WHATSNEW: change the default for "map untrusted to domain" to "auto"
[vlendec/samba-autobuild/.git] / WHATSNEW.txt
1 Release Announcements
2 =====================
3
4 This is the first preview release of Samba 4.7.  This is *not*
5 intended for production environments and is designed for testing
6 purposes only.  Please report any defects via the Samba bug reporting
7 system at https://bugzilla.samba.org/.
8
9 Samba 4.7 will be the next version of the Samba suite.
10
11
12 UPGRADING
13 =========
14
15
16 NEW FEATURES/CHANGES
17 ====================
18
19 Samba AD with MIT Kerberos
20 --------------------------
21
22 After four years of development, Samba finally supports compiling and
23 running Samba AD with MIT Kerberos. You can enable it with:
24
25     ./configure --with-system-mitkrb5
26
27 Samba requires version 1.15.1 of MIT Kerberos to build with AD DC support.
28 The krb5-devel and krb5-server packages are required.
29 The feature set is not on par with with the Heimdal build but the most important
30 things, like forest and external trusts, are working. Samba uses the KDC binary
31 provided by MIT Kerberos.
32
33 Missing features, compared to Heimdal, are:
34   * PKINIT support
35   * S4U2SELF/S4U2PROXY support
36   * RODC support (not fully working with Heimdal either)
37
38 The Samba AD process will take care of starting the MIT KDC and it will load a
39 KDB (Kerberos Database) driver to access the Samba AD database.  When
40 provisioning an AD DC using 'samba-tool' it will take care of creating a correct
41 kdc.conf file for the MIT KDC. Note that 'samba-tool' will overwrite the system
42 kdc.conf by default. It is possible to use a different location during
43 provision. You should consult the 'samba-tool' help and smb.conf manpage for
44 details.
45
46 Dynamic RPC port range
47 ----------------------
48
49 The dynamic port range for RPC services has been changed from the old default
50 value 1024-1300 to 49152-65535. This port range is not only used by a
51 Samba AD DC but also applies to all other server roles including NT4-style
52 domain controllers. The new value has been defined by Microsoft in Windows
53 Server 2008 and newer versions. To make it easier for Administrators to control
54 those port ranges we use the same default and make it configureable with the
55 option: 'rpc server dynamic port range'.
56
57 The 'rpc server port' option sets the first available port from the new
58 'rpc server dynamic port range' option. The option 'rpc server port' only
59 applies to Samba provisioned as an AD DC.
60
61 Authentication and Authorization audit support
62 ----------------------------------------------
63
64 Detailed authentication and authorization audit information is now
65 logged to Samba's debug logs under the "auth_audit" debug class,
66 including in particular the client IP address triggering the audit
67 line.  Additionally, if Samba is compiled against the jansson JSON
68 library, a JSON representation is logged under the "auth_json_audit"
69 debug class.
70
71 Audit support is comprehensive for all authentication and
72 authorisation of user accounts in the Samba Active Directory Domain
73 Controller, as well as the implicit authentication in password
74 changes.  In the file server and classic/NT4 domain controller, NTLM
75 authentication, SMB and RPC authorization is covered, however password
76 changes are not at this stage, and this support is not currently
77 backed by a testsuite.
78
79
80 Query record for open file or directory
81 ---------------------------------------
82
83 The record attached to an open file or directory in Samba can be
84 queried through the 'net tdb locking' command. In clustered Samba this
85 can be useful to determine the file or directory triggering
86 corresponding "hot" record warnings in ctdb.
87
88
89 Parameter changes
90 -----------------
91
92 The "strict sync" global parameter has been changed from
93 a default of "no" to "yes". This means smbd will by default
94 obey client requests to synchronize unwritten data in operating
95 system buffers safely onto disk. This is a safer default setting
96 for modern SMB1/2/3 clients.
97
98 smb.conf changes
99 ================
100
101   Parameter Name                Description             Default
102   --------------                -----------             -------
103   auth event notification       New parameter           no
104   auth methods                  Deprecated
105   map untrusted to domain       New value/              auto
106                                 Default changed/
107                                 Deprecated
108   profile acls                  Deprecated
109   strict sync                   Default changed         yes
110
111 Removal of lpcfg_register_defaults_hook()
112 -----------------------------------------
113
114 The undocumented and unsupported function lpcfg_register_defaults_hook()
115 that was used by external projects to call into Samba and modify
116 smb.conf default parameter settings has been removed. If your project
117 was using this call please raise the issue on
118 samba-technical@lists.samba.org in order to design a supported
119 way of obtaining the same functionality.
120
121 Change of loadable module interface
122 -----------------------------------
123
124 The _init function of all loadable modules in Samba has changed
125 from:
126
127 NTSTATUS _init(void);
128
129 to:
130
131 NTSTATUS _init(TALLOC_CTX *);
132
133 This allows a program loading a module to pass in a long-lived
134 talloc context (which must be guaranteed to be alive for the
135 lifetime of the module). This allows modules to avoid use of
136 the talloc_autofree_context() (which is inherently thread-unsafe)
137 and still be valgrind-clean on exit. Modules that don't need to
138 free long-lived data on exist should use the NULL talloc context.
139
140 KNOWN ISSUES
141 ============
142
143 https://wiki.samba.org/index.php/Release_Planning_for_Samba_4.7#Release_blocking_bugs
144
145
146 #######################################
147 Reporting bugs & Development Discussion
148 #######################################
149
150 Please discuss this release on the samba-technical mailing list or by
151 joining the #samba-technical IRC channel on irc.freenode.net.
152
153 If you do report problems then please try to send high quality
154 feedback. If you don't provide vital information to help us track down
155 the problem then you will probably be ignored.  All bug reports should
156 be filed under the Samba 4.1 and newer product in the project's Bugzilla
157 database (https://bugzilla.samba.org/).
158
159
160 ======================================================================
161 == Our Code, Our Bugs, Our Responsibility.
162 == The Samba Team
163 ======================================================================
164