whatsnew: announce removal of DES encryption type in Kerberos
[samba.git] / WHATSNEW.txt
1 Release Announcements
2 =====================
3
4 This is the first preview release of Samba 4.12.  This is *not*
5 intended for production environments and is designed for testing
6 purposes only.  Please report any defects via the Samba bug reporting
7 system at https://bugzilla.samba.org/.
8
9 Samba 4.12 will be the next version of the Samba suite.
10
11
12 UPGRADING
13 =========
14
15
16 NEW FEATURES/CHANGES
17 ====================
18
19 Python 3.5 Required
20 -------------------
21
22 Samba's minimum runtime requirement for python was raised to Python
23 3.4 with samba 4.11.  Samba 4.12 raises this minimum version to Python
24 3.5 both to access new features and because this is the oldest version
25 we test with in our CI infrastructure.
26
27 (Build time support for the file server with Python 2.6 has not
28 changed)
29
30 GnuTLS 3.4.7 required
31 ---------------------
32
33 Samba is making efforts to remove in-tree cryptographic functionality,
34 and to instead rely on externally maintained libraries.  To this end,
35 Samba has chosen GnuTLS as our standard cryptographic provider.
36
37 Samba now requires GnuTLS 3.4.7 to be installed (including development
38 headers at build time) for all configurations, not just the Samba AD
39 DC.
40
41 Using GnuTLS for SMB3 encryption you will notice huge performance and copy
42 speed improvements. Tests with the CIFS Kernel client from Linux Kernel 5.3
43 show a 3x speed improvement for writing and a 2.5x speed improvement for reads!
44
45 NOTE WELL: The use of GnuTLS means that Samba will honour the
46 system-wide 'FIPS mode' (a reference to the US FIPS-140 cryptographic
47 standard) and so will not operate in many still common situations if
48 this system-wide parameter is in effect, as many of our protocols rely
49 on outdated cryptography.
50
51 A future Samba version will mitigate this to some extent where good
52 cryptography effectively wraps bad cryptography, but for now that above
53 applies.
54
55
56 "net ads kerberos pac save" and "net eventlog export"
57 -----------------------------------------------------
58
59 The "net ads kerberos pac save" and "net eventlog export" tools will
60 no longer silently overwrite an existing file during data export.  If
61 the filename given exits, an error will be shown.
62
63 REMOVED FEATURES
64 ================
65
66 The smb.conf parameter "write cache size" has been removed.
67
68 Since the in-memory write caching code was written, our write path has
69 changed significantly. In particular we have gained very flexible
70 support for async I/O, with the new linux io_uring interface in
71 development.  The old write cache concept which cached data in main
72 memory followed by a blocking pwrite no longer gives any improvement
73 on modern systems, and may make performance worse on memory-contrained
74 systems, so this functionality should not be enabled in core smbd
75 code.
76
77 In addition, it complicated the write code, which is a performance
78 critical code path.
79
80 If required for specialist purposes, it can be recreated as a VFS
81 module.
82
83 BIND9_FLATFILE deprecated
84 -------------------------
85
86 The BIND9_FLATFILE DNS backend is deprecated in this release and will
87 be removed in the future.  This was only practically useful on a single
88 domain controller or under expert care and supervision.
89
90 This release removes the "rndc command" smb.conf parameter, which
91 supported this configuration by writing out a list of DCs permitted to
92 make changes to the DNS Zone and nudging the 'named' server if a new
93 DC was added to the domain.  Administrators using BIND9_FLATFILE will
94 need to maintain this manually from now on.
95
96
97 Retiring DES encryption types in Kerberos.
98 ------------------------------------------
99 With this release, support for DES encryption types has been removed from
100 Samba, and setting DES_ONLY flag for an account will cause Kerberos
101 authentication to fail for that account (see RFC-6649).
102
103 Samba-DC: DES keys no longer saved in DB.
104 -----------------------------------------
105 When a new password is set for an account, Samba DC will store random keys
106 in DB instead of DES keys derived from the password.  If the account is being
107 migrated to Windbows or to an older version of Samba in order to use DES keys,
108 the password must be reset to make it work.
109
110 Heimdal-DC: removal of weak-crypto.
111 -----------------------------------
112 Following removal of DES encryption types from Samba, the embedded Heimdal
113 build has been updated to not compile weak crypto code (HEIM_WEAK_CRYPTO).
114
115
116 smb.conf changes
117 ================
118
119   Parameter Name                     Description                Default
120   --------------                     -----------                -------
121
122   nfs4:acedup                        Changed default            merge
123   rndc command                       Removed
124   write cache size                   Removed
125
126 KNOWN ISSUES
127 ============
128
129 https://wiki.samba.org/index.php/Release_Planning_for_Samba_4.12#Release_blocking_bugs
130
131
132 #######################################
133 Reporting bugs & Development Discussion
134 #######################################
135
136 Please discuss this release on the samba-technical mailing list or by
137 joining the #samba-technical IRC channel on irc.freenode.net.
138
139 If you do report problems then please try to send high quality
140 feedback. If you don't provide vital information to help us track down
141 the problem then you will probably be ignored.  All bug reports should
142 be filed under the Samba 4.1 and newer product in the project's Bugzilla
143 database (https://bugzilla.samba.org/).
144
145
146 ======================================================================
147 == Our Code, Our Bugs, Our Responsibility.
148 == The Samba Team
149 ======================================================================
150