WHATSNEW: Add changes since rc4.
[vlendec/samba-autobuild/.git] / WHATSNEW.txt
1 Release Announcements
2 =====================
3
4 This is the fourth release candidate of Samba 4.8.  This is *not*
5 intended for production environments and is designed for testing
6 purposes only.  Please report any defects via the Samba bug reporting
7 system at https://bugzilla.samba.org/.
8
9 Samba 4.8 will be the next version of the Samba suite.
10
11
12 UPGRADING
13 =========
14
15 New GUID Index mode in sam.ldb for the AD DC
16 --------------------------------------------
17
18 Users who upgrade a Samba AD DC in-place will experience a short delay
19 in the first startup of Samba while the sam.ldb is re-indexed.
20
21 Unlike in previous releases a transparent downgrade is not possible.
22 If you wish to downgrade such a DB to a Samba 4.7 or earlier version,
23 please run the source4/scripting/bin/sambaundoguididx script first.
24
25 smbclient reparse point symlink parameters reversed
26 ---------------------------------------------------
27
28 See the more detailed description below.
29
30 Changed trusted domains listing with wbinfo -m --verbose
31 --------------------------------------------------------
32
33 See the more detailed description below.
34
35 NEW FEATURES/CHANGES
36 ====================
37
38 New GUID Index mode in sam.ldb for the AD DC
39 --------------------------------------------
40
41 The new layout used for sam.ldb is GUID, rather than DN oriented.
42 This provides Samba's Active Directory Domain Controller with a faster
43 database, particularly at larger scale.
44
45 The underlying DB is still TDB, simply the choice of key has changed.
46
47 The new mode is not optional, so no configuration is required.  Older
48 Samba versions cannot read the new database (see the upgrade
49 note above).
50
51 KDC GPO application
52 -------------------
53
54 Adds Group Policy support for the Samba kdc. Applies password policies
55 (minimum/maximum password age, minimum password length, and password
56 complexity) and kerberos policies (user/service ticket lifetime and
57 renew lifetime).
58
59 Adds the samba_gpoupdate script for applying and unapplying
60 policy. Can be applied automatically by setting
61
62  'apply group policies = yes'.
63
64 Time Machine Support with vfs_fruit
65 -----------------------------------
66
67 Samba can be configured as a Time Machine target for Apple Mac devices
68 through the vfs_fruit module. When enabling a share for Time Machine
69 support the relevant Avahi records to support discovery will be published
70 for installations that have been built against the Avahi client library.
71
72 Shares can be designated as a Time Machine share with the following setting:
73
74   'fruit:time machine = yes'
75
76 Support for lower casing the MDNS Name
77 --------------------------------------
78
79 Allows the server name that is advertised through MDNS to be set to the
80 hostname rather than the Samba NETBIOS name. This allows an administrator
81 to make Samba registered MDNS records match the case of the hostname
82 rather than being in all capitals.
83
84 This can be set with the following settings:
85
86   'mdns name = mdns'
87
88 Encrypted secrets
89 -----------------
90
91 Attributes deemed to be sensitive are now encrypted on disk. The sensitive
92 values are currently:
93         pekList
94         msDS-ExecuteScriptPassword
95         currentValue
96         dBCSPwd
97         initialAuthIncoming
98         initialAuthOutgoing
99         lmPwdHistory
100         ntPwdHistory
101         priorValue
102         supplementalCredentials
103         trustAuthIncoming
104         trustAuthOutgoing
105         unicodePwd
106         clearTextPassword
107
108 This encryption is enabled by default on a new provision or join, it
109 can be disabled at provision or join time with the new option
110 '--plaintext-secrets'.
111
112 However, an in-place upgrade will not encrypt the database.
113
114 Once encrypted, it is not possible to do an in-place downgrade (eg to
115 4.7) of the database. To obtain an unencrypted copy of the database a
116 new DC join should be performed, specifying the '--plaintext-secrets'
117 option.
118
119 The key file "encrypted_secrets.key" is created in the same directory
120 as the database and should NEVER be disclosed.  It is included by the
121 samba_backup script.
122
123 Active Directory replication visualisation
124 ------------------------------------------
125
126 To work out what is happening in a replication graph, it is sometimes
127 helpful to use visualisations. We introduce a samba-tool subcommand to
128 write Graphviz dot output and generate text-based heatmaps of the
129 distance in hops between DCs.
130
131 There are two subcommands, two graphical modes, and (roughly) two modes of
132 operation with respect to the location of authority.
133
134 `samba-tool visualize ntdsconn` looks at NTDS Connections.
135 `samba-tool visualize reps` looks at repsTo and repsFrom objects.
136
137 In '--distance' mode (default), the distances between DCs are shown in
138 a matrix in the terminal. With '--color=yes', this is depicted as a
139 heatmap. With '--utf8' it is a lttle prettier.
140
141 In '--dot' mode, Graphviz dot output is generated. When viewed using
142 dot or xdot, this shows the network as a graph with DCs as vertices
143 and connections edges. Certain types of degenerate edges are shown in
144 different colours or line-styles.
145
146
147 smbclient reparse point symlink parameters reversed
148 ---------------------------------------------------
149
150 A bug in smbclient caused the 'symlink' command to reverse the
151 meaning of the new name and link target parameters when creating a
152 reparse point symlink against a Windows server. As this is a
153 little used feature the ordering of these parameters has been
154 reversed to match the parameter ordering of the UNIX extensions
155 'symlink' command. The usage message for this command has also
156 been improved to remove confusion.
157
158 Winbind changes
159 ---------------
160
161 The dependency to global list of trusted domains within
162 the winbindd processes has been reduced a lot.
163
164 The construction of that global list is not reliable and often
165 incomplete in complex trust setups. In most situations the list is not needed
166 any more for winbindd to operate correctly. E.g. for plain file serving via SMB
167 using a simple idmap setup with autorid, tdb or ad. However some more complex
168 setups require the list, e.g. if you specify idmap backends for specific
169 domains. Some pam_winbind setups may also require the global list.
170
171 If you have a setup that doesn't require the global list, you should set
172 "winbind scan trusted domains = no".
173
174 Improved support for trusted domains (as AD DC)
175 -----------------------------------------------
176
177 The support for trusted domains/forests has improved a lot.
178
179 External domain trusts, as well a transitive forest trusts,
180 are supported in both directions (inbound and outbound)
181 for Kerberos and NTLM authentication now.
182
183 The LSA LookupNames and LookupSids implementations
184 support resolving names and sids from trusts domains/forest
185 now. This is important in order to allow Samba based
186 domain members to make use of the trust.
187
188 However there are currently still a few limitations:
189
190 - It's not possible to add users/groups of a trusted domain
191   into domain groups. So group memberships are not expanded
192   on trust boundaries.
193   See https://bugzilla.samba.org/show_bug.cgi?id=13300
194 - Both sides of the trust need to fully trust each other!
195 - No SID filtering rules are applied at all!
196 - This means DCs of domain A can grant domain admin rights
197   in domain B.
198 - Selective (CROSS_ORIGANIZATION) authentication is
199   not supported. It's possible to create such a trust,
200   but the KDC and winbindd ignore them.
201
202 Changed trusted domains listing with wbinfo -m --verbose
203 --------------------------------------------------------
204
205 The trust properties printed by wbinfo -m --verbose have been changed to
206 correctly reflect the view of the system where wbinfo is executed.
207
208 The trust type field in particular can show additional values that correctly
209 reflect the type of the trust: "Local" for the local SAM and BUILTIN,
210 "Workstation" for a workstation trust to the primary domain, "RWDC" for the SAM
211 on a AD DC, "RODC" for the SAM on a read-only DC, "PDC" for the SAM on a
212 NT4-style DC, "Forest" for a AD forest trust and "External" for quarantined,
213 external or NT4-style trusts.
214
215 Indirect trusts are shown as "Routed" including the routing domain.
216
217 Example, on a AD DC (SDOM1):
218
219 Domain Name DNS Domain          Trust Type  Transitive  In   Out
220 BUILTIN                         Local
221 SDOM1       sdom1.site          RWDC
222 WDOM3       wdom3.site          Forest      Yes         No   Yes
223 WDOM2       wdom2.site          Forest      Yes         Yes  Yes
224 SUBDOM31    subdom31.wdom3.site Routed (via WDOM3)
225 SUBDOM21    subdom21.wdom2.site Routed (via WDOM2)
226
227 Same setup, on a member of WDOM2:
228
229 Domain Name DNS Domain          Trust Type  Transitive  In   Out
230 BUILTIN                         Local
231 TITAN                           Local
232 WDOM2       wdom2.site          Workstation Yes         No   Yes
233 WDOM1       wdom1.site          Routed (via WDOM2)
234 WDOM3       wdom3.site          Routed (via WDOM2)
235 SUBDOM21    subdom21.wdom2.site Routed (via WDOM2)
236 SDOM1       sdom1.site          Routed (via WDOM2)
237 SUBDOM11    subdom11.wdom1.site Routed (via WDOM2)
238
239 The list of trusts may be incomplete and additional domains may appear as
240 "Routed" if a user of an unknown domain is successfully authenticated.
241
242 VirusFilter VFS module
243 ----------------------
244
245 This new module integrates with Sophos, F-Secure and ClamAV anti-virus
246 software to provide scanning and filtering of files on a Samba share.
247
248
249 REMOVED FEATURES
250 ================
251
252 'net serverid' commands removed
253 -------------------------------
254
255 The two commands 'net serverid list' and 'net serverid wipe' have been
256 removed, because the file serverid.tdb is not used anymore.
257
258 'net serverid list' can be replaced by listing all files in the
259 subdirectory "msg.lock" of Samba's "lock directory". The unique id
260 listed by 'net serverid list' is stored in every process' lockfile in
261 "msg.lock".
262
263 'net serverid wipe' is not necessary anymore. It was meant primarily
264 for clustered environments, where the serverid.tdb file was not
265 properly cleaned up after single node crashes. Nowadays smbd and
266 winbind take care of cleaning up the msg.lock and msg.sock directories
267 automatically.
268
269 NT4-style replication based net commands removed
270 ------------------------------------------------
271
272 The following commands and sub-commands have been removed from the
273 "net" utility:
274
275 net rpc samdump
276 net rpc vampire ldif
277
278 Also, replicating from a real NT4 domain with "net rpc vampire" and
279 "net rpc vampire keytab" has been removed.
280
281 The NT4-based commands were accidentally broken in 2013, and nobody
282 noticed the breakage. So instead of fixing them including tests (which
283 would have meant writing a server for the protocols, which we don't
284 have) we decided to remove them.
285
286 For the same reason, the "samsync", "samdeltas" and "database_redo"
287 commands have been removed from rpcclient.
288
289 "net rpc vampire keytab" from Active Directory domains continues to be
290 supported.
291
292 vfs_aio_linux module removed
293 ----------------------------
294
295 The current Linux kernel aio does not match what Samba would
296 do. Shipping code that uses it leads people to false
297 assumptions. Samba implements async I/O based on threads by default,
298 there is no special module required to see benefits of read and write
299 request being sent do the disk in parallel.
300
301
302 smb.conf changes
303 ================
304
305   Parameter Name                     Description             Default
306   --------------                     -----------             -------
307   apply group policies               New                     no
308   auth methods                       Removed
309   binddns dir                        New
310   client schannel                    Default changed/        yes
311                                      Deprecated
312   gpo update command                 New
313   ldap ssl ads                       Deprecated
314   map untrusted to domain            Removed
315   oplock contention limit            Removed
316   prefork children                   New                     1
317   mdns name                          New                   netbios
318   fruit:time machine                 New                   false
319   profile acls                       Removed
320   use spnego                         Removed
321   server schannel                    Default changed/        yes
322                                      Deprecated
323   unicode                            Deprecated
324   winbind scan trusted domains       New                     yes
325   winbind trusted domains only       Removed
326
327
328 CHANGES SINCE 4.8.0rc3
329 ======================
330
331 o  Ralph Boehme <slow@samba.org>
332    * BUG 13287: Fix numerous trust related bugs in winbindd and s4 LSA RPC
333      server.
334    * BUG 13296: vfs_fruit: Use off_t, not size_t for TM size calculations.
335
336 o  Alexander Bokovoy <ab@samba.org>
337    * BUG 13304: mit-kdb: Support MIT Kerberos 1.16 KDB API changes.
338
339 o  Günther Deschner <gd@samba.org>
340    * BUG 13277: build: Fix libceph-common detection.
341
342 o  Poornima G <pgurusid@redhat.com>
343    * BUG 13297: vfs_glusterfs: Fix the wrong pointer being sent in
344      glfs_fsync_async.
345
346 o  Volker Lendecke <vl@samba.org>
347    * BUG 13305: vfs_fileid: Fix the 32-bit build.
348
349 o  Stefan Metzmacher <metze@samba.org>
350    * BUG 13206: Unable to authenticate with an empty string domain ''.
351    * BUG 13276: configure aborts without libnettle/gnutls.
352    * BUG 13278: winbindd (on an AD DC) should only use netlogon/lsa against
353      trusted domains.
354    * BUG 13287: Fix numerous trust related bugs in winbindd and s4 LSA RPC
355      server.
356    * BUG 13290: A disconnecting winbind client can cause a problem in 
357      the winbind parent child communication.
358    * BUG 13291: tevent: version 0.9.36.
359    * BUG 13292: winbind requests could get stuck in the queue of a busy child,
360      while later requests could get served fine by other children.
361    * BUG 13293: Minimize the lifetime of winbindd_cli_state->{pw,gr}ent_state.
362    * BUG 13294: Avoid using fstrcpy(domain->dcname,...) on a char *.
363    * BUG 13295: winbind parent should find the dc of a foreign domain via the
364      primary domain.
365    * BUG 13299: Disable support for CROSS_ORGANIZATION domains.
366    * BUG 13306: ldb: version 1.3.2.
367
368 o  Sachin Prabhu <sprabhu@redhat.com>
369    * BUG 13303: vfs_glusterfs: Add fallocate support for vfs_glusterfs.
370
371 o  Garming Sam <garming@catalyst.net.nz>
372    * BUG 13031: subnet: Avoid a segfault when renaming subnet objects.
373    * BUG 13269: RODC may skip objects during replication due to naming
374      conflicts.
375
376
377 CHANGES SINCE 4.8.0rc2
378 ======================
379
380 o  Trever L. Adams <trever.adams@gmail.com>
381    * BUG 13246: Backport Samba VirusFilter.
382
383 o  Ralph Boehme <slow@samba.org>
384    * BUG 13228: dbcheck: Add support for restoring missing forward links.
385
386 o  Günther Deschner <gd@samba.org>
387    * BUG 13221: python: fix the build with python3.
388
389 o  Stefan Metzmacher <metze@samba.org>
390    * BUG 13228: dbcheck: Add support for restoring missing forward links.
391
392
393 CHANGES SINCE 4.8.0rc1
394 ======================
395
396 o  Günther Deschner <gd@samba.org>
397    * BUG 13227: packaging: Fix default systemd-dir path.
398    * BUG 13238: build: Deal with recent glibc sunrpc header removal.
399
400 o  Stefan Metzmacher <metze@samba.org>
401    * BUG 13228: repl_meta_data: fix linked attribute corruption on databases
402      with unsorted links on expunge.
403
404 o  Christof Schmitt <cs@samba.org>
405    * BUG 13217: s3/smbd: Remove file system sharemode before calling unlink.
406
407 o  Andreas Schneider <asn@samba.org>
408    * BUG 13209: Small improvements in winbindd for the resource cleanup in error
409      cases.
410    * BUG 13238: Make Samba work with tirpc and libnsl2.
411
412
413 KNOWN ISSUES
414 ============
415
416 https://wiki.samba.org/index.php/Release_Planning_for_Samba_4.8#Release_blocking_bugs
417
418
419 #######################################
420 Reporting bugs & Development Discussion
421 #######################################
422
423 Please discuss this release on the samba-technical mailing list or by
424 joining the #samba-technical IRC channel on irc.freenode.net.
425
426 If you do report problems then please try to send high quality
427 feedback. If you don't provide vital information to help us track down
428 the problem then you will probably be ignored.  All bug reports should
429 be filed under the Samba 4.1 and newer product in the project's Bugzilla
430 database (https://bugzilla.samba.org/).
431
432
433 ======================================================================
434 == Our Code, Our Bugs, Our Responsibility.
435 == The Samba Team
436 ======================================================================
437