbios aliases\fR
762 .TP 0.2i
763 \(bu
764 \fInetbios name\fR
765 .TP 0.2i
766 \(bu
767 \fInetbios scope\fR
768 .TP 0.2i
769 \(bu
770 \fInis homedir\fR
771 .TP 0.2i
772 \(bu
773 \fInon unix account range\fR
774 .TP 0.2i
775 \(bu
776 \fInt pipe support\fR
777 .TP 0.2i
778 \(bu
779 \fInull passwords\fR
780 .TP 0.2i
781 \(bu
782 \fIobey pam restrictions\fR
783 .TP 0.2i
784 \(bu
785 \fIoplock break wait time\fR
786 .TP 0.2i
787 \(bu
788 \fIos level\fR
789 .TP 0.2i
790 \(bu
791 \fIos2 driver map\fR
792 .TP 0.2i
793 \(bu
794 \fIpam password change\fR
795 .TP 0.2i
796 \(bu
797 \fIpanic action\fR
798 .TP 0.2i
799 \(bu
800 \fIpassdb backend\fR
801 .TP 0.2i
802 \(bu
803 \fIpasswd chat\fR
804 .TP 0.2i
805 \(bu
806 \fIpasswd chat debug\fR
807 .TP 0.2i
808 \(bu
809 \fIpasswd program\fR
810 .TP 0.2i
811 \(bu
812 \fIpassword level\fR
813 .TP 0.2i
814 \(bu
815 \fIpassword server\fR
816 .TP 0.2i
817 \(bu
818 \fIprefered master\fR
819 .TP 0.2i
820 \(bu
821 \fIpreferred master\fR
822 .TP 0.2i
823 \(bu
824 \fIpreload\fR
825 .TP 0.2i
826 \(bu
827 \fIprintcap\fR
828 .TP 0.2i
829 \(bu
830 \fIprintcap name\fR
831 .TP 0.2i
832 \(bu
833 \fIprinter driver file\fR
834 .TP 0.2i
835 \(bu
836 \fIprivate dir\fR
837 .TP 0.2i
838 \(bu
839 \fIprotocol\fR
840 .TP 0.2i
841 \(bu
842 \fIread bmpx\fR
843 .TP 0.2i
844 \(bu
845 \fIread raw\fR
846 .TP 0.2i
847 \(bu
848 \fIread size\fR
849 .TP 0.2i
850 \(bu
851 \fIremote announce\fR
852 .TP 0.2i
853 \(bu
854 \fIremote browse sync\fR
855 .TP 0.2i
856 \(bu
857 \fIrestrict anonymous\fR
858 .TP 0.2i
859 \(bu
860 \fIroot\fR
861 .TP 0.2i
862 \(bu
863 \fIroot dir\fR
864 .TP 0.2i
865 \(bu
866 \fIroot directory\fR
867 .TP 0.2i
868 \(bu
869 \fIsecurity\fR
870 .TP 0.2i
871 \(bu
872 \fIserver string\fR
873 .TP 0.2i
874 \(bu
875 \fIshow add printer wizard\fR
876 .TP 0.2i
877 \(bu
878 \fIshutdown script\fR
879 .TP 0.2i
880 \(bu
881 \fIsmb passwd file\fR
882 .TP 0.2i
883 \(bu
884 \fIsocket address\fR
885 .TP 0.2i
886 \(bu
887 \fIsocket options\fR
888 .TP 0.2i
889 \(bu
890 \fIsource environment\fR
891 .TP 0.2i
892 \(bu
893 \fIssl\fR
894 .TP 0.2i
895 \(bu
896 \fIssl CA certDir\fR
897 .TP 0.2i
898 \(bu
899 \fIssl CA certFile\fR
900 .TP 0.2i
901 \(bu
902 \fIssl ciphers\fR
903 .TP 0.2i
904 \(bu
905 \fIssl client cert\fR
906 .TP 0.2i
907 \(bu
908 \fIssl client key\fR
909 .TP 0.2i
910 \(bu
911 \fIssl compatibility\fR
912 .TP 0.2i
913 \(bu
914 \fIssl egd socket\fR
915 .TP 0.2i
916 \(bu
917 \fIssl entropy bytes\fR
918 .TP 0.2i
919 \(bu
920 \fIssl entropy file\fR
921 .TP 0.2i
922 \(bu
923 \fIssl hosts\fR
924 .TP 0.2i
925 \(bu
926 \fIssl hosts resign\fR
927 .TP 0.2i
928 \(bu
929 \fIssl require clientcert\fR
930 .TP 0.2i
931 \(bu
932 \fIssl require servercert\fR
933 .TP 0.2i
934 \(bu
935 \fIssl server cert\fR
936 .TP 0.2i
937 \(bu
938 \fIssl server key\fR
939 .TP 0.2i
940 \(bu
941 \fIssl version\fR
942 .TP 0.2i
943 \(bu
944 \fIstat cache\fR
945 .TP 0.2i
946 \(bu
947 \fIstat cache size\fR
948 .TP 0.2i
949 \(bu
950 \fIstrip dot\fR
951 .TP 0.2i
952 \(bu
953 \fIsyslog\fR
954 .TP 0.2i
955 \(bu
956 \fIsyslog only\fR
957 .TP 0.2i
958 \(bu
959 \fItemplate homedir\fR
960 .TP 0.2i
961 \(bu
962 \fItemplate shell\fR
963 .TP 0.2i
964 \(bu
965 \fItime offset\fR
966 .TP 0.2i
967 \(bu
968 \fItime server\fR
969 .TP 0.2i
970 \(bu
971 \fItimestamp logs\fR
972 .TP 0.2i
973 \(bu
974 \fItotal print jobs\fR
975 .TP 0.2i
976 \(bu
977 \fIunix extensions\fR
978 .TP 0.2i
979 \(bu
980 \fIunix password sync\fR
981 .TP 0.2i
982 \(bu
983 \fIupdate encrypted\fR
984 .TP 0.2i
985 \(bu
986 \fIuse mmap\fR
987 .TP 0.2i
988 \(bu
989 \fIuse rhosts\fR
990 .TP 0.2i
991 \(bu
992 \fIusername level\fR
993 .TP 0.2i
994 \(bu
995 \fIusername map\fR
996 .TP 0.2i
997 \(bu
998 \fIutmp\fR
999 .TP 0.2i
1000 \(bu
1001 \fIutmp directory\fR
1002 .TP 0.2i
1003 \(bu
1004 \fIwinbind cache time\fR
1005 .TP 0.2i
1006 \(bu
1007 \fIwinbind enum users\fR
1008 .TP 0.2i
1009 \(bu
1010 \fIwinbind enum groups\fR
1011 .TP 0.2i
1012 \(bu
1013 \fIwinbind gid\fR
1014 .TP 0.2i
1015 \(bu
1016 \fIwinbind separator\fR
1017 .TP 0.2i
1018 \(bu
1019 \fIwinbind uid\fR
1020 .TP 0.2i
1021 \(bu
1022 \fIwinbind use default domain\fR
1023 .TP 0.2i
1024 \(bu
1025 \fIwins hook\fR
1026 .TP 0.2i
1027 \(bu
1028 \fIwins proxy\fR
1029 .TP 0.2i
1030 \(bu
1031 \fIwins server\fR
1032 .TP 0.2i
1033 \(bu
1034 \fIwins support\fR
1035 .TP 0.2i
1036 \(bu
1037 \fIworkgroup\fR
1038 .TP 0.2i
1039 \(bu
1040 \fIwrite raw\fR
1041 .SH "COMPLETE LIST OF SERVICE PARAMETERS"
1042 .PP
1043 Here is a list of all service parameters. See the section on 
1044 each parameter for details. Note that some are synonyms.
1045 .TP 0.2i
1046 \(bu
1047 \fIadmin users\fR
1048 .TP 0.2i
1049 \(bu
1050 \fIallow hosts\fR
1051 .TP 0.2i
1052 \(bu
1053 \fIavailable\fR
1054 .TP 0.2i
1055 \(bu
1056 \fIblocking locks\fR
1057 .TP 0.2i
1058 \(bu
1059 \fIbrowsable\fR
1060 .TP 0.2i
1061 \(bu
1062 \fIbrowseable\fR
1063 .TP 0.2i
1064 \(bu
1065 \fIcase sensitive\fR
1066 .TP 0.2i
1067 \(bu
1068 \fIcasesignames\fR
1069 .TP 0.2i
1070 \(bu
1071 \fIcomment\fR
1072 .TP 0.2i
1073 \(bu
1074 \fIcopy\fR
1075 .TP 0.2i
1076 \(bu
1077 \fIcreate mask\fR
1078 .TP 0.2i
1079 \(bu
1080 \fIcreate mode\fR
1081 .TP 0.2i
1082 \(bu
1083 \fIdefault case\fR
1084 .TP 0.2i
1085 \(bu
1086 \fIdefault devmode\fR
1087 .TP 0.2i
1088 \(bu
1089 \fIdelete readonly\fR
1090 .TP 0.2i
1091 \(bu
1092 \fIdelete veto files\fR
1093 .TP 0.2i
1094 \(bu
1095 \fIdeny hosts\fR
1096 .TP 0.2i
1097 \(bu
1098 \fIdirectory\fR
1099 .TP 0.2i
1100 \(bu
1101 \fIdirectory mask\fR
1102 .TP 0.2i
1103 \(bu
1104 \fIdirectory mode\fR
1105 .TP 0.2i
1106 \(bu
1107 \fIdirectory security mask\fR
1108 .TP 0.2i
1109 \(bu
1110 \fIdont descend\fR
1111 .TP 0.2i
1112 \(bu
1113 \fIdos filemode\fR
1114 .TP 0.2i
1115 \(bu
1116 \fIdos filetime resolution\fR
1117 .TP 0.2i
1118 \(bu
1119 \fIdos filetimes\fR
1120 .TP 0.2i
1121 \(bu
1122 \fIexec\fR
1123 .TP 0.2i
1124 \(bu
1125 \fIfake directory create times\fR
1126 .TP 0.2i
1127 \(bu
1128 \fIfake oplocks\fR
1129 .TP 0.2i
1130 \(bu
1131 \fIfollow symlinks\fR
1132 .TP 0.2i
1133 \(bu
1134 \fIforce create mode\fR
1135 .TP 0.2i
1136 \(bu
1137 \fIforce directory mode\fR
1138 .TP 0.2i
1139 \(bu
1140 \fIforce directory security mode\fR
1141 .TP 0.2i
1142 \(bu
1143 \fIforce group\fR
1144 .TP 0.2i
1145 \(bu
1146 \fIforce security mode\fR
1147 .TP 0.2i
1148 \(bu
1149 \fIforce user\fR
1150 .TP 0.2i
1151 \(bu
1152 \fIfstype\fR
1153 .TP 0.2i
1154 \(bu
1155 \fIgroup\fR
1156 .TP 0.2i
1157 \(bu
1158 \fIguest account\fR
1159 .TP 0.2i
1160 \(bu
1161 \fIguest ok\fR
1162 .TP 0.2i
1163 \(bu
1164 \fIguest only\fR
1165 .TP 0.2i
1166 \(bu
1167 \fIhide dot files\fR
1168 .TP 0.2i
1169 \(bu
1170 \fIhide files\fR
1171 .TP 0.2i
1172 \(bu
1173 \fIhosts allow\fR
1174 .TP 0.2i
1175 \(bu
1176 \fIhosts deny\fR
1177 .TP 0.2i
1178 \(bu
1179 \fIinclude\fR
1180 .TP 0.2i
1181 \(bu
1182 \fIinherit permissions\fR
1183 .TP 0.2i
1184 \(bu
1185 \fIinvalid users\fR
1186 .TP 0.2i
1187 \(bu
1188 \fIlevel2 oplocks\fR
1189 .TP 0.2i
1190 \(bu
1191 \fIlocking\fR
1192 .TP 0.2i
1193 \(bu
1194 \fIlppause command\fR
1195 .TP 0.2i
1196 \(bu
1197 \fIlpq command\fR
1198 .TP 0.2i
1199 \(bu
1200 \fIlpresume command\fR
1201 .TP 0.2i
1202 \(bu
1203 \fIlprm command\fR
1204 .TP 0.2i
1205 \(bu
1206 \fImagic output\fR
1207 .TP 0.2i
1208 \(bu
1209 \fImagic script\fR
1210 .TP 0.2i
1211 \(bu
1212 \fImangle case\fR
1213 .TP 0.2i
1214 \(bu
1215 \fImangled map\fR
1216 .TP 0.2i
1217 \(bu
1218 \fImangled names\fR
1219 .TP 0.2i
1220 \(bu
1221 \fImangling char\fR
1222 .TP 0.2i
1223 \(bu
1224 \fImap archive\fR
1225 .TP 0.2i
1226 \(bu
1227 \fImap hidden\fR
1228 .TP 0.2i
1229 \(bu
1230 \fImap system\fR
1231 .TP 0.2i
1232 \(bu
1233 \fImax connections\fR
1234 .TP 0.2i
1235 \(bu
1236 \fImax print jobs\fR
1237 .TP 0.2i
1238 \(bu
1239 \fImin print space\fR
1240 .TP 0.2i
1241 \(bu
1242 \fImsdfs root\fR
1243 .TP 0.2i
1244 \(bu
1245 \fInt acl support\fR
1246 .TP 0.2i
1247 \(bu
1248 \fIonly guest\fR
1249 .TP 0.2i
1250 \(bu
1251 \fIonly user\fR
1252 .TP 0.2i
1253 \(bu
1254 \fIoplock contention limit\fR
1255 .TP 0.2i
1256 \(bu
1257 \fIoplocks\fR
1258 .TP 0.2i
1259 \(bu
1260 \fIpath\fR
1261 .TP 0.2i
1262 \(bu
1263 \fIposix locking\fR
1264 .TP 0.2i
1265 \(bu
1266 \fIpostexec\fR
1267 .TP 0.2i
1268 \(bu
1269 \fIpostscript\fR
1270 .TP 0.2i
1271 \(bu
1272 \fIpreexec\fR
1273 .TP 0.2i
1274 \(bu
1275 \fIpreexec close\fR
1276 .TP 0.2i
1277 \(bu
1278 \fIpreserve case\fR
1279 .TP 0.2i
1280 \(bu
1281 \fIprint command\fR
1282 .TP 0.2i
1283 \(bu
1284 \fIprint ok\fR
1285 .TP 0.2i
1286 \(bu
1287 \fIprintable\fR
1288 .TP 0.2i
1289 \(bu
1290 \fIprinter\fR
1291 .TP 0.2i
1292 \(bu
1293 \fIprinter admin\fR
1294 .TP 0.2i
1295 \(bu
1296 \fIprinter driver\fR
1297 .TP 0.2i
1298 \(bu
1299 \fIprinter driver location\fR
1300 .TP 0.2i
1301 \(bu
1302 \fIprinter name\fR
1303 .TP 0.2i
1304 \(bu
1305 \fIprinting\fR
1306 .TP 0.2i
1307 \(bu
1308 \fIpublic\fR
1309 .TP 0.2i
1310 \(bu
1311 \fIqueuepause command\fR
1312 .TP 0.2i
1313 \(bu
1314 \fIqueueresume command\fR
1315 .TP 0.2i
1316 \(bu
1317 \fIread list\fR
1318 .TP 0.2i
1319 \(bu
1320 \fIread only\fR
1321 .TP 0.2i
1322 \(bu
1323 \fIroot postexec\fR
1324 .TP 0.2i
1325 \(bu
1326 \fIroot preexec\fR
1327 .TP 0.2i
1328 \(bu
1329 \fIroot preexec close\fR
1330 .TP 0.2i
1331 \(bu
1332 \fIsecurity mask\fR
1333 .TP 0.2i
1334 \(bu
1335 \fIset directory\fR
1336 .TP 0.2i
1337 \(bu
1338 \fIshort preserve case\fR
1339 .TP 0.2i
1340 \(bu
1341 \fIstatus\fR
1342 .TP 0.2i
1343 \(bu
1344 \fIstrict allocate\fR
1345 .TP 0.2i
1346 \(bu
1347 \fIstrict locking\fR
1348 .TP 0.2i
1349 \(bu
1350 \fIstrict sync\fR
1351 .TP 0.2i
1352 \(bu
1353 \fIsync always\fR
1354 .TP 0.2i
1355 \(bu
1356 \fIuse client driver\fR
1357 .TP 0.2i
1358 \(bu
1359 \fIuser\fR
1360 .TP 0.2i
1361 \(bu
1362 \fIusername\fR
1363 .TP 0.2i
1364 \(bu
1365 \fIusers\fR
1366 .TP 0.2i
1367 \(bu
1368 \fIvalid users\fR
1369 .TP 0.2i
1370 \(bu
1371 \fIveto files\fR
1372 .TP 0.2i
1373 \(bu
1374 \fIveto oplock files\fR
1375 .TP 0.2i
1376 \(bu
1377 \fIvfs object\fR
1378 .TP 0.2i
1379 \(bu
1380 \fIvfs options\fR
1381 .TP 0.2i
1382 \(bu
1383 \fIvolume\fR
1384 .TP 0.2i
1385 \(bu
1386 \fIwide links\fR
1387 .TP 0.2i
1388 \(bu
1389 \fIwritable\fR
1390 .TP 0.2i
1391 \(bu
1392 \fIwrite cache size\fR
1393 .TP 0.2i
1394 \(bu
1395 \fIwrite list\fR
1396 .TP 0.2i
1397 \(bu
1398 \fIwrite ok\fR
1399 .TP 0.2i
1400 \(bu
1401 \fIwriteable\fR
1402 .SH "EXPLANATION OF EACH PARAMETER"
1403 .TP
1404 \fBabort shutdown script (G)\fR
1405 \fBThis parameter only exists in the HEAD cvs branch\fR
1406 This a full path name to a script called by
1407 \fBsmbd(8)\fRthat
1408 should stop a shutdown procedure issued by the \fIshutdown script\fR.
1409
1410 This command will be run as user.
1411
1412 Default: \fBNone\fR.
1413
1414 Example: \fBabort shutdown script = /sbin/shutdown -c\fR
1415 .TP
1416 \fBadd printer command (G)\fR
1417 With the introduction of MS-RPC based printing
1418 support for Windows NT/2000 clients in Samba 2.2, The MS Add
1419 Printer Wizard (APW) icon is now also available in the 
1420 "Printers..." folder displayed a share listing. The APW
1421 allows for printers to be add remotely to a Samba or Windows 
1422 NT/2000 print server.
1423
1424 For a Samba host this means that the printer must be 
1425 physically added to the underlying printing system. The \fIadd 
1426 printer command\fR defines a script to be run which 
1427 will perform the necessary operations for adding the printer
1428 to the print system and to add the appropriate service definition 
1429 to the \fIsmb.conf\fR file in order that it can be 
1430 shared by \fBsmbd(8)\fR
1431 .
1432
1433 The \fIadd printer command\fR is
1434 automatically invoked with the following parameter (in 
1435 order:
1436 .RS
1437 .TP 0.2i
1438 \(bu
1439 \fIprinter name\fR
1440 .TP 0.2i
1441 \(bu
1442 \fIshare name\fR
1443 .TP 0.2i
1444 \(bu
1445 \fIport name\fR
1446 .TP 0.2i
1447 \(bu
1448 \fIdriver name\fR
1449 .TP 0.2i
1450 \(bu
1451 \fIlocation\fR
1452 .TP 0.2i
1453 \(bu
1454 \fIWindows 9x driver location\fR
1455 .RE
1456 .PP
1457 All parameters are filled in from the PRINTER_INFO_2 structure sent 
1458 by the Windows NT/2000 client with one exception. The "Windows 9x
1459 driver location" parameter is included for backwards compatibility
1460 only. The remaining fields in the structure are generated from answers
1461 to the APW questions.
1462 .PP
1463 .PP
1464 Once the \fIadd printer command\fR has 
1465 been executed, \fBsmbd\fR will reparse the \fI smb.conf\fR to determine if the share defined by the APW
1466 exists. If the sharename is still invalid, then \fBsmbd
1467 \fRwill return an ACCESS_DENIED error to the client.
1468 .PP
1469 .PP
1470 See also \fI delete printer command\fR, \fIprinting\fR,
1471 \fIshow add
1472 printer wizard\fR
1473 .PP
1474 .PP
1475 Default: \fBnone\fR
1476 .PP
1477 .PP
1478 Example: \fBaddprinter command = /usr/bin/addprinter
1479 \fR.PP
1480 .TP
1481 \fBadd share command (G)\fR
1482 Samba 2.2.0 introduced the ability to dynamically 
1483 add and delete shares via the Windows NT 4.0 Server Manager. The 
1484 \fIadd share command\fR is used to define an 
1485 external program or script which will add a new service definition 
1486 to \fIsmb.conf\fR. In order to successfully 
1487 execute the \fIadd share command\fR, \fBsmbd\fR
1488 requires that the administrator be connected using a root account (i.e. 
1489 uid == 0).
1490
1491 When executed, \fBsmbd\fR will automatically invoke the 
1492 \fIadd share command\fR with four parameters.
1493 .RS
1494 .TP 0.2i
1495 \(bu
1496 \fIconfigFile\fR - the location 
1497 of the global \fIsmb.conf\fR file. 
1498 .TP 0.2i
1499 \(bu
1500 \fIshareName\fR - the name of the new 
1501 share.
1502 .TP 0.2i
1503 \(bu
1504 \fIpathName\fR - path to an **existing**
1505 directory on disk.
1506 .TP 0.2i
1507 \(bu
1508 \fIcomment\fR - comment string to associate 
1509 with the new share.
1510 .RE
1511 .PP
1512 This parameter is only used for add file shares. To add printer shares, 
1513 see the \fIadd printer 
1514 command\fR.
1515 .PP
1516 .PP
1517 See also \fIchange share 
1518 command\fR, \fIdelete share
1519 command\fR.
1520 .PP
1521 .PP
1522 Default: \fBnone\fR
1523 .PP
1524 .PP
1525 Example: \fBadd share command = /usr/local/bin/addshare\fR
1526 .PP
1527 .TP
1528 \fBadd machine script (G)\fR
1529 This is the full pathname to a script that will 
1530 be run by smbd(8)when a machine is added
1531 to it's domain using the administrator username and password method. 
1532
1533 This option is only required when using sam back-ends tied to the
1534 Unix uid method of RID calculation such as smbpasswd. This option is only
1535 available in Samba 3.0.
1536
1537 Default: \fBadd machine script = <empty string>
1538 \fR
1539 Example: \fBadd machine script = /usr/sbin/adduser -n -g machines -c Machine -d /dev/null -s /bin/false %u
1540 \fR.TP
1541 \fBadd user script (G)\fR
1542 This is the full pathname to a script that will 
1543 be run \fBAS ROOT\fR by smbd(8)
1544 under special circumstances described below.
1545
1546 Normally, a Samba server requires that UNIX users are 
1547 created for all users accessing files on this server. For sites 
1548 that use Windows NT account databases as their primary user database 
1549 creating these users and keeping the user list in sync with the 
1550 Windows NT PDC is an onerous task. This option allows smbdto create the required UNIX users 
1551 \fBON DEMAND\fR when a user accesses the Samba server.
1552
1553 In order to use this option, smbd
1554 must \fBNOT\fR be set to \fIsecurity = share\fR
1555 and \fIadd user script\fR
1556 must be set to a full pathname for a script that will create a UNIX 
1557 user given one argument of \fI%u\fR, which expands into 
1558 the UNIX user name to create.
1559
1560 When the Windows user attempts to access the Samba server, 
1561 at login (session setup in the SMB protocol) time,  smbdcontacts the \fIpassword server\fR and 
1562 attempts to authenticate the given user with the given password. If the 
1563 authentication succeeds then \fBsmbd\fR 
1564 attempts to find a UNIX user in the UNIX password database to map the 
1565 Windows user into. If this lookup fails, and \fIadd user script
1566 \fRis set then \fBsmbd\fR will
1567 call the specified script \fBAS ROOT\fR, expanding 
1568 any \fI%u\fR argument to be the user name to create.
1569
1570 If this script successfully creates the user then \fBsmbd
1571 \fRwill continue on as though the UNIX user
1572 already existed. In this way, UNIX users are dynamically created to
1573 match existing Windows NT accounts.
1574
1575 See also \fI security\fR,  \fIpassword server\fR, 
1576 \fIdelete user 
1577 script\fR.
1578
1579 Default: \fBadd user script = <empty string>
1580 \fR
1581 Example: \fBadd user script = /usr/local/samba/bin/add_user 
1582 %u\fR
1583 .TP
1584 \fBadmin users (S)\fR
1585 This is a list of users who will be granted 
1586 administrative privileges on the share. This means that they 
1587 will do all file operations as the super-user (root).
1588
1589 You should use this option very carefully, as any user in 
1590 this list will be able to do anything they like on the share, 
1591 irrespective of file permissions.
1592
1593 Default: \fBno admin users\fR
1594
1595 Example: \fBadmin users = jason\fR
1596 .TP
1597 \fBallow hosts (S)\fR
1598 Synonym for  \fIhosts allow\fR.
1599 .TP
1600 \fBallow trusted domains (G)\fR
1601 This option only takes effect when the \fIsecurity\fR option is set to 
1602 server or domain. 
1603 If it is set to no, then attempts to connect to a resource from 
1604 a domain or workgroup other than the one which smbdis running 
1605 in will fail, even if that domain is trusted by the remote server 
1606 doing the authentication.
1607
1608 This is useful if you only want your Samba server to 
1609 serve resources to users in the domain it is a member of. As 
1610 an example, suppose that there are two domains DOMA and DOMB. DOMB 
1611 is trusted by DOMA, which contains the Samba server. Under normal 
1612 circumstances, a user with an account in DOMB can then access the 
1613 resources of a UNIX account with the same account name on the 
1614 Samba server even if they do not have an account in DOMA. This 
1615 can make implementing a security boundary difficult.
1616
1617 Default: \fBallow trusted domains = yes\fR
1618 .TP
1619 \fBannounce as (G)\fR
1620 This specifies what type of server 
1621 \fBnmbd\fR
1622 will announce itself as, to a network neighborhood browse 
1623 list. By default this is set to Windows NT. The valid options 
1624 are : "NT Server" (which can also be written as "NT"), 
1625 "NT Workstation", "Win95" or "WfW" meaning Windows NT Server, 
1626 Windows NT Workstation, Windows 95 and Windows for Workgroups 
1627 respectively. Do not change this parameter unless you have a 
1628 specific need to stop Samba appearing as an NT server as this 
1629 may prevent Samba servers from participating as browser servers 
1630 correctly.
1631
1632 Default: \fBannounce as = NT Server\fR
1633
1634 Example: \fBannounce as = Win95\fR
1635 .TP
1636 \fBannounce version (G)\fR
1637 This specifies the major and minor version numbers 
1638 that nmbd will use when announcing itself as a server. The default 
1639 is 4.2. Do not change this parameter unless you have a specific 
1640 need to set a Samba server to be a downlevel server.
1641
1642 Default: \fBannounce version = 4.5\fR
1643
1644 Example: \fBannounce version = 2.0\fR
1645 .TP
1646 \fBauto services (G)\fR
1647 This is a synonym for the  \fIpreload\fR.
1648 .TP
1649 \fBauth methods (G)\fR
1650 This option allows the administrator to chose what
1651 authentication methods \fBsmbd\fR will use when authenticating
1652 a user. This option defaults to sensible values based on \fI security\fR.
1653 Each entry in the list attempts to authenticate the user in turn, until
1654 the user authenticates. In practice only one method will ever actually 
1655 be able to complete the authentication.
1656
1657 Default: \fBauth methods = <empty string>\fR
1658
1659 Example: \fBauth methods = guest sam ntdomain\fR
1660 .TP
1661 \fBavailable (S)\fR
1662 This parameter lets you "turn off" a service. If 
1663 \fIavailable = no\fR, then \fBALL\fR 
1664 attempts to connect to the service will fail. Such failures are 
1665 logged.
1666
1667 Default: \fBavailable = yes\fR
1668 .TP
1669 \fBbind interfaces only (G)\fR
1670 This global parameter allows the Samba admin 
1671 to limit what interfaces on a machine will serve SMB requests. If 
1672 affects file service smbd(8)and 
1673 name service nmbd(8)in slightly 
1674 different ways.
1675
1676 For name service it causes \fBnmbd\fR to bind 
1677 to ports 137 and 138 on the interfaces listed in the interfaces parameter. \fBnmbd
1678 \fRalso binds to the "all addresses" interface (0.0.0.0) 
1679 on ports 137 and 138 for the purposes of reading broadcast messages. 
1680 If this option is not set then \fBnmbd\fR will service 
1681 name requests on all of these sockets. If \fIbind interfaces
1682 only\fR is set then \fBnmbd\fR will check the 
1683 source address of any packets coming in on the broadcast sockets 
1684 and discard any that don't match the broadcast addresses of the 
1685 interfaces in the \fIinterfaces\fR parameter list. 
1686 As unicast packets are received on the other sockets it allows 
1687 \fBnmbd\fR to refuse to serve names to machines that 
1688 send packets that arrive through any interfaces not listed in the
1689 \fIinterfaces\fR list. IP Source address spoofing
1690 does defeat this simple check, however so it must not be used
1691 seriously as a security feature for \fBnmbd\fR.
1692
1693 For file service it causes smbd(8)
1694 to bind only to the interface list given in the  interfaces parameter. This restricts the networks that 
1695 \fBsmbd\fR will serve to packets coming in those 
1696 interfaces. Note that you should not use this parameter for machines 
1697 that are serving PPP or other intermittent or non-broadcast network 
1698 interfaces as it will not cope with non-permanent interfaces.
1699
1700 If \fIbind interfaces only\fR is set then 
1701 unless the network address \fB127.0.0.1\fR is added 
1702 to the \fIinterfaces\fR parameter list \fBsmbpasswd(8)\fR
1703 and \fBswat(8)\fRmay 
1704 not work as expected due to the reasons covered below.
1705
1706 To change a users SMB password, the \fBsmbpasswd\fR
1707 by default connects to the \fBlocalhost - 127.0.0.1\fR 
1708 address as an SMB client to issue the password change request. If 
1709 \fIbind interfaces only\fR is set then unless the 
1710 network address \fB127.0.0.1\fR is added to the
1711 \fIinterfaces\fR parameter list then \fB smbpasswd\fR will fail to connect in it's default mode. 
1712 \fBsmbpasswd\fR can be forced to use the primary IP interface 
1713 of the local host by using its  \fI-r remote machine\fR
1714 parameter, with \fIremote machine\fR set 
1715 to the IP name of the primary interface of the local host.
1716
1717 The \fBswat\fR status page tries to connect with
1718 \fBsmbd\fR and \fBnmbd\fR at the address 
1719 \fB127.0.0.1\fR to determine if they are running. 
1720 Not adding \fB127.0.0.1\fR will cause \fB smbd\fR and \fBnmbd\fR to always show
1721 "not running" even if they really are. This can prevent \fB swat\fR from starting/stopping/restarting \fBsmbd\fR
1722 and \fBnmbd\fR.
1723
1724 Default: \fBbind interfaces only = no\fR
1725 .TP
1726 \fBblocking locks (S)\fR
1727 This parameter controls the behavior of smbd(8)when given a request by a client 
1728 to obtain a byte range lock on a region of an open file, and the 
1729 request has a time limit associated with it.
1730
1731 If this parameter is set and the lock range requested 
1732 cannot be immediately satisfied, Samba 2.2 will internally 
1733 queue the lock request, and periodically attempt to obtain 
1734 the lock until the timeout period expires.
1735
1736 If this parameter is set to false, then 
1737 Samba 2.2 will behave as previous versions of Samba would and 
1738 will fail the lock request immediately if the lock range 
1739 cannot be obtained.
1740
1741 Default: \fBblocking locks = yes\fR
1742 .TP
1743 \fBbrowsable (S)\fR
1744 See the \fI browseable\fR.
1745 .TP
1746 \fBbrowse list (G)\fR
1747 This controls whether  \fBsmbd(8)\fRwill serve a browse list to 
1748 a client doing a \fBNetServerEnum\fR call. Normally 
1749 set to true. You should never need to change 
1750 this.
1751
1752 Default: \fBbrowse list = yes\fR
1753 .TP
1754 \fBbrowseable (S)\fR
1755 This controls whether this share is seen in 
1756 the list of available shares in a net view and in the browse list.
1757
1758 Default: \fBbrowseable = yes\fR
1759 .TP
1760 \fBcase sensitive (S)\fR
1761 See the discussion in the section NAME MANGLING.
1762
1763 Default: \fBcase sensitive = no\fR
1764 .TP
1765 \fBcasesignames (S)\fR
1766 Synonym for case 
1767 sensitive.
1768 .TP
1769 \fBchange notify timeout (G)\fR
1770 This SMB allows a client to tell a server to 
1771 "watch" a particular directory for any changes and only reply to
1772 the SMB request when a change has occurred. Such constant scanning of
1773 a directory is expensive under UNIX, hence an  \fBsmbd(8)\fRdaemon only performs such a scan 
1774 on each requested directory once every \fIchange notify 
1775 timeout\fR seconds.
1776
1777 Default: \fBchange notify timeout = 60\fR
1778
1779 Example: \fBchange notify timeout = 300\fR
1780
1781 Would change the scan time to every 5 minutes.
1782 .TP
1783 \fBchange share command (G)\fR
1784 Samba 2.2.0 introduced the ability to dynamically 
1785 add and delete shares via the Windows NT 4.0 Server Manager. The 
1786 \fIchange share command\fR is used to define an 
1787 external program or script which will modify an existing service definition 
1788 in \fIsmb.conf\fR. In order to successfully 
1789 execute the \fIchange share command\fR, \fBsmbd\fR
1790 requires that the administrator be connected using a root account (i.e. 
1791 uid == 0).
1792
1793 When executed, \fBsmbd\fR will automatically invoke the 
1794 \fIchange share command\fR with four parameters.
1795 .RS
1796 .TP 0.2i
1797 \(bu
1798 \fIconfigFile\fR - the location 
1799 of the global \fIsmb.conf\fR file. 
1800 .TP 0.2i
1801 \(bu
1802 \fIshareName\fR - the name of the new 
1803 share.
1804 .TP 0.2i
1805 \(bu
1806 \fIpathName\fR - path to an **existing**
1807 directory on disk.
1808 .TP 0.2i
1809 \(bu
1810 \fIcomment\fR - comment string to associate 
1811 with the new share.
1812 .RE
1813 .PP
1814 This parameter is only used modify existing file shares definitions. To modify 
1815 printer shares, use the "Printers..." folder as seen when browsing the Samba host.
1816 .PP
1817 .PP
1818 See also \fIadd share
1819 command\fR, \fIdelete 
1820 share command\fR.
1821 .PP
1822 .PP
1823 Default: \fBnone\fR
1824 .PP
1825 .PP
1826 Example: \fBchange share command = /usr/local/bin/addshare\fR
1827 .PP
1828 .TP
1829 \fBcomment (S)\fR
1830 This is a text field that is seen next to a share 
1831 when a client does a queries the server, either via the network 
1832 neighborhood or via \fBnet view\fR to list what shares 
1833 are available.
1834
1835 If you want to set the string that is displayed next to the 
1836 machine name then see the \fI server string\fR parameter.
1837
1838 Default: \fBNo comment string\fR
1839
1840 Example: \fBcomment = Fred's Files\fR
1841 .TP
1842 \fBconfig file (G)\fR
1843 This allows you to override the config file 
1844 to use, instead of the default (usually \fIsmb.conf\fR). 
1845 There is a chicken and egg problem here as this option is set 
1846 in the config file!
1847
1848 For this reason, if the name of the config file has changed 
1849 when the parameters are loaded then it will reload them from 
1850 the new config file.
1851
1852 This option takes the usual substitutions, which can 
1853 be very useful.
1854
1855 If the config file doesn't exist then it won't be loaded 
1856 (allowing you to special case the config files of just a few 
1857 clients).
1858
1859 Example: \fBconfig file = /usr/local/samba/lib/smb.conf.%m
1860 \fR.TP
1861 \fBcopy (S)\fR
1862 This parameter allows you to "clone" service 
1863 entries. The specified service is simply duplicated under the 
1864 current service's name. Any parameters specified in the current 
1865 section will override those in the section being copied.
1866
1867 This feature lets you set up a 'template' service and 
1868 create similar services easily. Note that the service being 
1869 copied must occur earlier in the configuration file than the 
1870 service doing the copying.
1871
1872 Default: \fBno value\fR
1873
1874 Example: \fBcopy = otherservice\fR
1875 .TP
1876 \fBcreate mask (S)\fR
1877 A synonym for this parameter is 
1878 \fIcreate mode\fR
1879 \&.
1880
1881 When a file is created, the necessary permissions are 
1882 calculated according to the mapping from DOS modes to UNIX 
1883 permissions, and the resulting UNIX mode is then bit-wise 'AND'ed 
1884 with this parameter. This parameter may be thought of as a bit-wise 
1885 MASK for the UNIX modes of a file. Any bit \fBnot\fR 
1886 set here will be removed from the modes set on a file when it is 
1887 created.
1888
1889 The default value of this parameter removes the 
1890 \&'group' and 'other' write and execute bits from the UNIX modes.
1891
1892 Following this Samba will bit-wise 'OR' the UNIX mode created 
1893 from this parameter with the value of the \fIforce create mode\fR
1894 parameter which is set to 000 by default.
1895
1896 This parameter does not affect directory modes. See the 
1897 parameter \fIdirectory mode
1898 \fRfor details.
1899
1900 See also the \fIforce 
1901 create mode\fR parameter for forcing particular mode 
1902 bits to be set on created files. See also the  \fIdirectory mode\fR parameter for masking 
1903 mode bits on created directories. See also the  \fIinherit permissions\fR parameter.
1904
1905 Note that this parameter does not apply to permissions
1906 set by Windows NT/2000 ACL editors. If the administrator wishes to enforce
1907 a mask on access control lists also, they need to set the \fIsecurity mask\fR.
1908
1909 Default: \fBcreate mask = 0744\fR
1910
1911 Example: \fBcreate mask = 0775\fR
1912 .TP
1913 \fBcreate mode (S)\fR
1914 This is a synonym for \fI create mask\fR.
1915 .TP
1916 \fBdeadtime (G)\fR
1917 The value of the parameter (a decimal integer) 
1918 represents the number of minutes of inactivity before a connection 
1919 is considered dead, and it is disconnected. The deadtime only takes 
1920 effect if the number of open files is zero.
1921
1922 This is useful to stop a server's resources being 
1923 exhausted by a large number of inactive connections.
1924
1925 Most clients have an auto-reconnect feature when a 
1926 connection is broken so in most cases this parameter should be 
1927 transparent to users.
1928
1929 Using this parameter with a timeout of a few minutes 
1930 is recommended for most systems.
1931
1932 A deadtime of zero indicates that no auto-disconnection 
1933 should be performed.
1934
1935 Default: \fBdeadtime = 0\fR
1936
1937 Example: \fBdeadtime = 15\fR
1938 .TP
1939 \fBdebug hires timestamp (G)\fR
1940 Sometimes the timestamps in the log messages 
1941 are needed with a resolution of higher that seconds, this 
1942 boolean parameter adds microsecond resolution to the timestamp 
1943 message header when turned on.
1944
1945 Note that the parameter \fI debug timestamp\fR must be on for this to have an 
1946 effect.
1947
1948 Default: \fBdebug hires timestamp = no\fR
1949 .TP
1950 \fBdebug pid (G)\fR
1951 When using only one log file for more then one 
1952 forked smbd-process there may be hard to follow which process 
1953 outputs which message. This boolean parameter is adds the process-id 
1954 to the timestamp message headers in the logfile when turned on.
1955
1956 Note that the parameter \fI debug timestamp\fR must be on for this to have an 
1957 effect.
1958
1959 Default: \fBdebug pid = no\fR
1960 .TP
1961 \fBdebug timestamp (G)\fR
1962 Samba 2.2 debug log messages are timestamped 
1963 by default. If you are running at a high  \fIdebug level\fR these timestamps
1964 can be distracting. This boolean parameter allows timestamping 
1965 to be turned off.
1966
1967 Default: \fBdebug timestamp = yes\fR
1968 .TP
1969 \fBdebug uid (G)\fR
1970 Samba is sometimes run as root and sometime 
1971 run as the connected user, this boolean parameter inserts the 
1972 current euid, egid, uid and gid to the timestamp message headers 
1973 in the log file if turned on.
1974
1975 Note that the parameter \fI debug timestamp\fR must be on for this to have an 
1976 effect.
1977
1978 Default: \fBdebug uid = no\fR
1979 .TP
1980 \fBdebuglevel (G)\fR
1981 Synonym for \fI log level\fR.
1982 .TP
1983 \fBdefault (G)\fR
1984 A synonym for \fI default service\fR.
1985 .TP
1986 \fBdefault case (S)\fR
1987 See the section on  NAME MANGLING. Also note the  \fIshort preserve case\fR parameter.
1988
1989 Default: \fBdefault case = lower\fR
1990 .TP
1991 \fBdefault devmode (S)\fR
1992 This parameter is only applicable to printable services. When smbd is serving
1993 Printer Drivers to Windows NT/2k/XP clients, each printer on the Samba
1994 server has a Device Mode which defines things such as paper size and
1995 orientation and duplex settings. The device mode can only correctly be
1996 generated by the printer driver itself (which can only be executed on a
1997 Win32 platform). Because smbd is unable to execute the driver code
1998 to generate the device mode, the default behavior is to set this field
1999 to NULL.
2000
2001 Most problems with serving printer drivers to Windows NT/2k/XP clients
2002 can be traced to a problem with the generated device mode. Certain drivers
2003 will do things such as crashing the client's Explorer.exe with a NULL devmode.
2004 However, other printer drivers can cause the client's spooler service
2005 (spoolsv.exe) to die if the devmode was not created by the driver itself
2006 (i.e. smbd generates a default devmode).
2007
2008 This parameter should be used with care and tested with the printer
2009 driver in question. It is better to leave the device mode to NULL
2010 and let the Windows client set the correct values. Because drivers do not
2011 do this all the time, setting \fBdefault devmode = yes\fR
2012 will instruct smbd to generate a default one.
2013
2014 For more information on Windows NT/2k printing and Device Modes,
2015 see the MSDN documentation <URL:http://msdn.microsoft.com/>.
2016
2017 Default: \fBdefault devmode = no\fR
2018 .TP
2019 \fBdefault service (G)\fR
2020 This parameter specifies the name of a service
2021 which will be connected to if the service actually requested cannot
2022 be found. Note that the square brackets are \fBNOT\fR
2023 given in the parameter value (see example below).
2024
2025 There is no default value for this parameter. If this 
2026 parameter is not given, attempting to connect to a nonexistent 
2027 service results in an error.
2028
2029 Typically the default service would be a  \fIguest ok\fR,  \fIread-only\fR service.
2030
2031 Also note that the apparent service name will be changed 
2032 to equal that of the requested service, this is very useful as it 
2033 allows you to use macros like \fI%S\fR to make 
2034 a wildcard service.
2035
2036 Note also that any "_" characters in the name of the service 
2037 used in the default service will get mapped to a "/". This allows for
2038 interesting things.
2039
2040 Example:
2041
2042 .sp
2043 .nf
2044 [global]
2045         default service = pub
2046         
2047 [pub]
2048         path = /%S
2049                 
2050 .sp
2051 .fi
2052 .TP
2053 \fBdelete printer command (G)\fR
2054 With the introduction of MS-RPC based printer
2055 support for Windows NT/2000 clients in Samba 2.2, it is now 
2056 possible to delete printer at run time by issuing the 
2057 DeletePrinter() RPC call.
2058
2059 For a Samba host this means that the printer must be 
2060 physically deleted from underlying printing system. The \fI deleteprinter command\fR defines a script to be run which 
2061 will perform the necessary operations for removing the printer
2062 from the print system and from \fIsmb.conf\fR.
2063
2064 The \fIdelete printer command\fR is 
2065 automatically called with only one parameter: \fI "printer name"\fR.
2066
2067 Once the \fIdelete printer command\fR has 
2068 been executed, \fBsmbd\fR will reparse the \fI smb.conf\fR to associated printer no longer exists. 
2069 If the sharename is still valid, then \fBsmbd
2070 \fRwill return an ACCESS_DENIED error to the client.
2071
2072 See also \fI add printer command\fR, \fIprinting\fR,
2073 \fIshow add
2074 printer wizard\fR
2075
2076 Default: \fBnone\fR
2077
2078 Example: \fBdeleteprinter command = /usr/bin/removeprinter
2079 \fR.TP
2080 \fBdelete readonly (S)\fR
2081 This parameter allows readonly files to be deleted. 
2082 This is not normal DOS semantics, but is allowed by UNIX.
2083
2084 This option may be useful for running applications such 
2085 as rcs, where UNIX file ownership prevents changing file 
2086 permissions, and DOS semantics prevent deletion of a read only file.
2087
2088 Default: \fBdelete readonly = no\fR
2089 .TP
2090 \fBdelete share command (G)\fR
2091 Samba 2.2.0 introduced the ability to dynamically 
2092 add and delete shares via the Windows NT 4.0 Server Manager. The 
2093 \fIdelete share command\fR is used to define an 
2094 external program or script which will remove an existing service 
2095 definition from \fIsmb.conf\fR. In order to successfully 
2096 execute the \fIdelete share command\fR, \fBsmbd\fR
2097 requires that the administrator be connected using a root account (i.e. 
2098 uid == 0).
2099
2100 When executed, \fBsmbd\fR will automatically invoke the 
2101 \fIdelete share command\fR with two parameters.
2102 .RS
2103 .TP 0.2i
2104 \(bu
2105 \fIconfigFile\fR - the location 
2106 of the global \fIsmb.conf\fR file. 
2107 .TP 0.2i
2108 \(bu
2109 \fIshareName\fR - the name of 
2110 the existing service.
2111 .RE
2112 .PP
2113 This parameter is only used to remove file shares. To delete printer shares, 
2114 see the \fIdelete printer 
2115 command\fR.
2116 .PP
2117 .PP
2118 See also \fIadd share
2119 command\fR, \fIchange 
2120 share command\fR.
2121 .PP
2122 .PP
2123 Default: \fBnone\fR
2124 .PP
2125 .PP
2126 Example: \fBdelete share command = /usr/local/bin/delshare\fR
2127 .PP
2128 .TP
2129 \fBdelete user script (G)\fR
2130 This is the full pathname to a script that will 
2131 be run \fBAS ROOT\fR by  \fBsmbd(8)\fRunder special circumstances 
2132 described below.
2133
2134 Normally, a Samba server requires that UNIX users are 
2135 created for all users accessing files on this server. For sites 
2136 that use Windows NT account databases as their primary user database 
2137 creating these users and keeping the user list in sync with the 
2138 Windows NT PDC is an onerous task. This option allows \fB smbd\fR to delete the required UNIX users \fBON 
2139 DEMAND\fR when a user accesses the Samba server and the 
2140 Windows NT user no longer exists.
2141
2142 In order to use this option, \fBsmbd\fR must be 
2143 set to \fIsecurity = domain\fR or \fIsecurity =
2144 user\fR and \fIdelete user script\fR 
2145 must be set to a full pathname for a script 
2146 that will delete a UNIX user given one argument of \fI%u\fR, 
2147 which expands into the UNIX user name to delete.
2148
2149 When the Windows user attempts to access the Samba server, 
2150 at \fBlogin\fR (session setup in the SMB protocol) 
2151 time, \fBsmbd\fR contacts the  \fIpassword server\fR and attempts to authenticate 
2152 the given user with the given password. If the authentication fails 
2153 with the specific Domain error code meaning that the user no longer 
2154 exists then \fBsmbd\fR attempts to find a UNIX user in 
2155 the UNIX password database that matches the Windows user account. If 
2156 this lookup succeeds, and \fIdelete user script\fR is 
2157 set then \fBsmbd\fR will all the specified script 
2158 \fBAS ROOT\fR, expanding any \fI%u\fR 
2159 argument to be the user name to delete.
2160
2161 This script should delete the given UNIX username. In this way, 
2162 UNIX users are dynamically deleted to match existing Windows NT 
2163 accounts.
2164
2165 See also security = domain,
2166 \fIpassword server\fR
2167 , \fIadd user script\fR
2168 \&.
2169
2170 Default: \fBdelete user script = <empty string>
2171 \fR
2172 Example: \fBdelete user script = /usr/local/samba/bin/del_user 
2173 %u\fR
2174 .TP
2175 \fBdelete veto files (S)\fR
2176 This option is used when Samba is attempting to 
2177 delete a directory that contains one or more vetoed directories 
2178 (see the \fIveto files\fR
2179 option). If this option is set to false (the default) then if a vetoed 
2180 directory contains any non-vetoed files or directories then the 
2181 directory delete will fail. This is usually what you want.
2182
2183 If this option is set to true, then Samba 
2184 will attempt to recursively delete any files and directories within 
2185 the vetoed directory. This can be useful for integration with file 
2186 serving systems such as NetAtalk which create meta-files within 
2187 directories you might normally veto DOS/Windows users from seeing 
2188 (e.g. \fI.AppleDouble\fR)
2189
2190 Setting \fBdelete veto files = yes\fR allows these 
2191 directories to be transparently deleted when the parent directory 
2192 is deleted (so long as the user has permissions to do so).
2193
2194 See also the \fIveto 
2195 files\fR parameter.
2196
2197 Default: \fBdelete veto files = no\fR
2198 .TP
2199 \fBdeny hosts (S)\fR
2200 Synonym for \fIhosts 
2201 deny\fR.
2202 .TP
2203 \fBdfree command (G)\fR
2204 The \fIdfree command\fR setting should 
2205 only be used on systems where a problem occurs with the internal 
2206 disk space calculations. This has been known to happen with Ultrix, 
2207 but may occur with other operating systems. The symptom that was 
2208 seen was an error of "Abort Retry Ignore" at the end of each 
2209 directory listing.
2210
2211 This setting allows the replacement of the internal routines to
2212 calculate the total disk space and amount available with an external
2213 routine. The example below gives a possible script that might fulfill
2214 this function.
2215
2216 The external program will be passed a single parameter indicating 
2217 a directory in the filesystem being queried. This will typically consist
2218 of the string \fI./\fR. The script should return two 
2219 integers in ASCII. The first should be the total disk space in blocks, 
2220 and the second should be the number of available blocks. An optional 
2221 third return value can give the block size in bytes. The default 
2222 blocksize is 1024 bytes.
2223
2224 Note: Your script should \fBNOT\fR be setuid or 
2225 setgid and should be owned by (and writeable only by) root!
2226
2227 Default: \fBBy default internal routines for 
2228 determining the disk capacity and remaining space will be used.
2229 \fR
2230 Example: \fBdfree command = /usr/local/samba/bin/dfree
2231 \fR
2232 Where the script dfree (which must be made executable) could be:
2233
2234 .sp
2235 .nf
2236  
2237                 #!/bin/sh
2238                 df $1 | tail -1 | awk '{print $2" "$4}'
2239                 
2240 .sp
2241 .fi
2242
2243 or perhaps (on Sys V based systems):
2244
2245 .sp
2246 .nf
2247  
2248                 #!/bin/sh
2249                 /usr/bin/df -k $1 | tail -1 | awk '{print $3" "$5}'
2250                 
2251 .sp
2252 .fi
2253
2254 Note that you may have to replace the command names 
2255 with full path names on some systems.
2256 .TP
2257 \fBdirectory (S)\fR
2258 Synonym for \fIpath
2259 \fR\&.
2260 .TP
2261 \fBdirectory mask (S)\fR
2262 This parameter is the octal modes which are 
2263 used when converting DOS modes to UNIX modes when creating UNIX 
2264 directories.
2265
2266 When a directory is created, the necessary permissions are 
2267 calculated according to the mapping from DOS modes to UNIX permissions, 
2268 and the resulting UNIX mode is then bit-wise 'AND'ed with this 
2269 parameter. This parameter may be thought of as a bit-wise MASK for 
2270 the UNIX modes of a directory. Any bit \fBnot\fR set 
2271 here will be removed from the modes set on a directory when it is 
2272 created.
2273
2274 The default value of this parameter removes the 'group' 
2275 and 'other' write bits from the UNIX mode, allowing only the 
2276 user who owns the directory to modify it.
2277
2278 Following this Samba will bit-wise 'OR' the UNIX mode 
2279 created from this parameter with the value of the \fIforce directory mode
2280 \fRparameter. This parameter is set to 000 by 
2281 default (i.e. no extra mode bits are added).
2282
2283 Note that this parameter does not apply to permissions
2284 set by Windows NT/2000 ACL editors. If the administrator wishes to enforce
2285 a mask on access control lists also, they need to set the \fIdirectory security mask\fR.
2286
2287 See the \fIforce 
2288 directory mode\fR parameter to cause particular mode 
2289 bits to always be set on created directories.
2290
2291 See also the \fIcreate mode
2292 \fRparameter for masking mode bits on created files, 
2293 and the \fIdirectory 
2294 security mask\fR parameter.
2295
2296 Also refer to the \fI inherit permissions\fR parameter.
2297
2298 Default: \fBdirectory mask = 0755\fR
2299
2300 Example: \fBdirectory mask = 0775\fR
2301 .TP
2302 \fBdirectory mode (S)\fR
2303 Synonym for \fI directory mask\fR
2304 .TP
2305 \fBdirectory security mask (S)\fR
2306 This parameter controls what UNIX permission bits 
2307 can be modified when a Windows NT client is manipulating the UNIX 
2308 permission on a directory using the native NT security dialog 
2309 box.
2310
2311 This parameter is applied as a mask (AND'ed with) to 
2312 the changed permission bits, thus preventing any bits not in 
2313 this mask from being modified. Essentially, zero bits in this 
2314 mask may be treated as a set of bits the user is not allowed 
2315 to change.
2316
2317 If not set explicitly this parameter is set to 0777
2318 meaning a user is allowed to modify all the user/group/world
2319 permissions on a directory.
2320
2321 \fBNote\fR that users who can access the 
2322 Samba server through other means can easily bypass this restriction, 
2323 so it is primarily useful for standalone "appliance" systems. 
2324 Administrators of most normal systems will probably want to leave
2325 it as the default of 0777.
2326
2327 See also the \fI force directory security mode\fR, \fIsecurity mask\fR, 
2328 \fIforce security mode
2329 \fRparameters.
2330
2331 Default: \fBdirectory security mask = 0777\fR
2332
2333 Example: \fBdirectory security mask = 0700\fR
2334 .TP
2335 \fBdisable spoolss (G)\fR
2336 Enabling this parameter will disables Samba's support
2337 for the SPOOLSS set of MS-RPC's and will yield identical behavior
2338 as Samba 2.0.x. Windows NT/2000 clients will downgrade to using
2339 Lanman style printing commands. Windows 9x/ME will be uneffected by
2340 the parameter. However, this will also disable the ability to upload
2341 printer drivers to a Samba server via the Windows NT Add Printer
2342 Wizard or by using the NT printer properties dialog window. It will
2343 also disable the capability of Windows NT/2000 clients to download
2344 print drivers from the Samba host upon demand.
2345 \fBBe very careful about enabling this parameter.\fR
2346
2347 See also use client driver
2348
2349 Default : \fBdisable spoolss = no\fR
2350 .TP
2351 \fBdns proxy (G)\fR
2352 Specifies that nmbd(8)
2353 when acting as a WINS server and finding that a NetBIOS name has not 
2354 been registered, should treat the NetBIOS name word-for-word as a DNS 
2355 name and do a lookup with the DNS server for that name on behalf of 
2356 the name-querying client.
2357
2358 Note that the maximum length for a NetBIOS name is 15 
2359 characters, so the DNS name (or DNS alias) can likewise only be 
2360 15 characters, maximum.
2361
2362 \fBnmbd\fR spawns a second copy of itself to do the
2363 DNS name lookup requests, as doing a name lookup is a blocking 
2364 action.
2365
2366 See also the parameter \fI wins support\fR.
2367
2368 Default: \fBdns proxy = yes\fR
2369 .TP
2370 \fBdomain admin group (G)\fR
2371 This parameter is intended as a temporary solution
2372 to enable users to be a member of the "Domain Admins" group when 
2373 a Samba host is acting as a PDC. A complete solution will be provided
2374 by a system for mapping Windows NT/2000 groups onto UNIX groups.
2375 Please note that this parameter has a somewhat confusing name. It 
2376 accepts a list of usernames and of group names in standard 
2377 \fIsmb.conf\fR notation.
2378
2379 See also \fIdomain
2380 guest group\fR, \fIdomain
2381 logons\fR
2382
2383 Default: \fBno domain administrators\fR
2384
2385 Example: \fBdomain admin group = root @wheel\fR
2386 .TP
2387 \fBdomain guest group (G)\fR
2388 This parameter is intended as a temporary solution
2389 to enable users to be a member of the "Domain Guests" group when 
2390 a Samba host is acting as a PDC. A complete solution will be provided
2391 by a system for mapping Windows NT/2000 groups onto UNIX groups.
2392 Please note that this parameter has a somewhat confusing name. It 
2393 accepts a list of usernames and of group names in standard 
2394 \fIsmb.conf\fR notation.
2395
2396 See also \fIdomain
2397 admin group\fR, \fIdomain
2398 logons\fR
2399
2400 Default: \fBno domain guests\fR
2401
2402 Example: \fBdomain guest group = nobody @guest\fR
2403 .TP
2404 \fBdomain logons (G)\fR
2405 If set to true, the Samba server will serve 
2406 Windows 95/98 Domain logons for the  \fIworkgroup\fR it is in. Samba 2.2 also 
2407 has limited capability to act as a domain controller for Windows 
2408 NT 4 Domains. For more details on setting up this feature see 
2409 the Samba-PDC-HOWTO included in the \fIhtmldocs/\fR
2410 directory shipped with the source code.
2411
2412 Default: \fBdomain logons = no\fR
2413 .TP
2414 \fBdomain master (G)\fR
2415 Tell \fB nmbd(8)\fRto enable WAN-wide browse list
2416 collation. Setting this option causes \fBnmbd\fR to
2417 claim a special domain specific NetBIOS name that identifies 
2418 it as a domain master browser for its given  \fIworkgroup\fR. Local master browsers 
2419 in the same \fIworkgroup\fR on broadcast-isolated 
2420 subnets will give this \fBnmbd\fR their local browse lists, 
2421 and then ask \fBsmbd(8)\fR
2422 for a complete copy of the browse list for the whole wide area 
2423 network. Browser clients will then contact their local master browser, 
2424 and will receive the domain-wide browse list, instead of just the list 
2425 for their broadcast-isolated subnet.
2426
2427 Note that Windows NT Primary Domain Controllers expect to be 
2428 able to claim this \fIworkgroup\fR specific special 
2429 NetBIOS name that identifies them as domain master browsers for 
2430 that \fIworkgroup\fR by default (i.e. there is no 
2431 way to prevent a Windows NT PDC from attempting to do this). This 
2432 means that if this parameter is set and \fBnmbd\fR claims 
2433 the special name for a \fIworkgroup\fR before a Windows 
2434 NT PDC is able to do so then cross subnet browsing will behave 
2435 strangely and may fail.
2436
2437 If \fBdomain logons = yes\fR
2438 , then the default behavior is to enable the \fIdomain 
2439 master\fR parameter. If \fIdomain logons\fR is 
2440 not enabled (the default setting), then neither will \fIdomain 
2441 master\fR be enabled by default.
2442
2443 Default: \fBdomain master = auto\fR
2444 .TP
2445 \fBdont descend (S)\fR
2446 There are certain directories on some systems 
2447 (e.g., the \fI/proc\fR tree under Linux) that are either not 
2448 of interest to clients or are infinitely deep (recursive). This 
2449 parameter allows you to specify a comma-delimited list of directories 
2450 that the server should always show as empty.
2451
2452 Note that Samba can be very fussy about the exact format 
2453 of the "dont descend" entries. For example you may need \fI ./proc\fR instead of just \fI/proc\fR. 
2454 Experimentation is the best policy :-) 
2455
2456 Default: \fBnone (i.e., all directories are OK 
2457 to descend)\fR
2458
2459 Example: \fBdont descend = /proc,/dev\fR
2460 .TP
2461 \fBdos filemode (S)\fR
2462 The default behavior in Samba is to provide 
2463 UNIX-like behavior where only the owner of a file/directory is 
2464 able to change the permissions on it. However, this behavior
2465 is often confusing to DOS/Windows users. Enabling this parameter 
2466 allows a user who has write access to the file (by whatever 
2467 means) to modify the permissions on it. Note that a user
2468 belonging to the group owning the file will not be allowed to
2469 change permissions if the group is only granted read access.
2470 Ownership of the file/directory is not changed, only the permissions 
2471 are modified.
2472
2473 Default: \fBdos filemode = no\fR
2474 .TP
2475 \fBdos filetime resolution (S)\fR
2476 Under the DOS and Windows FAT filesystem, the finest 
2477 granularity on time resolution is two seconds. Setting this parameter 
2478 for a share causes Samba to round the reported time down to the 
2479 nearest two second boundary when a query call that requires one second 
2480 resolution is made to \fBsmbd(8)\fR
2481 .
2482
2483 This option is mainly used as a compatibility option for Visual 
2484 C++ when used against Samba shares. If oplocks are enabled on a 
2485 share, Visual C++ uses two different time reading calls to check if a 
2486 file has changed since it was last read. One of these calls uses a
2487 one-second granularity, the other uses a two second granularity. As
2488 the two second call rounds any odd second down, then if the file has a
2489 timestamp of an odd number of seconds then the two timestamps will not
2490 match and Visual C++ will keep reporting the file has changed. Setting
2491 this option causes the two timestamps to match, and Visual C++ is
2492 happy.
2493
2494 Default: \fBdos filetime resolution = no\fR
2495 .TP
2496 \fBdos filetimes (S)\fR
2497 Under DOS and Windows, if a user can write to a 
2498 file they can change the timestamp on it. Under POSIX semantics, 
2499 only the owner of the file or root may change the timestamp. By 
2500 default, Samba runs with POSIX semantics and refuses to change the 
2501 timestamp on a file if the user \fBsmbd\fR is acting 
2502 on behalf of is not the file owner. Setting this option to  true allows DOS semantics and smbdwill change the file 
2503 timestamp as DOS requires.
2504
2505 Default: \fBdos filetimes = no\fR
2506 .TP
2507 \fBencrypt passwords (G)\fR
2508 This boolean controls whether encrypted passwords 
2509 will be negotiated with the client. Note that Windows NT 4.0 SP3 and 
2510 above and also Windows 98 will by default expect encrypted passwords 
2511 unless a registry entry is changed. To use encrypted passwords in 
2512 Samba see the file ENCRYPTION.txt in the Samba documentation 
2513 directory \fIdocs/\fR shipped with the source code.
2514
2515 In order for encrypted passwords to work correctly
2516 \fBsmbd(8)\fRmust either 
2517 have access to a local \fIsmbpasswd(5)
2518 \fRprogram for information on how to set up 
2519 and maintain this file), or set the security = [server|domain|ads] parameter which 
2520 causes \fBsmbd\fR to authenticate against another 
2521 server.
2522
2523 Default: \fBencrypt passwords = yes\fR
2524 .TP
2525 \fBenhanced browsing (G)\fR
2526 This option enables a couple of enhancements to 
2527 cross-subnet browse propagation that have been added in Samba 
2528 but which are not standard in Microsoft implementations. 
2529
2530 The first enhancement to browse propagation consists of a regular
2531 wildcard query to a Samba WINS server for all Domain Master Browsers,
2532 followed by a browse synchronization with each of the returned
2533 DMBs. The second enhancement consists of a regular randomised browse
2534 synchronization with all currently known DMBs.
2535
2536 You may wish to disable this option if you have a problem with empty
2537 workgroups not disappearing from browse lists. Due to the restrictions
2538 of the browse protocols these enhancements can cause a empty workgroup
2539 to stay around forever which can be annoying.
2540
2541 In general you should leave this option enabled as it makes
2542 cross-subnet browse propagation much more reliable.
2543
2544 Default: \fBenhanced browsing = yes\fR
2545 .TP
2546 \fBenumports command (G)\fR
2547 The concept of a "port" is fairly foreign
2548 to UNIX hosts. Under Windows NT/2000 print servers, a port
2549 is associated with a port monitor and generally takes the form of
2550 a local port (i.e. LPT1:, COM1:, FILE:) or a remote port
2551 (i.e. LPD Port Monitor, etc...). By default, Samba has only one
2552 port defined--"Samba Printer Port". Under 
2553 Windows NT/2000, all printers must have a valid port name. 
2554 If you wish to have a list of ports displayed (\fBsmbd
2555 \fRdoes not use a port name for anything) other than 
2556 the default "Samba Printer Port", you 
2557 can define \fIenumports command\fR to point to
2558 a program which should generate a list of ports, one per line,
2559 to standard output. This listing will then be used in response
2560 to the level 1 and 2 EnumPorts() RPC.
2561
2562 Default: \fBno enumports command\fR
2563
2564 Example: \fBenumports command = /usr/bin/listports
2565 \fR.TP
2566 \fBexec (S)\fR
2567 This is a synonym for  \fIpreexec\fR.
2568 .TP
2569 \fBfake directory create times (S)\fR
2570 NTFS and Windows VFAT file systems keep a create 
2571 time for all files and directories. This is not the same as the 
2572 ctime - status change time - that Unix keeps, so Samba by default 
2573 reports the earliest of the various times Unix does keep. Setting 
2574 this parameter for a share causes Samba to always report midnight 
2575 1-1-1980 as the create time for directories.
2576
2577 This option is mainly used as a compatibility option for 
2578 Visual C++ when used against Samba shares. Visual C++ generated 
2579 makefiles have the object directory as a dependency for each object 
2580 file, and a make rule to create the directory. Also, when NMAKE 
2581 compares timestamps it uses the creation time when examining a 
2582 directory. Thus the object directory will be created if it does not 
2583 exist, but once it does exist it will always have an earlier 
2584 timestamp than the object files it contains.
2585
2586 However, Unix time semantics mean that the create time 
2587 reported by Samba will be updated whenever a file is created or 
2588 or deleted in the directory. NMAKE finds all object files in 
2589 the object directory. The timestamp of the last one built is then 
2590 compared to the timestamp of the object directory. If the 
2591 directory's timestamp if newer, then all object files
2592 will be rebuilt. Enabling this option 
2593 ensures directories always predate their contents and an NMAKE build 
2594 will proceed as expected.
2595
2596 Default: \fBfake directory create times = no\fR
2597 .TP
2598 \fBfake oplocks (S)\fR
2599 Oplocks are the way that SMB clients get permission 
2600 from a server to locally cache file operations. If a server grants 
2601 an oplock (opportunistic lock) then the client is free to assume 
2602 that it is the only one accessing the file and it will aggressively 
2603 cache file data. With some oplock types the client may even cache 
2604 file open/close operations. This can give enormous performance benefits.
2605
2606 When you set \fBfake oplocks = yes\fR, \fBsmbd(8)\fRwill
2607 always grant oplock requests no matter how many clients are using 
2608 the file.
2609
2610 It is generally much better to use the real \fIoplocks\fR support rather 
2611 than this parameter.
2612
2613 If you enable this option on all read-only shares or 
2614 shares that you know will only be accessed from one client at a 
2615 time such as physically read-only media like CDROMs, you will see 
2616 a big performance improvement on many operations. If you enable 
2617 this option on shares where multiple clients may be accessing the 
2618 files read-write at the same time you can get data corruption. Use 
2619 this option carefully!
2620
2621 Default: \fBfake oplocks = no\fR
2622 .TP
2623 \fBfollow symlinks (S)\fR
2624 This parameter allows the Samba administrator 
2625 to stop \fBsmbd(8)\fR
2626 from following symbolic links in a particular share. Setting this 
2627 parameter to no prevents any file or directory 
2628 that is a symbolic link from being followed (the user will get an 
2629 error). This option is very useful to stop users from adding a 
2630 symbolic link to \fI/etc/passwd\fR in their home 
2631 directory for instance. However it will slow filename lookups 
2632 down slightly.
2633
2634 This option is enabled (i.e. \fBsmbd\fR will 
2635 follow symbolic links) by default.
2636
2637 Default: \fBfollow symlinks = yes\fR
2638 .TP
2639 \fBforce create mode (S)\fR
2640 This parameter specifies a set of UNIX mode bit 
2641 permissions that will \fBalways\fR be set on a 
2642 file created by Samba. This is done by bitwise 'OR'ing these bits onto 
2643 the mode bits of a file that is being created or having its 
2644 permissions changed. The default for this parameter is (in octal) 
2645 000. The modes in this parameter are bitwise 'OR'ed onto the file 
2646 mode after the mask set in the \fIcreate mask\fR 
2647 parameter is applied.
2648
2649 See also the parameter \fIcreate 
2650 mask\fR for details on masking mode bits on files.
2651
2652 See also the \fIinherit 
2653 permissions\fR parameter.
2654
2655 Default: \fBforce create mode = 000\fR
2656
2657 Example: \fBforce create mode = 0755\fR
2658
2659 would force all created files to have read and execute 
2660 permissions set for 'group' and 'other' as well as the 
2661 read/write/execute bits set for the 'user'.
2662 .TP
2663 \fBforce directory mode (S)\fR
2664 This parameter specifies a set of UNIX mode bit 
2665 permissions that will \fBalways\fR be set on a directory 
2666 created by Samba. This is done by bitwise 'OR'ing these bits onto the 
2667 mode bits of a directory that is being created. The default for this 
2668 parameter is (in octal) 0000 which will not add any extra permission 
2669 bits to a created directory. This operation is done after the mode 
2670 mask in the parameter \fIdirectory mask\fR is 
2671 applied.
2672
2673 See also the parameter \fI directory mask\fR for details on masking mode bits 
2674 on created directories.
2675
2676 See also the \fI inherit permissions\fR parameter.
2677
2678 Default: \fBforce directory mode = 000\fR
2679
2680 Example: \fBforce directory mode = 0755\fR
2681
2682 would force all created directories to have read and execute
2683 permissions set for 'group' and 'other' as well as the
2684 read/write/execute bits set for the 'user'.
2685 .TP
2686 \fBforce directory  security mode (S)\fR
2687 This parameter controls what UNIX permission bits 
2688 can be modified when a Windows NT client is manipulating the UNIX 
2689 permission on a directory using the native NT security dialog box.
2690
2691 This parameter is applied as a mask (OR'ed with) to the 
2692 changed permission bits, thus forcing any bits in this mask that 
2693 the user may have modified to be on. Essentially, one bits in this 
2694 mask may be treated as a set of bits that, when modifying security 
2695 on a directory, the user has always set to be 'on'.
2696
2697 If not set explicitly this parameter is 000, which 
2698 allows a user to modify all the user/group/world permissions on a 
2699 directory without restrictions.
2700
2701 \fBNote\fR that users who can access the 
2702 Samba server through other means can easily bypass this restriction, 
2703 so it is primarily useful for standalone "appliance" systems. 
2704 Administrators of most normal systems will probably want to leave
2705 it set as 0000.
2706
2707 See also the \fI directory security mask\fR,  \fIsecurity mask\fR, 
2708 \fIforce security mode
2709 \fRparameters.
2710
2711 Default: \fBforce directory security mode = 0\fR
2712
2713 Example: \fBforce directory security mode = 700\fR
2714 .TP
2715 \fBforce group (S)\fR
2716 This specifies a UNIX group name that will be 
2717 assigned as the default primary group for all users connecting 
2718 to this service. This is useful for sharing files by ensuring 
2719 that all access to files on service will use the named group for 
2720 their permissions checking. Thus, by assigning permissions for this 
2721 group to the files and directories within this service the Samba 
2722 administrator can restrict or allow sharing of these files.
2723
2724 In Samba 2.0.5 and above this parameter has extended 
2725 functionality in the following way. If the group name listed here 
2726 has a '+' character prepended to it then the current user accessing 
2727 the share only has the primary group default assigned to this group 
2728 if they are already assigned as a member of that group. This allows 
2729 an administrator to decide that only users who are already in a 
2730 particular group will create files with group ownership set to that 
2731 group. This gives a finer granularity of ownership assignment. For 
2732 example, the setting \fIforce group = +sys\fR means 
2733 that only users who are already in group sys will have their default
2734 primary group assigned to sys when accessing this Samba share. All
2735 other users will retain their ordinary primary group.
2736
2737 If the \fIforce user
2738 \fRparameter is also set the group specified in 
2739 \fIforce group\fR will override the primary group
2740 set in \fIforce user\fR.
2741
2742 See also \fIforce 
2743 user\fR.
2744
2745 Default: \fBno forced group\fR
2746
2747 Example: \fBforce group = agroup\fR
2748 .TP
2749 \fBforce security mode (S)\fR
2750 This parameter controls what UNIX permission 
2751 bits can be modified when a Windows NT client is manipulating 
2752 the UNIX permission on a file using the native NT security dialog 
2753 box.
2754
2755 This parameter is applied as a mask (OR'ed with) to the 
2756 changed permission bits, thus forcing any bits in this mask that 
2757 the user may have modified to be on. Essentially, one bits in this 
2758 mask may be treated as a set of bits that, when modifying security 
2759 on a file, the user has always set to be 'on'.
2760
2761 If not set explicitly this parameter is set to 0,
2762 and allows a user to modify all the user/group/world permissions on a file,
2763 with no restrictions.
2764
2765 \fBNote\fR that users who can access 
2766 the Samba server through other means can easily bypass this restriction, 
2767 so it is primarily useful for standalone "appliance" systems. 
2768 Administrators of most normal systems will probably want to leave
2769 this set to 0000.
2770
2771 See also the \fI force directory security mode\fR,
2772 \fIdirectory security
2773 mask\fR, \fI security mask\fR parameters.
2774
2775 Default: \fBforce security mode = 0\fR
2776
2777 Example: \fBforce security mode = 700\fR
2778 .TP
2779 \fBforce user (S)\fR
2780 This specifies a UNIX user name that will be 
2781 assigned as the default user for all users connecting to this service. 
2782 This is useful for sharing files. You should also use it carefully 
2783 as using it incorrectly can cause security problems.
2784
2785 This user name only gets used once a connection is established. 
2786 Thus clients still need to connect as a valid user and supply a 
2787 valid password. Once connected, all file operations will be performed 
2788 as the "forced user", no matter what username the client connected 
2789 as. This can be very useful.
2790
2791 In Samba 2.0.5 and above this parameter also causes the 
2792 primary group of the forced user to be used as the primary group 
2793 for all file activity. Prior to 2.0.5 the primary group was left 
2794 as the primary group of the connecting user (this was a bug).
2795
2796 See also \fIforce group
2797 \fR
2798 Default: \fBno forced user\fR
2799
2800 Example: \fBforce user = auser\fR
2801 .TP
2802 \fBfstype (S)\fR
2803 This parameter allows the administrator to 
2804 configure the string that specifies the type of filesystem a share 
2805 is using that is reported by \fBsmbd(8)
2806 \fRwhen a client queries the filesystem type
2807 for a share. The default type is NTFS for 
2808 compatibility with Windows NT but this can be changed to other 
2809 strings such as Samba or FAT
2810 if required.
2811
2812 Default: \fBfstype = NTFS\fR
2813
2814 Example: \fBfstype = Samba\fR
2815 .TP
2816 \fBgetwd cache (G)\fR
2817 This is a tuning option. When this is enabled a 
2818 caching algorithm will be used to reduce the time taken for getwd() 
2819 calls. This can have a significant impact on performance, especially 
2820 when the \fIwide links\fR
2821 parameter is set to false.
2822
2823 Default: \fBgetwd cache = yes\fR
2824 .TP
2825 \fBgroup (S)\fR
2826 Synonym for \fIforce 
2827 group\fR.
2828 .TP
2829 \fBguest account (S)\fR
2830 This is a username which will be used for access 
2831 to services which are specified as \fI guest ok\fR (see below). Whatever privileges this 
2832 user has will be available to any client connecting to the guest service. 
2833 Typically this user will exist in the password file, but will not
2834 have a valid login. The user account "ftp" is often a good choice 
2835 for this parameter. If a username is specified in a given service, 
2836 the specified username overrides this one.
2837
2838 One some systems the default guest account "nobody" may not 
2839 be able to print. Use another account in this case. You should test 
2840 this by trying to log in as your guest user (perhaps by using the 
2841 \fBsu -\fR command) and trying to print using the 
2842 system print command such as \fBlpr(1)\fR or \fB lp(1)\fR.
2843
2844 Default: \fBspecified at compile time, usually 
2845 "nobody"\fR
2846
2847 Example: \fBguest account = ftp\fR
2848 .TP
2849 \fBguest ok (S)\fR
2850 If this parameter is yes for 
2851 a service, then no password is required to connect to the service. 
2852 Privileges will be those of the \fI guest account\fR.
2853
2854 See the section below on \fI security\fR for more information about this option.
2855
2856 Default: \fBguest ok = no\fR
2857 .TP
2858 \fBguest only (S)\fR
2859 If this parameter is yes for 
2860 a service, then only guest connections to the service are permitted. 
2861 This parameter will have no effect if  \fIguest ok\fR is not set for the service.
2862
2863 See the section below on \fI security\fR for more information about this option.
2864
2865 Default: \fBguest only = no\fR
2866 .TP
2867 \fBhide dot files (S)\fR
2868 This is a boolean parameter that controls whether 
2869 files starting with a dot appear as hidden files.
2870
2871 Default: \fBhide dot files = yes\fR
2872 .TP
2873 \fBhide files(S)\fR
2874 This is a list of files or directories that are not 
2875 visible but are accessible. The DOS 'hidden' attribute is applied 
2876 to any files or directories that match.
2877
2878 Each entry in the list must be separated by a '/', 
2879 which allows spaces to be included in the entry. '*'
2880 and '?' can be used to specify multiple files or directories 
2881 as in DOS wildcards.
2882
2883 Each entry must be a Unix path, not a DOS path and must 
2884 not include the Unix directory separator '/'.
2885
2886 Note that the case sensitivity option is applicable 
2887 in hiding files.
2888
2889 Setting this parameter will affect the performance of Samba, 
2890 as it will be forced to check all files and directories for a match 
2891 as they are scanned.
2892
2893 See also \fIhide 
2894 dot files\fR, \fI veto files\fR and  \fIcase sensitive\fR.
2895
2896 Default: \fBno file are hidden\fR
2897
2898 Example: \fBhide files =
2899 /.*/DesktopFolderDB/TrashFor%m/resource.frk/\fR
2900
2901 The above example is based on files that the Macintosh 
2902 SMB client (DAVE) available from  
2903 Thursby <URL:http://www.thursby.com> creates for internal use, and also still hides 
2904 all files beginning with a dot.
2905 .TP
2906 \fBhide local users(G)\fR
2907 This parameter toggles the hiding of local UNIX 
2908 users (root, wheel, floppy, etc) from remote clients.
2909
2910 Default: \fBhide local users = no\fR
2911 .TP
2912 \fBhide unreadable (S)\fR
2913 This parameter prevents clients from seeing the
2914 existance of files that cannot be read. Defaults to off.
2915
2916 Default: \fBhide unreadable = no\fR
2917 .TP
2918 \fBhomedir map (G)\fR
2919 If\fInis homedir
2920 \fRis true, and \fBsmbd(8)\fRis also acting 
2921 as a Win95/98 \fIlogon server\fR then this parameter 
2922 specifies the NIS (or YP) map from which the server for the user's 
2923 home directory should be extracted. At present, only the Sun 
2924 auto.home map format is understood. The form of the map is:
2925
2926 \fBusername server:/some/file/system\fR
2927
2928 and the program will extract the servername from before 
2929 the first ':'. There should probably be a better parsing system 
2930 that copes with different map formats and also Amd (another 
2931 automounter) maps.
2932
2933 \fBNOTE :\fRA working NIS client is required on 
2934 the system for this option to work.
2935
2936 See also \fInis homedir\fR
2937 , \fIdomain logons\fR
2938 \&.
2939
2940 Default: \fBhomedir map = <empty string>\fR
2941
2942 Example: \fBhomedir map = amd.homedir\fR
2943 .TP
2944 \fBhost msdfs (G)\fR
2945 This boolean parameter is only available 
2946 if Samba has been configured and compiled with the \fB --with-msdfs\fR option. If set to yes, 
2947 Samba will act as a Dfs server, and allow Dfs-aware clients 
2948 to browse Dfs trees hosted on the server.
2949
2950 See also the \fI msdfs root\fR share level parameter. For
2951 more information on setting up a Dfs tree on Samba,
2952 refer to msdfs_setup.html.
2953
2954 Default: \fBhost msdfs = no\fR
2955 .TP
2956 \fBhosts allow (S)\fR
2957 A synonym for this parameter is \fIallow 
2958 hosts\fR.
2959
2960 This parameter is a comma, space, or tab delimited 
2961 set of hosts which are permitted to access a service.
2962
2963 If specified in the [global] section then it will
2964 apply to all services, regardless of whether the individual 
2965 service has a different setting.
2966
2967 You can specify the hosts by name or IP number. For 
2968 example, you could restrict access to only the hosts on a 
2969 Class C subnet with something like \fBallow hosts = 150.203.5.
2970 \fR\&. The full syntax of the list is described in the man 
2971 page \fIhosts_access(5)\fR. Note that this man
2972 page may not be present on your system, so a brief description will
2973 be given here also.
2974
2975 Note that the localhost address 127.0.0.1 will always 
2976 be allowed access unless specifically denied by a \fIhosts deny\fR option.
2977
2978 You can also specify hosts by network/netmask pairs and 
2979 by netgroup names if your system supports netgroups. The 
2980 \fBEXCEPT\fR keyword can also be used to limit a 
2981 wildcard list. The following examples may provide some help:
2982
2983 Example 1: allow all IPs in 150.203.*.*; except one
2984
2985 \fBhosts allow = 150.203. EXCEPT 150.203.6.66\fR
2986
2987 Example 2: allow hosts that match the given network/netmask
2988
2989 \fBhosts allow = 150.203.15.0/255.255.255.0\fR
2990
2991 Example 3: allow a couple of hosts
2992
2993 \fBhosts allow = lapland, arvidsjaur\fR
2994
2995 Example 4: allow only hosts in NIS netgroup "foonet", but 
2996 deny access from one particular host
2997
2998 \fBhosts allow = @foonet\fR
2999
3000 \fBhosts deny = pirate\fR
3001
3002 Note that access still requires suitable user-level passwords.
3003
3004 See \fBtestparm(1)\fR
3005 for a way of testing your host access to see if it does 
3006 what you expect.
3007
3008 Default: \fBnone (i.e., all hosts permitted access)
3009 \fR
3010 Example: \fBallow hosts = 150.203.5. myhost.mynet.edu.au
3011 \fR.TP
3012 \fBhosts deny (S)\fR
3013 The opposite of \fIhosts allow\fR 
3014 - hosts listed here are \fBNOT\fR permitted access to 
3015 services unless the specific services have their own lists to override 
3016 this one. Where the lists conflict, the \fIallow\fR 
3017 list takes precedence.
3018
3019 Default: \fBnone (i.e., no hosts specifically excluded)
3020 \fR
3021 Example: \fBhosts deny = 150.203.4. badhost.mynet.edu.au
3022 \fR.TP
3023 \fBhosts equiv (G)\fR
3024 If this global parameter is a non-null string, 
3025 it specifies the name of a file to read for the names of hosts 
3026 and users who will be allowed access without specifying a password.
3027
3028 This is not be confused with  \fIhosts allow\fR which is about hosts 
3029 access to services and is more useful for guest services. \fI hosts equiv\fR may be useful for NT clients which will 
3030 not supply passwords to Samba.
3031
3032 \fBNOTE :\fR The use of \fIhosts equiv
3033 \fRcan be a major security hole. This is because you are 
3034 trusting the PC to supply the correct username. It is very easy to 
3035 get a PC to supply a false username. I recommend that the 
3036 \fIhosts equiv\fR option be only used if you really 
3037 know what you are doing, or perhaps on a home network where you trust 
3038 your spouse and kids. And only if you \fBreally\fR trust 
3039 them :-).
3040
3041 Default: \fBno host equivalences\fR
3042
3043 Example: \fBhosts equiv = /etc/hosts.equiv\fR
3044 .TP
3045 \fBinclude (G)\fR
3046 This allows you to include one config file 
3047 inside another. The file is included literally, as though typed 
3048 in place.
3049
3050 It takes the standard substitutions, except \fI%u
3051 \fR, \fI%P\fR and \fI%S\fR.
3052
3053 Default: \fBno file included\fR
3054
3055 Example: \fBinclude = /usr/local/samba/lib/admin_smb.conf
3056 \fR.TP
3057 \fBinherit permissions (S)\fR
3058 The permissions on new files and directories 
3059 are normally governed by \fI create mask\fR,  \fIdirectory mask\fR, \fIforce create mode\fR
3060 and \fIforce 
3061 directory mode\fR but the boolean inherit 
3062 permissions parameter overrides this.
3063
3064 New directories inherit the mode of the parent directory,
3065 including bits such as setgid.
3066
3067 New files inherit their read/write bits from the parent 
3068 directory. Their execute bits continue to be determined by
3069 \fImap archive\fR
3070 , \fImap hidden\fR
3071 and \fImap system\fR
3072 as usual.
3073
3074 Note that the setuid bit is \fBnever\fR set via 
3075 inheritance (the code explicitly prohibits this).
3076
3077 This can be particularly useful on large systems with 
3078 many users, perhaps several thousand, to allow a single [homes] 
3079 share to be used flexibly by each user.
3080
3081 See also \fIcreate mask
3082 \fR, \fI directory mask\fR,  \fIforce create mode\fR and \fIforce directory mode\fR
3083 \&.
3084
3085 Default: \fBinherit permissions = no\fR
3086 .TP
3087 \fBinterfaces (G)\fR
3088 This option allows you to override the default 
3089 network interfaces list that Samba will use for browsing, name 
3090 registration and other NBT traffic. By default Samba will query 
3091 the kernel for the list of all active interfaces and use any 
3092 interfaces except 127.0.0.1 that are broadcast capable.
3093
3094 The option takes a list of interface strings. Each string 
3095 can be in any of the following forms:
3096 .RS
3097 .TP 0.2i
3098 \(bu
3099 a network interface name (such as eth0). 
3100 This may include shell-like wildcards so eth* will match 
3101 any interface starting with the substring "eth"
3102 .TP 0.2i
3103 \(bu
3104 an IP address. In this case the netmask is 
3105 determined from the list of interfaces obtained from the 
3106 kernel
3107 .TP 0.2i
3108 \(bu
3109 an IP/mask pair. 
3110 .TP 0.2i
3111 \(bu
3112 a broadcast/mask pair.
3113 .RE
3114 .PP
3115 The "mask" parameters can either be a bit length (such 
3116 as 24 for a C class network) or a full netmask in dotted 
3117 decimal form.
3118 .PP
3119 .PP
3120 The "IP" parameters above can either be a full dotted 
3121 decimal IP address or a hostname which will be looked up via 
3122 the OS's normal hostname resolution mechanisms.
3123 .PP
3124 .PP
3125 For example, the following line:
3126 .PP
3127 .PP
3128 \fBinterfaces = eth0 192.168.2.10/24 192.168.3.10/255.255.255.0
3129 \fR.PP
3130 .PP
3131 would configure three network interfaces corresponding 
3132 to the eth0 device and IP addresses 192.168.2.10 and 192.168.3.10. 
3133 The netmasks of the latter two interfaces would be set to 255.255.255.0.
3134 .PP
3135 .PP
3136 See also \fIbind 
3137 interfaces only\fR.
3138 .PP
3139 .PP
3140 Default: \fBall active interfaces except 127.0.0.1 
3141 that are broadcast capable\fR
3142 .PP
3143 .TP
3144 \fBinvalid users (S)\fR
3145 This is a list of users that should not be allowed 
3146 to login to this service. This is really a \fBparanoid\fR 
3147 check to absolutely ensure an improper setting does not breach 
3148 your security.
3149
3150 A name starting with a '@' is interpreted as an NIS 
3151 netgroup first (if your system supports NIS), and then as a UNIX 
3152 group if the name was not found in the NIS netgroup database.
3153
3154 A name starting with '+' is interpreted only 
3155 by looking in the UNIX group database. A name starting with 
3156 \&'&' is interpreted only by looking in the NIS netgroup database 
3157 (this requires NIS to be working on your system). The characters 
3158 \&'+' and '&' may be used at the start of the name in either order 
3159 so the value \fI+&group\fR means check the 
3160 UNIX group database, followed by the NIS netgroup database, and 
3161 the value \fI&+group\fR means check the NIS
3162 netgroup database, followed by the UNIX group database (the 
3163 same as the '@' prefix).
3164
3165 The current servicename is substituted for \fI%S\fR. 
3166 This is useful in the [homes] section.
3167
3168 See also \fIvalid users
3169 \fR\&.
3170
3171 Default: \fBno invalid users\fR
3172
3173 Example: \fBinvalid users = root fred admin @wheel
3174 \fR.TP
3175 \fBkeepalive (G)\fR
3176 The value of the parameter (an integer) represents 
3177 the number of seconds between \fIkeepalive\fR 
3178 packets. If this parameter is zero, no keepalive packets will be 
3179 sent. Keepalive packets, if sent, allow the server to tell whether 
3180 a client is still present and responding.
3181
3182 Keepalives should, in general, not be needed if the socket 
3183 being used has the SO_KEEPALIVE attribute set on it (see \fIsocket options\fR). 
3184 Basically you should only use this option if you strike difficulties.
3185
3186 Default: \fBkeepalive = 300\fR
3187
3188 Example: \fBkeepalive = 600\fR
3189 .TP
3190 \fBkernel oplocks (G)\fR
3191 For UNIXes that support kernel based \fIoplocks\fR
3192 (currently only IRIX and the Linux 2.4 kernel), this parameter 
3193 allows the use of them to be turned on or off.
3194
3195 Kernel oplocks support allows Samba \fIoplocks
3196 \fRto be broken whenever a local UNIX process or NFS operation 
3197 accesses a file that \fBsmbd(8)\fR
3198 has oplocked. This allows complete data consistency between 
3199 SMB/CIFS, NFS and local file access (and is a \fBvery\fR 
3200 cool feature :-).
3201
3202 This parameter defaults to on, but is translated
3203 to a no-op on systems that no not have the necessary kernel support.
3204 You should never need to touch this parameter.
3205
3206 See also the \fIoplocks\fR
3207 and \fIlevel2 oplocks
3208 \fRparameters.
3209
3210 Default: \fBkernel oplocks = yes\fR
3211 .TP
3212 \fBlanman auth (G)\fR
3213 This parameter determines whether or not smbdwill
3214 attempt to authenticate users using the LANMAN password hash.
3215 If disabled, only clients which support NT password hashes (e.g. Windows 
3216 NT/2000 clients, smbclient, etc... but not Windows 95/98 or the MS DOS 
3217 network client) will be able to connect to the Samba host.
3218
3219 Default : \fBlanman auth = yes\fR
3220 .TP
3221 \fBlarge readwrite (G)\fR
3222 This parameter determines whether or not smbd
3223 supports the new 64k streaming read and write varient SMB requests introduced
3224 with Windows 2000. Note that due to Windows 2000 client redirector bugs
3225 this requires Samba to be running on a 64-bit capable operating system such
3226 as IRIX, Solaris or a Linux 2.4 kernel. Can improve performance by 10% with
3227 Windows 2000 clients. Defaults to on. Not as tested as some other Samba
3228 code paths.
3229
3230 Default : \fBlarge readwrite = yes\fR
3231 .TP
3232 \fBldap admin dn (G)\fR
3233 This parameter is only available if Samba has been
3234 configure to include the \fB--with-ldapsam\fR option
3235 at compile time. This option should be considered experimental and
3236 under active development.
3237
3238 The \fIldap admin dn\fR defines the Distinguished 
3239 Name (DN) name used by Samba to contact the ldap
3240 server when retreiving user account information. The \fIldap
3241 admin dn\fR is used in conjunction with the admin dn password
3242 stored in the \fIprivate/secrets.tdb\fR file. See the
3243 \fBsmbpasswd(8)\fRman
3244 page for more information on how to accmplish this.
3245
3246 Default : \fBnone\fR
3247 .TP
3248 \fBldap filter (G)\fR
3249 This parameter is only available if Samba has been
3250 configure to include the \fB--with-ldapsam\fR option
3251 at compile time. This option should be considered experimental and
3252 under active development.
3253
3254 This parameter specifies the RFC 2254 compliant LDAP search filter.
3255 The default is to match the login name with the uid 
3256 attribute for all entries matching the sambaAccount 
3257 objectclass. Note that this filter should only return one entry.
3258
3259 Default : \fBldap filter = (&(uid=%u)(objectclass=sambaAccount))\fR
3260 .TP
3261 \fBldap port (G)\fR
3262 This parameter is only available if Samba has been
3263 configure to include the \fB--with-ldapsam\fR option
3264 at compile time. This option should be considered experimental and
3265 under active development.
3266
3267 This option is used to control the tcp port number used to contact
3268 the \fIldap server\fR.
3269 The default is to use the stand LDAPS port 636.
3270
3271 See Also: ldap ssl
3272
3273 Default : \fBldap port = 636\fR
3274 .TP
3275 \fBldap server (G)\fR
3276 This parameter is only available if Samba has been
3277 configure to include the \fB--with-ldapsam\fR option
3278 at compile time. This option should be considered experimental and
3279 under active development.
3280
3281 This parameter should contains the FQDN of the ldap directory 
3282 server which should be queried to locate user account information.
3283
3284 Default : \fBldap server = localhost\fR
3285 .TP
3286 \fBldap ssl (G)\fR
3287 This parameter is only available if Samba has been
3288 configure to include the \fB--with-ldapsam\fR option
3289 at compile time. This option should be considered experimental and
3290 under active development.
3291
3292 This option is used to define whether or not Samba should
3293 use SSL when connecting to the \fIldap
3294 server\fR. This is \fBNOT\fR related to
3295 Samba SSL support which is enabled by specifying the 
3296 \fB--with-ssl\fR option to the \fIconfigure\fR 
3297 script (see \fIssl\fR).
3298
3299 The \fIldap ssl\fR can be set to one of three values:
3300 (a) on - Always use SSL when contacting the 
3301 \fIldap server\fR, (b) off -
3302 Never use SSL when querying the directory, or (c) start_tls 
3303 - Use the LDAPv3 StartTLS extended operation 
3304 (RFC2830) for communicating with the directory server.
3305
3306 Default : \fBldap ssl = on\fR
3307 .TP
3308 \fBldap suffix (G)\fR
3309 This parameter is only available if Samba has been
3310 configure to include the \fB--with-ldapsam\fR option
3311 at compile time. This option should be considered experimental and
3312 under active development.
3313
3314 Default : \fBnone\fR
3315 .TP
3316 \fBlevel2 oplocks (S)\fR
3317 This parameter controls whether Samba supports
3318 level2 (read-only) oplocks on a share.
3319
3320 Level2, or read-only oplocks allow Windows NT clients 
3321 that have an oplock on a file to downgrade from a read-write oplock 
3322 to a read-only oplock once a second client opens the file (instead 
3323 of releasing all oplocks on a second open, as in traditional, 
3324 exclusive oplocks). This allows all openers of the file that 
3325 support level2 oplocks to cache the file for read-ahead only (ie. 
3326 they may not cache writes or lock requests) and increases performance 
3327 for many accesses of files that are not commonly written (such as 
3328 application .EXE files).
3329
3330 Once one of the clients which have a read-only oplock 
3331 writes to the file all clients are notified (no reply is needed 
3332 or waited for) and told to break their oplocks to "none" and 
3333 delete any read-ahead caches.
3334
3335 It is recommended that this parameter be turned on 
3336 to speed access to shared executables.
3337
3338 For more discussions on level2 oplocks see the CIFS spec.
3339
3340 Currently, if \fIkernel 
3341 oplocks\fR are supported then level2 oplocks are 
3342 not granted (even if this parameter is set to yes). 
3343 Note also, the \fIoplocks\fR
3344 parameter must be set to true on this share in order for 
3345 this parameter to have any effect.
3346
3347 See also the \fIoplocks\fR
3348 and \fIkernel oplocks\fR
3349 parameters.
3350
3351 Default: \fBlevel2 oplocks = yes\fR
3352 .TP
3353 \fBlm announce (G)\fR
3354 This parameter determines if  \fBnmbd(8)\fRwill produce Lanman announce 
3355 broadcasts that are needed by OS/2 clients in order for them to see 
3356 the Samba server in their browse list. This parameter can have three 
3357 values, true, false, or
3358 auto. The default is auto. 
3359 If set to false Samba will never produce these 
3360 broadcasts. If set to true Samba will produce 
3361 Lanman announce broadcasts at a frequency set by the parameter 
3362 \fIlm interval\fR. If set to auto 
3363 Samba will not send Lanman announce broadcasts by default but will 
3364 listen for them. If it hears such a broadcast on the wire it will 
3365 then start sending them at a frequency set by the parameter 
3366 \fIlm interval\fR.
3367
3368 See also \fIlm interval
3369 \fR\&.
3370
3371 Default: \fBlm announce = auto\fR
3372
3373 Example: \fBlm announce = yes\fR
3374 .TP
3375 \fBlm interval (G)\fR
3376 If Samba is set to produce Lanman announce 
3377 broadcasts needed by OS/2 clients (see the  \fIlm announce\fR parameter) then this 
3378 parameter defines the frequency in seconds with which they will be 
3379 made. If this is set to zero then no Lanman announcements will be 
3380 made despite the setting of the \fIlm announce\fR 
3381 parameter.
3382
3383 See also \fIlm 
3384 announce\fR.
3385
3386 Default: \fBlm interval = 60\fR
3387
3388 Example: \fBlm interval = 120\fR
3389 .TP
3390 \fBload printers (G)\fR
3391 A boolean variable that controls whether all 
3392 printers in the printcap will be loaded for browsing by default. 
3393 See the printers section for 
3394 more details.
3395
3396 Default: \fBload printers = yes\fR
3397 .TP
3398 \fBlocal master (G)\fR
3399 This option allows \fB nmbd(8)\fRto try and become a local master browser 
3400 on a subnet. If set to false then \fB nmbd\fR will not attempt to become a local master browser 
3401 on a subnet and will also lose in all browsing elections. By
3402 default this value is set to true. Setting this value to true doesn't
3403 mean that Samba will \fBbecome\fR the local master 
3404 browser on a subnet, just that \fBnmbd\fR will \fB participate\fR in elections for local master browser.
3405
3406 Setting this value to false will cause \fBnmbd\fR
3407 \fBnever\fR to become a local master browser.
3408
3409 Default: \fBlocal master = yes\fR
3410 .TP
3411 \fBlock dir (G)\fR
3412 Synonym for \fI lock directory\fR.
3413 .TP
3414 \fBlock directory (G)\fR
3415 This option specifies the directory where lock 
3416 files will be placed. The lock files are used to implement the 
3417 \fImax connections\fR
3418 option.
3419
3420 Default: \fBlock directory = ${prefix}/var/locks\fR
3421
3422 Example: \fBlock directory = /var/run/samba/locks\fR
3423 .TP
3424 \fBlocking (S)\fR
3425 This controls whether or not locking will be 
3426 performed by the server in response to lock requests from the 
3427 client.
3428
3429 If \fBlocking = no\fR, all lock and unlock 
3430 requests will appear to succeed and all lock queries will report 
3431 that the file in question is available for locking.
3432
3433 If \fBlocking = yes\fR, real locking will be performed 
3434 by the server.
3435
3436 This option \fBmay\fR be useful for read-only 
3437 filesystems which \fBmay\fR not need locking (such as 
3438 CDROM drives), although setting this parameter of no 
3439 is not really recommended even in this case.
3440
3441 Be careful about disabling locking either globally or in a 
3442 specific service, as lack of locking may result in data corruption. 
3443 You should never need to set this parameter.
3444
3445 Default: \fBlocking = yes\fR
3446 .TP
3447 \fBlog file (G)\fR
3448 This option allows you to override the name 
3449 of the Samba log file (also known as the debug file).
3450
3451 This option takes the standard substitutions, allowing 
3452 you to have separate log files for each user or machine.
3453
3454 Example: \fBlog file = /usr/local/samba/var/log.%m
3455 \fR.TP
3456 \fBlog level (G)\fR
3457 The value of the parameter (an integer) allows 
3458 the debug level (logging level) to be specified in the 
3459 \fIsmb.conf\fR file. This is to give greater 
3460 flexibility in the configuration of the system.
3461
3462 The default will be the log level specified on 
3463 the command line or level zero if none was specified.
3464
3465 Example: \fBlog level = 3\fR
3466 .TP
3467 \fBlogon drive (G)\fR
3468 This parameter specifies the local path to 
3469 which the home directory will be connected (see \fIlogon home\fR) 
3470 and is only used by NT Workstations. 
3471
3472 Note that this option is only useful if Samba is set up as a
3473 logon server.
3474
3475 Default: \fBlogon drive = z:\fR
3476
3477 Example: \fBlogon drive = h:\fR
3478 .TP
3479 \fBlogon home (G)\fR
3480 This parameter specifies the home directory 
3481 location when a Win95/98 or NT Workstation logs into a Samba PDC. 
3482 It allows you to do 
3483
3484 C:\\> \fBNET USE H: /HOME\fR
3485
3486 from a command prompt, for example.
3487
3488 This option takes the standard substitutions, allowing 
3489 you to have separate logon scripts for each user or machine.
3490
3491 This parameter can be used with Win9X workstations to ensure 
3492 that roaming profiles are stored in a subdirectory of the user's 
3493 home directory. This is done in the following way:
3494
3495 \fBlogon home = \\\\%N\\%U\\profile\fR
3496
3497 This tells Samba to return the above string, with 
3498 substitutions made when a client requests the info, generally 
3499 in a NetUserGetInfo request. Win9X clients truncate the info to
3500 \\\\server\\share when a user does \fBnet use /home\fR
3501 but use the whole string when dealing with profiles.
3502
3503 Note that in prior versions of Samba, the  \fIlogon path\fR was returned rather than 
3504 \fIlogon home\fR. This broke \fBnet use 
3505 /home\fR but allowed profiles outside the home directory. 
3506 The current implementation is correct, and can be used for 
3507 profiles if you use the above trick.
3508
3509 This option is only useful if Samba is set up as a logon 
3510 server.
3511
3512 Default: \fBlogon home = "\\\\%N\\%U"\fR
3513
3514 Example: \fBlogon home = "\\\\remote_smb_server\\%U"\fR
3515 .TP
3516 \fBlogon path (G)\fR
3517 This parameter specifies the home directory 
3518 where roaming profiles (NTuser.dat etc files for Windows NT) are 
3519 stored. Contrary to previous versions of these manual pages, it has 
3520 nothing to do with Win 9X roaming profiles. To find out how to 
3521 handle roaming profiles for Win 9X system, see the  \fIlogon home\fR parameter.
3522
3523 This option takes the standard substitutions, allowing you 
3524 to have separate logon scripts for each user or machine. It also 
3525 specifies the directory from which the "Application Data", 
3526 (\fIdesktop\fR, \fIstart menu\fR,
3527 \fInetwork neighborhood\fR, \fIprograms\fR 
3528 and other folders, and their contents, are loaded and displayed on 
3529 your Windows NT client.
3530
3531 The share and the path must be readable by the user for 
3532 the preferences and directories to be loaded onto the Windows NT
3533 client. The share must be writeable when the user logs in for the first
3534 time, in order that the Windows NT client can create the NTuser.dat
3535 and other directories.
3536
3537 Thereafter, the directories and any of the contents can, 
3538 if required, be made read-only. It is not advisable that the 
3539 NTuser.dat file be made read-only - rename it to NTuser.man to 
3540 achieve the desired effect (a \fBMAN\fRdatory 
3541 profile). 
3542
3543 Windows clients can sometimes maintain a connection to 
3544 the [homes] share, even though there is no user logged in. 
3545 Therefore, it is vital that the logon path does not include a 
3546 reference to the homes share (i.e. setting this parameter to
3547 \\%N\\%U\\profile_path will cause problems).
3548
3549 This option takes the standard substitutions, allowing 
3550 you to have separate logon scripts for each user or machine.
3551
3552 Note that this option is only useful if Samba is set up 
3553 as a logon server.
3554
3555 Default: \fBlogon path = \\\\%N\\%U\\profile\fR
3556
3557 Example: \fBlogon path = \\\\PROFILESERVER\\PROFILE\\%U\fR
3558 .TP
3559 \fBlogon script (G)\fR
3560 This parameter specifies the batch file (.bat) or 
3561 NT command file (.cmd) to be downloaded and run on a machine when 
3562 a user successfully logs in. The file must contain the DOS 
3563 style CR/LF line endings. Using a DOS-style editor to create the 
3564 file is recommended.
3565
3566 The script must be a relative path to the [netlogon] 
3567 service. If the [netlogon] service specifies a  \fIpath\fR of \fI/usr/local/samba/netlogon
3568 \fR, and \fBlogon script = STARTUP.BAT\fR, then 
3569 the file that will be downloaded is:
3570
3571 \fI/usr/local/samba/netlogon/STARTUP.BAT\fR
3572
3573 The contents of the batch file are entirely your choice. A 
3574 suggested command would be to add \fBNET TIME \\\\SERVER /SET 
3575 /YES\fR, to force every machine to synchronize clocks with 
3576 the same time server. Another use would be to add \fBNET USE 
3577 U: \\\\SERVER\\UTILS\fR for commonly used utilities, or \fB NET USE Q: \\\\SERVER\\ISO9001_QA\fR for example.
3578
3579 Note that it is particularly important not to allow write 
3580 access to the [netlogon] share, or to grant users write permission 
3581 on the batch files in a secure environment, as this would allow 
3582 the batch files to be arbitrarily modified and security to be 
3583 breached.
3584
3585 This option takes the standard substitutions, allowing you 
3586 to have separate logon scripts for each user or machine.
3587
3588 This option is only useful if Samba is set up as a logon 
3589 server.
3590
3591 Default: \fBno logon script defined\fR
3592
3593 Example: \fBlogon script = scripts\\%U.bat\fR
3594 .TP
3595 \fBlppause command (S)\fR
3596 This parameter specifies the command to be 
3597 executed on the server host in order to stop printing or spooling 
3598 a specific print job.
3599
3600 This command should be a program or script which takes 
3601 a printer name and job number to pause the print job. One way 
3602 of implementing this is by using job priorities, where jobs 
3603 having a too low priority won't be sent to the printer.
3604
3605 If a \fI%p\fR is given then the printer name 
3606 is put in its place. A \fI%j\fR is replaced with 
3607 the job number (an integer). On HPUX (see \fIprinting=hpux
3608 \fR), if the \fI-p%p\fR option is added 
3609 to the lpq command, the job will show up with the correct status, i.e. 
3610 if the job priority is lower than the set fence priority it will 
3611 have the PAUSED status, whereas if the priority is equal or higher it 
3612 will have the SPOOLED or PRINTING status.
3613
3614 Note that it is good practice to include the absolute path 
3615 in the lppause command as the PATH may not be available to the server.
3616
3617 See also the \fIprinting
3618 \fRparameter.
3619
3620 Default: Currently no default value is given to 
3621 this string, unless the value of the \fIprinting\fR 
3622 parameter is SYSV, in which case the default is :
3623
3624 \fBlp -i %p-%j -H hold\fR
3625
3626 or if the value of the \fIprinting\fR parameter 
3627 is SOFTQ, then the default is:
3628
3629 \fBqstat -s -j%j -h\fR
3630
3631 Example for HPUX: \fBlppause command = /usr/bin/lpalt 
3632 %p-%j -p0\fR
3633 .TP
3634 \fBlpq cache time (G)\fR
3635 This controls how long lpq info will be cached 
3636 for to prevent the \fBlpq\fR command being called too 
3637 often. A separate cache is kept for each variation of the \fB lpq\fR command used by the system, so if you use different 
3638 \fBlpq\fR commands for different users then they won't
3639 share cache information.
3640
3641 The cache files are stored in \fI/tmp/lpq.xxxx\fR 
3642 where xxxx is a hash of the \fBlpq\fR command in use.
3643
3644 The default is 10 seconds, meaning that the cached results 
3645 of a previous identical \fBlpq\fR command will be used 
3646 if the cached data is less than 10 seconds old. A large value may 
3647 be advisable if your \fBlpq\fR command is very slow.
3648
3649 A value of 0 will disable caching completely.
3650
3651 See also the \fIprinting
3652 \fRparameter.
3653
3654 Default: \fBlpq cache time = 10\fR
3655
3656 Example: \fBlpq cache time = 30\fR
3657 .TP
3658 \fBlpq command (S)\fR
3659 This parameter specifies the command to be 
3660 executed on the server host in order to obtain \fBlpq
3661 \fR-style printer status information.
3662
3663 This command should be a program or script which 
3664 takes a printer name as its only parameter and outputs printer 
3665 status information.
3666
3667 Currently eight styles of printer status information 
3668 are supported; BSD, AIX, LPRNG, PLP, SYSV, HPUX, QNX and SOFTQ. 
3669 This covers most UNIX systems. You control which type is expected 
3670 using the \fIprinting =\fR option.
3671
3672 Some clients (notably Windows for Workgroups) may not 
3673 correctly send the connection number for the printer they are 
3674 requesting status information about. To get around this, the 
3675 server reports on the first printer service connected to by the 
3676 client. This only happens if the connection number sent is invalid.
3677
3678 If a \fI%p\fR is given then the printer name 
3679 is put in its place. Otherwise it is placed at the end of the 
3680 command.
3681
3682 Note that it is good practice to include the absolute path 
3683 in the \fIlpq command\fR as the \fB$PATH
3684 \fRmay not be available to the server.
3685
3686 See also the \fIprinting
3687 \fRparameter.
3688
3689 Default: \fBdepends on the setting of \fI printing\fB\fR
3690
3691 Example: \fBlpq command = /usr/bin/lpq -P%p\fR
3692 .TP
3693 \fBlpresume command (S)\fR
3694 This parameter specifies the command to be 
3695 executed on the server host in order to restart or continue 
3696 printing or spooling a specific print job.
3697
3698 This command should be a program or script which takes 
3699 a printer name and job number to resume the print job. See 
3700 also the \fIlppause command
3701 \fRparameter.
3702
3703 If a \fI%p\fR is given then the printer name 
3704 is put in its place. A \fI%j\fR is replaced with 
3705 the job number (an integer).
3706
3707 Note that it is good practice to include the absolute path 
3708 in the \fIlpresume command\fR as the PATH may not 
3709 be available to the server.
3710
3711 See also the \fIprinting
3712 \fRparameter.
3713
3714 Default: Currently no default value is given 
3715 to this string, unless the value of the \fIprinting\fR 
3716 parameter is SYSV, in which case the default is :
3717
3718 \fBlp -i %p-%j -H resume\fR
3719
3720 or if the value of the \fIprinting\fR parameter 
3721 is SOFTQ, then the default is:
3722
3723 \fBqstat -s -j%j -r\fR
3724
3725 Example for HPUX: \fBlpresume command = /usr/bin/lpalt 
3726 %p-%j -p2\fR
3727 .TP
3728 \fBlprm command (S)\fR
3729 This parameter specifies the command to be 
3730 executed on the server host in order to delete a print job.
3731
3732 This command should be a program or script which takes 
3733 a printer name and job number, and deletes the print job.
3734
3735 If a \fI%p\fR is given then the printer name 
3736 is put in its place. A \fI%j\fR is replaced with 
3737 the job number (an integer).
3738
3739 Note that it is good practice to include the absolute 
3740 path in the \fIlprm command\fR as the PATH may not be 
3741 available to the server.
3742
3743 See also the \fIprinting
3744 \fRparameter.
3745
3746 Default: \fBdepends on the setting of \fIprinting
3747 \fB\fR
3748 Example 1: \fBlprm command = /usr/bin/lprm -P%p %j
3749 \fR
3750 Example 2: \fBlprm command = /usr/bin/cancel %p-%j
3751 \fR.TP
3752 \fBmachine password timeout (G)\fR
3753 If a Samba server is a member of a Windows 
3754 NT Domain (see the security = domain) 
3755 parameter) then periodically a running  smbd(8)process will try and change the MACHINE ACCOUNT 
3756 PASSWORD stored in the TDB called \fIprivate/secrets.tdb
3757 \fR\&. This parameter specifies how often this password 
3758 will be changed, in seconds. The default is one week (expressed in 
3759 seconds), the same as a Windows NT Domain member server.
3760
3761 See also \fBsmbpasswd(8)
3762 \fR, and the  security = domain) parameter.
3763
3764 Default: \fBmachine password timeout = 604800\fR
3765 .TP
3766 \fBmagic output (S)\fR
3767 This parameter specifies the name of a file 
3768 which will contain output created by a magic script (see the 
3769 \fImagic script\fR
3770 parameter below).
3771
3772 Warning: If two clients use the same \fImagic script
3773 \fRin the same directory the output file content
3774 is undefined.
3775
3776 Default: \fBmagic output = <magic script name>.out
3777 \fR
3778 Example: \fBmagic output = myfile.txt\fR
3779 .TP
3780 \fBmagic script (S)\fR
3781 This parameter specifies the name of a file which, 
3782 if opened, will be executed by the server when the file is closed. 
3783 This allows a UNIX script to be sent to the Samba host and 
3784 executed on behalf of the connected user.
3785
3786 Scripts executed in this way will be deleted upon 
3787 completion assuming that the user has the appropriate level 
3788 of privilege and the file permissions allow the deletion.
3789
3790 If the script generates output, output will be sent to 
3791 the file specified by the \fI magic output\fR parameter (see above).
3792
3793 Note that some shells are unable to interpret scripts 
3794 containing CR/LF instead of CR as 
3795 the end-of-line marker. Magic scripts must be executable 
3796 \fBas is\fR on the host, which for some hosts and 
3797 some shells will require filtering at the DOS end.
3798
3799 Magic scripts are \fBEXPERIMENTAL\fR and 
3800 should \fBNOT\fR be relied upon.
3801
3802 Default: \fBNone. Magic scripts disabled.\fR
3803
3804 Example: \fBmagic script = user.csh\fR
3805 .TP
3806 \fBmangle case (S)\fR
3807 See the section on  NAME MANGLING
3808
3809 Default: \fBmangle case = no\fR
3810 .TP
3811 \fBmangled map (S)\fR
3812 This is for those who want to directly map UNIX 
3813 file names which cannot be represented on Windows/DOS. The mangling 
3814 of names is not always what is needed. In particular you may have 
3815 documents with file extensions that differ between DOS and UNIX. 
3816 For example, under UNIX it is common to use \fI.html\fR 
3817 for HTML files, whereas under Windows/DOS \fI.htm\fR 
3818 is more commonly used.
3819
3820 So to map \fIhtml\fR to \fIhtm\fR 
3821 you would use:
3822
3823 \fBmangled map = (*.html *.htm)\fR
3824
3825 One very useful case is to remove the annoying \fI;1
3826 \fRoff the ends of filenames on some CDROMs (only visible 
3827 under some UNIXes). To do this use a map of (*;1 *;).
3828
3829 Default: \fBno mangled map\fR
3830
3831 Example: \fBmangled map = (*;1 *;)\fR
3832 .TP
3833 \fBmangled names (S)\fR
3834 This controls whether non-DOS names under UNIX 
3835 should be mapped to DOS-compatible names ("mangled") and made visible, 
3836 or whether non-DOS names should simply be ignored.
3837
3838 See the section on  NAME MANGLING for details on how to control the mangling process.
3839
3840 If mangling is used then the mangling algorithm is as follows:
3841 .RS
3842 .TP 0.2i
3843 \(bu
3844 The first (up to) five alphanumeric characters 
3845 before the rightmost dot of the filename are preserved, forced 
3846 to upper case, and appear as the first (up to) five characters 
3847 of the mangled name.
3848 .TP 0.2i
3849 \(bu
3850 A tilde "~" is appended to the first part of the mangled
3851 name, followed by a two-character unique sequence, based on the
3852 original root name (i.e., the original filename minus its final
3853 extension). The final extension is included in the hash calculation
3854 only if it contains any upper case characters or is longer than three
3855 characters.
3856
3857 Note that the character to use may be specified using 
3858 the \fImangling char\fR
3859 option, if you don't like '~'.
3860 .TP 0.2i
3861 \(bu
3862 The first three alphanumeric characters of the final 
3863 extension are preserved, forced to upper case and appear as the 
3864 extension of the mangled name. The final extension is defined as that 
3865 part of the original filename after the rightmost dot. If there are no 
3866 dots in the filename, the mangled name will have no extension (except 
3867 in the case of "hidden files" - see below).
3868 .TP 0.2i
3869 \(bu
3870 Files whose UNIX name begins with a dot will be 
3871 presented as DOS hidden files. The mangled name will be created as 
3872 for other filenames, but with the leading dot removed and "___" as 
3873 its extension regardless of actual original extension (that's three 
3874 underscores).
3875 .RE
3876 .PP
3877 The two-digit hash value consists of upper case 
3878 alphanumeric characters.
3879 .PP
3880 .PP
3881 This algorithm can cause name collisions only if files 
3882 in a directory share the same first five alphanumeric characters. 
3883 The probability of such a clash is 1/1300.
3884 .PP
3885 .PP
3886 The name mangling (if enabled) allows a file to be 
3887 copied between UNIX directories from Windows/DOS while retaining 
3888 the long UNIX filename. UNIX files can be renamed to a new extension 
3889 from Windows/DOS and will retain the same basename. Mangled names 
3890 do not change between sessions.
3891 .PP
3892 .PP
3893 Default: \fBmangled names = yes\fR
3894 .PP
3895 .TP
3896 \fBmangled stack (G)\fR
3897 This parameter controls the number of mangled names 
3898 that should be cached in the Samba server  smbd(8).
3899
3900 This stack is a list of recently mangled base names 
3901 (extensions are only maintained if they are longer than 3 characters 
3902 or contains upper case characters).
3903
3904 The larger this value, the more likely it is that mangled 
3905 names can be successfully converted to correct long UNIX names. 
3906 However, large stack sizes will slow most directory accesses. Smaller 
3907 stacks save memory in the server (each stack element costs 256 bytes).
3908
3909 It is not possible to absolutely guarantee correct long 
3910 filenames, so be prepared for some surprises!
3911
3912 Default: \fBmangled stack = 50\fR
3913
3914 Example: \fBmangled stack = 100\fR
3915 .TP
3916 \fBmangling char (S)\fR
3917 This controls what character is used as 
3918 the \fBmagic\fR character in name mangling. The default is a '~'
3919 but this may interfere with some software. Use this option to set 
3920 it to whatever you prefer.
3921
3922 Default: \fBmangling char = ~\fR
3923
3924 Example: \fBmangling char = ^\fR
3925 .TP
3926 \fBmap archive (S)\fR
3927 This controls whether the DOS archive attribute 
3928 should be mapped to the UNIX owner execute bit. The DOS archive bit 
3929 is set when a file has been modified since its last backup. One 
3930 motivation for this option it to keep Samba/your PC from making 
3931 any file it touches from becoming executable under UNIX. This can 
3932 be quite annoying for shared source code, documents, etc...
3933
3934 Note that this requires the \fIcreate mask\fR
3935 parameter to be set such that owner execute bit is not masked out 
3936 (i.e. it must include 100). See the parameter  \fIcreate mask\fR for details.
3937
3938 Default: \fBmap archive = yes\fR
3939 .TP
3940 \fBmap hidden (S)\fR
3941 This controls whether DOS style hidden files 
3942 should be mapped to the UNIX world execute bit.
3943
3944 Note that this requires the \fIcreate mask\fR 
3945 to be set such that the world execute bit is not masked out (i.e. 
3946 it must include 001). See the parameter  \fIcreate mask\fR for details.
3947
3948 Default: \fBmap hidden = no\fR
3949 .TP
3950 \fBmap system (S)\fR
3951 This controls whether DOS style system files 
3952 should be mapped to the UNIX group execute bit.
3953
3954 Note that this requires the \fIcreate mask\fR 
3955 to be set such that the group execute bit is not masked out (i.e. 
3956 it must include 010). See the parameter  \fIcreate mask\fR for details.
3957
3958 Default: \fBmap system = no\fR
3959 .TP
3960 \fBmap to guest (G)\fR
3961 This parameter is only useful in  security modes other than \fIsecurity = share\fR 
3962 - i.e. user, server, 
3963 and domain.
3964
3965 This parameter can take three different values, which tell
3966 smbd(8)what to do with user 
3967 login requests that don't match a valid UNIX user in some way.
3968
3969 The three settings are :
3970 .RS
3971 .TP 0.2i
3972 \(bu
3973 Never - Means user login 
3974 requests with an invalid password are rejected. This is the 
3975 default.
3976 .TP 0.2i
3977 \(bu
3978 Bad User - Means user
3979 logins with an invalid password are rejected, unless the username 
3980 does not exist, in which case it is treated as a guest login and 
3981 mapped into the \fI guest account\fR.
3982 .TP 0.2i
3983 \(bu
3984 Bad Password - Means user logins 
3985 with an invalid password are treated as a guest login and mapped 
3986 into the guest account. Note that 
3987 this can cause problems as it means that any user incorrectly typing 
3988 their password will be silently logged on as "guest" - and 
3989 will not know the reason they cannot access files they think
3990 they should - there will have been no message given to them
3991 that they got their password wrong. Helpdesk services will
3992 \fBhate\fR you if you set the \fImap to 
3993 guest\fR parameter this way :-).
3994 .RE
3995 .PP
3996 Note that this parameter is needed to set up "Guest" 
3997 share services when using \fIsecurity\fR modes other than 
3998 share. This is because in these modes the name of the resource being
3999 requested is \fBnot\fR sent to the server until after 
4000 the server has successfully authenticated the client so the server 
4001 cannot make authentication decisions at the correct time (connection 
4002 to the share) for "Guest" shares.
4003 .PP
4004 .PP
4005 For people familiar with the older Samba releases, this 
4006 parameter maps to the old compile-time setting of the  GUEST_SESSSETUP value in local.h.
4007 .PP
4008 .PP
4009 Default: \fBmap to guest = Never\fR
4010 .PP
4011 .PP
4012 Example: \fBmap to guest = Bad User\fR
4013 .PP
4014 .TP
4015 \fBmax connections (S)\fR
4016 This option allows the number of simultaneous 
4017 connections to a service to be limited. If \fImax connections
4018 \fRis greater than 0 then connections will be refused if 
4019 this number of connections to the service are already open. A value 
4020 of zero mean an unlimited number of connections may be made.
4021
4022 Record lock files are used to implement this feature. The 
4023 lock files will be stored in the directory specified by the \fIlock directory\fR 
4024 option.
4025
4026 Default: \fBmax connections = 0\fR
4027
4028 Example: \fBmax connections = 10\fR
4029 .TP
4030 \fBmax disk size (G)\fR
4031 This option allows you to put an upper limit 
4032 on the apparent size of disks. If you set this option to 100 
4033 then all shares will appear to be not larger than 100 MB in 
4034 size.
4035
4036 Note that this option does not limit the amount of 
4037 data you can put on the disk. In the above case you could still 
4038 store much more than 100 MB on the disk, but if a client ever asks 
4039 for the amount of free disk space or the total disk size then the 
4040 result will be bounded by the amount specified in \fImax 
4041 disk size\fR.
4042
4043 This option is primarily useful to work around bugs 
4044 in some pieces of software that can't handle very large disks, 
4045 particularly disks over 1GB in size.
4046
4047 A \fImax disk size\fR of 0 means no limit.
4048
4049 Default: \fBmax disk size = 0\fR
4050
4051 Example: \fBmax disk size = 1000\fR
4052 .TP
4053 \fBmax log size (G)\fR
4054 This option (an integer in kilobytes) specifies 
4055 the max size the log file should grow to. Samba periodically checks 
4056 the size and if it is exceeded it will rename the file, adding 
4057 a \fI.old\fR extension.
4058
4059 A size of 0 means no limit.
4060
4061 Default: \fBmax log size = 5000\fR
4062
4063 Example: \fBmax log size = 1000\fR
4064 .TP
4065 \fBmax mux (G)\fR
4066 This option controls the maximum number of 
4067 outstanding simultaneous SMB operations that Samba tells the client 
4068 it will allow. You should never need to set this parameter.
4069
4070 Default: \fBmax mux = 50\fR
4071 .TP
4072 \fBmax open files (G)\fR
4073 This parameter limits the maximum number of 
4074 open files that one smbd(8)file 
4075 serving process may have open for a client at any one time. The 
4076 default for this parameter is set very high (10,000) as Samba uses 
4077 only one bit per unopened file.
4078
4079 The limit of the number of open files is usually set 
4080 by the UNIX per-process file descriptor limit rather than 
4081 this parameter so you should never need to touch this parameter.
4082
4083 Default: \fBmax open files = 10000\fR
4084 .TP
4085 \fBmax print jobs (S)\fR
4086 This parameter limits the maximum number of 
4087 jobs allowable in a Samba printer queue at any given moment.
4088 If this number is exceeded, \fB smbd(8)\fRwill remote "Out of Space" to the client.
4089 See all \fItotal
4090 print jobs\fR.
4091
4092 Default: \fBmax print jobs = 1000\fR
4093
4094 Example: \fBmax print jobs = 5000\fR
4095 .TP
4096 \fBmax protocol (G)\fR
4097 The value of the parameter (a string) is the highest 
4098 protocol level that will be supported by the server.
4099
4100 Possible values are :
4101 .RS
4102 .TP 0.2i
4103 \(bu
4104 CORE: Earliest version. No 
4105 concept of user names.
4106 .TP 0.2i
4107 \(bu
4108 COREPLUS: Slight improvements on 
4109 CORE for efficiency.
4110 .TP 0.2i
4111 \(bu
4112 LANMAN1: First \fB modern\fR version of the protocol. Long filename
4113 support.
4114 .TP 0.2i
4115 \(bu
4116 LANMAN2: Updates to Lanman1 protocol.
4117 .TP 0.2i
4118 \(bu
4119 NT1: Current up to date version of 
4120 the protocol. Used by Windows NT. Known as CIFS.
4121 .RE
4122 .PP
4123 Normally this option should not be set as the automatic 
4124 negotiation phase in the SMB protocol takes care of choosing 
4125 the appropriate protocol.
4126 .PP
4127 .PP
4128 See also \fImin
4129 protocol\fR
4130 .PP
4131 .PP
4132 Default: \fBmax protocol = NT1\fR
4133 .PP
4134 .PP
4135 Example: \fBmax protocol = LANMAN1\fR
4136 .PP
4137 .TP
4138 \fBmax smbd processes (G)\fR
4139 This parameter limits the maximum number of 
4140 \fBsmbd(8)\fR
4141 processes concurrently running on a system and is intended
4142 as a stopgap to prevent degrading service to clients in the event
4143 that the server has insufficient resources to handle more than this
4144 number of connections. Remember that under normal operating
4145 conditions, each user will have an smbdassociated with him or her
4146 to handle connections to all shares from a given host.
4147
4148 Default: \fBmax smbd processes = 0\fR ## no limit
4149
4150 Example: \fBmax smbd processes = 1000\fR
4151 .TP
4152 \fBmax ttl (G)\fR
4153 This option tells nmbd(8)
4154 what the default 'time to live' of NetBIOS names should be (in seconds) 
4155 when \fBnmbd\fR is requesting a name using either a
4156 broadcast packet or from a WINS server. You should never need to
4157 change this parameter. The default is 3 days.
4158
4159 Default: \fBmax ttl = 259200\fR
4160 .TP
4161 \fBmax wins ttl (G)\fR
4162 This option tells nmbd(8)
4163 when acting as a WINS server ( \fIwins support = yes\fR) what the maximum
4164 \&'time to live' of NetBIOS names that \fBnmbd\fR 
4165 will grant will be (in seconds). You should never need to change this
4166 parameter. The default is 6 days (518400 seconds).
4167
4168 See also the \fImin 
4169 wins ttl\fR parameter.
4170
4171 Default: \fBmax wins ttl = 518400\fR
4172 .TP
4173 \fBmax xmit (G)\fR
4174 This option controls the maximum packet size 
4175 that will be negotiated by Samba. The default is 65535, which 
4176 is the maximum. In some cases you may find you get better performance 
4177 with a smaller value. A value below 2048 is likely to cause problems.
4178
4179 Default: \fBmax xmit = 65535\fR
4180
4181 Example: \fBmax xmit = 8192\fR
4182 .TP
4183 \fBmessage command (G)\fR
4184 This specifies what command to run when the 
4185 server receives a WinPopup style message.
4186
4187 This would normally be a command that would 
4188 deliver the message somehow. How this is to be done is 
4189 up to your imagination.
4190
4191 An example is:
4192
4193 \fBmessage command = csh -c 'xedit %s;rm %s' &\fR
4194
4195 This delivers the message using \fBxedit\fR, then 
4196 removes it afterwards. \fBNOTE THAT IT IS VERY IMPORTANT 
4197 THAT THIS COMMAND RETURN IMMEDIATELY\fR. That's why I 
4198 have the '&' on the end. If it doesn't return immediately then 
4199 your PCs may freeze when sending messages (they should recover 
4200 after 30 seconds, hopefully).
4201
4202 All messages are delivered as the global guest user. 
4203 The command takes the standard substitutions, although \fI %u\fR won't work (\fI%U\fR may be better 
4204 in this case).
4205
4206 Apart from the standard substitutions, some additional 
4207 ones apply. In particular:
4208 .RS
4209 .TP 0.2i
4210 \(bu
4211 \fI%s\fR = the filename containing 
4212 the message.
4213 .TP 0.2i
4214 \(bu
4215 \fI%t\fR = the destination that 
4216 the message was sent to (probably the server name).
4217 .TP 0.2i
4218 \(bu
4219 \fI%f\fR = who the message 
4220 is from.
4221 .RE
4222 .PP
4223 You could make this command send mail, or whatever else 
4224 takes your fancy. Please let us know of any really interesting 
4225 ideas you have.
4226 .PP
4227 .PP
4228 Here's a way of sending the messages as mail to root:
4229 .PP
4230 .PP
4231 \fBmessage command = /bin/mail -s 'message from %f on 
4232 %m' root < %s; rm %s\fR
4233 .PP
4234 .PP
4235 If you don't have a message command then the message 
4236 won't be delivered and Samba will tell the sender there was