add note about the new edition of Using Samba included in this release
[ira/wip.git] / WHATSNEW.txt
1                    WHATS NEW IN Samba 3.0.0 RC2
2                           August 28 2003
3                   ==============================
4
5 This is the second release candidate snapshot of Samba 3.0.0. A release 
6 candidate implies that the code is very close to a final release, remember 
7 that this is still a non-production release intended for testing purposes.  
8 Use at your own risk. 
9
10 The purpose of this release candidate is to get wider testing of the major
11 new pieces of code in the current Samba 3.0 development tree. 
12 Please refer to the section on "Known Issues" for more details.
13
14
15 Major new features:
16 -------------------
17
18 1)  Active Directory support.  Samba 3.0 is now able to  
19     join a ADS realm as a member server and authenticate 
20     users using LDAP/Kerberos.
21
22 2)  Unicode support. Samba will now negotiate UNICODE on the wire and
23     internally there is now a much better infrastructure for multi-byte
24     and UNICODE character sets.
25
26 3)  New authentication system. The internal authentication system has
27     been almost completely rewritten. Most of the changes are internal,
28     but the new auth system is also very configurable.
29
30 4)  New default filename mangling system.
31
32 5)  A new "net" command has been added. It is somewhat similar to 
33     the "net" command in windows. Eventually we plan to replace 
34     numerous other utilities (such as smbpasswd) with subcommands 
35     in "net".
36
37 6)  Samba now negotiates NT-style status32 codes on the wire. This
38     improves error handling a lot.
39
40 7)  Better Windows 2000/XP/2003 printing support including publishing 
41     printer attributes in active directory.
42
43 8)  New loadable module support for passdb backends and 
44     character sets.
45
46 9)  New default dual-daemon winbindd support for better performance.
47
48 10) Support for migrating from a Windows NT 4.0 domain to a Samba 
49     domain and maintaining user, group and domain SIDs.
50
51 11) Support for establishing trust relationships with Windows NT 4.0
52     domain controllers.
53   
54 12) Initial support for a distributed Winbind architecture using
55     an LDAP directory for storing SID to uid/gid mappings.
56   
57 13) Major updates to the Samba documentation tree.
58
59 14) Full support for client and server SMB signing to ensure
60     compatibility with default Windows 2003 security settings.
61
62 Plus lots of other improvements!
63
64
65 Additional Documentation
66 ------------------------
67
68 Please refer to Samba documentation tree (included in the docs/ 
69 subdirectory) for extensive explanations of installing, configuring
70 and maintaining Samba 3.0 servers and clients.  It is advised to 
71 begin with the Samba-HOWTO-Collection for overviews and specific 
72 tasks (the current book is up to approximately 400 pages) and to 
73 refer to the various man pages for information on individual options.
74
75 We are very glad to be able to include the second edition of
76 "Using Samba" by Jay Ts, Robert Eckstein, and David Collier-Brown
77 (O'Reilly & Associates) in this release.  The book is available
78 on-line at http://samba.org/samba/docs/ and is included with 
79 the Samba Web Administration Tool (SWAT).  Thanks to the authors and
80 publisher for making "Using Samba" under the GNU Free Documentation 
81 License.
82
83
84 ######################################################################
85 Changes since 3.0rc1
86 ####################
87
88 Please refer to the CVS log for the SAMBA_3_0 branch for complete 
89 details:
90
91 1)  Add levels 261 and 262 to search. Found using Samba4 tester.
92 2)  Correct bad error return code in session setup reply
93 3)  Fix bug where smbd returned DOS error codes from SMBsearch
94     even when NT1 protocol was negotiated.
95 4)  Implement SMBexit properly.
96 5)  Return group lists from a Samba PDC to a Windows 9x/ME box
97     in implementing user level access control (bug 314).
98 6)  Prevent SWAT from crashing when adding shares (bug 254)
99 7)  Fix various documentation issues (bugs 304 & 214)
100 8)  Fix wins server listing in SWAT (bug 197)
101 9)  Fix problem in rpcclient that caused enumerating printer 
102     drivers to report failure (bug 294).
103 10) Use kerberos 5 authentication in our client code whenever possible
104 11) Fix schannel bug that caused Active Directory DC's to downgrade our
105     machine account to an NT member.
106 12) Implement missing SAMR_REMOVE_USER_FOREIGN_DOMAIN call (bug 252).
107 13) Implement automatic generation of include/version.h
108 14) Include initial version of smbldap-tool scripts for the Samba 
109     3.0 schema.
110 15) Implement numerous fixes for multi-byte character strings.
111 16) Enable 'unix extensions' parameter by default.
112 17) Make sure we set the SID type when falling back to the rid 
113     algorithm (bug 245).
114 18) Correct linking problems with pam_smbpass (bug 327).
115 19) Add SYSV defines for Irix and Solaris to ensure the 'printing'
116     parameter default to the correct value (bug 230)
117 20) Fix recursion bug in alloc_string_sub() (bug 289, et. al.)
118 21) Ensure that 'make install' includes the static and shared 
119     versions of the libsmbclient libraries.
120 22) Add CP850 and CP437 internal character set support (bug 150).
121 23) Add support to examples/LDAP/convertSambaAccount for generating
122     LDIF modify files instead of just add (303).
123 24) Fix support for -W option in smbclient (bug 39)
124 25) Remove 'ldap trust ids' parameter since it could not be supported
125     by the current architecture.
126 26) Don't crash when no argument is given to -T in smbclient (bug 345).
127 27) Ensure smbadduser contains the same paths for the smbpasswd file 
128     as the other Samba tools (bug 290).
129 28) Port of 'available = no' fix for [homes] from SAMBA_2_2 cvs tree.
130 29) Add sanity checks to DeletePrinterData[Ex]() and ensure that the
131     modified printer is written to disk.
132 30) Force winbindd to periodically update the trusted domain cache.
133 31) Remove outdated import/export script to convert an smbpasswd file
134     to and from and LDAP directory.  Use the pdbedit tool instead.
135
136
137
138
139 Changes since 3.0beta3
140 ######################
141
142 1)  Various memory leak fixes.
143 2)  Provide full support for SMB signing (server and client)
144 3)  Check for broken getgrouplist() in glibc.
145 4)  Don't get stuck in an infinite loop listing directories 
146     recursively if the server returns an empty directory name
147     (bug 222).
148 5)  Idle LDAP connections after 150 seconds.
149 6)  Patched make uninstallmodules (bug 236).
150 7)  Fix bug that caused smbd to return incomplete directory listings
151     when UNIX files contained MS wildcard characters.
152 8)  Quiet default debug messages in command line tools.
153 9)  Fixes to avoid panics on invalid multi-byte strings.
154 10) Fix error messages when creating a new smbpasswd file (bug 198).
155 11) Implemented better detection routines in autoconf scripts for 
156     locating ads support on the host OS.
157 12) Fix bug that caused libraries in /usr/local/lib to be ignored 
158     (bug 174).
159 13) Ensure winbindd_ads uses the correct realm or domain name when 
160     connecting to trusted DC.
161 14) Ensure a correct prototype is created for snprintf() (bug 187)
162 15) Stop files being created on read-only shares in some circumstances.
163 16) Fix wbinfo -p (bug 251)
164 17) Support schannel on any tcp/ip connection if necessary
165 18) Correct bug in user_in_list() so that it works with winbind groups 
166     again.
167 19) Ensure the schannel bind credentials default to the domain 
168     of the destination host.
169 20) Default password expiration time in account_pol.tdb to never 
170     expire.  Remove any existing account_pol.tdb file to reset
171     the new default policy (bug 184). 
172 21) Add buttons to SWAT to change the view of smb.conf (bug 212)
173 22) Fix incorrect checks that determine whether or not the 'add user 
174     script' has been set.
175 23) More cleanup for internal character set conversions.
176 24) Fixes for multi-byte strings in stat cache code.
177 25) Ensure that the net command honors the 'workgroup' parameter 
178     in smb.conf when not overridden from the command line.
179 26) Add gss-spnego support to the ntlm_auth tool.
180 27) Add vfs_default_quota VFS module.
181 28) Added server support for NT quota interfaces.
182 29) Prevent Krb5 replay attacks by adding a replay_cache.
183 30) Fix problems with winbindd and transitive trusts in AD domains.
184 31) Added -S to client tools for setting SMB signing options on the 
185     command line.
186 32) Fix bug causing the 'passwd change program' to be called as the 
187     connected user and not root.
188 33) Fixed data corruption bug in byte-range locking (e.g. affected MS Excel).
189 34) Support winbindd on FreeBSD is possible.
190 35) Look at only the first OID in the security blob sent in the session 
191     setup request to determine the token type.
192 36) Only push locks onto a blocking lock queue if the posix lock failed with 
193     EACCES or EAGAIN (this means another lock conflicts). Else return an 
194     error and don't queue the request.
195 37) Fix command line argument processing for smbtar.
196 38) Correct issue that caused smbd to return generic unix_user.<uid> 
197     for lookupsid().
198 39) Default to algorithmic mapping when generating a rid for a group
199     mapping.
200 40) Expand %g and %G in logon script, profile path, etc... during
201     a domain logon (bug 208).
202 41) Make sure smbclient obeys '-s <config>'
203 42) Added win2k3 shadow copy operations to VFS interface.
204 43) Allow connections to samba domain member as SERVER\user (don't
205     always default to DOMAIN\user).
206 44) Remove checks in winbindd that caused it to attempt to use 
207     non-transitive trust relationships.
208 45) Remove delays in winbindd caused by invalid DNS lookups.
209 46) Fix supplementary group memberships on systems with slightly 
210     broken NSS implementations (bug 267).
211 47) Correct issue that prevented smbclient from viewing shares on 
212     a win2k server when using a non-anonymous connection (bug 284).
213 48) Add --domain=DOMAIN_NAME to wbinfo for limiting operations like 
214     'wbinfo -u' to a single domain.  The '.' character represents 
215     our domain.
216 49) Fix group enumeration bug when using an LDAP directory for 
217     storing group mappings.
218 50) Default to use NTLMv2 if available.  Fallback to not use LM/NTLM
219     when the extended security capability bit is not set.
220 51) Fix crash in 'wbinfo -a' when using extended characters in the 
221     username (bug 269).
222 52) Fix multi-byte strupper() panics (bug 205).
223 53) Add vfs_readonly VFS module.
224 54) Make sure to initialize the sambaNextUserRid and sambaNextGroupRid
225     attributes when using 'idmap backend = ldap' (bug 280).
226 55) Make sure that users shared between a Samba PDC and member 
227     samba server are seen as domain users and not local users on the 
228     domain member.
229 56) Fix Query FS Info level 2.
230 57) Allow enumeration of users and groups by win9x "file server" (bug 
231     286).
232 58) Create symlinks during install for modules that support mutliple
233     functions (bug 91).
234 59) More iconv detection fixes.
235 60) Fix path length error in vfs_recycle module (bug 291).
236 61) Added server support for the LSA_DS UUID on the \lsarpc pipe.
237     (server DsRoleGetPrimaryDomainInfo() is currently disabled).
238 62) Fix SMBseek and get/set position calls.
239 62) Fix SetFileInfo level 1.
240 63) Added tool to convert smbd log file to a pcap file (log2pcaphex).
241
242
243
244 Changes since 3.0beta2
245 ######################
246
247 1)  Added fix for Japanese case names in statcache code; 
248     these can change size on upper casing.
249 2)  Correct issues with iconv detection in configure script
250     (support needed to find iconv libraries on FreeBSD).
251 3)  Fix bug that caused a WINS server to be marked as dead
252     incorrectly (bug #190).
253 4)  Removing additional deadlocks conditions that prevented 
254     winbindd from running on a Samba PDC (used for trust 
255     relationships).
256 5)  Add support for searching for Active Directory for 
257     published printers (net ads printer search).
258 6)  Separate UNIX username from DOMAIN\username in pipe 
259     credentials.
260 7)  Auth modules now support returning NT_STATUS_NOT_IMPLEMENTED
261     for cases that they cannot handle.
262 8)  Flush winbindd connection cache when the machine trust account
263     password is changed while a connection is open (bug #200).
264 9)  Add support for 'OSVersion' server printer data string
265     (corrects problem with uploading printer drivers from 
266     WinXP clients).
267 10) Numerous memory leak fixes.
268 11) LDAP fixes ("passdb backend = ldapsam" & "idmap backend = ldap"):
269     - Store domain SID in LDAP directory.
270     - store idmap information in existing entries (use sambaSID=... 
271       if adding a new entry).
272 12) Fix incorrect usage of primary group SID when looking up user 
273     groups (bug #109).
274 13) Remove idmap_XX_to_XX calls from smbd.  Move back to the the
275     winbind_XXX and local_XXX calls used in 2.2.
276 14) All uid/gid allocation must involve winbindd now (we do not 
277     attempt to map unknown SIDs to a UNIX identify).
278 15) Add 'winbind trusted domains only' parameter to force a domain
279     member.  The server to use matching users names from /etc/passwd 
280     for its domain   (needed for domain member of a Samba domain).
281 16) Rename 'idmap only' to 'enable rid algorithm' for better clarity 
282     (defaults to "yes").
283 17) Add support for multi-byte statcache code (bug #185)
284 18) Fix open mode race condition.
285 19) Implement winbindd local account management functions.  Refer to
286     the "Winbind Changes" section for details.
287 20) Move RID allocation functions into idmap backend.
288 21) Fix parsing error that prevented publishing printers from a 
289     Samba server in an AD domain.
290 22) Revive NTLMSSP support for named pipes.
291 23) More SCHANNEL fixes.
292 24) Correct SMB signing with NTLMSSP.
293 25) Fix coherency bug in print handle/printer object caching code
294     that could cause XP clients to infinitely loop while updating 
295     their local printer cache.
296 26) Make winbindd use its dual-daemon mode by default (use -Y to 
297     start as a single process).
298 27) Add support to nmbd and winbindd for 'smbcontrol <pid> 
299     reload-config'.
300 28) Correct problem with smbtar when dealing with files > 8Gb 
301     (bug #102).
302
303
304
305 Changes since 3.0beta1
306 ######################
307
308 1)  Rework our smb signing code again, this factors out some of 
309     the common MAC calculation code, and now supports multiple 
310     outstanding packets (bug #40).
311 2)  Enforce 'client plaintext auth', 'client lanman auth' and 'client
312     ntlmv2 auth'.
313 3)  Correct timestamp problem on 64-bit machines (bug #140).
314 4)  Add extra debugging statements to winbindd for tracking down
315     failures.
316 5)  Fix bug when aliased 'winbind uid/gid' parameters are used.
317     ('winbind uid/gid' are now replaced with 'idmap uid/gid').
318 6)  Added an auth flag that indicates if we should be allowed 
319     to fall back to NTLMSSP for SASL if krb5 fails.
320 7)  Fixed the bug that forced us not to use the winbindd cache when 
321     we have a primary ADS domain and a secondary (trusted) NT4 
322     domain. 
323 8)  Use lp_realm() to find the default realm for 'net ads password'.
324 9)  Removed editreg from standard build until it is portable..
325 10) Fix domain membership for servers not running winbindd.
326 11) Correct race condition in determining the high water mark
327     in the idmap backend (bug #181).
328 12) Set the user's primary unix group from usrmgr.exe (partial 
329     fix for bug #45).
330 13) Show comments when doing 'net group -l' (bug #3).
331 14) Add trivial extension to 'net' to dump current local idmap
332     and restore mappings as well.
333 15) Modify 'net rpc vampire' to add new and existing users to
334     both the idmap and the SAM.  This code needs further testing.
335 16) Fix crash bug in ADS searches.
336 17) Build libnss_wins.so as part of nsswitch target (bug #160).
337 18) Make net rpc vampire return an error if the sam sync RPC 
338     returns an error.
339 19) Fail to join an NT 4 domain as a BDC if a workstation account
340     using our name exists.
341 20) Fix various memory leaks in server and client code
342 21) Remove the short option to --set-auth-user for wbinfo (-A) to 
343     prevent confusion with the -a option (bug #158).
344 22) Added new 'map acl inherit' parameter.
345 23) Removed unused 'privileges' code from group mapping database.
346 24) Don't segfault on empty passdb backend list (bug #136).
347 25) Fixed acl sorting algorithm for Windows 2000 clients.
348 26) Replace universal group cache with netsamlogon_cache 
349     from APPLIANCE_HEAD branch.
350 27) Fix autoconf detection issues surrounding --with-ads=yes
351     but no Krb5 header files installed (bug #152).
352 28) Add LDAP lookup for domain sequence number in case we are 
353     joined using NT4 protocols to a native mode AD domain.
354 29) Fix backend method selection for trusted NT 4 (or 2k 
355     mixed mode) domains. 
356 30) Fixed bug that caused us to enumerate domain local groups
357     from native mode AD domains other than our own.
358 31) Correct group enumeration for viewing in the Windows 
359     security tab (bug #110).
360 32) Consolidate the DC location code.
361 33) Moved 'ads server' functionality into 'password server' for
362     backwards compatibility.
363 34) Fix winbindd_idmap tdb upgrades from a 2.2 installation.
364     ( if you installed beta1, be sure to 
365       'mv idmap.tdb winbindd_idmap.tdb' ).
366 35) Fix pdb_ldap segfaults, and wrong default values for 
367     ldapsam_compat.
368 36) Enable negative connection cache for winbindd's ADS backend 
369     functions.
370 37) Enable address caching for active directory DC's so we don't 
371     have to hit DNS so much.
372 38) Fix bug in idmap code that caused mapping to randomly be 
373     redefined.
374 39) Add tdb locking code to prevent race condition when adding a 
375     new mapping to idmap.
376 40) Fix 'map to guest = bad user' when acting as a PDC supporting 
377     trust relationships.
378 41) Prevent deadlock issues when running winbindd on a Samba PDC 
379     to handle allocating uids & gids for trusted users and groups
380 42) added LOCALE patch from Steve Langasek (bug #122).
381 43) Add the 'guest' passdb backend automatically to the end of 
382     the 'passdb backend' list if 'guest account' has a valid 
383     username.
384 44) Remove samstrict_dc auth method.  Rework 'samstrict' to only 
385     handle our local names (or domain name if we are a PDC).  
386     Move existing permissive 'sam' method to 'sam_ignoredomain' 
387     and make 'samstrict' the new default 'sam' auth method.
388 45) Match Windows NT4/2k behavior when authenticating a user with
389     and unknown domain (default to our domain if we are a DC or 
390     domain member; default to our local name if we are a 
391     standalone server).
392 46) Fix Get_Pwnam() to always fall back to lookup 'user' if the 
393     'DOMAIN\user' lookup fails.  This matches 2.2. behavior.
394 47) Fix the trustdom_cache code to update the list of trusted 
395     domains when operating as a domain member and not using 
396     winbindd.
397 48) Remove 'nisplussam' passdb backend since it has suffered for 
398     too long without a maintainer.
399     
400
401
402
403 ######################################################################
404 Upgrading from a previous Samba 3.0 beta
405 ########################################
406
407 Beginning with Samba 3.0.0beta3, the RID allocation functions
408 have been moved into winbindd.  Previously these were handled
409 by each passdb backend.  This means that winbindd must be running
410 to automatically allocate RIDs for users and/or groups.  Otherwise,
411 smbd will use the 2.2 algorithm for generating new RIDs.
412
413 If you are using 'passdb backend = tdbsam' with a previous Samba 
414 3.0 beta release (or possibly alpha), it may be necessary to 
415 move the RID_COUNTER entry from /usr/local/samba/private/passdb.tdb
416 to winbindd_idmap.tdb.  To do this:
417
418 1)  Ensure that winbindd_idmap.tdb exists (launch winbindd at least 
419     once)
420 2)  build tdbtool by executing 'make tdbtool' in the source/tdb/ 
421     directory
422 3)  run: (note that 'tdb>' is the tool's prompt for input)
423
424        root# ./tdbtool /usr/local/samba/private/passdb.tdb
425        tdb> show RID_COUNTER
426        key 12 bytes
427        RID_COUNTER
428        data 4 bytes
429        [000] 0A 52 00 00                                       .R.
430
431        tdb> move RID_COUNTER /usr/local/samba/var/locks/winbindd_idmap.tdb
432        ....
433        record moved
434
435 If you are using 'passdb backend = ldapsam', it will be necessary to 
436 store idmap entries in the LDAP directory as well (i.e. idmap backend 
437 = ldap).  Refer to the 'net idmap' command for more information on 
438 migrating SID<->UNIX id mappings from one backend to another.
439
440 If the RID_COUNTER record does not exist, then these instructions are
441 unneccessary and the new RID_COUNTER record will be correctly generated
442 if needed.  
443
444
445
446 ########################
447 Upgrading from Samba 2.2
448 ########################
449
450 This section is provided to help administrators understand the details
451 involved with upgrading a Samba 2.2 server to Samba 3.0.
452
453
454 Building
455 --------
456
457 Many of the options to the GNU autoconf script have been modified 
458 in the 3.0 release.  The most noticeable are:
459
460   * removal of --with-tdbsam (is now included by default; see section
461     on passdb backends and authentication for more details)
462     
463   * --with-ldapsam is now on used to provided backward compatible
464     parameters for LDAP enabled Samba 2.2 servers.  Refer to the passdb 
465     backend and authentication section for more details
466   
467   * inclusion of non-standard passdb modules may be enabled using
468     --with-expsam.  This includes an XML backend and a mysql backend.
469       
470   * removal of --with-msdfs (is now enabled by default)
471   
472   * removal of --with-ssl (no longer supported)
473   
474   * --with-utmp now defaults to 'yes' on supported systems
475   
476   * --with-sendfile-support is now enabled by default on supported 
477     systems
478   
479     
480 Parameters
481 ----------
482
483 This section contains a brief listing of changes to smb.conf options
484 in the 3.0.0 release.  Please refer to the smb.conf(5) man page for
485 complete descriptions of new or modified parameters.
486
487 Removed Parameters (order alphabetically):
488
489   * admin log
490   * alternate permissions
491   * character set
492   * client codepage
493   * code page directory
494   * coding system
495   * domain admin group
496   * domain guest group
497   * force unknown acl user
498   * nt smb support
499   * post script
500   * printer driver
501   * printer driver file
502   * printer driver location
503   * status
504   * total print jobs
505   * use rhosts
506   * valid chars
507   * vfs options
508
509 New Parameters (new parameters have been grouped by function):
510
511   Remote management
512   -----------------
513   * abort shutdown script
514   * shutdown script
515
516   User and Group Account Management
517   ---------------------------------
518   * add group script
519   * add machine script
520   * add user to group script
521   * algorithmic rid base
522   * delete group script
523   * delete user from group script
524   * passdb backend
525   * set primary group script
526
527   Authentication
528   --------------
529   * auth methods
530   * realm
531
532   Protocol Options
533   ----------------
534   * client lanman auth
535   * client NTLMv2 auth
536   * client schannel
537   * client signing
538   * client use spnego
539   * disable netbios
540   * ntlm auth
541   * paranoid server security
542   * server schannel
543   * server signing
544   * smb ports
545   * use spnego
546
547   File Service
548   ------------
549   * get quota command
550   * hide special files
551   * hide unwriteable files
552   * hostname lookups
553   * kernel change notify
554   * mangle prefix
555   * map acl inherit
556   * msdfs proxy
557   * set quota command
558   * use sendfile
559   * vfs objects
560   
561   Printing
562   --------
563   * max reported print jobs
564
565   UNICODE and Character Sets
566   --------------------------
567   * display charset
568   * dos charset
569   * unicode
570   * unix charset
571   
572   SID to uid/gid Mappings
573   -----------------------
574   * idmap backend
575   * idmap gid
576   * idmap uid
577   * winbind enable local accounts
578   * winbind trusted domains only
579   * template primary group
580   * enable rid algorithm
581
582   LDAP
583   ----
584   * ldap delete dn
585   * ldap group suffix
586   * ldap idmap suffix
587   * ldap machine suffix
588   * ldap passwd sync
589   * ldap user suffix
590   
591   General Configuration
592   ---------------------
593   * preload modules
594   * privatedir
595
596 Modified Parameters (changes in behavior):
597
598   * encrypt passwords (enabled by default)
599   * mangling method (set to 'hash2' by default)
600   * passwd chat
601   * passwd program
602   * restrict anonymous (integer value)
603   * security (new 'ads' value)
604   * strict locking (enabled by default)
605   * unix extensions (enabled by default)
606   * winbind cache time (increased to 5 minutes)
607   * winbind uid (deprecated in favor of 'idmap uid')
608   * winbind gid (deprecated in favor of 'idmap gid')
609
610
611 Databases
612 ---------
613
614 This section contains brief descriptions of any new databases 
615 introduced in Samba 3.0.  Please remember to backup your existing 
616 ${lock directory}/*tdb before upgrading to Samba 3.0.  Samba will 
617 upgrade databases as they are opened (if necessary), but downgrading 
618 from 3.0 to 2.2 is an unsupported path.
619
620 Name                    Description                             Backup?
621 ----                    -----------                             -------
622 account_policy          User policy settings                    yes
623 gencache                Generic caching db                      no
624 group_mapping           Mapping table from Windows              yes
625                         groups/SID to unix groups       
626 winbindd_idmap          ID map table from SIDS to UNIX          yes
627                         uids/gids.
628 namecache               Name resolution cache entries           no
629 netsamlogon_cache       Cache of NET_USER_INFO_3 structure      no
630                         returned as part of a successful
631                         net_sam_logon request 
632 printing/*.tdb          Cached output from 'lpq                 no
633                         command' created on a per print 
634                         service basis
635 registry                Read-only samba registry skeleton       no
636                         that provides support for exporting
637                         various db tables via the winreg RPCs
638
639
640 Changes in Behavior
641 -------------------
642
643 The following issues are known changes in behavior between Samba 2.2 and 
644 Samba 3.0 that may affect certain installations of Samba.
645
646   1)  When operating as a member of a Windows domain, Samba 2.2 would 
647       map any users authenticated by the remote DC to the 'guest account'
648       if a uid could not be obtained via the getpwnam() call.  Samba 3.0
649       rejects the connection as NT_STATUS_LOGON_FAILURE.  There is no 
650       current work around to re-establish the 2.2 behavior.
651       
652   2)  When adding machines to a Samba 2.2 controlled domain, the 
653       'add user script' was used to create the UNIX identity of the 
654       machine trust account.  Samba 3.0 introduces a new 'add machine 
655       script' that must be specified for this purpose.  Samba 3.0 will
656       not fall back to using the 'add user script' in the absence of 
657       an 'add machine script'
658   
659
660 ######################################################################
661 Passdb Backends and Authentication
662 ##################################
663
664 There have been a few new changes that Samba administrators should be
665 aware of when moving to Samba 3.0.
666
667   1) encrypted passwords have been enabled by default in order to 
668      inter-operate better with out-of-the-box Windows client 
669      installations.  This does mean that either (a) a samba account
670      must be created for each user, or (b) 'encrypt passwords = no'
671      must be explicitly defined in smb.conf.
672     
673   2) Inclusion of new 'security = ads' option for integration 
674      with an Active Directory domain using the native Windows
675      Kerberos 5 and LDAP protocols.
676
677      MIT kerberos 1.3.1 supports the ARCFOUR-HMAC-MD5 encryption 
678      type which is neccessary for servers on which the 
679      administrator password has not been changed, or kerberos-enabled 
680      SMB connections to servers that require Kerberos SMB signing.
681      Besides this one difference, either MIT or Heimdal Kerberos
682      distributions are usable by Samba 3.0.
683      
684
685 Samba 3.0 also includes the possibility of setting up chains
686 of authentication methods (auth methods) and account storage 
687 backends (passdb backend).  Please refer to the smb.conf(5) 
688 man page for details.  While both parameters assume sane default 
689 values, it is likely that you will need to understand what the 
690 values actually mean in order to ensure Samba operates correctly.
691
692 The recommended passdb backends at this time are
693
694   * smbpasswd - 2.2 compatible flat file format
695   * tdbsam - attribute rich database intended as an smbpasswd
696     replacement for stand alone servers
697   * ldapsam - attribute rich account storage and retrieval 
698     backend utilizing an LDAP directory.  
699   * ldapsam_compat - a 2.2 backward compatible LDAP account 
700     backend
701     
702 Certain functions of the smbpasswd(8) tool have been split between the 
703 new smbpasswd(8) utility, the net(8) tool, and the new pdbedit(8) 
704 utility.  See the respective man pages for details.
705     
706      
707 ######################################################################
708 LDAP
709 ####
710
711 This section outlines the new features affecting Samba / LDAP 
712 integration.
713
714 New Schema
715 ----------
716   
717 A new object class (sambaSamAccount) has been introduced to replace 
718 the old sambaAccount.  This change aids us in the renaming of attributes 
719 to prevent clashes with attributes from other vendors.  There is a 
720 conversion script (examples/LDAP/convertSambaAccount) to modify and LDIF 
721 file to the new schema.
722   
723 Example:
724   
725         $ ldapsearch .... -b "ou=people,dc=..." > old.ldif
726         $ convertSambaAccount <DOM SID> old.ldif new.ldif
727         
728 The <DOM SID> can be obtained by running 'net getlocalsid <DOMAINNAME>' 
729 on the Samba PDC as root.
730     
731 The old sambaAccount schema may still be used by specifying the 
732 "ldapsam_compat" passdb backend.  However, the sambaAccount and
733 associated attributes have been moved to the historical section of
734 the schema file and must be uncommented before use if needed.
735 The 2.2 object class declaration for a sambaAccount has not changed
736 in the 3.0 samba.schema file. 
737   
738 Other new object classes and their uses include:
739   
740   * sambaDomain - domain information used to allocate rids 
741     for users and groups as necessary.  The attributes are added
742     in 'ldap suffix' directory entry automatically if 
743     an idmap uid/gid range has been set and the 'ldapsam'
744     passdb backend has been selected.
745       
746   * sambaGroupMapping - an object representing the 
747     relationship between a posixGroup and a Windows
748     group/SID.  These entries are stored in the 'ldap 
749     group suffix' and managed by the 'net groupmap' command.
750     
751   * sambaUnixIdPool - created in the 'ldap idmap suffix' entry 
752     automatically and contains the next available 'idmap uid' and 
753     'idmap gid'
754     
755   * sambaIdmapEntry - object storing a mapping between a 
756     SID and a UNIX uid/gid.  These objects are created by the 
757     idmap_ldap module as needed.
758
759   * sambaSidEntry - object representing a SID alone, as a Structural
760     class on which to build the sambaIdmapEntry.
761
762     
763 New Suffix for Searching
764 ------------------------
765   
766 The following new smb.conf parameters have been added to aid in directing
767 certain LDAP queries when 'passdb backend = ldapsam://...' has been
768 specified.
769
770   * ldap suffix         - used to search for user and computer accounts
771   * ldap user suffix    - used to store user accounts
772   * ldap machine suffix - used to store machine trust accounts
773   * ldap group suffix   - location of posixGroup/sambaGroupMapping entries
774   * ldap idmap suffix   - location of sambaIdmapEntry objects
775
776 If an 'ldap suffix' is defined, it will be appended to all of the 
777 remaining sub-suffix parameters.  In this case, the order of the suffix
778 listings in smb.conf is important.  Always place the 'ldap suffix' first
779 in the list.  
780
781 Due to a limitation in Samba's smb.conf parsing, you should not surround 
782 the DN's with quotation marks.
783
784
785 IdMap LDAP support
786 ------------------
787
788 Samba 3.0 supports an ldap backend for the idmap subsystem.  The 
789 following options would inform Samba that the idmap table should be
790 stored on the directory server onterose in the "ou=idmap,dc=plainjoe,
791 dc=org" partition.
792
793  [global]
794     ...
795     idmap backend     = ldap:ldap://onterose/
796     ldap idmap suffix = ou=idmap,dc=plainjoe,dc=org
797     idmap uid         = 40000-50000
798     idmap gid         = 40000-50000
799
800 This configuration allows winbind installations on multiple servers to
801 share a uid/gid number space, thus avoiding the interoperability problems
802 with NFS that were present in Samba 2.2.
803     
804
805
806 ######################################################################
807 Trust Relationships and a Samba Domain
808 ######################################
809
810 Samba 3.0.0beta2 is able to utilize winbindd as the means of 
811 allocating uids and gids to trusted users and groups.  More
812 information regarding Samba's support for establishing trust 
813 relationships can be found in the Samba-HOWTO-Collection included
814 in the docs/ directory of this release.
815
816 First create your Samba PDC and ensure that everything is 
817 working correctly before moving on the trusts.
818
819 To establish Samba as the trusting domain (named SAMBA) from a Windows NT
820 4.0 domain named WINDOWS:
821
822   1) create the trust account for SAMBA in "User Manager for Domains"
823   2) connect the trust from the Samba domain using
824      'net rpc trustdom establish GLASS'
825
826 To create a trustlationship with SAMBA as the trusted domain:
827
828   1) create the initial trust account for GLASS using
829      'smbpasswd -a -i GLASS'.  You may need to create a UNIX
830      account for GLASS$ prior to this step (depending on your
831      local configuration).
832   2) connect the trust from a WINDOWS DC using "User Manager
833      for Domains"
834
835 Now join winbindd on the Samba PDC to the SAMBA domain using
836 the normal steps for adding a Samba server to an NT4 domain:
837 (note that smbd & nmbd must be running at this point)
838
839    root# net rpc join -U root
840    Password: <enter root password from smbpasswd file here>
841
842 Start winbindd and test the join with 'wbinfo -t'.
843
844 Now test the trust relationship by connecting to the SAMBA DC
845 (e.g. POGO) as a user from the WINDOWS domain:
846
847    $ smbclient //pogo/netlogon -U Administrator -W WINDOWS
848    Password:
849
850 Now connect to the WINDOWS DC (e.g. CRYSTAL) as a Samba user:
851
852    $ smbclient //crystal/netlogon -U root -W WINDOWS
853    Password:
854
855 ######################################################################
856 Changes in Winbind
857 ##################
858
859 Beginning with Samba3.0.0beta3, winbindd has been given new account
860 manage functionality equivalent to the 'add user script' family of
861 smb.conf parameters.  The idmap design has also been changed to 
862 centralize control of foreign SID lookups and matching to UNIX 
863 uids and gids.
864
865
866 Brief Description of Changes
867 ----------------------------
868
869 1) The sid_to_uid() family of functions (smbd/uid.c) have been 
870    reverted to the 2.2.x design.  This means that when resolving a 
871    SID to a UID or similar mapping:
872
873         a) First consult winbindd
874         b) perform a local lookup only if winbindd fails to
875            return a successful answer
876
877    There are some variations to this, but these two rules generally
878    apply.
879
880 2) All idmap lookups have been moved into winbindd.  This means that
881    a server must run winbindd (and support NSS) in order to achieve
882    any mappings of SID to dynamically allocated UNIX ids.  This was
883    a conscious design choice.
884
885 3) New functions have been added to winbindd to emulate the 'add user 
886    script' family of smbd functions without requiring that external
887    scripts be defined.  This functionality is controlled by the 'winbind 
888    enable local accounts' smb.conf parameter (enabled by default).
889
890    However, this account management functionality is only supported 
891    in a local tdb (winbindd_idmap.tdb).  If these new UNIX accounts 
892    must be shared among multiple Samba servers (such as a PDC and BDCs), 
893    it will be necessary to define your own 'add user script', et. al.
894    programs that place the accounts/groups in some form of directory
895    such as NIS or LDAP.  This requirement was deemed beyond the scope
896    of winbind's account management functions.  Solutions for 
897    distributing UNIX system information have been deployed and tested 
898    for many years.  We saw no need to reinvent the wheel.
899
900 4) A member of a Samba controlled domain running winbindd is now able 
901    to map domain users directly onto existing UNIX accounts while still
902    automatically creating accounts for trusted users and groups.  This
903    behavior is controlled by the 'winbind trusted domains only' smb.conf
904    parameter (disabled by default to provide 2.2.x winbind behavior).
905
906 5) Group mapping support is wrapped in the local_XX_to_XX() functions
907    in smbd/uid.c.  The reason that group mappings are not included
908    in winbindd is because the purpose of Samba's group map is to
909    match any Windows SID with an existing UNIX group.  These UNIX
910    groups can be created by winbindd (see next section), but the
911    SID<->gid mapping is retreived by smbd, not winbindd.
912
913
914 Examples
915 --------
916
917 * security = server running winbindd to allocate accounts on demand
918
919 * Samba PDC running winbindd to handle the automatic creation of UNIX
920   identities for machine trust accounts
921
922 * Automtically creating UNIX user and groups when migrating a Windows NT
923   4.0 PDC to a Samba PDC.  Winbindd must be running when executing
924   'net rpc vampire' for this to work.
925
926    
927 ######################################################################
928 Known Issues
929 ############
930
931 * The smbldap perl scripts for managing user entries in an LDAP
932   directory have not be updated to function with the Samba 3.0
933   schema changes.  This (or an equivalent solution) work is planned
934   to be completed prior to the stable 3.0.0 release.
935
936 Please refer to https://bugzilla.samba.org/ for a current list of bugs 
937 filed against the Samba 3.0 codebase.
938
939
940 ######################################################################
941 Reporting bugs & Development Discussion
942 #######################################
943
944 Please discuss this release on the samba-technical mailing list or by
945 joining the #samba-technical IRC channel on irc.freenode.net.
946
947 If you do report problems then please try to send high quality
948 feedback. If you don't provide vital information to help us track down
949 the problem then you will probably be ignored.  
950
951 A new bugzilla installation has been established to help support the 
952 Samba 3.0 community of users.  This server, located at 
953 https://bugzilla.samba.org/, will replace the existing jitterbug server 
954 and the old http://bugs.samba.org now points to the new bugzilla server.
955