s3:libads: Remove obsolete free's of kdc_str
[Samba.git] / WHATSNEW.txt
blob83d77b5c0283c6701fc6a15cab04897e55ad6e7e
1 Release Announcements
2 =====================
4 This is the fifth release candidate of Samba 4.16.  This is *not*
5 intended for production environments and is designed for testing
6 purposes only.  Please report any defects via the Samba bug reporting
7 system at https://bugzilla.samba.org/.
9 Samba 4.16 will be the next version of the Samba suite.
12 UPGRADING
13 =========
16 NEW FEATURES/CHANGES
17 ====================
19 New samba-dcerpcd binary to provide DCERPC in the member server setup
20 ---------------------------------------------------------------------
22 In order to make it much easier to break out the DCERPC services
23 from smbd, a new samba-dcerpcd binary has been created.
25 samba-dcerpcd can be used in two ways. In the normal case without
26 startup script modification it is invoked on demand from smbd or
27 winbind --np-helper to serve DCERPC over named pipes. Note that
28 in order to run in this mode the smb.conf [global] section has
29 a new parameter "rpc start on demand helpers = [true|false]".
30 This parameter is set to "true" by default, meaning no changes to
31 smb.conf files are needed to run samba-dcerpcd on demand as a named
32 pipe helper.
34 It can also be used in a standalone mode where it is started
35 separately from smbd or winbind but this requires changes to system
36 startup scripts, and in addition a change to smb.conf, setting the new
37 [global] parameter "rpc start on demand helpers = false". If "rpc
38 start on demand helpers" is not set to false, samba-dcerpcd will
39 refuse to start in standalone mode.
41 Note that when Samba is run in the Active Directory Domain Controller
42 mode the samba binary that provides the AD code will still provide its
43 normal DCERPC services whilst allowing samba-dcerpcd to provide
44 services like SRVSVC in the same way that smbd used to in this
45 configuration.
47 The parameters that allowed some smbd-hosted services to be started
48 externally are now gone (detailed below) as this is now the default
49 setting.
51 samba-dcerpcd can also be useful for use outside of the Samba
52 framework, for example, use with the Linux kernel SMB2 server ksmbd or
53 possibly other SMB2 server implementations.
55 Certificate Auto Enrollment
56 ---------------------------
58 Certificate Auto Enrollment allows devices to enroll for certificates from
59 Active Directory Certificate Services. It is enabled by Group Policy.
60 To enable Certificate Auto Enrollment, Samba's group policy will need to be
61 enabled by setting the smb.conf option `apply group policies` to Yes. Samba
62 Certificate Auto Enrollment depends on certmonger, the cepces certmonger
63 plugin, and sscep. Samba uses sscep to download the CA root chain, then uses
64 certmonger paired with cepces to monitor the host certificate templates.
65 Certificates are installed in /var/lib/samba/certs and private keys are
66 installed in /var/lib/samba/private/certs.
68 Ability to add ports to dns forwarder addresses in internal DNS backend
69 -----------------------------------------------------------------------
71 The internal DNS server of Samba forwards queries non-AD zones to one or more
72 configured forwarders. Up until now it has been assumed that these forwarders
73 listen on port 53. Starting with this version it is possible to configure the
74 port using host:port notation. See smb.conf for more details. Existing setups
75 are not affected, as the default port is 53.
77 CTDB changes
78 ------------
80 * The "recovery master" role has been renamed "leader"
82   Documentation and logs now refer to "leader".
84   The following ctdb tool command names have changed:
86     recmaster -> leader
87     setrecmasterrole -> setleaderrole
89   Command output has changed for the following commands:
91     status
92     getcapabilities
94   The "[legacy] -> recmaster capability" configuration option has been
95   renamed and moved to the cluster section, so this is now:
97     [cluster] -> leader capability
99 * The "recovery lock" has been renamed "cluster lock"
101   Documentation and logs now refer to "cluster lock".
103   The "[cluster] -> recovery lock" configuration option has been
104   deprecated and will be removed in a future version.  Please use
105   "[cluster] -> cluster lock" instead.
107   If the cluster lock is enabled then traditional elections are not
108   done and leader elections use a race for the cluster lock.  This
109   avoids various conditions where a node is elected leader but can not
110   take the cluster lock.  Such conditions included:
112   - At startup, a node elects itself leader of its own cluster before
113     connecting to other nodes
115   - Cluster filesystem failover is slow
117   The abbreviation "reclock" is still used in many places, because a
118   better abbreviation eludes us (i.e. "clock" is obvious bad) and
119   changing all instances would require a lot of churn.  If the
120   abbreviation "reclock" for "cluster lock" is confusing, please
121   consider mentally prefixing it with "really excellent".
123 * CTDB now uses leader broadcasts and an associated timeout to
124   determine if an election is required
126   The leader broadcast timeout can be configured via new configuration
127   option
129     [cluster] -> leader timeout
131   This specifies the number of seconds without leader broadcasts
132   before a node calls an election.  The default is 5.
135 REMOVED FEATURES
136 ================
138 SMB1 CORE and LANMAN1 protocol wildcard copy, unlink and rename removed
139 =======================================================================
141 In preparation for the removal of the SMB1 server, the unused
142 SMB1 command SMB_COM_COPY (SMB1 command number 0x29) has been
143 removed from the Samba smbd server. In addition, the ability
144 to process file name wildcards in requests using the SMB1 commands
145 SMB_COM_COPY (SMB1 command number 0x2A), SMB_COM_RENAME (SMB1 command
146 number 0x7), SMB_COM_NT_RENAME (SMB1 command number 0xA5) and
147 SMB_COM_DELETE (SMB1 command number 0x6) have been removed.
149 This only affects clients using MS-DOS based versions of
150 SMB1, the last release of which was Windows 98. Users requiring
151 support for these features will need to use older versions
152 of Samba.
154 No longer using Linux mandatory locks for sharemodes
155 ====================================================
157 smbd mapped sharemodes to Linux mandatory locks. This code in the Linux kernel
158 was broken for a long time, and is planned to be removed with Linux 5.15. This
159 Samba release removes the usage of mandatory locks for sharemodes and the
160 "kernel share modes" config parameter is changed to default to "no". The Samba
161 VFS interface is kept, so that file-system specific VFS modules can still use
162 private calls for enforcing sharemodes.
165 smb.conf changes
166 ================
168   Parameter Name                          Description     Default
169   --------------                          -----------     -------
170   kernel share modes                      New default     No
171   dns forwarder                           Changed
172   rpc_daemon                              Removed
173   rpc_server                              Removed
174   rpc start on demand helpers             Added           true
177 CHANGES SINCE 4.16.0rc4
178 =======================
180 o  Jeremy Allison <jra@samba.org>
181    * BUG 14737: Samba does not response STATUS_INVALID_PARAMETER when opening 2
182      objects with same lease key.
184 o  Jule Anger <janger@samba.org>
185    * BUG 14999: Listing shares with smbstatus no longer works.
187 o  Douglas Bagnall <douglas.bagnall@catalyst.net.nz>
188    * BUG 14996: Fix ldap simple bind with TLS auditing.
190 o  Andrew Bartlett <abartlet@samba.org>
191    * BUG 14995: Use Heimdal 8.0 (pre) rather than an earlier snapshot.
193 o  Volker Lendecke <vl@samba.org>
194    * BUG 14989: Fix a use-after-free in SMB1 server.
196 o  Stefan Metzmacher <metze@samba.org>
197    * BUG 14865: Uncached logon on RODC always fails once.
198    * BUG 14984: Changing the machine password against an RODC likely destroys
199      the domain join.
200    * BUG 14993: authsam_make_user_info_dc() steals memory from its struct
201      ldb_message *msg argument.
202    * BUG 14995: Use Heimdal 8.0 (pre) rather than an earlier snapshot.
204 o  Joseph Sutton <josephsutton@catalyst.net.nz>
205    * BUG 14995: Use Heimdal 8.0 (pre) rather than an earlier snapshot.
208 CHANGES SINCE 4.16.0rc3
209 =======================
211 o  Samuel Cabrero <scabrero@suse.de>
212    * BUG 14979: Problem when winbind renews Kerberos.
214 o  Björn Jacke <bj@sernet.de>
215    * BUG 13631: DFS fix for AIX broken.
216    * BUG 14974: Solaris and AIX acl modules: wrong function arguments.
217    * BUG 7239: Function aixacl_sys_acl_get_file not declared / coredump.
219 o  Andreas Schneider <asn@samba.org>
220    * BUG 14967: Samba autorid fails to map AD users if id rangesize fits in the
221      id range only once.
223 o  Martin Schwenke <martin@meltin.net>
224    * BUG 14958: CTDB can get stuck in election and recovery.
227 CHANGES SINCE 4.16.0rc2
228 =======================
230 o  Jeremy Allison <jra@samba.org>
231    * BUG 14169: Renaming file on DFS root fails with
232      NT_STATUS_OBJECT_PATH_NOT_FOUND.
233    * BUG 14938: NT error code is not set when overwriting a file during rename
234      in libsmbclient.
236 o  Ralph Boehme <slow@samba.org>
237    * BUG 14674: net ads info shows LDAP Server: 0.0.0.0 depending on contacted
238      server.
240 o  Pavel Filipenský <pfilipen@redhat.com>
241    * BUG 14971: virusfilter_vfs_openat: Not scanned: Directory or special file.
243 o  Volker Lendecke <vl@samba.org>
244    * BUG 14900: Regression: Samba 4.15.2 on macOS segfaults intermittently
245      during strcpy in tdbsam_getsampwnam.
246    * BUG 14975: Fix a crash in vfs_full_audit - CREATE_FILE can free a used fsp.
248 o  Stefan Metzmacher <metze@samba.org>
249    * BUG 14968: smb2_signing_decrypt_pdu() may not decrypt with
250      gnutls_aead_cipher_decrypt() from gnutls before 3.5.2.
252 o  Andreas Schneider <asn@samba.org>
253    * BUG 14960: SDB uses HDB flags directly which can lead to unwanted side
254      effects.
257 CHANGES SINCE 4.16.0rc1
258 =======================
260 o  Jeremy Allison <jra@samba.org>
261    * BUG 14911: CVE-2021-44141: UNIX extensions in SMB1 disclose whether the
262      outside target of a symlink exists.
264 o  Ralph Boehme <slow@samba.org>
265    * BUG 14914: CVE-2021-44142: Out-of-Bound Read/Write on Samba vfs_fruit
266      module.
267    * BUG 14961: install elasticsearch_mappings.json
269 o  FeRD (Frank Dana) <ferdnyc@gmail.com>
270    * BUG 14947: samba-bgqd still notifying systemd, triggering log warnings
271      without NotifyAccess=all.
273 o  Stefan Metzmacher <metze@samba.org>
274    * BUG 14867: Printing no longer works on Windows 7 with 2021-10 monthly
275      rollup patch.
276    * BUG 14956: ndr_push_string() adds implicit termination for
277      STR_NOTERM|REMAINING empty strings.
279 o  Joseph Sutton <josephsutton@catalyst.net.nz>
280    * BUG 14950: CVE-2022-0336: Re-adding an SPN skips subsequent SPN conflict
281      checks.
284 KNOWN ISSUES
285 ============
287 https://wiki.samba.org/index.php/Release_Planning_for_Samba_4.16#Release_blocking_bugs
290 #######################################
291 Reporting bugs & Development Discussion
292 #######################################
294 Please discuss this release on the samba-technical mailing list or by
295 joining the #samba-technical IRC channel on irc.freenode.net.
297 If you do report problems then please try to send high quality
298 feedback. If you don't provide vital information to help us track down
299 the problem then you will probably be ignored.  All bug reports should
300 be filed under the Samba 4.1 and newer product in the project's Bugzilla
301 database (https://bugzilla.samba.org/).
304 ======================================================================
305 == Our Code, Our Bugs, Our Responsibility.
306 == The Samba Team
307 ======================================================================