samba-4.12.3版本 smb.conf 詳細的配置內容解釋

前言：

最近想配置一個samba共享服務器，smb.conf 的配置項雜多並且沒有配置說明。而網上各個博客的內容不是你復制我，就是我復制你，幾十篇博客連錯誤的單詞都相同看的人頭皮發麻，毫無參考和學習價值。無奈之下搜集了一晚上的資料做出了這份整理，如果對你能有幫助那么我會很開心。如果你在這其中發現了什么BUG，可以評論告知我。

鑒於內容的后期更正，便於大家參考，本文禁止復制搬運，禁止轉載！

 

如果說你對配置選項比較熟悉，只是想知道各種權限怎么配置，你可以直接看這篇：samba-4.12.3版本 smb.conf 各種權限用戶的配置方式

 

1. 配置分類

Samba 的配置文件 /etc/samba/smb.conf 分為兩大部分：

1> 一部分是 [global] ，即全局配置選項，其用於說明samba服務器的一些基本屬性。也可以將局部的放置到全局，其有些選項也可以寫到 [自定義共享]  中，被其他 [自定義共享] 中的選項定義覆蓋。比如我們在全局中配置了 deadtime = 10，作用為10分鍾強制斷線，我們在 [自定義共享] 的局部配置了 deadtime = 20，那么用戶訪問這個  [自定義共享] 將會20分鍾強制斷線。如果 [自定義共享] 的局部沒有配置 deadtime 那么他依舊是10分鍾強制斷線。

2> 另一部分是 [home] 、[printer] 、[自定義共享] 等局部選項，為除了 [global] 外的各個<section>中的參數（[home] 、[printer]為特殊局部分享）。其定義了共享服務的屬性，這些都是共享的部分，共享部分的設置優先級高於全局配置。另外，Samba 默認開啟本地用戶 [home] 目錄和打印機 [printer] 的共享，如果不需要你也可以關閉這兩個共享，然后在末行自己重新創建一個共享。

3> 這里要說明一點，絕大多數的配置字段沒有嚴格的區分他屬於全局還是局部，它們是靈活的，你可以按照你的需求自由的配置它們。

 

2. 全局配置說明 [global]

字段	參數	作用	示例
domain master	P_ENUM,No|False|0|Yes|True|1|Auto	設定 samba server 是否要擔當DMB角色(DMB會負責收集其他子網的Browse List資源, 成為網域主瀏覽器，網域主瀏覽器可以管理跨子網域的瀏覽服務)，通常無特殊原因設為no	domain master = yes
encrypt asswords	yes/no	設定是否對samba的密碼加密。因為現在windows操作系統都是使用加密密碼，所以一般要開啟此項。不過配置文件默認已開啟。	encrypt passwords = yse
guest account	帳戶名稱	設定訪問 samba server 的來賓帳戶(即訪問時不用輸入用戶名和密碼的帳戶)，若設為pcguest的話則為默認為"nobody"用戶。	guert account = andy # 設定設定訪問 samba server 的來賓帳戶以andy用戶登陸，則此登陸帳戶享有andy用戶的所有權限。
load printers	yes/no	是否在開啟 samba server 時即共享打印機。	load printers = yes
local master	yes/no	設定 samba server 是否要擔當LMB角色(LMB負責收集本地網絡的Browse List資源，成為本地網域主瀏覽器) 如果設為no，則永遠不會成為本地網域主瀏覽器。但是即使設置為yes，也不等於該Samba Server就能成為主瀏覽器，還需要參加選舉。通常無特殊原因設為no	local master = yes
log file	文件路徑/文件名	設置Samba Server日志文件的存儲位置以及日志文件名稱。在文件名后加個宏%m（主機名），表示對每台訪問Samba Server的機器都單獨記錄一個日志文件。如果pc1、pc2訪問過Samba Server，就會在/var/log/samba目錄下留下pc1.g和pc2.log兩個日志文件。	log file = /var/log/samba/%m.log
max log size	容量 KB	log日志的最大容量,單位為kb,超出容量將不會在記錄	max log size = 1024
os level	數字	設定 samba server的os level. os level從 0 到 255 . winNT的os level為33, win95/98的os level 是 1，Windows 2000的os level是64 .若要拿samba server 當LMB或DMB則它的os level至少要大於NT的33以上。如果設置為0，則意味着Samba Server將失去瀏覽選擇。如果想讓Samba Server成為PDC，那么將它的os level值設大些。	os level = 33
password level	密碼位數	密碼位數	password level = 8
password server	IP地址/主機名	指定某台服務器(包括windows 和 linux)的密碼，作為用戶登入時驗證的密碼。 此項需配合 security = server時，才可設定本參數。	password server = <NT-Server-Name>
preferred master	yes/no	設定 samba server 是否要擔當PDC角色(PDC會負責追蹤網絡帳戶進行的一切變更)，通常無特殊原因設為no，如果設置yes，Samba Server一開機就強迫進行主瀏覽器選舉，可以提高Samba Server成為本地網域主瀏覽器的機會。如果該參數指定為yes時，最好把domain master也指定為yes。使用該參數時要注意：如果在本Samba Server所在的子網有其他的機器（不論是windows NT還是其他Samba Server）也指定為首要主瀏覽器時，那么這些機器將會因為爭奪主瀏覽器而在網絡上5分鍾1次大發廣播搶奪主控權，影響網絡性能。如果同一個區域內有多台Samba Server，將上面三個參數設定在一台即可。	preferred master = yes
printcap name	路徑	設定 samba srever 打印機的配置文件	printcap name = /etc/printcap
printing	打印機類型	設定 samba server 打印機所使用的類型， bsd, sysv, plp, lprng, aix, hpux, qnx 等等	printing = lprng
server string	任意字符串	設定 Samba Server 的注釋，可以是任何字符串，也可以不填。宏%v表示顯示Samba的版本號。 其他：支持變量 t%-訪問時間 I%-客戶端IP m%-客戶端主機名 M%-客戶端域名 S%-客戶端用戶名	server string = this is a Samba Server # 出現在Windows網上鄰居的 Samba Server 注釋為 this is a Samba Server
smb passwd file	密碼文件	設定samba的密碼文件。smbpasswd文件如果沒有那就要手工新建	smb passwd file = /etc/samba/smbpasswd
username level	用戶名位數	用戶名位數	username level = 8
wins server	IP地址	設定samba server 是否要使用別台主機提供的WINS服務	wins server = 192.168.0.1 # 表示samba server要使用192.168.0.1提供的WINS服務
wins support	yes/no	設定samba server 是否想網絡提供WINS服務，通常無特殊原因設為no。除非所處網絡上沒有主機提供WINS服務且需要此台samba server提供WINS服務是才設yes，其他 wins support 和 wins server 只能選擇一個	wins support = yes
workgroup	工作組群	設定 Samba Server 的工作組或域. 一般和Windows設為一個組，可在網上鄰居可中看到共享,這也是Windows訪問Samba服務器的前提	workgroup = workgroup
interfaces	網卡名/IP地址	設置Samba Server監聽哪些網卡，可以寫網卡名，也可以寫該網卡的IP地址。	interfaces = lo eth0 192.168.80.2/24 192.168.81.2/24
passdb backend	參數	passdb backend 就是用戶后台的意思。目前有三種后台： 1> smbpasswd: 該方式是使用smb自己的工具smbpasswd來給系統用戶（真實用戶或者虛擬用戶）設置一個Samba密碼，客戶端就用這個密碼來訪問Samba的資源。smbpasswd文件默認在/etc/samba目錄下，不過有時候要手工建立該文件。 2> tdbsam: 該方式則是使用一個數據庫文件來建立用戶數據庫。數據庫文件叫passdb.tdb，默認在/etc/samba目錄下。passdb.tdb用戶數據庫可以使用smbpasswd –a來建立Samba用戶，不過要建立的Samba用戶必須先是系統用戶。我們也可以使用pdbedit命令來建立Samba賬戶。 pdbedit命令的參數很多，我們列出幾個主要的。 pdbedit –a username：新建Samba賬戶。 pdbedit –x username：刪除Samba賬戶。 pdbedit –L：列出Samba用戶列表，讀取passdb.tdb數據庫文件。 pdbedit –Lv：列出Samba用戶列表的詳細信息。 pdbedit –c “[D]”–u username：暫停該Samba用戶的賬號。 pdbedit –c “[]”–u username：恢復該Samba用戶的賬號。 3> ldapsam: 該方式則是基於LDAP的賬戶管理方式來驗證用戶。首先要建立LDAP服務 然后設置“passdb backend = ldapsam:ldap://LDAP Server”	passdb backend=smbpasswd
config file	路徑	config file可以讓你使用另一個配置文件來覆蓋缺少的配置文件。如果文件不存在，則該項無效。這個參數很有用，可以使得samba配置更靈活，可以讓一台samba服務器模擬多台不同配置的服務器。比如，你想讓PC1（主機名）這台電腦在訪問SambaServer時使用它自己的配置文件，那么先在/etc/samba/host/下為PC1配置一個名為smb.conf.pc1的文件，然后在smb.conf中加入：config file = /etc/samba/host/smb.conf.%m。這樣當PC1請求連接Samba Server時，smb.conf.%m就被替換成smb.conf.pc1。這樣，對於PC1來說，它所使用的Samba服務就是由smb.conf.pc1定義的，而其他機器訪問Samba Server則還是應用smb.conf。	config file = /usr/local/samba/lib/smb.conf.%m
dns proxy	yes/no	設置Samba Server是否開啟dns代理服務	dns proxy = yes
domain logons	yes/no	設置Samba Server是否要做為本地域控制器。主域控制器和備份域控制器都需要開啟此項。	domain logons = yes
logon	路徑	當使用者用windows客戶端登陸，那么Samba將提供一個登陸檔。如果設置成%u.bat，那么就要為每個用戶提供一個登陸檔。如果人比較多，那就比較麻煩。可以設置成一個具體的文件名，比如start.bat，那么用戶登陸后都會去執行start.bat，而不用為每個用戶設定一個登陸檔了。這個文件要放置在[netlogon]的path設置的目錄路徑下。	logon . = %u.bat
max connections	計算機數量	max connections用來指定連接Samba Server的最大連接數目。如果超出連接數目，則新的連接請求將被拒絕。0表示不限制。	max connections = 0
netbios name	任意字符串	設置Samba Server的NetBIOS名稱。如果不填，則默認會使用該服務器的DNS名稱的第一部分。netbios name和workgroup名字不要設置成一樣了。	netbios name = smbserver
socket options	Socket選項	用來設置服務器和客戶端之間會話的Socket選項，可以優化傳輸速度。	socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
time server	yes/no	time server 用來設置讓 nmdb 成為 windows 客戶端的時間服務器。	time server = yes
username map	用戶名	用來定義用戶名映射，比如可以將root換成administrator、admin等。不過要事先在smbusers文件中定義好。 比如：root = administrator admin，這樣就可以用administrator或admin這兩個用戶來代替root登陸Samba Server，更貼近windows用戶的習慣。	root = admin
wins proxy	yes/no	設置Samba Server是否開啟wins代理服務。	wins proxy = yes
security	安全等級	設定訪問 samba server 的安全級別共有四種： 1> share: 訪問不需要提供用戶名和密碼。 Samba4.0版本之后,share參數已不采用, 如果需要用游客用戶訪問, 該字段需要配置user,然后添加 map to guest 字段, 如 map to guest = UserName。map to guest配置的用戶將會被游客使用. 2> user: 訪問需要提供用戶名和密碼，由 samba server 負責檢查賬號和密碼的正確性。賬號和密碼要在本Samba Server中建立。 3> server: 訪問需要提供用戶名和密碼，可指定其他機器(windows)或另一台 samba server作身份驗證，這是一種代理驗證。此種安全模式下,系統管理員可以把所有的Windows用戶和口令集中到一個NT系統上,使用Windows NT進行Samba認證, 遠程服務器可以自動認證全部用戶和口令，如果認證失敗，Samba將使用用戶級安全模式作為替代的方式。 4> domain: 訪問需要提供用戶名和密碼，指定主域控制器作身份驗證。	security = user
map to guest	用戶名	Samba4.0版本前, 如果訪問不需要賬號密碼直接將security配置為share便可, Samba4.0版本前, 該方法無法使用, 需要將security配置為user,然后游客用戶將會使用 map to guest 配置的用戶, 作為游客賬號. 游客擁有該賬戶所有權限	map to guest=bad user # bad user參數可以將用戶映射為nobody用戶,該用戶權限足夠小
deadtime	分鍾	deadtime用來設置斷掉一個沒有打開任何文件的連接的時間。單位是分鍾，0代表Samba Server不自動切斷任何連接。	deadtime = 0

 

3. 局部配置說明  [自定義共享]

字段	參數	作用	示例
comment	任意字符串	注釋說明，任意字符串，是對該共享的描述	comment=String
path	路徑	分享資源的完整路徑名稱，除了路徑要正確外，目錄的權限也要設對，可以用%u、%m這樣的宏來代替路徑里的unix用戶和客戶機的Netbios名，用宏表示主要用於[homes]共享域。例如：如果我們不打算用home段做為客戶的共享，而是在/home/share/下為每個Linux用戶以他的用戶名建個目錄，作為他的共享目錄，這樣path就可以寫成：path = /home/share/%u; 。用戶在連接到這共享時具體的路徑會被他的用戶名代替，要注意這個用戶名路徑一定要存在，否則，客戶機在訪問時會找不到網絡路徑。同樣，如果我們不是以用戶來划分目錄，而是以客戶機來划分目錄，為網絡上每台可以訪問samba的機器都各自建個以它的netbios名的路徑，作為不同機器的共享資源，就可以這樣寫：path = /home/share/%m	path=/home/share/%m
hosts allow	IP 網段 計算機名稱 域名	限制允許連接到 SambaServer 的機器，多個參數以空格隔開。 表示方法可以為完整的IP地址, 缺少最后一位的IP地址, 可以排除訪問IP, 可以使用域名等方式進行限制	例1> hosts allow = 192.168.1.* # 表示允許 192.168.1 網段連接 例2> hosts allow=192.168.80. EXCEPT192.168.80.130 # 表示允許來自192.168.80.* 的主機連接，但排除192.168.80.130 例3> hosts allow=192.168.80.0/24 # 表示允許來自192.168.80.0/24子網中的所有主機連接 例4> hosts allow=M1,M2 # 表示容許來自M1和M2兩台計算機連接 例5> hosts allow=@XQ 表示容許來自XQ網域的所有計算機連接
deny hosts	IP/網段	設定只有此網段/IP的用戶不能訪問	deny hosts=192.168.100.* deny hosts=192.168.100.100
allow hosts	IP/網段	設定只有此網段/IP的用戶能訪問	allow hosts=192.168.100.* allow hosts=192.168.100.100
create mask	權限二進制數 對應的十進制數	Samba使用create mask來設置對新創建的文件的正確權限。 create mask代表着在網絡上新建文件將允許哪些權限。 它指定一個十進制數，這個十進制數定義了新目錄所允許的權限。	create mask = 0660
directory mask	權限二進制數 對應的十進制數	directory mask=的工作方式和create mask的類似。它指定一個十進制數，這個十進制數定義了新目錄所允許的權限。它們代表着在網絡上新建文件（create mask=）與目錄（directory mask=）時的初始權限。	directory mask = 0660
admin users	用戶名	admin users用來指定該共享的管理員（對該共享具有完全控制權限）。 在samba 3.0中，如果用戶驗證方式設置成“security=share”時，此項無效	admin users=UsetName1,UsetName2
invalid users	用戶名/@組名	設定只有此名單內的用戶或組不能訪問共享資源	invalid users = UserName,@GroupName1,@GroupName2 # (用戶UserName,GroupName1組GroupName2組 不允許)
valid users	用戶名/@組名	設定只有此名單內的用戶或組才能訪問共享資源	valid users = UserName,@GroupName1,@GroupName2 # (用戶UserName,GroupName1組GroupName2組 允許)
write list	用戶名/@組名	若設定為只讀時，則只有此設定的名單內的成員才可作寫入動作	write list = UserName,@GroupName1,@GroupName2 # (用戶UserName,GroupName1組GroupName2組 可寫)
read list	用戶名/@組名	設定此名單內的成員為只讀	read list = UserName,@GroupName1,@GroupName2 # (用戶UserName,GroupName1組GroupName2組 只讀)
force group	@組名	指定存取資源時須以此設定的群組使用者進入才能存取	force group = # @GroupName1,@GroupName2 (GroupName1組GroupName2組 才能存取)
force user	用戶名	指定存取資源時須以此設定的使用者進入才能存取	write list = UserName1,UserName2 # (用戶UserName1UserName2 才能存取)
browseable	yes/no	在瀏覽資源中顯示共享目錄，若為 no 則必須指定共享路徑才能存取	browseable=yes
available	yes/no	available用來指定該共享資源是否可用	available=yes
guest ok	yes/no	公開共享，若為否則進行身份驗證(只有當security = share 時此項才起作用) 意義同“public”	guest ok=yes
public	yes/no	公開共享，該共享是否允許guest賬戶訪問，若為否則進行身份驗證(只有當security = share 時此項才起作用)	public=yes
writable	yes/no	不以只讀方式共享當與read only發生沖突時，無視 read only	writable=yes
printable	yes/no	是否允許打印	printable=yes
read only	yes/no	以只讀方式共享當與writable發生沖突時也writable為准	read only=yes
hide dot ftles	yes/no	是否隱藏隱藏文件	hide dot ftles=yes

 

 

4. 可用的宏列表

可用的宏列表（能用字符串替換的位置都可以使用這些宏）：

%S：當前服務名

%P：當前服務的根目錄

%u：當前服務的用戶名

%U：當前會話的用戶名

%g：當前服務用戶所在的主工作組

%G：當前會話用戶所在的主工作組

%H：當前服務的用戶的Home目錄

%V：samba的版本號

%h：運行samba服務機器的主機名

%M：客戶端的主機名

%m：客戶端的NetBIOS名稱

%L：服務器的NetBIOS名稱

%R：所采用的協議等級（CORE/COREPLUS/LANMAN1/LANMAN2/NT1）

%d：當前服務進程的ID

%I：客戶端的IP

%T：當前日期和時間

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

5. 其他內容的參數類型

access based share enum=P_BOOL,
acl allow execute always=P_BOOL,
acl check permissions=P_BOOL,FLAG_DEPRECATED
acl group control=P_BOOL,
acl map full control=P_BOOL,
administrative share=P_BOOL,
admin users=P_CMDLIST,
afs share=P_BOOL,
aio read size=P_BYTES,
aio write behind=P_STRING,
aio write size=P_BYTES,
allocation roundup size=P_BYTES,FLAG_DEPRECATED
available=P_BOOL,
blocking locks=P_BOOL,FLAG_DEPRECATED
block size=P_BYTES,
browseable=P_BOOL, (synonyms: browsable)
browsable=P_BOOL,FLAG_SYNONYM (synonym of browseable)
case sensitive=P_ENUM,No|False|0|Yes|True|1|Auto, (synonyms: casesignames)
casesignames=P_ENUM,No|False|0|Yes|True|1|Auto,FLAG_SYNONYM (synonym of case sensitive)
check parent directory delete on close=P_BOOL,
comment=P_STRING,
copy=P_STRING,
create mask=P_OCTAL, (synonyms: create mode)
create mode=P_OCTAL,FLAG_SYNONYM (synonym of create mask)
csc policy=P_ENUM,manual|documents|programs|disable,
cups options=P_STRING,
default case=P_ENUM,lower|upper,
default devmode=P_BOOL,
delete readonly=P_BOOL,
delete veto files=P_BOOL,
dfree cache time=P_INTEGER,
dfree command=P_STRING,
directory mask=P_OCTAL, (synonyms: directory mode)
directory mode=P_OCTAL,FLAG_SYNONYM (synonym of directory mask)
directory name cache size=P_INTEGER,
dmapi support=P_BOOL,
dont descend=P_STRING,
dos filemode=P_BOOL,
dos filetime resolution=P_BOOL,
dos filetimes=P_BOOL,
durable handles=P_BOOL,
ea support=P_BOOL,
fake directory create times=P_BOOL,
fake oplocks=P_BOOL,
follow symlinks=P_BOOL,
force create mode=P_OCTAL,
force directory mode=P_OCTAL,
force group=P_STRING, (synonyms: group)
group=P_STRING,FLAG_SYNONYM (synonym of force group)
force printername=P_BOOL,
force unknown acl user=P_BOOL,
force user=P_STRING,
fstype=P_STRING,
guest ok=P_BOOL, (synonyms: public)
public=P_BOOL,FLAG_SYNONYM (synonym of guest ok)
guest only=P_BOOL, (synonyms: only guest)
only guest=P_BOOL,FLAG_SYNONYM (synonym of guest only)
hide dot files=P_BOOL,
hide files=P_STRING,
hide new files timeout=P_INTEGER,
hide special files=P_BOOL,
hide unreadable=P_BOOL,
hide unwriteable files=P_BOOL,
hosts allow=P_CMDLIST, (synonyms: allow hosts)
allow hosts=P_CMDLIST,FLAG_SYNONYM (synonym of hosts allow)
hosts deny=P_CMDLIST, (synonyms: deny hosts)
deny hosts=P_CMDLIST,FLAG_SYNONYM (synonym of hosts deny)
include=P_STRING,
inherit acls=P_BOOL,
inherit owner=P_ENUM,no|windows and unix|yes|unix only,
inherit permissions=P_BOOL,
invalid users=P_CMDLIST,
kernel oplocks=P_BOOL,
kernel share modes=P_BOOL,
level2 oplocks=P_BOOL,
locking=P_BOOL,
lppause command=P_STRING,
lpq command=P_STRING,
lpresume command=P_STRING,
lprm command=P_STRING,
magic output=P_STRING,
magic script=P_STRING,
mangled names=P_ENUM,no|false|0|illegal|yes|true|1,
mangling char=P_CHAR,
map acl inherit=P_BOOL,
map archive=P_BOOL,
map hidden=P_BOOL,
map readonly=P_ENUM,no|false|0|yes|true|1|permissions|perms,
map system=P_BOOL,
max connections=P_INTEGER,
max print jobs=P_INTEGER,
max reported print jobs=P_INTEGER,
min print space=P_INTEGER,
msdfs proxy=P_STRING,
msdfs root=P_BOOL,
msdfs shuffle referrals=P_BOOL,
nt acl support=P_BOOL,
ntvfs handler=P_LIST,
oplocks=P_BOOL,
path=P_STRING, (synonyms: directory)
directory=P_STRING,FLAG_SYNONYM (synonym of path)
posix locking=P_BOOL,
postexec=P_STRING,
preexec=P_STRING, (synonyms: exec)
exec=P_STRING,FLAG_SYNONYM (synonym of preexec)
preexec close=P_BOOL,
preserve case=P_BOOL,
printable=P_BOOL, (synonyms: print ok)
print ok=P_BOOL,FLAG_SYNONYM (synonym of printable)
print command=P_STRING,
printer name=P_STRING, (synonyms: printer)
printer=P_STRING,FLAG_SYNONYM (synonym of printer name)
printing=P_ENUM,sysv|aix|hpux|bsd|qnx|plp|lprng|cups|iprint|nt|os2,
printjob username=P_STRING,
print notify backchannel=P_BOOL,
queuepause command=P_STRING,
queueresume command=P_STRING,
read list=P_CMDLIST,
read only=P_BOOL, (synonyms: writeable[i], writable[i], write ok[i])
root postexec=P_STRING,
root preexec=P_STRING,
root preexec close=P_BOOL,
short preserve case=P_BOOL,
smbd async dosmode=P_BOOL,
smbd getinfo ask sharemode=P_BOOL,
smbd max async dosmode=P_INTEGER,
smbd search ask sharemode=P_BOOL,
smb encrypt=P_ENUM,default|No|False|0|Off|disabled|if_required|Yes|True|1|On|enabled|auto|desired|required|mandatory|force|forced|enforced,
spotlight=P_BOOL,
spotlight backend=P_ENUM,noindex|tracker|elasticsearch,
store dos attributes=P_BOOL,
strict allocate=P_BOOL,
strict locking=P_ENUM,No|False|0|Yes|True|1|Auto,
strict rename=P_BOOL,
strict sync=P_BOOL,
sync always=P_BOOL,
use client driver=P_BOOL,
use sendfile=P_BOOL,
-valid=P_BOOL,
valid users=P_CMDLIST,
veto files=P_STRING,
veto oplock files=P_STRING,
vfs objects=P_CMDLIST, (synonyms: vfs object)
vfs object=P_CMDLIST,FLAG_SYNONYM (synonym of vfs objects)
volume=P_STRING,
wide links=P_BOOL,
writeable=P_BOOLREV,FLAG_SYNONYM (inverse synonym of read only)
writable=P_BOOLREV,FLAG_SYNONYM (inverse synonym of read only)
write ok=P_BOOLREV,FLAG_SYNONYM (inverse synonym of read only)
write list=P_CMDLIST,
[global]
abort shutdown script=P_STRING,
add group script=P_STRING,
additional dns hostnames=P_CMDLIST,
add machine script=P_STRING,
addport command=P_STRING,
addprinter command=P_STRING,
add share command=P_STRING,
add user script=P_STRING,
add user to group script=P_STRING,
afs token lifetime=P_INTEGER,
afs username map=P_STRING,
aio max threads=P_INTEGER,
algorithmic rid base=P_INTEGER,
allow dcerpc auth level connect=P_BOOL,
allow dns updates=P_ENUM,disabled|No|False|0|Off|nonsecure and secure|nonsecure|secure only|secure|signed,
allow insecure wide links=P_BOOL,
allow nt4 crypto=P_BOOL,
allow trusted domains=P_BOOL,
allow unsafe cluster upgrade=P_BOOL,
apply group policies=P_BOOL,
async smb echo handler=P_BOOL,
auth event notification=P_BOOL,
auto services=P_STRING, (synonyms: preload)
preload=P_STRING,FLAG_SYNONYM (synonym of auto services)
binddns dir=P_STRING, (synonyms: bind dns directory)
bind dns directory=P_STRING,FLAG_SYNONYM (synonym of binddns dir)
bind interfaces only=P_BOOL,
browse list=P_BOOL,
cache directory=P_STRING,
change notify=P_BOOL,
change share command=P_STRING,
check password script=P_STRING,
cldap port=P_INTEGER,
client ipc max protocol=P_ENUM,default|SMB2|SMB3|SMB3_11|SMB3_10|SMB3_02|SMB3_00|
　　　　　　　　　　　　　　　　 SMB2_24|SMB2_22|SMB2_10|SMB2_02|NT1|LANMAN2|LANMAN1|CORE|COREPLUS|CORE+,

client ipc min protocol=P_ENUM,default|SMB2|SMB3|SMB3_11|SMB3_10|SMB3_02|SMB3_00|
　　　　　　　　　　　　　　　　 SMB2_24|SMB2_22|SMB2_10|SMB2_02|NT1|LANMAN2|LANMAN1|CORE|COREPLUS|CORE+,

client ipc signing=P_ENUM,default|No|False|0|Off|disabled|if_required|Yes|True|1|On|
　　　　　　　　　　　　　　　　　enabled|auto|desired|required|mandatory|force|forced|enforced,

client lanman auth=P_BOOL,
client ldap sasl wrapping=P_ENUM,plain|sign|seal,
client max protocol=P_ENUM,default|SMB2|SMB3|SMB3_11|SMB3_10|SMB3_02|SMB3_00|
　　　　　　　　　　　　　　SMB2_24|SMB2_22|SMB2_10|SMB2_02|NT1|LANMAN2|LANMAN1|CORE|COREPLUS|CORE+,

client min protocol=P_ENUM,default|SMB2|SMB3|SMB3_11|SMB3_10|SMB3_02|SMB3_00|
　　　　　　　　　　　　　　SMB2_24|SMB2_22|SMB2_10|SMB2_02|NT1|LANMAN2|LANMAN1|CORE|COREPLUS|CORE+,

client NTLMv2 auth=P_BOOL,
client plaintext auth=P_BOOL,
client schannel=P_ENUM,No|False|0|Yes|True|1|Auto,FLAG_DEPRECATED
client signing=P_ENUM,default|No|False|0|Off|disabled|if_required|Yes|True|1|On|
　　　　　　　　　　　enabled|auto|desired|required|mandatory|force|forced|enforced,
client use spnego principal=P_BOOL,FLAG_DEPRECATED
client use spnego=P_BOOL,
cluster addresses=P_CMDLIST,
clustering=P_BOOL,
config backend=P_ENUM,file|registry,
config file=P_STRING,
create krb5 conf=P_BOOL,
ctdbd socket=P_STRING,
ctdb locktime warn threshold=P_INTEGER,
ctdb timeout=P_INTEGER,
cups connection timeout=P_INTEGER,
cups encrypt=P_ENUM,No|False|0|Yes|True|1|Auto,
cups server=P_STRING,
dcerpc endpoint servers=P_LIST,
deadtime=P_INTEGER,
debug class=P_BOOL,
debug encryption=P_BOOL,
debug hires timestamp=P_BOOL,
debug pid=P_BOOL,
debug prefix timestamp=P_BOOL,
debug uid=P_BOOL,
dedicated keytab file=P_STRING,
default service=P_STRING, (synonyms: default)
default=P_STRING,FLAG_SYNONYM (synonym of default service)
defer sharing violations=P_BOOL,
delete group script=P_STRING,
deleteprinter command=P_STRING,
delete share command=P_STRING,
delete user from group script=P_STRING,
delete user script=P_STRING,
dgram port=P_INTEGER,
disable netbios=P_BOOL,
disable spoolss=P_BOOL, (synonyms: enable spoolss[i])
dns forwarder=P_CMDLIST,
dns proxy=P_BOOL,
dns update command=P_CMDLIST,
dns zone scavenging=P_BOOL,
domain logons=P_BOOL,
domain master=P_ENUM,No|False|0|Yes|True|1|Auto,
dos charset=P_STRING,
dsdb event notification=P_BOOL,
dsdb group change notification=P_BOOL,
dsdb password event notification=P_BOOL,
enable asu support=P_BOOL,
enable core files=P_BOOL,
enable privileges=P_BOOL,FLAG_DEPRECATED
enable spoolss=P_BOOLREV,FLAG_SYNONYM (inverse synonym of disable spoolss)
encrypt passwords=P_BOOL,FLAG_DEPRECATED
enhanced browsing=P_BOOL,
enumports command=P_STRING,
eventlog list=P_CMDLIST,
get quota command=P_STRING,
getwd cache=P_BOOL,
gpo update command=P_LIST,
guest account=P_STRING,
homedir map=P_STRING,
host msdfs=P_BOOL,
hostname lookups=P_BOOL,
idmap backend=P_STRING,FLAG_DEPRECATED
idmap cache time=P_INTEGER,
idmap gid=P_STRING,FLAG_DEPRECATED (synonyms: winbind gid)
winbind gid=P_STRING,FLAG_SYNONYM (synonym of idmap gid)
idmap negative cache time=P_INTEGER,
idmap uid=P_STRING,FLAG_DEPRECATED (synonyms: winbind uid)
winbind uid=P_STRING,FLAG_SYNONYM (synonym of idmap uid)
include system krb5 conf=P_BOOL,
init logon delay=P_INTEGER,
init logon delayed hosts=P_CMDLIST,
interfaces=P_CMDLIST,
iprint server=P_STRING,
keepalive=P_INTEGER,
kerberos encryption types=P_ENUM,all|strong|legacy,
kerberos method=P_ENUM,default|secrets only|secretsonly|system keytab|systemkeytab|
　　　　　　　　　　　　dedicated keytab|dedicatedkeytab|secrets and keytab|secretsandkeytab,

kernel change notify=P_BOOL,
kpasswd port=P_INTEGER,
krb5 port=P_INTEGER,
lanman auth=P_BOOL,FLAG_DEPRECATED
large readwrite=P_BOOL,
ldap admin dn=P_STRING,
ldap connection timeout=P_INTEGER,
ldap debug level=P_INTEGER,
ldap debug threshold=P_INTEGER,
ldap delete dn=P_BOOL,
ldap deref=P_ENUM,never|searching|finding|always|auto,
ldap follow referral=P_ENUM,No|False|0|Yes|True|1|Auto,
ldap group suffix=P_STRING,
ldap idmap suffix=P_STRING,
ldap machine suffix=P_STRING,
ldap max anonymous request size=P_INTEGER,
ldap max authenticated request size=P_INTEGER,
ldap max search request size=P_INTEGER,
ldap page size=P_INTEGER,
ldap passwd sync=P_ENUM,no|off|yes|on|only, (synonyms: ldap password sync)
ldap password sync=P_ENUM,no|off|yes|on|only,FLAG_SYNONYM (synonym of ldap passwd sync)
ldap replication sleep=P_INTEGER,
ldap server require strong auth=P_ENUM,No|False|0|allow_sasl_over_tls|Yes|True|1,
ldap ssl=P_ENUM,no|off|start tls|start_tls,
ldap ssl ads=P_BOOL,FLAG_DEPRECATED
ldap suffix=P_STRING,
ldap timeout=P_INTEGER,
ldap user suffix=P_STRING,
lm announce=P_ENUM,No|False|0|Yes|True|1|Auto,
lm interval=P_INTEGER,
load printers=P_BOOL,
local master=P_BOOL,
lock directory=P_STRING, (synonyms: lock dir)
lock dir=P_STRING,FLAG_SYNONYM (synonym of lock directory)
lock spin time=P_INTEGER,
log file=P_STRING,
logging=P_STRING,
log level=P_STRING, (synonyms: debuglevel)
debuglevel=P_STRING,FLAG_SYNONYM (synonym of log level)
log nt token command=P_STRING,
logon drive=P_STRING,
logon home=P_STRING,
logon path=P_STRING,
logon script=P_STRING,
log writeable files on exit=P_BOOL,
lpq cache time=P_INTEGER,
lsa over netlogon=P_BOOL,FLAG_DEPRECATED
machine password timeout=P_INTEGER,
mangle prefix=P_INTEGER,
mangling method=P_STRING,
map to guest=P_ENUM,Never|Bad User|Bad Password|Bad Uid,
max disk size=P_BYTES,
max log size=P_BYTES,
max mux=P_INTEGER,
max open files=P_INTEGER,
max smbd processes=P_INTEGER,
max stat cache size=P_INTEGER,
max ttl=P_INTEGER,
max wins ttl=P_INTEGER,
max xmit=P_BYTES,
mdns name=P_ENUM,netbios|mdns,
message command=P_STRING,
min receivefile size=P_BYTES,
min wins ttl=P_INTEGER,
mit kdc command=P_LIST,
multicast dns register=P_BOOL,
name cache timeout=P_INTEGER,
name resolve order=P_CMDLIST,
nbt client socket address=P_STRING,FLAG_DEPRECATED (synonyms: socket address)
socket address=P_STRING,FLAG_SYNONYM (synonym of nbt client socket address)
nbt port=P_INTEGER,
ncalrpc dir=P_STRING,
netbios aliases=P_CMDLIST,
netbios name=P_USTRING,
netbios scope=P_USTRING,
neutralize nt4 emulation=P_BOOL,
NIS homedir=P_BOOL,
nmbd bind explicit broadcast=P_BOOL,
nsupdate command=P_CMDLIST,
ntlm auth=P_ENUM,disabled|ntlmv2-only|no|false|0|ntlmv1-permitted|yes|true|1|mschapv2-and-ntlmv2-only,
nt pipe support=P_BOOL,
ntp signd socket directory=P_STRING,
nt status support=P_BOOL,
null passwords=P_BOOL,FLAG_DEPRECATED
obey pam restrictions=P_BOOL,
old password allowed period=P_INTEGER,
oplock break wait time=P_INTEGER,
os2 driver map=P_STRING,
os level=P_INTEGER,
pam password change=P_BOOL,
panic action=P_STRING,
passdb backend=P_STRING,
passdb expand explicit=P_BOOL,
passwd chat=P_STRING,
passwd chat debug=P_BOOL,
passwd chat timeout=P_INTEGER,
passwd program=P_STRING,
password hash gpg key ids=P_CMDLIST,
password hash userPassword schemes=P_CMDLIST,
password server=P_STRING,
perfcount module=P_STRING,
pid directory=P_STRING,
preferred master=P_ENUM,No|False|0|Yes|True|1|Auto, (synonyms: prefered master)
prefered master=P_ENUM,No|False|0|Yes|True|1|Auto,FLAG_SYNONYM (synonym of preferred master)
prefork backoff increment=P_INTEGER,
prefork children=P_INTEGER,
prefork maximum backoff=P_INTEGER,
preload modules=P_CMDLIST,
printcap cache time=P_INTEGER,
printcap name=P_STRING, (synonyms: printcap)
printcap=P_STRING,FLAG_SYNONYM (synonym of printcap name)
private dir=P_STRING, (synonyms: private directory)
private directory=P_STRING,FLAG_SYNONYM (synonym of private dir)
raw NTLMv2 auth=P_BOOL,
read raw=P_BOOL,
realm=P_STRING,
registry shares=P_BOOL,
reject md5 clients=P_BOOL,
reject md5 servers=P_BOOL,
remote announce=P_STRING,
remote browse sync=P_STRING,
rename user script=P_STRING,
require strong key=P_BOOL,
reset on zero vc=P_BOOL,
restrict anonymous=P_INTEGER,
root directory=P_STRING, (synonyms: root, root dir)
root=P_STRING,FLAG_SYNONYM (synonym of root directory)
root dir=P_STRING,FLAG_SYNONYM (synonym of root directory)
rpc big endian=P_BOOL,
rpc server dynamic port range=P_STRING,
rpc server port=P_INTEGER,
samba kcc command=P_CMDLIST,
security=P_ENUM,AUTO|USER|DOMAIN|ADS,
server max protocol=P_ENUM,default|SMB2|SMB3|SMB3_11|SMB3_10|SMB3_02|SMB3_00|SMB2_24|
　　　　　　　　　　　　　　 SMB2_22|SMB2_10|SMB2_02|NT1|LANMAN2|LANMAN1|CORE|COREPLUS|CORE+, (synonyms: max protocol, protocol)

max protocol=P_ENUM,default|SMB2|SMB3|SMB3_11|SMB3_10|SMB3_02|SMB3_00|SMB2_24|SMB2_22|
　　　　　　　　　　　　　　 SMB2_10|SMB2_02|NT1|LANMAN2|LANMAN1|CORE|COREPLUS|CORE+,FLAG_SYNONYM (synonym of server max protocol)

protocol=P_ENUM,default|SMB2|SMB3|SMB3_11|SMB3_10|SMB3_02|SMB3_00|SMB2_24|SMB2_22|SMB2_10|
　　　　　　　　　　　　　　 SMB2_02|NT1|LANMAN2|LANMAN1|CORE|COREPLUS|CORE+,FLAG_SYNONYM (synonym of server max protocol)

server min protocol=P_ENUM,default|SMB2|SMB3|SMB3_11|SMB3_10|SMB3_02|SMB3_00|SMB2_24|
　　　　　　　　　　　　　　　SMB2_22|SMB2_10|SMB2_02|NT1|LANMAN2|LANMAN1|CORE|COREPLUS|CORE+, (synonyms: min protocol)

min protocol=P_ENUM,default|SMB2|SMB3|SMB3_11|SMB3_10|SMB3_02|SMB3_00|SMB2_24|SMB2_22|
　　　　　　　　　　　　　　 SMB2_10|SMB2_02|NT1|LANMAN2|LANMAN1|CORE|COREPLUS|CORE+,FLAG_SYNONYM (synonym of server min protocol)

server multi channel support=P_BOOL,

server role=P_ENUM,auto|standalone server|standalone|member server|member|classic primary domain controller|
　　　　　　　　　 classic backup domain controller|active directory domain controller|domain controller|dc,

server schannel=P_ENUM,No|False|0|Yes|True|1|Auto,FLAG_DEPRECATED
server services=P_LIST,
server signing=P_ENUM,default|No|False|0|Off|disabled|if_required|Yes|True|1|On|enabled|auto|desired|required|mandatory|force|forced|enforced,
server string=P_STRING,
set primary group script=P_STRING,
set quota command=P_STRING,
share backend=P_STRING,
show add printer wizard=P_BOOL,
shutdown script=P_STRING,
smb2 leases=P_BOOL,
smb2 max credits=P_INTEGER,
smb2 max read=P_BYTES,
smb2 max trans=P_BYTES,
smb2 max write=P_BYTES,
smbd profiling level=P_ENUM,off|count|on,
smb passwd file=P_STRING,
smb ports=P_CMDLIST,
socket options=P_STRING,
spn update command=P_CMDLIST,
stat cache=P_BOOL,
state directory=P_STRING,
svcctl list=P_CMDLIST,
syslog=P_INTEGER,FLAG_DEPRECATED
syslog only=P_BOOL,FLAG_DEPRECATED
template homedir=P_STRING,
template shell=P_STRING,
time server=P_BOOL,
timestamp logs=P_BOOL, (synonyms: debug timestamp)
debug timestamp=P_BOOL,FLAG_SYNONYM (synonym of timestamp logs)
tls cafile=P_STRING,
tls certfile=P_STRING,
tls crlfile=P_STRING,
tls dh params file=P_STRING,
tls enabled=P_BOOL,
tls keyfile=P_STRING,
tls priority=P_STRING,
tls verify peer=P_ENUM,no_check|ca_only|ca_and_name_if_available|ca_and_name|as_strict_as_possible,
unicode=P_BOOL,FLAG_DEPRECATED
unix charset=P_STRING,
unix extensions=P_BOOL,
unix password sync=P_BOOL,
use mmap=P_BOOL,
username level=P_INTEGER,
username map=P_STRING,
username map cache time=P_INTEGER,
username map script=P_STRING,
usershare allow guests=P_BOOL,
usershare max shares=P_INTEGER,
usershare owner only=P_BOOL,
usershare path=P_STRING,
usershare prefix allow list=P_CMDLIST,
usershare prefix deny list=P_CMDLIST,
usershare template share=P_STRING,
utmp=P_BOOL,
utmp directory=P_STRING,
winbind cache time=P_INTEGER,
winbindd socket directory=P_STRING,
winbind enum groups=P_BOOL,
winbind enum users=P_BOOL,
winbind expand groups=P_INTEGER,
winbind max clients=P_INTEGER,
winbind max domain connections=P_INTEGER,
winbind nested groups=P_BOOL,
winbind normalize names=P_BOOL,
winbind nss info=P_CMDLIST,
winbind offline logon=P_BOOL,
winbind reconnect delay=P_INTEGER,
winbind refresh tickets=P_BOOL,
winbind request timeout=P_INTEGER,
winbind rpc only=P_BOOL,
winbind scan trusted domains=P_BOOL,
winbind sealed pipes=P_BOOL,
winbind separator=P_STRING,
winbind use default domain=P_BOOL,
winbind use krb5 enterprise principals=P_BOOL,
wins hook=P_STRING,
wins proxy=P_BOOL,
wins server=P_CMDLIST,
wins support=P_BOOL,
workgroup=P_USTRING,
write raw=P_BOOL,
wtmp directory=P_STRING,