WHATSNEW: document "client max protocol" change to SMB3_11
[samba.git] / WHATSNEW.txt
1 Release Announcements
2 =====================
3
4 This is the first preview release of Samba 4.7.  This is *not*
5 intended for production environments and is designed for testing
6 purposes only.  Please report any defects via the Samba bug reporting
7 system at https://bugzilla.samba.org/.
8
9 Samba 4.7 will be the next version of the Samba suite.
10
11
12 UPGRADING
13 =========
14
15 smbclient changes
16 -----------------
17
18 smbclient no longer prints a 'Domain=[...] OS=[Windows 6.1] Server=[...]'
19 banner when connecting to the first server. With SMB2 and Kerberos
20 there's no way to print this information reliable. Now we avoid it at all
21 consistently. In interactive session the following banner is now presented
22 to the user: 'Try "help" do get a list of possible commands.'.
23
24 The default for "client max protocol" has changed to "SMB3_11",
25 which means that smbclient (and related commands) will work against
26 servers without SMB1 support.
27
28 It's possible to use the '-m/--max-protocol' option to overwrite
29 the "client max protocol" option temporary.
30
31 Note that the '-e/--encrypt' option also works with most SMB3 servers
32 (e.g. Windows >= 2012 and Samba >= 4.0.0), so the SMB1 unix extensions
33 are not required for encryption.
34
35 The change to SMB3_11 as default also  means smbclient no longer
36 negotiates SMB1 unix extensions by default, when talking to a Samba server with
37 "unix extensions = yes".  As a result some commands are not available, e.g.
38 posix_encrypt, posix_open, posix_mkdir, posix_rmdir, posix_unlink, posix_whoami,
39 getfacl and symlink. Using "-mNT1" reenabled them, if the server supports SMB1.
40
41 Note the default ("CORE") for "client min protocol" hasn't changed,
42 so it's still possible to connect to SMB1-only servers by default.
43
44
45 NEW FEATURES/CHANGES
46 ====================
47
48 Samba AD with MIT Kerberos
49 --------------------------
50
51 After four years of development, Samba finally supports compiling and
52 running Samba AD with MIT Kerberos. You can enable it with:
53
54     ./configure --with-system-mitkrb5
55
56 Samba requires version 1.15.1 of MIT Kerberos to build with AD DC support.
57 The krb5-devel and krb5-server packages are required.
58 The feature set is not on par with with the Heimdal build but the most important
59 things, like forest and external trusts, are working. Samba uses the KDC binary
60 provided by MIT Kerberos.
61
62 Missing features, compared to Heimdal, are:
63   * PKINIT support
64   * S4U2SELF/S4U2PROXY support
65   * RODC support (not fully working with Heimdal either)
66
67 The Samba AD process will take care of starting the MIT KDC and it will load a
68 KDB (Kerberos Database) driver to access the Samba AD database.  When
69 provisioning an AD DC using 'samba-tool' it will take care of creating a correct
70 kdc.conf file for the MIT KDC. Note that 'samba-tool' will overwrite the system
71 kdc.conf by default. It is possible to use a different location during
72 provision. You should consult the 'samba-tool' help and smb.conf manpage for
73 details.
74
75 Dynamic RPC port range
76 ----------------------
77
78 The dynamic port range for RPC services has been changed from the old default
79 value 1024-1300 to 49152-65535. This port range is not only used by a
80 Samba AD DC but also applies to all other server roles including NT4-style
81 domain controllers. The new value has been defined by Microsoft in Windows
82 Server 2008 and newer versions. To make it easier for Administrators to control
83 those port ranges we use the same default and make it configurable with the
84 option: 'rpc server dynamic port range'.
85
86 The 'rpc server port' option sets the first available port from the new
87 'rpc server dynamic port range' option. The option 'rpc server port' only
88 applies to Samba provisioned as an AD DC.
89
90 Authentication and Authorization audit support
91 ----------------------------------------------
92
93 Detailed authentication and authorization audit information is now
94 logged to Samba's debug logs under the "auth_audit" debug class,
95 including in particular the client IP address triggering the audit
96 line.  Additionally, if Samba is compiled against the jansson JSON
97 library, a JSON representation is logged under the "auth_json_audit"
98 debug class.
99
100 Audit support is comprehensive for all authentication and
101 authorisation of user accounts in the Samba Active Directory Domain
102 Controller, as well as the implicit authentication in password
103 changes.  In the file server and classic/NT4 domain controller, NTLM
104 authentication, SMB and RPC authorization is covered, however password
105 changes are not at this stage, and this support is not currently
106 backed by a testsuite.
107
108 Query record for open file or directory
109 ---------------------------------------
110
111 The record attached to an open file or directory in Samba can be
112 queried through the 'net tdb locking' command. In clustered Samba this
113 can be useful to determine the file or directory triggering
114 corresponding "hot" record warnings in ctdb.
115
116 Removal of lpcfg_register_defaults_hook()
117 -----------------------------------------
118
119 The undocumented and unsupported function lpcfg_register_defaults_hook()
120 that was used by external projects to call into Samba and modify
121 smb.conf default parameter settings has been removed. If your project
122 was using this call please raise the issue on
123 samba-technical@lists.samba.org in order to design a supported
124 way of obtaining the same functionality.
125
126 Change of loadable module interface
127 -----------------------------------
128
129 The _init function of all loadable modules in Samba has changed
130 from:
131
132 NTSTATUS _init(void);
133
134 to:
135
136 NTSTATUS _init(TALLOC_CTX *);
137
138 This allows a program loading a module to pass in a long-lived
139 talloc context (which must be guaranteed to be alive for the
140 lifetime of the module). This allows modules to avoid use of
141 the talloc_autofree_context() (which is inherently thread-unsafe)
142 and still be valgrind-clean on exit. Modules that don't need to
143 free long-lived data on exist should use the NULL talloc context.
144
145 Parameter changes
146 -----------------
147
148 The "strict sync" global parameter has been changed from
149 a default of "no" to "yes". This means smbd will by default
150 obey client requests to synchronize unwritten data in operating
151 system buffers safely onto disk. This is a safer default setting
152 for modern SMB1/2/3 clients.
153
154 smb.conf changes
155 ================
156
157   Parameter Name                Description             Default
158   --------------                -----------             -------
159   allow unsafe cluster upgrade  New parameter           no
160   auth event notification       New parameter           no
161   auth methods                  Deprecated
162   client max protocol           Effective               SMB3_11
163                                 default changed
164   map untrusted to domain       New value/              auto
165                                 Default changed/
166                                 Deprecated
167   mit kdc command               New parameter
168   profile acls                  Deprecated
169   rpc server dynamic port range New parameter           49152-65535
170   strict sync                   Default changed         yes
171
172
173 KNOWN ISSUES
174 ============
175
176 https://wiki.samba.org/index.php/Release_Planning_for_Samba_4.7#Release_blocking_bugs
177
178
179 #######################################
180 Reporting bugs & Development Discussion
181 #######################################
182
183 Please discuss this release on the samba-technical mailing list or by
184 joining the #samba-technical IRC channel on irc.freenode.net.
185
186 If you do report problems then please try to send high quality
187 feedback. If you don't provide vital information to help us track down
188 the problem then you will probably be ignored.  All bug reports should
189 be filed under the Samba 4.1 and newer product in the project's Bugzilla
190 database (https://bugzilla.samba.org/).
191
192
193 ======================================================================
194 == Our Code, Our Bugs, Our Responsibility.
195 == The Samba Team
196 ======================================================================
197