Указав имя другого SMB сервера или домен-контроллера АД и при использовании режима security = [ads|domain|server] с помощью этого параметра становится возможным производить проверку имени пользователя и пароля используя удаленный сервер. Этот параметр устанавливает имя или IP адрес сервера проверки паролей. Был добавлен новый синтаксис для определения порта, который следует использовать для подключения к серверу на случай если используется ADS. Для указания порта, отличного от значения порта LDAP (389) установленного по умолчанию , добавьте к имени или IP адресу двоеточие и номер порта (напр., 192.168.1.100:389).
     Если Вы не укажете порт, то Самба будет пытаться установить соединение по стандартному порту LDAP tcp/389. Заметьте, что номер порта не имеет смысла при использовании серверов Windows NT 4.0 . Если указано имя сервера, по нему определяется адрес, использую очередность, указанную в параметре name resolve order. Имя может быть определено с помощью любого из этих методов. Сервер паролей должен поддерживать протокол “LM1.2X002″ или “NT LM 0.12″ и он должен быть настроен в режиме безопасности уровня пользователя (USER).
     В имени сервера паролей можно использовать макросы, но, вероятно, полезным будет только %m , которое означает что Самба будет использовать клиентов в качестве сервера паролей. Если это так, то клиенты должны быть внушающими доверие и вам следовало бы ограничить их с помощью hosts allow! Если параметр безопасности (security) выставлен в domain или ads, тогда список компьютеров в этом параметре должен быть списком первичных или резервных доменных контроллеров или символом ‘*’ , поскольку Самба находится в этом домене и будет использовать криптографически аутентифицированные вызовы удаленных процедур для аутентификации пользователя, выполняющего процедуру входа. Преимущество использования security = domain состоит в том, что если Вы указываете несколько узлов в параметре password server тогда демон smbd будет пытаться обработать каждый сервер из списка, пока не будет найден откликающийся сервер.
     Если параметр password server установлен в ‘*’ , тогда Самба будет пытаться автоматически определить первичный или резервный доменные контроллеры относительно которого аутентифицировать учетки. Самба будет посылать запросы для имени WORKGROUP<1C> , затем установит соединение с каждым сервером, адрес которого будет возвращен в результате выполнения запроса. Если список серверов содержит имена/IP адреса и символ ‘*’ , список будет обработан как список предпочтительных доменных контроллеров и кроме этого, в список будут занесены те доменные контроллеры, которые получены с помощью авто поиска (auto lookup). Самба НЕ будет пытаться оптимизировать этот список, определяя ближайший доменный контроллер. Если параметр безопасности установлен в server , тогда есть определенные ограничения по сравнению с security = domain :
 
      * Вы можете указывать несколько серверов паролей в параметре password server, тем не менее, если демон smbd устанавливает соединение с сервером паролей и впоследствии сервер паролей ломается, с этого smbd больше ни один пользователь не сможет аутентифицироваться. Это ограничение протокола SMB/CIFS в режиме security = server и не может быть компенсировано средствами Самбы.
      * Если Вы используете сервер Windows NT в качестве сервера паролей, тогда вам придется удостовериться в том, что Ваши пользователи могут аутентифицироваться на сервере Самбы, т.к. в режиме security = server сетевой вход будет произведен именно при помощи сервера, а не с рабочей станции.
 
Замечание;
     Использование сервера паролей означает, что ваш компьютер с UNIX и Самбой безопасен настолько, насколько безопасен ваш сервер паролей (password server). НЕ УКАЗЫВАЙТЕ СЕРВЕР ПАРОЛЕЙ, КОТОРОМУ ВЫ НЕ ДОВЕРЯЕТЕ. Никогда не указывайте Самбе на саму себя. Это вызовет бесконечный цикл и Ваш сервер заблокируется!
 
Значение по умолчанию:
password server =
 
Пример:
password server = NT-PDC, NT-BDC1, NT-BDC2, *
 
или
password server = windc.mydomain.com:389 192.168.1.101 *
 
или
password server = *