WHATSNEW: add 'Improved support for trusted domains (as AD DC)' section
[vlendec/samba-autobuild/.git] / WHATSNEW.txt
1 Release Announcements
2 =====================
3
4 This is the third release candidate of Samba 4.8.  This is *not*
5 intended for production environments and is designed for testing
6 purposes only.  Please report any defects via the Samba bug reporting
7 system at https://bugzilla.samba.org/.
8
9 Samba 4.8 will be the next version of the Samba suite.
10
11
12 UPGRADING
13 =========
14
15 New GUID Index mode in sam.ldb for the AD DC
16 --------------------------------------------
17
18 Users who upgrade a Samba AD DC in-place will experience a short delay
19 in the first startup of Samba while the sam.ldb is re-indexed.
20
21 Unlike in previous releases a transparent downgrade is not possible.
22 If you wish to downgrade such a DB to a Samba 4.7 or earlier version,
23 please run the source4/scripting/bin/sambaundoguididx script first.
24
25 smbclient reparse point symlink parameters reversed
26 ---------------------------------------------------
27
28 See the more detailed description below.
29
30
31 NEW FEATURES/CHANGES
32 ====================
33
34 New GUID Index mode in sam.ldb for the AD DC
35 --------------------------------------------
36
37 The new layout used for sam.ldb is GUID, rather than DN oriented.
38 This provides Samba's Active Directory Domain Controller with a faster
39 database, particularly at larger scale.
40
41 The underlying DB is still TDB, simply the choice of key has changed.
42
43 The new mode is not optional, so no configuration is required.  Older
44 Samba versions cannot read the new database (see the upgrade
45 note above).
46
47 KDC GPO application
48 -------------------
49
50 Adds Group Policy support for the Samba kdc. Applies password policies
51 (minimum/maximum password age, minimum password length, and password
52 complexity) and kerberos policies (user/service ticket lifetime and
53 renew lifetime).
54
55 Adds the samba_gpoupdate script for applying and unapplying
56 policy. Can be applied automatically by setting
57
58  'apply group policies = yes'.
59
60 Time Machine Support with vfs_fruit
61 -----------------------------------
62
63 Samba can be configured as a Time Machine target for Apple Mac devices
64 through the vfs_fruit module. When enabling a share for Time Machine
65 support the relevant Avahi records to support discovery will be published
66 for installations that have been built against the Avahi client library.
67
68 Shares can be designated as a Time Machine share with the following setting:
69
70   'fruit:time machine = yes'
71
72 Support for lower casing the MDNS Name
73 --------------------------------------
74
75 Allows the server name that is advertised through MDNS to be set to the
76 hostname rather than the Samba NETBIOS name. This allows an administrator
77 to make Samba registered MDNS records match the case of the hostname
78 rather than being in all capitals.
79
80 This can be set with the following settings:
81
82   'mdns name = mdns'
83
84 Encrypted secrets
85 -----------------
86
87 Attributes deemed to be sensitive are now encrypted on disk. The sensitive
88 values are currently:
89         pekList
90         msDS-ExecuteScriptPassword
91         currentValue
92         dBCSPwd
93         initialAuthIncoming
94         initialAuthOutgoing
95         lmPwdHistory
96         ntPwdHistory
97         priorValue
98         supplementalCredentials
99         trustAuthIncoming
100         trustAuthOutgoing
101         unicodePwd
102         clearTextPassword
103
104 This encryption is enabled by default on a new provision or join, it
105 can be disabled at provision or join time with the new option
106 '--plaintext-secrets'.
107
108 However, an in-place upgrade will not encrypt the database.
109
110 Once encrypted, it is not possible to do an in-place downgrade (eg to
111 4.7) of the database. To obtain an unencrypted copy of the database a
112 new DC join should be performed, specifying the '--plaintext-secrets'
113 option.
114
115 The key file "encrypted_secrets.key" is created in the same directory
116 as the database and should NEVER be disclosed.  It is included by the
117 samba_backup script.
118
119 Active Directory replication visualisation
120 ------------------------------------------
121
122 To work out what is happening in a replication graph, it is sometimes
123 helpful to use visualisations. We introduce a samba-tool subcommand to
124 write Graphviz dot output and generate text-based heatmaps of the
125 distance in hops between DCs.
126
127 There are two subcommands, two graphical modes, and (roughly) two modes of
128 operation with respect to the location of authority.
129
130 `samba-tool visualize ntdsconn` looks at NTDS Connections.
131 `samba-tool visualize reps` looks at repsTo and repsFrom objects.
132
133 In '--distance' mode (default), the distances between DCs are shown in
134 a matrix in the terminal. With '--color=yes', this is depicted as a
135 heatmap. With '--utf8' it is a lttle prettier.
136
137 In '--dot' mode, Graphviz dot output is generated. When viewed using
138 dot or xdot, this shows the network as a graph with DCs as vertices
139 and connections edges. Certain types of degenerate edges are shown in
140 different colours or line-styles.
141
142
143 smbclient reparse point symlink parameters reversed
144 ---------------------------------------------------
145
146 A bug in smbclient caused the 'symlink' command to reverse the
147 meaning of the new name and link target parameters when creating a
148 reparse point symlink against a Windows server. As this is a
149 little used feature the ordering of these parameters has been
150 reversed to match the parameter ordering of the UNIX extensions
151 'symlink' command. The usage message for this command has also
152 been improved to remove confusion.
153
154 Winbind changes
155 ---------------
156
157 The dependency to global list of trusted domains within
158 the winbindd processes has been reduced a lot.
159
160 The construction of that global list is not reliable and often
161 incomplete in complex trust setups. In most situations the list is not needed
162 any more for winbindd to operate correctly. E.g. for plain file serving via SMB
163 using a simple idmap setup with autorid, tdb or ad. However some more complex
164 setups require the list, e.g. if you specify idmap backends for specific
165 domains. Some pam_winbind setups may also require the global list.
166
167 If you have a setup that doesn't require the global list, you should set
168 "winbind scan trusted domains = no".
169
170 Improved support for trusted domains (as AD DC)
171 -----------------------------------------------
172
173 The support for trusted domains/forests has improved a lot.
174
175 External domain trusts, as well a transitive forest trusts,
176 are supported in both directions (inbound and outbound)
177 for Kerberos and NTLM authentication now.
178
179 The LSA LookupNames and LookupSids implementations
180 support resolving names and sids from trusts domains/forest
181 now. This is important in order to allow Samba based
182 domain members to make use of the trust.
183
184 However there are currently still a few limitations:
185
186 - It's not possible to add users/groups of a trusted domain
187   into domain groups. So group memberships are not expanded
188   on trust boundaries.
189   See https://bugzilla.samba.org/show_bug.cgi?id=13300
190 - Both sides of the trust need to fully trust each other!
191 - No SID filtering rules are applied at all!
192 - This means DCs of domain A can grant domain admin rights
193   in domain B.
194 - Selective (CROSS_ORIGANIZATION) authentication is
195   not supported. It's possible to create such a trust,
196   but the KDC and winbindd ignore them.
197
198 VirusFilter VFS module
199 ----------------------
200
201 This new module integrates with Sophos, F-Secure and ClamAV anti-virus
202 software to provide scanning and filtering of files on a Samba share.
203
204
205 REMOVED FEATURES
206 ================
207
208 'net serverid' commands removed
209 -------------------------------
210
211 The two commands 'net serverid list' and 'net serverid wipe' have been
212 removed, because the file serverid.tdb is not used anymore.
213
214 'net serverid list' can be replaced by listing all files in the
215 subdirectory "msg.lock" of Samba's "lock directory". The unique id
216 listed by 'net serverid list' is stored in every process' lockfile in
217 "msg.lock".
218
219 'net serverid wipe' is not necessary anymore. It was meant primarily
220 for clustered environments, where the serverid.tdb file was not
221 properly cleaned up after single node crashes. Nowadays smbd and
222 winbind take care of cleaning up the msg.lock and msg.sock directories
223 automatically.
224
225 NT4-style replication based net commands removed
226 ------------------------------------------------
227
228 The following commands and sub-commands have been removed from the
229 "net" utility:
230
231 net rpc samdump
232 net rpc vampire ldif
233
234 Also, replicating from a real NT4 domain with "net rpc vampire" and
235 "net rpc vampire keytab" has been removed.
236
237 The NT4-based commands were accidentally broken in 2013, and nobody
238 noticed the breakage. So instead of fixing them including tests (which
239 would have meant writing a server for the protocols, which we don't
240 have) we decided to remove them.
241
242 For the same reason, the "samsync", "samdeltas" and "database_redo"
243 commands have been removed from rpcclient.
244
245 "net rpc vampire keytab" from Active Directory domains continues to be
246 supported.
247
248 vfs_aio_linux module removed
249 ----------------------------
250
251 The current Linux kernel aio does not match what Samba would
252 do. Shipping code that uses it leads people to false
253 assumptions. Samba implements async I/O based on threads by default,
254 there is no special module required to see benefits of read and write
255 request being sent do the disk in parallel.
256
257
258 smb.conf changes
259 ================
260
261   Parameter Name                     Description             Default
262   --------------                     -----------             -------
263   apply group policies               New                     no
264   auth methods                       Removed
265   binddns dir                        New
266   client schannel                    Default changed/        yes
267                                      Deprecated
268   gpo update command                 New
269   ldap ssl ads                       Deprecated
270   map untrusted to domain            Removed
271   oplock contention limit            Removed
272   prefork children                   New                     1
273   mdns name                          New                   netbios
274   fruit:time machine                 New                   false
275   profile acls                       Removed
276   use spnego                         Removed
277   server schannel                    Default changed/        yes
278                                      Deprecated
279   unicode                            Deprecated
280   winbind scan trusted domains       New                     yes
281   winbind trusted domains only       Removed
282
283
284 CHANGES SINCE 4.8.0rc2
285 ======================
286
287 o  Trever L. Adams <trever.adams@gmail.com>
288    * BUG 13246: Backport Samba VirusFilter.
289
290 o  Ralph Boehme <slow@samba.org>
291    * BUG 13228: dbcheck: Add support for restoring missing forward links.
292
293 o  Günther Deschner <gd@samba.org>
294    * BUG 13221: python: fix the build with python3.
295
296 o  Stefan Metzmacher <metze@samba.org>
297    * BUG 13228: dbcheck: Add support for restoring missing forward links.
298
299
300 CHANGES SINCE 4.8.0rc1
301 ======================
302
303 o  Günther Deschner <gd@samba.org>
304    * BUG 13227: packaging: Fix default systemd-dir path.
305    * BUG 13238: build: Deal with recent glibc sunrpc header removal.
306
307 o  Stefan Metzmacher <metze@samba.org>
308    * BUG 13228: repl_meta_data: fix linked attribute corruption on databases
309      with unsorted links on expunge.
310
311 o  Christof Schmitt <cs@samba.org>
312    * BUG 13217: s3/smbd: Remove file system sharemode before calling unlink.
313
314 o  Andreas Schneider <asn@samba.org>
315    * BUG 13209: Small improvements in winbindd for the resource cleanup in error
316      cases.
317    * BUG 13238: Make Samba work with tirpc and libnsl2.
318
319
320 KNOWN ISSUES
321 ============
322
323 https://wiki.samba.org/index.php/Release_Planning_for_Samba_4.8#Release_blocking_bugs
324
325
326 #######################################
327 Reporting bugs & Development Discussion
328 #######################################
329
330 Please discuss this release on the samba-technical mailing list or by
331 joining the #samba-technical IRC channel on irc.freenode.net.
332
333 If you do report problems then please try to send high quality
334 feedback. If you don't provide vital information to help us track down
335 the problem then you will probably be ignored.  All bug reports should
336 be filed under the Samba 4.1 and newer product in the project's Bugzilla
337 database (https://bugzilla.samba.org/).
338
339
340 ======================================================================
341 == Our Code, Our Bugs, Our Responsibility.
342 == The Samba Team
343 ======================================================================
344