Samba Настройки Unix Скрипты Ежедневно Ежечасно Ежемесячно Еженедельно Управление разрешениями Sudo Этот параметр политики позволяет выполнять команды, локальные или удаленные, ежедневно. Этот параметр политики позволяет выполнять команды, локальные или удаленные, ежечасно. Этот параметр политики позволяет выполнять команды, локальные или удаленные, ежемесячно. Этот параметр политики позволяет выполнять команды, локальные или удаленные, еженедельно. Эта политика настраивает файл sudoers со специальными строками. smb.conf additional dns hostnames Список дополнительных DNS-имен, по которым можно идентифицировать этот хост. Значение по умолчанию: пустая строка (нет дополнительных DNS-имен) Пример: host2.example.com host3.other.com bind interfaces only Этот глобальный параметр позволяет администратору Samba ограничивать интерфейсы на машине, обслуживающие запросы SMB. Это по-разному затрагивает файловую службу smbd(8) и службу имён nmbd(8). Если установить этот параметр, то служба имён nmbd связывается по портам 137 и 138 на интерфейсах, перечисленных в параметре 'interfaces'. А также c интерфейсом «все адреса» (0.0.0.0) на портах 137 и 138 для чтения широковещательных сообщений. Если этот параметр не установлен, то служба nmbd будет обслуживать запросы имён на всех этих сокетах. Если параметр установлен, то nmbd проверит исходный адрес любых входящих пакетов на широковещательных сокетах и откажется от любого, который не соответствует широковещательным адресам интерфейсов в списке параметра 'interfaces'. Поскольку одноадресные пакеты принимаются другими сокетами, это позволяет nmbd отказывать в обслуживании имен машинам, которые посылают пакеты с интерфейсов, не перечисленных в списке параметра 'interfaces'. Однако подделка IP-адреса источника обходит эту простую проверку защиты nmbd, поэтому этот параметр не следует серьезно использовать в качестве средства безопасности для nmbd. Для службы файлов эта опция заставляет smbd(8) связываться только с теми интерфейсами, которые перечисленны в параметре 'interfaces'. Таким образом, ограничиваются сети, которые будет обслуживать smbd, до пакетов, поступающих через эти интерфейсы. Обратите внимание, что нельзя использовать этот параметр для машин, которые обслуживаются через PPP или другие непостоянные или нешироковещательные сетевые интерфейсы, поскольку эта опция не справится с непостоянными интерфейсами. Если установлена эта опция и в список интерфейсов не добавлен адрес 127.0.0.1 (параметр 'interfaces'), то smbpasswd(8) не будет работать, как ожидалось, т.к. для изменения пользователем SMB пароля, smbpasswd по умолчанию подключается к адресу localhost 127.0.0.1 в качестве SMB клиента для отправки запроса на изменение пароля. Нужно либо добавить адрес 127.0.0.1 в параметре 'interfaces', либо заставить smbpasswd использовать IP-адрес основного интерфейса локального хоста с помощью параметра smbpasswd(8): -r remote machine (при этом, в качестве remote machine указывается IP-адрес основного интерфейса локального хоста). Значение по умолчанию: bind interfaces only = no config backend Этот параметр определяет бэкэнд для хранения конфигурации. Возможные значения: file (по умолчанию) или registry (реестр). Когда при загрузке smb.conf обнаруживается значение 'config backend = registry', то прочитанная конфигурация отбрасывается, и вместо этого читаются глобальные параметры из реестра. Таким образом, считывается только конфигурация реестра. Параметры общих ресурсов не читаются сразу, но устанавливается параметр 'registry shares = yes'. Примечание. Этот параметр нельзя установить в самой конфигурации реестра. Значение по умолчанию: file Пример: registry dos charset DOS SMB клиенты предполагают, что сервер имеет ту же кодировку, что и они. Эта опция определяет кодировку Samba для работы с DOS клиентами. Значение по умолчанию зависит от того, какие кодировки были установлены. Samba попробует использовать кодировку 850, но снизит скорость передачи данных до ASCII, если кодировка 850 не доступна. Выполните testparm(1), чтобы проверить значение по умолчанию в вашей системе. Значения по умолчанию нет enable core files Этот параметр указывает, должны ли дампы ядра записываться во внутренние выходы. Обычно этот параметр установлен (enable core files = yes). Никогда не нужно менять значение этого параметра. Значение по умолчанию: enable core files = yes mdns name Этот параметр управляет именем, которое multicast DNS поддерживает как свой hostname. У этого параметра есть два специальных значения: netbios и mdns. По умолчанию используется имя NetBIOS, которое обычно представляет собой имя хоста, написанное заглавными буквами. Если параметр имеет значение mdns, будут использованы настройки имени хоста из используемой библиотеки MDNS. Значение по умолчанию: netbios multicast dns register Если Samba скомпилирована с соответствующей поддержкой и если эта опция включена, Samba станет анонсировать сведения о себе с помощью служб multicast DNS, например, предоставляемых демоном Avahi. Значение по умолчанию: multicast dns register = yes netbios aliases Это список имен NetBIOS, которые объявит демон nmbd как дополнительные имена, которые известны серверу Samba. Это позволяет одному компьютеру, на котором запущен сервер Samba, быть объявленным под несколькими именами. Если машина выполняет роль сервера просмотра (browse server) или сервера входа в систему (logon server), ни одно из этих имен не будет объявлено ни как сервер просмотра, ни как сервер входа в систему, только основное имя машины будет объявлено с этими возможностями. Значение по умолчанию: пустая строка (без дополнительных имен) Пример: TEST TEST1 TEST2 netbios name Эта опция устанавливает имя NetBIOS, по которому будет доступен сервер Samba. По умолчанию используется первая часть доменного имени хоста. Если машина является сервером просмотра (browse server) или сервером входа в систему (logon server), это имя (или первая часть доменного имени) будет использоваться в качестве имени и этих сервисов. Обратите внимание, что максимальная длина имени NetBIOS составляет 15 символов. В Samba имеется ошибка, из-за которой нарушается процедура просмотра и доступа к общим ресурсам, если NetBIOS-имя имеет значение "PIPE". Значение по умолчанию: netbios name = #DNS-имя хоста Пример: MYNAME netbios scope Эта опция устанавливает диапазон NetBIOS, в котором будет работать Samba. Значение этого параметра не следует изменять, если только на каждом компьютере в локальной сети также не установлено такое же значение. Значение по умолчанию: пустая строка prefork backoff increment Эта опция указывает количество секунд, добавленных к задержке перед перезапуском мастера prefork или рабочего процесса. Первоначальная задержка при перезапуске равна нулю, значение параметра 'prefork backoff increment' добавляется к задержке при каждом перезапуске, до значения указанного в параметре 'prefork maximum backoff'. Кроме того, можно задать отсрочку для отдельного сервиса, используя параметр 'prefork backoff increment: service name'. Например, если 'prefork backoff increment:ldap = 2', то отсрочка каждый раз увеличивается на 2. Если 'prefork backoff increment = 2' и prefork 'maximum backoff = 5', то первый перезапуск будет с нулевой задержкой, второй перезапуск будет с задержкой в 2 секунды, а третий и последующие перезапуски будут с задержкой в 4 секунды. Значение по умолчанию: 10 prefork children Эта опция контролирует количество рабочих процессов, которые запускаются для каждой службы при включенной модели процесса prefork (см. samba(8) -M). Потомки prefork запускаются только для тех служб, которые поддерживают prefork (в настоящее время это ldap, kdc и netlogon). Для процессов, которые не поддерживают предварительную загрузку, все запросы обрабатываются одним процессом для этой службы. Значение этого параметра должно быть кратно количеству ЦП, доступных на сервере. Кроме того, количество дочерних элементов prefork можно указать для отдельной службы с помощью параметра 'prefork children: service name', например, для установки количества рабочих процессов ldap: 'prefork children:ldap = 8'. Значение по умолчанию: 4 prefork maximum backoff Эта опция контролирует максимальную задержку перед перезапуском упавшего prefork процесса. Значение по умолчанию: 120 realm Эта опция определяет используемую область Kerberos. Область используется в качестве эквивалента ADS домена NT4. Обычно это DNS-имя сервера Kerberos. Значение по умолчанию: пустая строка Пример: mysambabox.mycompany.com server services Этот параметр содержит службы, которые будет запускать демон Samba. Запись в файле smb.conf может либо полностью переопределить предыдущее значение, либо можно добавить или удалить записи к предыдущему значению, путём добавления к ним префикса «+» или «-». Значение по умолчанию: s3fs, rpc, nbt, wrepl, ldap, cldap, kdc, drepl, winbindd, ntp_signd, kcc, dnsupdate, dns Пример: -s3fs, +smb server string Эта опция определяет, какая строка будет отображаться в поле для комментариев к принтеру в диспетчере печати и рядом с IPC-соединением в сетевом представлении. Это может быть любая строка, которую следует показать пользователям. Также опция устанавливает, что будет отображаться в списках просмотра рядом с именем машины. Переменные подстановки: * %v будет заменен номером версии Samba. * %h будет заменено на имя компьютера (hostname). Значение по умолчанию: Samba %v Пример: University of GNUs Samba Server share backend Этот параметр указывает бэкенд, который будет использоваться для доступа к конфигурации общих файловых ресурсов. По умолчанию общие файловые ресурсы Samba настраиваются в файле smb.conf. На данный момент других поддерживаемых бэкендов нет. Значение по умолчанию: classic unix charset Эта опция задает кодировку, которую использует Samba на unix-машине. Samba необходимо знать кодировку, чтобы иметь возможность преобразовывать текст в кодировки, которые используют другие клиенты SMB. Также эта кодировка будет использована в аргументах скриптов, используемых Samba. Значение по умолчанию: UTF-8 Пример: ASCII workgroup Эта настройка указывает, в какой рабочей группе будет находиться сервер при запросе клиентов. Обратите внимание, что этот параметр также управляет доменным именем, используемым с параметром 'security = domain'. Значение по умолчанию: WORKGROUP Пример: MYGROUP interfaces Параметр позволяет переопределить список сетевых интерфейсов по умолчанию, которые Samba будет использовать для просмотра ресурсов сети, регистрации имён и другого трафика NetBIOS через TCP/IP (NBT). По умолчанию Samba запрашивает ядро для получения списка всех активных интерфейсов и использует любые интерфейсы, которые поддерживают широковещательную рассылку, кроме 127.0.0.1. Параметр принимает список интерфейсов в виде строки. Каждая строка может быть в любой из следующих форм: * Имя сетевого интерфейса (например, eth0). Эта форма может включать подстановочные знаки, например, eth* будет соответствовать любому интерфейсу, начинающемуся с подстроки «eth». * IP-адрес. Маска подсети определяется из списка интерфейсов полученного у ядра. * пара IP-адрес/маска; * пара адрес сети/маска. Параметр «маска» может быть представлен в битовой размерности (например, 24 для сети класса C) или в виде полной маски подсети с разделителями в виде десятичной точки. Параметр «IP-адрес» может указываться либо полным десятичным IP-адресом, разделённым точками или указанием имени хоста (hostname), которое будет разрешено с помощью обычных механизмов разрешения имени хоста ОС. По умолчанию Samba включает все активные интерфейсы, поддерживающие широковещательную передачу, за исключением адаптера обратной связи (IP-адрес 127.0.0.1). Чтобы поддерживать многоканальные конфигурации SMB3, smbd понимает некоторые дополнительные параметры, которые могут быть добавлены после фактического интерфейса с помощью расширенного синтаксиса (обратите внимание, что кавычки важны для обработки символов «;» и «,»): "interface[;key1=value1[,key2=value2[...]]]" Возможные ключи — speed (скорость), capability (пропускная способность) и if_index. Скорость указывается в битах в секунду. Пропускная способность — RSS и RDMA. If_index следует использовать с осторожностью: значения не должны совпадать с индексами, используемыми ядром. Обратите внимание, что эти параметры в основном предназначены для тестирования и разработки, а не для промышленного использования. По крайней мере, в системах Linux эти значения должны определяться автоматически, но настройки могут служить последним средством, когда автоопределение не работает или недоступно. Указанные значения заменяют автоматически обнаруженные значения. Значение по умолчанию: пустая строка Ниже приведены примеры. В первых двух примерах настраиваются три сетевых интерфейса, соответствующие устройству eth0 и IP-адресам 192.168.2.10 и 192.168.3.10. Сетевая маска двух последних интерфейсов будет установлена на 255.255.255.0. В остальных примерах показано, как можно указать дополнительные параметры для каждого интерфейса. Обратите внимание на возможное использование символов «;» и «,», что делает необходимым использование двойных кавычек. Пример: eth0 192.168.2.10/24 192.168.3.10/255.255.255.0 Пример: eth0, 192.168.2.10/24; 192.168.3.10/255.255.255.0 Пример: "eth0;if_index=65,speed=1000000000,capability=RSS" Пример: "lo;speed=1000000000" "eth0;capability=RSS" Пример: "lo;speed=1000000000" , "eth0;capability=RSS" Пример: "eth0;capability=RSS" , "rdma1;capability=RDMA" ; "rdma2;capability=RSS,capability=RDMA" browse list Параметр устанавливает, обслужит ли smbd(8) список просмотра клиенту, выполняющему вызов NetServerEnum. Обычно 'browse list = yes'. Никогда не следует изменять значение этого параметра. Значение по умолчанию: browse list = yes domain master Разрешает smbd(8) сопоставлять список просмотра WAN сети. Включение этой области заставляет nmbd требовать NetBIOS имя домена, идентифицирующее его как мастер браузер домена для данной рабочей группы. Местные мастер браузеры в изолированных подсетях передадут этому nmbd свои локальные списки просмотра и потом запросят у smbd законченную копию списка для всей глобальной сети. Клиенты локальных мастер браузеров получат от своих изолированных мастер браузеров списки всей глобальной сети, вместо списка изолированной подсети. Обратите внимание, что Windows NT Primary Domain Controllers ожидают, что у них есть возможность требовать NetBIOS имя домена, которое идентифицирует их как мастер браузер домена по умолчанию (и нет способа заставить Windows NT PDC не требовать этого). Это означает, что если этот параметр установлен, и nmbd запрашивает специальное имя для рабочей группы раньше, чем Windows NT PDC, то перекрёстный просмотр подсети будет вести себя странно, и может потерпеть неудачу. Если 'domain logons' включен, то по умолчанию включается параметр 'domain master'. Если 'domain logons' не включен (по умолчанию), тогда ни один 'domain master' не включен по умолчанию. Если 'domain logons = yes' и 'domain master = yes', в результате Samba — PDC. Если 'domain master = no', Samba — BDC. Как правило, этот параметр должен быть иметь значение no только на резервном контроллере домена. Значение по умолчанию: auto enhanced browsing Эта опция включает перекрестный обзор подсетей, добавленный в Samba, но не являющийся стандартным для Windows. Сначала Samba просматривает WINS-сервер для всех Domain Master Browsers, сопровождаемых синхронизацией обзора с каждым из возвращенных DMBs (Domain Master Browsers). Потом синхронизируются списки просмотра со всеми известными DMBs. Можно отключить эту опцию, если есть проблема с пустыми рабочими группами, не исчезающими из списков просмотра. Из-за ограничений протоколов обзора эти расширения могут заставить пустую рабочую группу оставаться в сетевом окружении навсегда, что может раздражать. В основном, лучше оставить эту опцию включенной, поскольку она делает перекрестный обзор намного более надежным. По умолчанию: enhanced browsing = yes lm announce Этот параметр отвечает за рассылку демоном nmbd широковещательных пакетов lanman, которые требуются клиентам OS/2 для того, чтобы увидеть Samba в их сетевом окружении. Этот параметр может принимать три значения yes, no, или auto. Значение по умолчанию auto. Если выставлено no, Samba никогда не будет посылать широковещательные пакеты lanman. Если выставлено yes, Samba будет посылать пакеты с интервалом, указанным в параметре 'lm interval'. Если выставлено auto, Samba не будет посылать такие пакеты, но будет слушать сеть на предмет таких пакетов. Если в сети появится такой пакет, то Samba тоже начнет рассылать такие пакеты с интервалом, указанным в параметре 'lm interval'. По умолчанию: auto Пример: yes lm interval Если серверу Samba указано посылать широковещательные пакеты lanman, необходимые клиентам OS/2 (см. параметр 'lm announce'), тогда параметр 'lm interval' указывает интервал в секундах, через который следует посылать такие пакеты. Если этот параметр равен 0, то такие пакеты не будут рассылаться вовсе, даже не смотря на значение параметра 'lm announce'. Значение по умолчанию: 60 Пример: 120 local master Эта опция разрешает демону nmbd попытаться стать локальным мастер-браузером в этой подсети. Если параметр выключен (local master = no), то nmbd даже не будет пытаться стать мастер-браузером в этой подсети и будет проигрывать все выборы мастер-браузера. По умолчанию, этот параметр установлен (local master = yes), но это не значит, что Samba станет мастер-браузером в подсети. Это означает лишь, что nmbd будет участвовать в выборах мастер-браузера. Выключение этого параметра (local master = no) приведет к тому, что nmbd никогда не станет мастер-браузером. Значение по умолчанию: local master = yes os level Значение этого параметра (целое число) устанавливает уровень сервера Samba, который используется в выборах обозревателя. Значение этого параметра определяет, имеет ли шансы демон nmbd(8) стать мастер-браузером (master browser) для 'workgroup' в пределах действия широковещательных запросов. Заметьте, что по умолчанию, Samba будет выигрывать все выборы у всех операционных систем кроме контроллера домена Windows NT 4.0/2000. Это означает, что неправильно сконфигурированная Samba может эффективно изолировать подсеть для просмотра. Этот параметр, в основном, конфигурируется автоматически в Samba-3 и очень редко требуется переопределять его значение. См. раздел «Network Browsing» руководства Samba3-HOWTO для получения более детальной информации, относящейся к этому параметру. Заметьте, что максимальное значение этого параметра 255. Если поставить значение большее 255, то отсчет начнется с 0! Значение по умолчанию: 20 Пример: 65 preferred master Этот параметр указывает на то, будет ли демон nmbd(8) предпочитаемым мастер-браузером (master browser) для его рабочей группы или нет. Если значение этого параметра установлено в yes, то при загрузке, демон nmbd будет форсировать выборы, при этом у него будет небольшое преимущество в победе на выборах. Рекомендуется устанавливать этот параметр совместно с параметром 'domain master = yes', тогда nmbd точно станет доменным мастером (domain master). Используйте эту опцию с осторожностью, потому что если несколько компьютеров (неважно Samba, Win 95 или NT) будут предпочитаемыми обозревателями в одной сети, они будут постоянно пытаться стать мастер браузерами (master browser). Это вызовет излишний широковещательный трафик и создаст задержки при обращении к сетевому окружению. Значение по умолчанию: auto allow dns updates Этот параметр определяет, какие обновления DNS разрешены. Обновления DNS можно полностью запретить, установив значение disabled, можно разрешить только для безопасных подключений, установив значение secure only (безопасное соединение), либо разрешить во всех случаях, установив значение nonsecure (небезопасный режим). Значение по умолчанию: secure only Пример: disabled dns forwarder Эта опция указывает список DNS-серверов, на которые будут перенаправляться DNS-запросы, если они не могут быть обработаны самой Samba. Сервер пересылки DNS используется только в том случае, если используется внутренний DNS-сервер в Samba. Значение по умолчанию: пустая строка Пример: 192.168.0.1 192.168.0.2 dns update command Этот параметр устанавливает команду, которая вызывается при обновлении DNS. Она должна обновить DNS-имена локальных машин с помощью TSIG-GSS. Значение по умолчанию: /samba_dnsupdate Пример: /usr/local/sbin/dnsupdate dns zone scavenging При включении (по умолчанию выключено) неиспользуемые динамические DNS-записи периодически удаляются. Этот параметр не следует включать для установок, созданных с помощью версий Samba до 4.9, так как это приведет к потере статических записей DNS. Это связано с ошибкой в предыдущих версиях Samba (BUG 12451), которая помечала динамические записи DNS как статические, а статические записи как динамические. Если одна запись для DNS-имени является статической (без устаревания), никакая другая запись для этого DNS-имени не будет очищена. Значение по умолчанию: dns zone scavenging = no gpo update command Этот параметр устанавливает команду, которая вызывается для применения политик GPO. Сценарий samba-gpupdate применяет политики доступа к системе и политики Kerberos к KDC. Политики доступа к системе устанавливают следующие параметры samdb: в minPwdAge, maxPwdAge, minPwdLength и pwdProperties. Политики Kerberos устанавливают следующие параметры в smb.conf: kdc:время жизни билета службы, kdc:время жизни билета пользователя и kdc:время продления. Значение по умолчанию: /samba-gpupdate Пример: /usr/local/sbin/gpoupdate machine password timeout Если Samba является членом домена Windows NT (см. параметры 'security = domain' и 'security = ads'), в таком случае процесс smbd будет пытаться через определенный интервал времени изменить значение переменной MACHINE ACCOUNT PASSWORD, хранимой в TDB файле private/secrets.tdb. Этот параметр указывает на то, как часто будет меняться пароль (значение в секундах). Значение по умолчанию — одна неделя (время, записанное в секундах), точно такое же, как у доменного сервера WinNT. См. также: smbpasswd(8) и параметры 'security = domain' и 'security = ads'. Значение по умолчанию: 604800 nsupdate command Эта опция устанавливает путь к команде nsupdate, которая используется для динамических обновлений DNS GSS-TSIG. Значение по умолчанию: /usr/bin/nsupdate -g spn update command Этот параметр устанавливает команду для обновления имен servicePrincipalName из spn_update_list. Значение по умолчанию: /samba_spnupdate Пример: /usr/local/sbin/spnupdate mangle prefix Управляет количеством префиксных символов, берущимися из оригинального имени для генерации преобразованного имени. Большее значение даст более слабый хэш и будет вызывать больше коллизий. Минимальное значение — 1, а максимальное — 6. Параметр 'mangle prefix' имеет смысл только тогда когда для параметра 'mangling method' установлено значение hash2. Значение по умолчанию: 1 Пример: 4 mangling method Устанавливает алгоритм, используемый для генерации переопределяемых имен. Может принимать два значения «hash» и «hash2». «hash» это алгоритм, который использовался в Samba много лет и был параметром по умолчанию для Samba 2.2.х. «hash2» это новый улучшенный алгоритм (меньше вероятность ошибки). Множество Win32 программ хранят измененные имена, поэтому переключение между этими алгоритмами должно быть выполнено быстро, потому что такие приложения могут быть повреждены. Значение по умолчанию: hash2 Пример: hash max stat cache size Этот параметр ограничивает размер статического буфера (stat cache), который используется для ускорения ресурсоемких операций преобразования имен. Указывает количество килобайт, которые может использовать статический буфер. Ноль означает «не ограничено». Не рекомендуется использовать такое значение, потому что оно влечет за собой повышенное использование памяти. Не следует изменять значение этого параметра. Значение по умолчанию: 512 Пример: 100 stat cache Этот параметр определяет будет ли демон smbd(8) использовать буфер для увеличения скорости преобразования имен. Вам скорее всего никогда не потребуется изменять значение этого параметра. Значение по умолчанию: stat cache = yes client ldap sasl wrapping Эта опция определяет, будет ли трафик ldap подписан или подписан и зашифрован (запечатан). Возможные значения: plain, sign и seal (обычная, подпись, печать). Значения sign и seal доступны только в том случае, если Samba была скомпилирована для современной версии OpenLDAP (2.3.x или выше). Эта опция необходима в случае, если контроллеры домена принудительно используют подписанные соединения LDAP (например, Windows 2000 SP3 или выше). Подпись и печать LDAP можно контролировать с помощью ключа реестра «HKLM\System\CurrentControlSet\Services\ NTDS\Parameters\LDAPServerIntegrity» на стороне сервера Windows. В зависимости от используемой библиотеки KRB5 (MIT и более старые версии Heimdal) возможно, что сообщение «только целостность» («integrity only») не поддерживается. В этом случае sign — это всего лишь псевдоним для seal. Значение по умолчанию — sign, что подразумевает синхронизацию времени с KDC в случае использования Kerberos. Значение по умолчанию: sign ldap admin dn Параметр определяет отличительное имя (Distinguished Name (DN)) используемое Samba для подключения к LDAP-серверу при запросе информации о пользователе. 'ldap admin dn' используется совместно с admin dn паролем, сохраненным в файле private/secrets.tdb. О том, как это сделать смотрите справку по smbpasswd(8). 'ldap admin dn' включает полный DN. 'ldap suffix' не добавляется к 'ldap admin dn'. Нет умолчания. ldap connection timeout Этот параметр сообщает вызовам библиотеки LDAP, какой тайм-аут в секундах они должны соблюдать во время первоначального установления соединения с серверами LDAP. Это очень полезно, в частности, в сценариях аварийного переключения. Если один или несколько серверов LDAP вообще недоступны, не нужно ждать, пока истечет время ожидания TCP. Эта функция должна поддерживаться библиотекой LDAP. Этот параметр отличается от 'ldap timeout', который влияет на операции на серверах LDAP, использующих существующее соединение и не устанавливающих начальное соединение. Значение по умолчанию: 2 ldap delete dn Этот параметр определяет, разрешены ли операции удаления записей в ldapsam или разрешены только операции изменения конкретных атрибутов для Samba. Значение по умолчанию: ldap delete dn = no ldap deref Эта опция определяет, должна ли Samba указывать библиотеке LDAP, использовать определенный метод разыменования псевдонимов. Значение по умолчанию — auto, что означает, что настройки по умолчанию клиентской библиотеки ldap будут сохранены. Другие возможные значения: never, finding, searching и always. Для получения дополнительной информации см. руководство по LDAP. Значение по умолчанию: auto Пример: searching ldap follow referral Эта опция определяет, следует ли следовать ссылкам LDAP при поиске записей в базе данных LDAP. Возможные значения: on, чтобы включить следующие отсылки, off, чтобы отключить, и auto, чтобы использовать настройки libldap по умолчанию. Выбор libldap для следующих отсылок или нет устанавливается в /etc/openldap/ldap.conf с параметром REFERRALS, как описано в ldap.conf(5). Значение по умолчанию: auto Пример: off ldap group suffix Параметр определяет суффикс, используемый для групп, добавляемых в каталог LDAP. Если параметр не установлен, используется значение параметра 'ldap suffix'. Этот суффикс идет перед 'ldap suffix', поэтому лучше использовать частичные DN. Значение по умолчанию: пустая строка Пример: ou=Groups ldap idmap suffix Параметр определяет суффикс, используемый для хранения idmap сопоставлений. Если параметр не установлен, используется значение параметра 'ldap suffix'. Этот суффикс идет перед 'ldap suffix', поэтому лучше использовать частичные DN. Значение по умолчанию: пустая строка Пример: ou=Idmap ldap machine suffix Параметр определяет, как компьютеры будут добавлены в дерево ldap. Если параметр не установлен, используется значение параметра 'ldap suffix'. Этот суффикс идет перед 'ldap suffix', поэтому лучше использовать частичные DN. Значение по умолчанию: пустая строка Пример: ldap machine suffix = ou=Computers ldap page size Этот параметр указывает количество записей на странице. Если сервер LDAP поддерживает результаты с разбивкой на страницы, клиенты могут запрашивать подмножества результатов поиска (страницы) вместо всего списка. Этот параметр определяет размер этих страниц. Значение по умолчанию: 1000 Пример: 512 ldap passwd sync Параметр определяет, должна ли Samba синхронизировать LDAP пароль с хэшами NT и LM для обычных учетных записей пользователей (не для компьютеров, серверов и доверенных доменов) при смене пароля через Samba. Параметр может быть установлен в одно из трех значений: * yes — попробовать обновить LDAP, NT и LM пароли и обновить время pwdLastSet (атрибут времени последнего изменения пароля). * no — обновить NT и LM пароли и обновить время pwdLastSet. * only — обновить только LDAP пароль, а все остальное сделает LDAP-сервер. Значение по умолчанию: no ldap replication sleep Если Sabma пытается записать на LDAP сервер, сконфигурированный только для чтения, запрос перенаправляется на мастер-сервер чтения-записи. Этот сервер потом синхронизирует изменения на наш локальный сервер, однако это может занять несколько секунд, особенно на медленных соединениях. Этот параметр задает время ожидания для Samba, чтобы LDAP сервера успели синхронизироваться. Определенные действия клиентов, например, присоединение к домену, могут сбить с толку из-за «успешно выполненного действия», который не приводит к немедленному изменению данных серверной части LDAP. Этот параметр задает время ожидания для Samba, чтобы LDAP сервера успели синхронизироваться. Если сеть с особенно высокой задержкой, то можно захотеть синхронизировать репликацию LDAP с помощью сетевого сниффера и соответственно увеличить это значение. Однако надо учитывать, что проверка фактической репликации данных не выполняется. Значение определяется в миллисекундах, максимальная величина составляет 5000 (5 секунд). Значение по умолчанию: 1000 ldapsam:editposix Этот параметр дополняет параметр 'ldapsam:trusted' и позволяет упростить управление контроллером домена, дает возможность не создавать пользовательские скрипты по добавлению и управлению posix пользователями и группами. Этот параметр позволяет изменять ldap, создавать, удалять и изменять пользователей и группы. Необходимо, чтобы работал winbindd, так как он используется для выделения новых uids/gids при создании пользователей/групп. Следовательно, необходимо настроить диапазон распределения. Чтобы использовать эту опцию, необходимо настроить базовое ldap дерево, параметры ldap suffix так же должны быть правильно настроены. На вновь установленных серверах, группы и пользователи по умолчанию (Administrator, Guest, Domain Users, Domain Admins, Domain Guests) могут быть вновь созданы командой net sam provision. Чтобы запустить эту команду должны быть запущены ldap-сервер и Winbindd, а так же ldap вариант файла smb.conf должен быть настроен соответствующим образом. Типовая установка ldap использует параметр 'ldapsam:trusted = yes' с параметром 'ldapsam:editposix = yes'. Значение по умолчанию: ldapsam:editposix = no Пример конфигурации: encrypt passwords = true passdb backend = ldapsam ldapsam:trusted=yes ldapsam:editposix=yes ldap admin dn = cn=admin,dc=samba,dc=org ldap delete dn = yes ldap group suffix = ou=groups ldap idmap suffix = ou=idmap ldap machine suffix = ou=computers ldap user suffix = ou=users ldap suffix = dc=samba,dc=org idmap backend = ldap:"ldap://localhost" idmap uid = 5000-50000 idmap gid = 5000-50000 Эта конфигурация LDAP-сервера предполагает структуру каталогов, подобную описанной в следующем ldif: dn: dc=samba,dc=org objectClass: top objectClass: dcObject objectClass: organization o: samba.org dc: samba dn: cn=admin,dc=samba,dc=org objectClass: simpleSecurityObject objectClass: organizationalRole cn: admin description: LDAP administrator userPassword: secret dn: ou=users,dc=samba,dc=org objectClass: top objectClass: organizationalUnit ou: users dn: ou=groups,dc=samba,dc=org objectClass: top objectClass: organizationalUnit ou: groups dn: ou=idmap,dc=samba,dc=org objectClass: top objectClass: organizationalUnit ou: idmap dn: ou=computers,dc=samba,dc=org objectClass: top objectClass: organizationalUnit ou: computers ldapsam:trusted По умолчанию Samba, действующая как контроллер домена Active Directory с LDAP бэкэндом, должна использовать NSS подсистему в стиле UNIX для доступа к информации о пользователях и группах. Из-за того, что Unix хранит информацию в файлах /etc/passwd и /etc/group это неэффективно. Пользователю обычно важно знать список групп, членом которых он является. UNIX имеет оптимизированные функции для определения принадлежности пользователя группе (файл /etc/group). К сожалению, другие функции, которые используются для работы с атрибутами пользователей и групп, не имеют такой оптимизации. Чтобы Samba хорошо масштабировалась в больших средах, параметр 'ldapsam:trusted = yes' предполагает, что полная база данных пользователей и групп, имеющих отношение к Samba, хранится в LDAP со стандартными атрибутами posixAccount/posixGroup. Кроме того, предполагается, что классы вспомогательных объектов Samba хранятся вместе с данными POSIX в одном объекте LDAP. Если эти предположения соблюдены, можно активировать 'ldapsam:trusted = yes', и Samba может обойти систему NSS для запроса членства в группах пользователей. Samba будет работать быстрее с LDAP, чем с локальными файлами /etc/passwd и /etc/group. Оптимизированные запросы LDAP значительно ускоря��т вход в домен и административные задачи. В зависимости от размера базы данных LDAP легко достигается коэффициент 100 или более для общих запросов. Значение по умолчанию: ldapsam:trusted = no ldap server require strong auth Опция определяет, требует ли сервер LDAP подписанный или подписанный и зашифрованный (запечатанный) трафик ldap. Возможные значения: no, allow_sasl_over_tls и yes. Значение no позволяет выполнять простые и sasl-привязки для всех транспортов. Значение allow_sasl_over_tls разрешает простые и sasl-привязки (без подписи и печати) через зашифрованные TLS-соединения. Незашифрованные соединения допускают привязку sasl только подписанные или запечатанные. Значение yes разрешает только простые привязки через зашифрованные TLS-соединения. Незашифрованные соединения допускают привязку sasl только со знаком или печатью. Значение по умолчанию: yes ldap ssl Этот параметр определяет, использует ли Samba SSL при подключении к LDAP серверу. Этот параметр не связан с параметром --with-ssl команды configure. По возможности, соединения LDAP должны быть защищены. Это можно сделать, либо установив для этого параметра значение start tls, либо указав ldaps:// в аргументе URL-адреса 'passdb backend'. Параметр может быть установлен в одно из следующих значений: * off — не использовать SSL при запросах к каталогу. * start tls — Использовать LDAPv3 StartTLS расширенные операции (RFC2830) при подключении к серверу каталога. Обратите внимание, что этот параметр влияет только на методы rpc. Чтобы включить расширенную операцию LDAPv3 StartTLS (RFC2830) для ads, установите 'ldap ssl = start tls' и 'ldap ssl ads = yes'. См. smb.conf(5) для получения дополнительной информации о 'ldap ssl ads'. Значение по умолчанию: start_tls ldap ssl ads Этот параметр используется для определения, следует ли Samba использовать SSL при подключении к серверу LDAP с использованием методов ads. Этот параметр не влияет на методы RPC. Обратите внимание, что этот параметр не будет иметь никакого эффекта, если установлен в no. См. smb.conf(5) для получения дополнительной информации. ldap suffix Определяет базу для всех суффиксов LDAP и для хранения объекта sambaDomain. Этот параметр добавляется к значениям определенным в параметрах 'ldap user suffix', 'ldap group suffix', 'ldap machine suffix', и 'ldap idmap suffix'. Каждый из них должен быть представлен как DN к 'ldap suffix'. Значение по умолчанию: пустая строка Пример: dc=samba,dc=org ldap timeout Этот параметр определяет количество секунд, которые Samba ожидает для выполнения LDAP операций. Значение по умолчанию: 15 ldap user suffix Параметр определяет, как пользователи будут добавлены в дерево LDAP. Если параметр не установлен, будет использоваться значение 'ldap suffix'. Строка суффикса будет предшествовать строке 'ldap suffix', так что используйте частичный DN. Значение по умолчанию: пустая строка Пример: ou=people ldap max anonymous request size Этот параметр указывает максимально допустимый размер (в байтах) для запроса LDAP, полученного по анонимному соединению. Если размер запроса превышает этот предел, запрос будет отклонен. Значение по умолчанию: 256000 Пример: 500000 ldap max authenticated request size Этот параметр указывает максимально допустимый размер (в байтах) для запроса LDAP, полученного при аутентифицированном соединении. Если размер запроса превышает этот предел, запрос будет отклонен. Значение по умолчанию: 16777216 Пример: 4194304 ldap max search request size Этот параметр указывает максимально допустимый размер (в байтах) для поискового запроса LDAP. Если размер запроса превышает этот предел, запрос будет отклонен. Значение по умолчанию: 256000 Пример: 4194304 lock spin time Время в микросекундах, которое smbd следует ожидать для того, чтобы оценить может ли быть удовлетворен запрос на блокировку. Этот параметр изменился в Samba 3.0.23 с 10 до 200. Ассоциированный параметр 'lock spin count' начиная с Samba 3.0.24 больше не используется. Не следует изменять значение этого параметра. Значение по умолчанию: 200 oplock break wait time Это параметр тонкой настройки добавлен из-за ошибок в Windows 9x и WinNT. Если Samba отвечает клиенту слишком быстро, в момент, когда клиент отправляет SMB запрос, который может повлечь за собой запрос прерывания блокировки, то сетевой клиент может выйти из строя и не ответить на запрос прерывания (break request). Этот параметр тонкой настройки (в миллисекундах) — количество времени, которое будет ждать Samba, прежде чем послать запрос прерывания таким (дефектным) клиентам. Предупреждение НЕ МЕНЯЙТЕ ДАННЫЙ ПАРАМЕТР, ЕСЛИ ВЫ НЕ ПРОЧИТАЛИ И НЕ ПОНЯЛИ КОД SAMBA OPLOCK. Значение по умолчанию: 0 smb2 leases Этот логический параметр сообщает smbd, следует ли глобально согласовывать аренду SMB2 для запросов на открытие файлов. Аренда — это функция только для SMB2, которая позволяет клиентам агрессивно кэшировать файлы локально сверх кэширования, разрешенного блокировками SMB1. Доступны только значения yes и no. Обратите внимание, что кэш записи не будет использоваться для дескрипторов файлов с арендой smb2 для записи. Значение по умолчанию: smb2 leases = yes debug class Если этот логический параметр включен, класс отладки (DBGC_CLASS) будет отображаться в заголовке отладки. Дополнительные сведения о доступных в настоящее время классах отладки см. в описании параметра 'log level'. Значение по умолчанию: debug class = no debug hires timestamp Иногда метки времени в сообщениях журнала необходимы с разрешением выше, чем секунды, этот логический параметр добавляет разрешение в микросекундах к заголовку сообщения метки времени при включении. Обратите внимание, что параметр 'debug timestamp' также должен быть включен ('debug timestamp = yes'). Значение по умолчанию: debug hires timestamp = yes debug pid При использовании только одного файла журнала для более чем одного разветвленного smbd(8)-процесса может быть трудно проследить, какой процесс, какое сообщение выводит. Этот логический параметр добавляет идентификатор процесса к заголовкам сообщений с отметкой времени в файле журнала при включении. Обратите внимание, что параметр 'debug timestamp' также должен быть включен ('debug timestamp = yes'). Значение по умолчанию: debug pid = no debug prefix timestamp Если этот параметр включен, заголовок сообщения с меткой времени ставится перед сообщением отладки без имени файла и информации о функциях, которые включены в параметр. Это дает временные метки сообщениям без добавления дополнительной строки. Обратите внимание, что параметр 'debug timestamp' также должен быть включен ('debug timestamp = yes'). Значение по умолчанию: debug prefix timestamp = no debug uid Samba иногда запускается от имени пользователя root, а иногда от имени подключенного пользователя, этот логический параметр, если он включен, вставляет текущий euid, egid, uid и gid в заголовки сообщений с отметками времени в файлы журнала. Обратите внимание, что параметр 'debug timestamp' также должен быть включен ('debug timestamp = yes'). Значение по умолчанию: debug uid = no ldap debug level Этот параметр управляет уровнем отладки вызовов библиотеки LDAP. В случае OpenLDAP это то же битовое поле, которое понимается сервером и задокументировано на странице руководства slapd.conf(5). Типичное полезное значение будет 1 для отслеживания вызовов функций. Выходные данные отладки из библиотек LDAP отображаются с префиксом [LDAP] в выходных данных журнала Samba. Уровень, на котором печатается журнал LDAP, контролируется параметром 'ldap debug threshold'. Значение по умолчанию: 0 Пример: 1 ldap debug threshold Этот параметр управляет уровнем отладки Samba, на котором выходные данные отладки библиотеки LDAP печатаются в журналах Samba. См. подробности в описании опции 'ldap debug level'. Значение по умолчанию: 10 Пример: 5 log file Эта опция позволяет переопределить имя файла журнала Samba (также известный как файл отладки). Эта опция принимает стандартные подстановки, позволяя иметь отдельные файлы журнала для каждого пользователя или машины. Значения по умолчанию нет. Пример: /usr/local/samba/var/log.%m logging Этот параметр позволяет конфигурировать логирование серверной части. Одновременно можно указывать несколько бэкендов с разным уровнем логирования. Параметр представляет собой список бэкендов, где для каждого бэкенда заданы специфичные опции [:option][@loglevel]. Параметр 'option' может использоваться для передачи опций, специфичных для каждой серверной части. Уровень логирования для бэкенда является опциональным. Если уровень логирования не установлен, то логироваться будут все сообщения. Параметр 'log level' определяет общий уровень логирования, в то время как, указанные здесь уровни логирования определяют, что конкретно будет отправлено на каждый бэкенд. Когда опция установлена, она имеет приоритет над параметрами 'syslog' и 'syslog only'. Некоторые бэкенды доступны только тогда, когда Samba скомпилирована с дополнительными библиотеками. Общий список бэкэндов для логирования: * syslog * file * systemd * lttng * gpfs * ringbuf Бэкэнд ringbuf поддерживает необязательный аргумент size (размер) для изменения размера используемого буфера, значение по умолчанию — 1 МБ: ringbuf:size=NBYTES Значение по умолчанию: пустая строка Пример: syslog@1 file log level Значение параметра (строка) позволяет указать уровень отладки (уровень ведения журнала) в файле smb.conf. Этот параметр был расширен, начиная с серии 2.2.x, теперь он позволяет указывать уровень отладки для нескольких классов отладки и отдельных файлов журнала для классов отладки. Это сделано для большей гибкости конфигурации системы. В настоящее время реализованы следующие классы отладки: all tdb printdrivers lanman smb smb2 smb2_credits rpc_parse rpc_srv rpc_cli passdb sam auth winbind vfs idmap quota acls locking msdfs dmapi registry scavenger dns ldb tevent auth_audit auth_json_audit kerberos dsdb_audit dsdb_json_audit dsdb_password_audit dsdb_password_json_audit dsdb_transaction_audit dsdb_transaction_json_audit Чтобы перенаправить ведение журнала для определенных классов в другой файл, можно добавить @PATH к классу, например, log level = 1 full_audit: 1@/var/log/audit.log. Информация аудита аутентификации и авторизации регистрируется в auth_audit, и если Samba не была скомпилирована с --without-json, представление JSON регистрируется в auth_json_audit. Поддержка является всеобъемлющей для любой аутентификации и авторизации учетных записей пользователей в Samba Active Directory Domain Controller, а также неявной аутентификации при смене пароля. В файловом сервере предусмотрена проверка подлинности NTLM, авторизация SMB и RPC. Уровни журнала для auth_audit и auth_audit_json: * 2: Authentication Failure (Ошибки Аутентификации) * 3: Authentication Success (Успешная Аутентификация) * 4: Authorization Success (Успешная Авторизация) * 5: Anonymous Authentication and Authorization Success (Анонимная Аутентификация и Успешная Авторизация) Изменения в базе данных sam.ldb регистрируются в dsdb_audit, а представление JSON регистрируется в dsdb_json_audit. Изменения пароля и сброс пароля регистрируются в dsdb_password_audit, а представление JSON регистрируется в файле dsdb_password_json_audit. Откаты транзакций и сбои при подготовке фиксации регистрируются в dsdb_transaction_audit, а представление JSON регистрируется в файле password_json_audit. Регистрация сведений о транзакции позволяет идентифицировать операции с паролями и sam.ldb, для которых был выполнен откат. Значение по умолчанию: 0 Пример: 3 passdb:5 auth:10 winbind:2 Пример: 1 full_audit:1@/var/log/audit.log winbind:2 max log size Эта опция (целое число в килобайтах) указывает максимальный размер файла журнала. Samba периодически проверяет размер и, если размер превысит указанный, то переименовывает файл, добавляя расширение .old. Значение 0 означает отсутствие ограничений. Значение по умолчанию: 5000 Пример: 1000 syslog Этот параметр указывает уровень отладки журналов событий, которые будут записываться в системный syslog. Соответствие значения параметра и событий, который попадают в системный syslog: 0 — LOG_ERR, 1 — LOG_WARNING, 2 — LOG_NOTICE, 3 — LOG_INFO. Все значения выше соответствуют LOG_DEBUG. Этот параметр выступает в роли ограничителя для сообщений, которые будут попадать в системный syslog. Только сообщения с уровнем отладки ниже, чем значение этого параметра будут записываться в syslog. Тем не менее, некоторые отладочные файлы все же будут создаваться, это касается файлов log.[sn]mbd. Значение по умолчанию: syslog = 1 syslog only Если этот параметр включен (syslog only = yes), то отладочные сообщения Samba будут записываться в системный syslog, но не в отладочные файлы Samba. Но даже при такой установке, некоторые отладочные файлы все же будут создаваться, это касается файлов log.[sn]mbd. Значение по умолчанию: syslog only = no timestamp logs Сообщения журнала отладки Samba по умолчанию имеют отметку времени. Если вы работаете на высоком уровне, эти временные метки могут отвлекать. Этот логический параметр позволяет отключить отметку времени. Значение по умолчанию: timestamp logs = yes abort shutdown script В этом параметре определяется полный путь к сценарию, вызываемому демоном smbd(8), запускающему процедуру выключения сервера. Если подключенный пользователь обладает правами SeRemoteShutdownPrivilege, то эта команда будет им запущена с правами пользователя root. Значение по умолчанию: "" Пример: /sbin/shutdown -c add group script В этом параметре определяется полный путь к сценарию, который будет запускать smbd(8) от имени пользователя root, при запросе создания новой группы. Аргумент %g будет заменен преданным именем группы. Этот скрипт полезен только для установки с использованием инструментов администрирования домена Windows NT. Скрипт может создать группу с произвольным именем, чтобы обойти Unix ограничения на имена групп. В этом случае скрипт должен вывести числовой идентификатор созданной группы на стандартный вывод (stdout). Значение по умолчанию: пустая строка Пример: /usr/sbin/groupadd %g add machine script В этом параметре определяется путь к сценарию, запускаемому smbd(8) при добавлении учетной записи компьютера в домен Samba. Учетная запись Unix, соответствующая имени компьютера с добавленным в конец знаком «$» не должна существовать. Этот параметр очень похож на сценарий по добавлению пользователя (параметр 'add user script'), и аналогично использует замену аргумента %u именем учетной записи. Не используйте аргумент %m. Значение по умолчанию: пустая строка Пример: /usr/sbin/adduser -n -g machines -c Machine -d /var/lib/nobody -s /bin/false %u add user script В этом параметре определяется путь к сценарию, который будет выполнен демоном smbd(8) от имени пользователя root при специальных обстоятельствах, описанных ниже. Обычно, сервер Samba требует, чтобы пользователи UNIX были созданы для всех пользователей, обращающихся к файлам на этом сервере. Для сайтов, которые используют базы данных учетных записей Windows NT в качестве своей основной базы данных пользователей, создание этих пользователей и поддержание синхронизации списка пользователей с Windows NT PDC является тяжелой задачей. Этот параметр позволяет smbd создавать требуемых пользователей UNIX ПО ТРЕБОВАНИЮ, когда пользователь обращается к серверу Samba. Когда пользователь Windows при входе в систему (установка сессии в SMB протоколе) пытается обратиться к серверу Samba, smbd(8) соединяется с сервером паролей и пытается подтвердить подлинность данного пользователя с данным паролем. Если аутентификация прошла успешно, smbd пытается найти пользователя UNIX в базе данных паролей UNIX, чтобы сопоставить его пользователю Windows. Если происходит сбой поиска, и параметр 'add user script' установлен, тогда smbd вызовет указанный сценарий от имени пользователя root, преобразуя аргумент %u в имя пользователя, которого нужно создать. Если этот сценарий успешно создаст пользователя, тогда smbd продолжит работу, как если бы пользователь UNIX уже существовал. Таким образом, пользователи UNIX создаются динамически, чтобы соответствовать существующим учетным записям Windows NT. См. также параметры 'security', 'password server', 'delete user script'. Значение по умолчанию: пустая строка Пример: /usr/local/samba/bin/add_user %u add user to group script В этом параметре определяется полный путь к сценарию, который будет вызываться, когда пользователь добавляется к группе при помощи административных средств домена Windows NT. Скрипт будет выполнен демоном smbd(8) от имени пользователя root. Аргумент %g будет заменен именем группы, а аргумент %u — именем пользователя. Обратите внимание, что команда adduser, используемая в примере ниже, не поддерживает используемый синтаксис на всех системах. Значение по умолчанию: пустая строка Пример: /usr/sbin/adduser %u %g allow nt4 crypto Эта опция определяет, будет ли netlogon server (в настоящее время только в режиме «контроллер домена AD») отклонять клиентов, которые не поддерживают NETLOGON_NEG_STRONG_KEYS или NETLOGON_NEG_SUPPORTS_AES. Эта опция была добавлена в Samba 4.2.0. Эта опция может заблокировать клиентов, которые успешно работали с версиями Samba ниже 4.1.x., т.к. по умолчанию в старых версиях этот параметр был установлен ('allow nt4 crypto = yes'), а в новых по умолчанию не установлен ('allow nt4 crypto = no'). Если в сети есть клиенты без RequireStrongKey = 1 в реестре, то может потребоваться установить параметр 'allow nt4 crypto', пока не будут исправлены все клиенты. Значение 'allow nt4 crypto = yes' позволяет договариваться о слабой криптографии, возможно, через понижении уровня атаки. Опция 'reject md5 clients' имеет приоритет перед этой опцией. Значение по умолчанию: allow nt4 crypto = no auth event notification Если этот параметр включен (auth event notification = yes), Samba (действующая как контроллер домена Active Directory) передает события аутентификации по внутренней шине сообщений. Скрипты, созданные с использованием привязок Python к Samba, могут прослушивать эти события, зарегистрировавшись в качестве службы auth_event. Этот параметр следует рассматривать как инструмент разработчика (он помогает в наборе тестов Samba), а не как средство для внешнего аудита, поскольку доставка сообщений не гарантируется (функция, которую позволяет использовать набор тестов). Кроме того, Samba должна быть скомпилирована с поддержкой jansson, чтобы эта опция была эффективной. События аутентификации также регистрируются с помощью обычных методов ведения журнала, если установлен параметр 'log level'. Значение по умолчанию: auth event notification = no delete group script В этом параметре указан полный путь к сценарию, выполняющемуся от имени пользователя root при удалении пользовательской группы. Этот сценарий полезен для инсталляций, использующих Windows NT domain administration tools. Значение по умолчанию: пустая строка delete user from group script В этом параметре указан полный путь к сценарию, который будут вызываться утилитой Windows NT domain administration tools при удалении пользователя из группы. smbd(8) выполнит этот сценарий от имени пользователя root. ргумент %g будет заменен именем группы, а аргумент %u — именем пользователя. Значение по умолчанию: пустая строка Пример: /usr/sbin/deluser %u %g delete user script В этом параметре указан полный путь к сценарию, выполняемому smbd(8) при управлении пользователями с помощью удаленных RPC (NT) утилит. Этот сценарий вызывается при удалении пользователя с сервера утилитами 'User Manager for Domains' или rpcclient. Этот сценарий должен удалить имя пользователя UNIX. По умолчанию: пустая строка Пример: /usr/local/samba/bin/del_user %u domain logons Этот параметр устарел, начиная с Samba 4.13, и поддержка входа в домен в стиле NT4 (в отличие от Samba AD DC) будет удалена в следующем выпуске Samba. То есть в будущем значение по умолчанию для 'domain logons' = no будет принудительным поведением. Если этот параметр установлен, Samba поддерживает службу входа в сеть для Windows 9X для рабочей группы. Это также заставит Samba действовать как контроллер домена NT4. Более подробно см. раздел «Domain Control» руководства Samba-HOWTO. Значение по умолчанию: domain logons = no enable privileges Этот параметр управляет, действительно ли smbd будет соблюдать привилегии, назначенные на определенный SIDs утилитой net rpc rights или через одну из утилит Windows user and group manager. Этот параметр включен по умолчанию. Необходимо отключить параметр, чтобы запретить членам группы Domain Admins назначать привилегии пользователям или группам, что может привести к некоторым smbd операциям, выполняющимся от имени пользователя root, которые обычно работали бы под контекстом связанным с подключенным пользователем. Примером того, как можно использовать привилегии, является назначение права добавлять клиентов к домену Samba, не имея root доступа к серверу через smbd. Пожалуйста, прочитайте расширенное описание в руководстве Samba-HOWTO. Значение по умолчанию: enable privileges = yes init logon delay Этот параметр определяет задержку в миллисекундах, для хостов, сконфигурированных с параметром 'init logon delayed hosts' для initial samlogon. Значение по умолчанию: 100 init logon delayed hosts Этот параметр принимает список имен хостов, адресов или сетей, для которых должен быть отложен начальный ответ на samlogon (поэтому рабочие станции XP предпочитают другие контроллеры домена, если таковые имеются). Продолжительность задержки может быть указана с помощью параметра 'init logon delay'. Значение по умолчанию: пустая строка Пример: 150.203.5. myhost.mynet.de logon drive Параметр указывает путь присоединения домашнего каталога (см. параметр 'logon home') и используется только рабочими станциями Windows NT. Этот параметр имеет смысл только в том случае, если Samba настроена как сервер авторизации (logon server). Значение по умолчанию: пустая строка Пример: h: logon home Параметр указывает домашний каталог при авторизации клиента Windows95/98/NT, что, например, позволит выполнить команду: C:\>NET USE H: /HOME Эта опция позволяет использовать отдельный сценарий запуска для различных пользователей компьютера. Параметр может быть использован с рабочими станциями Win9X для того, чтобы профиль пользователя хранился в домашнем каталоге пользователя независимо от того, за каким компьютером работает пользователь. Это делается следующим способом: logon home = \\%N\%U\profile Этот параметр для Samba означает, что нужно вернуть вышеописанную строку с изменениями когда клиент запрашивает информацию, преимущественно при запросе NetUserGetInfo. Клиенты Win9X перенаправляются в каталог \servershare, в том случае когда указано net use /home, тем не менее, использует полную строку, когда оперирует профилями. Обратите внимание на то, что в предыдущих версиях Samba возвращался 'logon path' вместо 'logon home'. Это не позволяло выполнить net use /home, но разрешало профили вне домашнего каталога. В текущей версии все нормально и вышеприведенные примеры работоспособны. Запретить использование этой опции можно, указав: 'logon home = ""' (пустая строка). Этот параметр имеет смысл только в том случае, если Samba настроена как сервер авторизации (logon server). Значение по умолчанию: \\%N\%U\ Пример: \\remote_smb_server\%U logon path Параметр указывает каталог, где будут храниться пользовательские профили (Рабочий стол, NTuser.dat и т.д.). В отличие от предыдущих версий этих справочных страниц, этот параметр никак не связан с перемещаемыми профилями Win 9X. Чтобы узнать, как обрабатывать перемещаемые профили для системы Win 9X, см. параметр logon home. Эта опция принимает подставновочные символы, что позволяет использовать отдельный сценарий запуска для различных пользователей компьютера. Она также указывает каталог, в котором хранятся «Application Data», рабочий стол, меню пуск, сетевое окружение, программы и другие папки вместе с их содержимым, отображаемым в клиентах WindowsNT. Каталог, открытый для доступа («шара») и путь должны быть доступны пользователю для чтения. Этот каталог должен быть доступен для записи, когда пользователь заходит в систему впервые, для того чтобы клиенты WinNT могли создать NTuser.dat и другие каталоги. Впоследствии, права на каталоги вместе с их содержимым могут быть изменены на «только для чтения». Тем не менее, не рекомендуется делать файл NTuser.dat доступным только для чтения — переименуйте его в NTuser.man для достижения желаемого эффекта (принудительного профиля — MANdatory profile). Клиенты Windows иногда могут поддерживать подключение к домашним каталогам [homes], даже если пользователь не прошел авторизацию. Т.е. очень важно чтобы путь 'logon path' НЕ включал в себя путь к домашнему каталогу (т.е. установка значения параметра \\%N\homes\profile_path вызовет проблемы). Предупреждение: Не заключайте значение этой переменной в кавычки. Установка, например, такого значения “\\%N\profile\%U” нарушит работу профилей. Если используется tdbsam или ldapsam passdb, то во время создания пользовательской учетной записи, значение, установленное для этого параметра, пишется в passdb и в smb.conf. Любые ошибки в passdb должны быть исправлены, с использованием соответствующего инструментария (например, консольный pdbedit). Эта опция имеет смысл только в том случае, когда Samba работает в режиме домен-контроллера. Запретить использование перемещаемых профилей можно с помощью установки параметра 'logon path = ""'. Обратите внимание на то, что даже если в конфигурационном файле smb.conf установлена пустая строка, любое значение, установленное в профиле пользователя в passbd переопределит значение этого параметра. Таким образом, полный запрет перемещаемых профилей требует, чтобы в свойствах пользовательского профиля было тоже пусто. Значение по умолчанию: \\%N\%U\profile Пример использования: \\PROFILESERVER\PROFILE\%U logon script Этот параметр указывает пакетный файл запуска (.bat) или файл сценария NT (.cmd), который будет скачан и выполнен на клиентском компьютере, когда пользователь войдет в систему. Файл должен содержать перевод строки в стиле DOS (CR/LF). Для написания таких файлов рекомендуется использовать редактор, поддерживающий переводы строк в стиле DOS. Файл сценария должен иметь отношение к сервису [netlogon]. Если [netlogon] указывает на 'path' /usr/local/samba/netlogon и имя 'logon script = STARTUP.BAT', тогда файл, который будет скачан должен лежать в /usr/local/samba/netlogon/STARTUP.BAT. Содержимое .bat файла полностью зависит от вас. Предлагается использовать команду 'NET TIME \SERVER /SET /YES' для синхронизации времени всех компьютеров с сервером времени. Еще можно посоветовать использовать 'NET USE U: \SERVERUTILS' для утилит общего пользования или, к примеру 'NET USE Q: \SERVERISO9001_QA' Обратите внимание на то, что в целях безопасности нужно запрещать запись в [netlogon] или снимать право записи с файла пакетного запуска, т.к. если этого не сделать, то в файл могут написать всё что угодно и безопасность всей системы будет под угрозой. Этот параметр позволяет иметь разные сценарии запуска для разных пользователей или компьютеров. Этот параметр полезен только в том случае, если Samba настроена как сервер авторизации (logon server) с ролью классического контроллера домена. Если Samba настроена как контроллер домена Active Directory, вместо этого используется атрибут LDAP scriptPath. Для конфигураций, в которых используется 'passdb backend = ldapsam', этот параметр определяет значение по умолчанию только в случае отсутствия атрибута LDAP sambaLogonScript. Значение по умолчанию: пустая строка Пример: scripts\%U.bat reject md5 clients Этот параметр определяет, будет ли сервер netlogon (в настоящее время только в режиме «контроллер домена AD»), отклонять клиентов, которые не поддерживают NETLOGON_NEG_SUPPORTS_AES. Можно установить этот параметр (reject md5 clientst = yes), если все члены домена поддерживают AES. Это предотвратит попытки перехода на более раннюю версию. Эта опция имеет приоритет перед опцией 'allow nt4 crypto'. Значение по умолчанию: reject md5 clientst = no set primary group script Благодаря использованию системы Posix в WinNT, у пользователя есть основная группа в дополнение к вспомогательным группам. Это сценарий устанавливает основную группу в базе данных пользователей UNIX, когда администратор устанавливает первичную группу пользователя Windows, в диспетчере пользователей или при получении SAM с помощью 'net rpc vampire'. Аргумент %u будет заменен пользователем, первичную группу которого нужно будет установить. Аргумент %g будет заменен группой, которую нужно установить. Значение по умолчанию: пустая строка Пример: set primary group script = /usr/sbin/usermod -g ‘%g’ ‘%u’ shutdown script Полный путь к сценарию, вызываемому smbd(8), который должен запустить процедуру завершения работы. Если подключенный пользователь обладает SeRemoteShutdownPrivilege, то эта команда будет выполнена от имени пользователя root. Переменные %z %t %r %f раскрываются следующим образом: * %z — сообщение, которое будет послано серверу. * %t — число секунд ожидания перед запуском процедуры завершения работы. * %r — будет заменен ключом -r, который для NT означает перезагрузку после завершения работы. * %f — будет заменен ключом -f, который для NT означает завершение работы, даже в том случае, если есть не отвечающие приложения. Процесс завершения работы «не отдает» консоль, поэтому нужно запустить его в фоновом режиме. Значение по умолчанию: пустая строка Пример: /usr/local/samba/sbin/shutdown %m %t %r %f Пример сценария: #!/bin/bash $time=0 let "time/60" let "time++" /sbin/shutdown $3 $4 +$time $1 & add share command В Samba 2.2.0 добавлена возможность динамически добавлять и удалять общие ресурсы через Диспетчер серверов Windows NT 4.0. Параметр 'add share command' используется, чтобы определить внешнюю программу или сценарий, который добавит определения для нового общего ресурса в smb.conf. Для успешного выполнения команды добавления общего ресурса, smbd требует, чтобы администратор был подключен с правами root (uid == 0) или имел привилегии SeDiskOperatorPrivilege. Сценарии, определенные в параметре 'add share command', выполняются от имени пользователя root. После запуска, smbd автоматически вызовет команду, добавляющую общий ресурс с пятью параметрами: * configFile — местоположение глобального файла smb.conf. * shareName — имя нового общего ресурса. * pathName — путь к существующему каталогу на диске. * comment — комментарий, связанный с новым общим ресурсом. * max connections — максимальное количество одновременных подключений к общему ресурсу. Этот параметр используется только при создании файлового общего ресурса. Для добавления общего ресурса принтеров см. параметр 'addprinter command'. Значение по умолчанию: пустая строка Пример: /usr/local/bin/addshare afs token lifetime Этот параметр контролирует время жизни токенов, заявленных AFS fake-kaserver. На самом деле они никогда не истекают, но это время жизни контролирует, когда клиент afs забудет токен. Установите для этого параметра значение 0, чтобы получить NEVERDATE. Значение по умолчанию: 604800 afs username map Если вы используете особенность AFS fake-kaserver, можно вручную создать имена пользователей, для которых всоздаются токены (tokens). Например, это необходимо, если у вас есть пользователи из нескольких доменов в базе данных AFS Protection. Одна из возможных схем кодирования пользователей — это DOMAIN + User, это сделано в winbind со знаком «+» в качестве разделителя. Отображаемое имя пользователя должно содержать имя ячейки для входа, так как если не настроить этот параметр не создастся никакого маркера (token). Значение по умолчанию: пустая строка Пример: %u@afs.samba.org allow insecure wide links При нормальной работе опция 'wide links', которая позволяет серверу следовать символическим ссылкам за пределами общего пути, автоматически отключается, если они включена опция 'unix extensions' на сервере Samba. Это сделано в целях безопасности, чтобы клиенты UNIX не создавали символические ссылки на области файловой системы сервера, которые администратор не желает экспортировать. Установка параметра 'allow insecure wide links' отключает связь между этими двумя параметрами, снимая эту защиту и позволяя сайту настраивать сервер для следования символическим ссылкам (путем установки опции 'wide links'), даже если включена опция 'unix extensions'. Не рекомендуется включать эту опцию, если вы полностью не понимаете последствия разрешения серверу следовать символическим ссылкам, созданным клиентами UNIX. Для большинства обычных конфигураций Samba это будет считаться дырой в безопасности, и установка этого параметра не рекомендуется. Эта опция была добавлена по просьбе сайтов, которые намеренно настроили Samba таким образом, и которым необходимо было продолжать поддерживать эту функциональность без необходимости исправлять код Samba. Значение по умолчанию: allow insecure wide links = no allow unsafe cluster upgrade Если этот параметр не установлен ('allow unsafe cluster upgrade = no' по умолчанию), smbd проверяет при запуске, запущены ли в кластере другие версии smbd, и отказывается запускаться, если это так. Это сделано для защиты от повреждения данных во внутренних структурах из-за несовместимых версий Samba, работающих одновременно в одном кластере. Установка этого параметра ('allow unsafe cluster upgrade = yes') отключает эту проверку безопасности. Значение по умолчанию: allow unsafe cluster upgrade = no async smb echo handler Этот параметр определяет должна ли Samba создавать отдельный процесс обработчика smb echo. Порождение этого обработчика может быть удобно, если операционная система выполняет длительные блокирующие вызовы. В некоторых случаях это увеличивает тайм-аут, который Windows использует для определения того, разорвано ли соединение. Этот параметр подходит только для SMB1. Для SMB2 и выше вместо этого можно использовать пакеты TCP keepalives. Значение по умолчанию: async smb echo handler = no auto services Это список служб, которые необходимо автоматически добавлять в списки просмотра. Это наиболее полезно для дома и служб принтеров, которые в противном случае были бы невидимы. Обратите внимание: если нужно только, чтобы все принтеры из файла настройки принтеров были загружены, то проще использовать опцию 'load printers'. Значение по умолчанию: пустая строка Пример: fred lp colorlp cache directory Обычно большая часть файлов TDB хранится в 'lock directory'. Начиная с Samba 3.4.0, можно различать файлы TDB с постоянными данными и файлы TDB с непостоянными данными, используя параметры 'state directory' и 'cache directory'. Этот параметр указывает каталог для хранения файлов TDB, содержащих непостоянные данные, которые будут сохраняться при перезапусках службы. Каталог должен быть помещен в постоянное хранилище, но данные могут быть безопасно удалены администратором. Значение по умолчанию: пустая строка Пример: /var/run/samba/locks/cache change notify Этот параметр определяет, должна ли Samba ответить запросом уведомления на изменение файла клиента. Никогда не изменяйте этот параметр. Значение по умолчанию: change notify = yes change share command В Samba 2.2.0 была добавлена возможность динамически добавлять и удалять общие ресурсы через Windows NT 4.0 Server Manager. Опция 'change share command' используется, чтобы определить внешнюю программу или сценарий, который изменит существующие настройки сервиса в smb.conf. Чтобы успешно выполнять команду изменения общего ресурса, smbd требует, чтобы администратор был подключен с правами root (uid == 0) или имел SeDiskOperatorPrivilege. Скрипты, определённые в параметре 'change share command', выполняются от имени пользователя root. При выполнении smbd автоматически вызовет команду 'change share command' с шестью параметрами: * configFile — местоположение глобального файла smb.conf. * shareName — имя нового общего ресурса. * pathName — путь к существующему каталогу на диске. * comment — комментарий, связанный с новым общим ресурсом. * max connections — максимальное количество одновременных подключений к общему ресурсу. * CSC policy — политика кэширования на стороне клиента в строковой форме. Допустимые значения: manual, documents, programs, disable. Этот параметр используется только для изменения существующих определений файлового ресурса. Чтобы изменить общие принтеры, используйте папку «Принтеры…» («Printers…»), которую видно при просмотре хоста Samba. Значение по умолчанию: пустая строка Пример: /usr/local/bin/changeshare cluster addresses С помощью этого параметра можно добавить дополнительные адреса, которые nmbd зарегистрирует на WINS-сервере. Точно так же эти адреса будут зарегистрированы по умолчанию, когда 'net ads dns register' вызывается с установленным параметром 'clustering'. Значение по умолчанию: пустая строка Пример: 10.0.0.1 10.0.0.2 10.0.0.3 clustering Этот параметр указывает, должна ли Samba связываться с ctdb для доступа к своим tdb-файлам и использовать ctdb в качестве серверной части для своей системы обмена сообщениями. Установите этот параметр, только если у вас есть установка кластера с запущенным ctdb. Значение по умолчанию: clustering = no config file Этот параметр позволяет переопределить используемый файл конфигурации вместо файла по умолчанию (обычно smb.conf). При этом существует проблема, как с курицей и яйцом (что раньше?), поскольку этот параметр установлен в файле конфигурации! По этой причине, если имя файла конфигурации изменилось при загрузке параметров, он перезагрузит их из нового файла конфигурации. Эта опция принимает обычные подстановки, которые могут быть очень полезны. Если файл конфигурации не существует, он не будет загружен (что позволяет в особых случаях использовать файлы конфигурации только нескольких клиентов). Значения по умолчанию нет. Пример: /usr/local/samba/lib/smb.conf.%m ctdbd socket Если установлен параметр 'clustering', нужно указать Samba, где ctdbd прослушивает свой сокет домена Unix. Путь по умолчанию для ctdb 1.0 — /tmp/ctdb.socket, который необходимо явно указать для Samba в smb.conf. Значение по умолчанию: пустая строка Пример: /tmp/ctdb.socket ctdb locktime warn threshold В кластерах, где используется Samba и ctdb, важно, чтобы блокировки на центральных базах данных ctdb-hosted таких как locking.tdb не удерживались надолго. В текущей архитектуре Samba случается, что Samba принимает блокировку и, удерживая эту блокировку, выполняет вызовы файловой системы в общую файловую систему кластера. Эта опция заставляет Samba предупреждать, если обнаруживает, что она удерживала блокировки в течение указанного количества миллисекунд. Если это произойдет, smbd выдаст сообщение уровня отладки 0 в свои журналы и, возможно, в системный журнал. Наиболее вероятная причина появления такого сообщения в журнале заключается в том, что операция экспорта Samba файловой системы кластера занимает больше времени, чем ожидалось. Сообщения предназначены для помощи в отладке потенциальных проблем кластера. Значение 0 (по умолчанию) отключает ведение этого журнала. Значение по умолчанию: 0 ctdb timeout Этот параметр указывает время ожидания в миллисекундах для соединения между Samba и ctdb. Этот параметр действителен только в том случае, если Samba скомпилирована с кластеризацией и если установлен параметр 'clustering'. Когда что-то в кластере блокируется, может случиться так, что мы будем бесконечно долго ждать ctdb, просто добавляя условие блокировки. В хорошо работающем кластере этого никогда не должно происходить, но в кластере слишком много компонентов, которые могут давать сбои. Выбор правильного баланса для этого значения очень сложен, потому что в загруженном кластере может быть допустимо длительное время обслуживания для передачи чего-либо через кластер. Установка слишком короткого значения ухудшит качество обслуживания, которое предоставляет кластер, а установка слишком большого значения может привести к тому, что сам кластер слишком долго не восстановится после того, как что-то серьезно сломалось. Имейте в виду, что если установить этот параметр, он должен быть указан в файле smb.conf, а не в конфигурации реестра (типично для кластера), потому что для доступа к реестру требуется контакт ctdb. Установка для 'ctdb timeout' значения n заставляет любой процесс ждать ответа от паники кластера дольше n миллисекунд. Установка его в 0 (по умолчанию) приводит к блокировке Samba навсегда, что настоятельно рекомендуется по умолчанию. Значение по умолчанию: 0 default service Этот параметр определяет имя сервиса, который будет подключен в случае невозможности найти запрашиваемый сервис. Обратите внимание, что квадратные скобки не нужны в значении параметра (см. пример ниже). Для этого параметра нет значения по умолчанию. Если параметр не установлен, попытка соединения с несуществующей службой приведет к ошибке. Обычно службой по умолчанию будет 'guest ok', 'read-only'. Обратите внимание на то, что имя сервиса будет заменено на требуемое. Это очень полезно, так как позволяет использовать макрос типа %S, чтобы использовать подстановку. Обратите внимание также на то, что любой символ «_» в имени службы, используемой в заданной по умолчанию службе будет приведен к «/». Это позволяет делать интересные вещи. Значение по умолчанию: пустая строка Пример: pub delete share command В Samba 2.2.0 была добавлена возможность динамически добавлять и удалять общие ресурсы через Windows NT 4.0 Server Manager. Параметр 'delete share command' запускает внешнюю программу или сценарий, удаляющий существующий общий ресурс из smb.conf. Для успешного выполнения этой программы, smbd требует, чтобы администратор был подключен с правами root (uid == 0) или с правами SeDiskOperatorPrivilege. После запуска, smbd автоматически вызовет внешнюю программу с двумя параметрами: * configFile — местоположение глобального smb.conf файла. * shareName — имя общего ресурса. Этот параметр используется только для удаления общих файловых ресурсов. Чтобы удалять общие принтеры, см. параметр 'deleteprinter command'. Значение по умолчанию: пустая строка Пример: /usr/local/bin/delshare dsdb event notification Если этот параметр включен (dsdb event notification = yes), Samba (действующая как контроллер домена Active Directory) передает события базы данных Samba по внутренней шине сообщений. Сценарии, созданные с использованием привязок Python к Samba, могут прослушивать эти события, зарегистрировавшись в качестве службы dsdb_event. Этот параметр следует рассматривать как инструмент разработчика (он помогает в наборе тестов Samba), а не как средство для внешнего аудита, поскольку доставка сообщений не гарантируется (функция, которую позволяет использовать набор тестов). События базы данных Samba также регистрируются с помощью обычных методов ведения журнала, если установлен соответствующий параметр 'log level'. Значение по умолчанию: dsdb event notification = no dsdb group change notification Если этот параметр включен, Samba (действующая как контроллер домена Active Directory) передает события изменения членства в группе по внутренней шине сообщений. Сценарии, созданные с использованием привязок Python к Samba, могут прослушивать эти события, зарегистрировавшись в качестве службы dsdb_group_event. Этот параметр следует рассматривать как инструмент разработчика (он помогает в наборе тестов Samba), а не как средство для внешнего аудита, поскольку доставка сообщений не гарантируется (функция, которую позволяет использовать набор тестов). Групповые события также регистрируются с помощью обычных методов ведения журнала, если установлен соответствующий параметр 'log level'. Значение по умолчанию: dsdb group change notification = no dsdb password event notification Если этот параметр включен, Samba (действующая как контроллер домена Active Directory) будет передавать события смены пароля и сброса по внутренней шине сообщений. Сценарии, созданные с использованием привязок Python к Samba, могут прослушивать эти события, зарегистрировавшись в качестве службы password_event. Этот параметр следует рассматривать как инструмент разработчика (он помогает в наборе тестов Samba), а не как средство для внешнего аудита, поскольку доставка сообщений не гарантируется (функция, которую позволяет использовать набор тестов). События паролей также регистрируются с помощью обычных методов ведения журнала, если установлен соответствующий параметр 'log level'. Значение по умолчанию: dsdb password event notification = no elasticsearch:mappings Путь к файлу, определяющий сопоставления атрибутов метаданных в формате JSON. Используется серверной частью Elasticsearch службы Spotlight RPC. Значение по умолчанию: /elasticsearch_mappings.json Пример: /usr/share/foo/mymappings.json fss: prune stale Если этот параметр включен (fss: prune stale = yes), сервер Samba File Server Remote VSS Protocol (FSRVP) проверяет все моментальные снимки, инициированные FSRVP, при запуске и удаляет любое соответствующее состояние (включая определения общих ресурсов) для несуществующих путей к моментальным снимкам. Значение по умолчанию: fss: prune stale = no fss: sequence timeout Сервер удаленного протокола VSS (FSRVP) файлового сервера включает таймер последовательности сообщений для обеспечения очистки при неожиданном отключении клиента. Этот параметр отменяет тайм-аут по умолчанию между операциями FSRVP. Таймауты FSRVP можно полностью отключить, установив значение 0. Значение по умолчанию: 1 Пример: 0 homedir map Если установлен параметр 'nis homedir', и smbd(8) используется в качестве сервера входа в Win95/98, то этот параметр определяет NIS (или YP) соответствие, из которого должны быть извлечены домашние каталоги пользователей. В настоящее время принимаются только соответствия формата Sun auto.home. Формат соответствия: username server:/some/file/system Программа будет извлекать servername до первого символа «:». Вероятно, следует передать разбор системе, которая лучше справляется с соответствиями разных форматов, например, с такими как AMD (еще один automounter) соответствие. Заметьте, что в системе должен быть запущен NIS клиент. Значение по умолчанию: пустая строка Пример: amd.homedir kernel change notify Параметр определяет, должен ли сервер Samba запрашивать у ядра уведомление об изменениях произошедших в каталогах, для того чтобы SMB клиент смог обновить состояние каталогов при изменении данных на сервере. Этот параметр используется, только если ядро поддерживает уведомления об изменении данных с помощью inotify интерфейса. Значение по умолчанию: kernel change notify = yes lock directory Эта опция указывает каталог для хранения файлов блокировок. Файлы блокировок используются для реализации опции 'max connections'. Примечание. Этот параметр нельзя установить в настройках реестра. Файлы, помещенные в этот каталог, не требуются при перезапуске службы и могут быть безопасно помещены в энергозависимое хранилище (например, tmpfs в Linux). Значение по умолчанию: пустая строка Пример: /var/run/samba/locks log writeable files on exit Когда сетевое соединение между клиентом CIFS и Samba прерывается, у Samba нет другого выбора, кроме как просто отключить серверную часть сетевого соединения. В этом случае существует риск повреждения данных, поскольку клиент Windows не выполнил все операции записи, запрошенные приложением Windows. Если этот параметр включен (log writeable files on exit = yes), в журнал smbd будет записано сообщение уровня 0 со списком всех файлов, которые были открыты для записи, когда сетевое соединение оборвалось. Это файлы, которые потенциально повреждены. Параметр предназначен для помощи администратору, чтобы дать ему список файлов для проверки согласованности. Значение по умолчанию: log writeable files on exit = no message command Эта опция указывает какую команду следует выполнить, когда сервером будет получено сообщение WinPopup. Обычно это команда, которая каким-то образом доставляет сообщение. Как это сделать — зависит от вас и вашего воображения. Пример: message command = csh -c 'xedit %s;rm %s' & Эта команда доставляет сообщение используя xedit и впоследствии удаляет сообщение. ОЧЕНЬ ВАЖНО ЧТОБЫ ЭТА КОМАНДА «ОТДАВАЛА» КОНСОЛЬ МГНОВЕННО. Именно поэтому в примере используется '&' в конце. Если команда сразу не «отдаст» консоль, то ПК могут зависнуть при отправке сообщений (они должны восстановиться через 30 секунд). Все сообщения доставляются от имени гостевого пользователя. Эта команда расширяет стандартное поведение (или стандартную функциональность), хотя подстановка %u не будет работать (%U может быть и будет). К стандартной функциональности добавлены кое-какие дополнительные параметры. В частности: * %s = имя файла, содержащего сообщение * %t = пункт назначения, куда было послано сообщение (вероятно имя сервера). * %f = от кого сообщение. Можно назначить этой команде все что угодно, например, отправку письма (e-mail). Сообщите нам, если у вас будут какие-то интересные идеи. Здесь показано как отправлять письмо пользователю root: message command = /bin/mail -s 'message from %f on %m' root < %s; rm %s Если у параметр 'message command' не установлен, то сообщение не будет доставлено и Samba сообщит получателю об ошибке. К сожалению Windows для рабочих групп игнорирует код ошибки и в любом случае сообщает об успешной доставке. Для удаления без уведомления, попробуйте: message command = rm %s Значение по умолчанию: пустая строка Пример: csh -c 'xedit %s; rm %s' & nbt client socket address Эта опция позволяет контролировать, с какого адреса Samba будет отправлять клиентские пакеты NBT, и обрабатывать ответы с их помощью, в том числе в nmbd. Установка этой опции никогда не должна быть обязательной на обычных серверах Samba, на которых работает только один nmbd. По умолчанию Samba отправляет UDP-пакеты с адреса ОС по умолчанию для пункта назначения и принимает ответы на 0.0.0.0. Этот параметр устарел. См. параметры 'bind interfaces only = yes' и 'interfaces' для предыдущего поведения по управлению обычными прослушивающими сокетами. Значение по умолчанию: 0.0.0.0 Пример: 192.168.2.20 ncalrpc dir Этот каталог будет содержать серию именованных каналов, позволяющих RPC через межпроцессное взаимодействие. Это позволит Samba и другим процессам Unix взаимодействовать через DCE/RPC без использования TCP/IP. Кроме того, подкаталог np имеет ограниченные разрешения и обеспечивает надежный канал связи между процессами Samba. Значение по умолчанию: пустая строка Пример: /var/run/samba/ncalrpc nis homedir Получить домашний каталог сервера из NIS. Для систем UNIX, которые используют автомонтирование, домашний каталог пользователя часто монтируется на рабочую станцию ​​по запросу с удаленного сервера. Когда сервер авторизации (logon server) Samba оне является фактическим сервером домашнего каталога (home directory server), но монтирует домашние каталоги через NFS, тогда выяснение домашнего каталога пользователя будет проходить в два этапа, если logon server сказал клиенту использовать себя в качестве сервера SMB для домашних каталогов (один через SMB и один через NFS). Это может быть очень медленно. Эта опция позволяет Samba возвращать домашний общий ресурс как находящийся на другом сервере серверу входа в систему, и пока демон Samba работает на сервере домашнего каталога, он будет монтироваться на клиенте Samba непосредственно с сервера каталогов. Когда Samba возвращает клиенту домашний ресурс, он обращается к карте NIS, указанной в карте homedir, и возвращает указанный там сервер. Обратите внимание на то, что для работы этой опции требуется работающая система NIS и сервер Samba должен работать в режиме сервера авторизации. Значение по умолчанию: nis homedir = no nmbd bind explicit broadcast Эта опция заставляет nmbd(8) явно связываться с широковещательным адресом локальных подсетей. Это необходимо для правильной работы nmbd в сочетании с опцией 'socket address'. Не нужно отключать эту опцию. Значение по умолчанию: nmbd bind explicit broadcast = yes panic action Это опция разработчика Samba, которая позволяет вызвать системную команду при сбое smbd(8) или nmbd(8). Она используется, в основном, для того, чтобы привлечь внимание к тому факту, что проблема действительно есть. Значение по умолчанию: пустая строка Пример: /bin/sleep 90000 perfcount module Этот параметр указывает серверную часть perfcount, которая будет использоваться при мониторинге операций SMB. Можно использовать только один модуль perfcount, и он должен реализовывать все API, содержащиеся в структуре smb_perfcount_handler, определенной в smb.h. Значения по умолчанию нет pid directory Этот параметр указывает каталог, в который будут помещены файлы pid. Значение по умолчанию: пустая строка Пример: /var/run/ registry shares Этот параметр включает или выключает поддержку определений общих ресурсов, считываемых из реестра. Общие ресурсы, определенные в smb.conf, имеют приоритет над общими ресурсами с тем же именем, определенным в реестре. Подробнее см. раздел о настройке на основе реестра. Обратите внимание, что по умолчанию этот параметр отключен (registry shares = no), но если для параметра 'config backend' установлено значение registry, то параметр 'registry shares' будет включен (registry shares = yes). Значение по умолчанию: registry shares = no Пример: registry shares = yes remote announce Этот параметр позволяет настроить nmbd(8) на периодическое оповещение (о своем существовании) произвольных IP-адресов с произвольными именами рабочих групп. Такое поведение может пригодиться, если необходимо, чтобы сервер Samba отображался в удаленной рабочей группе, для которой обычная схема оповещения не работает. Удаленная рабочая группа может быть где угодно, с условием, что туда можно послать IP-пакет. Пример: remote announce = 192.168.2.255/SERVERS 192.168.4.255/STAFF данная строка говорит демону nmbd, что он должен объявить себя для двух IP-адресов в двух рабочих группах. Если опустить имя рабочей группы, то вместо него используется имя, указанное в параметре 'workgroup'. В качестве IP-адресов обычно используются широковещательные адреса удаленных сетей, но могут использоваться и адреса известных мастер-браузеров, если конфигурация сети предполагает то, что эти адреса остаются неизменными. См. раздел «Network Browsing» руководства Samba-HOWTO. Значение по умолчанию: пустая строка remote browse sync Этот параметр позволяет настроить демон nmbd(8) таким образом, что он будет периодически запрашивать список компьютеров у главного обозревателя (мастер-браузера) удаленного сегмента сети. Благодаря этому можно получать актуальные списки компьютеров сетевого окружения для разных рабочих групп, разбросанных по сети. Это работает только с серверами Samba. Такое поведение может пригодиться, если необходимо, чтобы сервер Samba и все локальные клиенты отображались в удаленной рабочей группе, для которой обычная схема оповещения не работает. Удаленная рабочая группа может быть где угодно, куда можно послать IP-пакет. remote browse sync = 192.168.2.255 192.168.4.255 Данная строка заставит демон nmbd запрашивать списки компьютеров у мастер-браузеров указанных подсетей или адресов. В качестве IP-адресов обычно используются широковещательные адреса удаленных сетей, но могут использоваться и адреса известных мастер-браузеров, если конфигурация сети предполагает то, что эти адреса остаются неизменными. Если указан IP-адрес машины, Samba НЕ предпринимает НИКАКИХ попыток проверить, что удаленная машина доступна, слушает и что она фактически является мастер-браузером в своем сегменте. Этот параметр может быть использован в сетях без WINS-сервера, а также в сетях, которые разделены между собой и где каждая сеть имеет свой собственный WINS-сервер. Значение по умолчанию: пустая строка reset on zero vc Этот логический параметр определяет, следует ли очищать другие соединения, исходящие от одного IP-адреса во время входящей сессии SMB1. Это соответствует поведению Win2003. Установка этого параметра (eset on zero vc = yes) необходима, если у вас «нестабильная» (flaky) сеть и Windows решает переподключиться, в то время как предыдущее соединение имеет открытые файлы. Эти файлы будут недоступны для нового подключения. Клиент посылает сигнал zero VC, и Win2003 уничтожает все подключения, исходящие с этого IP-адреса кроме текущего. Таким образом, заблокированные файлы становятся снова доступными. Имейте в виду, что включение этой опции приведет к уничтожению соединений за маскарадным роутером и не сработает для клиентов, которые используют только SMB2 или SMB3. Значение по умолчанию: reset on zero vc = no rpc_daemon:DAEMON Этот параметр определяет, использовать ли встроенный код или запускать отдельный процесс для определенных служб RPC. За префиксом rpc_daemon должны следовать имя сервера и значение. В настоящее время поддерживаются два возможных значения: * disabled * fork Классический метод — запускать службы RPC как внутренние службы, встроенные в smbd, поэтому внешние службы по умолчанию имеют значение disabled. Выбор значения fork приведет к тому, что Samba создаст отдельный процесс для каждого настроенного таким образом демона. Каждый демон может, в свою очередь, разветвлять несколько дочерних элементов, используемых для обработки запросов от нескольких smbd и прямых подключений TCP/IP (если включен сопоставитель конечных точек). Связь с smbd происходит через именованные каналы и требует, чтобы указанные каналы пересылались внешнему демону (см. параметр 'rpc_server'). Fork RPC демоны поддерживают динамически fork дочерние процессы во время обработки соединений. Эвристика о том, сколько дочерних элементов оставить, и как быстро разрешить им разветвляться, а также, сколько клиентов может обрабатывать каждый дочерний элемент одновременно, определяется опциями, указанными по имени демона. В настоящее время поддерживаются пять вариантов: * prefork_min_children * prefork_max_children * prefork_spawn_rate * prefork_max_allowed_clients * prefork_child_min_life Чтобы установить одну из этих опций, используйте следующий синтаксис: daemonname: prefork_min_children = 5 Samba включает отдельные демоны для spoolss, lsarpc/lsass, netlogon, samr, FSRVP и mdssvc (Spotlight). В настоящее время доступно пять демонов: * epmd * lsasd * spoolssd * fssd * mdssd Значение по умолчанию: rpc_daemon:DAEMON = disabled Пример: rpc_daemon:spoolssd = fork rpc_server:SERVER С помощью этой опции можно определить, должна ли работать внутренняя/встроенная в smbd служба RPC или должна быть перенаправлена на внешний демон, такой как Samba4, демон сопоставления конечных точек (endpoint mapper daemon), демон спула (spoolss daemon) или новый демон службы LSA (LSA service daemon). За префиксом rpc_server должны следовать имя канала и значение. Этот параметр можно установить для каждой доступной службы RPC в Samba. В следующем списке показаны все доступные службы имен каналов, которые можно изменить с помощью этой опции: * epmapper — Endpoint Mapper * winreg — Remote Registry Service * srvsvc — Remote Server Services * lsarpc — Local Security Authority * samr — Security Account Management * netlogon — Netlogon Remote Protocol * netdfs — Settings for Distributed File System * dssetup — Active Directory Setup * wkssvc — Workstation Services * spoolss — Network Printing Spooler * svcctl — Service Control * ntsvcs — Plug and Play Services * eventlog — Event Logger * initshutdown — Init Shutdown Service * mdssvc — Spotlight В настоящее время поддерживаются три возможных значения: * embedded * external * disabled Классический метод (значение embedded) — запускать каждый канал как внутреннюю функцию, встроенную в smbd. Значения по умолчанию зависят от службы. Выбор значения external, позволяет запускать отдельный демон или даже полностью независимый (сторонний) сервер, способный взаимодействовать с Samba через интерфейс MS-RPC по именованным каналам. В настоящее время в Samba3 поддерживается четыре демона: spoolssd, epmd, lsasd и mdssd. Эти демоны можно включить с помощью параметра 'rpc_daemon'. Для spoolssd необходимо включить демон и проксировать именованный канал (named pipe). Примеры: rpc_daemon:lsasd = fork rpc_server:lsarpc = external rpc_server:samr = external rpc_server:netlogon = external rpc_server:spoolss = external rpc_server:epmapper = disabled rpc_daemon:mdssd = fork rpc_server:mdssvc = external Есть одна специальная опция, которая позволяет включить службы RPC для прослушивания соединений ncacn_ip_tcp. В настоящее время она используется только для тестирования и не масштабируется! rpc_server:tcpip = yes Значение по умолчанию: rpc_server:SERVER = embedded smbd profiling level Этот параметр позволяет администратору включить поддержку профилирования. Возможные значения off, count и on. Значение по умолчанию: off Пример: on state directory Обычно большая часть файлов TDB хранится в каталоге блокировки. Начиная с Samba 3.4.0, используя параметры каталога состояний и каталога кэша, можно различать файлы TDB с постоянными данными и файлы TDB с непостоянными данными. Этот параметр указывает каталог, в котором будут храниться файлы TDB, содержащие важные постоянные данные. Пример: /var/run/samba/locks/state usershare allow guests Этот параметр позволяет не аутентифицированным пользователям получить доступ к общим ресурсам пользователей. Это эквивалентно значению параметра 'guest ok = yes' в настройках общего ресурса. По соображению безопасности этот параметр отключен. Значение по умолчанию: usershare allow guests = no usershare max shares Этот параметр определяет число домашних каталогов пользователей, которые могут быть созданы пользователями, принадлежащими группе владельцев папки с домашними каталогами. Если установлено значение ноль (по умолчанию) общие ресурсы пользователей не создаются. Значение по умолчанию: usershare max shares = 0 usershare owner only Этот параметр контролирует, должен ли каталог, из которого создается общий ресурс пользователя принадлежать этому пользователю. Если параметр установлен (usershare owner only = yes), тогда smbd проверяет, что каталог принадлежит пользователю, который является хозяином общего ресурса, и отказывает в создании ресурса, если пользователь не владелец папки. Если параметр выключен (usershare owner only = no), тогда никакой проверки не выполняется, и путь каталога может быть экспортирован независимо от того, кому он принадлежит. Значение по умолчанию: usershare owner only = yes usershare path Параметр определяет абсолютный путь к каталогу файловой системы, используемому для хранения домашних папок пользователей. Этот каталог должен принадлежать пользователю root, доступ на запись возможен только для владельца группы. Также должен быть установлен «sticky» бит, ограничение на переименование и удаление для владельцев файла (так обычно настраивают каталог /tmp). Члены группы владельцев каталога — это пользователи, которые могут создавать каталоги пользователей. Если параметр не определен, не получится создавать домашние каталоги пользователей. Например, домашний каталог пользователей определен в /usr/local/samba/lib/usershares, настройте его следующим образом: ls -ld /usr/local/samba/lib/usershares/ drwxrwx—T 2 root power_users 4096 2006-05-05 12:27 /usr/local/samba/lib/usershares/ В этом случае, только члены группы «power_users» могут создать пользовательские домашние каталоги. Значение по умолчанию: /usershares usershare prefix allow list Этот параметр определяет список абсолютных путей, которые могут быть использованы в качестве домашних каталогов пользователей. Если путь к каталогу не совпадает с путем из этого списка, домашний каталог не подключится. Это позволяет администратору Samba ограничивать каталоги в системе, которые могут быть использованы в качестве домашних каталогов пользователей. Если существуют оба списка 'usershare prefix deny list' и 'usershare prefix allow list', то список запретов обрабатывается в первую очередь. Значение по умолчанию: пустая строка Пример: /home /data /space usershare prefix deny list Этот параметр определяет список абсолютных путей, которые не могут быть использованы в качестве домашних каталогов пользователей. Если путь к каталогу совпадает с путем из этого списка, домашний каталог не подключится. Пути, не встречающиеся в этом списке, могут быть подключены как пользовательские домашние каталоги. Это позволяет администратору Samba ограничивать каталоги в системе, которые могут быть использованы в качестве домашних каталогов пользователей. Если существуют оба списка 'usershare prefix deny list' и 'usershare prefix allow list', то список запретов обрабатывается в первую очередь. Значение по умолчанию: пустая строка Пример: /etc /dev /private usershare template share Пользователь может определять для общего ресурса только ограниченные параметры, такие как путь, 'guest ok' и т.д. Этот параметр «клонировать» общие ресурсы пользователя из существующего общего ресурса. Если значением параметра является существующий общий ресурс, тогда все пользовательские общие ресурсы создадутся с параметрами по умолчанию как у этого ресурса. Целевой общий ресурс может быть настроен как ошибочный общий ресурс с помощью параметра '-valid = False' и он может использоваться как шаблон. Он станет невидим как реальный общий ресурс, но может использоваться как шаблон для настройки пользовательских общих ресурсов. Значение по умолчанию: пустая строка Пример: template_share utmp Этот параметр доступен только в том случае, если Samba сконфигурирована и собрана с опцией –with-utmp. Если параметр установлен (utmp = yes), Samba попытается добавить utmp или utmpx записи (в зависимости от системы UNIX) при каждом подключении к серверу Samba. Сайты могут использовать это для записи пользователя, соединяющегося с общим ресурсом Samba. По требованиям к utmp записи, мы обязаны создавать уникальный идентификатор для вновь подключенного пользователя. Включение этого параметра создает n^2 алгоритм для нахождения этого числа. Это снизит быстродействие на больших серверах. Значение по умолчанию: utmp = no utmp directory Этот параметр доступен только в том случае, если Samba сконфигурирована и собрана с опцией --with-utmp. Он определяет путь к каталогу, используемому для хранения utmp или utmpx файлов (в зависимости от системы UNIX), используемых для записи пользователей, подключающихся к серверу Samba. По умолчанию параметр не определен, это значит, что система будет использовать любой utmp файл, используемый в операционной системе (обычно в Linux это /var/run/utmp). Значение по умолчанию: пустая строка (определяется автоматически) Пример: /var/run/utmp wtmp directory Этот параметр доступен только в том случае, если Samba сконфигурирована и собрана с опцией --with-utmp. Он определяет путь к каталогу хранения wtmp или wtmpx файлов (в зависимости от системы UNIX), используемых для записи пользователей, подключающихся к серверу Samba. Отличается от параметра 'utmp directory' тем, что пользовательская информация сохраняется после того, как пользователь вышел из системы. По умолчанию параметр не определен, это значит, что система будет использовать любой utmp файл, используемый в операционной системе (обычно в Linux это /var/run/wtmp). Значение по умолчанию: пустая строка Пример: /var/log/wtm addport command В Samba 3.0.23 появилась поддержка добавления портов принтера, дистанционно использующих Windows «Add Standard TCP/IP Port Wizard» (мастер добавления стандартного TCP/IP порта). Эта опция определяет внешнюю программу, которая будет выполнена, когда smbd получает запрос добавить новый порт к системе. Сценарию передается два параметра: * имя порта (port name) * URI устройства (device URI) URI устройства имеет формат socket://<hostname>[:<portnumber>] или lpd://<hostname>/<queuename>. Значение по умолчанию: пустая строка Пример: /etc/samba/scripts/addport.sh addprinter command С введением поддержки печати на основе MS-RPC клиентами Windows NT/2000 в Samba 2.2, значок MS Add Printer Wizard (APW) теперь также доступен в папке «Принтеры…» («Printers…»), отображающей список общих ресурсов. APW учитывает принтеры, чтобы добавлять их дистанционно к серверу печати Windows NT/2000 или Samba. Для хоста Samba это означает, что принтер нужно физически добавить к базовой системе печати. Параметр 'addprinter command' определяет сценарий, который будет выполнен, чтобы добавить принтер к системе печати, и добавит соответствующие опции в файл smb.conf. Команда добавления принтера автоматически вызывается со следующими параметрами: * printer name * share name * port name * driver name * location (местоположение) * Windows 9x driver location Все параметры заполняются из структуры PRINTER_INFO_2, отправленной клиентом Windows NT/2000, с одним исключением. Параметр «Windows 9x driver location» включен только для обратной совместимости. Остальные поля в структуре PRINTER_INFO_2 генерируются из ответов на APW вопросы. После выполнения команды добавления принтера, smbd повторно анализирует smb.conf, чтобы определить, существует ли общий ресурс, определенный APW. Если имя общего ресурса все еще недействителено, то smbd вернет клиенту ошибку ACCESS_DENIED. Скрипт 'addprinter command' может вывести одну строку текста, которую Samba установит как порт, к которому подключен новый принтер. Если эта строка не выводится, Samba не будет перезагружать общий ресурс принтеров. Значение по умолчанию: пустая строка Пример: /usr/bin/addprinter cups connection timeout Этот параметр применим, только если параметр 'printing' имеет значение cups. Этот параметр определяет количество секунд, в течение которых smbd будет ждать, пытаясь связаться с сервером CUPS. Соединение не будет установлено, если оно займет больше времени, чем указанное количество секунд. Значение по умолчанию: 30 Пример: 60 cups encrypt Этот параметр применим только в том случае, только если параметр 'printing' имеет значение cups и если используется CUPS новее 1.0.x. Параметр используется для определения, следует ли Samba использовать шифрование при разговоре с сервером CUPS. Возможные значения: auto, yes и no. Если установлено значение auto, будут предприняты попытки выполнить шифрование TLS при каждой настройке подключения CUPS. Если это не удастся, Samba вернётся к незашифрованной работе. Значение по умолчанию: no cups server Этот параметр применим, только если параметр 'printing' имеет значение cups. Если этот параметр установлен, он переопределяет параметр ServerName в CUPS client.conf. Это необходимо, если у вас есть виртуальные серверы Samba, которые подключаются к разным демонам CUPS. При желании можно указать порт, отделив имя сервера и номер порта двоеточием. Если порт не указан, будет использоваться порт по умолчанию для IPP (631). Значение по умолчанию: "" Пример: mycupsserver Пример: mycupsserver:1631 deleteprinter command С введением поддержки принтеров на основе MS-RPC для клиентов Windows NT/2000 в Samba 2.2 стало возможно удалять принтер во время выполнения, выполнив RPC запрос DeletePrinter(). Для хоста Samba это означает, что принтер должен быть физически удален из базовой системы печати. Параметр 'deleteprinter command' определяет сценарий, который выполнит необходимые операции для удаления принтера из системы печати и из smb.conf. Команда удаления принтера автоматически вызывается только с одним параметром: имя принтера. После выполнения команды удаления принтера, smbd повторно анализирует smb.conf на предмет существования принтера. Если общий ресурс все еще существует, то smbd вернет клиенту ошибку ACCESS_DENIED. Значение по умолчанию: пустая строка Пример: /usr/bin/removeprinter disable spoolss Включение этого параметра отключит поддержку в Samba SPOOLSS для MS-RPC и приведет к поведению идентичному Samba 2.0.x. Клиенты Windows NT/2000 перейдут к использованию команд печати в стиле Lanman. Этот параметр не повлияет на Windows 9x/ME. Однако он также отключит возможность загрузки драйверов принтера на сервер Samba с помощью мастера добавления принтера Windows NT или используя диалоговое окно свойств принтера NT. Также будет отключена возможность загрузки по требованию драйверов печати с главного компьютера Samba для клиентов Windows NT/2000. Будьте очень осторожны при использовании этого параметра. Значение по умолчанию: disable spoolss = no enable spoolss Включение этого параметра включит поддержку в Samba SPOOLSS для MS-RPО. См. описание опции 'disable spoolss'. Значение по умолчанию: enable spoolss = yes enumports command Понятие «порт» довольно чуждо компьютерам UNIX. У серверов печати Windows NT/2000, порт связан с локальным портом компьютера (например, LPT1:, COM1:, FILE:) или удаленным портом (например, LPD Port Monitor,, и т.д.). По умолчанию в Samba определен только один порт — «Samba Printer Port». В Windows NT/2000 все принтеры должны иметь допустимое имя порта. Если необходимо иметь список отображенных портов (smbd, не использует имя порта для чего-нибудь), отличное от заданного по умолчанию «Samba Printer Port», можно определить параметр 'enumports command', чтобы указать на программу, которая должна генерировать список портов, по одному на строку, в стандартный вывод. Этот список затем будет использоваться в ответ на запросы уровней 1 и 2 EnumPorts() RPC. Значение по умолчанию: пустая строка Пример: /usr/bin/listports iprint server Параметр применим только если параметр 'printing' имеет значение iprint. Если установлено, то параметр перекрывает опцию ServerName в файле CUPS client.conf. Это нужно, если у вас есть виртуальные сервера Samba, подключенные к разным CUPS демонам. Значение по умолчанию: "" Пример: MYCUPSSERVER load printers Булево значение, которое определяет все ли принтеры, будут загружены для просмотра по умолчанию. Смотрите секцию принтеры для получения более подробной информации. Значение по умолчанию: load printers = yes lpq cache time Этот параметр контролирует то, как долго информация об lpq будет храниться в кэше для избежания слишком частых вызовов lpq. Для каждого пользователя хранится свой вариант кэша lpq, так что различные пользователи НЕ будут использовать одну и ту же информацию из кэша. Файлы кэша хранятся в /tmp/lpq.xxxx где xxxx — хэш команды lpq. Значение по умолчанию 30 секунд, означающее, что будут использоваться результаты выполнения команды из кэша, если она выполнена менее чем 30 секунд назад. Большое значение может быть полезным, если выполнение команд lpq в вашем случае очень медленное. Значение 0 вообще отменит кэширование. Значение по умолчанию: 30 Пример: 10 os2 driver map Параметр используется для определения абсолютного пути к файлу, содержащему схему преобразования имен драйверов принтеров Windows NT к схеме OS/2. Формат следующий: <nt driver name> = <os2 driver name>.<device name> Например, для имени драйвера принтера HP LaserJet 5 запись будет иметь вид HP LaserJet 5L = LASERJET.HP LaserJet 5L. Необходимость в этом файле связана с проблемой пространства имен драйвера принтера, описанной в разделе «Classical Printing» руководства Samba3-HOWTO. Для получения более подробной информации по клиентам OS/2, смотрите раздел «по другим клиентам» руководства Samba3-HOWTO. Значение по умолчанию: пустая строка printcap cache time Этот параметр указывает количество секунд, через которое подсистема печати будет опрошена о состоянии принтеров. Установка для этого параметра значения 0 отключает любое повторное сканирование новых или удаленных принтеров после первоначального запуска демона. Значение по умолчанию: 750 Пример: 600 printcap name Этот параметр может быть использован для переопределения скомпилированного printcap name, используемого сервером (обычно /etc/printcap). В секции [printers] (smb.conf(5)) описано, почему это может потребоваться. Для использования интерфейса CUPS установите 'printcap name = cups'. Это должно быть подкреплено дополнительно установкой параметра 'printing = cups' в секции [global]. 'printcap name = cups' будет использовать «фиктивный» («dummy») printcap, созданный CUPS, как указано в конфигурационном файле CUPS. В системах System V, которые используют lpstat для получения списка доступных принтеров, для этих целей можно использовать 'printcap name = lpstat'. Это значение по умолчанию для систем, которые определяют SYSV во время настройки в Samba (это большинство ОС основанных на System V). Если в этих системах параметр 'printcap name' установлен в значение lpstat, тогда Samba запустит команду 'lpstat -v' и попытается проанализировать вывод, чтобы получить список принтеров. Минимальный файл printcap будет выглядеть примерно так: print1|My Printer 1 print2|My Printer 2 print3|My Printer 3 print4|My Printer 4 print5|My Printer 5 где знак ‘|’ разделяет псевдонимы принтеров. Тот факт, что во втором псевдониме есть пробел подсказывает Samba, что это комментарий. Замечание: В ОС AIX значением параметра 'printcap name' по умолчанию является /etc/qconfig. Samba предполагает, что файл имеет формат AIX, если встретит подстроку qconfig в пути к файлу. Значение по умолчанию: /etc/printcap Пример: /etc/myprintcap show add printer wizard С появлением в Samba 2.2 поддержки печати, основанной на MS-RPC клиентов Windows NT/2000, будет видна папка «Принтеры» на компьютере с Samba. Обычно эта папка содержит ярлык к «мастеру установки принтеров» («MS Add Printer Wizard»). Однако эту функцию можно отключить, причем, несмотря на привилегии пользователя. В нормальной ситуации клиент Windows NT/2000 обращается к серверу печати с помощью OpenPrinterEx(), запросив права администратора. Если у пользователя нет доступа к серверу печати (например, он НЕ root и не член группы printer admin), вызов OpenPrinterEx() завершится неудачей и клиент выполняет еще один вызов, который требует более низких привилегий. Этот запрос должен пройти успешно, но иконка «мастера установки принтера» не будет показана. Отключение параметра 'show add printer wizard' предопределит вызов OpenPrinterEx() — он всегда будет завершаться неудачей. Таким образом, иконка никогда не будет показана. Замечание: Это не запрещает пользователю иметь административные права на какой-либо принтер. Значение по умолчанию: show add printer wizard = yes spoolss: architecture Клиенты печати Windows с буферизацией позволяют связывать серверные драйверы с принтерами только в том случае, если архитектура драйвера соответствует объявленной архитектуре сервера печати. С помощью этого параметра можно изменить архитектуру сервера печати с буфером печати Samba. Значение по умолчанию: Windows NT x86 Пример: Windows x64 spoolss: os_major Windows может потребоваться новый номер версии ОС. Эта опция позволяет изменить номер сборки. Полный номер версии по умолчанию: 5.0.2195 (Windows 2000). Например, 6.1.7601 (Windows 2008 R2). Значение по умолчанию: 5 Пример: 6 spoolss: os_minor Windows может потребоваться новый номер версии ОС. Эта опция позволяет изменить номер сборки. Полный номер версии по умолчанию: 5.0.2195 (Windows 2000). Например, 6.1.7601 (Windows 2008 R2). Значение по умолчанию: 0 Пример: 1 spoolss: os_build Windows может потребоваться новый номер версии ОС. Эта опция позволяет изменить номер сборки. Полный номер версии по умолчанию: 5.0.2195 (Windows 2000). Например, 6.1.7601 (Windows 2008 R2). Значение по умолчанию: 2195 Пример: 7601 spoolss_client: os_major Windows может потребоваться новый номер версии ОС. Эта опция позволяет изменить номер сборки. Полный номер версии по умолчанию: 6.1.7007 (Windows 7 и Windows Server 2008 R2). Значение по умолчанию: 6 spoolss_client: os_minor Windows может потребоваться новый номер версии ОС. Эта опция позволяет изменить номер сборки. Полный номер версии по умолчанию: 6.1.7007 (Windows 7 и Windows Server 2008 R2). Значение по умолчанию: 1 spoolss_client: os_build Windows может потребоваться новый номер версии ОС. Эта опция позволяет изменить номер сборки. Полный номер версии по умолчанию: 6.1.7007 (Windows 7 и Windows Server 2008 R2). Значение по умолчанию: 7007 cldap port Эта опция контролирует порт, используемый протоколом CLDAP. Значение по умолчанию: 389 Пример: 3389 client ipc max protocol Значение параметра (строка) — это самый высокий уровень протокола, который будет поддерживаться для соединений IPC$ в качестве транспорта DCERPC. Обычно этот параметр не следует устанавливать, так как фаза автоматического согласования в протоколе SMB сама заботится о выборе подходящего протокола. Значение default относится к последнему поддерживаемому протоколу, в настоящее время это SMB3_11. См. полный список доступных протоколов в описании параметра 'client max protocol'. Значения CORE, COREPLUS, LANMAN1, LANMAN2 автоматически обновляются до NT1. Значение по умолчанию: default Пример: SMB2_10 client ipc min protocol Значение параметра (строка) — это самый минимальный уровень протокола, который будет поддерживаться для соединений IPC$ в качестве транспорта DCERPC. Обычно этот параметр не следует устанавливать, так как фаза автоматического согласования в протоколе SMB сама заботится о выборе подходящего протокола. Значение default относится к последнему поддерживаемому протоколу, в настоящее время это SMB3_11. См. полный список доступных протоколов в описании параметра 'client max protocol'. Значения CORE, COREPLUS, LANMAN1, LANMAN2 автоматически обновляются до NT1. Значение по умолчанию: default Пример: SMB3_11 client max protocol Значение параметра (строка) — это самый высокий уровень протокола, который будет поддерживаться клиентом. Возможные значения: * CORE: Самая ранняя версия. Концепция имен пользователей отсутствует. * COREPLUS: Небольшие улучшения в CORE для повышения эффективности. * LANMAN1: Первая современная версия протокола. Поддержка длинных файлов. * LANMAN2: Обновление протокола Lanman1. * NT1: Текущая последняя версия протокола. Используется Windows NT. Известна как CIFS. * SMB2: Повторная реализация протокола SMB. Используется Windows Vista и более поздними версиями Windows. SMB2 имеет подпротоколы. * SMB2_02: Самая ранняя версия SMB2. * SMB2_10: Версия Windows 7 SMB2. * SMB2_22: Ранняя версия Windows 8 SMB2. * SMB2_24: Бета-версия SMB2 для Windows 8. По умолчанию SMB2 выбирает вариант SMB2_10. * SMB3: То же, что и SMB2. Используется Windows 8. SMB3 имеет подпротоколы. * SMB3_00: Версия Windows 8 SMB3 (в основном то же, что и SMB2_24). * SMB3_02: Версия Windows 8.1 SMB3. * SMB3_10: Ранняя техническая предварительная версия Windows 10 SMB3. * SMB3_11: Техническая предварительная версия Windows 10 SMB3 (возможно, окончательная). По умолчанию SMB3 выбирает вариант SMB3_11. Обычно эту опцию не следует устанавливать, поскольку фаза автоматического согласования в протоколе SMB сама заботится о выборе подходящего протокола. Значение default относится к SMB3_11. IPC$ соединения для DCERPC, например в winbindd, обрабатываются опцией 'client ipc max protocol'. Значение по умолчанию: default Пример: LANMAN1 client min protocol Этот параметр определяет минимальную версию протокола, которую клиент попытается использовать. Обычно этот параметр не следует устанавливать, поскольку фаза автоматического согласования в протоколе SMB сама заботится о выборе подходящего протокола (если не происходит подключение к устаревшему серверу, поддерживающему только SMB1). См. полный список доступных протоколов в описании параметра 'client max protocol'. IPC$ соединения для DCERPC, например в winbindd обрабатываются опцией 'client ipc min protocol'. Обратите внимание, что большинство инструментов командной строки поддерживают --option = 'client min protocol = NT1', поэтому может не потребоваться глобальное включение протоколов SMB1 в smb.conf. Значение по умолчанию: SMB2_02 Пример: NT1 client use spnego Этот параметр устарел, начиная с Samba 4.13, и поддержка аутентификации NTLMv2, NTLM и LanMan без NTLMSSP будет удалена в следующем выпуске Samba. То есть в будущем параметр 'client use spnego' будет установлен по умолчанию. Эта переменная определяет, будут ли клиенты Samba пытаться использовать простой и защищенный NEGOtiation (как указано в rfc2478) с поддерживающими серверами (включая WindowsXP, Windows2000 и Samba 3.0) для согласования механизма аутентификации. Это, в частности, включает проверку подлинности Kerberos. Когда этот параметр установлен, для использования NTLMv2 только в рамках NTLMSSP требуется расширенная безопасность (SPNEGO). Такое поведение было введено в исправлениях для CVE-2016-2111. Значение по умолчанию: client use spnego = yes dcerpc endpoint servers Указывает, какие серверы конечных точек DCE/RPC должны быть запущены. Значение по умолчанию: epmapper, wkssvc, rpcecho, samr, netlogon, lsarpc, drsuapi, dssetup, unixinfo, browser, eventlog6, backupkey, dnsserver Пример: rpcecho defer sharing violations При открытии файла Windows позволяет определять, как файл будет использоваться совместно несколькими процессами. Ошибки совместного доступа возникают, когда файл открывается другим процессом с параметрами, которые нарушают общие параметры, заданные другими процессами. Этот параметр заставляет smbd действовать как сервер Windows и задерживать сообщение об ошибке совместного доступа («sharing violation») на срок до одной секунды, позволяя клиенту вызвавшему нарушение закрыть файл. По умолчанию UNIX так себя не ведет. Не отключайте этот параметр, так как он предназначен для того, чтобы Samba могла более корректно эмулировать Windows. Значение по умолчанию: defer sharing violations = yes dgram port Указывает, на каких портах сервер должен прослушивать пакеты NetBIOS. Значение по умолчанию: 138 disable netbios Включение этого параметра отключит поддержку NetBIOS в Samba. NetBIOS — единственная доступная форма просмотра во всех версиях Windows, кроме 2000 и XP. Обратите внимание, что если поддержка NetBIOS отключена, клиенты, которые поддерживают только NetBIOS, не смогут видеть сервер Samba. Значение по умолчанию: disable netbios = no enable asu support Компьютеры, использующие продукты «Advanced Server for Unix (ASU)» требуют создания общего ресурса [ADMIN$] для поддержания IPC соединений. Уже много лет это поведение по умолчанию в smbd. Однако, некоторые приложения Microsoft, такие как Print Migrator tool, требуют, чтобы удаленный сервер поддерживал общий ресурс [ADMIN$]. Отключение этого параметра разрешает создавать общий ресурс [ADMIN$] в файле smb.conf. Значение по умолчанию: enable asu support = no eventlog list Эта опция определяет список лог файлов, которые Samba по запросу отправляет утилите Microsoft EventViewer. Перечисленные журналы будут связаны с tdb-файлом на диске в $(statedir)/eventlog. Администратор должен использовать внешний процесс, чтобы распарсить обычные файлы Unix-логов, такие как /var/log/messages и затем записывать информацию в tdb-файлы журнала событий. Обратитесь к eventlogadm(8) утилите для того, чтобы узнать, как записывать записи в журнал событий (eventlog). Значение по умолчанию: пустая строка Пример: Security Application Syslog Apache large readwrite Этот параметр определяет, поддерживает ли smbd(8) новый 64-килобайтный поток чтения записи SMB запросов введенный в Windows 2000. Обратите внимание, что из-за ошибок редиректа клиентов Windows 2000 требуется, чтобы Samba работала в 64-разрядной операционной системе, такой как IRIX, Solaris или ядро Linux 2.4. При использовании возможно увеличение производительности на 10% с клиентами Windows 2000. Не протестирован с другими частями кода Samba. Значение по умолчанию: large readwrite = yes lsa over netlogon Установка этого устаревшего параметра позволит серверу RPC в AD DC отвечать интерфейсу LSARPC на канале IPC \pipe\netlogon. Если параметр включен, это соответствует поведению Microsoft Windows из-за их внутреннего выбора реализации. Если параметр отключен (по умолчанию), AD DC может предложить улучшенную производительность, поскольку сервер входа в сеть отделен и может работать как несколько процессов. Значение по умолчанию: lsa over netlogon = no max mux Этот параметр контролирует максимальное количество невыполненных одновременных операций SMB2, которое Samba разрешает клиенту. Никогда не нужно менять значение этого параметра. Значение по умолчанию: 50 max ttl Этот параметр сообщает демону smbd(8), какое по умолчанию «время жизни» («time to live») NetBIOS-имён должно быть (в секундах), когда nmbd запрашивает имя с помощью широковещательного пакета или с WINS-сервера. Никогда не нужно изменять значение этого параметра. Значение по умолчанию 3 дня. Значение по умолчанию: 259200 max xmit Эта опция задаёт максимальный размер пакета, который будет согласован между Samba и smbd(8) для установления соединения по протоколу SMB1. Значение по умолчанию 16644, что соответствует поведению Windows 2000. Значение ниже 2048 скорее всего вызывет проблемы. Никогда не нужно изменять значение этого параметра. Значение по умолчанию: 16644 Пример: 8192 min receivefile size Этот параметр изменяет поведение smbd(8) при обработке вызовов SMBwriteX. Любой входящий вызов SMBwriteX в неподписанном соединении SMB/CIFS, превышающий это значение, не будет обрабатываться обычным способом, но будет передан любому базовому вызову recvfile ядра или системному вызову splice (если такого вызова нет, Samba будет эмулировать в пользовательском пространстве). Это позволяет записывать zero-copy непосредственно из буферов сетевых сокетов в буферный кэш файловой системы, если таковой имеется. Это может улучшить производительность, но рекомендуется пользовательское тестирование. Если установлено значение 0, Samba обрабатывает вызовы SMBwriteX как обычно. Чтобы включить поддержку большой записи POSIX (SMB/CIFS записывает до 16 МБ), этот параметр должен быть ненулевым. Максимальное значение 128к. Значения больше 128k будут автоматически установлены на 128k. Обратите внимание, что этот параметр не будет иметь ЭФФЕКТА, если он установлен для подключения с подписью SMB. По умолчанию — 0, что отключает эту опцию. Значение по умолчанию: 0 name resolve order Этот параметр используется программами из набора Samba для определения того, какие сервисы имен использовать и в каком порядке разрешать имена хостов в IP-адреса. Его основная цель — управлять тем, как выполняется разрешение имен NetBIOS. В этом параметре указываются строковые значения разделенные пробелами. Возможные значения: lmhosts, host, wins и bcast". Они означают: * lmhosts — искать IP-адрес в файле Samba lmhosts. Если в строке файла lmhosts не указан тип имени NetBIOS (см. man lmhosts), то для поиска подходит любой тип имени. * host — произвести стандартную трансляцию имени хоста в IP-адрес, используя /etc/hosts, NIS или DNS запрос. Этот метод разрешения зависит от операционной системы, например в IRIX или Solaris, им можно управлять с помощью файла /etc/nsswitch.conf. Обратите внимание на то, что этот метод используется только тогда, когда тип запрашиваемого имени NetBIOS 0×20 (server) или 0×1c (domain controllers). Последний случай применим только для доменов AD и в результате будет DNS запрос для вхождения SRV RR соответсвующего _ldap._tcp.domain. * wins — определить IP-адрес по имени, обозначенном в параметре 'wins server'. Если сервер WINS не указан, то метод будет проигнорирован. * bcast — сделать широковещательный запрос по всем интерфейсам, перечисленным в параметре 'interfaces'. Это наименее надежный из методов разрешения имен, поскольку он зависит от того, находится ли целевой хост в локальной подсети. Пример ниже обозначает следующий порядок: сначала искать в локальном файле lmhosts, затем выполнить широковещательный запрос, затем использовать средства операционной системы. Рекомендуется использовать следующие настройки при работе Samba в режиме 'security = ads': name resolve order = wins bcast Запросы домен-контроллера все еще будут выполняться с помощью DNS, но в случае отката на имена NetBIOS, не затопит DNS-сервера запросами типа DOMAIN<0x1c> lookups. Значение по умолчанию: lmhosts host wins bcast Пример: lmhosts bcast host nbt port Указывает, какой порт должен использовать сервер для трафика NetBIOS через службы IP-имен. Значение по умолчанию: 137 nt pipe support Этот параметр определяет, будет ли демон smbd(8) позволять клиентам Windows NT подсоединяться к ресурсам IPC$ (характерным для NT SMB). Эта опция сделана в отладочных целях (для разработчиков), поэтому не нужно изменять её значение. Значение по умолчанию: nt pipe support = yes nt status support Этот параметр определяет, будет ли демон smbd(8) объявлять поддержку специфического статуса NT при работе с клиентами Windows NT/2k/XP. Параметр создан разработчиками для отладки, поэтому не нужно изменять её значение. Если 'nt status support = no', то Samba будет генерировать ошибки DOS аналогично версии 2.2.3 и ниже. Никогда не нужно отключать этот параметр (устанавливать значение 'nt status support = no'). Значение по умолчанию: nt status support = yes read raw Этот параметр игнорируется, если установлен параметр 'async smb echo handler', потому что эта функция несовместима с необработанными запросами чтения SMB. Если параметр включен, «сырые запросы» (raw reads) будут передаваться по 65535 байт в одном пакете. Обычно это дает значительный прирост производительности для очень и очень старых клиентов. Однако некоторые клиенты либо неправильно согласовывают допустимый размер блока, либо не могут поддерживать большие размеры блока, и для этих клиентов может потребоваться отключить этот параметр. Этот параметр следует рассматривать как инструмент настройки системы и не изменять его значение. Значение по умолчанию: read raw = yes rpc big endian Установка этого параметра заставит RPC-клиент и сервер передавать данные с обратным порядком следования байтов (big endian). Если этот параметр не установлен, данные будут передаваться с прямым порядком следования байтов (little endian). Поведение не зависит от порядка байтов хоста. Значение по умолчанию: rpc big endian = no rpc server port Указывает, какой порт сервер должен прослушивать для трафика DCE/RPC через TCP/IP. Этот параметр управляет портом по умолчанию для всех протоколов, кроме NETLOGON. Если параметр не установлен, используется первый доступный порт из диапазона динамических портов сервера RPC, например 49152. Сервер NETLOGON будет использовать следующий доступный порт, например 49153. Можно изменить этот порт, например, 'rpc server port:netlogon = 4000'. Кроме того, все можно указать порт независимо для каждого сервера RPC, например, 'rpc server port:drsuapi = 5000'. Этот параметр в настоящее время применяется только тогда, когда samba(8) работает как контроллер домена Active Directory. Значение по умолчанию 0 заставляет Samba выбирать первый доступный порт из динамического диапазона портов сервера RPC (параметр 'rpc server dynamic port range'). Значение по умолчанию: 0 server max protocol Значение параметра (строка) — это самый высокий уровень протокола, который будет поддерживаться сервером. Возможные значения: * LANMAN1: Первая современная версия протокола. Поддержка длинных файлов. * LANMAN2: Обновление протокола Lanman1. * NT1: Текущая последняя версия протокола. Используется Windows NT. Известная как CIFS. * SMB2: повторная реализация протокола SMB. Используется Windows Vista и более поздними версиями Windows. SMB2 имеет подпротоколы: * SMB2_02: самая ранняя версия SMB2. * SMB2_10: версия Windows 7 SMB2. * SMB2_22: Ранняя версия Windows 8 SMB2. * SMB2_24: бета-версия SMB2 для Windows 8. По умолчанию SMB2 выбирает вариант SMB2_10. * SMB3: тоже, что и SMB2. Используется в Windows 8. SMB3 имеет подпротоколы: * SMB3_00: версия SMB3 для Windows 8 (в основном то же, что и SMB2_24). * SMB3_02: версия SMB3 Windows 8.1. * SMB3_10: техническая предварительная версия SMB3 для ОС до Windows 10. * SMB3_11: техническая предварительная версия SMB3 для Windows 10 (возможно окончательная). По умолчанию SMB3 выбирает вариант SMB3_11. Эта опция не должна устанавливаться при нормальном режиме работы, т.к. протокол SMB сам позаботиться о выборе подходящего протокола на стадии автоматического согласования параметров. Значение по умолчанию: SMB3 Пример: LANMAN1 server min protocol Этот параметр определяет минимальную версию протокола, которую сервер разрешает использовать клиенту. Эта опция не должна устанавливаться при нормальном режиме работы, т.к. протокол SMB сам позаботиться о выборе подходящего протокола на стадии автоматического согласования параметров, если только у вас нет устаревших клиентов, поддерживающих только SMB1. См. полный список доступных протоколов в описании параметра 'server max protocol'. Значение по умолчанию: SMB2_02 Пример: NT1 share:fake_fscaps Этот параметр необходим для поддержки некоторого специального приложения, которое вызывает QFSINFO, чтобы проверить, установлен ли бит SPARSE_FILES (0x40). Если этот бит не установлен, то конкретное приложение отказывается работать с Samba. При 'share:fake_fscaps = 64' устанавливается флаг возможности файловой системы SPARSE_FILES. Используйте другие десятичные значения, чтобы указать битовую маску, которую нужно подделать. Значение по умолчанию: 0 smb2 max credits Этот параметр контролирует максимальное количество невыполненных одновременных операций SMB2, которое Samba разрешает клиенту. Аналогичен параметру 'max mux' для SMB1. Никогда не нужно менять значение этого параметра. Значение по умолчанию — 8192 credits, что аналогично серверу SMB2 в Windows 2008R2. Значение по умолчанию: 8192 smb2 max read Эта опция определяет значение протокола, которое smbd(8) будет возвращать клиенту, информируя клиента о самом большом размере, который может быть возвращен одним вызовом чтения SMB2. Максимальный размер составляет 8388608 байт (8 МБ), что соответствует уровню Windows Server 2012 r2. Обратите внимание, что значение по умолчанию — 8 МБ, но это ограничение основано на диалекте smb2 (64КБ для SMB == 2.0, 8МБ для SMB >= 2.1 с LargeMTU). Large MTU не поддерживается через NBT (TCP-порт 139). Значение по умолчанию: 8388608 smb2 max trans Эта опция указывает значение протокола, которое smbd(8) будет возвращать клиенту, информируя клиента о самом большом размере буфера, который может использоваться при запросе метаданных файла через QUERY_INFO и соответствующие вызовы SMB2. Максимальный размер составляет 8388608 байт (8 МБ), что соответствует уровню Windows Server 2012 r2. Обратите внимание, что значение по умолчанию — 8 МБ, но это ограничение основано на диалекте smb2 (64 КБ для SMB == 2.0, 1 МБ для SMB & gt; = 2.1 с LargeMTU). Large MTU не поддерживается через NBT (TCP-порт 139). Значение по умолчанию: 8388608 smb2 max write Эта опция указывает значение протокола, которое smbd(8) будет возвращать клиенту, информируя клиента о самом большом размере, который может быть отправлен на сервер одним вызовом записи SMB2. Максимальный размер составляет 8388608 байт (8 МБ), что соответствует уровню Windows Server 2012 r2. Обратите внимание, что значение по умолчанию — 8 МБ, но это ограничение основано на диалекте smb2 (64 КБ для SMB == 2.0, 1 МБ для SMB & gt; = 2.1 с LargeMTU). Large MTU не поддерживается через NBT (TCP-порт 139). Значение по умолчанию: 8388608 smb ports Указывает, на каких портах сервер должен прослушивать SMB-трафик. Значение по умолчанию: 445 139 svcctl list Этот параметр определяет список сценариев init, которые smbd будет использовать для запуска и остановки служб Unix через Win32 ServiceControl API. Это позволяет администраторам Windows использовать плагины MS Management Console для управления сервером Unix, на котором работает Samba. Администратор должен создать каталог svcctl в каталоге Samba, указанном в переменной $(libdir), и создать символические ссылки на сценарии инициализации в /etc/init.d/. Имя ссылок должно совпадать с именами, указанными в списке svcctl. Значение по умолчанию: пустая строка Пример: cups postfix portmap httpd time server Этот параметр определяет, будет ли nmbd(8) выступать сервером времени для клиентов Windows. Значение по умолчанию: time server = no unicode Указывает, должны ли сервер и клиент поддерживать Unicode. Если этот параметр выключен (unicode = no), использование ASCII будет принудительным. Значение по умолчанию: unicode = yes unix extensions Параметр включает поддержку расширений CIFS UNIX от HP, что позволяет Samba лучше взаимодействовать с клиентами UNIX CIFS, включая поддержку символических ссылок, жестких ссылок и т.д. Эти расширения работают со специально настроенными клиентами и не применимы для клиентов Windows. Обратите внимание: если этот параметр включен, параметр 'wide links' автоматически отключается. См. параметр 'allow insecure wide links ', если нужно изменить связь между двумя параметрами. Значение по умолчанию: unix extensions = yes write raw Этот параметр игнорируется, если установлен параметр 'async smb echo handler', потому что эта функция несовместима с необработанными запросами записи SMB. Если этот параметр включен, необработанные записи позволяют записывать 65535 байт в одном пакете. Обычно это дает значительное преимущество в производительности для очень и очень старых клиентов. Однако некоторые клиенты либо неправильно согласовывают допустимый размер блока, либо не могут поддерживать большие размеры блока, и для этих клиентов может потребоваться отключить необработанные записи. В общем, этот параметр следует рассматривать как инструмент настройки системы и не изменять его значение. Значение по умолчанию: write raw = yes server multi channel support Этот логический параметр определяет, будет ли smbd(8) поддерживать многоканальность SMB3. Этот параметр был добавлен в версии 4.4. Предупреждение: обратите внимание, что эта функция все еще считается экспериментальной. Используйте её на свой страх и риск: даже если она может показаться хорошо работающей при тестировании, при определенных условиях она может привести к повреждению данных. Будущие выпуски могут улучшить эту ситуацию. Из-за зависимости от API ядра Linux или FreeBSD, на данный момент эту функцию можно использовать только в Linux и FreeBSD. Для тестирования это ограничение можно перезаписать, указав дополнительно 'force: server multi channel support = yes'. Значение по умолчанию: server multi channel support = no smb2 disable lock sequence checking Этот логический параметр определяет, будет ли smbd(8) отключать проверку последовательности блокировок даже для многоканальных соединений, а также для надежных дескрипторов. В спецификации [MS-SMB2] (разделе 3.3.5.14 Receiving an SMB2 LOCK Request) указано, что сервер должен выполнить последовательность блокировок, если Open.IsResilient или Open.IsDurable или Open.IsPersistent имеет значение TRUE или если Connection.Dialect принадлежит семейству SMB 3.x диалектов и Connection.ServerCapabilities включают SMB2_GLOBAL_CAP_MULTI_CHANNEL. Но Windows Server (по крайней мере, до v2004) выполняет эти проверки только для Open.IsResilient и Open.IsPersistent. Это означает, что они не реализуют поведение указанное в [MS-SMB2]. По умолчанию Samba ведет себя в соответствии со спецификацией и отправляет повторные попытки уведомления о прерывании блокировки smb2. Предупреждение. Включайте этот параметр, только если существующие клиенты не могут обрабатывать проверку последовательности блокировок для дескрипторов без Open.IsResilient и Open.IsPersistent, и оказывается, что требуется поведение Windows Server. Примечание. Вполне вероятно, что этот параметр будет снова удален, если будущие версии Windows изменят свое поведение. Примечание. Samba еще не поддерживает Open.IsResilient и Open.IsPersistent. Значение по умолчанию: smb2 disable lock sequence checking = no smb2 disable oplock break retry Этот логический параметр определяет, будет ли smbd(8) инициировать повторные попытки уведомления о прерывании блокировки smb2, если включен параметр 'server multi channel support'. В спецификации [MS-SMB2] указано, что сервер должен посылать повторные попытки уведомления о прерывании блокировки smb2 по всем доступным каналам данному клиенту. Но версии Windows Server (по крайней мере, до 2019 года) не отправляют повторные попытки уведомления о нарушении блокировки smb2 при сбоях канала. Это означает, что они не реализуют поведение, указанное в [MS-SMB2]. По умолчанию Samba ведет себя в соответствии со спецификацией и отправляет повторные попытки уведомления о прерывании блокировки smb2. Предупреждение. Включайте этот параметр только в том случае, если существующие клиенты не могут обрабатывать возможные повторные попытки и оказывается, что требуется поведение Windows Server. Примечание. Вполне вероятно, что этот параметр снова будет удален, если будущие версии Windows изменят свое поведение. Примечание. Это применимо только к oplocks, но не к аренде SMB2. Значение по умолчанию: smb2 disable oplock break retry = no rpc server dynamic port range Этот параметр сообщает серверу RPC, какой диапазон портов можно использовать для создания прослушивающего сокета для LSA, SAM, Netlogon и других без того хорошо известных портов tcp. Первое значение — это наименьший номер диапазона портов, а второе — наибольший. Это относится к серверам RPC во всех ролях серверов. Значение по умолчанию: 49152-65535 algorithmic rid base Этот параметр определяет, как Samba будет использовать алгоритмическое отображение из uids/gid в RID, необходимое для создания идентификаторов безопасности NT. Установка для этого параметра большего значения может быть полезна для сайтов, переходящих с WinNT и Win2k, поскольку в противном случае существующие пользователи и группы будут конфликтовать с пользователями системы и т.д. Для правильной работы ACL на сервере все UID и GID должны быть преобразованы в SID. Таким образом, алгоритмическое сопоставление нельзя «отключить» («turned off»), но его «отталкивание» («out of the way») должно решить проблемы. Затем пользователям и группам могут быть назначены «низкие» («low») идентификаторы RID в произвольно выбранном-rid диапазоне. Значение по умолчанию: 1000 Пример: 100000 allow dcerpc auth level connect Этот параметр определяет, разрешено ли использование служб DCERPC с DCERPC_AUTH_LEVEL_CONNECT, которые обеспечивают аутентификацию, но не обеспечивают целостность сообщения или защиту конфиденциальности. Некоторые интерфейсы, такие как samr, lsarpc и netlogon, имеют жестко заданное значение по умолчанию no, а epmapper, mgmt и rpcecho имеют жестко заданное значение по умолчанию yes. Поведение может быть перезаписано для каждого имени интерфейса (например, lsarpc, netlogon, samr, srvsvc, winreg, wkssvc …) с помощью параметра 'allow dcerpc auth level connect: interface = yes'. Эта опция имеет приоритет над ограничениями, специфичными для реализации. Например, протоколы drsuapi и backupkey требуют DCERPC_AUTH_LEVEL_PRIVACY. Протокол dnsserver требует DCERPC_AUTH_LEVEL_INTEGRITY. Значение по умолчанию: allow dcerpc auth level connect = no allow trusted domains Этот параметр действует только в том случае, если параметр 'security' установлен в значение server, domain или ads. Если 'allow trusted domains = no', то попытки подключиться к ресурсу из домена или рабочей группы, отличной от той, в которой запущен smbd, завершатся ошибкой, даже если этому домену доверяет удаленный сервер, выполняющий аутентификацию. Это полезно, если необходимо, чтобы сервер Samba обслуживал запросы только пользователей домена, членом которого он является. В качестве примера предположим, что есть два домена DOMA и DOMB. DOMB доверяет DOMA, который содержит сервер Samba. При нормальных обстоятельствах пользователь с учетной записью в DOMB может затем получить доступ к ресурсам учетной записи UNIX с тем же именем учетной записи на сервере Samba, даже если у него нет учетной записи в DOMA. Это может затруднить реализацию границы безопасности. Значение по умолчанию: allow trusted domains = yes binddns dir Этот параметр определяет каталог, который Samba будет использовать для хранения файлов конфигурации bind, таких как named.conf. ПРИМЕЧАНИЕ. Каталог bind dns должен находиться в той же точке монтирования, что и личный каталог! Значение по умолчанию: пустая строка check password script Имя программы, которая может использоваться, чтобы проверить сложность пароля. Пароль посылается на стандартный ввод программы. Программа должна возвратить 0 для сложного пароля и любое другое значение для слабого. Если пароль считается слабым (программа не возвращает 0), пользователь будет уведомлен и изменение пароля не произойдет. В Samba AD этот сценарий будет запускаться samba(8) от имени пользователя root без каких-либо замен. Обратите внимание, что начиная с Samba 4.11, в сценарий экспортируются следующие переменные среды: * SAMBA_CPS_ACCOUNT_NAME всегда присутствует и содержит sAMAccountName пользователя, то же самое, что и подстановки %u в случае отсутствия AD DC. * SAMBA_CPS_USER_PRINCIPAL_NAME является необязательным в случае AD DC, если присутствует userPrincipalName. * SAMBA_CPS_FULL_NAME является необязательным, если присутствует displayName. Примечание. В каталоге с примерами есть типовая программа crackcheck, которая использует cracklib для проверки качества пароля. Значение по умолчанию: пустая строка Пример: /usr/local/sbin/crackcheck client ipc signing Этот параметр устарел, начиная с Samba 4.13, и поддерживается для аутентификации LanMan (в отличие от NTLM, NTLMv2 или Kerberos), поскольку клиент будет удален в следующем выпуске Samba. То есть в будущем параметр 'client NTLMv2 auth' будет принудительным включен. Этот параметр определяет, разрешено или необходимо клиенту использовать подписывание SMB для соединений IPC$ в качестве транспорта DCERPC. Возможные значения: auto, mandatory, disabled. Если установлено значение mandatory или default, требуется подпись SMB. Если установлено значение auto, подписывание SMB предлагается, но не принудительно, а если установлено значение disabled, полписывание SMB не предлагается. Подключения от winbindd к контроллерам домена Active Directory всегда требуют подписи. Значение по умолчанию: default client lanman auth Этот параметр определяет, будут ли smbclient(8) и другие клиентские инструменты Samba пытаться аутентифицироваться на серверах, используя более слабый хэш пароля LANMAN. Если этот параметр отключен (client lanman auth = no), только сервера, поддерживающий механизмы паролей NT (например, Windows NT/2000, Samba и т.д., но не Windows 95/98), будут способны установить соединение. Ответ, зашифрованный LANMAN, легко взломать из-за его нечувствительности к регистру и выбора алгоритма. Клиентам без серверов Windows 95/98 рекомендуется отключить эту опцию. Отключение этой опции также отключит параметр 'client plaintext auth'. Аналогичным образом, если включен параметр 'client ntlmv2 auth', то попытки входа в систему будут выполняться только с использованием NTLMv2. Значение по умолчанию: client lanman auth = no client NTLMv2 auth Этот параметр определяет, будет ли smbclient(8) пытаться аутентифицироваться на серверах, используя ответ с зашифрованным паролем NTLMv2. Если этот параметр включен (client NTLMv2 auth = yes), будут отправляться только ответы NTLMv2 и LMv2 (оба более безопасны, чем предыдущие версии). Старые серверы (включая NT4 < SP4, Win9x и Samba 2.2) несовместимы с NTLMv2, если они не находятся в домене, поддерживающем NTLMv2. Аналогичным образом, если этот параметр включен, NTLMv1, параметр 'client lanman auth' и 'client plaintext auth' будут отключены. Это также отключает аутентификацию на уровне общего ресурса. Если этот параметр отключен, клиент отправит ответ NTLM (и, возможно, ответ LANMAN), в зависимости от значения параметра 'client lanman auth'. Обратите внимание, что Windows Vista и более поздние версии уже используют NTLMv2 по умолчанию, а некоторые сайты (особенно те, которые следуют 'best practice' политикам безопасности) разрешают только ответы NTLMv2, а не более слабые LM или NTLM. Когда также установлен параметр 'client use spnego', для использования NTLMv2 только в рамках NTLMSSP требуется расширенная безопасность (SPNEGO). Такое поведение было введено в исправлениях для CVE-2016-2111. Значение по умолчанию: client NTLMv2 auth = yes client plaintext auth Этот параметр устарел, начиная с Samba 4.13, и поддержка открытого текста (в отличие от аутентификации NTLM, NTLMv2 или Kerberos) будет удалена в будущем выпуске Samba. То есть в будущем текущее значение по умолчанию 'client plaintext auth = no' будет принудительным поведением. Указывает, должен ли клиент отправлять пароль в виде открытого текста, если сервер не поддерживает зашифрованные пароли. Значение по умолчанию: client plaintext auth = no client schannel Эта опция устарела в Samba 4.8 и будет удалена в будущем. В то же время значение по умолчанию изменено на yes, что будет жестко запрограммированным поведением в будущем. Этот параметр контролирует, будет ли предложено клиенту или даже потребует ли использования schannel netlogon: * no — не требовать schannel, * auto — предлагать schannel, но не предписывать это, * yes — запрещает доступ, если сервер не способен производить вход в сеть schannel netlogon (Schannel означает безопасный метод передачи — secure channel). Обратите внимание, что для доменов Active Directory жестко задано значение 'client schannel = yes'. Опция 'require strong key' имеет приоритет над этой опцией. Значение по умолчанию: yes Пример: auto client signing Это определяет, разрешено или необходимо клиенту использовать подпись SMB. Возможные значения: auto, mandatory и disabled. Если установлено значение auto или default, подпись SMB предлагается, но не принудительно. Если установлено значение mandatory, требуется подпись SMB, а при значении disabled подпись SMB также не предлагается. IPC$ соединения для DCERPC, например в winbindd обрабатываются опцией 'client ipc signing'. Значение по умолчанию: default client use spnego principal Этот параметр определяет, будет ли smbclient(8) и другие компоненты Samba, действующие в качестве клиента, пытаться использовать предоставленный сервером принципал, который иногда указывается при обмене SPNEGO. Если параметр включен, Samba может пытаться использовать Kerberos для связи с серверами, известными только по IP-адресу. Kerberos полагается на имена, поэтому обычно не может работать в этой ситуации. Это ОЧЕНЬ ПЛОХАЯ ИДЕЯ по соображениям безопасности, поэтому этот параметр НЕ ДОЛЖЕН ИСПОЛЬЗОВАТЬСЯ. Он будет удален в будущей версии Samba. Если параметр отключен, Samba будет использовать имя, используемое для поиска сервера при запросе билета у KDC. Это позволяет избежать ситуаций, когда сервер может выдавать себя за другого, требуя аутентификации в качестве одного принципала, в то время как в сети он известен как другой. Обратите внимание, что Windows XP SP2 и поздние версии уже следуют этому поведению, а серверы Windows Vista и более поздних версий больше не предоставляют этот 'rfc4178 hint' принципал на стороне сервера. Этот параметр устарел в Samba 4.2.1 и будет удален (вместе с функциональностью) в более позднем выпуске Samba. Значение по умолчанию: client use spnego principal = no debug encryption Эта опция заставит код сервера и клиента smbd, используя libsmb (smbclient, smbget, smbspool и т.д.), сбрасывать Session Id, decrypted Session Key, Signing Key, Application Key, Encryption Key и Decryption Key каждый раз, когда устанавливается сеанс SMB3+. Эта информация будет отражена в логах уровня 0. Предупреждение: доступ к этим значениям позволяет дешифровать любой зашифрованный трафик в сброшенных сеансах. Этот параметр следует включать только в целях отладки. Значение по умолчанию: debug encryption = no dedicated keytab file Задает абсолютный путь к файлу keytab Kerberos, если для параметра 'kerberos method' установлено значение dedicated keytab. Значение по умолчанию: пустая строка Пример: /usr/local/etc/krb5.keytab encrypt passwords Этот параметр устарел, начиная с Samba 4.11, и поддержка открытого текста (в отличие от аутентификации NTLM, NTLMv2 или Kerberos) будет удалена в будущем выпуске Samba. То есть в будущем текущее значение по умолчанию 'encrypt passwords = yes' будет принудительным поведением. Это логическое значение определяет, будет ли использоваться шифрование паролей между сервером и клиентом. Обратите внимание, что Windows NT 4.0 SP3 и выше и также Windows 98 будут по умолчанию ожидать зашифрованные пароли, если системный реестр не изменен. Как использовать шифрование паролей в Samba, см. раздел «User Database» в руководстве Samba HOWTO. Клиенты MS Windows, которые ожидают зашифрованные пароли Microsoft и поэтому не допускают пароли открытым текстом, будут способны подключиться только к серверу Samba, на котором включена поддержка зашифрованных паролей и для которых учетные записи пользователей имеют действующий зашифрованный пароль. Обратитесь к странице руководства команды smbpasswd для получения информации относительно создания зашифрованных паролей учетных записей пользователей. Использование нешифрованых паролей (plain text passwords) не рекомендуется, поскольку более не поддерживается продуктами Microsoft Windows. Если необходимо использовать пароли в виде обычного текста, следует установить 'encrypt passwords = no'. Для поддержки зашифрованных паролей smbd(8) должен либо иметь доступ к локальному файлу smbpasswd(5) (см. smbpasswd(8) для получения информации о том, как настроить и поддерживать этот файл), либо установить параметр 'security' в значение [domain|ads], это заставит smbd подтверждать подлинность с другого сервера. Значение по умолчанию: encrypt passwords = yes guest account Это имя пользователя, которое будет использоваться для доступа к службам, для которых задан параметр 'guest ok'. Независимо от привилегии пользователя гостевой общий ресурс будет доступен для любого клиента. Этот пользователь должен существовать в файле паролей, однако при подключении не требуется вводить пароль. Учетная запись «ftp» часто хороший выбор для этого параметра. В некоторых системах гостевая учетная запись по умолчанию — «nobody» возможно не получит доступ к печати. В этом случае используйте другую учетную запись. Необходимо проверить это, попытавшись войти в систему как гостевой пользователь (возможно, используя команду su-) и попытавшись выполнить печать с помощью системной команды печати, такой как lpr(1) или lp(1). В этом параметре нельзя использовать % макросы, необходимо чтобы значение параметра было постоянным для корректной работы сервиса. Значение по умолчанию: nobody Пример: ftp kerberos encryption types Этот параметр определяет типы шифрования, которые будут использоваться при работе в качестве клиента Kerberos. Возможные значения: all, strong, и legacy. Samba использует библиотеку Kerberos (MIT или Heimdal) для получения билетов Kerberos. Эта библиотека обычно настраивается вне Samba с помощью файла krb5.conf. Этот файл может также включать директивы для настройки используемых типов шифрования. Однако Samba реализует протоколы и алгоритмы Active Directory для поиска контроллера домена. Чтобы заставить библиотеку Kerberos использовать правильный контроллер домена, некоторые процессы Samba, такие как winbindd(8) и net(8), создают частный файл krb5.conf для использования библиотекой Kerberos при вызове из Samba. Этот частный файл управляет всеми аспектами работы библиотеки Kerberos, и этот параметр управляет настройкой типов шифрования в этом сгенерированном файле и, следовательно, также контролирует типы шифрования, согласовываемые Samba. Если установлено значение all, разрешены все типы шифрования активного каталога. Если установлено значение strong, предлагаются только типы шифрования на основе AES. Это можно использовать в защищенных средах для предотвращения атак на более раннюю версию. Если задано значение legacy, разрешено использование только RC4-HMAC-MD5. Отказ от AES таким способом имеет очень конкретное применение. Обычно тип шифрования оговаривается между одноранговыми узлами. Однако есть один сценарий, в котором Windows read-only domain controller (RODC) объявляет о шифровании AES, но затем передает запрос на доступный для записи DC, который может не поддерживать шифрование AES, что приводит к сбою рукопожатия. Установка для этого параметра значения legacy приведет к тому, что Samba не будет согласовывать шифрование AES. Разумеется, предполагается, что для данной установки приемлемы более слабые устаревшие типы шифрования. Значение по умолчанию: all kerberos method Параметр управляет проверкой билетов Kerberos. Допустимые значения: * secrets only — используется только файл secrets.tdb для проверки билетов (default) * system keytab — используется только system keytab для проверки билетов * dedicated keytab — используется dedicated keytab для проверки билетов * secrets and keytab — сначала используется secrets.tdb, затем system keytab Основное различие между «system keytab» и «dedicated keytab» заключается в том, что последний метод полагается на Kerberos для поиска правильной записи keytab вместо фильтрации на основе ожидаемых принципалов. Когда 'kerberos method' находится в режиме «dedicated keytab», то необходимо указать расположение файла keytab в параметре 'dedicated keytab file'. Значение по умолчанию: default kpasswd port Указывает, какой порт сервер Kerberos должен прослушивать при смене пароля. Значение по умолчанию: 464 krb5 port Указывает, какой порт KDC должен прослушивать трафик Kerberos. Значение по умолчанию: 88 lanman auth Этот параметр устарел, начиная с Samba 4.11, и поддержка LanMan (в отличие от аутентификации NTLM, NTLMv2 или Kerberos) будет удалена в будущем выпуске Samba. То есть в будущем текущее значение по умолчанию 'lanman auth = no' будет принудительным поведением. Этот параметр определяет, будет ли smbd(8) пытаться аутентифицировать пользователей или разрешать изменение пароля с помощью хэша пароля LANMAN. Если этот параметр отключен (lanman auth = no), только клиенты, которые поддерживают хэши паролей NT (например, клиенты Windows NT/2000, smbclient, но не Windows 95/98 или сетевой клиент MS DOS) смогут подключаться к хосту Samba. Ответ, зашифрованный LANMAN, легко взломать из-за его нечувствительности к регистру и выбора алгоритма. Серверам без клиентов Windows 95/98/ME или MS DOS рекомендуется отключить эту опцию. Если этот параметр отключен (lanman auth = no), это также приведет к тому, что sambaLMPassword в базе данных Samba будет очищена после следующей смены пароля. В результате этого клиенты lanman не смогут пройти аутентификацию, даже если позже будет повторно включена проверка подлинности lanman. В отличие от параметра 'encrypt passwords', этот параметр не может изменить поведение клиента, и ответ LANMAN будет по-прежнему отправляться по сети. См. параметр 'client lanman auth', чтобы отключить это для клиентов Samba (таких как smbclient). Этот параметр переопределяется параметром 'ntlm auth', поэтому, если он также параметр 'ntlm auth' не установлен на ntlmv1-permitted или yes, тогда будут разрешены логины NTLMv2, а хэш LM не будет сохранен. Все современные клиенты поддерживают NTLMv2, но некоторые старые клиенты требуют специальной настройки для его использования. Значение по умолчанию: lanman auth = no log nt token command Эта опция может быть установлена как команда, которая будет вызываться при создании новых токенов nt. Эта опция полезна только для целей разработки. Значение по умолчанию: пустая строка map to guest Этот параметр может принимать четыре разных значения, которые сообщают smbd(8), что делать с пользовательскими запросами на логин, которые каким-либо образом не соответствуют действующему пользователю UNIX. Возможные значения: * Never — означает, что запросы пользователя на вход с недопустимым паролем отклоняются. Это значение по умолчанию. * Bad User — означает, что вход в систему с недопустимым паролем отклоняется, если имя пользователя не существует, и в этом случае оно рассматривается как guest login и сопоставляется с файлом 'guest account'. * Bad Password — означает, что вход в систему с недопустимым паролем рассматривается как гостевой логин и сопоставляется с файлом 'guest account'. Обратите внимание, что это может вызвать проблемы, поскольку это означает, что любой пользователь, неправильно вводящий свой пароль, будет автоматически входить в систему как «guest». Такой пользователь не будет знать причину, по которой он не может получить доступ к файлам, к которым, по его мнению, он должен иметь доступ — пользователю не будет отправлено сообщение о том, что он ошибся в пароле. Службы поддержки возненавидят вас, если вы настроите параметр 'map to guest' таким образом :-). * Bad Uid — применимо только в том случае, если Samba настроен в режиме 'security = {domain|ads}' и означает, что логины пользователей, которые успешно аутентифицированы, но не имеют действующей учетной записи пользователя Unix (и smbd не может создать её) должны быть сопоставлены с указанной гостевой учетной записью. Это было поведением по умолчанию для выпусков Samba 2.x. Обратите внимание, что если на рядовом сервере работает winbindd, эта опция никогда не должна требоваться, потому что библиотека nss_winbind будет экспортировать пользователей и группы домена Windows в базовую ОС через интерфейс Name Service Switch. Обратите внимание, что этот параметр необходим для настройки «гостевых» общих служб. Это связано с тем, что в этих режимах имя запрашиваемого ресурса не отправляется на сервер до тех пор, пока сервер не аутентифицирует клиента, поэтому сервер не может принимать решения об аутентификации в правильное время (подключение к общему ресурсу) для «гостевых» общих ресурсов. Значение по умолчанию: Never Пример: Bad User mit kdc command Эта опция указывает путь к двоичному файлу MIT kdc. Если KDC был установлен в каталог не по умолчанию и не был правильно обнаружен во время сборки, то следует изменить эту переменную и указать в ней правильный двоичный файл. Значение по умолчанию: пустая строка Пример: /opt/mit/sbin/krb5kdc ntlm auth Этот параметр определяет, будет ли smbd(8) пытаться аутентифицировать пользователей, используя ответ с зашифрованным паролем NTLM для этой локальной passdb (SAM или БД учетных записей). Если этот параметр отключен, отключена проверка подлинности NTLM и LanMan по локальной базе данных passdb. Обратите внимание, что эти параметры применяются только к локальным пользователям, проверка подлинности будет по-прежнему перенаправлена, а проверка подлинности NTLM будет принята для любого домена, к которому мы присоединены, и любого доверенного домена, даже если он отключен или здесь применяется только NTLMv2. Чтобы управлять аутентификацией NTLM для пользователей домена, этот параметр должен быть настроен на каждом контроллере домена. По умолчанию, если для 'ntlm auth' установлено значение ntlmv2, разрешены только NTLMv2-логины. Все современные клиенты поддерживают NTLMv2 по умолчанию, но для некоторых старых клиентов потребуется специальная конфигурация для его использования. Основным пользователем NTLMv1 является MSCHAPv2 для сетей VPN и 802.1x. Доступные значения: * ntlmv1-permitted (алиас yes) — разрешить NTLMv1 и выше для всех клиентов. Это необходимая настройка для включения параметра аутентификации lanman. * ntlmv2-only (алиас no) — не разрешать использование NTLMv1, но разрешать NTLMv2. * mschapv2-and-ntlmv2-only — разрешать NTLMv1 только тогда, когда клиент обещает, что он предоставляет аутентификацию MSCHAPv2 (например, как ntlm_auth). * disabled — не принимать NTLM (или LanMan) аутентификацию любого уровня и не разрешать изменение пароля NTLM. Значение по умолчанию изменилось с yes на no в Samba 4.5. Значение по умолчанию снова изменилось на ntlmv2-only с Samba 4.7, однако поведение не изменилось. Значение по умолчанию: ntlmv2-only ntp signd socket directory Этот параметр управляет расположением сокета, который использует демон NTP для коммуникации с Samba для подписи пакетов. Если здесь указан путь, отличный от пути по умолчанию, то также необходимо уведомить NTP о новом пути с помощью директивы ntpsigndsocket в ntp.conf. Значение по умолчанию: пустая строка null passwords Разрешить или запретить доступ клиентов к учетным записям с пустыми паролями. См. также smbpasswd(5). Значение по умолчанию: null passwords = no obey pam restrictions Когда Samba 3.0 сконфигурирована с поддержкой PAM (т.е. собрана с опцией --with-pam), этот параметр будет определять, должна ли Samba подчиняться правилам управления учетной записью PAM и правилам управления сессиями. По умолчанию PAM используется только для аутентификации в виде открытого текста и игнорирует управление учетной записью или сессиями. Обратите внимание, что Samba не использует PAM для аутентификации, если установлен параметр 'encrypt passwords = yes'. Причина в том, что модули PAM не могут поддерживать механизмы аутентификации, основанные на challenge/response, которые требуются для шифрования паролей SMB. Значение по умолчанию: obey pam restrictions = no old password allowed period Количество минут, в течение которых разрешается вход NTLM после изменения или сброса пароля с использованием старого пароля. Это позволяет пользователю повторно кэшировать новый пароль на нескольких клиентах, не прерывая при этом переподключение к сети. Этот параметр применяется, только если параметр 'server role' имеет значение Контроллер домена Active Directory. Значение по умолчанию: 60 pam password change С добавлением улучшенной поддержки PAM в Samba 2.2, этот параметр, можно использовать как флаг управления сменой пароля PAM для Samba. Если параметр включен (pam password change = yes), тогда PAM будет использоваться для смены пароля по запросу клиента SMB вместо программы, указанной в паарметре 'passwd program'. Для большинства конфигураций, должно быть возможно использование этого параметра без изменения параметра 'passwd chat'. Значение по умолчанию: pam password change = no passdb backend Этот параметр позволяет администратору выбрать механизм для хранения информации о пользователях и, возможно, о группах. Это позволяет переключаться между различными механизмами хранения без перекомпиляции Samba. Значение параметра делится на две части, имя механизма и местонахождение, строка, которая означает, что механизм имеет отношение только к указанной зоне. Они разделяются знаком «:». Доступные механизмы: * smbpasswd — старый механизм passdb с открытым текстом. Некоторые функции Samba не будут работать, если используется этот механизм. Принимает путь к файлу smbpasswd в качестве необязательного аргумента. * tdbsam — механизм для хранения паролей на основе TDB. Принимает путь к TDB в качестве необязательного аргумента (по умолчанию passdb.tdb в каталоге 'private dir'). * ldapsam — механизм passdb на основе LDAP. Принимает URL-адрес LDAP в качестве необязательного аргумента (по умолчанию ldap://localhost). Соединения LDAP должны быть зашифрованы, там, где это возможно. Это можно сделать либо с помощью Start-TLS (см. параметр 'ldap ssl'), либо указав ldaps:// в аргументе URL. В двойных кавычках могут быть указаны несколько серверов. Возможность поддержки нескольких серверов и точный синтаксис зависит от используемой библиотеки LDAP. Значение по умолчанию: tdbsam Пример: tdbsam:/etc/samba/private/passdb.tdb Мультисерверный URL LDAP с библиотекой OpenLDAP: ldapsam:"ldap://ldap-1.example.com ldap://ldap-2.example.com" Мультисерверный LDAP URL с библиотекой LDAP на основе Netscape: ldapsam:"ldap://ldap-1.example.com ldap-2.example.com" passdb expand explicit Этот параметр определяет, заменяет ли Samba %-макросы в полях passdb, если они заданы явно. Раньше мы расширяли макросы здесь, но оказалось, что это ошибка, потому что клиент Windows может расширить переменную %G_osver%, в которой %G будет заменен основной группой пользователя. Значение по умолчанию: passdb expand explicit = no passwd chat Эта строка контролирует диалог («чат»), который происходит между smbd(8) и локальной программой изменения пароля при изменении пароля пользователя. Строка описывает последовательность пар запрос-ответ, которую smbd(8) использует для определения того, что отправлять программе определенной в параметре 'v' и что ожидать в ответ. Если ожидаемый результат не получен, пароль не изменяется. Этот диалог весьма специфичен для конкретного места, и зависит от того, какие локальные методы используются для управления паролями (например, NIS и т.д.). Обратите внимание, что этот параметр используется только в том случае, если установлен параметр 'unix password sync'. Если пароль SMB в файле smbpasswd изменяется без доступа к старому паролю, то этот диалог вызывается с правами пользователя ROOT. Это значит, что пользователь root должен иметь возможность сбросить пароль пользователя, не зная предыдущего пароля. При наличии NIS/YP это означает, что скрипт 'passwd program' должен выполняться на главном сервере NIS. Строка может содержать макрос %n, который заменяет новый пароль. Старый пароль (%o) доступен, только если шифрование паролей отключено (encrypt passwords = no). Диалог также может содержать стандартные макросы \n, \r, \t и \s для перевода строки, возврата каретки, табуляции и пробела. Диалог также может содержать символ '*', который соответствует любой последовательности символов. Двойные кавычки можно использовать для объединения строк с пробелами в одну строку. Если в отправляемой строке диалога строка есть точка («.»), то такая строка не отправляется. Точно так же, если на месте ожидаемой строки стоит точка, никакой строки не ожидается. Если установлен параметр 'pam password change', пары чата могут быть сопоставлены в любом порядке, и успех определяется результатом PAM, а не каким-либо конкретным выходом. Макрос \n игнорируется для преобразований PAM. Значение по умолчанию: *new*password* %n\n *new*password* %n\n *changed* Пример: "*Enter NEW password*" %n\n "*Reenter NEW password*" %n\n "*Password changed*" passwd chat debug Это логическое значение указывает, запускается ли сценарий 'passwd chat' в режиме отладки. В этом режиме, строки, передаваемые и получаемые в диалоге 'passwd chat', записываются в файл журнала smbd(8) с уровнем отладки 100 ('debug level = 100'). Включение этой опции небезопасно, поскольку пароли можно будет увидеть в открытом виде в журнале smbd. Данная опция доступна для отладки администраторами Samba диалога 'passwd chat' при вызове 'passwd program', и должна быть отключена после завершения отладки. Эта опция игнорируется, если установлен параметр 'pam password change'. По умолчанию эта опция отключена. Значение по умолчанию: passwd chat debug = no passwd chat timeout Этот параметр (целое число) определяет количество секунд, в течение которых smbd будет ожидать первый ответ от запущенного сценария 'passwd chat'. После получения первого ответа последующие ответы должны быть получены в течение одной десятой этого времени. По умолчанию это две секунды. Значение по умолчанию: 2 passwd program Этот параметр определяет программу, которая может использоваться для установки паролей пользователей UNIX. Макрос %u будет заменен именем пользователя. Перед вызовом программы изменения пароля, будет проверено существование данного имени пользователя. Обратите внимание, что большинство команд смены пароля требуют для паролей обоснованной сложности (минимальная длина или включение цифр и символов в разных регистрах). Это может создать проблему, так как некоторые клиенты (например, Windows for Workgroups) переводят пароль в верхний регистр перед его отправкой. Обратите внимание, что если установлен параметр 'unix password sync', программа, определенная в данном параметре, вызывается с правами пользователя ROOT перед изменением пароля SMB в файле smbpasswd. Если изменение пароля UNIX потерпело неудачу, то smbd также не сможет изменить пароль SMB (это сделано намеренно). Если установлен параметр 'unix password sync', параметр 'passwd program' ДОЛЖЕН ИСПОЛЬЗОВАТЬ АБСОЛЮТНЫЕ ПУТИ для ВСЕХ вызываемых программ и вызываемые программы должны быть исследованы на предмет последствий для безопасности. Обратите внимание, что по умолчанию параметр 'unix password sync' не установлен. Значение по умолчанию: пустая строка Пример: /bin/passwd %u password hash gpg key ids Если Samba работает как контроллер домена Active Directory, можно сохранить пароли учетных записей в открытом виде в зашифрованной форме PGP/OpenGPG. Можно указать одного или нескольких получателей по идентификатору ключа или идентификатору пользователя. Обратите внимание, что 32-битные идентификаторы ключей не допускаются, необходимо указать как минимум 64-битный. Значения хранятся как «Primary:SambaGPG» в атрибуте supplementalCredentials. Поскольку изменение пароля может произойти на любом контроллере домена, необходимо настроить данный параметр на каждом из них. Обратите внимание, что эта функция в настоящее время доступна только на контроллерах домена Samba. Эта опция доступна, только если Samba была скомпилирована с поддержкой gpgme. Возможно, потребуется экспортировать переменную среды GNUPGHOME перед запуском Samba. Настоятельно рекомендуется хранить только открытый ключ в этом месте. Закрытый ключ не используется для шифрования и должен храниться только там, где требуется дешифрование. Возможность восстановления паролей в открытом виде помогает, когда позже потребуется импортировать их в другие системы аутентификации (см. команду 'samba-tool user getpassword') или если требуется, чтобы пароли синхронизировались с другой системой, например с сервером OpenLDAP (см. команду 'samba-tool user syncpasswords'). Хотя этот параметр необходимо настроить на всех контроллерах домена, команда 'samba-tool user syncpasswords' должна выполняться только на одном контроллере домена (обычно это эмулятор PDC). Значение по умолчанию: пустая строка Пример: 4952E40301FAB41A Пример: selftest@samba.example.com Пример: selftest@samba.example.com, 4952E40301FAB41A password hash userPassword schemes Этот параметр определяет, будет ли samba(8), которая работает как контроллер домена Active Directory, сохранять дополнительные типы хэшей паролей для пользователя. Значения хранятся как «Primary:userPassword» в атрибуте additionalCredentials. Значение этой опции — тип хэша. В настоящее время поддерживаются следующие типы хэшей: * CryptSHA256 * CryptSHA512 Могут быть вычислены и сохранены несколько экземпляров типов хэшей. Хэши паролей вычисляются с помощью вызова crypt(3). Количество раундов, используемых для вычисления хэша, можно указать, добавив ':rounds = xxxx' к типу хэша, то есть если 'CryptSHA512:rounds = 4500', хэш SHA512 будет вычисляться с использованием 4500 раундов. Если не указано иное, для crypt(3) используются значения операционной системы по умолчанию. Поскольку изменение пароля может произойти на любом контроллере домена, необходимо настроить данный параметр на каждом из них. Обратите внимание, что эта функция в настоящее время доступна только на контроллерах домена Samba. В настоящее время при вычислении и хранении этих хэшей регистрируется NT-хэш пароля. При получении хэша текущее значение NT Hash сравнивается с сохраненным NT Hash. Это позволяет обнаружить изменения пароля, которые не обновили хэши паролей. В этом случае команда 'samba-tool user' проигнорирует сохраненные хэш-значения. Возможность получить хэшированный пароль помогает, когда позже потребуется импортировать их в другие системы аутентификации (см. команду 'samba-tool user getpassword') или если требуется, чтобы пароли синхронизировались с другой системой, например с сервером OpenLDAP (см. команду 'samba-tool user syncpasswords'). Связанный параметр: 'unix password sync' Значение по умолчанию: password hash userPassword schemes Пример: CryptSHA256 Пример: CryptSHA256 CryptSHA512 Пример: CryptSHA256:rounds=5000 CryptSHA512:rounds=7000 password server Указав, с помощью этой опции, имя контроллера домена и используя параметр security = [ads|domain], можно заставить Samba выполнять все проверки пользователь/пароль с помощью определенного удаленного сервера. В идеале этот параметр не следует использовать, поскольку значение по умолчанию «*», указывает Samba на определение наилучшего DC для динамических связей, также как это делают все остальные хосты в домене AD. Это позволяет поддерживать домен (добавление и удаление контроллеров домена) без изменения файла smb.conf. Криптографическая защита аутентифицированных вызовов RPC, используемых для проверки паролей, гарантирует безопасность этого значения по умолчанию. Настоятельно рекомендуется использовать значение по умолчанию «*», однако, если в вашей конкретной среде у вас есть причина указать конкретный список контроллеров домена, то список машин в этой опции должен быть списком имен или IP-адресов контроллеров домена. Если используется значение по умолчанию «*» или указано несколько хостов в параметре сервера паролей, то smbd будет пробовать каждый по очереди, пока не найдет тот, который отвечает. Это полезно в случае, если основной сервер выйдет из строя. Если список серверов содержит и имена/IP-адреса, и символ «*», список рассматривается как список предпочтительных контроллеров домена, но в список также будет добавлен автоматический поиск всех оставшихся контроллеров домена. Samba не будет пытаться оптимизировать этот список, определяя местонахождение ближайшего DC. Если значением параметра является имя, оно может быть разрешено любым методом и в любом порядке, описанном в параметре 'name resolve order'. Значение по умолчанию: * Пример: NT-PDC, NT-BDC1, NT-BDC2, * Пример: windc.mydomain.com:389 192.168.1.101 * preload modules Это список путей к модулям, которые должны быть загружены в smbd перед подключением клиента. Это несколько увеличивает скорость smbd при реагировании на новые соединения. Значение по умолчанию: пустая строка Пример: /usr/lib/samba/passdb/mysql.so private dir Параметр определяет каталог, который smbd будет использовать для хранения таких файлов, как smbpasswd и secrets.tdb. Значение по умолчанию: пустая строка raw NTLMv2 auth Этот параметр устарел, начиная с Samba 4.13, и поддержка аутентификации NTLMv2 без NTLMSSP будет удалена в следующем выпуске Samba. То есть в будущем параметр 'raw NTLMv2 auth' будет принудительно выключен. Этот параметр определяет, разрешит ли smbd(8) клиентам SMB1 без расширенной безопасности (без SPNEGO) использовать аутентификацию NTLMv2. Если этот параметр, а также параметры 'lanman auth' и 'ntlm auth' отключены, будут разрешены только клиенты с поддержкой SPNEGO. Это означает, что NTLMv2 поддерживается только в NTLMSSP. Значение по умолчанию: raw NTLMv2 auth = no rename user script В этом параметре указывается полный путь к сценарию, который будет запущен smbd(8) от имени пользователя root, при обстоятельствах, описанных ниже. Когда пользователь с правами администратора или с правами SeAddUserPrivilege переименовывает пользователя (например, через панель управления доменами NT4), этот сценарий будет запущен для того, чтобы переименовать пользователя POSIX. Две переменные, %uold и %unew, будут использоваться для определения старого и нового имени соответственно. Скрипт должен возвращать 0 при успешном завершении и ненулевое значение в противном случае. Примечание: Сценарий несет полную ответственность за переименование всех необходимых данных, доступных в этом методе posix. Это может означать разное для разных платформ. Серверные программы tdbsam и smbpasswd позаботятся о содержимом своих файлов, поэтому сценарий отвечает только за изменение имени пользователя POSIX и других данных, которые характерны для конкретной ситуации (например, домашние каталоги). Также подумайте, нужно ли переименовывать сами домашние каталоги. ldapsam не будет вносить никаких изменений из-за потенциальных проблем с переименованием атрибута именования LDAP (LDAP naming attribute). В этом случае сценарий отвечает за изменение атрибута (uid), который Samba использует для поиска пользователей, а также за любые данные, которые необходимо изменить для других приложений, использующих тот же каталог. Значение по умолчанию: пустая строка restrict anonymous Установка этого параметра определяет, можно ли получить доступ к службам SAMR и LSA DCERPC анонимно. Этот параметр соответствует следующим параметрам реестра Windows Server: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymous Этот параметр также влияет на параметр просмотра, который требуется для устаревших клиентов, которые полагаются на просмотр NetBIOS. Хотя современные версии Windows должны работать с ограничением доступа, все же могут быть приложения, полагающиеся на анонимный доступ. Установка значения 'restrict anonymous = 1' отключит анонимный доступ к SAMR. Установка 'restrict anonymous = 2' помимо ограничения доступа SAMR запрещает анонимные подключения к общему ресурсу IPC$. Установка параметра 'guest ok = yes' для любого общего ресурса переопределяет это значение. Значение по умолчанию: 0 root directory При запуске сервер поменяет корневой каталог (chroot()) на каталог, указанный в этом параметре. Нет необходимости делать это в целях безопасности. Даже без этого параметра сервер запретит доступ к файлам, которые находятся за пределами доступности сервисов. Сервер также может проверить и запретить следовать по симлинкам, которые ведут в другие части файловой системы или попытки использовать «..» в именах файлов для доступа к другим каталогам (в зависимости от настройки параметра 'wide smbconfoptions'). Добавление записи корневого каталога отличного от «/», добавляет дополнительный уровень безопасности, но за все приходится платить. При этом гарантируется, что не будет предоставлен доступ к файлам, не входящим в поддерево, указанное в параметре 'root directory', включая некоторые файлы, необходимые для полной работы сервера. Для обеспечения полной работоспособности сервера, вам придется скопировать некоторые файлы относительно нового корневого каталога. В частности, нужен будет файл /etc/passwd (или его часть) и все бинарные файлы и файлы конфигурации, необходимые для печати (при необходимости). Набор этих файлов зависит от операционной системы. Значение по умолчанию: пустая строка Пример: /homes/smb samba kcc command Эта опция указывает путь к сценарию Samba KCC. Этот сценарий используется для репликации топологии. Нет необходимости изменять эту опцию, кроме как в целях тестирования или если samba_kcc был установлен не в папку по умолчанию. Значение по умолчанию: /samba_kcc Пример: /usr/local/bin/kcc security Этот параметр влияет на то, как будут себя вести клиенты Samba и это один из наиболее важных параметров файла smb.conf. По умолчанию 'security = user', так как это наиболее распространенный параметр, используемый для автономного файлового сервера или контроллера домена. Альтернативные значения: 'security = ads' или 'security = domain', поддерживают присоединение Samba к домену Windows. Необходимо использовать 'security = user' и параметр 'map to guest', если необходимо в основном настроить общие ресурсы без пароля (гостевые ресурсы). Обычно такие настройки используются для общего сервера печати. security = AUTO Это значение по умолчанию в Samba, которое заставляет Samba обращаться к параметру 'server role' (если он установлен) для определения режима безопасности. security = USER Это значение по умолчанию в Samba, если параметр 'server role' не установлен. С безопасностью на уровне пользователя клиент должен сначала «войти в систему» (logon) ​​с существующим именем пользователя и паролем (которые могут быть сопоставлены с помощью параметра 'username map'). В этом режиме безопасности также можно использовать зашифрованные пароли (см. параметр 'encrypt passwords'). Параметры 'user' и 'guest only', если они установлены, могут изменить пользователя UNIX для использования в этом соединении, НО только после того как пользователь успешно пройдет аутентификацию. Обратите внимание, что имя запрашиваемого ресурса не отправляется на сервер до тех пор, пока сервер не аутентифицирует клиента. Именно поэтому гостевые учетные записи не работают в режиме безопасности USER, не позволяя серверу автоматически сопоставлять неизвестных пользователей с 'guest account'. Подробнее об этом см. параметр 'map_to_guest'. security = DOMAIN Этот режим будет работать правильно только в том случае, если для добавления компьютера в домен Windows NT использовалась команда net(8). При этом должен быть установлен параметр 'encrypt passwords = yes'. В этом режиме Samba будет пытаться проверить имя пользователя/пароль, передав его основному или резервному домен контроллерам Windows NT т.е. сделает тоже самое, что сделал бы сервер Windows NT. Обратите внимание, что действующий пользователь UNIX должен существовать, а также учетная запись на контроллере домена, чтобы у Samba была действующая учетная запись UNIX для сопоставления доступа к файлам. Заметьте, что с точки зрения клиента, нет разницы между режимами security = domain и security = user. Это влияет только на то, как сервер работает с аутентификацией, и никоим образом не влияет на то, что видит клиент. Заметьте, что имя запрошенного ресурса не будет послано серверу до тех пор, пока сервер не аутентифицирует клиента. Вот почему гостевые общие ресурсы не работают в режиме security = USER, не позволяя серверу автоматически сопоставлять неизвестных пользователей с 'guest account'. Подробнее об этом см. параметр 'map to guest'. См. также параметры 'password server' и 'encrypt passwords'. security = ADS В этом режиме Samba работает как член домена AD. Для работы в этом режиме на машине, на которой работает Samba, должен быть установлен и настроен Kerberos, а Samba должна быть присоединена к области AD с использованием утилиты net. Обратите внимание, что этот режим НЕ заставляет Samba работать в качестве контроллера домена Active Directory. Обратите внимание, что для этого для основного домена должны быть установлены параметры 'require strong key = yes' и 'client schannel = yes'. См. раздел «Domain Membership» в руководстве Samba-HOWTO для получения более подробной информации. Значение по умолчанию: AUTO Пример: DOMAIN server role Этот параметр определяет основной режим работы сервера Samba и является одним из наиболее важных параметров в файле smb.conf. Значение по умолчанию — 'server role = auto', так как Samba работает в соответствии с настройками параметра 'security' или, если они не указаны, как простой файловый сервер, не подключенный ни к какому домену. Альтернативные варианты: 'server role = standalone' и 'server role = member server', которые поддерживают присоединение Samba к домену Windows, а также 'server role = domain controller', который запускает Samba в качестве контроллера домена Windows. Необходимо использовать 'server role = standalone' и параметр 'map to guest', если необходимо в основном настроить общие ресурсы без пароля (гостевые ресурсы). Обычно такие настройки используются для общего сервера печати. SERVER ROLE = AUTO Это значение 'server role' по умолчанию в Samba, при этом Samba будет обращаться к параметру 'security' (если он установлен) для определения роли сервера, обеспечивая совместимость поведения с предыдущими версиями Samba. SERVER ROLE = STANDALONE Это значение по умолчанию в Samba, если параметр 'security' не указан. В автономном режиме клиент должен сначала «войти в систему» ​​(logon) ​​с существующим именем пользователя и паролем (которые могут быть сопоставлены с помощью параметра 'username map'), хранящимся на этом компьютере. В этом режиме по умолчанию используются зашифрованные пароли (см. параметр 'encrypt passwords'). Параметры 'user' и 'guest only', если они установлены, могут изменить пользователя UNIX для использования в этом соединении, НО только после того как пользователь успешно пройдет аутентификацию. SERVER ROLE = MEMBER SERVER Этот режим будет работать правильно только в том случае, если для добавления компьютера в домен Windows использовалась команда net(8). При этом должен быть установлен параметр 'encrypt passwords = yes'. В этом режиме Samba будет пытаться проверить имя пользователя/пароль, передав его контроллеру домена Windows или Samba точно так же, как это сделал бы Windows Server. Обратите внимание, что действующий пользователь UNIX должен существовать, а также должна существовать учетная запись на контроллере домена, чтобы у Samba была действующая учетная запись UNIX для сопоставления доступа к файлам. Это может обеспечить Winbind. SERVER ROLE = CLASSIC PRIMARY DOMAIN CONTROLLER В этом режиме работы выполняется классический основной контроллер домена Samba, предоставляющий услуги входа в систему для клиентов Windows и Samba NT4-подобного домена. Клиенты должны быть присоединены к домену, чтобы создать безопасный, надежный путь в сети. В каждой области NetBIOS должен быть только один PDC (обычно это широковещательная сеть или клиенты, обслуживаемые одним WINS-сервером). SERVER ROLE = CLASSIC BACKUP DOMAIN CONTROLLER В этом режиме работы выполняется классический резервный контроллер домена Samba, предоставляющий услуги входа в систему для клиентов Windows и Samba NT4-подобного домена. В качестве BDC это позволяет нескольким серверам Samba предоставлять избыточные службы входа в единую область NetBIOS. SERVER ROLE = ACTIVE DIRECTORY DOMAIN CONTROLLER Этот режим работы запускает Samba как контроллер домена Active Directory, предоставляя услуги входа в домен для клиентов Windows и Samba домена. Эта роль требует особой настройки, см. руководство Samba4-HOWTO. Значение по умолчанию: AUTO Пример: ACTIVE DIRECTORY DOMAIN CONTROLLER server schannel Эта опция устарела, начиная с Samba 4.8 и будет удалена в будущем, так как если не установлено значение yes (что будет жестко запрограммировано в будущем) существует проблема безопасности. Samba будет записывать в файлы журнала (на уровне 0) сообщения о проблеме безопасности, если значение этого праметра не равно yes. См. CVE-2020-1472 (ZeroLogon) https://bugzilla.samba.org/show_bug.cgi?id=14497 Если у вас все еще есть старые члены домена, используйте параметр 'server require schannel:COMPUTERACCOUNT'. Параметр 'server require schannel:COMPUTERACCOUNT' имеет приоритет над данным параметром. Значение по умолчанию: yes server signing Этот параметр определяет, следует ли серверу предлагать или требовать от клиента подписывания SMB1 и SMB2. Возможные значения: default, auto, mandatory и disabled. Если установлено значение default и если параметр 'server role' имеет значение active directory domain controller, подпись smb обязательна, и не требуется в противном случае. Если установлено значение auto, подписывание SMB1 предлагается, но не обязательно. Если установлено значение mandatory, подписывание SMB1 обязательно. Если установлено значение disabled подписывание SMB даже не предлагается. Для протокола SMB2 значение этого параметра не может иметь значение disabled. При согласовании SMB2, если этот параметр имеет значение disabled, он будет рассматриваться как значение auto. Если установить значение mandatory, подписывание SMB2 обязательно. Значение по умолчанию: default smb passwd file В этом параметре указывается путь к шифрованному файлу smbpasswd. По умолчанию путь к файлу smbpasswd вкомпилирован в Samba. Значение по умолчанию: пустая строка Пример: /etc/samba/smbpasswd tls cafile Этот параметр определяет файл (в формате PEM) содержащий сертификаты CA корневых удостоверяющих центров (root CA), которым можно доверять для подписи сертификатов или промежуточных сертификатов CA. Это путь относительно каталога определённого в параметре 'private dir', если путь не начинается с /. Значение по умолчанию: tls/ca.pem tls certfile Этот параметр определяет файл (в формате PEM) содержащий RSA сертификат. Это путь относительно каталога определённого в параметре 'private dir', если путь не начинается с /. Значение по умолчанию: tls/cert.pem tls crlfile Этот параметр определяет файл содержащий список отозванных сертификатов (CRL). Это путь относительно каталога определённого в параметре 'private dir', если путь не начинается с /. Значение по умолчанию: tls crlfile = tls dh params file Этот параметр определяет файл содержащий параметры Диффи-Хеллмана, который будет использоваться с шифрами DH. Это путь относительно каталога определённого в параметре 'private dir', если путь не начинается с /. Значение по умолчанию: tls dh params file = tls enabled Если это параметр установлен (tls enabled = yes), то Samba будет по возможности использовать TLS для связи. Значение по умолчанию: tls enabled = yes tls keyfile Этот параметр определяет файл (в формате PEM) содержащий закрытый ключ RSA. Этот файл должен быть доступен без пароля, т.е. он не должен быть зашифрован. Это путь относительно каталога определённого в параметре 'private dir', если путь не начинается с /. Значение по умолчанию: tls/key.pem tls verify peer Этот параметр контролирует, будет ли клиент проверять сертификат и имя однорангового узла и насколько строго. Возможные значения (в порядке возрастания): no_check, ca_only, ca_and_name_if_available, ca_and_name и as_strict_as_possible. Если установлено значение no_check, сертификат не проверяется вообще, что допускает тривиальные атаки «человек посередине». Если установлено значение ca_only, сертификат проверяется на подпись от CA, указанного в параметре 'tls cafile'. Требуется установить для параметра 'tls cafile' допустимый файл. Срок действия сертификата также проверяется. Если настроена опция 'tls crlfile', сертификат также проверяется на соответствие c списка отозванных сертификатов. Если установлено значение ca_and_name_if_available, выполняются все проверки из ca_only. Кроме того, одноранговое имя хоста (peer hostname) сверяется с именем сертификата, если оно предоставлено прикладным уровнем и не задано как строка IP-адреса. Если установлено значение ca_and_name, выполняются все проверки из ca_and_name_if_available. Кроме того, необходимо указать имя хоста однорангового узла, и даже IP-адрес сверяется с именем сертификата. Если установлено значение as_strict_as_possible, выполняются все проверки из ca_and_name. Кроме того, необходимо настроить опцию 'tls crlfile'. В будущих версиях Samba могут быть реализованы дополнительные проверки. Значение по умолчанию: as_strict_as_possible unix password sync Параметр заставляет синхронизировать пароль UNIX с паролем SMB при изменении зашифрованного пароля SMB в файле smbpasswd. При включении этого параметра (unix password sync = yes), от имени пользователя ROOT вызывается программа, определенная в параметре 'passwd program', что позволяет установить новый пароль UNIX без доступа к старому паролю UNIX (т.к. у программы смены пароля SMB нет никакого доступа к открытому тексту старого пароля, есть только новый пароль). Этот параметр не действует, если Samba работает как контроллер домена Active Directory. В этом случае обратите внимание на параметр 'password hash gpg key ids' и команду 'samba-tool user syncpasswords'. Значение по умолчанию: unix password sync = no username level Этот параметр помогает Samba попытаться «угадать» реальное имя пользователя UNIX, поскольку многие клиенты DOS отправляют имя пользователя в верхнем регистре. По умолчанию Samba пробует использовать все строчные буквы, а затем имя пользователя с заглавной первой буквой и терпит неудачу, если имя пользователя не найдено на машине UNIX. Если для этого параметра установлено ненулевое значение, поведение меняется. Этот параметр представляет собой число, указывающее количество комбинаций верхнего регистра, которые следует попробовать при попытке определить имя пользователя UNIX. Чем выше число, тем больше комбинаций будет пробовано, но тем медленнее будет обнаружение имен пользователей. Используйте этот параметр при наличии «странных» имен пользователей на машине UNIX, таких как AstrangeUser. Этот параметр необходим только на системах UNIX, у которых имена пользователей чувствительны к регистру. Значение по умолчанию: 0 Пример: 5 username map Параметр разрешает задать файл определяющий соответствие имен пользователей для клиентов на сервере. Может использоваться в нескольких целях. Самое стандартное применение это сопоставление имен пользователей DOS или Windows именам, используемым на UNIX системе. Другой вариант — привязать нескольких пользователей к одному имени пользователя, чтобы им было легче обмениваться файлами. Заметьте, что для пользователя или режима безопасности share, сопоставление пользователя применимо до утверждения пользовательских вверительных грамот (credentials). Серверы члены домена (домена или ads) применяют сопоставление имени пользователя после того, как пользователь был успешно зарегистрирован контроллером домена и требуют полного имени в таблице соответствия (например, biddle = DOMAINfoo). Файл соответствия анализируется построчно. Каждая строка должна содержать имя пользователя UNIX, потом знак равенства («=»), за которым следует список имен пользователей. Список имен пользователя может содержать имена в формате @group, и в этом случае они будут соответствовать любому имени пользователя UNIX в этой группе. Специальное имя клиента «*» является групповым символом и соответствует любому имени. Каждая строка файла соответствий может достигать 1023 символов. Файл обрабатывается построчно, берется имя пользователя и сравнивается его с каждым именем пользователя справа от знака «=». Если предоставленное имя совпадает с каким-либо из имен справа, оно заменяется именем слева. Затем обработка продолжается со следующей строки. Если строка начинается с «#» или «;» она игнорируется. Если строка начинается с «!» тогда обработка файла остановится после этой строки, если соответствие найдено. Иначе поиск соответствия продолжится дальше. Использование «!» является полезным, если в следующих строках у вас есть групповые соответствия. Например, для создания сопоставления имени admin или administrator к UNIX имени root, создайте такую строку: root = admin administrator Или создайте соответствие любой пользователь группы system UNIX к UNIX имени sys: sys = @system Можно создать множество соответствий имен в файле соответствий. Если система поддерживает опцию NIS NETGROUP, тогда база данных netgroup проверяется перед базой данных /etc/group для поиска соответствий в группах. Можно создать соответствия для имен пользователей Windows, используя двойные кавычки вокруг имени, в котором есть пробелы. Например: tridge = "Andrew Tridgell" создаст соответствие «Andrew Tridgell» с именем пользователя UNIX «tridge». Следующий пример создаст соответствие для mary и fred к Unix пользователю sys, и для остальных создаст соответствие к пользователю guest. Заметьте, что использование «!» укажет Samba прекращать обработку файла, если соответствие найдено в текущей строке: !sys = mary fred guest = * Заметьте, что переназначение имен применяется ко всем найденным именам пользователей. Таким образом, если вы соединитесь с \\server\fred, и fred повторно переназначен в mary, то фактически вы будете соединяться с \\server\mary и должны будете предоставить пароль, подходящий для mary, а не fred. Единственное исключение — это имя пользователя, которое передается серверу пароля (если он у вас один). Сервер пароля получит любое имя пользователя клиента без модификации. Также заметьте, что обратное переназначение имени не делается. Основная проблема в данном случае с печатью. У пользователей, которые были сопоставлены, может возникнуть проблема при удалении заданий печати, поскольку PrintManager под WfWg будет думать, что очередь печати им не принадлежит. Версии Samba до 3.0.8 поддерживали чтение только полного имени пользователя (например, DOMAIN\user) из таблицы соответствий при выполнении kerberos логина от клиента. Однако, при поиске соответствия для пользователя использующего NTLM [SSP], использовалось только имя пользователя. Иногда это приводило к противоречивому поведению даже на том же самом сервере. Следующие функциональные возможности появились в версии 3.0.8 и более поздни: * При локальной аутентификации, таблица соответствия применяется к имени пользователя прежде подтверждения подлинности соединения. * Полагаясь на внешний контроллер домена для подтверждения запроса аутентификации, smbd применит таблицу соответствия пользователя к полному имени пользователя (т.е. DOMAIN\user), только после того, как пользователь был успешно аутентифицирован. Значение по умолчанию: пустая строка (no username map) Пример: /usr/local/samba/lib/users.map username map cache time Сопоставление имен пользователей с 'username map' или 'username map script' с функциями Samba может быть относительно дорогостоящим. При входе пользователя в систему сопоставление выполняется несколько раз. В частности, вызов сценария 'username map script' может замедлить вход в систему, если необходимо запрашивать внешние базы данных из вызываемого сценария. Параметр 'username map cache time' управляет кэшем отображения. Он определяет количество секунд, в течение которых отображение из файла сопоставления имен пользователей или сценария должно быть эффективно кэшировано. Значение по умолчанию 0 означает, что кэширование не выполняется. Значение по умолчанию: 0 Пример: 60 username map script Этот сценарий является взаимоисключающей альтернативой параметру 'username map'. Этот параметр указывает внешнюю программу или сценарий, которые должны принимать один параметр командной строки (имя пользователя, переданное в запросе аутентификации) и возвращать строку в стандартном выводе (имя, с которым должна быть сопоставлена учетная запись). Таким образом, можно хранить таблицы сопоставления имен пользователей в службах каталогов LDAP или NIS. Значение по умолчанию: пустая строка Пример: /etc/samba/scripts/mapusers.sh tls priority Этот параметр опредеяет строку, описывающую протоколы TLS, которые будут поддерживаться в частях Samba, которые используют GnuTLS, в частности AD DC. Строка добавляется к списку приоритетов по умолчанию GnuTLS. Допустимые параметры описаны в документации GNUTLS Priority-Strings по адресу http://gnutls.org/manual/html_node/Priority-Strings.html. Протокол SSL3.0 будет отключен. Значение по умолчанию: NORMAL:-VERS-SSL3.0 aio max threads Целочисленный параметр, указывающий максимальное количество потоков, которые каждый процесс smbd будет создавать при выполнении параллельных асинхронных вызовов ввода-вывода. Если количество невыполненных вызовов превышает это число, запросы не будут отклонены, а будут помещены в очередь и будут запланированы, в свою очередь, как завершенные невыполненные запросы. Связанный параметр: 'aio read size' Связанный параметр: 'aio write size' Значение по умолчанию: 100 deadtime Значением данного параметра (десятичное целое число) является время бездействия в минутах, по истечении которого соединение считается утраченным и происходит разъединение. 'deadtime' срабатывает только в том случае, если нет открытых файлов. Он используется для освобождения ресурсов сервера, нагруженного большим количеством неактивных соединений. У большинства клиентов есть функция автоматического переподключения при разрыве соединения, поэтому в большинстве случаев этот параметр прозрачен для пользователей. Для большинства систем рекомендуется использовать этот параметр с таймаутом в несколько минут. Нулевое время 'deadtime' указывает на то, что соединение разрываться не будет. Значение по умолчанию: 10080 Пример: 15 getwd cache Это тюнинговый параметр. Если он установлен (getwd cache = yes), будет использоваться алгоритм кэширования для сокращения времени, необходимого для getwd() вызовов. Существенно повышает производительность, особенно, когда параметр 'wide links' не установлен. Значение по умолчанию: getwd cache = yes hostname lookups Указывает, следует ли Samba преобразовывать IP-адреса в имена компьютеров или использовать вместо этого IP-адреса. Например, преобразование имени компьютера используется при проверке запрета (hosts deny) или разрешения доступа (hosts allow) компьютера к Samba. Значение по умолчанию: hostname lookups = no keepalive Значение параметра (целое число) представляет количество секунд между пакетами поддерживающими соединение (keepalive). Если этот параметр равен нулю, пакеты отправляться не будут. Пакеты поддерживающие соединение позволяют серверу проверять активность клиента. Если сокет имеет набор атрибутов SO_KEEPALIVE по умолчанию, то пакеты поддерживающие соединение не требуются (см. параметр 'socket options'). Обычно следует использовать эту опцию, только если вы столкнулись с трудностями. Обратите внимание, что этот параметр применяется только к клиентским соединениям SMB1 и не влияет на клиентов SMB2. Значение по умолчанию: 300 Пример: 600 max disk size Этот параметр позволяет ограничить верхний предел видимого размера диска. Если для этого параметра установлено значение 100, тогда размер всех общих ресурсов будет не больше 100МБ. Обратите внимание, что этот параметр не ограничивает размер объем данных, которые можно поместить на диск. В приведенном выше случае всё равно можно хранить на диске гораздо больше, чем 100МБ, но если клиент запросит информацию о свободном пространстве на диске или о размере диска, то результат будет ограничен объемом, указанным в 'max disk size'. Этот параметр в первую очередь полезен для работы с ошибками в ПО, которое не может работать со слишком большими дисками, особенно с дисками, размером более 1ГБ. Значение 0 означает отсутствие ограничений. Значение по умолчанию: 0 Пример: 1000 max open files Этот параметр ограничивает количество открытых файлов, которые будет обслуживать демон smbd(8) для одного клиента. Значение по умолчанию очень большое (16384), т.к. Samba использует всего один бит в памяти на один открытый файл. Установка этого параметра ниже 16384 приведет к тому, что Samba пожалуется и вернет это значение к минимуму 16384, поскольку Windows 7 зависит от этого количества доступных дескрипторов открытых файлов. Реальное ограничение количества открытых файлов обычно срабатывает раньше и устанавливается другим параметром — это количество открытых файлов, которое может открыть процесс (UNIX per-process file descriptor limit), а не этим параметром, поэтому не нужно изменять значение этого параметра. Значение по умолчанию: 16384 max smbd processes Этот параметр ограничивает максимальное количество одновременно запущенных процессов smbd(8). Он предотвращает истощение ресурсов сервера, если сервер испытывает проблемы с обслуживанием большего, чем определенное количество подключений. Помните, что в номальных условиях, на каждого пользователя запускается по одному процессу smbd(8). Для Samba ADDC, использующего стандартную модель процесса, эта опция ограничивает количество процессов, разветвленных для обработки запросов. В настоящее время новые процессы форкуются только для запросов ldap и netlogon. Значение по умолчанию: 0 Пример: 1000 name cache timeout Определяет количество секунд до истечения времени ожидания записи в кэше разрешения имени хоста Samba. Если установлено значение 0 — кэширование отключено. Значение по умолчанию: 660 Пример: 0 socket options Современные серверные операционные системы в большинстве ситуаций настроены на высокую производительность сети. При установке параметров сокета, эти настройки переопределяются. В частности, в Linux есть механизм автонастройки размера буфера, который будет отключен, при указании размера буфера сокета. Это потенциально может вывести из строя стек TCP/IP. Правильная настройка параметров сокета может иметь большое значение для производительности, но неправильное их использование может ухудшить её на столько же. Как и в случае любой другой настройки низкого уровня, если необходимо внести изменения, внесите небольшие изменения и проверьте эффект, прежде чем вносить какие-либо большие изменения. Этот параметр позволяет задать параметры сокета, который будет использоваться для обслуживания клиентов. Параметры сокета — это элементы управления на сетевом уровне операционных систем, которые позволяют настраивать соединение. Обычно с помощью этого параметра проводится тонкая настройка сервера Samba для достижения оптимальной производительности в локальной сети. Нет способа узнать, какие параметры лучше подходят для сети, так что экспериментируйте. Настоятельно рекомендуется сначала прочитать соответствующую документацию для ОС (можеть быть поможет 'man setsockopt'). Может обнаружиться, что на некоторых системах Samba сообщит «Unknown socket option», если включить тот или иной параметр. Это означает, что имя параметра было указано некорректно или нужно включить файл includes.h для системы. В последнем случае, пожалуйста, вышлите нам patch по адресу samba-technical@samba.org. Любые из поддерживаемых опций сокетов можно комбинировать любым способом, если это позволяет ОС. Список опций сокета, которые доступны на сегодняшний день: SO_KEEPALIVE SO_REUSEADDR SO_BROADCAST TCP_NODELAY TCP_KEEPCNT * TCP_KEEPIDLE * TCP_KEEPINTVL * IPTOS_LOWDELAY IPTOS_THROUGHPUT SO_REUSEPORT SO_SNDBUF * SO_RCVBUF * SO_SNDLOWAT * SO_RCVLOWAT * SO_SNDTIMEO * SO_RCVTIMEO * TCP_FASTACK * TCP_QUICKACK TCP_NODELAYACK TCP_KEEPALIVE_THRESHOLD * TCP_KEEPALIVE_ABORT_THRESHOLD * TCP_DEFER_ACCEPT * TCP_USER_TIMEOUT * Опции, помеченные * принимают целые значения. Остальные принимают только 1 или 0, соответственно разрешая или запрещая опцию, по умолчанию все они разрешены, если не указать явно 1 или 0. Чтобы указать аргумент, используйте синтаксис SOME_OPTION=VALUE, например SO_SNDBUF=8192. Обратите внимание, что до и после знака равенства не должно быть пробелов. В локальной сети разумным будет использование опции 'socket options = IPTOS_LOWDELAY' и можно попытаться использовать 'socket options = IPTOS_LOWDELAY TCP_NODELAY'. В сети WAN попробуйте установить значение IPTOS_THROUGHPUT. Заметьте, что некоторые из этих параметров могут привести к тому, что Samba вообще не будет работать. Используйте эти параметры с осторожностью! Значение по умолчанию: TCP_NODELAY Пример: IPTOS_LOWDELAY use mmap Этот глобальный параметр определяет, зависит ли содержимое tdb файлов Samba от mmap в работающей операционной системе. Samba требует согласованный mmap/read-write кэш памяти. В настоящее время только OpenBSD и HPUX не имеют такой согласованный кэша, и на этих платформах этот параметр внутренне переопределен и фактически не имеет значения. Во всех системах этот параметр следует оставить в покое. Этот параметр предоставлен, чтобы помочь разработчикам Samba отследить проблемы с внутренним кодом tdb. Значение по умолчанию: use mmap = yes get quota command Параметр 'get quota command' можно использовать, если ОС, на которой установлен сервер Samba, имеет API для работы с квотами. Эта опция доступна только Samba была скомпилирована с поддержкой квот. Этот параметр должен указывать путь к сценарию, который запрашивает информацию о квоте для указанного пользователя/группы для раздела, в котором находится указанный каталог. Этот скрипт получает 3 аргумента: * каталог * тип запроса * uid пользователя или gid группы Каталог на самом деле это просто «.» — его нужно обрабатывать относительно текущего рабочего каталога, который также может запрашивать скрипт. Тип запроса: 1 — квота пользователя 2 — квота пользователя по умолчанию (uid = -1) 3 — квота группы 4 — квота группы по умолчанию (gid = -1) Этот сценарий должен выводить одну строку с пробелами между столбцами. В столбцах выводится: 1 — флаги квоты (0 = нет квот, 1 = квоты включены, 2 = квоты включены и обязательны) 2 — текущее количество использованных блоков 3 — мягкое (softlimit) количество блоков 4 — жесткое (hardlimit) количество блоков 5 — текущее количество inodes 6 — мягкое (softlimit) количество индексных дескрипторов (inodes) 7 — жесткое (hardlimit) количество индексных дескрипторов (inodes) 8 (опционально) — количество байт в блоке (по умолчанию 1024) Значение по умолчанию: пустая строка Пример: /usr/local/sbin/query_quota host msdfs Если этот параметр установлен, то Samba будет выступать в качестве сервера Dfs, и позволит Dfs клиентам просматривать Dfs деревья, размещенные на сервере. См. также уровень параметра 'msdfs root'. Дополнительную информацию о создании Dfs дерева на Samba, см. в разделе «MSFDS» руководства Samba3-HOWTO. Значение по умолчанию: host msdfs = yes set quota command Этот параметр следует использовать только тогда, когда для Samba недоступны средства API операционной системы. Этот параметр доступен лишь в том случае если Samba была скомпилирована с поддержкой квот. Этот параметр должен указывать путь к сценарию, который устанавливает квоты для заданных аргументов. Указанный сценарий должен принимать следующие параметры: * 1 — путь к месту установки квоты. Это значение необходимо интерпретировать относительно текущего рабочего каталога, который также может проверять сценарий. * 2 — тип квоты: * 1 — пользовательская квота * 2 — пользовательские квоты по умолчанию (uid = -1) * 3 — квоты групп * 4 — квоты групп по умолчанию (gid = -1) * 4 — состояние квоты (0 — запрещена (disable), 1 — разрешена (enable), 2 — включена и навязывается (enable and enforce)) * 5 — граница мягкой блокировки * 6 — граница жесткой блокировки * 7 — граница мягкой блокировки inode * 8 — граница жесткой блокировки inode * 9 — (необязателен) размер блока, по умолчанию 1024 Скрипт должен вывести хотя бы одну строку данных, если все прошло успешно и не выводить ничего, если случилась ошибка. Значение по умолчанию: пустая строка Пример: /usr/local/sbin/set_quota apply group policies Этот параметр определяет, будет ли winbind выполнять команду gpupdate, определенную в параметре 'gpo update command', в интервале обновления групповой политики. Интервал обновления групповой политики определяется как каждые 90 минут плюс случайное смещение от 0 до 30 минут. При этом политики компьютера групповой политики применяются к клиенту или KDC, а политики компьютера — к серверу. Значение по умолчанию: apply group policies = no create krb5 conf Снятие отметки с этого параметра (значение 'create krb5 conf = no') запрещает winbind создавать собственные файлы krb5.conf. Winbind обычно делает это, потому что библиотеки krb5 не поддерживают сайты AD и поэтому могут выбрать любой контроллер домена из потенциально очень многих. Winbind ориентирован на сайт и заставляет библиотеки krb5 использовать локальный контроллер домена, создавая свои собственные файлы krb5.conf. Предотвратить такое поведение может потребоваться, если нужно добавить в system-krb5.conf специальные параметры, которые winbind не видит. Значение по умолчанию: create krb5 conf = yes idmap backend Параметр является интерфейсом к Winbind для хранения переменных подсистем к таблицам соответствия SID/uid/gid. Эта опция указывает бэкэнд по умолчанию, который используется, когда не задана специальная конфигурация, но теперь он устарел и заменен новым параметром 'idmap config * : backend'. Значение по умолчанию: tdb idmap cache time Этот параметр определяет время в секундах, в течение которого кэшируются положительные результаты ID/uid/gid запросов к интерфейсу Winbind idmap. По умолчанию Samba кэширует эти результаты в течение одной недели. Значение по умолчанию: 604800 idmap gid Параметр определяет диапазон групповых идентификаторов, для конфигурации idmap по умолчанию. Теперь он устарел и заменен на 'idmap config * : range'. См. также параметр 'idmap config'. Значение по умолчанию: пустая строка Пример: 10000-20000 idmap negative cache time Этот параметр указывает количество секунд, в течение которых интерфейс Winbind idmap будет кэшировать отрицательные результаты запроса SID/uid/gid. Значение по умолчанию: 120 idmap uid Параметр 'idmap uid' указывает диапазон идентификаторов пользователей для конфигурации idmap по умолчанию. Этот параметр устарел и заменен на 'idmap config * : range'. См. параметр 'idmap config'. Значение по умолчанию: пустая строка Пример: 10000-20000 include system krb5 conf Установка для этого параметра значения no не позволит Winbind включить системный файл /etc/krb5.conf в создаваемый файл krb5.conf. См. также параметр 'create krb5 conf'. Эта опция применима только к Samba, построенной с использованием MIT Kerberos. Значение по умолчанию: include system krb5 conf = yes neutralize nt4 emulation Этот параметр определяет, отправляет ли winbindd флаг NETLOGON_NEG_NEUTRALIZE_NT4_EMULATION, чтобы обойти эмуляцию NT4 контроллера домена. Обычно не нужно устанавливать этот параметр. Это может быть полезно при обновлении доменов NT4 до AD. Поведение можно контролировать для каждого домена NetBIOS с помощью опции 'neutralize nt4 emulation:NETBIOSDOMAIN = yes'. Значение по умолчанию: neutralize nt4 emulation = no reject md5 servers Этот параметр определяет, требуется ли winbindd поддержка aes для безопасного канала netlogon. Должны быть установлены флаги: NETLOGON_NEG_ARCFOUR, NETLOGON_NEG_SUPPORTS_AES, NETLOGON_NEG_PASSWORD_SET2 и NETLOGON_NEG_AUTHENTICATED_RPC. Можно установить этот параметр (reject md5 servers = yes), если все контроллеры домена поддерживают AES. Это предотвратит атаки перехода на более раннюю версию. Такое поведение можно контролировать для каждого домена NetBIOS с помощью опции 'reject md5 servers:NETBIOSDOMAIN = yes'. Эта опция имеет приоритет перед опцией 'require strong key'. Значение по умолчанию: reject md5 servers = no require strong key Этот параметр определяет, требуется ли winbindd поддержка сильного ключа md5 для безопасного канала netlogon. Должны быть установлены флаги: NETLOGON_NEG_STRONG_KEYS, NETLOGON_NEG_ARCFOUR и NETLOGON_NEG_AUTHENTICATED_RPC. Можно отключить этот параметр (require strong key = no), если некоторые контроллеры домена поддерживают только DES. Это может позволить согласовать слабую криптографию, возможно, с помощью атак на более раннюю версию. Такое поведение можно контролировать для каждого домена NetBIOS с помощью опции 'require strong key:NETBIOSDOMAIN = no'. Обратите внимание, что для домена Active Directory эта опция принудительно включена. Опция 'reject md5 servers' имеет приоритет над этой опцией. Эта опция имеет приоритет перед опцией 'client schannel'. Значение по умолчанию: require strong key = yes template homedir При передаче информации о пользователе Windows NT, значение этого параметра будет использоваться демоном winbindd(8) в качестве домашнего каталога пользователя. Если присутствует последовательность %D, она заменяется доменным именем пользователя Windows NT. Если присутствует последовательность %U, она заменяется именем пользователя Windows NT. Значение по умолчанию: /home/%D/%U template shell При передаче информации о пользователе Windows NT, значение этого параметра будет использоваться демоном winbindd(8) для определения командного интерпретатора (shell). Значение по умолчанию: /bin/false winbind cache time Этот параметр указывает количество секунд, в течение которых демон winbindd(8) будет кэшировать информацию о пользователях и группах перед повторным запросом к серверу Windows NT. Это не относится к запросам аутентификации, они всегда оцениваются в реальном времени, если не включена опция 'winbind offline logon'. Значение по умолчанию: 300 winbindd socket directory Этот параметр управляет расположением сокета демона winbind. За исключением сценариев автоматического тестирования, этот параметр не должен изменяться, поскольку клиентские инструменты (nss_winbind и т.д.) не поддерживают этот параметр. Клиентские инструменты должны быть уведомлены об измененном пути с помощью переменной среды WINBINDD_SOCKET_DIR. Значение по умолчанию: winbindd socket directory = winbind enum groups При больших установках с использованием winbindd(8) бывает необходимо подавить перечисление групп через системные вызовы setgrent(), getgrent() и endgrent(). Если параметр не установлен (winbind enum groups = no), системный вызов getgrent() не будет возвращать данных. Внимание. Отключение перечисления групп может привести к странному поведению некоторых программ. Значение по умолчанию: winbind enum groups = no winbind enum users При больших установках с использованием winbindd(8) бывает необходимо подавить перечисление пользователей через системные вызовы setpwent(), getpwent() и endpwent(). Если параметр не установлен (winbind enum users = no), системный вызов getpwent() не будет возвращать данных. Внимание. Отключение перечисления пользователей может привести к странному поведению некоторых программ. Например, программа finger полагается на доступ к полному списку пользователей при поиске совпадающих имен пользователей. Значение по умолчанию: winbind enum users = no winbind expand groups Этот параметр управляет максимальной глубиной, которую будет проходить winbindd при выравнивании членства во вложенных группах доменных групп Windows. Эта опция отличается от опции 'winbind nested groups', которая реализует модель локального вложения групп Windows NT4. Параметр 'winbind expand groups' специально применяется к членству в группах домена. Этот параметр также влияет на возврат членства в невложенных группах пользователей домена Windows. С новым значением по умолчанию 'winbind expand groups = 0' winbind вообще не запрашивает членство в группах. Имейте в виду, что высокое значение этого параметра может привести к замедлению работы системы, поскольку основной родительский демон winbindd должен выполнить развертывание группы и не сможет отвечать на входящие запросы NSS или аутентификации в это время. Значение по умолчанию было изменено с 1 на 0 в Samba 4.2. Некоторые неработающие приложения (включая некоторые реализации newgrp и sg) вычисляют членство пользователей в группах путем обхода групп, для таких приложений потребуется 'winbind expand groups = 1'. Но новое значение по умолчанию делает winbindd более надежным, поскольку он не требует доступа SAMR к контроллерам домена доверенных доменов. Значение по умолчанию: 0 winbind:ignore domains Этот параметр позволяет ввести список доверенных доменов, которые winbind должен игнорировать (не доверять). Это поможет избежать дополнительных затрат ресурсов на попытки входа в DC, с которыми не следует связываться. Значение по умолчанию: пустая строка Пример: DOMAIN1, DOMAIN2 winbind max clients Этот параметр указывает максимальное количество клиентов, с которыми демон winbindd(8) может соединиться. Параметр не является жестким пределом. Демон winbindd(8) настраивается так, чтобы принимать, по крайней мере, такое количество подключений, и если предел достигнут, делается попытка отключить неактивных клиентов. Значение по умолчанию: 200 winbind max domain connections Этот параметр указывает максимальное количество одновременных подключений, которые демон winbindd(8) должен открыть к контроллеру домена одного домена. Установка для этого параметра значения больше 1 может улучшить масштабируемость с множеством одновременных запросов winbind, некоторые из которых могут быть медленными. Обратите внимание: если установлен параметр 'winbind offline logon', то для каждого домена разрешено только одно подключение к DC, независимо от значения параметра 'winbind max domain connections'. Значение по умолчанию: 1 Пример: 10 winbind nested groups Если этот параметр установлен, активируется поддержка вложенных групп. Вложенные группы также называются локальными группами или псевдонимами. Они работают так же, как и их аналоги в Windows: вложенные группы определяются локально на любом компьютере (они совместно используются контроллерами домена через их SAM) и могут содержать пользователей и глобальные группы из любого доверенного SAM. Чтобы иметь возможность использовать вложенные группы, необходимо запустить nss_winbind. Значение по умолчанию: winbind nested groups = yes winbind normalize names Этот параметр контролирует, заменять или нет пробелы в имени пользователя, группы на символ подчеркивания «_». Например, следует ли заменить имя «Space Kadet» на строку «space_kadet». У сценариев командного процессора Unix возникают ошибки с именами пользователей, содержащих пробелы, т.к. пробел является разделителем по умолчанию для shell. Если в домене есть имена учётных записей пользователей, содержащие символ подчеркивания, этот параметр может вызвать проблемы, если функция псевдонима не поддерживается плагином nss_info. Эта функция также включает API псевдонимов имен, который можно использовать для преобразования имен пользователей и групп домена в неквалифицированную версию. Пожалуйста, обратитесь к странице руководства по настройке плагинов idmap и nss_info, чтобы узнать, как настроить псевдонимы для конкретной конфигурации. Использование псевдонимов имеет приоритет (и является взаимоисключающим) над механизмом замены пробелов. Значение по умолчанию: winbind normalize names = no winbind nss info Параметр предназначен для контроля над тем, как Winbind получает информацию от Name Service Information для создания пользовательских домашних каталогов и login shell. В настоящее время доступны следующие значения параметра: * template — по умолчанию, используются шаблоны для login shell и home directory. * <sfu | sfu20 | rfc2307 > — если Samba запущена с 'security = ads' и контроллер домена Active Directory поддерживает Microsoft «Services for Unix» (SFU) LDAP schema, может получить атрибуты login shell и home directory непосредственно от Directory Server. Для SFU 3.0 или 3.5 просто выберите «sfu», если вы используете SFU 2.0, выберите «sfu20». Обратите внимание, что для бэкэнда idmap idmap_ad необходимо настроить эти параметры в разделе конфигурации idmap. Обязательно ознакомьтесь с документацией используемого вами бэкенда idmap. Значение по умолчанию: template Пример: sfu winbind offline logon Этот параметр определяет, можно ли осуществлять подключение с модулем pam_winbind, используя Cached Credentials (буферизированные личные данные). Если параметр включен, winbindd сохранит пользовательские Credentials от успешных логинов, в локальном кэше в зашифрованном виде. Значение по умолчанию: winbind offline logon = no winbind reconnect delay Этот параметр указывает количество секунд, в течение которых демон winbindd(8) будет ждать между попытками связи с контроллером домена, для домена, который определен как неработающий или недоступный. Значение по умолчанию: 30 winbind refresh tickets Этот параметр определяет, должен ли Winbind обновлять билеты Kerberos при использовании модуля pam_winbind. Значение по умолчанию: winbind refresh tickets = yes winbind request timeout Этот параметр указывает количество секунд, в течение которых демон winbindd (8) будет ждать перед отключением клиентского соединения без ожидающих запросов (простаивающее соединение), либо клиентского соединения с запросом, который оставался невыполненным (зависшим) дольше указанного количества секунд. Значение по умолчанию: 60 winbind rpc only Установка этого параметра (winbind rpc only = yes) заставляет winbindd использовать RPC вместо LDAP для получения информации с контроллеров домена. Значение по умолчанию: winbind rpc only = no winbind scan trusted domains Этот параметр работает только в том случае, если параметр 'security' имеет значение domain или ads. Если параметр установлен (winbind scan trusted domains = yes) (по умолчанию), winbindd периодически пытается сканировать новые доверенные домены, и добавляет их в глобальный список внутри winbindd. Список можно извлечь с помощью 'wbinfo --trusted-domains --verbose'. Это соответствует поведению Samba 4.7 и старше. Создание этого глобального списка ненадежно и часто бывает неполным в сложных установках доверия. В большинстве случаев для правильной работы winbindd список больше не нужен. Например, для обслуживания простых файлов через SMB с использованием простой настройки idmap с autorid, tdb или ad. Однако для некоторых более сложных настроек требуется список, например, при указании бэкендов idmap для определенных доменов. Для некоторых настроек pam_winbind также может потребоваться глобальный список. Если у вас есть установка, которая не требует глобального списка, необходимо установить 'winbind scan trusted domains = no'. Значение по умолчанию: winbind scan trusted domains = yes winbind sealed pipes Этот параметр определяет, будут ли запечатываться какие-либо запросы от winbindd к конвейеру контроллеров домена. Отключение запечатывания может быть полезно для отладки. Поведение можно контролировать для каждого домена NetBIOS с помощью опции 'winbind sealed pipes:NETBIOSDOMAIN = no'. Значение по умолчанию: winbind sealed pipes = yes winbind separator Этот параметр разрешает администратору выбрать разделитель, используемый в имени пользователя в формате DOMAIN\user. Этот параметр применим для Unix служб с модулями pam_winbind.so и nss_winbind.so. Обратите внимание, что установка этого параметра в «+» вызывает проблемы с членством в группах, по крайней мере, в системах glibc, поскольку символ «+» используется в качестве специального символа для NIS в /etc/group. Значение по умолчанию: \ Пример: + winbind use default domain Этот параметр разрешает winbindd(8) работать с пользователями без доменной части в имени пользователя. Пользователи без доменной части в имени рассматриваются winbindd как часть собственного домена сервера winbindd. Хотя это не приносит пользы пользователям Windows, это делает работу служб SSH, FTP и электронной почты вести себя также как они ведут себя в системе UNIX. По возможности следует избегать этого варианта. Это может вызвать путаницу в отношении обязанностей пользователя или группы. Во многих ситуациях неясно, следует ли считать winbind или /etc/passwd полномочными для пользователя, равно как и для групп. Значение по умолчанию: winbind use default domain = no winbind use krb5 enterprise principals winbindd может получить билеты Kerberos для pam_winbind с помощью krb5_auth или wbinfo -K/--krb5auth=. winbindd (по крайней мере, как член домена) никогда не сможет получить полную картину топологии доверия (которая управляется контроллерами домена). Могут быть значения uPNSuffixes и msDS-SPNSuffixes, которые вообще не принадлежат ни одному домену AD. Если параметр 'winbind scan trusted domains = no' winbindd не сможет получить даже неполное представление о топологии. На самом деле знать о топологии доверия не обязательно. Можно просто полагаться на [K]-ый контроллер домена основного домена (например, PRIMARY.A.EXAMPLE.COM), использовать принципалы предприятия, например, upnfromB@B.EXAMPLE.COM@PRIMARY.A.EXAMPLE.COM и следовать рекомендациям WRONG_REALM, чтобы найти правильный DC. Последний принципал может быть userfromB@INTERNALB.EXAMPLE.PRIVATE. Если параметр 'winbind use krb5 enterprise principals = yes' будут использованы принципал winbindd. Значение по умолчанию: winbind use krb5 enterprise principals = no dns proxy Указывает, что nmbd(8) при работе в качестве WINS-сервера и обнаружении того, что имя NetBIOS не было зарегистрировано, должен обрабатывать имя NetBIOS дословно как имя DNS и выполнять поиск на DNS-сервере для этого имени от имени клиента, запрашивающего имя. Обратите внимание, что максимальная длина имени NetBIOS составляет 15 символов, поэтому имя DNS (или псевдоним DNS) также может состоять максимум из 15 символов. nmbd порождает свою вторую копию для выполнения запросов поиска имени DNS, поскольку поиск имени является действием блокировки. Значение по умолчанию: dns proxy = yes max wins ttl Этот параметр сообщает демону smbd(8), когда он действует как WINS-сервер (параметр 'wins support = yes'), какое максимально «время жизни» («time to live») NetBIOS-имён будет предоставлять nmbd (в секундах). Никогда не нужно изменять значение этого параметра. По умолчанию 6 дней (518400 секунд). Значение по умолчанию: 518400 min wins ttl Этот параметр сообщает демону smbd(8), когда он действует как WINS-сервер (параметр 'wins support = yes'), какое минимальное «время жизни» («time to live») NetBIOS-имён будет предоставлять nmbd (в секундах). Никогда не нужно изменять значение этого параметра. По умолчанию 6 часов (21600 секунд). Значение по умолчанию: 21600 nbtd:wins_prepend1Bto1Cqueries Обычно запросы для имен 0x1C (все logon server-а для домена) возвращают первый адрес из имен 0x1B (масте-браузер домена и PDC) в качестве первого адреса в списке результатов. Поскольку многие клиенты по умолчанию используют только первый адрес в списке, все клиенты будут использовать один и тот же сервер (PDC). Серверы Windows имеют возможность отключить это поведение (начиная с Windows 2000 Service Pack 2). Значение по умолчанию: yes nbtd:wins_wins_randomize1Clist Обычно запросы для имен 0x1C возвращают адреса в том же порядке, в каком они хранятся в базе данных, то есть сначала все адреса, которые были непосредственно зарегистрированы на локальном сервере WINS, а затем все адреса, зарегистрированные на других серверах. Серверы Windows имеют возможность изменить это поведение и рандомизировать возвращаемые адреса. При установке этого параметра (nbtd:wins_wins_randomize1Clist = yes) Samba будет сортировать список адресов в зависимости от адреса клиента и совпадающих битов адресов, первый адрес рандомизируется в зависимости от параметра 'nbtd:wins_randomize1Clist_mask'. Значение по умолчанию: nbtd:wins_wins_randomize1Clist = no nbtd:wins_randomize1Clist_mask Если параметр 'nbtd:wins_randomize1Clist' имеет значение yes, то рандомизация первого возвращенного адреса производится на основе указанной сетевой маски. Если есть адреса, которые находятся в той же подсети, что и адрес клиента, из них случайным образом выбирается первый возвращенный адрес. В противном случае из всех адресов случайным образом выбирается первый возвращенный адрес. Значение по умолчанию: 255.255.255.0 winsdb:local_owner Этот параметр определяет адрес, который хранится в атрибуте winsOwner локально зарегистрированных объектов winsRecord. По умолчанию используется IP-адрес первого сетевого интерфейса. Значения по умолчанию нет winsdb:dbnosync Этот параметр отключает fsync() после изменений в базе данных WINS. Значение по умолчанию: winsdb:dbnosync = no wins hook Если Samba запущена как сервер WINS, существует возможность для осуществления вызовов внешних программ для изменения базы данных WINS. Основное назначение этого параметра — разрешить динамическое обновление внешних баз данных, таких как динамический DNS. Параметр определяет имя сценария или программы вызываемой в формате: wins_hook operation name nametype ttl IP_list * Первый аргумент — это операция («add», «delete» или «refresh»). В большинстве случаев операцию можно игнорировать, поскольку остальные параметры предоставляют достаточную информацию. Обратите внимание, что операцию «refresh» можно использовать, когда имя ранее не было добавлено, этот случай нужно рассматривать как добавление. * Второй аргумент — NetBIOS имя. Если введенное имя не существует, 'wins hook' вызов не выполнится. Имя может содержать только буквы, цифры, дефисы, символы подчеркивания и периоды. * Третий аргумент — NetBIOS имя в формате 2 шестнадцатеричных чисел. * Четвертый аргумент — TTL (время жизни) имени в секундах. * Пятый и последующие аргументы — IP-адреса, в настоящее время зарегистрированные для этого имени. Если этот список пуст, имя следует удалить. Пример сценария, который вызывает программу обновления динамического DNS BIND nsupdate, находится в каталоге примеров исходного кода Samba. Значения по умолчанию нет wins proxy Этот параметр управляет поведением nmbd(8), будет ли тот отвечат на широковещательные запросы по разрешению имен от других компьютеров. Возможно, потребуется установить этот параметр (wins proxy = yes) для некоторых старых клиентов. Значение по умолчанию: wins proxy = no wins server Параметр определяет IP-адрес (или DNS-имя, IP-адрес предпочтительнее) для WINS-сервера. Если в сети уже есть WINS-сервер, пропишите в этом параметре его IP-адрес. Также если локальная сеть состоит из множества подсетей, необходимо указать в этом параметре WINS-сервер. При работе в множественном пространстве имен необходимо назначить каждому серверу имен свой «tag» (признак). Для каждого «tag» может быть назначен только один сервер имен. «tag» отделяется от IP-адреса двоеточием. Необходимо настроить Samba так, чтобы она указывала на WINS-сервер, если есть несколько подсетей и необходимо, чтобы просмотр между подсетями работал правильно (см. раздел «Network Browsing» руководства Samba3-HOWTO). Значение по умолчанию: пустая строка Пример: mary:192.9.200.1 fred:192.168.3.199 mary:192.168.2.61 В этом примере сначала будет опрошен сервер 192.9.200.1 и если он не отвечает 192.168.2.61. Если имя не будет разрешено, запрос пойдет на 192.168.3.199 Пример: 192.9.200.1 192.168.2.61 wins support Параметр определяет, будет ли процесс nmbd(8) в Samba работать как WINS-сервер. Не устанавливайте этот параметр (wins support = yes), если у вас нет нескольких подсетей, и вы не хотите чтобы nmbd работал как WINS-сервер. Никогда не устанавливайте этот параметр более чем на одной машине в пределах одной подсети. Значение по умолчанию: wins support = no wreplsrv:periodic_interval Максимальный интервал в секундах между двумя периодически запланированными запусками, когда мы проверяем наличие изменений wins.ldb и отправляем push-уведомления нашим push-партнерам. Также в этом интервале проверяются изменения wins_config.ldb и выполняются перезагрузки конфигурации партнера. Значение по умолчанию: 15 wreplsrv:propagate name releases Если этот параметр включен, то явное (от клиента) и неявное (через очистку) выпуски имени распространяются на другие серверы напрямую, даже если есть другие активные адреса, это относится к записям SPECIAL GROUP (2) и MULTIHOMED (3). Также алгоритм слияния конфликтов репликации для записей SPECIAL GROUP (2) отбрасывает адреса реплик, где владельцем адреса является локальный сервер, если адрес ранее не хранился локально. Результат слияния распространяется напрямую, если адрес был отброшен. Серверы Windows не распространяют версии имен записей SPECIAL GROUP (2) и MULTIHOMED (3) напрямую, что означает, что серверы Windows могут возвращать разные результаты для запросов имен для имен SPECIAL GROUP (2) и MULTIHOMED (3). Эта опция не имеет большого негативного влияния, если рядом есть серверы Windows, но имейте в виду, что они могут возвращать неожиданные результаты. Значение по умолчанию: wreplsrv:propagate name releases = no wreplsrv:scavenging_interval Интервал в секундах между двумя запусками очистки, которые очищают базу данных WINS и изменяют состояния просроченных записей имен. По умолчанию это половина значения 'wreplsrv:renew_interval'. Значения по умолчанию нет wreplsrv:tombstone_extra_timeout Время в секундах, в течение которого сервер должен работать, пока мы не удалим tombstone-записи из базы данных. По умолчанию 3 дня. Значение по умолчанию: 259200 wreplsrv:tombstone_interval Интервал, в течение которого все выпущенные записи WINS-сервера становятся tombstone-записями. По умолчанию 6 дней. Значение по умолчанию: 518400 wreplsrv:tombstone_timeout Интервал в секундах до удаления tombstone-записей из базы данных WINS. По умолчанию 1 день. Значение по умолчанию: 86400 wreplsrv:verify_interval Интервал в секундах, в течение которого проверяются активные записи реплик с WINS-сервером. К сожалению, еще не реализовано. По умолчанию 24 дня. Значение по умолчанию: 2073600 Сообщения Message of the day Содержимое текстового файла /etc/motd, отображается после успешного входа в систему, но непосредственно перед запуском пользовательской оболочки. Login Prompt Message Данная строка может содержать определенные escape-коды для отображения имени системы, даты, времени и т.д. Все escape-коды состоят из символа обратной косой черты (\), за которой сразу следует один из символов, перечисленных ниже. 4 или 4{интерфейс} Вставить IPv4-адрес указанного сетевого интерфейса (например, \4{eth0}). Если аргумент интерфейса не указан, выбрать первый полностью настроенный интерфейс (UP, non-LOCALBACK, RUNNING). Если ни один настроенный интерфейс не найден, вернуться к IP-адресу хоста машины. 6 или 6{интерфейс} Тоже, что и \4 но для IPv6. b Вставить несущую часть текущей строки. d Вставить текущую дату. e или e{имя} Преобразовать имя в escape-последовательность и вставьте ее (например, \e{red}Alert text.\e{reset}). Если аргумент имя не указан, тогда вставить \033. В настоящее время поддерживаются следующие имена: black, blink, blue, bold, brown, cyan, darkgray, gray, green, halfbright, lightblue, lightcyan, lightgray, lightgreen, lightmagenta, lightred, magenta, red, reset, reverse, и yellow. Все неизвестные имена игнорируются. s Вставить имя системы (имя операционной системы). То же, что и 'uname -s'. См. также escape-код \S. S или S{ПЕРЕМЕННАЯ} Вставить значение ПЕРЕМЕННОЙ из /etc/os-release. Если этот файл не существует, обратиться к /usr/lib/os-release. Если аргумент ПЕРЕМЕННАЯ не указан, тогда использовать PRETTY_NAME из файла или имени системы (см. \s). Этот escape-код позволяет сохранить распределение /etc/issue и независимый релиз. Обратите внимание, что \S{ANSI_COLOR} преобразуется в настоящую escape-последовательность терминала. l Вставить имя текущей линии tty. m Вставить идентификатор архитектуры машины. То же, что и 'uname -m'. n Вставить имя узла машины, также известное как имя хоста. То же, что и 'uname -n'. o Вставить NIS-имя машины. То же, что и 'hostname -d'. O Вставить DNS-имя машины. r Вставить номер версии ОС. То же, что и 'uname -r'. t Вставить текущее время. u Вставить количество текущих пользователей, вошедших в систему.. U Вставить строку «1 user» или «<n> users», где <n> — количество текущих пользователей, вошедших в систему. v Вставить версию ОС, то есть дату сборки и т.д. Значение по умолчанию: Welcome to \s \r \l Script and arguments Script and arguments Script and arguments Script and arguments Sudoers commands additional dns hostnames bind interfaces only config backend file dos charset enable core files mdns name netbios multicast dns register netbios aliases netbios name netbios scope realm server services s3fs, rpc, nbt, wrepl, ldap, cldap, kdc, drepl, winbindd, ntp_signd, kcc, dnsupdate, dns server string Samba %v share backend classic unix charset UTF-8 workgroup WORKGROUP interfaces browse list domain master auto enhanced browsing lm announce auto local master preferred master auto allow dns updates secure only dns forwarder dns update command /samba_dnsupdate dns zone scavenging gpo update command /samba-gpupdate nsupdate command /usr/bin/nsupdate -g spn update command /samba_spnupdate mangling method hash2 stat cache client ldap sasl wrapping sign ldap admin dn ldap delete dn ldap deref auto ldap follow referral auto ldap group suffix ldap idmap suffix ldap machine suffix ldap passwd sync no ldapsam:editposix no ldapsam:trusted no ldap server require strong auth yes ldap ssl start tls ldap ssl ads ldap suffix ldap user suffix smb2 leases debug class debug hires timestamp debug pid debug prefix timestamp debug uid log file logging log level 0 syslog only timestamp logs abort shutdown script "" add group script add machine script add user script add user to group script allow nt4 crypto auth event notification delete group script delete user from group script delete user script domain logons enable privileges init logon delayed hosts logon drive logon home \\%N\%U logon path \\%N\%U\profile logon script reject md5 clients set primary group script shutdown script add share command afs username map allow insecure wide links allow unsafe cluster upgrade async smb echo handler auto services cache directory change notify change share command cluster addresses clustering config file ctdbd socket default service delete share command dsdb event notification dsdb group change notification dsdb password event notification elasticsearch:mappings /elasticsearch_mappings.json fss: prune stale homedir map kernel change notify lock directory log writeable files on exit message command nbt client socket address 0.0.0.0 ncalrpc dir NIS homedir nmbd bind explicit broadcast panic action perfcount module pid directory registry shares remote announce remote browse sync reset on zero vc rpc_daemon:DAEMON disabled rpc_server:SERVER embedded smbd profiling level off state directory usershare allow guests usershare owner only usershare path /usershares usershare prefix allow list usershare prefix deny list usershare template share utmp utmp directory wtmp directory addport command addprinter command cups encrypt no cups server "" deleteprinter command disable spoolss enable spoolss enumports command iprint server "" load printers os2 driver map printcap name /etc/printcap show add printer wizard spoolss: architecture Windows NT x86 client ipc max protocol default client ipc min protocol default client max protocol default client min protocol SMB2_02 client use spnego dcerpc endpoint servers epmapper, wkssvc, rpcecho, samr, netlogon, lsarpc, drsuapi, dssetup, unixinfo, browser, eventlog6, backupkey, dnsserver defer sharing violations disable netbios enable asu support eventlog list large readwrite lsa over netlogon name resolve order lmhosts wins host bcast nt pipe support nt status support read raw rpc big endian server max protocol SMB3 server min protocol SMB2_02 share:fake_fscaps 0 smb ports 445 139 svcctl list time server unicode unix extensions write raw server multi channel support smb2 disable lock sequence checking smb2 disable oplock break retry rpc server dynamic port range 49152-65535 allow dcerpc auth level connect allow trusted domains binddns dir check password script client ipc signing default client lanman auth client NTLMv2 auth client plaintext auth client schannel yes client signing default client use spnego principal debug encryption dedicated keytab file encrypt passwords guest account nobody kerberos encryption types all kerberos method default lanman auth log nt token command map to guest Never mit kdc command ntlm auth ntlmv2-only ntp signd socket directory null passwords obey pam restrictions pam password change passdb backend tdbsam passdb expand explicit passwd chat *new*password* %n\n *new*password* %n\n *changed* passwd chat debug passwd program password hash gpg key ids password hash userPassword schemes password server * preload modules private dir raw NTLMv2 auth rename user script root directory samba kcc command /samba_kcc security AUTO server role AUTO server schannel yes server signing default smb passwd file tls cafile tls/ca.pem tls certfile tls/cert.pem tls crlfile tls dh params file tls enabled tls keyfile tls/key.pem tls verify peer as_strict_as_possible unix password sync username map username map script tls priority NORMAL:-VERS-SSL3.0 getwd cache hostname lookups socket options TCP_NODELAY use mmap get quota command host msdfs set quota command apply group policies create krb5 conf idmap backend tdb idmap gid idmap uid include system krb5 conf neutralize nt4 emulation reject md5 servers require strong key template homedir /home/%D/%U template shell /bin/false winbindd socket directory winbind enum groups winbind enum users winbind:ignore domains winbind nested groups winbind normalize names winbind nss info template winbind offline logon winbind refresh tickets winbind rpc only winbind scan trusted domains winbind sealed pipes winbind separator \ winbind use default domain winbind use krb5 enterprise principals dns proxy nbtd:wins_prepend1Bto1Cqueries yes nbtd:wins_wins_randomize1Clist no nbtd:wins_randomize1Clist_mask 255.255.255.0 winsdb:local_owner winsdb:dbnosync no wins hook wins proxy wins server wins support wreplsrv:periodic_interval 15 wreplsrv:propagate name releases no wreplsrv:scavenging_interval wreplsrv:tombstone_extra_timeout 259200 wreplsrv:tombstone_interval 518400 wreplsrv:tombstone_timeout 86400 wreplsrv:verify_interval 2073600 Message of the day Login Prompt Message Welcome to \s \r \l