search:
summary | log | graphiclog1 | graphiclog2 | commit | commitdiff | tree | refs | edit | fork
history | raw | HEAD
s4-param make lpcfg_sam_name() cope with PDC and BDC roles
[Samba.git] / docs-xml / smbdotconf / security / username.xml
blob19d8a2ecfd56bd35439e29594effc98a5a48fb98
1 <samba:parameter name="username"
2         context="S"
3         type="string"
4                  xmlns:samba="http://www.samba.org/samba/DTD/samba-doc">
5 <synonym>user</synonym>
6 <synonym>users</synonym>
7 <description>
8     <para>Multiple users may be specified in a comma-delimited 
9     list, in which case the supplied password will be tested against 
10     each username in turn (left to right).</para>
11
12     <para>The deprecated <parameter moreinfo="none">username</parameter> line is needed only when 
13     the PC is unable to supply its own username. This is the case 
14     for the COREPLUS protocol or where your users have different WfWg 
15     usernames to UNIX usernames. In both these cases you may also be 
16     better using the \\server\share%user syntax instead.</para>
17
18     <para>The <parameter moreinfo="none">username</parameter> line is not a great 
19     solution in many cases as it means Samba will try to validate 
20     the supplied password against each of the usernames in the 
21     <parameter moreinfo="none">username</parameter> line in turn. This is slow and 
22     a bad idea for lots of users in case of duplicate passwords. 
23     You may get timeouts or security breaches using this parameter 
24     unwisely.</para>
25
26     <para>Samba relies on the underlying UNIX security. This 
27     parameter does not restrict who can login, it just offers hints 
28     to the Samba server as to what usernames might correspond to the 
29     supplied password. Users can login as whoever they please and 
30     they will be able to do no more damage than if they started a 
31     telnet session. The daemon runs as the user that they log in as, 
32     so they cannot do anything that user cannot do.</para>
33
34     <para>To restrict a service to a particular set of users you 
35     can use the <smbconfoption name="valid users"/> parameter.</para>
36
37     <para>If any of the usernames begin with a '@' then the name 
38     will be looked up first in the NIS netgroups list (if Samba 
39     is compiled with netgroup support), followed by a lookup in 
40     the UNIX groups database and will expand to a list of all users 
41     in the group of that name.</para>
42                 
43     <para>If any of the usernames begin with a '+' then the name 
44     will be looked up only in the UNIX groups database and will 
45     expand to a list of all users in the group of that name.</para>
46
47     <para>If any of the usernames begin with a '&amp;' then the name 
48     will be looked up only in the NIS netgroups database (if Samba 
49     is compiled with netgroup support) and will expand to a list 
50     of all users in the netgroup group of that name.</para>
51
52     <para>Note that searching though a groups database can take 
53     quite some time, and some clients may time out during the 
54     search.</para>
55
56     <para>See the section <link linkend="VALIDATIONSECT">NOTE ABOUT
57         USERNAME/PASSWORD VALIDATION</link> for more information on how 
58         this parameter determines access to the services.</para>
59 </description>
60
61 <value type="default"><comment>The guest account if a guest service, 
62                 else &lt;empty string&gt;.</comment></value>
63
64 <value type="example">fred, mary, jack, jane, @users, @pcgroup</value>
65 </samba:parameter>
Samba GIT mirror