ldb/tests: more thoroughly test empty ldb_msg elements
[Samba.git] / WHATSNEW.txt
blob5d49bb7953a65ce45899a0c11659b9cb80dc60f9
1 Release Announcements
2 =====================
4 This is the second release candidate of Samba 4.7.  This is *not*
5 intended for production environments and is designed for testing
6 purposes only.  Please report any defects via the Samba bug reporting
7 system at https://bugzilla.samba.org/.
9 Samba 4.7 will be the next version of the Samba suite.
12 UPGRADING
13 =========
15 smbclient changes
16 -----------------
18 smbclient no longer prints a 'Domain=[...] OS=[Windows 6.1] Server=[...]'
19 banner when connecting to the first server. With SMB2 and Kerberos
20 there's no way to print this information reliable. Now we avoid it at all
21 consistently. In interactive session the following banner is now presented
22 to the user: 'Try "help" do get a list of possible commands.'.
24 The default for "client max protocol" has changed to "SMB3_11",
25 which means that smbclient (and related commands) will work against
26 servers without SMB1 support.
28 It's possible to use the '-m/--max-protocol' option to overwrite
29 the "client max protocol" option temporary.
31 Note that the '-e/--encrypt' option also works with most SMB3 servers
32 (e.g. Windows >= 2012 and Samba >= 4.0.0), so the SMB1 unix extensions
33 are not required for encryption.
35 The change to SMB3_11 as default also  means smbclient no longer
36 negotiates SMB1 unix extensions by default, when talking to a Samba server with
37 "unix extensions = yes".  As a result some commands are not available, e.g.
38 posix_encrypt, posix_open, posix_mkdir, posix_rmdir, posix_unlink, posix_whoami,
39 getfacl and symlink. Using "-mNT1" reenabled them, if the server supports SMB1.
41 Note the default ("CORE") for "client min protocol" hasn't changed,
42 so it's still possible to connect to SMB1-only servers by default.
44 smbclient learned a new command "deltree" that is able to do
45 a recursive deletion of a directory tree.
48 NEW FEATURES/CHANGES
49 ====================
51 Whole DB read locks: Improved LDAP and replication consistency
52 --------------------------------------------------------------
54 Prior to Samba 4.7 and ldb 1.2.0, the LDB database layer used by Samba
55 erronously did not take whole-DB read locks to protect search
56 and DRS replication operations.
58 While each object returned remained subject to a record-level lock (so
59 would remain consistent to itself), under a race condition with a
60 rename or delete, it and any links (like the member attribute) to it
61 would not be returned.
63 The symptoms of this issue include:
65 Replication failures with this error showing in the client side logs:
66  error during DRS repl ADD: No objectClass found in replPropertyMetaData for
67  Failed to commit objects:
68  WERR_GEN_FAILURE/NT_STATUS_INVALID_NETWORK_RESPONSE
70 A crash of the server, in particular the rpc_server process with
71  INTERNAL ERROR: Signal 11
73 LDAP read inconsistency
74  A DN subject to a search at the same time as it is being renamed
75  may not appear under either the old or new name, but will re-appear
76  for a subsequent search.
78 See https://bugzilla.samba.org/show_bug.cgi?id=12858 for more details
79 and updated advise on database recovery for affected installations.
82 Samba AD with MIT Kerberos
83 --------------------------
85 After four years of development, Samba finally supports compiling and
86 running Samba AD with MIT Kerberos. You can enable it with:
88     ./configure --with-system-mitkrb5
90 Samba requires version 1.15.1 of MIT Kerberos to build with AD DC support.
91 The krb5-devel and krb5-server packages are required.
92 The feature set is not on par with with the Heimdal build but the most important
93 things, like forest and external trusts, are working. Samba uses the KDC binary
94 provided by MIT Kerberos.
96 Missing features, compared to Heimdal, are:
97   * PKINIT support
98   * S4U2SELF/S4U2PROXY support
99   * RODC support (not fully working with Heimdal either)
101 The Samba AD process will take care of starting the MIT KDC and it will load a
102 KDB (Kerberos Database) driver to access the Samba AD database.  When
103 provisioning an AD DC using 'samba-tool' it will take care of creating a correct
104 kdc.conf file for the MIT KDC. Note that 'samba-tool' will overwrite the system
105 kdc.conf by default. It is possible to use a different location during
106 provision. You should consult the 'samba-tool' help and smb.conf manpage for
107 details.
109 Dynamic RPC port range
110 ----------------------
112 The dynamic port range for RPC services has been changed from the old default
113 value 1024-1300 to 49152-65535. This port range is not only used by a
114 Samba AD DC but also applies to all other server roles including NT4-style
115 domain controllers. The new value has been defined by Microsoft in Windows
116 Server 2008 and newer versions. To make it easier for Administrators to control
117 those port ranges we use the same default and make it configurable with the
118 option: 'rpc server dynamic port range'.
120 The 'rpc server port' option sets the first available port from the new
121 'rpc server dynamic port range' option. The option 'rpc server port' only
122 applies to Samba provisioned as an AD DC.
124 Authentication and Authorization audit support
125 ----------------------------------------------
127 Detailed authentication and authorization audit information is now
128 logged to Samba's debug logs under the "auth_audit" debug class,
129 including in particular the client IP address triggering the audit
130 line.  Additionally, if Samba is compiled against the jansson JSON
131 library, a JSON representation is logged under the "auth_json_audit"
132 debug class.
134 Audit support is comprehensive for all authentication and
135 authorisation of user accounts in the Samba Active Directory Domain
136 Controller, as well as the implicit authentication in password
137 changes.  In the file server and classic/NT4 domain controller, NTLM
138 authentication, SMB and RPC authorization is covered, however password
139 changes are not at this stage, and this support is not currently
140 backed by a testsuite.
142 Multi-process LDAP Server
143 -------------------------
145 The LDAP server in the AD DC now honours the process model used for
146 the rest of the samba process, rather than being forced into a single
147 process.  This aids in Samba's ability to scale to larger numbers of AD
148 clients and the AD DC's overall resiliency, but will mean that there is a
149 fork()ed child for every LDAP client, which may be more resource
150 intensive in some situations.
152 Improved Read-Only Domain Controller (RODC) Support
153 ---------------------------------------------------
155 Support for RODCs in Samba AD until now has been experimental. With this latest
156 version, many of the critical bugs have been fixed and the RODC can be used in
157 DC environments requiring no writable behaviour. RODCs now correctly support
158 bad password lockouts and password disclosure auditing through the
159 msDS-RevealedUsers attribute.
161 The fixes made to the RWDC will also allow Windows RODC to function more
162 correctly and to avoid strange data omissions such as failures to replicate
163 groups or updated passwords. Password changes are currently rejected at the
164 RODC, although referrals should be given over LDAP. While any bad passwords can
165 trigger domain-wide lockout, good passwords which have not been replicated yet
166 for a password change can only be used via NTLM on the RODC (and not Kerberos).
168 The reliability of RODCs locating a writable partner still requires some
169 improvements and so the 'password server' configuration option is generally
170 recommended on the RODC.
172 Additional password hashes stored in supplementalCredentials
173 ------------------------------------------------------------
175 A new config option 'password hash userPassword schemes' has been added to
176 enable generation of SHA-256 and SHA-512 hashes (without storing the plaintext
177 password with reversible encryption). This builds upon previous work to improve
178 password sync for the AD DC (originally using GPG).
180 The user command of 'samba-tool' has been updated in order to be able to
181 extract these additional hashes, as well as extracting the (HTTP) WDigest
182 hashes that we had also been storing in supplementalCredentials.
184 Improvements to DNS during Active Directory domain join
185 -------------------------------------------------------
187 The 'samba-tool' domain join command will now add the A and GUID DNS records
188 (on both the local and remote servers) during a join if possible via RPC. This
189 should allow replication to proceed more smoothly post-join.
191 The mname element of the SOA record will now also be dynamically generated to
192 point to the local read-write server. 'samba_dnsupdate' should now be more
193 reliable as it will now find the appropriate name server even when resolv.conf
194 points to a forwarder.
196 Significant AD performance and replication improvements
197 -------------------------------------------------------
199 Previously, replication of group memberships was been an incredibly expensive
200 process for the AD DC. This was mostly due to unnecessary CPU time being spent
201 parsing member linked attributes. The database now stores these linked
202 attributes in sorted form to perform efficient searches for existing members.
203 In domains with a large number of group memberships, a join can now be
204 completed in half the time compared with Samba 4.6.
206 LDAP search performance has also improved, particularly in the unindexed search
207 case. Parsing and processing of security descriptors should now be more
208 efficient, improving replication but also overall performance.
210 Query record for open file or directory
211 ---------------------------------------
213 The record attached to an open file or directory in Samba can be
214 queried through the 'net tdb locking' command. In clustered Samba this
215 can be useful to determine the file or directory triggering
216 corresponding "hot" record warnings in ctdb.
218 Removal of lpcfg_register_defaults_hook()
219 -----------------------------------------
221 The undocumented and unsupported function lpcfg_register_defaults_hook()
222 that was used by external projects to call into Samba and modify
223 smb.conf default parameter settings has been removed. If your project
224 was using this call please raise the issue on
225 samba-technical@lists.samba.org in order to design a supported
226 way of obtaining the same functionality.
228 Change of loadable module interface
229 -----------------------------------
231 The _init function of all loadable modules in Samba has changed
232 from:
234 NTSTATUS _init(void);
238 NTSTATUS _init(TALLOC_CTX *);
240 This allows a program loading a module to pass in a long-lived
241 talloc context (which must be guaranteed to be alive for the
242 lifetime of the module). This allows modules to avoid use of
243 the talloc_autofree_context() (which is inherently thread-unsafe)
244 and still be valgrind-clean on exit. Modules that don't need to
245 free long-lived data on exit should use the NULL talloc context.
247 CTDB changes
248 ------------
250 * CTDB no longer allows mixed minor versions in a cluster
252   See the AllowMixedVersions tunable option in ctdb-tunables(7) and also
253   https://wiki.samba.org/index.php/Upgrading_a_CTDB_cluster#Policy
255 * CTDB now ignores hints from Samba about TDB flags when attaching to databases
257   CTDB will use the correct flags depending on the type of database.
258   For clustered databases, the smb.conf setting
259   dbwrap_tdb_mutexes:*=true will be ignored. Instead, CTDB continues
260   to use the TDBMutexEnabled tunable.
262 * New configuration variable CTDB_NFS_CHECKS_DIR
264   See ctdbd.conf(5) for more details.
266 * The CTDB_SERVICE_AUTOSTARTSTOP configuration variable has been
267   removed
269   To continue to manage/unmanage services while CTDB is running:
271   - Start service by hand and then flag it as managed
273   - Mark service as unmanaged and shut it down by hand
275   - In some cases CTDB does something fancy - e.g. start Samba under
276     "nice", so care is needed. One technique is to disable the
277     eventscript, mark as managed, run the startup event by hand and then
278     re-enable the eventscript.
280 * The CTDB_SCRIPT_DEBUGLEVEL configuration variable has been removed
282 * The example NFS Ganesha call-out has been improved
284 * A new "replicated" database type is available
286   Replicated databases are intended for CTDB's internal use to
287   replicate state data across the cluster, but may find other
288   uses. The data in replicated databases is valid for the lifetime of
289   CTDB and cleared on first attach.
291 Parameter changes
292 -----------------
294 The "strict sync" global parameter has been changed from
295 a default of "no" to "yes". This means smbd will by default
296 obey client requests to synchronize unwritten data in operating
297 system buffers safely onto disk. This is a safer default setting
298 for modern SMB1/2/3 clients.
300 The 'ntlm auth' option default is renamed to 'ntlmv2-only', reflecting
301 the previous behaviour.  Two new values have been provided,
302 'mschapv2-and-ntlmv2-only' (allowing MSCHAPv2 while denying NTLMv1)
303 and 'disabled', totally disabling NTLM authentication and password
304 changes.
306 smb.conf changes
307 ================
309   Parameter Name                     Description             Default
310   --------------                     -----------             -------
311   allow unsafe cluster upgrade       New parameter           no
312   auth event notification            New parameter           no
313   auth methods                       Deprecated
314   client max protocol                Effective               SMB3_11
315                                      default changed
316   map untrusted to domain            New value/              auto
317                                      Default changed/
318                                      Deprecated
319   mit kdc command                    New parameter
320   profile acls                       Deprecated
321   rpc server dynamic port range      New parameter           49152-65535
322   strict sync                        Default changed         yes
323   password hash userPassword schemes New parameter
324   ntlm auth                          New values              ntlmv2-only
327 KNOWN ISSUES
328 ============
330 https://wiki.samba.org/index.php/Release_Planning_for_Samba_4.7#Release_blocking_bugs
333 CHANGES SINCE 4.7.0rc1
334 ======================
336 o  Jeffrey Altman <jaltman@secure-endpoints.com>
337    * BUG 12894: CVE-2017-11103: Orpheus' Lyre KDC-REP service name validation
340 #######################################
341 Reporting bugs & Development Discussion
342 #######################################
344 Please discuss this release on the samba-technical mailing list or by
345 joining the #samba-technical IRC channel on irc.freenode.net.
347 If you do report problems then please try to send high quality
348 feedback. If you don't provide vital information to help us track down
349 the problem then you will probably be ignored.  All bug reports should
350 be filed under the Samba 4.1 and newer product in the project's Bugzilla
351 database (https://bugzilla.samba.org/).
354 ======================================================================
355 == Our Code, Our Bugs, Our Responsibility.
356 == The Samba Team
357 ======================================================================