Видеть несправедливость и молчать – это значит, самому участвовать в ней

Разговаривают два мужика. Один другому: ...

Выпуск дистрибутива Ubuntu 19.04
Thu, 18 Apr 2019 16:19:40 +0300

Релиз OpenSSH 8.0
Thu, 18 Apr 2019 15:08:14 +0300

Oracle меняет лицензию на сборки Java SE. Red Hat взял на себя сопровождение OpenJDK 8 и 11
Thu, 18 Apr 2019 07:53:55 +0300

Компания Mozilla опубликовала систему локализации Fluent 1.0
Wed, 17 Apr 2019 22:48:43 +0300

Zend Framework перешёл под крыло организации Linux Foundation
Wed, 17 Apr 2019 20:07:21 +0300

Релиз Memcached 1.5.13 с поддержкой TLS
Wed, 17 Apr 2019 14:23:18 +0300

Выпуск VirtualBox 6.0.6
Wed, 17 Apr 2019 12:00:12 +0300

Обновление Java SE, MySQL, VirtualBox и других продуктов Oracle с устранением уязвимостей
Wed, 17 Apr 2019 11:11:11 +0300

Опубликован код старых игр Infocom, включая Zork
Tue, 16 Apr 2019 21:59:48 +0300

Выпуск nginx 1.15.12
Tue, 16 Apr 2019 19:17:57 +0300

Кандидат в релизы инсталлятора Debian 10 "Buster"
Tue, 16 Apr 2019 15:07:48 +0300

Уязвимость в Adblock Plus, позволяющая выполнить код при использовании сомнительных фильтров
Tue, 16 Apr 2019 07:31:43 +0300

Результаты совместного финансирования OpenNET в 2019 году
Mon, 15 Apr 2019 20:39:04 +0300

DXVK 1.0.3 с реализацией Direct3D 10/11 поверх API Vulkan
Mon, 15 Apr 2019 19:40:33 +0300

Проект NetBSD развивает новый гипервизор NVMM
Mon, 15 Apr 2019 14:20:21 +0300

Выпуск Bedrock Linux 0.7.3, сочетающего компоненты различных дистрибутивов
Mon, 15 Apr 2019 08:34:05 +0300

Выпуск языка программирования Rust 1.34
Sun, 14 Apr 2019 11:07:21 +0300

Релиз GhostBSD 19.04
Sun, 14 Apr 2019 08:17:08 +0300

Проект VSCodium развивает полностью открытый вариант редактора Visual Studio Code
Sat, 13 Apr 2019 11:53:48 +0300

NVIDIA открыла код системы машинного обучения, синтезирующей пейзажи по наброскам
Sat, 13 Apr 2019 08:58:21 +0300

Первый публичный выпуск дополнения NoScript для Chrome
Sat, 13 Apr 2019 08:17:37 +0300

Судебный иск против Adblock Plus, манипулирующий изменением кода на сайтах
Fri, 12 Apr 2019 23:53:15 +0300

Выпуск текстового редактора GNU Emacs 26.2
Fri, 12 Apr 2019 23:00:10 +0300

Выпуск Wine 4.6
Fri, 12 Apr 2019 22:49:33 +0300

Выпуск дистрибутива NixOS 19.03, использующего пакетный менеджер Nix
Fri, 12 Apr 2019 22:20:17 +0300

Новая версия интерпретатора GNU Awk 5.0
Fri, 12 Apr 2019 21:08:45 +0300

Релиз системы обнаружения атак Snort 2.9.13.0
Fri, 12 Apr 2019 20:29:36 +0300

Подробности про второй взлом Matrix. Скомпрометированы GPG-ключи проекта
Fri, 12 Apr 2019 19:31:29 +0300

Взлом инфраструктуры matrix.org
Fri, 12 Apr 2019 10:38:07 +0300

Выпуск системного менеджера systemd 242
Fri, 12 Apr 2019 10:04:31 +0300

Результат опроса предпочтений разработчиков от Stack Overflow
Thu, 11 Apr 2019 22:10:07 +0300

Релиз Proxmox VE 5.4, дистрибутива для организации работы виртуальных серверов
Thu, 11 Apr 2019 21:22:45 +0300

Google предложил блокировать загрузку некоторых файлов через HTTP по ссылкам с HTTPS-сайтов
Thu, 11 Apr 2019 14:43:18 +0300

Уязвимости в технологии защиты беспроводных сетей WPA3 и в EAP-pwd
Thu, 11 Apr 2019 13:44:29 +0300

Корректирующий выпуск Firefox 66.0.3
Wed, 10 Apr 2019 22:13:36 +0300

В Firefox Beta добавлен блокировщик скриптов майнинга и скрытой идентификации
Wed, 10 Apr 2019 13:47:46 +0300

Сбор средств на поддержание ленты новостей OpenNET в 2019 году (дополнено)
Tue, 09 Apr 2019 16:03:06 +0300

Около 5.5% сайтов используют уязвимые реализации TLS
Tue, 09 Apr 2019 13:52:32 +0300

Система управления конфигурацией Chef стала полностью открытым проектом
Tue, 09 Apr 2019 11:22:14 +0300

Выпуск облачной платформы Apache CloudStack 4.12
Tue, 09 Apr 2019 08:24:22 +0300

Web сервер Лицензия Apache DNS сервер SAMBA сервер настройки SAMBA
Формат конфигурационного файла smb.conf

Настройка фаил-сервера SAMBA относительно проста, для корректной работы сервиса необходимо настроить всего один фаил - smb.conf. Этот файл определяет, к каким системным ресурсам предоставляется доступ для внешнего мира, и какие ограничения существуют на использование этих ресурсов.

Конфигурационный файл имеет текстовый формат и разбит на разделы. Каждый раздел начинается с заголовка раздела, такого как [global], [homes] и т.п. Названия всех разделов в файле smb.conf заключены в прямоугольные скобки [ ].
Раздел [global] определяет переменные, которые Samba будет использовать для определения доступа ко всем ресурсам. Все остальные секции описывают отдельный ресурс сервера.
Специальный раздел [homes] позволяет удаленным пользователям иметь доступ к своим домашним директориям. Так что, если пользователи Windows попытаются подключиться к этому разделу со своих Windows-машин, то они будут подключены к своим персональным домашним директориям.
Отдельные записи в разделах указываются в соответствии с формулой name = значение.
Далее приводится описание всех переменных, значения которых можно установить в конфигурационном файле.

Перед описанием файла smb.conf в данном пункте описывается использование подстановки переменных. Она может использоваться во многих строках файла smb.conf. Перед тем как обработать команду, Samba выполняет подстановки.
Ниже приведен список всех возможных подстановочных переменных:
- %S Имя текущей службы,
- %Р Корневой каталог текущей службы,
- %u Пользователь текущей службы,
- %g Основная группа %u,
- %U Имя пользователя для сеанса (может отличаться от имени, запрошенного клиентом),
- %G Основная группа %U,
- %Н Домашний каталог пользователя,
- %v Версия Samba,
- %h Имя хоста, на котором работает Samba,
- %m NetBIOS-имя компьютера-клиента,
- %L NetBIOS-имя сервера. Эта переменная может оказаться полезной в том случае, если вы на одном Samba-сервере запускаете несколько NetBIOS-серверов;
- %М Имя хоста для компьютера-клиента;
- %R Выбранный после установления соединения уровень протокола; - %d Номер текущего серверного процесса;
- %а Операционная система клиента (значение может быть неверным).
В настоящее время распознаются такие системы, как Samba, Windows for Workgroups, Windows NT и Windows 95. Если система неизвестна для Samba, значением переменной является UNKNOWN.
- %I IP-адрес клиентской машины;
- %T Текущие дата и время.

Глобальные переменные

Основные параметры (Base options)
Основные параметры на странице расширенных настроек определяют, как Samba-сервер выглядит со стороны клиентов и в каких рабочих группах и сетях он доступен. Ниже обсуждаются все основные параметры.

Параметр workgroup

Значение по умолчанию - workgroup. Этот параметр определяет, в какой рабочей группе будет находиться сервер. При получении запроса от клиента Samba-сервер будет сообщать, что он принадлежит к рабочей группе, заданной этим параметром.
Этот параметр также используется для задания имени домена (параметр security установлен в значение domain), если Samba-сервер должен подключиться к NT-домену или Samba сам используется в качестве контроллера домена.
В следующем примере устанавливается рабочая группа bee-hive:

workgroup bee-hive

Параметр NetBIOS name

По умолчанию в качестве NetBIOS-имени сервера Samba использует DNS-имя компьютера. Если вы не используете DNS, то это поле будет пустым.
Этот параметр устанавливает NetBIOS-имя Samba-сервера. По умолчанию оно совпадает с первым компонентом DNS-имени хоста.
В следующем примере устанавливается NetBIOS-имя sugar:

netbios name sugar

Параметр NetBIOS aliases

Значение по умолчанию - пустая строка (нет псевдонимов).
Параметр предназначен для создания группы NetBIOS-имен, которые nmbd будет анонсировать как дополнительные имена, для которых Samba-сервер может предоставлять службы. Однако даже если компьютер работает в качестве сервера просмотра (browser server) или сервера авторизации (logon server), то эти имена не анонсируются как имена сервера просмотра или сервера авторизации; только основное NetBIOS-имя системы будет являться именем сервера просмотра или сервера авторизации.
В следующем примере создаются NetBIOS-псевдонимы sweetie и honey:

netbios aliases = sweetie honey

После того как вы установите этот параметр, сервер будет отзываться не только на свое основное имя (sugar), но и на имена sweetie и honey.

Параметр server string

По умолчанию строкой описания сервера является номер версии Samba (соответствующее значение в файле smb.conf - samba %v). Еще одна переменная подстановки, которую удобно использовать в строке описания сервера, - %h (она указывает имя хоста, на котором запущен сервер). Параметр определяет, какая текстовая строка появится на клиентах в качестве комментария к серверу при просмотре сети, а также при выполнении команды net view. В качестве значения может использоваться любая строка.
В следующем примере строка описания сервера sugar устанавливается в значение Sugar - The Bee-Hive Workgroup:

server string = SuSe Samba Server

Параметр interfaces

Этот параметр позволяет задать несколько сетевых интерфейсов для того, чтобы Samba-сервер смог надлежащим образом использовать службу просмотра. Значением параметра является список пар IP-адрес - маска подсети. Маска подсети может быть задана в одном из двух видов - побитово либо длиной.
Например, следующая строка:

interfaces = 192.168.100.240/255.255.255.0 192.168.200.250/255.255.255.0

задает два сетевых интерфейса IP-адресами 192.168.100.240 и 192.168.200.250. Маски подсетей для этих интерфейсов совпадают и установлены в значение 255.255.255.0.
Того же самого эффекта можно достичь при помощи строки:

interfaces = 192.168.99.24/24 192.168.200.250/24

Параметр interfaces позволяет использовать оба формата.
Если значение этого параметра не задано, то Samba пытается найти основной интерфейс, но не будет использовать дополнительные интерфейсы. Если в вашем компьютере не установлено несколько сетевых карт, то оставьте значите этого параметра пустым; Samba найдет вашу сетевую карту и автоматически определит IP-адрес и маску подсети.
Если у вас две или более сетевых карты, также прочитайте ниже описание параметра bind interfaces.

Параметр bind interfaces only

Этот глобальный параметр позволяет вам ограничить список сетевых интерфейсов компьютера, для которых будет производиться обработка SMB-запросов. Файловая служба smbd и служба имен nmbd используют значение этого параметра немного по-разному.
Служба nmbd использует порты 137 и 138 сетевых интерфейсов, указанных в параметре interfaces, а также и порты 137 и 138 для адреса 0.0.0.0 с целью получения широковещательных сообщений. Если параметр bind interfaces only не установлен, то nmbd обрабатывает все запросы к службе имен, поступающие через эти сокеты. Если параметр установлен в значение yes, то для пакетов, поступивших на широковещательный сокет, производится проверка адреса отправителя, и запрос обрабатывается только в том случае, если данный адрес находится в одной из подсетей, заданных параметром interfaces; кроме того, не производится обработка пакетов, поступивших через не указанные в параметре interfaces интерфейсы. Однако это не метод обеспечения безопасности. Метод подмены IP-адреса (IP spoofing) хорошо известен и позволяет обойти эту простую проверку.
Что касается службы smbd, то если параметр bind interfaces only установлен в значение yes, будут обрабатываться только запросы с интерфейсов, указанных в параметре interfaces. Это ограничивает список сетей, для которых обрабатываются SMB-запросы. Вы также должны добавить адрес 127.0.0.1 в список адресов в параметре interfaces. IP-адрес 127.0.0.1, так называемый локальный адрес, является используемым по умолчанию адресом для тестирования и прочих функций для всех Ethernet-карт. Если вы не включите этот адрес в значение параметра interfaces локальные средства взаимодействия с сервисом могут вести себя непредсказуемым образом.
Значение параметра по умолчанию:

bind interfaces only = No

Для того чтобы установить параметр, измените эту строчку на следующую:

bind interfaces only = Yes

Параметры безопасности (Security options)

Эти параметры определяют, как служба smbd отвечает на запросы клиентов. Все описанные ниже параметры помогают вам защитить вашу систему и скрыть различия между Windows и UNIX. Один из параметров мы уже обсуждали в предыдущем разделе - параметр workgroup при использовании политики безопасности NT-домена также можно отнести к параметрам безопасности.

Параметр security

Значение по умолчанию security = user, поскольку оно чаше всего используется при взаимодействии с Windows 95/98 и Windows NT. Если имена пользователей на ваших клиентских машинах совпадают с их именами на UNIX-сервере, то тогда вам следует использовать
security = user. Однако в этом случае сложнее создать разделяемые диски для публичного доступа. Вне зависимости от того, какой вариант вы выберете для вашей сети, взаимодействие между клиентом и сервером происходит по описанной ниже схеме. Сервер следует этой процедуре для того, чтобы определить, позволит ли он произвести подключение к разделяемому ресурсу. Если все шаги заканчиваются неуспехом, в соединении будет отказано. Если один из шагов был успешен, последующие шаги не выполняются:
1) если клиент передал пару имя/пароль и система безопасности ЗОС "Феникс" подтвердила ее корректность, то производится соединение под данным именем пользователя. Этот вариант включает в себя метод передачи имени пользователя совместно с именем разделяемого ресурса, применяемый в NT: \\sugar\sharel edwardb;
2) если клиент указал имя пользователя при установлении предыдущего соединения и в этот раз передал правильный пароль для этого имени, то соединение разрешается;
3) производится сопоставление NetBIOS-имени клиента и всех использованных ранее имен пользователей с переданным паролем. Если пароль соответствует одному из имен, соединение разрешается; 4) если клиент ранее передавал пару имя/пароль, и она была признана сервером корректной, то разрешается соединение для данного имени пользователя. Если параметр revalidate установлен в значение yes, то этот шаг пропускается;
5) если для разделяемого ресурса, попытка подключения к которому производится, в файле smb.conf при помощи параметра user задан список пользователей, и клиент передал правильный пароль для одного из пользователей, то разрешается соединение для этого пользователя;
6) если разделяемый ресурс является ресурсом для публичного доступа, то производится подключение под именем пользователя, заданного для этого ресурса при помощи параметра guest account, вне зависимости от переданного пароля.
Параметр security имеет четыре доступных значения:

security = user (безопасность на уровне пользователей);
security = share (безопасность на уровне ресурсов);
security = server (безопасность на уровне сервера);
security = domain (безопасность на уровне домена).

По умолчанию используется значение security = user. Безопасность на уровне пользователей требует от клиента подключаться к разделяемым ресурсам при помощи корректных имени пользователя и пароля (соответствие которых именам пользователей ЗОС "Феникс" может быть указано при помощи параметра username map). В этом режиме безопасности также могут использоваться шифрованные пароли (см. параметр encrypt passwords). Если установлены такие параметры, как user и guest only, то они применяются и могут изменить имя пользователя, с правами которого устанавливается соединение - но это происходит только после успешной аутентификации пользователя. Это связано с тем, что имя ресурса, запрос на соединение с которым производится, пересылается на сервер только после успешной аутентификации клиента. Именно поэтому публично доступные ресурсы не будут работать при использовании безопасности на уровне пользователей без автоматического отображения неизвестных серверу пользователей в гостевую учетную запись (см. параметр map to guest, Security options, 6).
Значение security = share не требует от клиентов подключения к серверу с использованием имени пользователя и пароля до попытки подключения к разделяемому ресурсу. Клиенты на базе Windows 95/98 и Windows NT при подключении к серверу, на котором используется безопасность на уровне ресурсов, будут по-прежнему передавать запрос на аутентификацию, в котором будет указано имя пользователя, но не будет указан пароль. Пароли для аутентификации отправляются клиентами для каждого ресурса отдельно, непосредственно при попытке подключения к нему. Служба smbd всегда выполняет запросы клиента от имени существующего пользователя ЗОС "Феникс", даже при использовании безопасности на уровне ресурса. Демон smbd использует несколько методов для определения, от имени какого конкретно пользователя он должен работать при выполнении того или иного запроса. Сначала создается список возможных пользователей для проверки пароля, потом производится проверка пароля:
Если установлен параметр smbd, то все другие стадии пропускаются и проверяется только имя гостевой учетной записи.
Если при запросе на подключение к разделяемому ресурсу клиентом было передано имя пользователя, то это имя пользователя (после отображения в локальные имена, см. параметр username map) добавляется в список.
Если клиент подключался к серверу ранее, то использованное им при предыдущем подключении имя добавляется в список. Имя ресурса, подключение к которому запрашивает клиент, также добавляется в список в качестве имени пользователя. В список также добавляется NetBIOS-имя клиента.
Если не установлен параметр guest only, то производится проверка соответствия указанного клиентом пароля всем именам из списка. Первый пользователь из списка, для которого данный пароль подошел, и будет тем UNIX-пользователем, от имени которого работает smbd.
Если параметр guest only установлен или имя пользователя, соответствующее паролю, не найдено, то производится проверка - является ли запрашиваемый ресурс публично доступным.
Если ресурс является публично доступным, то smbd работает от имени пользователя-гостя, в противном случае в подключении будет отказано.
В режиме security - server Samba пытается проверять корректность пароля для данного имени пользователя передавая их другому SMB-серверу (возможно, NT-системе). Если проверка закончилась неуспехом, то Samba переходит на использование безопасности на уровне пользователей (security = user).
С точки зрения клиента, security = server ничем не отличается от security = user. Разница заключается только в том, как сервер производит аутентификацию. Запомните, что имя запрашиваемого клиентом ресурса не передается на сервер до того, как будет произведена успешная аутентификация пользователя. Именно поэтому публично доступные ресурсы не будут работать при безопасности на уровне сервера, если только вы не разрешите серверу автоматически отображать неизвестных пользователей в гостевую учетную запись (см. параметр map to guest).
Режим security = domain правильно работает только в том случае, если Samba-сервер был добавлен в домен Windows NT при помощи программы smbclient. Ожидается, что при использовании этого режима будут включены шифрованные пароли (см. encrypted passwords). В этом режиме Samba пытается проверять корректность пароля, передавая его основному или дополнительному контроллеру домена, точно так же, как это делает Windows NT. С точки зрения клиента, security = domain ничем не отличается от security = user. Как и в случае
security =server, имя запрашиваемого ресурса не передается на сервер до успешного проведения аутентификации. Именно поэтому публично доступные ресурсы не будут работать при безопасности на уровне домена, если только вы не разрешите серверу автоматически отображать неизвестных пользователей в гостевую учетную запись (см. параметр map to guest).
По умолчанию используется значение:

security = USER

Для того чтобы установить безопасность на уровне домена, используйте:

security = DOMAIN

Параметр encrypt passwords

Этот параметр указывает, должны ли использоваться при коммуникациях с клиентом шифрованные пароли. Windows NT 4.0 SP3 и более поздние версии, а также Windows 95/98 по умолчанию (если не вносились специальные изменения в реестр) ожидают использование шифрованных паролей. За исключением того случая, когда у вас есть устаревшие приложения, работающие только под управлением Windows for Workgroups или DOS-клиенты, установите encrypt passwords = yes. (Неужели вы хотите редактировать реестр на каждом клиенте?).
Значение по умолчанию:

encrypt passwords = No

Для того чтобы включить шифрованные пароли, измените эту строку на:

encrypt passwords = Yes

Параметр update encrypted

Этот параметр предназначен для тех администраторов и пользователей, которые переходят со старых версий Samba или Windows. Он позволяет произвести постепенный переход на использование шифрованных паролей - без необходимости для каждого пользователя повторно задать свой пароль при помощи программы smbpasswd в момент перехода. Если все пользователи уже имеют шифрованное представление своего пароля в файле smbpasswd, данный параметр должен быть установлен в значение No. Для правильной работы Samba при включенном режиме плавного перехода на шифрованные пароли (Update encrypted = yes) параметр encrypt passwords должен быть установлен в значение yes.
Значение по умолчанию:

update encrypted - No

Чтобы включить режим плавного перехода на шифрованные пароли, измените эту строку на:

update encrypted - Yes

Параметр map to guest

Этот параметр очень важен при использовании безопасности на уровне пользователей, сервера или домена. Дело в том, что в этих режимах имя запрашиваемого ресурса не передастся на сервер до успешного завершения аутентификации пользователя. Параметр может принимать три различных значения, которые определяют поведение smbd в том случае, если указанное клиентом имя пользователя не соответствует ни одному из имен пользователей UNIX-системы:
- never значение по умолчанию. Доступ для пользователей, указавших неверный пароль, будет запрещен;
- bad user доступ для пользователей, указавших неверный пароль, будет запрещен, если указанное имя пользователя имеется в ЗОС "Феникс". В противном случае пользователь считается "гостем" и получает права гостевой учетной записи;
- bad password все пользователи, указавшие неверный пароль, считаются "гостями", и получают права гостевой учетной записи. Не используйте этот режим. Если он включен, то пользователь, неверно набравший свой пароль, без всяких предупреждений подключается к системе как "гость" и в результате не может получить доступ к своим файлам.
Значение по умолчанию:

map to guest = never

Для того чтобы изменить значение параметра на bad user, используйте:

map to guest = bad user

Параметр null passwords

Параметр разрешает или запрещает доступ клиентов к учетным записям, для которых не установлен пароль. Это еще один параметр, который не следует включать.
Значение по умолчанию:

null passwords = No

Чтобы включить параметр, измените это на:

null passwords = Yes

Параметр password server

Этот параметр позволяет вам задать имя другого SMB-сервера. При работе в режиме безопасности на уровне домена или безопасности на уровне сервера Samba будет производить проверку корректности имен/паролей при помощи указанного удаленного сервера. Вам следует указывать в качестве значения параметра NetBIOS-имя сервера. Если NetBIOS-имя сервера отличается от его Интернет-имени, укажите имя сервера в файле lmhosts (он находится в том же каталоге, что и smb.conf). Адрес сервера паролей определяется при помощи методов, перечисленных в значении параметра name resolve order, в указанном порядке. Сервер паролей должен представлять собой систему, способную использовать протокол LM 1.2X002 или LM NT 0.12, и сервер должен работать в режиме безопасности па уровне пользователей. Не указывайте вашему
Samba-серверу на самого себя в качестве сервера паролей! Это может вызвать зацикливание и "завесить" ваш сервер.
Если вы используете безопасность на уровне домена, то обсуждаемый параметр должен задавать имя основного или дополнительного контроллера вашего домена. В этом случае вы можете в качестве значения параметра password server указывать список имен, и smbd будет пытаться обращаться к данным серверам по очереди до тех пор, пока не получит ответ от одного из них. Это полезно в том случае, если ваш основной контроллер домена вдруг отказал.
Если вы используете безопасность на уровне сервера, то имеются дополнительные ограничения. Вы опять можете указать в качестве значения password server список имен; однако если один из перечисленных серверов отказал, то при его помощи более не будет производиться аутентификация пользователей. Эго ограничение протокола SMB/CIFS и не может быть исправлено в Samba.
По умолчанию значение параметра - пустая строка:

password server =

Для того чтобы включить проверку имен и паролей при помощи NetBIOS-серверов sugar и terrapin, задайте:

password server = sugar, terrapin

Параметр root directory

При запуске сервер сделает указанный каталог своим корневым каталогом. Смена корневого каталога с/ на какой-либо другой повышает безопасность системы. Однако за каждое улучшение безопасности нужно платить. Если вы используете этот параметр, вы можете быть уверены, что сервер никаким образом не сможет получить доступ к файлам, находящимся вне дерева каталогов, начинающегося с указанного корневого каталога. Это касается и файлов, необходимых для нормальной работы сервера. В частности, вам может потребоваться создать копии файлов, обычно находящихся в каталоге /etc.
Значение по умолчанию:

root directory = /

Для того чтобы установить каталог /opt/samba/home в качестве корневого, используйте:

root directory = /opt/samba/home

Параметр username map

Параметр задает файл, содержащий правила отображения имен пользователей клиента на имена пользователей ЗОС "Феникс". Этот параметр предназначен только для удобства (подумайте о том, какую дополнительную нагрузку создает отображение). Если вы собираетесь отобразить имена всех пользователей на клиентах, почему бы просто не создать для них соответствующих пользователей в UNIX-системе? А вот для того, чтобы отобразить пользователя Administrator NT-системы на пользователя root UNIX-системы (если вам нужен кросс-платформенный административный доступ) - это самое подходящее место.
Каждая строка файла, описывающего правила отображения, должна начинаться с одного имени пользователя в ЗОС "Феникс", за которым после знака = должен следовать список имен. В этом списке для обозначения произвольного имени может использоваться специальный символ *. Максимальная длина одной строки составляет 1023 символа. Ограничение на количество строк отсутствует. Файл с правилами отображения обрабатывается построчно. Если строка начинается с символа # или ; - она игнорируется. Например, чтобы определить отображение имен admin и administrator на имя root в UNIX-системе, укажите в файле строку:

# запись для отображения NT-аднинистратора на root
root = admin administrator

По умолчанию отображение пользователей не включено - значением параметра является пустая строка:

username map =

В нашем примере файл правил называется user.map и находится в каталоге /usr/local/samba/1ib:

username map = /usr/local/samba/1ib/user.map

Параметр password level

В некоторых сочетаниях "клиент-сервер" возникают трудности при использовании паролей, содержащих буквы как в верхнем, так и в нижем регистре. Большинство современных клиентов не имеют проблем при обработке паролей в смешанном регистре. Этот параметр на самом деле предназначен для работы с Windows for Workgroups, которая при использовании протокола LANMAN1 требует пароля в верхнем регистре. Значением обсуждаемого параметра является число, которое задает максимально возможное число символов в верхнем регистре в пароле. Чем оно больше, тем больше вероятность, что пароль в верхнем регистре будет признан верным, несмотря на то, что настоящий пароль содержит символы как верхнего, так и нижнего регистра. Вы должны осознавать, что использование этого параметра снижает безопасность системы и увеличивает время, затрачиваемое на установление нового соединения. Если в вашей сети пег старых клиентов на базе Windows for Workgroups или DOS, оставьте для этого параметра значение по умолчанию (ноль). В этом случае проверяются всего два пароля - пароль, присланный клиентом, и тот же пароль, все символы которого переведены в нижний регистр.
Например, если клиент прислал пароль STRAW и password level = 1, то, если сам пароль не подошел, будут также проверены следующие комбинации:

Straw, sTraw, stRaw. strAw. Straw
Если password level = 2, то будут также проверены пароли:

STraw StRaw. StrAw. StraW. sTRaw. sTrAw.
Значение по умолчанию:

password level = 0

В примере ниже установлено значение 4:

password level = 4

Параметр username level

Этот параметр, как и предыдущий, предназначен для работы Samba с устаревшими клиентами. DOS-клиенты передают имя пользователя всегда в верхнем регистре. По умолчанию Samba пытается использовать имя в нижнем регистре, и затем имя в нижнем регистре с первой буквой в верхнем. Если эти две попытки найти соответствующее имя на UNIX-системе не удались, то клиенту будет отказано в подключении. Однако если параметр username level имеет ненулевое значение, то поведение Samba меняется. Значением данного параметра является число различных вариаций имени (полученных путем преобразования отдельных символов в верхний регистр), которые будут проверены на соответствие имени в UNIX-системе. Чем больше число, тем больше комбинаций проверяется. Опять же, как и в случае с password level, использование этого параметра уменьшает и безопасность, и быстродействие. Чем больше значение параметра, тем медленнее производится поиск имени. Этот параметр может быть полезен в том случае, если на вашей UNIX-системе есть странные имена наподобие WhatALongStrangeNamenic или же вы используете клиенты на базе DOS или Windows for Workgroups.
Значение по умолчанию:

username level = 0

Установлено значение 5:

username level = 5

Параметр revalidate

Этот параметр работает только при использовании безопасности на уровне ресурсов (security = share). Он определяет, будет ли Samba позволять использовать ранее проверенную пару имя/пароль для подключения к новому ресурсу. По умолчанию разрешается подключение без проведения повторной проверки. Если вы установите параметр в значение yes, затем подключитесь к ресурсу \\sugar\lesh и, наконец, попытаетесь произвести подключение к \\sugar\hart, Samba не разрешит клиенту автоматического подключения, несмотря на то, что клиент отправит то же самое имя пользователя, что и ранее.
Значение по умолчанию:

revalidate = No

Чтобы включить обязательную проверку пароля при подключении к каждому новому ресурсу, используйте:

revalidate = Yes

Параметр username

Еще один параметр для работы с устаревшими клиентами на базе DOS и Windows for Workgroups. Как и в случае password level и username level, при использовании этого параметра ухудшаются безопасность системы и ее производительность. Значением параметра должен являться список имен пользователей, отделенных друг or друга запятыми. Пароль, переданный клиентом, проверяется на соответствие каждому из этих имен по очереди.
Значение по умолчанию - пустая строка (нет пользователей):

username =

Параметр guest account

Этот параметр задает имя пользователя, используемое для доступа к публичным ресурсам (см. guest of). Привилегии этого пользователя получают любые клиенты, присоединяющиеся к публично доступным ресурсам. Указанный в качестве значения параметра пользователь не должен иметь возможность нормально войти в систему.
Значение по умолчанию задается при компиляции; обычно это nobody:

guest account = nobody

Для того чтобы использовать в качестве гостевой учетной записи ftp, поменяйте эту строку па следующую:

guest account = ftp

Параметр invalid users

Значением параметра является список пользователей, которым запрещен доступ к системе. Хорошей идеей будет установить
invalid users = administrator, если вы не нуждаетесь в кросс-платформенном администрировании.
По умолчанию пользователей, которым запрещен доступ, нет. Значение параметра - пустая строка:

invalid users =

Чтобы запретить доступ администраторам NT-системы, используйте:

invalid users = administrator admin

Параметр valid users

Значением параметра является список пользователей, которым разрешен доступ к системе. Параметр не является обязательным. По умолчанию его значением является пустая строка, что означает, что доступ разрешен всем. Если пользователь указан одновременно и в списке valid users, и в списке invalid users, то доступ для него запрещен.
По умолчанию значением параметра является пустая строка, то есть всем пользователям разрешен доступ к системе:

valid users =

Для того чтобы разрешить доступ к системе только пользователю phil, используйте:

valid users = phil

Параметр admin users

Значением параметра является список пользователей, имеющих административные привилегии для ресурсов. Указанные пользователи могут работать с файлами на разделяемых ресурсах с правами пользователя root. Это еще один параметр, который не следует использовать.
По умолчанию значением параметра является пустая строка (нет пользователей с полномочиями администратора):

admin users =

Для того чтобы наделить пользователя georgeh полномочиями администратора, используйте:

admin users = georgeh

Параметр read list

Параметр представляет собой список пользователей, доступ к ресурсам которым предоставляется в режиме "только для чтения".
Значение по умолчанию - пустая строка (ни один пользователь не ограничен в доступе):

read list =

Для того чтобы разрешить для пользователей phi! и cheese доступ исключительно в режиме "только для чтения", используйте:

read list = phil cheese
Параметр write list

Параметр представляет собой список пользователей, которым предоставляется доступ к ресурсам в режиме "чтение и запись", даже если ресурс помечен как "только для чтения". Если пользователь входит одновременно в списки read list и write list, то он получает доступ в режиме "чтение и запись".
Значение по умолчанию - пустая строка (ни один пользователь не получает доступа на запись к ресурсам "только для чтения"):

write list =

Для того чтобы разрешить для пользователей admin и root доступ в режиме "чтение и запись" к ресурсам, помеченным как "только для чтения", используйте:

write list = admin root

Параметр hosts allow

Значением этого параметра является список узлов, которым разрешен доступ к службе. В качестве разделителей могут использоваться запятая, пробел и символ табуляции. Если параметр задан в разделе globals, то он относится ко всем разделяемым ресурсам; более того, если для конкретного ресурса запрещен доступ для одного из узлов, указанных в списке hosts allow в разделе globals, то доступ все равно разрешается. Узлы в списке можно задавать при помощи имени, IP-адреса или пары IP-адрес-маска подсети. При использовании символа подстановки * для того, чтобы задать исключения, допустимо применять также ключевое слово except.
Если вы используете параметр hosts allow, то вы должны включить в список узлов, которым разрешен доступ, локальный узел - localhost. Samba требуется доступ к локальному интерфейсу, чтобы работать так, как вы этого ожидаете.
В следующем примере доступ к Samba разрешен для локального узла и всех узлов с IP-адресами 192.168.*.*:

hosts allow = localhost, 192.168.*.*

Чтобы разрешить доступ локальному узлу и узлам из указанной подсети, используйте:

hosts allow - localhost, 192.168.99.0/255.255.255.0

Чтобы разрешить доступ локальному узлу и двум системам с заданными именами:

hosts allow = localhost, terrapin, deal

Чтобы разрешить доступ локальному узлу и подсети с одним исключением:

hosts allow - localhost, 192.168.99.0/255.255.255.0 except 192.168.99.222

Значение по умолчанию - пустая строка (доступ разрешен всем узлам):

hosts allow =

Параметр hosts deny

Этот параметр играет обратную hosts allow роль. Узлам из заданного при его помощи списка будет запрещен доступ к Samba. Даже если для какого-то ресурса указано, что доступ для конкретного узла разрешен, при наличии этого узла в списке hosts deny в разделе Globals доступ будет запрещен.
Значение по умолчанию - пустая строка (доступ разрешен всем узлам):

hosts deny =

Ниже приведен пример, запрещающий доступ для всей подсети 192.168.111.*:

hosts deny - 192.168.111.*

Параметры журналирования (Logging options)

Samba качественно выполняет журналирование событий и ошибок, позволяющее диагностировать и исправить возникшие проблемы. Вы, как администратор, имеете широкий выбор: что журналировать и где. При решении сложной проблемы нам также может понадобиться увеличить уровень отладки, но имейте в виду, что при высоких уровнях отладки Samba выводит очень много информации.

Параметр log level

Этот параметр является синонимом debug level и задает уровень отладки. По умолчанию уровень отладки равен 0:

debug level = 0

Чтобы установить уровень отладки 3:

debug level = 3

Параметр syslog

Параметр задает пороговое значение для отправки сообщений в системный журнал (syslog). В системный журнал будут отправлены сообщения с уровнем отладки, меньшим порога.
Samba использует следующие значения уровня отладки:

- уровень отладки 0 соответствует LOG_ERR;
- уровень отладки 1 соответствует LOG_WARNING;
- уровень отладки 2 соответствует LOG_NOTICE;
- уровень отладки 3 соответствует LOG_INFO;
- все более высокие уровни соответствуют LOG_DEBUG.

Значение по умолчанию - 1:

syslog = 1

Чтобы установить пороговое значение 3 (LOG_INFO):

syslog = 3

Параметр syslog only

Если этот параметр установлен, то Samba отправляет отладочные сообщения только в системный журнал (syslog), не записывая их в собственный файл журнала.
По умолчанию отладочные сообщения как отправляются в системный журнал, так и записываются в собственный файл журнала Samba:

syslog only = No

Для того чтобы запретить дублирование сообщений и отправлять их только в системный журнал, установите:

syslog only = Yes

Параметр log file

Этот параметр позволяет изменить используемые по умолчанию расположение и имя файла журнала Samba. В значении параметра можно использовать стандартные для Samba подстановочные переменные. Наиболее часто применяются:
- %m имя узла,
- %u пользователь.
Значение по умолчанию задается при компиляции:

log file = /var/log/samba/log.smb

Для того чтобы использовать файл журнала /opt/log/samba/samba.log:

log file = /opt/log/samba/samba.log

Если значением параметра log file является:

log file = /opt/log/samba/samba.%m

то для узла deal файл журнала будет называться /opt/log/samba/samba.deal. Такой поход полезен в том случае, когда вы выполняете централизованное журналирование для всех серверов.

Параметр max log size

Этот параметр задает максимальный размер файла журнала. Его значением является предельный размер в килобайтах. Samba отслеживает размер файла журнала, и при превышении им указанного значения переименовывает файл, дописывая к его имени расширение .old. Значение 0 означает, что предельного размера для файла журнала нет. Значение по умолчанию:

max log size = 5000

Для того чтобы удвоить используемый по умолчанию предельный размер файла журнала:

max log size = 10000

Параметр timestamp logs

Samba по умолчанию помечает все записи в файле журнала меткой времени. Этот параметр позволяет отключить метку времени. Используйте его, если вам нужно разобраться с проблемой, но не нужны метки времени. Значение по умолчанию:

timestamp logs = Yes

Чтобы отключить метку времени:

timestamp logs = No

Параметр status

Вы не должны изменять этот параметр. Если вы установите его в значение no, программа smbstatus не сможет определить, какие соединения активны. Значение по умолчанию:

status = Yes

Пример изменения значения этого параметра (smbstatus не сможет определять активные соединения!):

status = No

Параметры протокола (Protocol options)

В этом разделе описаны параметры сетевого протокола - от версии и размера блока до текста, который ваш сервер будет использовать для идентификации своих сетевых разделяемых ресурсов. При помощи этих параметров вы сможете управлять тем, как Samba-сервер будет выглядеть с точки зрения Windows-серверов, произвести настройку для улучшения производительности, и задать, как Samba будет находить сетевые ресурсы.

Параметр protocol

Этот параметр задает максимальный уровень протокола, который будет поддерживать сервер: вам не нужно изменять его. Нужный уровень протокола будет найден во время фазы автоматического определения в SMB-протоколе. Доступные значения параметра:
- CORE Первая версия протокола. В настоящее время не используется;
- COREPLUS Более эффективный протокол, но весьма примитивный;
- LANMAN1 Следующая версия. Поддерживает длинные имена. Так называемый протокол LAN Manager;
- LANMAN2 Несколько усовершенствовании протокола LAN Manager;
- NT1 Текущая версия протокола, также называется CIFS (Common Internet File System).
Значение по умолчанию:

protocol = NT1

Для того чтобы использовать, например, протокол LANMAN1, укажите:

protocol = LANMAN1

Параметр read bpmx

Этот параметр указываем должен ли smbd поддерживать возможность Read Block Multiplex, и используется достаточно редко.
Значение по умолчанию:

read bpmx = No

Чтобы установить этот параметр, измените его значение на yes:

read bpmx = Yes

Параметр read raw

Этот параметр задает, должен ли сервер поддерживать SMB-запросы на "сырое" чтение (raw read smb requests) при передаче данных клиентам. Включенная поддержка таких запросов позволяет читать 65 535 байтов в одном пакете, что может существенно улучшить производительность.
Значение по умолчанию:

read raw = Yes

Для того чтобы выключить поддержку "сырого" чтения, измените значение параметра:

read raw = No

Параметр write raw

По умолчанию данный параметр установлен в значение yes, что разрешает оптимизированную низкоуровневую запись файлов. Некоторые сервера могут не поддерживать эту возможность, и ее отключение в таком случае улучшит производительность.
Значение по умолчанию:

write raw = Yes

Изменение значения может улучшить производительность некоторых серверов:

write raw = No

Параметр NT smb support

Параметр определяет, должен ли smbd при работе с NT-клиентами использовать специфические для NT возможности протокола SMB. Параметр считается предназначенным для отладки.
Значение по умолчанию:

nt support = Yes

Для того чтобы выключить поддержку возможностей SMB, специфичную для NT:

nt support = No

Параметр NT pipe support

Данный параметр позволяет задать, должен ли демон smbd позволять NT-клиентам подключаться к каналам IPC$, специфичным для NT SMB, и рассматривается как отладочный параметр, предназначенный для разработчиков. Значение по умолчанию:

NT pipe support - Yes

Для того чтобы отключить поддержку каналов IPC$, установите:

NT pipe support - No

Параметр NT acl support

Этот экспериментальный параметр по умолчанию установлен в значение no. Он разрешает smbd пытаться отображать режимы доступа ЗОС "Феникс" в списки управления доступом Windows NT. Значение по умолчанию:

NT acl support =

Для того чтобы разрешить отображение режимов на списки доступа, установите:

NT acl support - Yes

Параметр announce version

Параметр задает номера версий, которые nmbd будет использовать, анонсируя себя как сервер. По умолчанию используется номер версии 4.2. Не изменяйте значение этого параметра, если только вам не нужно по какой-либо причине настроить Samba как сервер более низкого уровня. Значение по умолчанию:

announce version = 4.2

Для того чтобы изменить анонсированную версию на 2.0, задайте:

announce version = 2.0

Параметр announce as

Параметр определяет, как nmbd анонсирует себя для занесения в список просмотра сети. Samba 2.0 и более поздние версии по умолчанию анонсируют себя как Windows NT. He изменяйте значение параметра (если только вам не нужно, чтобы Samba-сервер перестал выглядеть как NT-сервер), поскольку это может привести к тому, что Samba-сервер перестанет корректно отображаться в списке просмотра.
Доступные значения параметра:
- NT Анонсировать себя как сервер для всех современных клиентов на базе Windows (начиная с Windows 95);
- Win 95 Также анонсировать. себя как сервер для всех современных клиентов на базе Windows.
Значение по умолчанию:

announce as = NT

Для того чтобы Samba-сервер выглядел как сервер на базе Windows 95, задайте:

announce as = Win95

Параметр max mux

Параметр задает наибольшее количество SMB-операций, которые клиент может выполнять одновременно. Вам никогда не потребуется изменять его значение. Значение по умолчанию:

max mux = 50

Ниже приведен пример уменьшения предельного значения:

max mux = 35

Параметр max xmit

Параметр задает максимальный размер пакета, который анонсирует Samba-сервер при установлении соединения с клиентом. По умолчанию используется наибольшее возможное значение - 65 535. Вы можете обнаружить, что для ваших клиентов использование меньшего значения повысит производительность. Однако значение менее 2048 с большой вероятностью вызовет проблемы.
Значение по умолчанию:

max xmit = 65535

Ниже приведен пример уменьшения максимального размера пакета:

max xmit = 16384

Параметр name resolve orde

Параметр задает список служб имен, которые будет использовать Samba, и порядок их использования. Значение параметра представляет собой список служб, в качестве разделителя используется пробел. Доступны следующие службы:
- lmhosts Поиск IP-адреса в файле lmhosts на Samba-сервере;
- host Поиск IP-адреса при помощи стандартного метода операционной системы, на которой работает Samba. При этом могут использоваться, например, файл hosts или служба DNS;
- wins Поиск IP-адреса при помощи опроса сервера WINS. Самое важное преимущество WINS перед другими методами заключается в том, что эта служба использует динамический, а не статический метод определения имен. Это означает, что сервер WINS "слушает" сеть и запоминает имена активных систем. Если сервер WINS не задан в файле настройки Samba, то этот метод игнорируется;
- beast Поиск IP-адреса при помощи широковещательного запроса на всех локальных сетевых интерфейсах. Для выбора интерфейсов Samba использует значение параметра interfaces. Этот метод является наименее надежным, поскольку узел, поиск адреса которого производится, должен быть подключен к одной из локальных подсетей.
Значение по умолчанию:

name resolve order = lmhosts host wins beast

Для того чтобы после поиска в файле lmhosts выполнять широковещательный запрос, задайте:

name resolve order = lmhosts beast host

Если ни в файле lmhosts, ни при помощи широковещательного запроса IP-адрес искомого узла обнаружить не удалось, будет выполнен поиск адреса средствами операционной системы.

Параметр max packet

Параметр задает максимальный размер пакета, который сможет использовать Samba-сервер. По умолчанию используется наибольшее возможное значение - 65 535. Вы можете обнаружить, что для ваших клиентов использование меньшего значения повысит производительность. Однако значение менее 2048 с большой вероятностью вызовет проблемы. Значение по умолчанию:

max packet = 65535

Для того чтобы установить размер пакета равным половине размера по умолчанию, укажите:

max packet = 32768

Параметр max ttl

Параметр задает время жизни (TTL) в секундах для имен NetBIOS, которое nmbd будет использовать по умолчанию. Время отсчитывается с момента широковещательного запроса или запроса сервера WINS. Вам не следует изменять значение данного параметра.
Значение по умолчанию - 518 400 секунд:

max ttl = 518400

Для того чтобы установить время жизни равным трем дням (259 200 секунд), задайте:

max ttl = 259200

Параметр min wins ttl

Данный параметр имеет смысл только в том случае, если ваш Samba-сервер настроен как сервер WINS. Он задает для nmbd минимальное время жизни имен NetBIOS (в секундах). Вам не следует изменять значение данного параметра.
Значение по умолчанию - 6 часов, или 21 600 секунд:

min wins ttl - 21600

Для того чтобы установить минимальное время жизни равным 12 часам (43 200 секунд), задайте:

min wins ttl = 43200

Параметр time server

Если данный параметр установлен в значение yes, то nmbd будет анонсировать себя Windows-клиентам как сервер времени. При этом демон не будет играть роль стандартной службы времени и не сможет быть использован в этих целях UNIX-клиентами.
Значение по умолчанию:

time server = No

Для того чтобы включить службу времени, задайте:

time server = Yes

Дополнительная настройка (Tuning options)

Этот раздел отображается только на странице Global Advanced и предназначен для установки параметров, предназначенных для точной настройки Samba. Вы можете настроить Samba для работы в определенном окружении, задав время неактивности, по истечении которого пользователи будут отключены от сервера, указав, какие параметры сокета должны быть установлены, определив размер кэша, а также изменив значения многих других параметров.

Параметр change notify timeout

Параметр определяет способ обработки запроса change notify, отправленный клиентом серверу, просит последнего отслеживать изменения в определенном каталоге и ответить на запрос только при возникновении таких изменений. Реализация этого постоянного отслеживания под UNIX весьма ресурсоёмка. Для того чтобы улучшить производительность, демон smbd выполняет проверку состояния каталога не постоянно, а через интервал времени, заданный параметром change notify timeout. Значение параметра задает интервал в секундах. Значение по умолчанию - 60 секунд:

change notify timeout = 60

Для того чтобы производить проверку состояния каталогов каждые 10 минут (600 секунд), укажите:

change notify timeout = 600

Параметр deadtime

Параметр определяет время неактивности соединения в минутах, по истечении которого соединение начинает считаться "мертвым" и разрывается (только в том случае, если для данного соединения число открытых файлов равно 0). За счет этого освобождаются ресурсы сервера, которые в противном случае могут быть исчерпаны большим количеством неактивных соединений. Современные клиенты имеют возможность автоматического повторного подключения при разрыве соединения, поэтому использование данного параметра прозрачно для пользователей.
Значение по умолчанию - 0 (автоматическое закрытие соединений не будет производиться):

deadtime = 0

Для того чтобы установить максимальное время неактивности соединения равным пяти минутам, укажите:

deadtime = 5

Параметр getwd cache

Если этот параметр установлен в значение yes, то используется специальный алгоритм кэширования, уменьшающий время выполнения определенных системных вызовов. Для того чтобы данный параметр имел существенное влияние на производительность, параметр widelinks в разделе Miscellaneous Options должен быть установлен в значение no.
Значение по умолчанию:

getwd cache = No

Для того чтобы включить кэширование, установите:

getwd cache = Yes

Параметр keepalive

Параметр указывает интервал в секундах между отправкой пакетов для поддержания соединения (keepalive packets). Эти пакеты сообщают серверу, что клиент еще присутствует в сети и способен отвечать на запросы. Большинство служб используют собственные пакеты для поддержания соединения.
Значение параметра задает интервал в секундах. Используйте этот параметр при поиске и устранении проблем.
Значение по умолчанию - 0 (сервер не отправляет пакеты для поддержания соединения):

keepalive = 0

Чтобы сервер отправлял пакеты для поддержания соединения раз в минуту, задайте:

keepalive = 60

Параметр max disk size

Параметр определяет максимальный объем диска, который будет сообщаться клиентам. Если вы установите его в значение 100, то все клиентам все разделяемые ресурсы будут казаться имеющими объем не более 100 Мбайт. Ключевое слово - "казаться". Этот параметр не ограничивает объем данных, которые вы можете поместить на диск; он лишь задает предел для объема, сообщаемого сервером клиенту в ответ на запрос об общем объеме диска. Параметр полезен для того, чтобы обойти проблемы в программном обеспечении, не поддерживающем очень большие диски.
Значение по умолчанию - 0 (нет ограничений):

max disk size = 0

Для того чтобы ограничить сообщаемый клиентам размер дисков одним гигабайтом, укажите:

max disk size = 1000

Параметр max open files

Параметр задает максимальное число файлов, которое каждый клиент может открыть на сервере. На самом деле это число также зависит от максимально разрешенного количества открытых файлов для одного процесса в UNIX-системе, на базе которой установлен Samba-сервер. Значение по умолчанию очень велико, поскольку Samba использует всего лишь 1 бит для каждого неоткрытого файла.
Значение по умолчанию:

max open files = 10000

Для того чтобы уменьшить предел до 5000 файлов, задайте:

max open files = 5000

Параметр read size

Параметр задает перекрытие операций дискового чтения/записи с операциями сетевого чтения/записи. Если объем передаваемых данных превышает значение этого параметра, то сервер начинает их запись на диск до того, как из сети будет получен весь пакет. Лучше всего такое перекрытие работает в том случае, если скорости диска и сети примерно одинаковы. Для данного параметра практически не проводилось экспериментов, которые бы позволили определить его оптимальное значение, но можно сказать, что оно сильно изменяется от системы к системе. Если вы зададите значение, превышающее 65 535, то это приведет к выделению памяти, которая никогда не будет использована (поскольку 65 535 - максимально возможный размер пакета).
Значение по умолчанию:

read size = 2048

В примере ниже значение удвоено:

read size - 4096

Параметр socket options

Вы можете задать параметры сокетов, которые используются при взаимодействии с клиентами. Параметры сокета позволяют провести точную настройку соединений на сетевом уровне операционной системы для достижения наилучшего быстродействия Samba-сервера. Вы можете задать одновременно несколько поддерживаемых параметров сокета, если это позволяет операционная система. Однако некоторые комбинации параметров могут привести к полному отказу Samba-сервера.
Если вы - не гуру в TCP/IP, то не меняйте значение по умолчанию.
Samba поддерживает следующие параметры сокета:

SO_KEEPALIVE
SO_REUSEADDR
SO_BROADCAST
TCP_NODELAY
IPTOS_LOWDELAY
IPTOS THROUGHPUT
SO_SNDBUF #
SO_RCVBUF #
SO_SNDLOWAT #
SO_RCVLOWAT #

Параметры, помеченные символом #, требуют целого числа в качестве аргумента. Прочие параметры в качестве аргумента используют значения 1 или 0, чтобы соответственно разрешить или запретить использование данного параметра (если аргумент не указан, то использование параметра разрешается).
В примере ниже размер буфера передачи увеличивается до 8 Мбайт (вокруг второго знака равенства не должно быть пробелов):

socket options = SO_SNDBUF=8192

Если вы используете Samba-сервер в локальной сети, попробуйте установить вот эти параметры:

socket options = IPTOS_LOWDELAY TCP_NODELAY

Если вы используете Samba-сервер в глобальной сети, попробуйте задать:

socket options - IPTOS_THROUGHPUT

Значение по умолчанию:

socket options = TCP_NODELAY

Параметр stat cache size

Параметр определяет количество записей в статическом кэше. Вам не потребуется изменять его значение. Значение по умолчанию:

stat cache size = 50

Для того чтобы удвоить значение, используемое по умолчанию, задайте:

stat cache size = 100

Имена файлов (Filename handling)

В этом разделе вы можете задать правила трансляции имен файлов между сервером и клиентами и отображения длинных имен на клиентских компьютерах.

Параметр strip dot

Параметр указывает, должны ли отбрасываться точки в конце UNIX-имен. Это может помочь использовать некоторые CD, на которых имена файлов заканчиваются точкой.
Значение по умолчанию:

strip dot = No

Для того чтобы разрешить отбрасывать точки, задайте:

strip dot - Yes

Параметр unix charset

Параметр задает карту перекодировки для имен файлов.

unix charset = koi8-r

Параметр mangled stack

Этот параметр задает число измененных имен (mangled names), которое должны кэшироваться демоном smbd. Сервер сохраняет список недавно измененных имен файлов и их расширений, если они не длиннее трех символов или содержат символы в верхнем регистре. Значение по умолчанию достаточно, если только вы не используете в UNIX очень длинные имена файлов и каталогов. Будьте осторожны: может произойти так, что параметр в подтверждение своего названия приведет к порче длинных имен файлов.
Значение по умолчанию:

mangled stack = 50

Для того чтобы удвоить объем памяти, выделяемый под кэш, задайте:

mangled stack = 100

Параметр case sensitive

Этот параметр определяет, имеет ли значение регистр символов в именах файлов (по умолчанию - нет). Если параметр установлен в значение nо, то Samba производит поиск имени файла независимо от регистра символов. Значение по умолчанию:

case sensitive = No

Для того чтобы различать имена с разным регистром символов, укажите:

case sensitive = Yes

Параметр preserve case

Параметр определяет, сохраняется ли регистр символов в новых именах файлов, полученных от клиента. Если вы установите параметр в значение nо, то регистр символов в именах файлов будет приведен к регистру, используемому по умолчанию.
Значение по умолчанию:

preserve case = Yes

Для того чтобы разрешить автоматически приводить новые имена файлов к используемому по умолчанию регистру, установите:

preserve case = No

Параметр short preserve case

Параметр указывает, должны ли сохраняться новые имена файлов в верхнем регистре и небольшой длины, или же они должны быть приведены к используемому по умолчанию регистру. Параметр имеет смысл, если параметр preserve case установлен в значение yes.
Значение по умолчанию:

short preserve case = Yes

Для того чтобы не сохранять регистр символов в коротких именах, укажите:

short preserve case = No

Параметр mangle case

Параметр определяет, изменяются ли (are mangled) имена, содержащие символы не в регистре по умолчанию. Например, если параметр установлен в значение yes, то такие имена, как Mail, будут изменяться. Значение по умолчанию:

mangle case = No

Значение yes повлияет только на имена файлов, содержащих символы в верхнем регистре. Например, имя FranklinsTower.txt будет приведено к регистру по умолчанию.
Для того чтобы включить преобразование, задайте:

mangle case = Yes

Параметр mangling char

Параметр задает, какой символ будет использоваться при изменении имен файлов. По умолчанию это тильда, но такая настройка может вызвать проблемы при работе некоторых программ. Вы можете установить вместо нее любой другой символ.
Значение по умолчанию:

mangling char = ~

Например, для того, чтобы использовать символ подчеркивания, укажите:

mangling char = _

Параметр hide dot files

Параметр определяет, будут ли файлы с именами, начинающимися с точки, считаться скрытыми. По умолчанию команды вывода списка файлов в каталоге не отображают информацию о скрытых файлах. Значение по умолчанию:

hide dot files = Yes

Для того чтобы показывать в каталогах файлы, начинающиеся с точки, установите:

hide dot files = No

Параметр delete veto files

Параметр определяет, что происходит, когда Samba попытается удалить каталог, который содержит один или несколько защищенных каталогов (vetoed directories). По умолчанию используется значение no, то есть удаление каталога закончится неуспехом, если защищенный каталог содержит обычные файлы или каталоги. Скорее всего, именно такие установки вам нужны.
Значение yes приводит к тому, что Samba попытается рекурсивно удалить все файлы и подкаталоги защищенного каталога. Это означает, что при удалении родительского каталога все такие каталоги будут удалены прозрачно для пользователя. Пользователь, выполняющий удаление каталога, должен иметь соответствующие права доступа, или же удаление закончится неуспехом вне зависимости от значения параметра delete veto files.
Значение по умолчанию:

delete veto files = No

Для того чтобы изменить значение параметра, установите:

delete veto files - Yes

Параметр veto files

Значением данного параметра является список файлов и каталогов, которые не являются ни видимыми, ни доступными для клиентов. Однако имейте в виду, что если каталог содержит только файлы, входящие в данный список, он будет удален вместе со всеми файлами, если пользователь имеет соответствующие права доступа на UNIX-системы. Кроме того, параметр case sensitive влияет на интерпретацию значения параметра veto files.
Параметр veto files влияет на производительность Samba-сервера. Если параметр установлен, то сервер должен проверять все файлы и каталоги на соответствие указанному списку.
Значение по умолчанию - пустая строка (нет защищенных файлов и каталогов).
Если вы хотите задать непустой список, то для разделения имен в этом списке применяется символ /, что позволяет указывать имена, содержащие пробелы. В списке допустимо использовать символы подстановки * и ?. Каждый элемент списка должен быть именем UNIX-файла, но не может включать в себя символ /.
Например, чтобы скрыть от пользователей все файлы, заканчивающиеся на .tmp, а также файлы, содержащие строку root, задайте:

veto files - /*.tmp/*root*/

Параметр hide files

Значением параметра является список файлов и каталогов, которые невидимы, но доступны для клиентов. Для каждого из файлов или каталогов, соответствующих указанному списку, выставляется DOS-атрибут "скрытый файл" (hidden file). Для разделения имен в этом списке применяется символ /, что позволяет указывать имена, содержащие пробелы. В списке допустимо использовать символы подстановки * и ?. Каждый элемент списка должен быть именем UNIX-файла, но не может включать в себя символ /.
Параметр hide files влияет на производительность Samba-сервера. Если параметр установлен, то сервер должен проверять все файлы и каталоги на соответствие указанному списку.
Значение по умолчанию - пустая строка, то есть ни для каких файлов или каталогов не выставляется атрибут "скрытый файл".
Для того чтобы сделать скрытыми все файлы, заканчивающиеся на .log, установите:

hide files =o /*.log/

Параметр veto oplock files

Параметр может применяться только в том случае, если для разделяемого ресурса установлен параметр oplocks. Данный параметр позволяет администратору Samba выборочно отключить своевременную блокировку (oplocks) для файлов. Формат списка такой же, как и для параметра veto files. Параметр полезен в том случае, если определенные файлы активно используются несколькими различными клиентами.
Значение по умолчанию - пустая строка, то есть своевременная блокировка разрешена для всех файлов.
Для того чтобы запретить механизм oplocks для всех файлов вида *.cookie, укажите:

veto oplock files - /*.cookie/

Параметр mangled names

Параметр определяет, как клиенты будут видеть файлы ЗОС "Феникс". Либо файлы, имеющие несовместимые с DOS имена не будут показываться пользователям, либо их имена будут отображаться в имена, совместимые с DOS. Всего имеется пять параметров, которые управляют процессом отображения имен. Данный параметр определяет, будет ли отображение имен вообще происходить.
Отображение имен позволяет клиентам работать с файлами ЗОС "Феникс" (например, скопировать файл из одного каталога системы в другой), сохраняя при этом их исходные длинные имена.
Если у вас включено отображение имен для разделяемого каталога, то два файла с одинаковыми первыми пятью символами в имени могут получить одинаковое имя после отображения, вызвав проблемы. Шанс того, что эта неприятность случится, - 1 из 1300.
Значение по умолчанию:

mangled names = Yes

Для того чтобы отключить отображение имен, задайте:

mangled names = No

Параметр mangled map

Данный параметр позволяет непосредственно задать карту отображения имен файлов ЗОС "Феникс", не совместимых с DOS/Windows. Если вы не хотите использовать отображение имен для всех файлов, этот параметр весьма полезен.
Приведем один пример, описывающий часто встречающуюся ситуацию. В UNIX-системах для HTML-файлов обычно используется расширение .html, в то время как в Windows/DOS - расширение .htm. Обсуждаемый параметр позволяет отображать UNIX-расширение .html в Windows-расширение .htm.
Значение по умолчанию:

no mangled map

Для того чтобы отображать html в htm:

mangled map = (*.html *.htm)

Параметр stat cache

Параметр определяет, должен ли демон smbd использовать кэш для ускорения независимого от регистра символов поиска имен файлов. По умолчанию параметр установлен, вам не следует изменять его значение.

stat cache = Yes

Параметры домена (Domain options)

Этот раздел позволяет установить значения параметров, связанных с доменом NT.

Параметр domain groups

Значение по умолчанию - пустая строка:

domain groups =

Не изменяйте его.

Параметр domain admin group

Значение по умолчанию:

domain admin group =

Не изменяйте его.

Параметр domain guest groups

Значение по умолчанию:

domain guest group =

Не изменяйте его.

Параметр domain admin users

Значение по умолчанию:

domain admin users =

Не изменяйте его.

Параметр domain guest users

Значение по умолчанию:

domain guest users =

Не изменяйте его.

Параметр machine password timeout

Этот параметр имеет значение только в том случае, если используется безопасность на уровне домена (security = domain). Он указывает, когда smbd будет изменять пароль для учетной записи компьютера. Значение задает интервал в секундах. Значение по умолчанию - одна неделя (604 800 секунд, это стандартное значение для компьютеров в домене Windows NT):

machine password timeout = 604800

Значение по умолчанию соответствует поведению систем на базе Windows NT. Не изменяйте его.

Параметры входа в систему (Logon options)

В этом разделе описаны параметры, с помощью которых вы можете установить параметры, определяющие процедуру подключения клиентов. Эти параметры могут использоваться для того, чтобы обновлять пользовательские каталоги, автоматически подключать пользователям сетевые диски и упростить администрирование учетных записей. Возможности, для настройки которых предназначены перечисленные ниже параметры, хорошо работают со всеми клиентами и не являются частью кода NT Domain Server.

Параметр logon script

Параметр позволяет задать имя файла, который будет загружен на каждый клиент и выполнен там после входа в домен. В значении параметра можно использовать стандартные переменные подстановки, что позволяет задать различные сценарии входа в систему для различных пользователей или рабочих станций. Имейте в виду, что в сценарии входа в систему должен использоваться конец строки в DOS-стиле. Файл сценария должен располагаться в каталоге, указанном в качестве пути для ресурса netlogon. He разрешайте доступ на запись к ресурсу netlogon! Содержание файла сценария может быть любым, вы можете поместить туда все что угодно - от синхронизации часов с сервером времени до подключения разделяемых дисков для общих приложений. Например:

NET TIME \\SUGAR /SET /YES
NET USE W \\SUGAR\workutils
NET USE Y \\SUGAR\datafiles
NET USE Z \\SUGAR\accounts

Значение параметра logon script по умолчанию - пустая строка (нет файла сценария входа в систему):

logon script =

Для того чтобы задать в качестве файла сценария входа в систему файл setenv.bat:

logon script = setenv.bat

Ниже приводится пример использования стандартной переменной подстановки %U (задающей имя пользователя). При помощи этой переменной вы можете создать для пользователей индивидуальные сценарии:

logon script = %U bat

Параметр logon path

Этот параметр используется только в том случае, если Samba играет роль сервера входа в домен и для профилей пользователей настроен роуминг. Параметр указывает, в каком каталоге хранятся профили. В значении параметра могут использоваться стандартные переменные подстановки, что позволяет задать различные сценарии входа в систему для различных пользователей или рабочих станций. Каталог, указанный в значении параметра, также будет использоваться для загрузки рабочего стола, меню Пуск, сетевого окружения и папки Программы для ваших клиентов на базе Windows 95/98. Данный разделяемый ресурс (и соответствующий ему каталог) должны быть доступны для чтения пользователю, или же Windows 95/98-клиент не сможет загрузить пользовательские настройки. Разделяемый ресурс должен быть доступен пользователю на запись как минимум при первом входе в домен. После первого входа в домен каталоги и их содержимое могут быть переведены в режим доступа "только для чтения". Однако не переводите в режим "только для чтения" файл user.dat, поскольку он содержит пользовательские настройки и пользователь может захотеть изменить их. Вместо этого переименуйте файл в user.man и установите режим "только для чтения" для этого файла. (Такой файл называется обязательным (mandatory) профилем) Значение по умолчанию:

logon path = \%N\%U\profile

Для того чтобы указать, что профили пользователей находятся в каталоге \НОМЕ\имя_пользователя на сервере DEAL, задайте:

logon path = \\DEAL\HOME\%U\PROFILE

Параметр logon drive

Этот параметр используется только в том случае, если Samba играет роль сервера входа в домен для рабочих станций на базе NT. Параметр указывает локальный каталог, который будет играть роль домашнего каталога пользователя. Значение по умолчанию - пустая строка (каталог не задан):

logon drive =

Для того чтобы установить домашний каталог как диск Н:, используйте:

logon drive = h

Параметр logon home

Этот параметр задает расположение домашнего каталога в том случае, когда рабочая станция на базе Windows 95/98 или NT входит в домен, в котором Samba-сервер является PDC. В значении параметра могут использоваться стандартные переменные подстановки, позволяя определить различные домашние каталоги для различных пользователей или компьютеров-клиентов.
Ниже приведен пример, в котором задано имя сервера домашних каталогов, но для указания самого каталога используется имя пользователя, установившего сеанс:

logon home = \\deal\%U

Параметр domain logons

Параметр определяет, будет ли Samba играть роль сервера подключения к домену для клиентов на базе Windows 95/98. Сервер входа в домен для клиентов на базе Windows NT - это не то же самое! Значение по умолчанию:

domain logons = No

Для того чтобы включить поддержку подключения к домену для клиентов на базе Windows 95/98, задайте:

domain logons = Yes

Параметры просмотра (Browse options)

Параметры просмотра определяют, как ваш Samba-сервер будет играть роль сервера просмотра сети Windows. При помощи этих параметров вы можете заставить Samba всегда выигрывать выборы локального сервера просмотра (или всегда проигрывать их, или же выигрывать у одних операционных систем и проигрывать другим), а также задать информацию о сетевых ресурсах, которая будет передаваться всем клиентам.

Параметр OS level

Этот параметр задает значение, которое Samba анонсирует в качестве версии операционной системы при выборах сервера просмотра. Значение по умолчанию выбрано так, чтобы Samba-сервер проигрывал выборы любой Windows-машине. Значение по умолчанию:

os level = 0

Значение, установленное в примере ниже, приведет к тому, что Samba-сервер выиграет выборы у любого Windows-сервера:

os level = 65

Параметр lm announce

Параметр указывает, следует ли демону nmbd производить широковещательные Lanman-анонсы (это требуется для работы клиентов на базе OS/2). Если параметр установлен в значение false, то клиенты на базе OS/2 не увидят Samba-сервер в списке просмотра. Параметр может принимать одно из трех значений:
- true принимать широковещательные Lanman-анонсы и отвечать на них;
- auto отвечать, если в сети обнаружены широковещательные Lanman-анонсы;
- false нe отвечать на широковещательные Lanman-анонсы.
Значение по умолчанию - принимать широковещательные Lanman-анонсы и затем отвечать на них:

lm announce - auto

Для того чтобы запретить Samba-серверу отвечать на широковещательные Lanman-анонсы, установите:

lm announce = false

Параметр lm interval

Если предыдущий параметр (lm announce) установлен в одно из значений - true или auto, то при помощи параметра lm interval вы можете изменять интервал между отправкой широковещательных анонсов. Значение параметра - интервал в секундах.
Значение по умолчанию:

lm interval = 60

Для того чтобы увеличить интервал между широковещательными Lanman-анонсами в три раза, задайте:

lm interval = 180

Параметр preferred master

Параметр указывает, должен ли nmbd играть роль предпочитаемого сервера просмотра (preferred master browser) для своей рабочей группы. Если параметр установлен в значение yes, то немедленно после запуска nmbd инициирует выборы сервера просмотра. По умолчанию сервер, инициировавший выборы, имеет некоторое преимущество. Обсуждавшийся выше параметр OS level - еще один способ повлиять на результаты выборов.
Если вы установили параметр preferred master в значение yes, то установите также в значение yes параметр domain master. Использование preferred master = yes, domain master = yes и OS level = 65 позволяет быть уверенным в том, что nmbd станет контроллером домена.
Данный параметр может стать источником проблем с производительностью сети, если в одной и той же подсети несколько серверов настроены как предпочитаемые сервера просмотра. Не имеет значения, являются ли эти сервера серверами на базе Samba, Windows NT или Windows 95/98 - если они настроены как предпочитаемые сервера просмотра, они будут периодически пытаться стать сервером просмотра для подсети. Это приводит к появлению в сети избыточного широковещательного трафика и замедляет процесс просмотра.
Значение по умолчанию:

preferred master = No

Для того чтобы Samba-сервер играл роль предпочитаемого сервера просмотра, задайте:

preferred master - Yes

Параметр local master

Параметр позволяет задать, должен ли nmbd участвовать в выборах сервера просмотра для своей подсети. Если параметр установлен в значение по, то Samba-сервер никогда не будет пытаться стать сервером просмотра. В этом случае Samba будет проигрывать все выборы сервера просмотра и никогда не станет сервером просмотра подсети.
Значение по умолчанию:

local master - Yes

Для того чтобы отключить данный параметр, измените значение по умолчанию:

local master - No

Параметр domain master

Параметр определяет, будет ли nmbd поддерживать список просмотра глобальной сети (WAN). Если параметр установлен, то nmbd захватывает специальное Net-BIOS-имя в домене. Это имя идентифицирует сервер как основной сервер просмотра домена для данной рабочей группы. Локальные сервера просмотра в той же рабочей группе, находящиеся в разных подсетях, будут передавать nmbd свои списки просмотра, а затем запрашивать общий список просмотра для WAN. Клиенты будут получать список просмотра для всей сети с локальных серверов просмотра.
Если ваш Samba-сервер входит в сеть, содержащую сервера домена Windows NT, не изменяйте значение этого параметра. Основные контроллеры домена Windows NT захватывают специальное имя NetBIOS (зависящее от рабочей группы). Если Samba-сервер захватит это имя раньше контроллера домена, то просмотр между подсетями может работать странно или вообще отказать.
Значение по умолчанию:

domain master = No

Для того чтобы включить параметр, установите:

domain master = Yes
Параметр browse list

Этот параметр имеет смысл, противоположный параметру domain master, и определяет, будет ли Samba-сервер передавать список просмотра на сервер просмотра при создании расширенного списка просмотра (wide area browse list). При передаче списка просмотра Samba-сервер также получает информацию о других серверах.
Значение по умолчанию:

browse list = Yes

Вам не следует отключать этот параметр.

Параметры WINS (Wins options)

В разделе описаны параметры WINS, определяющие как Samba будет взаимодействовать с серверами WINS и не должен ли Samba-сервер играть роль сервера WINS.

Параметр DNS proxy

Параметр имеет смысл только в том случае, если Samba-сервер играет роль сервера WINS и определяет, будет ли nmbd переправлять запросы на определение имени серверу DNS, если имя не найдено в базе данных WINS. Использование этой возможности не является хорошей идеей, если только для некоторых клиентов нет никакого другого способа получать информацию из DNS. Проблема не в производительности (nmbd запустит себя еще раз, создав второй процесс, для обработки запросов к DNS). Вот в чем проблема: если клиент ищет сетевое имя в базе WINS, то какова вероятность, что сервер DNS поможет ему? Серверу DNS будет передаваться запрашиваемое имя не длиннее 15 символов.
Значение по умолчанию:

DNS proxy = Yes

Для того чтобы выключить параметр и не переправлять серверу DNS запросы на определение имен, установите:

DNS proxy = No

Параметр WINS proxy

Параметр определяет, будет ли nmbd отвечать на широковещательные запросы на определение имен, если имена принадлежат другим узлам, но nmbd знает ответ. Как и в обычной жизни, отвечать за кого-то - плохая идея. С другой стороны, установка этого параметра в значение yes может помочь в поиске проблем с сетью. Если ваши сетевые службы работают лишь при установленном параметре WINS proxy, дважды проверьте все настройки. Значение по умолчанию:

WINS proxy = No

Чтобы включить поддержку WINS-прокси, задайте:

WINS proxy - Yes
Параметр WINS server

Параметр задает IP-адрес или DNS-имя сервера WINS, на котором nmbd будет регистрировать используемые имена. Если ваша сеть состоит из нескольких подсетей, то параметр WINS server должен быть установлен, в противном случае просмотр сети не будет работать правильно. Если сервер WINS входит в вашу сеть, укажите его IP-адрес. Хотя вместо адреса вы можете использовать DNS-имя, не делайте этого (поскольку может ухудшиться производительность или параметр вообще не будет работать). Используйте IP-адрес.
Значение по умолчанию - пустая строка (сервер WINS не задан):

WINS server =

Например, если адрес вашего сервера WINS - 192.168.99.24, то установите:

WINS server = 192 168 99 24

Параметр WINS support

Параметр определяет, будет ли nmbd играть роль сервера WINS, и не должен быть установлен в значение yes более чем на одном компьютере в вашей сети. Значение yes должно применяться только в том случае, если ваша сеть разделена на подсети и в одной из них вы хотите, чтобы демон nmbd на конкретном компьютере играл роль сервера WINS.
Значение по умолчанию:

WINS support = No

Для того чтобы включить параметр, укажите:

WINS support = Yes

Параметры блокировки (Locking options)

Этот раздел описывает параметры, с помощью которых вы можете установить параметры блокировки. Правильная настройка этих параметров поможет улучшить производительность Samba-сервера.

Параметр locking

Этот параметр определяет, будет ли сервер производить блокировку файлов по запросам клиентов, и предназначен для использования разработчиками Samba. Не изменяйте значение этого параметра. Установка его в значение no приведет к тому, что все запросы на блокирование и разблокирование файлов будут казаться клиентам успешно выполненными, однако на самом деле никакая блокировка производиться не будет. Если вы запретите блокировку или в разделе глобальных параметров, или для определенного разделяемого ресурса, это приведет к повреждению данных.
Значение по умолчанию:

locking = Yes

Ниже приведен действительно глупый пример:

locking = No

Параметр OLE locking compatibility

Параметр определяет, включить ли возможность блокировки байтового диапазона в файлах. Такая возможность обеспечивает совместимость с OLE-приложениями. Механизм блокировки, используемый Windows OLE, может привести к сбоям или другим проблемам в определенных диспетчерах блокировки, применяемых в ЗОС "Феникс". Значение по умолчанию позволяет Samba согласовывать запросы на блокировку от OLE-приложений и диспетчер блокировки ЗОС "Феникс". Значение по умолчанию:

OLE locking compability = Yes

Для того чтобы непосредственно передавать запросы на блокировку от OLE-приложений диспетчеру блокировки ЗОС "Феникс", задайте:

OLE locking compability = No

Параметр oplocks

Параметр определяет, будет ли smbd использовать механизм своевременной блокировки (oplocks) при получении запросов на открытие файлов на разделяемых ресурсах. Использование этого механизма может увеличить скорость доступа к файлам на Samba-сервере, поскольку он позволяет клиентам локально кэшировать файлы. Сервера Windows NT по умолчанию используют этот механизм. Механизм своевременной блокировки может быть отключен для определенных файлов, расположенных на определенных разделяемых ресурсах, - для этого применяется параметр veto oplock files.
Значение по умолчанию:

oplocks = Yes

Для того чтобы отключить механизм своевременного блокирования, установите:

oplocks = No

Параметр strict locking

Параметр определяет, как сервер обрабатывает блокировку файлов. Если он установлен в значение yes, то сервер при каждой попытке чтения или записи проверяет существовании блокировки для файла и не разрешает доступ, если файл заблокирован. Если параметр установлен в значение no, то сервер проверяет наличие блокировки для файла только по запросу клиента. Именно так сервер ведет себя по умолчанию, поскольку такой метод обеспечивает лучшую производительность.
Значение по умолчанию:

strict locking = No

Для того чтобы включить проверку блокировки при каждой операции чтения/записи, задайте:

strict locking - Yes

Параметр share modes

Параметр определяет, какие режимы доступа используются при открытии файла. Клиент может запросить режим доступа, который подразумевает эксклюзивное право на чтение или на запись. Если вы установите параметр share modes в значение no, то в этом случае Windows-приложению не удастся открыть файл.
Значение по умолчанию - yes, что обеспечивает полную совместимость разделяемых ресурсов с приложениями Windows:

share modes = Yes

Нет никакого смысла изменять это значение.

Прочие параметры (Miscellaneous options)

Этот раздел собрана смесь самых разных параметров. Некоторые из них позволяют настроить файл smb.conf для конкретной системы, другие позволяют сделать Samba-сервер видимым в удаленных сетях, третьи - определить, что увидят пользователи, подключающиеся к серверу.

Параметр preload

Значением параметра является список служб, которые сервер автоматически должен добавить в списки просмотра. Наиболее полезен этот параметр для включения в списки просмотра домашних каталогов, которые в противном случае не будут видны. Службы в списке разделяются пробелами.
Значение по умолчанию - пустая строка (ни одна служба не включается в списки просмотра автоматически):

preload =

Ниже приведен пример, в котором в список просмотра автоматически включается разделяемый ресурс sugar и принтер sparc_printer:

preload = sugar sparc_printer
Параметр lock dir

Параметр определяет каталог, в котором будут размещаться файлы блокировки. Эти файлы используются Samba для реализации функциональности параметра max connections.
По умолчанию для хранения файлов блокировки в каталоге /tmp создается каталог с именем samba:

lock dir = /tmp/samba

Чтобы разместить файлы блокировки, например, в каталоге /var/samba/locks, задайте:

lock dir = /var/samba/locks

Параметр default service

Параметр задает имя службы, к которой будет подключен пользователь, если запрошенная им служба не найдена. Для этого параметра нет значения по умолчанию. Если параметр не определен, то при попытке подключения к несуществующей службе клиент получит сообщение об ошибке.
Обычно в качестве службы по умолчанию используется публично доступный разделяемый ресурс с режимом доступа "только для чтения".
Значение по умолчанию - пустая строка (если запрошенная служба недоступна, вместо нее не будет подставлено никакой другой):

default service =

Для того чтобы подключать клиентов, запросивших несуществующий ресурс, к, например, службе access_tmp, укажите:

default service = access_tmp
Параметр message command

Параметр задает команду, которая выполняется при получении сервером Win-Popup-сообщения. Данная команда должна доставить сообщение адресату. Как именно это произойдет, зависит от набора служб, работающих на вашем сервере. Например, эта команда может отправить сообщение по почте, вывести его в окне или просто удалить его, но имейте в виду, что она выполняется с полномочиями гостевой учетной записи. Если вы придумаете метод отправки сообщений, который хорошо подходит для вашей сети, напишите о нем команде разработчиков Samba.
В значении параметра message command вы можете использовать стандартные переменные подстановки. Для всех сообщений также определены следующие три переменные:
- %s имя файла, содержащего сообщение;
- %t адресат сообщения (обычно это имя сервера);
- %f отправитель сообщения.
Значение по умолчанию - пустая строка, то есть команда обработки сообщений не определена. В этом случае Samba сообщает об ошибке клиентам, пытающимся отправить на сервер WinPopup-сообщение.

message command =

Для того чтобы просто стирать все приходящие сообщения, задайте:

message command = rm %s

Параметр valid chars

Параметр задает дополнительные символы, которые будут рассматриваться сервером как допустимые в именах файлов. Он может быть полезен при использовании национальных алфавитов. Значением параметра должен быть список символов либо в виде их кодов, либо в виде собственно символов. Отдельные символы разделяются пробелами. Если вы разделите два символа двоеточием, они будут считаться одним символом в нижнем и верхнем регистрах соответственно. Для того чтобы параметр работал правильно, вам необходимо сначала установить корректное значение для client code page. (По умолчанию в smb.conf параметры располагаются в нужном порядке.) Если вы установите параметр client code page после valid chars, то значение valid chars будет перезаписано. Параметр client code page обсуждался выше в разделе "Имена файлов".
Для каждой конкретной системы достаточно трудно создать правильный список символов для использования в качестве значения параметра valid chars. В дистрибутив Samba входит программа, которая поможет автоматизировать этот процесс. Программа validchars автоматически создает полную строку valid chars для данной клиентской системы. Эта программа, примеры с расширением .out и исходные тексты находятся в подкаталоге examples/validchar каталога Samba.
Значение по умолчанию - пустая строка (никакие дополнительные символы не считаются допустимыми в именах файлов):

valid chars =

Параметр remote announce

Параметр позволяет задать список IP-адресов, по которым демон nmbd будет периодически анонсировать себя. Адреса могут находиться в других подсетях; также вы можете указать имя рабочей группы. Если имя рабочей группы не указано, используется имя рабочей группы Samba-сервера.
Параметр полезен, если вам необходимо, чтобы Samba-сервер разделял ресурсы с удаленной рабочей группой, и предоставляет вам еще один способ управления сетевыми списками просмотра.
Удаленная рабочая группа может располагаться где угодно - главное, чтобы вы могли отправлять ей IP-пакеты. Если сетевые соединения стабильные, попробуйте задать в этом параметре IP-адреса известных серверов просмотра удаленной рабочей группы.

Значение по умолчанию - пустая строка (не производится анонсов в удаленные рабочие группы):

remote announce =

Ниже приведен пример, в котором nmbd анонсирует себя в удаленные рабочие группы QandA и ENGINEERS:

remote announce = 192.168.99.24/QandA 192.168.100.124/ENGINEERS

Параметр remote browse sync

Параметр относится только к взаимодействию Samba-сервера с другими Samba-серверами. Он указывает, будет ли демон nmbd запрашивать синхронизацию списков просмотра с основным сервером просмотра, являющимся Samba-сервером в удаленном сегменте сети. Этот параметр позволяет серверу получать списки просмотра для нескольких рабочих групп в маршрутизируемых сетях, но он будет работать правильно только в том случае, если Samba-сервер может отправлять IP-пакеты серверу, синхронизация с которым предполагается.
Значение по умолчанию - пустая строка (синхронизация не выполняется):

remote browse sync =

Ниже приведен пример, в котором Samba будет пытаться синхронизировать списки просмотра с Samba-серверами по адресам 192.168.99.24 и 192.168.100.100.

remote browse sync = 192.168.99.24 192.168.100.100

Имейте в виду, что Samba просто отправляет пакеты по указанным адресам. Не производится никакой проверки.

Параметр socket address

Параметр определяет адрес, на котором Samba ожидает соединений. Он используется, для того чтобы настроить несколько виртуальных интерфейсов на одном сервере. Samba-сервер на каждом из интерфейсов может иметь свою настройку.
Значение по умолчанию - 0.0.0.0 (Samba будет принимать подключения на всех адресах):

socket address =0.0.0.0

Например, чтобы демоны Samba ожидали подключения на адресе 192.168.200.250, задайте:

socket address = 192.168.200.250

Параметр time offset

Параметр задает смешение в минутах, которое добавляется к времени по Гринвичу (GMT), перед нормальной процедурой определения местного времени. Это устаревший параметр, предназначенный для работы со старыми клиентами, которые не могут нормально обрабатывать летнее время (daylight savings time, DST).
Значение по умолчанию - ноль (смещение не используется):

time offset = 0

Если в вашей сети есть клиенты, не поддерживающее летнее время, вы можете установить:

time offset = 60

Параметр wide links

Параметр определяет, позволит ли Samba клиентам следовать ссылкам в файловой системе UNIX, ведущим в области не входящие в экспортируемые каталоги. Он предназначен для системных администраторов страдающих паранойей. Если режимы доступа в вашей системе установлены правильно, установка этого параметра в значение yes не ухудшит безопасность системы

Значение по умолчанию позволяет клиентам переходить по любым ссылкам:

wide links = Yes

Для того чтобы отключить эту возможность задайте:

wide links = No

Параметр follow symlinks

Параметр определяет, будет ли демон smbd позволять клиентам переходить по символическим ссылкам. Если он установлен в значение no то пользователи будут получать сообщение об ошибке при попытке осуществить доступ к файлу или каталогу, являющемуся символической ссылкой. При этом пользователи не смогут не только следовать символическим ссыпкам, но и создавать их. Такая настройка может улучшить безопасность системы (например, иначе пользователь может в своем домашнем каталог создать ссылки на важные системные файлы) Значение по умолчанию разрешает клиентам следовать символическим ссылкам:

follow symlinks - Yes

Для того чтобы запретить клиентам переходить по ссылкам, установите:

follow symlinks = No

Параметр delete readonly

Параметр определяет, могут ли быть удалены файлы с DOS атрибутом "только для чтения" Значение yes позволяет режимам доступа ЗОС "Феникс" иметь приоритет над DOS-режимами доступа, что полезно, например, для таких приложений, как система управления версиями (RCS). Может сложиться ситуация, в которой UNIX-режим доступа запрещает изменять режим доступа к файлу, а DOS-режим запрещает удалять данный файл.
Значение по умолчанию - no, что не разрешает удаление файлов с атрибутом "только для чтения":

delete readonly = No

Для того чтобы разрешить удаление файлов с атрибутом "только для чтения", задайте:

delete readonly = Yes

Параметр DOS filetime resolution

Этот параметр применяется для устранения проблем, которые возникают при использовании файловой системы DOS/Windows FAT. Наилучшее разрешение, которое может использовать FAT для метки времени - 2 секунды. Это может вызвать проблемы совместимости при использовании некоторых программных продуктов (например, серии языков программирования Microsoft Visual) с разделяемыми ресурсами на Samba-сервере. Проблема возникает в том случае, когда для разделяемого ресурса разрешен механизм своевременного блокирования (см. параметр oplocks в разделе "Параметры блокировки"). При этом программный продукт, такой как один из языков программирования Microsoft Visual, использует два различных вызова для чтения метки времени, чтобы проверить, был ли файл изменен с момента последнего его чтения. Первый из этих вызовов использует разрешение в одну секунду, второй - разрешение в две секунды, и округляет нечетное число секунд до меньшего четного. Поэтому если файл имеет метку времени, содержащую нечетное число секунд, результаты двух вызовов окажутся различными, и метки времени будут казаться несовпадающими. В результате программный продукт сообщит, что файл был изменен.
Если для разделяемого ресурса параметр DOS filetime resolution установлен в значение yes, то Samba будет округлять метку времени до меньшего четного числа секунд. В этом случае продукты Microsoft Visual остаются счастливы и правильно сообщают время создания файла.
Значение по умолчанию - no (время создания файла не округляется):

DOS filetime resolution = No

Для того чтобы Samba округляла время создания файла, дурача такие продукты, как языки программирования Microsoft Visual, задайте:

DOS filetime resolution = Yes

Параметр fake directory create times

Этот параметр позволяет Samba "придумывать" время создания каталогов для обеспечения совместимости языков программирования Microsoft Visual с разделяемыми ресурсами Samba. Даже наиболее новые файловые системы, такие как NTFS и Windows VFAT, сохраняют время создания, не совпадающее с используемой в UNIX меткой времени ctime (временем изменения состояния). По умолчанию Samba сообщает клиентам самое раннее время из всех меток времени, поддерживаемых UNIX. Это может привести к тому, что компилятор будет перестраивать объекты, которые не изменились. Установка параметра fake directory create times в значение yes приведет к тому, что Samba всегда будет сообщать полночь первого января 1980 года как время создания каталога.
По умолчанию Samba сообщает клиентам метку времени создания, используемую в UNIX:

fake directory create times = No

Для того чтобы Samba сообщала клиентам время создания, совместимое с компиляторами Microsoft Visual, укажите:

fake directory create times = Yes

Параметр panic action

Этот параметр предназначен для использования разработчиками Samba. Он определяет команду, которая должна быть вызвана при сбое smbd или nmbd, уведомив разработчика, что сделанные изменения в коде Samba не работают, как предполагалось.
Значение по умолчанию - пустая строка:

panic action =

В этом разделе описываются все параметры для ресурса.

Основные параметры (Base options)

В разделе основных параметров вы можете задать комментарий для разделяемого ресурса и путь к нему.

Параметр comment

Параметр задаст текст, который будет виден на клиентах в качестве комментария для данного разделяемого ресурса.
Значение по умолчанию - пустая строка (комментарий не задан):

comment =

Ниже приведен пример установленного комментария для ресурса:

comment = Наш сервер

Параметр path

Параметр определяет каталог, который будет являться разделяемым. Если вы настраиваете службу печати, а не разделяемый файловый ресурс, то здесь должен быть указан каталог-накопитель. Путь указывается от корневого каталога, определяемого среди глобальных параметров в разделе, посвященном настройкам безопасности.
В значении параметра могут использоваться стандартные переменные подстановки; для этого параметра из них особенно полезны следующие две:
- %u Имя учетной записи ЗОС "Феникс", с правами которой произведено подключение;
- %m NetBIOS-имя системы.
Значение по умолчанию - пустая строка. Если вы установили в качестве корневого каталога корневой каталог операционной системы (каталог /), то пустая строка обозначает этот каталог:

path =

Если в качестве корневого каталога задан каталог /opt/samba и вы установили:

path = /printer/spoolfiles

то служба будет использовать каталог /opt/samba/printer/spoolfiles.

Параметры безопасности (Security options)

В этом разделе вы определяете права доступа для пользователей. Также вы можете здесь определить гостевой доступ к ресурсу.

Параметр revalidate

Этот параметр работает только при использовании безопасности на уровне ресурсов (security = share). Он определяет, будет ли Samba позволять использовать ранее проверенную пару имя/пароль для подключения к новому ресурсу. По умолчанию разрешается подключение без проведения повторной проверки. Если вы установите параметр в значение yes, затем подключитесь к ресурсу \\sugar\lesh и, наконец, попытаетесь произвести подключение к \\sugar\hart, Samba не разрешит клиенту автоматического подключения, несмотря на то, что клиент отправит то же самое имя пользователя, что и ранее. Значение по умолчанию:

revalidate = No

Чтобы включить обязательную проверку пароля при подключении к каждому новому ресурсу, используйте:

revalidate = Yes

Параметр username

Еще один параметр для работы с устаревшими клиентами на базе DOS и Windows for Workgroups. При использовании этого параметра ухудшаются безопасность системы и ее производительность. Значением параметра должен являться список имен пользователей, отделенных друг от друга запятыми. Имейте в виду, что параметр не накладывает ограничений на то, какие пользователи могут подключиться. Он лишь указывает Samba-серверу, каким именам пользователей может соответствовать пароль. Пароль, переданный клиентом, проверяется па соответствие каждому из этих имен по очереди.
Значение по умолчанию - пустая строка (нет пользователей):

username =

Параметр guest account

Этот параметр задает имя пользователя, используемое для доступа к публичным ресурсам (см. guest ok). Привилегии этою пользователя получают любые клиенты, подключающиеся к публично доступным ресурсам. Указанный в качестве значения параметра пользователь не должен иметь возможность нормально войти в систему.
Значение по умолчанию задается при компиляции; обычно это nobody:

guest account = nobody

Для того чтобы использовать в качестве гостевой учетной записи ftp, поменяйте эту строку на следующую:

guest account = ftp

Параметр invalid users

Значением параметра является список пользователей, которым запрещен доступ к системе. Хорошей идеей будет установить

invalid users = administrator, если вы не нуждаетесь в кросс-платформенном администрировании.
По умолчанию пользователей, которым запрещен доступ, нет. Значение параметра - пустая строка:

invalid users =

Чтобы запретить доступ администраторам NT-системы, используйте:

invalid users =administrator admin

Параметр valid users

Значением параметра является список пользователей, которым разрешен доступ к системе. Параметр не является обязательным. По умолчанию его значением является пустая строка, что означает, что доступ разрешен всем. Если пользователь указан одновременно и в списке valid users, и в списке invalid users, то доступ для него запрещен.
По умолчанию значением параметра является пустая строка, то есть всем пользователям разрешен доступ к системе:

valid users =

Для того чтобы разрешить доступ к системе только пользователю phil, используйте:

valid users = phil

Параметр admin users

Значением параметра является список пользователей, имеющих административные привилегии для ресурсов. Указанные пользователи могут работать с файлами на разделяемых ресурсах с правами пользователя root. Это еще один параметр, который не следует использовать.
По умолчанию значением параметра является пустая строка (нет пользователей с полномочиями администратора):

admin users =

Для того чтобы наделить пользователя georgeh полномочиями администратора, используйте:

admin users = georgeh

Параметр read list

Параметр представляет собой список пользователей, доступ к ресурсам которым предоставляется в режиме "только для чтения".
Значение по умолчанию - пустая строка (ни один пользователь не ограничен в доступе):

read list =

Для того чтобы разрешить для пользователей phil и cheese доступ исключительно в режиме "только для чтения", используйте:

read list = phil, cheese

Параметр write list

Параметр представляет собой список пользователей, которым предоставляется доступ к ресурсам в режиме "чтение и запись", даже если ресурс помечен как "только для чтения". Если пользователь входит одновременно в списки read list и write list, то он получает доступ в режиме "чтение и запись".
Значение по умолчанию - пустая строка (ни один пользователь не получает доступа па запись к ресурсам "только для чтения"):

write list =

Для того чтобы разрешить для пользователей admin и root доступ в режиме "чтение и запись" к ресурсам, помеченным как "только для чтения", используйте:

write list = admin, root

Параметр force user

Параметр задает имя учетной записи UNIX, с правами которой пользователь подключается к ресурсу. Samba устанавливает права заданной учетной записи после того, как будет установлено соединение, то есть клиентам все равно нужно указать правильные имя пользователя и пароль. Все операции с файлами, выполненные после подключения, будут считаться выполненными пользователем, которому соответствует определенная параметром учетная запись. Как следует все обдумайте, если вы хотите использовать этот параметр.
Значение по умолчанию - пустая строка (пользователи работают с ресурсом от своего имени):

force user =

Например, чтобы все операции на данном разделяемом ресурсе выполнялись с правами учетной записи cheese, установите:

force user = cheese.

Параметр read-only

Параметр определяет, является ли режим доступа к ресурсу режимом "только для чтения". Вы должны установить его в значение no, если хотите сделать ресурс доступным для записи.
Значение по умолчанию не разрешает запись:

read-only = Yes

Для того чтобы сделать ресурс доступным для записи, установите:

read-only = No

Параметр guest only

Параметр не будет работать, если в разделе глобальных параметров не разрешен гостевой доступ или если следующий параметр (guest ok) установлен в значение no. Установка параметра guest only в значение no не запрещает гостевой доступ к ресурсу.
По умолчанию к ресурсу разрешается не только гостевой доступ:

guest only = No

Для того чтобы разрешить к данному ресурсу только гостевой доступ, задайте:

guest only = Yes

Параметр guest ok

Параметр определяет, разрешен ли гостевой доступ к ресурсу. По умолчанию гостевой доступ запрещен, то есть для подключения клиенты должны указать правильные имя пользователя и пароль:

guest ok = No

Чтобы разрешить гостевой доступ к ресурсу, установите:

guest ok = Yes

Параметр only user

Параметр определяет, разрешен ли доступ к ресурсу пользователям, не перечисленным в значении параметра user.
Значение по умолчанию:

only user = No

Для того чтобы разрешить доступ к ресурсу только пользователям, указанным в значении параметра user, задайте:

only user = Yes

Параметр hosts allow

Значением этого параметра является список узлов, которым разрешен доступ к службе. В качестве разделителей могут использоваться запятая, пробел и символ табуляции. Если параметр задан в разделе Globals, то он относится ко всем разделяемым ресурсам; более того, если для конкретного ресурса запрещен доступ для одного из узлов, указанных в списке hosts allow в разделе Globals, то доступ все равно разрешается. Узлы в списке можно задавать при помощи имени, IP-адреса или пары IP-адрес-маска подсети. Вы также можете указывать в списке сетевые группы, если ваша система поддерживает их. При использовании символа подстановки *. Для того чтобы задать исключения, допустимо применять также ключевое слово except.
Если вы используете параметр hosts allow, то вы должны включить в список узлов, которым разрешен доступ, локальный узел - localhost. Samba требуется доступ к локальному интерфейсу, чтобы работать так, как вы этого ожидаете.
В следующем примере доступ к Samba разрешен для локального узла и всех узлов с IP-адресами 192.168.*.*:

hosts allow - localhost, 192 168 * *

Чтобы разрешить доступ локальному узлу и узлам из указанной подсети, используйте:

hosts allow = localhost. 192.168.99.0/255.255.255.0

Чтобы разрешить доступ локальному узлу и двум системам с заданными именами:

hosts allow - localhost, terrapin deal

Чтобы разрешить доступ локальному узлу и подсети с одним исключением:

hosts allow = localhost, 192.168.99.0/255.255.255.0 except 192.168.99.222

Значение по умолчанию - пустая строка (доступ разрешен всем узлам):

hosts allow =

Параметр hosts deny

Этот параметр играет обратную hosts allow роль. Узлам из заданного при его помощи списка будет запрещен доступ к Samba. Даже если для какого-то ресурса указано, что доступ для конкретного узла разрешен, при наличии этого узла в списке hosts deny в разделе Globals доступ будет запрещен.
Значение по умолчанию - пустая строка (доступ разрешен всем узлам):

hosts deny =

Ниже приведен пример, запрещающий доступ для всей подсети 192.168.111.*:

hosts deny = 192.168.111.*

Параметры журналирования (Logging options)

Этот раздел содержит в настоящее время только один параметр.

Параметр status

Вы не должны изменять этот параметр. Если вы установите его в значение no, программа smbstatus не сможет определить, какие соединения активны. Значение по умолчанию:

status = Yes

Пример изменения значения этого параметра (smbstatus не сможет определять активные соединения!):

status = No

Дополнительная настройка (Tuning options)

Раздел содержит несколько параметров настройки разделяемых ресурсов, которые могут повлиять на производительность вашего Samba-сервера. Правильная настройка этих параметров может увеличить производительность, а неправильная - уменьшить.

Параметр max connections

Параметр задает максимальное разрешенное количество одновременных подключений к ресурсу. Значение по умолчанию (ноль) указывает, что количество одновременных подключений не ограничено. Любое другое значение приведет к тому, что клиентам будет отказано в подключении к ресурсу, если число уже открытых соединений совпадает с данным значением. Для реализации этой возможности Samba использует файлы блокировки. Они располагаются в каталоге, заданном параметром lock directory.
Значение по умолчанию не ограничивает количество одновременных подключений к ресурсу:

max connections = 0

Для того чтобы установить максимальное разрешенное количество одновременных подключений в 100, укажите:

max connections = 100

Параметр strict sync

Используйте этот параметр для сглаживания различий между тем, как Windows-клиенты смотрят на sync, и тем, как это делает ЗОС "Феникс". В ЗОС "Феникс" при записи буферов на жесткий диск работающий процесс останавливается до тех пор, пока содержимое буферов не будет записано. Это очень медленный метод. Использование этого метода было необходимо для того, чтобы быть уверенным в сохранности данных.
По умолчанию smbd игнорирует запросы на sync от приложений, работающих на Windows-клиентах. Это означает, что при отказе сервера имеется опасность потерять данные. На самом деле, на ЗОС "Феникс" шансы на это очень малы. Кроме того, такое поведение smbd позволяет справиться с проблемами производительности, возникающими при копировании файлов в Windows 98.
По умолчанию значение параметра strict sync - no, что запрещает smbd производить запись буферов на диск при получении запроса от клиента:

strict sync = no

Установка этого параметра в значение yes уменьшит производительность. Используйте только при поиске неисправностей:

strict sync = yes

Параметр sync always

Этот параметр игнорируется, если strict sync установлен в значение no. В противном случае параметр определяет, должен ли перед тем, как сервер сообщит о выполнении запроса на запись, закончиться процесс записи на диск. Если вы установите параметр в значение yes, то после выполнения каждого запроса на запись (но до того, как о выполнении будет сообщено клиенту) производится системный вызов fsync(), записывающий содержимое буферов на диск.
Значение по умолчанию:

sync always = no

Чтобы форсировать запись на диск (параметр strict sync должен быть установлен в значение yes), используйте:

sync always = yes

Имена файлов (File handling)

Данный раздел содержит параметры, определяющие, как Samba-сервер обрабатывает имена файлов и как он показывает эти имена пользователям, подключающимся к ресурсу с различных клиентов. Также некоторые параметры позволяют вам скрыть определенные файлы от пользователей.

Параметр default case

Параметр задает используемый по умолчанию регистр символов для всех файлов и каталогов, создаваемых клиентами на Samba-сервере. Значение этого параметра влияет на работу параметров mangle case, preserve case и short preserve case.
По умолчанию в именах файлов и каталогов, создаваемых клиентами на Samba-сервере, используются символы в нижнем регистре:

default case = lower

Для того чтобы использовать верхний регистр, установите:

default case = upper

Параметр case sensitive

Этот параметр определяет, имеет ли значение регистр символов в именах файлов (по умолчанию - нет). Если параметр установлен в значение nо, то Samba производит поиск имени файла независимо от регистра символов. Значение по умолчанию:

case sensitive = No

Для того чтобы различать имена с разным регистром символов, укажите:

case sensitive = Yes

Параметр preserve case

Параметр определяет, сохраняется ли регистр символов в новых именах файлов, полученных от клиента. Если вы установите параметр в значение по, то регистр символов в именах файлов будет приведен к регистру, используемому по умолчанию.
Значение по умолчанию:

preserve case = Yes

Для того чтобы разрешить автоматически приводить новые имена файлов к используемому по умолчанию регистру, установите:

preserve case = No

Параметр short preserve case

Параметр указывает, должны ли сохраняться новые имена файлов в верхнем регистре и небольшой длины или же они должны быть приведены к используемому по умолчанию регистру. Параметр имеет смысл, если параметр preserve case установлен в значение yes.
Значение по умолчанию:

short preserve case = Yes

Для того чтобы не сохранять регистр символов в коротких именах, укажите:

short preserve case = No

Параметр mangle case

Параметр определяет, изменяются ли (are mangled) имена, содержащие символы не в регистре по умолчанию. Например, если параметр установлен в значение yes, то такие имена, как Mail, будут изменяться. Значение по умолчанию:

mangle case = No

Значение yes повлияет только на имена файлов, содержащих символы в верхнем регистре. Например, имя FranklinsTower.txt будет приведено к регистру по умолчанию.
Для того чтобы включить преобразование, задайте:

mangle case = yes

Параметр mangling char

Параметр задает, какой символ будет использоваться при изменении имен файлов. По умолчанию это тильда, но такая настройка может вызвать проблемы при работе некоторых программ. Вы можете установить вместо нее любой другой символ.
Значение по умолчанию:

mangling char = ~

Например, для того, чтобы использовать символ подчеркивания, укажите:

mangling char = _

Параметр hide dot files

Параметр определяет, будут ли файлы с именами, начинающимися с точки, считаться скрытыми. По умолчанию команды вывода списка файлов в каталоге не отображают информацию о скрытых файлах.
Значение по умолчанию:

hide dot files = Yes

Для того чтобы показывать в каталогах файлы, начинающиеся с точки, установите:

hide dot files = No

Параметр delete veto files

Параметр определяет, что происходит, когда Samba попытается удалить каталог, который содержит один или несколько защищенных каталогов (vetoed directories). По умолчанию используется значение по, то есть удаление каталога закончится неуспехом, если защищенный каталог содержит обычные файлы или каталоги. Скорее всего, именно такие установки вам нужны.
Значение yes приводит к тому, что Samba попытается рекурсивно удалить все файлы и подкаталоги защищенного каталога. Это означает, что при удалении родительского каталога все такие каталоги будут удалены прозрачно для пользователя. Пользователь, выполняющий удаление каталога, должен иметь соответствующие права доступа или же удаление закончится неуспехом вне зависимости от значения параметра delete veto files.
Значение по умолчанию:

delete veto files = No

Для того чтобы изменить значение параметра, установите:

delete veto files = Yes

Параметр veto files

Значением данного параметра является список файлов и каталогов, которые не являются ни видимыми, ни доступными для клиентов. Однако имейте в виду, что если каталог содержит только файлы, входящие в данный список, он будет удален вместе со всеми файлами, если пользователь имеет соответствующие права доступа. Кроме того, параметр case sensitive влияет на интерпретацию значения параметра veto files.
Параметр veto files влияет на производительность Samba-сервера. Если параметр установлен, то сервер должен проверять все файлы и каталоги на соответствие указанному списку.
Значение по умолчанию - пустая строка (нет защищенных файлов и каталогов).
Если вы хотите задать непустой список, то для разделения имен в этом списке применяется символ /, что позволяет указывать имена, содержащие пробелы. В списке допустимо использовать символы подстановки * и ?. Каждый элемент списка должен быть именем файла, но не может включать в себя символ /.
Например, чтобы скрыть от пользователей все файлы, заканчивающиеся на .tmp, а также файлы, содержащие строку root, задайте:

veto files = /* tmp/*root*/

Параметр hide files

Значением параметра является список файлов и каталогов, которые невидимы, но доступны для клиентов. Для каждого из файлов пли каталогов, соответствующих указанному списку, выставляется DOS-атрибут "скрытый файл" (hidden file). Для разделения имен в этом списке применяется символ /, что позволяет указывать имена, содержащие пробелы. В списке допустимо использовать символы подстановки * и ?. Каждый элемент списка должен быть именем -файла, но не может включать в себя символ /.
Параметр hide files влияет на производительность Samba-сервера. Если параметр установлен, то сервер должен проверять все файлы и каталоги на соответствие указанному списку.
Значение по умолчанию - пустая строка, то есть ни для каких файлов или каталогов не выставляется атрибут "скрытый файл".
Для того чтобы сделать скрытыми все файлы, закапчивающиеся на .log, установите:

hide files = /* log/

Параметр veto oplock files

Параметр может применяться только в том случае, если для разделяемого ресурса установлен параметр oplocks. Данный параметр позволяет администратору Samba выборочно отключить своевременную блокировку (oplocks) для файлов. Формат списка такой же, как и для параметра veto files. Параметр полезен в том случае, если определенные файлы активно используются несколькими различными клиентами.
Значение по умолчанию - пустая строка, то есть своевременная блокировка разрешена для всех файлов.
Для того чтобы запретить механизм oplocks для всех файлов вида *.cookie, укажите:

veto oplock files = /* cookie/

Параметр mangled names

Параметр определяет, как клиенты будут видеть файлы ЗОС "Феникс". Либо файлы, имеющие несовместимые с DOS имена не будут показываться пользователям, либо их имена будут отображаться в имена, совместимые с DOS. Всего имеется пять параметров, которые управляют процессом отображения имен. Данный параметр определяет, будет ли отображение имен вообще происходить.
Отображение имен позволяет клиентам работать с файлами (например, скопировать файл из одною каталога системы в другой) сохраняя при этом их исходные длинные имена.
Если у вас включено отображение имен для разделяемого каталога, то два файла с одинаковыми первыми пятью символами в имени могут получить одинаковое имя после отображения, вызвав проблемы. Шанс того, что эта неприятность случится - 1 из 1300. Значение по умолчанию:

mangled names = Yes

Для того чтобы отключить отображение имен, задайте:

mangled names - No

Параметр mangled map

Данный параметр позволяет непосредственно задать карту отображения имен, не совместимых с DOS/Windows. Если вы не хотите использовать отображение имен для всех файлов, этот параметр весьма полезен.
Приведем один пример, описывающий часто встречающуюся ситуацию. В UNIX-системах для HTML-файлов обычно используется расширение .html, в то время как в Windows/DOS - расширение . htm. Обсуждаемый параметр позволяет отображать UNIX-расширение .html в Windows-расширение .htm.
Значение по умолчанию:

no mangled map

Для того чтобы отображать html в htm:

mangled map = (* html * htm)

Параметры просмотра (Browse options)

Данный раздел в настоящее время содержит только один параметр.

Параметр browseable

Этот параметр определяет, будет ли разделяемый ресурс видим в списке доступных ресурсов при просмотре сети. Данный параметр не делает ресурс недоступным - только невидимым. По умолчанию все разделяемые ресурсы доступны для просмотра.
Значение по умолчанию:

browseable = Yes

Для того чтобы исключить ресурс из списка просмотра сети, задайте:

browseable = No

Параметры блокировки (Locking options)

В этом разделе вы можете задать параметры блокировки файлов. Правильное использование этих параметров позволит улучшить производительность сервера.

Параметр blocking locks

Параметр определяет, может ли smbd по запросу клиента блокировать определенную часть открытого файла. Такой запрос также содержит продолжительность запрашиваемой блокировки. Если параметр установлен в значение yes и указанная область файла не может быть блокирована, Samba, ставит запрос на блокировку во внутреннюю очередь, после чего периодически, до наступления тайм-аута, пытается выполнить его. Если параметр установлен в значение по, то клиенту немедленно сообщается о невозможности выполнить блокировку. Если вы используете данный параметр, он должен устанавливаться индивидуально для каждого разделяемого ресурса.
По умолчанию Samba будет поддерживать запросы на блокировку части файла:

blocking locks = Yes

Для того чтобы отключить этот параметр, задайте:

blocking locks = No

Параметр fake oplocks

Вы можете использовать механизм fake oplocks для файловых систем, доступных клиентам только для чтения, или для разделяемых ресурсов, доступных ровно одному клиенту. Использование fake oplocks для ресурсов, запись в которые производится несколькими клиентами, может привести к порче данных.
Суть fake oplocks в том, что клиенту сообщается, что механизм oplocks поддерживается, что на самом деле не так. Понятно, что если ресурс доступен только для чтения, то ничего страшного не произойдет, хотя и выигрыша в производительности тоже не будет. Если ресурс доступен только одному клиенту, то использование fake oplocks безопасно и может привести к определенному выигрышу в производительности.
По умолчанию механизм fake oplocks отключен:

fake oplocks = No

Чтобы включить его, используйте:

fake oplocks - Yes

Параметр locking

Этот параметр определяет, будет ли сервер производить блокировку файлов по запросам клиентов, и предназначен для использования разработчиками. Не изменяйте значение этого параметра. Установка его в значение no приведет к тому, что все запросы на блокирование и разблокирование файлов будут казаться клиентам успешно выполненными, однако на самом деле никакая блокировка производиться не будет. Если вы запретите блокировку или в разделе глобальных параметров, или для определенного разделяемого ресурса, это приведет к повреждению данных.
Значение по умолчанию:

locking = Yes

Параметр oplocks

Параметр определяет, будет ли smbd использовать механизм своевременной блокировки (oplocks) при получении запросов на открытие файлов на разделяемых ресурсах. Использование этого механизма может увеличить скорость доступа к файлам на Samba-сервере, поскольку он позволяет клиентам локально кэшировать файлы. Сервера Windows NT по умолчанию используют этот механизм. Механизм своевременной блокировки может быть отключен для определенных файлов, расположенных на определенных разделяемых ресурсах, - для этого применяется параметр veto oplock files.
Значение по умолчанию:

oplocks = Yes

Для того чтобы отключить механизм своевременного блокирования, установите:

oplocks = No

Параметр strict locking

Параметр определяет, как сервер обрабатывает блокировку файлов. Если он установлен в значение yes, то сервер при каждой попытке чтения или записи проверяет существование блокировки для файла и не разрешает доступ, если файл заблокирован. Если параметр установлен в значение no, то сервер проверяет наличие блокировки для файла только по запросу клиента. Именно так сервер ведет себя по умолчанию, поскольку такой метод обеспечивает лучшую производительность.
Значение по умолчанию:

strict locking = No

Для того чтобы включить проверку блокировки при каждой операции чтения/записи, задайте:

strict locking = Yes

Параметр share modes

Параметр определяет, какие режимы доступа используются при открытии файла. Клиент может запросить режим доступа, который подразумевает эксклюзивное право на чтение или на запись. Если вы установите параметр share modes в значение no, то в этом случае Windows-приложению не удастся открыть файл.
Значение по умолчанию - yes, что обеспечивает полную совместимость разделяемых ресурсов с приложениями Windows:

share modes = Yes

Нет никакого смысла изменять это значение.

Прочие параметры (Miscellaneous Options)

В этом разделе вы можете задать параметры, позволяющие настраивать разделяемые ресурсы для подключающихся к ним пользователей. Вы также можете указать, какие файлы ресурса доступны для пользователей.

Параметр available

Параметр определяет, является ли данный разделяемый ресурс доступным пользователям. Если вы установите его в значение no, то все попытки подключения к ресурсу будут заканчиваться неудачей (а также будут записываться в файл журнала). По умолчанию ресурс доступен для пользователей:

available = Yes

Для того чтобы отключить ресурс, задайте:

available = No

Параметр volume

Параметр определяет метку тома для разделяемого ресурса. Он может быть полезен при использовании в качестве разделяемого ресурса CD-ROM на Samba-сервере, если Windows- или DOS-программы инсталляции требуют определенной метки тома.
Значение по умолчанию - имя ресурса.
Для того чтобы установить в качестве метки тома, например CD_WIN, задайте:

volume = CD_WIN

Параметр fstype

Параметр задает тип файловой системы, который Samba-сервер сообщает клиентам для данного разделяемого ресурса. Он не влияет на тип используемой файловой системы.
Значение по умолчанию - NTFS, для обеспечения совместимости с Windows NT:

fstype = NTFS

Для того чтобы Samba-сервер сообщал клиентам, что ресурс использует файловую систему FAT, укажите:

fstype = FAT

Параметр set directory

Параметр используется при работе с клиентами Digital Pathworks. Он указывает, может ли клиент использовать команду setdir для смены каталогов.
Значение по умолчанию - no, поскольку большая часть клиентов не является клиентами Digital Pathworks:

set directory = No

Для того чтобы включить совместимость с клиентами Digital Pathworks, установите:

set directory = Yes

Параметр wide links

Параметр определяет, позволит ли Samba клиентам следовать ссылкам в файловой системе ЗОС "Феникс", ведущим в области, не входящие в экспортируемые каталоги. Он предназначен для системных администраторов, страдающих паранойей. Если режимы доступа в вашей системе установлены правильно, установка этого параметра в значение yes не ухудшит безопасность системы.
Значение по умолчанию позволяет клиентам переходить по любым ссылкам:

wide links = Yes

Для того чтобы отключить эту возможность, задайте:

wide links = No

Параметр follow symlinks

Параметр определяет, будет ли smbd позволять клиентам переходить по символическим ссылкам. Если он установлен в значение no, то пользователи будут получать сообщение об ошибке при попытке осуществить доступ к файлу или каталогу, являющемуся символической ссылкой. При этом пользователи не смогут не только следовать символическим ссылкам, но и создавать их. Такая настройка может улучшить безопасность системы (например, иначе пользователь может в своем домашнем каталоге создать ссылки на важные системные файлы).
Значение по умолчанию разрешает клиентам следовать символическим ссылкам:

follow symlinks = Yes

Для того чтобы запретить клиентам переходить по ссылкам, установите:

follow symlinks = No

Параметр dont descend

Параметр задает список каталогов, которые будут казаться клиентам пустыми.
Этот параметр предназначен для удобства, а не для обеспечения безопасности. Он влияет на список каталогов, но не на доступ к ним. Если пользователь имеет соответствующие права доступа, он сможет записывать или удалять файлы в указанных каталогах. Вы можете указать несколько каталогов, разделяя их запятыми.
Значение по умолчанию - пустая строка (показываются все каталоги):

dont descend =

Для того чтобы клиенты видели каталоги /dev и /ргос пустыми, укажите:

dont descend = /proc,/dev

Параметр delete readonly

Параметр определяет, могут ли быть удалены файлы с DOS-атрибутом "только для чтения". Значение yes позволяет режимам доступа ЗОС "Феникс" иметь приоритет над DOS-режимами доступа, что полезно, например, для таких приложений, как система управления версиями (RCS). Может сложиться ситуация, в которой режим доступа ЗОС "Феникс" запрещает изменять режим доступа к файлу, а DOS-режим запрещает удалять данный файл.
Значение по умолчанию - no, что не разрешает удаление файлов с атрибутом "только для чтения":

delete readonly = no

Для того чтобы разрешить удаление файлов с атрибутом "только для чтения", задайте:

delete readonly = Yes

Параметр DOS filetime resolution

Этот параметр применяется для устранения проблем, которые возникают при использовании файловой системы DOS/Windows FAT. Наилучшее разрешение, которое может использовать FAT для метки времени - 2 секунды. Это может вызвать проблемы совместимости при использовании некоторых программных продуктов (например, серии языков программирования Microsoft Visual) с разделяемыми ресурсами на Samba-сервере. Проблема возникает в том случае, когда для разделяемого ресурса разрешен механизм своевременного блокирования (см. параметр oplocks в разделе "Параметры блокировки"). При этом программный продукт, такой как один из языков программирования Microsoft Visual, использует два различных вызова для чтения метки времени, чтобы проверить, был ли файл изменен с момента последнего его чтения. Первый из этих вызовов использует разрешение в одну секунду, второй - разрешение в две секунды, и округляет нечетное число секунд до меньшего четного. Поэтому если файл имеет метку времени, содержащую нечетное число секунд, результаты двух вызовов окажутся различными, и метки времени будут казаться несовпадающими. В результате программный продукт сообщит, что файл был изменен.
Если для разделяемого ресурса параметр DOS filetime resolution установлен в значение yes, то Samba будет округлять метку времени до меньшего четного числа секунд. В этом случае продукты Microsoft Visual остаются счастливы и правильно сообщают время создания файла.
Значение по умолчанию - no (время создания файла не округляется):

DOS filetime resolution = No

Для того чтобы Samba округляла время создания файла, дурача такие продукты, как языки программирования Microsoft Visual, задайте:

DOS filetime resolution = Yes

Параметр fake directory create times

Эот параметр позволяет Samba "придумывать" время создания каталогов для обеспечения совместимости языков программирования Microsoft Visual с разделяемыми ресурсами Samba. Даже наиболее новые файловые системы, такие как NTFS и Windows VFAT, сохраняют время создания, не совпадающее с используемой в ЗОС "Феникс" меткой времени ctime (временем изменения состояния). По умолчанию Samba сообщает клиентами самое раннее время из всех меток времени, поддерживаемых ЗОС "Феникс". Это может привести к тому, что компилятор будет перестраивать объекты, которые не изменились. Установка параметра fake directory create times в значение yes приведет к тому, что Samba всегда будет сообщать полночь первого января 1980 года как время создания каталога.
По умолчанию Samba сообщает клиентам метку времени создания, используемую в ЗОС "Феникс":

fake directory create times = No

Для того чтобы Samba сообщала клиентам время создания, совместимое с компиляторами Microsoft Visual, укажите:

fake directory create times = Yes

После выполнения команды

cat /etc/passwd | /etc/samba/mksmbpasswd.sh > /etc/samba/psw

мы получим фаил /etc/samba/psw из которого следует удалить записи относящиеся к системным пользователям типа root, mail, www, и т.п.

Далее фаил переименовывается в /etc/samba/smbpasswd либо иной указанный в параметре (smb passwd file =), и можно задавать пароли пользователей с помощью утилиты smbpasswd ( smbpasswd имя_юзера ), будет предложено ввести и подтвердить пароль для имя_юзера.

Помните, что в целях безопасности нельзя оставлять в этом файле системных пользователей либо пользователей с пустыми паролями.

Скрипт /etc/samba/mksmbpasswd.sh :

#!/bin/sh
awk 'BEGIN {FS=":"
printf("#\n# SMB password file.\n#\n")
}
{ printf( "%s:%s:XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX:XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX:[U ]:LCT-00000000:%s\n", $1, $3, $5) }
'
# end mksmbpasswd.sh

# smb.conf is the main Samba configuration file. You find a full commented
# version at /usr/share/doc/packages/samba/examples/smb.conf.SuSE
# Date: 2007-05-05

[global]

workgroup = ATIS
netbios name = linmash

# Сервер работает на двух интерфейсах 192.168.200.250/24
# 192.168.100.240/24

interfaces = 127.0.0.1 192.168.200.250/24 192.168.100.240/24

# Параметр unix charset = koi8-r позволяет корректно отображать
# русские имена файлов в Windows

unix charset = koi8-r
remote announce = 192.168.100.240/FIN
os level = 65
domain master = yes
local master = yes
preferred master = yes
domain logons = yes

# Следующий параметр имеет смысл если в сети работает DNS сервер

bind interfaces only = true
map to guest = Bad User
encrypt passwords = yes

# Уеазывам место расположение файла с паролями, который
# необходимо создать заранее как указано выше

smb passwd file = /etc/samba/smbpasswd
printer admin = @ntadmin, root, administrator
printing = cups
printcap name = cups
load printers = yes
idmap uid = 1000-20000
idmap gid = 100-10000
winbind cache time = 1
log file = /var/log/samba/log.%m
max log size = 50
keepalive = 60
server string = SuSe Samba Server
security = user
veto files = /*.apl/*.vob/

[printers]

# настраиваем серверные принтеры для общего использования

comment = All Printers
path = /var/tmp
printable = Yes
valid users = vova pasha sveta vanderboot
create mask = 0600
browseable = yes

[print$]

comment = Printer Drivers
path = /var/lib/samba/drivers
write list = @ntadmin root
force group = ntadmin
create mask = 0664
directory mask = 0775

[doc]

# Папка с общедоступными документами

comment = Documentation
path = /users/export/smb/Doc
browseable = yes
writable = yes
public = no
invalid users = nobody
guest ok = no

[www]

# Скрытая папка с файлами WEB сервера, изменять файлы можно
# только одному пользователю 'vanderboot', очень удобно для
# быстрого редактирования содержимого WWW

comment = WWW
path = /srv/www/htdocs
browseable = no
valid users = vanderboot
writable = yes
public = no
invalid users = nobody
guest ok = no

[garant]

# Папка с правовой базой ГАРАНТ или с любой другой базой

comment = Base Garant
path = /users/export/smb/GARANT
browseable = yes
writable = yes
public = no
guest ok = no

[virtual]

# Дисковое пространство для пользователей на сервере,
# благодаря переменной %u дисковое пространство для каждого
# пользователя свое. Например пользователь vova будет попадать в
# папку /home/vova/windows (папку 'windows' в каталоге пользователя
# необходимо создать заранее с соответствующими правами)

comment = Ext Memory
path = /home/%u/windows

# Фиксируем факт обращения к ресурсу в /var/log/samba/resurs

root preexec = smbstatus | grep virtual >> /var/log/samba/resurs
public = no
writable = yes
guest ok = no
invalid users = nobody

[netlogon]

# эта папка просто должна быть, для корректного входа пользователей

browseable = no
path = /users/export/smb/netlogon
writable = no
public = no
root preexec = smbstatus | grep netlogon >> /var/log/samba/resurs
invalid users = nobody

[distribute]

# папка с софтом (удобно)

comment = SETUP
path = /users/export/smb/DISTRIBUT
writable = yes
public = yes
root preexec = smbstatus | grep DISTRIBUTE >> /var/log/samba/resurs
guest ok = no

НОВОСТИ: Релиз OpenSSH 8.0 Thu, 18 Apr 2019 15:08:14 +0300

После пяти месяцев разработки представлен релиз OpenSSH 8.0, открытой реализации клиента и сервера для работы по протоколам SSH 2.0 и SFTP.

???????@Mail.ru Opera Firefox INFOBOX - хостинг Google Chrome