Конфигурационные параметры (smb.conf)

Раздел содержит краткое описание конфигурационных параметров Эллес, которые упоминаются в документации.

См. полное описание всех доступных параметров в справочном руководстве по smb.conf после установки Эллес на ОС Linux:

man smb.conf

Общие сведения

Конфигурационная информация, используемая компонентами Эллес при запуске и в процессе работы, хранится в файле smb.conf. Файл формируется в процессе создания домена или ввода сервера в существующий домен в каталоге /app/inno-samba/etc/.

Формат файла

Файл smb.conf состоит из разделов, в которых задаются параметры в формате:

<parameter name> = <parameter value>

Файл является строковым; после каждого символа перевода строки следует строка комментария, имя раздела или параметр со значением.

Имена разделов и параметров интерпретируются без учета регистра.

В строке параметра значимым является только первый символ равенства (=). Пробелы перед первым знаком равенства и после него игнорируются. Пробелы перед названиями разделов и параметров, а также после и внутри них игнорируются. Пробелы перед значением параметра и после него игнорируются. Пробелы внутри значения параметра обрабатываются как чего часть.

Игнорируются строки, начинающиеся с символа точки с запятой (;) или символа решетки (#), а также строки, состоящие только из пробелов.

Строка, заканчивающая символом косой черты (\), продолжается на следующей строке.

Значения после знака равенства интерпретируются как:

строковые с учетом регистра (кавычки не требуются);
логические:
- yes |1 |true;
- no |0 |false;
числовые значения, если они задают маски (create mask).

Пример файла smb.conf, создаваемого Эллес в процессе развертывания нового домена без передачи дополнительных параметров в ключе --option:

# Global parameters
[global] (1)
	netbios name = SMBDC-3 (2)
	realm = INNO.TECH
	server role = active directory domain controller
	server services = metrics_manager, s3fs, rpc, nbt, wrepl, ldap, cldap, kdc, drepl, winbindd, ntp_signd, kcc, dnsupdate, lacheck, disco, tdo
	workgroup = INNO

[sysvol] (3)
	path = /app/inno-samba/var/locks/sysvol
	read only = No

[netlogon] (4)
	path = /app/inno-samba/var/locks/sysvol/inno.tech/scripts
	read only = No

1	Раздел параметров, применяемых ко всему серверу контроллера домена или другим разделам конфигурационного файла.
2	Строки параметров: `netbios name` — NetBIOS-имя сервера; по умолчанию совпадает с первой частью DNS-имени хоста; `realm` — область безопасности Kerberos; по умолчанию соответствует DNS-имени сервера Kerberos; `server role` — режим работы сервера; в примере сервер работает в режиме контроллера домена; `server services` — список сервисов, запускаемых демоном `samba`; значение по умолчанию может отличаться в зависимости от версии Эллес; `workgroup` — рабочая группа, принадлежность к которой заявляет сервер в ответ на запросы клиентов.
3	Раздел с параметрами ресурса с общим доступом: `path` – путь к ресурсу на сервере; `read only` — режим доступа к ресурсу.
4	Раздел с параметрами ресурса с общим доступом: `path` – путь к ресурсу на сервере; `read only` — режим доступа к ресурсу.

Изменение значения параметра

Чтобы изменить значение конфигурационного параметра:

при вызове утилиты samba-tool передайте его имя и требуемое значение в формате:
```
--option="<parameter name> = <parameter value>"
```
добавьте параметр вручную в конфигурационный файл smb.conf (полный путь к файлу после установки по умолчанию — /app/inno-samba/etc/smb.conf):
```
[global]
      ...
      <parameter name> = <parameter value>
      ...
```

Проверка конфигурации

Для проверки корректности конфигурации с точки зрения синтаксиса и согласованности используйте:

утилиту testparm (полный путь к утилите после установки — /app/inno-samba/bin/testparm);
подкоманду samba-tool testparm.

См. подробное описание утилиты и подкоманды с примерами использования в разделе «Проверка конфигурации Эллес».

Применение изменений в конфигурации

Внесенные в конфигурацию изменения применяются автоматически через 5 секунд после сохранения файла smb.conf, без необходимости повторной загрузки конфигурации с помощью утилиты smbcontrol или перезагрузки службы inno-samba.

Описание параметров

Если не указано иное, описываемые параметры относятся к разделу [global] конфигурационного файла smb.conf.

apply group policies

Включение автоматического запуска скрипта samba-gpupdate для применения групповых политик на участнике домена при использовании Winbind. По умолчанию интервал запуска рассчитывается по формуле: 90 минут + случайный сдвиг в диапазоне от 0 до 30 минут.

Возможные значения: yes \| no.

Значение по умолчанию: apply group policies = no

См. подробнее в разделе «Работа с samba-gpupdate».

apply group policies:period

Периодичность запуска скрипта samba-gpupdate для применения групповых политик на участнике домена при использовании Winbind.

Возможный диапазон значений: от 0 до 120 минут.

При значении 0 используется интервал по умолчанию.

Значение по умолчанию: apply group policies:period = 0.

См. подробнее в разделе «Работа с samba-gpupdate».

dc discovery alive check period

Интервал проверки доступности сервера глобального каталога в секундах.

Значение по умолчанию: dc discovery alive check period = 10.

См. подробнее в разделе «Настройка клиента глобального каталога».

dc discovery period

Время ожидания завершения фоновой операции поиска серверов глобального каталога в секундах.

Значение по умолчанию: dc discovery period = 180.

См. подробнее в разделе «Настройка клиента глобального каталога».

dc discovery scope

Область поиска серверов глобального каталога.

Возможные значения:

domain — поиск всех серверов глобального каталога в том же домене, в котором находится текущий контроллер домена;
forest — поиск всех серверов глобального каталога в лесу доменов;
site — поиск всех серверов глобального каталога в том же сайте, в котором находится текущий контроллер домена;

Значение по умолчанию: dc discovery scope = domain.

См. подробнее в разделе «Настройка клиента глобального каталога».

dcpwd:disable password change

Отключение автоматического обновления пароля машинной учетной записи контроллера домена.

Возможные значения:

no — автоматическое обновление включено;
yes — автоматическое обновление отключено.

Значение по умолчанию: no.

См. подробнее в разделе «Смена пароля машинной учетной записи контроллера домена».

dcpwd:machine password maximum age

Период действия пароля машинной учетной записи контроллера домена в днях. По окончании периода инициируется процедура смены пароля.

Возможный диапазон значений: от 1 дня до 999 дней.

Значение по умолчанию: 30.

См. подробнее в разделе «Смена пароля машинной учетной записи контроллера домена».

dcpwd:script timeout

Время ожидания (в секундах) выполнения скрипта для смены пароля машинной учетной записи контроллера домена, указанного в значении параметра update dc password command.

Значение по умолчанию: 140.

См. подробнее в разделе «Смена пароля машинной учетной записи контроллера домена».

dns:all:site coverage

Список сайтов через запятую, для которых в DNS должны быть зарегистрированы SRV-записи для всех доступных на сервере служб (LDAP, KDC, глобальный каталог).

Пример значения: dns:all:site coverage = SiteName1, SiteNameN.

По умолчанию список пустой.

Значение по умолчанию: dns:all:site coverage =.

См. подробнее в разделе «Покрытие сайтов контроллерами домена».

dns:auto site coverage

Отключение механизма автоматического покрытия сайтов.

Возможные значения: on \| off.

По умолчанию параметр не задан, что соответствует значению on.

Значение по умолчанию: dns:auto site coverage = on.

См. подробнее в разделе «Покрытие сайтов контроллерами домена».

dns:avoid dns records list

Список разделенных пробелами мнемоник, соответствующих типам записей DNS, автоматическая регистрация которых должна быть отключена.

Пример значения: dns:avoid dns records list = LdapIpAddress Ldap LdapAtSite Pdc Gc GcAtSite DcByGuid GcIpAddress DsaCname Kdc KdcAtSite Dc DcAtSite Rfc1510Kdc Rfc1510KdcAtSite GenericGc GenericGcAtSite Rfc1510UdpKdc Rfc1510Kpwd Rfc1510UdpKpwd.

По умолчанию список пустой.

Значение по умолчанию: dns:avoid dns records list =.

См. подробнее в разделе «Работа с samba_dnsupdate».

dns:disable ns records auto creation

Отключение автоматической регистрации записей сервера имен (NS).

Возможные значения: yes \| no.

Значение по умолчанию: dns:disable ns records auto creation = no.

См. подробнее в разделе «Работа с samba_dnsupdate».

dns:gc:site coverage

Список сайтов через запятую, для которых в DNS должны быть зарегистрированы SRV-записи для обслуживания запросов к глобальному каталогу.

Пример значения: dns:gc:site coverage = SiteName1, SiteNameN.

По умолчанию список пустой.

Значение по умолчанию: dns:gc:site coverage =.

См. подробнее в разделе «Покрытие сайтов контроллерами домена».

dns:krb:site coverage

Список сайтов через запятую, для которых в DNS должны быть зарегистрированы SRV-записи для обслуживания клиентских запросов к KDC.

Пример значения: dns:krb:site coverage = SiteName1, SiteNameN.

По умолчанию список пустой.

Значение по умолчанию: dns:krb:site coverage =.

См. подробнее в разделе «Покрытие сайтов контроллерами домена».

dns:ldap:site coverage

Список сайтов через запятую, для которых в DNS должны быть зарегистрированы SRV-записи для обслуживания клиентских запросов к серверу LDAP.

Пример значения: dns:ldap:site coverage = SiteName1, SiteNameN.

По умолчанию список пустой.

Значение по умолчанию: dns:ldap:site coverage =.

См. подробнее в разделе «Покрытие сайтов контроллерами домена».

dns:record ttl

Значение для поля TTL в записях DNS.

Значение по умолчанию: dns:record ttl = 900.

См. подробнее в разделе «Работа с samba_dnsupdate».

dns:srv record priority

Значение для поля приоритета в SRV-записях.

Возможный диапазон значений: 0–65535.

Значение по умолчанию: dns:srv record priority = 0.

См. подробнее в разделе «Работа с samba_dnsupdate».

dns:srv record weight

Значение для поля веса в SRV-записях.

Возможный диапазон значений: 0–65535.

Значение по умолчанию: dns:srv record weight = 100.

См. подробнее в разделе «Работа с samba_dnsupdate».

dns garbage collect:dns_tombstone_interval

Период хранения записей DNS, значение атрибута dNSTombstoned которых равно TRUE, в часах.

Значение по умолчанию: dns garbage collect:dns_tombstone_interval = 336.

См. подробнее в разделе «Настройка очистки устаревших записей DNS».

dns garbage collect:scavenging_interval

Периодичность запуска процесса очистки устаревших записей DNS в секундах.

Значение по умолчанию: dns garbage collect:scavenging_interval = 7200.

См. подробнее в разделе «Настройка очистки устаревших записей DNS».

dns garbage collect:tombstone_collection_interval

Периодичность запуска процесса удаления записей DNS, значение атрибута dNSTombstoned которых равно TRUE, в секундах.

Значение по умолчанию: dns garbage collect:tombstone_collection_interval = 86400.

См. подробнее в разделе «Настройка очистки устаревших записей DNS».

dns update command

Команда, вызываемая для обновления записей DNS.

Значение по умолчанию: dns update command = /app/inno-samba/sbin/samba_dnsupdate.

См. подробнее в разделе «Работа с samba_dnsupdate».

dns zone scavenging

Управление работой процесса очистки устаревших записей DNS на сервере контроллера домена.

Возможные значения:

no — очистка отключена;
yes — очистка включена.

Значение по умолчанию: dns zone scavenging = no.

См. подробнее в разделе «Настройка очистки устаревших записей DNS».

dreplsrv:notify_interval

Периодичность (в секундах) отправки контроллером домена уведомлений о наличии изменений в его базе данных другим контроллерам домена, являющимся его партнерами по репликации.

Значение по умолчанию: dreplsrv:notify_interval = 5.

См. подробнее в разделе «Репликация данных каталога».

dreplsrv:periodic_interval

Периодичность (в секундах) опроса контроллером домена других контроллеров домена, являющихся его партнерами по репликации, о наличии изменений в их базах данных с момента последней репликации между ними.

Значение по умолчанию: dreplsrv:periodic_interval = 300.

См. подробнее в разделе «Репликация данных каталога».

dreplsrv:periodic_startup_interval

Задержка (в секундах) перед первой попыткой репликации после запуска службы inno-samba.

Значение по умолчанию: dreplsrv:periodic_startup_interval = 15.

См. подробнее в разделе «Репликация данных каталога».

dreplsrv:process_replica_sync_for_unlisted_dsa

Управление обработкой запросов на синхронизацию определенного раздела каталога (функция DsReplicaSync) с контроллерами домена, которые отсутствуют в значении атрибута repsFrom данного раздела.

Возможные значения:

false — запросы на синхронизацию не обрабатываются;
true — запросы на синхронизацию обрабатываются.

Значение по умолчанию: dreplsrv:process_replica_sync_for_unlisted_dsa = false.

См. подробнее в разделе «Репликация данных каталога».

drsuapi:enable_mszip_compress

Управление доступностью алгоритма сжатия MSZIP для использования при получении ответов на исходящие вызовы DsGetNCChanges и формирования пакетов в ответ на входящие вызовы DsGetNCChanges в рамках DRSUAPI (флаг DRSUAPI_SUPPORTED_EXTENSION_GETCHG_COMPRESS).

Возможные значения:

no|false — алгоритм недоступен;
yes|true — алгоритм доступен.

Значение по умолчанию: drsuapi:enable_mszip_compress = yes.

drsuapi:enable_xpress_compress

Управление доступностью алгоритма сжатия Xpress для использования при получении ответов на исходящие вызовы DsGetNCChanges и формирования пакетов в ответ на входящие вызовы DsGetNCChanges в рамках DRSUAPI (флаг DRSUAPI_SUPPORTED_EXTENSION_XPRESS_COMPRESS).

Возможные значения:

no|false — алгоритм недоступен;
yes|true — алгоритм доступен.

Значение по умолчанию: drsuapi:enable_xpress_compress = yes.

dsdb:additional indexes

Список дополнительных индексов для оптимизации поиска по атрибутам.

Пример значения: dsdb:additional indexes = member,memberOf.

По умолчанию список пустой.

Значение по умолчанию: dsdb:additional indexes =.

См. подробнее в разделе «Включение дополнительных индексов для оптимизации поиска по атрибутам».

dsdb:schema update allowed

Разрешение на внесение изменений в схему каталога.

Возможные значения: false \|true.

Значение по умолчанию: dsdb:schema update allowed = true.

См. подробнее в разделе «Администрирование схемы данных каталога».

garbage collect:check_deleted_interval

Периодичность (в секундах) запуска процесса окончательного удаления из базы данных объектов в состоянии tombstone, для которых истек период, заданный параметром tomestoneLifetime.

Значение по умолчанию: garbage collect:check_deleted_interval = 86400.

См. подробнее в разделе «Очистка базы данных от удаленных объектов».

gc-discovering:reconnect-delay

Интервал в миллисекундах между попытками повторного подключения к серверу глобального каталога в случае потери соединения.

Значение по умолчанию: gc-discovering:reconnect-delay = 1000.

См. подробнее в разделе «Настройка клиента глобального каталога».

gc-discovering:request-timeout

Время ожидания обработки запроса на установление соединения с хостом сервера глобального каталога в миллисекундах.

Значение по умолчанию: gc-discovering:request-timeout = 30000.

См. подробнее в разделе «Настройка клиента глобального каталога».

gc-discovering:rpc-timeout

Время ожидания клиентом ответа от сервиса disco в секундах.

Значение по умолчанию: gc-discovering:rpc-timeout = 1.

См. подробнее в разделе «Настройка клиента глобального каталога».

gc-discovering:search-timeout

Время ожидания при поиске хоста сервера глобального каталога в миллисекундах.

Значение по умолчанию: gc-discovering:search-timeout = 3000.

См. подробнее в разделе «Настройка клиента глобального каталога».

gcclient:disabled

Отключение клиента глобального каталога.

Возможные значения: false \|true.

Значение по умолчанию: gcclient:disabled = false.

См. подробнее в разделе «Настройка клиента глобального каталога».

host msdfs

Включение поддержки функциональности Distributed File System Namespaces (DFSN) на сервере Эллес.

Возможные значения:

yes (по умолчанию) — функциональность DFSN поддерживается; Эллес работает в роли сервера пространства имени DFS с корневым каталогом, указанным в параметре path в комбинации с параметром msdfs root = yes, и отвечает на запросы клиентов к ресурсам общего доступа;
no — функциональность DFSN не поддерживается; Эллес не отвечает на запросы клиентов к ресурсам общего доступа в рамках пространства имен DFSN.

Значение по умолчанию: host msdfs = yes.

См. подробнее в разделе «Настройка DFSN».

kccsrv:disable_istg_renew

Отключение механизма, отвечающего за отправку сервером с ролью ISTG сообщений о работоспособности другим серверам контроллеров домена в том же сайте.

Возможные значения:

false (по умолчанию) — механизм включен;
true — механизм выключен.

Значение по умолчанию: kccsrv:disable_istg_renew = false.

См. подробнее в разделе «Репликация данных каталога».

kccsrv:periodic_interval

Периодичность (в секундах) запуска скрипта для перестроения топологии репликации.

Значение по умолчанию: kccsrv:periodic_interval = 300.

См. подробнее в разделе «Репликация данных каталога».

kccsrv:periodic_startup_interval

Задержка (в секундах) перед первой итерацией построения топологии репликации после запуска службы inno-samba.

Значение по умолчанию: kccsrv:periodic_startup_interval = 15.

См. подробнее в разделе «Репликация данных каталога».

kccsrv:script timeout

Время ожидания выполнения скрипта samba_kcc.

Значение по умолчанию: kccsrv:script timeout = 140.

См. подробнее в разделе «Репликация данных каталога».

kdc default domain supported enctypes

Значение по умолчанию атрибута msDS-SupportedEncryptionTypes для тех сервисных учетных записей в домене Active Directory, у которых атрибут msDS-SupportedEncryptionTypes не установлен или имеет значение 0.

Значение для параметра может быть задано в трех форматах — десятичном, шестнадцатеричном или в виде списка наименований типов шифрования.

Возможные значения:

arcfour-hmac-md5, rc4-hmac, 0x4, 4;
aes128-cts-hmac-sha1-96, aes128-cts, 0x8, 8;
aes256-cts-hmac-sha1-96, aes256-cts, 0x10, 16;
aes256-cts-hmac-sha1-96-sk, aes256-cts-sk, 0x20, 32.

Значение по умолчанию: kdc default domain supported enctypes = 0.

kdc force enable rc4 weak session keys

Признак того, что, независимо от значения, установленного в атрибуте msDS-SupportedEncryptionTypes сервисной учетной записи, KDC может использовать тип шифрования rc4-hmac для сессионных ключей (в отличие от ключей билетов), если клиенты запрашивают его.

Значение по умолчанию: kdc force enable rc4 weak session keys = no.

См. подробнее в разделе «Настройка аутентификации Kerberos».

kdc:renewal lifetime

Период, в течение которого может быть обновлен TGT-билет пользователя для аутентификации Kerberos (в часах).

Значение по умолчанию: kdc:renewal lifetime = 168.

См. подробнее в разделе «Работа с samba-gpupdate».

kdc supported enctypes

Список поддерживаемых типов шифрования для локального KDC, работающего на контроллере домена Эллес.

Возможные значения:

arcfour-hmac-md5, rc4-hmac, 0x4, 4;
aes128-cts-hmac-sha1-96, aes128-cts, 0x8, 8;
aes256-cts-hmac-sha1-96, aes256-cts, 0x10, 16.

Значение по умолчанию: kdc supported enctypes = 0.

См. подробнее в разделе «Настройка аутентификации Kerberos».

kdc:service ticket lifetime

Период действия сервисного билета для аутентификации Kerberos (в часах).

Значение по умолчанию: kdc:service ticket lifetime = 10.

См. подробнее в разделе «Работа с samba-gpupdate».

kdc:user ticket lifetime

Период действия выданного пользователю TGT-билета для аутентификации Kerberos (в часах).

Значение по умолчанию: kdc:user ticket lifetime = 10.

См. подробнее в разделе «Работа с samba-gpupdate».

kerberos encryption types

Типы шифрования для использования в тех случаях, когда Эллес выступает в качестве клиента Kerberos.

Возможные значения:

all — допускаются все типы шифрования;
strong — использовать только типы шифрования на основе AES;
legacy — использовать только тип шифрования rc4-hmac.

Значение по умолчанию: kerberos encryption types = all.

См. подробнее в разделе «Настройка аутентификации Kerberos».

kerberos method

Способ проверки билетов Kerberos.

Возможные значения:

secrets only — только secrets.tdb;
system keytab — только системный keytab;
dedicated keytab — отдельный keytab;
secrets and keytab — сначала secrets.tdb, а затем — системный keytab.

Значение по умолчанию: kerberos method = secrets only.

См. подробнее в разделе «Настройка аутентификации Kerberos».

lacheck:periodic_interval

Периодичности запуска процедуры обработки связанных атрибутов.

Если указанное значение меньше 20 минут, оно игнорируется — вместо него используется значение по умолчанию.

Значение по умолчанию: lacheck:periodic_interval = 20.

См. подробнее в разделе «Настройка обработки связанных атрибутов».

ldap_server:gc_irpc_retry_period_msec

Интервал в миллисекундах для повторной попытки неуспешного IRPC-вызова.

Значение по умолчанию: ldap_server:gc_irpc_retry_period_msec = 60000.

См. подробнее в разделе «Настройка глобального каталога».

ldap_server:gc_irpc_max_retries

Максимальное количество попыток повторения IRPC-вызова.

Значение по умолчанию: ldap_server:gc_irpc_max_retries = 30.

См. подробнее в разделе «Настройка глобального каталога».

ldap_server:gc_delay_advertisement

Задержка в секундах перед включением роли сервера глобального каталога (установка флага isGlobalCatalogReady и регистрация SRV-записи в DNS) после запуска службы inno-samba.

Значение по умолчанию: ldap_server:gc_delay_advertisement = 2147483647.

См. подробнее в разделе «Настройка глобального каталога».

ldap_server:monitoring instance port

Порт для обслуживания запросов метрик мониторинга.

Значение по умолчанию: ldap_server:monitoring instance port = 3070.

См. подробнее в разделе «Сервис metrics_manager (пакет inno-samba)».

ldapsrv:query stat filter

Атрибуты для фильтрации логируемых LDAP-запросов:

Атрибут Описание Поддерживаемые условия

Атрибут	Описание	Поддерживаемые условия
`duration`	Время выполнения запроса	`>=`
`sid`	SID пользователя, от имени которого выполнялся запрос	Полное или частичное совпадение строки
`ip`	IP-адрес источника запроса	Полное или частичное совпадение без учета порта
`filter`	Подстрока фильтра запроса	Полное или частичное совпадение строки
`base`	Объект каталога, начиная с которого выполняется поиск (`basedn`)	Полное или частичное совпадение строки
`scope`	Область поиска	`base` — один объект; `sub` — один уровень дерева; `one` — поддерево целиком

duration

Время выполнения запроса

>=

sid

SID пользователя, от имени которого выполнялся запрос

Полное или частичное совпадение строки

ip

IP-адрес источника запроса

Полное или частичное совпадение без учета порта

filter

Подстрока фильтра запроса

Полное или частичное совпадение строки

base

Объект каталога, начиная с которого выполняется поиск (basedn)

Полное или частичное совпадение строки

scope

Область поиска

base — один объект;
sub — один уровень дерева;
one — поддерево целиком

Формат значения:

ldapsrv:query stat filter = duration:<value> sid:<value> ip:<value> filter:<value> base:<value> scope:<value>

Описание формата:

имя атрибута, используемого в качестве фильтра, отделяется от значения символом : без пробела;
атрибуты отделяются друг от друга пробелами;
перечисленные атрибуты объединяются по условию «И».

См. подробнее в разделе «Анализ выполнения LDAP-запросов».

ldb:nosync

Отключение принудительной синхронизации данных на диск при каждой транзакции записи в базу данных Эллес (LDB).

Возможные значения:

false — принудительная синхронизация данных на диск включена;
true — принудительная синхронизация данных на диск отключена.

Значение по умолчанию: ldb:nosync = true.

Рекомендации по использованию: если гарантируется бесперебойная работа сервера контроллера домена Эллес, рекомендуется использовать значение по умолчанию (true); в противном случае — рекомендуется включить синхронизацию (false).

Синхронизация данных на диск выполняется при любом значении параметра. Отличается лишь механизм синхронизации:

если параметр имеет значение true, за синхронизацию отвечает операционная система, которая выполняет ее по заданному расписанию; данный вариант является оптимальным с точки зрения производительности;
если параметр имеет значение false, принудительная синхронизация выполняется при каждой транзакции; данный вариант является неоптимальным с точки зрения производительности, но гарантирует высокий уровень надежности и обеспечения целостности данных; использовать его имеет смысл только при отсутствии гарантированного питания у сервера контроллера домена Эллес.

log file

Переопределение имени лог-файла Эллес и пути к нему по умолчанию (/app/inno-samba/var/).

Для получения пути к лог-файлам по умолчанию используйте команду:

samba -b \| grep LOGFILEBASE

По умолчанию параметр имеет пустое значение.

Значение по умолчанию: log file =.

См. подробнее в разделе «Логирование Эллес».

log level

Уровень логирования с возможностью указания различных уровней логирования и файлов для отдельных классов отладки.

Формат значения:

log level = loglevel [debugclass1[:loglevel1[@logfile1]]] [debugclassN[:loglevelN[@logfileN]]]

В приведенной строке:

loglevel — общий уровень логирования;
loglevel1… loglevelN — уровень логирования для отдельного класса отладки;
debugclass1… debugclassN — класс отладки;
logfile1… logfileN — имя лог-файла для отдельного класса отладки и путь к нему.

Значение по умолчанию: log level = 0.

См. подробнее в разделе «Логирование Эллес».

logging

Способ(ы) логирования.

Формат значения:

logging = backend1[:option][@loglevel] backendN[:option][@loglevel]

В приведенной строке:

backend — один из доступных способов;

Может быть указано несколько значений, разделенных пробелом. Возможные значения:
- syslog — запись в системный журнал;
- file — запись в файл, указанный в параметре log file, либо в стандартные лог-файлы Эллес в каталоге /app/inno-samba/var/, а также в файлы, указанные в параметре log level для различных классов логирования;
- systemd — запись в журнал (journal) systemd;
- lttng — трассировка с использованием фреймворка LTTng;
- gpfs — аудит файлов в файловой системе GPFS;
- ringbuf — запись в кольцевой буфер (ring buffer);
[:option] — дополнительные опции, специфичные для указанного способа;
[@loglevel] — уровень логирования.

По умолчанию параметр имеет пустое значение.

Значение по умолчанию: logging =.

См. подробнее в разделе «Логирование Эллес».

max log size

Максимальный размер лог-файла в килобайтах.

Нулевое значение соответствует отсутствию ограничения.

Значение по умолчанию: max log size = 5000.

См. подробнее в разделе «Логирование Эллес».

migration_admin:<number>

Учетная запись пользователя для использования при выполнении миграции с помощью Microsoft Active Directory Migration Tool.

Формат значения:

migration_admin:<number> = <username@domain.name>

В приведенной строке:

number — число от 0 до значения MIGRATION_ADMIN_MAX_SLOTS, позволяющее задать более одного пользователя;

В текущей версии MIGRATION_ADMIN_MAX_SLOTS равно 250.
username@domain.name — UPN пользователя.

По умолчанию параметр не задан.

См. подробнее в разделе «Поддержка SID History и SID Filtering».

monitoring:disable

Полное отключение подсистемы мониторинга, включая сбор метрик и их предоставление через LDAP.

Возможные значения: yes \| no.

Значение по умолчанию: monitoring:disable = no.

См. подробнее в разделе «Сервис metrics_manager (пакет inno-samba)».

monitoring:metric_dump_periodic_interval

Периодичность логирования метрик мониторинга в секундах.

Значение по умолчанию: monitoring:metric_dump_periodic_interval = 60.

См. подробнее в разделе «Сервис metrics_manager (пакет inno-samba)».

monitoring:periodic_interval

Периодичность сбора метрик мониторинга в секундах.

Значение по умолчанию: monitoring:periodic_interval = 60.

См. подробнее в разделе «Сервис metrics_manager (пакет inno-samba)».

msdfs root

Параметр задается в разделе с описанием настроек ресурса с общим доступом.

Определяет, является ли общий ресурс, указанный в параметре path в том же разделе конфигурационного файла smb.conf, корневым каталогом пространства имен DFSN.

Возможные значения:

yes — Эллес обрабатывает описанный в разделе ресурс как корневой каталог пространства имен DFSN и может возвращать клиентам перенаправления на другие серверы и целевые папки;

Требует, чтобы была включена поддержка функциональности DFSN на сервере с помощью параметра host msdfs = yes (по умолчанию).

no (по умолчанию) — ресурс не является корневым каталогом пространства имен DFSN.

Значение по умолчанию: msdfs root = no.

См. подробнее в разделе «Настройка DFSN».

mtsrv:startup_delay

Первоначальная задержка (в секундах) запуска сервиса (mt) автоматического запуска периодических задач (например, для обновления пароля машинной учетной записи контроллера домена, пересчета значения атрибута trustPosixOffset) после начала работы Эллес.

Значение по умолчанию: mtsrv:startup_delay = 20.

См. подробнее в разделах:

mtsrv:run_interval

Интервал (в секундах) запуска сервиса (mt) автоматического запуска периодических задач (например, для обновления пароля машинной учетной записи контроллера домена, пересчета значения атрибута trustPosixOffset).

Значение по умолчанию: mtsrv:run_interval = 100.

См. подробнее в разделах:

ntlm:gc / ntlm:gc{0,1,2,3,4}

Полное доменное имя (FQDN) или IP-адрес и порт сервера глобального каталога под управлением ОC Windows Server в текущем домене, к которому локальный контроллер домена будет обращаться с помощью GC-клиента в операциях аутентификации Netlogon и Kerberos, в формате LDAP URL.

При попытке установить соединение осуществляется перебор серверов от ntlm:gc до ntlm:gc4 до первого успешного соединения с учетом заданного времени ожидания.

По умолчанию параметр не задан.

См. подробнее в разделе «Настройка клиента глобального каталога».

ntlm:gc_timeout

Время ожидания в секундах при установлении соединения GC-клиентом.

При нулевом значении параметр игнорируется.

Значение по умолчанию: ntlm:gc_timeout = 0.

См. подробнее в разделе «Настройка клиента глобального каталога».

path

Параметр задается в разделе с описанием настроек ресурса с общим доступом.

Путь в файловой системе сервера, к которому привязан общий ресурс.

Учитывает значение конфигурационного параметра root dir.

По умолчанию параметр имеет пустое значение.

Значение по умолчанию: path =.

prefork backoff increment

Значение, на которое при каждом перезапуске основного или рабочего процесса увеличивается период от завершения процесса до перезапуска до тех пор, пока не будет достигнуто максимальное значение, установленное параметром prefork maximum backoff.

Значение по умолчанию: prefork backoff increment = 10.

См. подробнее в разделе «Вывод списка процессов Эллес на контроллере домена».

prefork backoff increment: <service name>

Значение параметра prefork backoff increment для конкретного сервиса (service name).

По умолчанию для всех сервисов используется значение параметра prefork backoff increment.

См. подробнее в разделе «Вывод списка процессов Эллес на контроллере домена».

prefork children

Количество рабочих процессов, запускаемых для каждого сервиса, который это поддерживает (LDAP, NETLOGON и KDC), в режиме prefork.

Значение по умолчанию: prefork children = 4.

См. подробнее в разделе «Вывод списка процессов Эллес на контроллере домена».

prefork children: <service name>

Количество рабочих процессов, запускаемых для конкретного сервиса, в режиме prefork.

По умолчанию для всех сервисов, которые это поддерживают, используется значение параметра prefork children.

См. подробнее в разделе «Вывод списка процессов Эллес на контроллере домена».

rid_master rid_block_size

Размер пула относительных идентификаторов (RID), выдаваемых контроллером домена с FSMO-ролью RID Master по запросу от рядового контроллера домена.

Значение по умолчанию: rid_master rid_block_size = 500.

См. подробнее в разделе «Администрирование ролей FSMO».

rpc connection timeout

Время ожидания соединения с серверами RPC в секундах.

Значение по умолчанию: rpc connection timeout = 4.

server services

Список разделенных пробелами сервисов, которые запускаются демоном Samba при старте Эллес.

Если параметр содержит список сервисов, то он полностью переопределяет список сервисов по умолчанию. Если содержит записи, которым предшествует символ + (добавление) или - (удаление), то значение параметра изменяет список по умолчанию.

Если параметр содержится в конфигурационном файле smb.conf, то при обновлении Эллес на версию, в которой добавляется новый сервис, имя такого сервиса должно быть добавлено в список в значении параметра.

Значение по умолчанию может отличаться в зависимости от версии Эллес.

Значение по умолчанию: server services = metrics_manager s3fs rpc nbt wrepl ldap cldap kdc drepl winbindd ntp_signd kcc dnsupdate dns lacheck disco tdo.

См. подробнее в разделе «Обновление».

tls cafile

Имя и путь (относительно каталога /app/inno-samba/private/, если путь не начинается с символа '/') к файлу с сертификатами удостоверяющих центров в формате PEM.

Значение по умолчанию: tls cafile = tls/ca.pem.

См. подробнее в разделе «Настройка поддержки LDAPS на контроллере домена».

tls certfile

Имя и путь (относительно каталога /app/inno-samba/private/, если путь не начинается с символа '/') к файлу RSA-сертификата в формате PEM.

Значение по умолчанию: tls certfile = tls/cert.pem.

См. подробнее в разделе «Настройка поддержки LDAPS на контроллере домена».

tls crlfile

Имя и путь (относительно каталога /app/inno-samba/private/, если путь не начинается с символа '/') к файлу со списком сертификатов, помеченных удостоверяющих центром как отозванные.

По умолчанию параметр имеет пустое значение.

Значение по умолчанию: tls crlfile =.

См. подробнее в разделе «Настройка поддержки LDAPS на контроллере домена».

tls enabled

Поддержка TLS для всех соединений, для которых это возможно.

Возможные значения: yes \| no.

Значение по умолчанию: tls enabled = yes.

См. подробнее в разделе «Настройка поддержки LDAPS на контроллере домена».

tls keyfile

Имя и путь (относительно каталога /app/inno-samba/private/, если путь не начинается с символа '/') к файлу закрытого RSA-ключа в формате PEM.

Значение по умолчанию: tls keyfile = tls/key.pem.

См. подробнее в разделе «Настройка поддержки LDAPS на контроллере домена».

tls priority

Строка, описывающая протоколы TLS, которые должны поддерживаться в компонентах Эллес, использующих библиотеку GnuTLS.

Значение параметра изменяет список приоритетов библиотеки GnuTLS по умолчанию (см. подробнее в документации на библиотеку).

Значение по умолчанию: tls priority = NORMAL:-VERS-SSL3.0.

См. подробнее в разделе «Настройка поддержки LDAPS на контроллере домена».

tls verify peer

Правила проверки параметров соединения при взаимодействии по LDAPS.

Возможные значения:

no_check — проверка сертификата не выполняется;
ca_only — выполняются проверки:
- сертификат подписан одним из удостоверяющих центров, которые перечислены в файле, указанном в параметре tls cafile (в этом случае данный параметр является обязательным);
- срок действия сертификата не истек;
- сертификат не отозван удостоверяющим центром (если в параметре tls crlfile указан файл);
ca_and_name_if_available — все проверки, выполняемые при использовании опции ca_only, а также проверка соответствия имени хоста имени сертификата, если имя хоста не в формате строки IP-адреса;
ca_and_name — все проверки, выполняемые при использовании опции ca_and_name_if_available, а также проверка имени хоста, даже если оно задано в формате строки IP-адреса;
as_strict_as_possible — все проверки, выполняемые при использовании опции ca_and_name, а также дополнительные проверки, которые могут быть реализованы в будущем.

Значение по умолчанию: tls verify peer = as_strict_as_possible.

См. подробнее в разделе «Настройка поддержки LDAPS на контроллере домена».

update dc password command

Путь к скрипту, выполняющему смену пароля машинной учетной записи контроллера домена.

В условиях штатной эксплуатации Эллес изменять значение параметра по умолчанию не рекомендуется.

Параметр предназначен для целей тестирования и может использоваться, например, для проверки работы измененного варианта скрипта, располагающегося в каталоге, отличном от стандартного.

Значение по умолчанию: /app/inno-samba/sbin/update_dc_password.

См. подробнее в разделе «Смена пароля машинной учетной записи контроллера домена».