fix from Brad Langhorst to correctly check if the primaryGroupID has been set
[Samba.git] / WHATSNEW.txt
blob4a3c3e1d0a80cfba1dda82e5400ba4becd24e791
1                    WHATS NEW IN Samba 3.0.0 RC3
2                           September 8, 2003
3                   ==============================
5 This is the third release candidate snapshot of Samba 3.0.0. A release 
6 candidate implies that the code is very close to a final release, remember 
7 that this is still a non-production release intended for testing purposes.  
8 Use at your own risk. 
10 The purpose of this release candidate is to get wider testing of the major
11 new pieces of code in the current Samba 3.0 development tree. 
12 Please refer to the section on "Known Issues" for more details.
15 Major new features:
16 -------------------
18 1)  Active Directory support.  Samba 3.0 is now able to  
19     join a ADS realm as a member server and authenticate 
20     users using LDAP/Kerberos.
22 2)  Unicode support. Samba will now negotiate UNICODE on the wire and
23     internally there is now a much better infrastructure for multi-byte
24     and UNICODE character sets.
26 3)  New authentication system. The internal authentication system has
27     been almost completely rewritten. Most of the changes are internal,
28     but the new auth system is also very configurable.
30 4)  New default filename mangling system.
32 5)  A new "net" command has been added. It is somewhat similar to 
33     the "net" command in windows. Eventually we plan to replace 
34     numerous other utilities (such as smbpasswd) with subcommands 
35     in "net".
37 6)  Samba now negotiates NT-style status32 codes on the wire. This
38     improves error handling a lot.
40 7)  Better Windows 2000/XP/2003 printing support including publishing 
41     printer attributes in active directory.
43 8)  New loadable module support for passdb backends and 
44     character sets.
46 9)  New default dual-daemon winbindd support for better performance.
48 10) Support for migrating from a Windows NT 4.0 domain to a Samba 
49     domain and maintaining user, group and domain SIDs.
51 11) Support for establishing trust relationships with Windows NT 4.0
52     domain controllers.
53   
54 12) Initial support for a distributed Winbind architecture using
55     an LDAP directory for storing SID to uid/gid mappings.
56   
57 13) Major updates to the Samba documentation tree.
59 14) Full support for client and server SMB signing to ensure
60     compatibility with default Windows 2003 security settings.
62 Plus lots of other improvements!
65 Additional Documentation
66 ------------------------
68 Please refer to Samba documentation tree (included in the docs/ 
69 subdirectory) for extensive explanations of installing, configuring
70 and maintaining Samba 3.0 servers and clients.  It is advised to 
71 begin with the Samba-HOWTO-Collection for overviews and specific 
72 tasks (the current book is up to approximately 400 pages) and to 
73 refer to the various man pages for information on individual options.
75 We are very glad to be able to include the second edition of
76 "Using Samba" by Jay Ts, Robert Eckstein, and David Collier-Brown
77 (O'Reilly & Associates) in this release.  The book is available
78 on-line at http://samba.org/samba/docs/ and is included with 
79 the Samba Web Administration Tool (SWAT).  Thanks to the authors and
80 publisher for making "Using Samba" under the GNU Free Documentation 
81 License.
84 ######################################################################
85 Changes since 3.0rc2
86 ####################
88 Please refer to the CVS log for the SAMBA_3_0 branch for complete 
89 details:
91 1)  Remove Perl module dependencies in generated RedHat 8/9 RPMS.
92 2)  Update mount helper to take synonyms for file_mode and 
93     dir_mode (fmask and dmask).
94 3)  Fix portability bug with log2pcaphex.
95 4)  Use different algorithm to generate codepages source code which 
96     allows to take gaps into account thus making unnecessary 
97     extended [index] = value, syntax in to_ucs2 array (bug 380).
98 5)  Fix comment strings to 43 bytes as per spec.
99 6)  Fix pam_winbind compile bug on FreeBSD (bug 261).
100 7)  Support for in-memory keytabs, which are needed to make heimdal 
101     work properly.  MIT does not support them, so this check will be 
102     used to decide whether to use them.  (partial fix for bug 372).
103 8)  Disable RC4-HMAC on broken heimdal setups.  (remainder of bug 
104     372).
105 9)  Correct bug in smbclient that resulted in errors when untarring
106     long filenames (bug 308).
107 10) Improve autoconf checks for PAM header files and libs.
108 11) Added fast path to convert_string() when dealing with 
109     ASCII->ASCII, UCS2-LE->ASCII, and ASCII->UCS2-LE with 
110     values <= 0x7F. 
111 12) Quiet debug messages when we don't find a module and it is not
112     a critical error (bug 375).
113 13) Fix UNIX passwd sync properly.
114 14) Fix more transitive trust issues in winbindd (bug 305).
115 15) Ensure that winbindd functions with 'disable netbios = yes'
116 16) Store the real short domain name in secrets.tdb as soon as we
117     know it.  Also display an error message when joining an AD
118     domain and the 'workgroup' parameter has not been specified.
119 17) Return 0 DFS links instead of -1 when dfs support is not enabled.
120 18) Update LDAP schema for Netscape DS 4.x and Novell eDirectory 8.7
121 19) Ensure that name types can be specified using name#type notation
122     in the 'net' command (bug 73).
123 20) Add retry looks to ADS sequence number and domain SID lookups 
124     (bug 364).
125 21) use a variant of alloc_sub_basic() for string lists such as 
126     'valid users', 'write list', and 'read list' (bug 397).
127 22) Fix seg fault when winbindd receives an error from the AD server
128     in response to an LDAP search (bug 282).
129 23) Update findsmb to use the new syntax for smbclient and nmblookup.
130 24) Fix bug that prevented variables from being used in explicitly 
131     defined path in [homes].
132 25) Only set SIDs when they're returned by the MySQL query 
133     (pdb_mysql.so).
134 26) Include support for NTLMv2 key exchange.
135 27) Revert default for 'client ntlmv2 auth' to off (bug 359).
136 28) Fix crash in winbindd when the trust account password gets 
137     changed underneath us via 'net rpc changetrustpw' (bug 382).
138 29) Use djb-algorithm string hash - faster than the tdb one we 
139     used to use.  Does not change on disk format or hashing location.
140 30) Implements some kind of improved AFS support for Samba on
141     Linux with OpenAFS 1.2.10. './configure --with-fake-kaserver'
142     assumes that you have OpenAFS on your machine.
143 31) When enumerating dfs shares loop from 0 to lp_numservices() instead 
144     of relying on lp_servicename(n) to return an empty string for 
145     invalid service numbers (bug 403).
146 32) Fix crash bug in 'net rpc samdump' (bug 334).
147 33) Fix crash bug in WINS NSS module (bug 299).
148 34) Fix a few minor compile errors on HP-UX.
152 Changes since 3.0rc1
153 ####################
155 1)  Add levels 261 and 262 to search. Found using Samba4 tester.
156 2)  Correct bad error return code in session setup reply
157 3)  Fix bug where smbd returned DOS error codes from SMBsearch
158     even when NT1 protocol was negotiated.
159 4)  Implement SMBexit properly.
160 5)  Return group lists from a Samba PDC to a Windows 9x/ME box
161     in implementing user level access control (bug 314).
162 6)  Prevent SWAT from crashing when adding shares (bug 254)
163 7)  Fix various documentation issues (bugs 304 & 214)
164 8)  Fix wins server listing in SWAT (bug 197)
165 9)  Fix problem in rpcclient that caused enumerating printer 
166     drivers to report failure (bug 294).
167 10) Use kerberos 5 authentication in our client code whenever possible
168 11) Fix schannel bug that caused Active Directory DC's to downgrade our
169     machine account to an NT member.
170 12) Implement missing SAMR_REMOVE_USER_FOREIGN_DOMAIN call (bug 252).
171 13) Implement automatic generation of include/version.h
172 14) Include initial version of smbldap-tool scripts for the Samba 
173     3.0 schema.
174 15) Implement numerous fixes for multi-byte character strings.
175 16) Enable 'unix extensions' parameter by default.
176 17) Make sure we set the SID type when falling back to the rid 
177     algorithm (bug 245).
178 18) Correct linking problems with pam_smbpass (bug 327).
179 19) Add SYSV defines for Irix and Solaris to ensure the 'printing'
180     parameter default to the correct value (bug 230)
181 20) Fix recursion bug in alloc_string_sub() (bug 289, et. al.)
182 21) Ensure that 'make install' includes the static and shared 
183     versions of the libsmbclient libraries.
184 22) Add CP850 and CP437 internal character set support (bug 150).
185 23) Add support to examples/LDAP/convertSambaAccount for generating
186     LDIF modify files instead of just add (303).
187 24) Fix support for -W option in smbclient (bug 39)
188 25) Remove 'ldap trust ids' parameter since it could not be supported
189     by the current architecture.
190 26) Don't crash when no argument is given to -T in smbclient (bug 345).
191 27) Ensure smbadduser contains the same paths for the smbpasswd file 
192     as the other Samba tools (bug 290).
193 28) Port of 'available = no' fix for [homes] from SAMBA_2_2 cvs tree.
194 29) Add sanity checks to DeletePrinterData[Ex]() and ensure that the
195     modified printer is written to disk.
196 30) Force winbindd to periodically update the trusted domain cache.
197 31) Remove outdated import/export script to convert an smbpasswd file
198     to and from and LDAP directory.  Use the pdbedit tool instead.
199 32) Ensure that %U substitution is restored on next valid packet
200     if a logon fails.
203 Changes since 3.0beta3
204 ######################
206 1)  Various memory leak fixes.
207 2)  Provide full support for SMB signing (server and client)
208 3)  Check for broken getgrouplist() in glibc.
209 4)  Don't get stuck in an infinite loop listing directories 
210     recursively if the server returns an empty directory name
211     (bug 222).
212 5)  Idle LDAP connections after 150 seconds.
213 6)  Patched make uninstallmodules (bug 236).
214 7)  Fix bug that caused smbd to return incomplete directory listings
215     when UNIX files contained MS wildcard characters.
216 8)  Quiet default debug messages in command line tools.
217 9)  Fixes to avoid panics on invalid multi-byte strings.
218 10) Fix error messages when creating a new smbpasswd file (bug 198).
219 11) Implemented better detection routines in autoconf scripts for 
220     locating ads support on the host OS.
221 12) Fix bug that caused libraries in /usr/local/lib to be ignored 
222     (bug 174).
223 13) Ensure winbindd_ads uses the correct realm or domain name when 
224     connecting to trusted DC.
225 14) Ensure a correct prototype is created for snprintf() (bug 187)
226 15) Stop files being created on read-only shares in some circumstances.
227 16) Fix wbinfo -p (bug 251)
228 17) Support schannel on any tcp/ip connection if necessary
229 18) Correct bug in user_in_list() so that it works with winbind groups 
230     again.
231 19) Ensure the schannel bind credentials default to the domain 
232     of the destination host.
233 20) Default password expiration time in account_pol.tdb to never 
234     expire.  Remove any existing account_pol.tdb file to reset
235     the new default policy (bug 184). 
236 21) Add buttons to SWAT to change the view of smb.conf (bug 212)
237 22) Fix incorrect checks that determine whether or not the 'add user 
238     script' has been set.
239 23) More cleanup for internal character set conversions.
240 24) Fixes for multi-byte strings in stat cache code.
241 25) Ensure that the net command honors the 'workgroup' parameter 
242     in smb.conf when not overridden from the command line.
243 26) Add gss-spnego support to the ntlm_auth tool.
244 27) Add vfs_default_quota VFS module.
245 28) Added server support for NT quota interfaces.
246 29) Prevent Krb5 replay attacks by adding a replay_cache.
247 30) Fix problems with winbindd and transitive trusts in AD domains.
248 31) Added -S to client tools for setting SMB signing options on the 
249     command line.
250 32) Fix bug causing the 'passwd change program' to be called as the 
251     connected user and not root.
252 33) Fixed data corruption bug in byte-range locking (e.g. affected MS Excel).
253 34) Support winbindd on FreeBSD is possible.
254 35) Look at only the first OID in the security blob sent in the session 
255     setup request to determine the token type.
256 36) Only push locks onto a blocking lock queue if the posix lock failed with 
257     EACCES or EAGAIN (this means another lock conflicts). Else return an 
258     error and don't queue the request.
259 37) Fix command line argument processing for smbtar.
260 38) Correct issue that caused smbd to return generic unix_user.<uid> 
261     for lookupsid().
262 39) Default to algorithmic mapping when generating a rid for a group
263     mapping.
264 40) Expand %g and %G in logon script, profile path, etc... during
265     a domain logon (bug 208).
266 41) Make sure smbclient obeys '-s <config>'
267 42) Added win2k3 shadow copy operations to VFS interface.
268 43) Allow connections to samba domain member as SERVER\user (don't
269     always default to DOMAIN\user).
270 44) Remove checks in winbindd that caused it to attempt to use 
271     non-transitive trust relationships.
272 45) Remove delays in winbindd caused by invalid DNS lookups.
273 46) Fix supplementary group memberships on systems with slightly 
274     broken NSS implementations (bug 267).
275 47) Correct issue that prevented smbclient from viewing shares on 
276     a win2k server when using a non-anonymous connection (bug 284).
277 48) Add --domain=DOMAIN_NAME to wbinfo for limiting operations like 
278     'wbinfo -u' to a single domain.  The '.' character represents 
279     our domain.
280 49) Fix group enumeration bug when using an LDAP directory for 
281     storing group mappings.
282 50) Default to use NTLMv2 if available.  Fallback to not use LM/NTLM
283     when the extended security capability bit is not set.
284 51) Fix crash in 'wbinfo -a' when using extended characters in the 
285     username (bug 269).
286 52) Fix multi-byte strupper() panics (bug 205).
287 53) Add vfs_readonly VFS module.
288 54) Make sure to initialize the sambaNextUserRid and sambaNextGroupRid
289     attributes when using 'idmap backend = ldap' (bug 280).
290 55) Make sure that users shared between a Samba PDC and member 
291     samba server are seen as domain users and not local users on the 
292     domain member.
293 56) Fix Query FS Info level 2.
294 57) Allow enumeration of users and groups by win9x "file server" (bug 
295     286).
296 58) Create symlinks during install for modules that support mutliple
297     functions (bug 91).
298 59) More iconv detection fixes.
299 60) Fix path length error in vfs_recycle module (bug 291).
300 61) Added server support for the LSA_DS UUID on the \lsarpc pipe.
301     (server DsRoleGetPrimaryDomainInfo() is currently disabled).
302 62) Fix SMBseek and get/set position calls.
303 62) Fix SetFileInfo level 1.
304 63) Added tool to convert smbd log file to a pcap file (log2pcaphex).
308 Changes since 3.0beta2
309 ######################
311 1)  Added fix for Japanese case names in statcache code; 
312     these can change size on upper casing.
313 2)  Correct issues with iconv detection in configure script
314     (support needed to find iconv libraries on FreeBSD).
315 3)  Fix bug that caused a WINS server to be marked as dead
316     incorrectly (bug #190).
317 4)  Removing additional deadlocks conditions that prevented 
318     winbindd from running on a Samba PDC (used for trust 
319     relationships).
320 5)  Add support for searching for Active Directory for 
321     published printers (net ads printer search).
322 6)  Separate UNIX username from DOMAIN\username in pipe 
323     credentials.
324 7)  Auth modules now support returning NT_STATUS_NOT_IMPLEMENTED
325     for cases that they cannot handle.
326 8)  Flush winbindd connection cache when the machine trust account
327     password is changed while a connection is open (bug #200).
328 9)  Add support for 'OSVersion' server printer data string
329     (corrects problem with uploading printer drivers from 
330     WinXP clients).
331 10) Numerous memory leak fixes.
332 11) LDAP fixes ("passdb backend = ldapsam" & "idmap backend = ldap"):
333     - Store domain SID in LDAP directory.
334     - store idmap information in existing entries (use sambaSID=... 
335       if adding a new entry).
336 12) Fix incorrect usage of primary group SID when looking up user 
337     groups (bug #109).
338 13) Remove idmap_XX_to_XX calls from smbd.  Move back to the the
339     winbind_XXX and local_XXX calls used in 2.2.
340 14) All uid/gid allocation must involve winbindd now (we do not 
341     attempt to map unknown SIDs to a UNIX identify).
342 15) Add 'winbind trusted domains only' parameter to force a domain
343     member.  The server to use matching users names from /etc/passwd 
344     for its domain   (needed for domain member of a Samba domain).
345 16) Rename 'idmap only' to 'enable rid algorithm' for better clarity 
346     (defaults to "yes").
347 17) Add support for multi-byte statcache code (bug #185)
348 18) Fix open mode race condition.
349 19) Implement winbindd local account management functions.  Refer to
350     the "Winbind Changes" section for details.
351 20) Move RID allocation functions into idmap backend.
352 21) Fix parsing error that prevented publishing printers from a 
353     Samba server in an AD domain.
354 22) Revive NTLMSSP support for named pipes.
355 23) More SCHANNEL fixes.
356 24) Correct SMB signing with NTLMSSP.
357 25) Fix coherency bug in print handle/printer object caching code
358     that could cause XP clients to infinitely loop while updating 
359     their local printer cache.
360 26) Make winbindd use its dual-daemon mode by default (use -Y to 
361     start as a single process).
362 27) Add support to nmbd and winbindd for 'smbcontrol <pid> 
363     reload-config'.
364 28) Correct problem with smbtar when dealing with files > 8Gb 
365     (bug #102).
369 Changes since 3.0beta1
370 ######################
372 1)  Rework our smb signing code again, this factors out some of 
373     the common MAC calculation code, and now supports multiple 
374     outstanding packets (bug #40).
375 2)  Enforce 'client plaintext auth', 'client lanman auth' and 'client
376     ntlmv2 auth'.
377 3)  Correct timestamp problem on 64-bit machines (bug #140).
378 4)  Add extra debugging statements to winbindd for tracking down
379     failures.
380 5)  Fix bug when aliased 'winbind uid/gid' parameters are used.
381     ('winbind uid/gid' are now replaced with 'idmap uid/gid').
382 6)  Added an auth flag that indicates if we should be allowed 
383     to fall back to NTLMSSP for SASL if krb5 fails.
384 7)  Fixed the bug that forced us not to use the winbindd cache when 
385     we have a primary ADS domain and a secondary (trusted) NT4 
386     domain. 
387 8)  Use lp_realm() to find the default realm for 'net ads password'.
388 9)  Removed editreg from standard build until it is portable..
389 10) Fix domain membership for servers not running winbindd.
390 11) Correct race condition in determining the high water mark
391     in the idmap backend (bug #181).
392 12) Set the user's primary unix group from usrmgr.exe (partial 
393     fix for bug #45).
394 13) Show comments when doing 'net group -l' (bug #3).
395 14) Add trivial extension to 'net' to dump current local idmap
396     and restore mappings as well.
397 15) Modify 'net rpc vampire' to add new and existing users to
398     both the idmap and the SAM.  This code needs further testing.
399 16) Fix crash bug in ADS searches.
400 17) Build libnss_wins.so as part of nsswitch target (bug #160).
401 18) Make net rpc vampire return an error if the sam sync RPC 
402     returns an error.
403 19) Fail to join an NT 4 domain as a BDC if a workstation account
404     using our name exists.
405 20) Fix various memory leaks in server and client code
406 21) Remove the short option to --set-auth-user for wbinfo (-A) to 
407     prevent confusion with the -a option (bug #158).
408 22) Added new 'map acl inherit' parameter.
409 23) Removed unused 'privileges' code from group mapping database.
410 24) Don't segfault on empty passdb backend list (bug #136).
411 25) Fixed acl sorting algorithm for Windows 2000 clients.
412 26) Replace universal group cache with netsamlogon_cache 
413     from APPLIANCE_HEAD branch.
414 27) Fix autoconf detection issues surrounding --with-ads=yes
415     but no Krb5 header files installed (bug #152).
416 28) Add LDAP lookup for domain sequence number in case we are 
417     joined using NT4 protocols to a native mode AD domain.
418 29) Fix backend method selection for trusted NT 4 (or 2k 
419     mixed mode) domains. 
420 30) Fixed bug that caused us to enumerate domain local groups
421     from native mode AD domains other than our own.
422 31) Correct group enumeration for viewing in the Windows 
423     security tab (bug #110).
424 32) Consolidate the DC location code.
425 33) Moved 'ads server' functionality into 'password server' for
426     backwards compatibility.
427 34) Fix winbindd_idmap tdb upgrades from a 2.2 installation.
428     ( if you installed beta1, be sure to 
429       'mv idmap.tdb winbindd_idmap.tdb' ).
430 35) Fix pdb_ldap segfaults, and wrong default values for 
431     ldapsam_compat.
432 36) Enable negative connection cache for winbindd's ADS backend 
433     functions.
434 37) Enable address caching for active directory DC's so we don't 
435     have to hit DNS so much.
436 38) Fix bug in idmap code that caused mapping to randomly be 
437     redefined.
438 39) Add tdb locking code to prevent race condition when adding a 
439     new mapping to idmap.
440 40) Fix 'map to guest = bad user' when acting as a PDC supporting 
441     trust relationships.
442 41) Prevent deadlock issues when running winbindd on a Samba PDC 
443     to handle allocating uids & gids for trusted users and groups
444 42) added LOCALE patch from Steve Langasek (bug #122).
445 43) Add the 'guest' passdb backend automatically to the end of 
446     the 'passdb backend' list if 'guest account' has a valid 
447     username.
448 44) Remove samstrict_dc auth method.  Rework 'samstrict' to only 
449     handle our local names (or domain name if we are a PDC).  
450     Move existing permissive 'sam' method to 'sam_ignoredomain' 
451     and make 'samstrict' the new default 'sam' auth method.
452 45) Match Windows NT4/2k behavior when authenticating a user with
453     and unknown domain (default to our domain if we are a DC or 
454     domain member; default to our local name if we are a 
455     standalone server).
456 46) Fix Get_Pwnam() to always fall back to lookup 'user' if the 
457     'DOMAIN\user' lookup fails.  This matches 2.2. behavior.
458 47) Fix the trustdom_cache code to update the list of trusted 
459     domains when operating as a domain member and not using 
460     winbindd.
461 48) Remove 'nisplussam' passdb backend since it has suffered for 
462     too long without a maintainer.
463     
467 ######################################################################
468 Upgrading from a previous Samba 3.0 beta
469 ########################################
471 Beginning with Samba 3.0.0beta3, the RID allocation functions
472 have been moved into winbindd.  Previously these were handled
473 by each passdb backend.  This means that winbindd must be running
474 to automatically allocate RIDs for users and/or groups.  Otherwise,
475 smbd will use the 2.2 algorithm for generating new RIDs.
477 If you are using 'passdb backend = tdbsam' with a previous Samba 
478 3.0 beta release (or possibly alpha), it may be necessary to 
479 move the RID_COUNTER entry from /usr/local/samba/private/passdb.tdb
480 to winbindd_idmap.tdb.  To do this:
482 1)  Ensure that winbindd_idmap.tdb exists (launch winbindd at least 
483     once)
484 2)  build tdbtool by executing 'make tdbtool' in the source/tdb/ 
485     directory
486 3)  run: (note that 'tdb>' is the tool's prompt for input)
488        root# ./tdbtool /usr/local/samba/private/passdb.tdb
489        tdb> show RID_COUNTER
490        key 12 bytes
491        RID_COUNTER
492        data 4 bytes
493        [000] 0A 52 00 00                                       .R.
495        tdb> move RID_COUNTER /usr/local/samba/var/locks/winbindd_idmap.tdb
496        ....
497        record moved
499 If you are using 'passdb backend = ldapsam', it will be necessary to 
500 store idmap entries in the LDAP directory as well (i.e. idmap backend 
501 = ldap).  Refer to the 'net idmap' command for more information on 
502 migrating SID<->UNIX id mappings from one backend to another.
504 If the RID_COUNTER record does not exist, then these instructions are
505 unneccessary and the new RID_COUNTER record will be correctly generated
506 if needed.  
510 ########################
511 Upgrading from Samba 2.2
512 ########################
514 This section is provided to help administrators understand the details
515 involved with upgrading a Samba 2.2 server to Samba 3.0.
518 Building
519 --------
521 Many of the options to the GNU autoconf script have been modified 
522 in the 3.0 release.  The most noticeable are:
524   * removal of --with-tdbsam (is now included by default; see section
525     on passdb backends and authentication for more details)
526     
527   * --with-ldapsam is now on used to provided backward compatible
528     parameters for LDAP enabled Samba 2.2 servers.  Refer to the passdb 
529     backend and authentication section for more details
530   
531   * inclusion of non-standard passdb modules may be enabled using
532     --with-expsam.  This includes an XML backend and a mysql backend.
533       
534   * removal of --with-msdfs (is now enabled by default)
535   
536   * removal of --with-ssl (no longer supported)
537   
538   * --with-utmp now defaults to 'yes' on supported systems
539   
540   * --with-sendfile-support is now enabled by default on supported 
541     systems
542   
543     
544 Parameters
545 ----------
547 This section contains a brief listing of changes to smb.conf options
548 in the 3.0.0 release.  Please refer to the smb.conf(5) man page for
549 complete descriptions of new or modified parameters.
551 Removed Parameters (order alphabetically):
553   * admin log
554   * alternate permissions
555   * character set
556   * client codepage
557   * code page directory
558   * coding system
559   * domain admin group
560   * domain guest group
561   * force unknown acl user
562   * nt smb support
563   * post script
564   * printer driver
565   * printer driver file
566   * printer driver location
567   * status
568   * total print jobs
569   * use rhosts
570   * valid chars
571   * vfs options
573 New Parameters (new parameters have been grouped by function):
575   Remote management
576   -----------------
577   * abort shutdown script
578   * shutdown script
580   User and Group Account Management
581   ---------------------------------
582   * add group script
583   * add machine script
584   * add user to group script
585   * algorithmic rid base
586   * delete group script
587   * delete user from group script
588   * passdb backend
589   * set primary group script
591   Authentication
592   --------------
593   * auth methods
594   * realm
596   Protocol Options
597   ----------------
598   * client lanman auth
599   * client NTLMv2 auth
600   * client schannel
601   * client signing
602   * client use spnego
603   * disable netbios
604   * ntlm auth
605   * paranoid server security
606   * server schannel
607   * server signing
608   * smb ports
609   * use spnego
611   File Service
612   ------------
613   * get quota command
614   * hide special files
615   * hide unwriteable files
616   * hostname lookups
617   * kernel change notify
618   * mangle prefix
619   * map acl inherit
620   * msdfs proxy
621   * set quota command
622   * use sendfile
623   * vfs objects
624   
625   Printing
626   --------
627   * max reported print jobs
629   UNICODE and Character Sets
630   --------------------------
631   * display charset
632   * dos charset
633   * unicode
634   * unix charset
635   
636   SID to uid/gid Mappings
637   -----------------------
638   * idmap backend
639   * idmap gid
640   * idmap uid
641   * winbind enable local accounts
642   * winbind trusted domains only
643   * template primary group
644   * enable rid algorithm
646   LDAP
647   ----
648   * ldap delete dn
649   * ldap group suffix
650   * ldap idmap suffix
651   * ldap machine suffix
652   * ldap passwd sync
653   * ldap user suffix
654   
655   General Configuration
656   ---------------------
657   * preload modules
658   * privatedir
660 Modified Parameters (changes in behavior):
662   * encrypt passwords (enabled by default)
663   * mangling method (set to 'hash2' by default)
664   * passwd chat
665   * passwd program
666   * restrict anonymous (integer value)
667   * security (new 'ads' value)
668   * strict locking (enabled by default)
669   * unix extensions (enabled by default)
670   * winbind cache time (increased to 5 minutes)
671   * winbind uid (deprecated in favor of 'idmap uid')
672   * winbind gid (deprecated in favor of 'idmap gid')
675 Databases
676 ---------
678 This section contains brief descriptions of any new databases 
679 introduced in Samba 3.0.  Please remember to backup your existing 
680 ${lock directory}/*tdb before upgrading to Samba 3.0.  Samba will 
681 upgrade databases as they are opened (if necessary), but downgrading 
682 from 3.0 to 2.2 is an unsupported path.
684 Name                    Description                             Backup?
685 ----                    -----------                             -------
686 account_policy          User policy settings                    yes
687 gencache                Generic caching db                      no
688 group_mapping           Mapping table from Windows              yes
689                         groups/SID to unix groups       
690 winbindd_idmap          ID map table from SIDS to UNIX          yes
691                         uids/gids.
692 namecache               Name resolution cache entries           no
693 netsamlogon_cache       Cache of NET_USER_INFO_3 structure      no
694                         returned as part of a successful
695                         net_sam_logon request 
696 printing/*.tdb          Cached output from 'lpq                 no
697                         command' created on a per print 
698                         service basis
699 registry                Read-only samba registry skeleton       no
700                         that provides support for exporting
701                         various db tables via the winreg RPCs
704 Changes in Behavior
705 -------------------
707 The following issues are known changes in behavior between Samba 2.2 and 
708 Samba 3.0 that may affect certain installations of Samba.
710   1)  When operating as a member of a Windows domain, Samba 2.2 would 
711       map any users authenticated by the remote DC to the 'guest account'
712       if a uid could not be obtained via the getpwnam() call.  Samba 3.0
713       rejects the connection as NT_STATUS_LOGON_FAILURE.  There is no 
714       current work around to re-establish the 2.2 behavior.
715       
716   2)  When adding machines to a Samba 2.2 controlled domain, the 
717       'add user script' was used to create the UNIX identity of the 
718       machine trust account.  Samba 3.0 introduces a new 'add machine 
719       script' that must be specified for this purpose.  Samba 3.0 will
720       not fall back to using the 'add user script' in the absence of 
721       an 'add machine script'
722   
724 ######################################################################
725 Passdb Backends and Authentication
726 ##################################
728 There have been a few new changes that Samba administrators should be
729 aware of when moving to Samba 3.0.
731   1) encrypted passwords have been enabled by default in order to 
732      inter-operate better with out-of-the-box Windows client 
733      installations.  This does mean that either (a) a samba account
734      must be created for each user, or (b) 'encrypt passwords = no'
735      must be explicitly defined in smb.conf.
736     
737   2) Inclusion of new 'security = ads' option for integration 
738      with an Active Directory domain using the native Windows
739      Kerberos 5 and LDAP protocols.
741      MIT kerberos 1.3.1 supports the ARCFOUR-HMAC-MD5 encryption 
742      type which is neccessary for servers on which the 
743      administrator password has not been changed, or kerberos-enabled 
744      SMB connections to servers that require Kerberos SMB signing.
745      Besides this one difference, either MIT or Heimdal Kerberos
746      distributions are usable by Samba 3.0.
747      
749 Samba 3.0 also includes the possibility of setting up chains
750 of authentication methods (auth methods) and account storage 
751 backends (passdb backend).  Please refer to the smb.conf(5) 
752 man page for details.  While both parameters assume sane default 
753 values, it is likely that you will need to understand what the 
754 values actually mean in order to ensure Samba operates correctly.
756 The recommended passdb backends at this time are
758   * smbpasswd - 2.2 compatible flat file format
759   * tdbsam - attribute rich database intended as an smbpasswd
760     replacement for stand alone servers
761   * ldapsam - attribute rich account storage and retrieval 
762     backend utilizing an LDAP directory.  
763   * ldapsam_compat - a 2.2 backward compatible LDAP account 
764     backend
765     
766 Certain functions of the smbpasswd(8) tool have been split between the 
767 new smbpasswd(8) utility, the net(8) tool, and the new pdbedit(8) 
768 utility.  See the respective man pages for details.
769     
770      
771 ######################################################################
772 LDAP
773 ####
775 This section outlines the new features affecting Samba / LDAP 
776 integration.
778 New Schema
779 ----------
780   
781 A new object class (sambaSamAccount) has been introduced to replace 
782 the old sambaAccount.  This change aids us in the renaming of attributes 
783 to prevent clashes with attributes from other vendors.  There is a 
784 conversion script (examples/LDAP/convertSambaAccount) to modify and LDIF 
785 file to the new schema.
786   
787 Example:
788   
789         $ ldapsearch .... -b "ou=people,dc=..." > old.ldif
790         $ convertSambaAccount <DOM SID> old.ldif new.ldif
791         
792 The <DOM SID> can be obtained by running 'net getlocalsid <DOMAINNAME>' 
793 on the Samba PDC as root.
794     
795 The old sambaAccount schema may still be used by specifying the 
796 "ldapsam_compat" passdb backend.  However, the sambaAccount and
797 associated attributes have been moved to the historical section of
798 the schema file and must be uncommented before use if needed.
799 The 2.2 object class declaration for a sambaAccount has not changed
800 in the 3.0 samba.schema file. 
801   
802 Other new object classes and their uses include:
803   
804   * sambaDomain - domain information used to allocate rids 
805     for users and groups as necessary.  The attributes are added
806     in 'ldap suffix' directory entry automatically if 
807     an idmap uid/gid range has been set and the 'ldapsam'
808     passdb backend has been selected.
809       
810   * sambaGroupMapping - an object representing the 
811     relationship between a posixGroup and a Windows
812     group/SID.  These entries are stored in the 'ldap 
813     group suffix' and managed by the 'net groupmap' command.
814     
815   * sambaUnixIdPool - created in the 'ldap idmap suffix' entry 
816     automatically and contains the next available 'idmap uid' and 
817     'idmap gid'
818     
819   * sambaIdmapEntry - object storing a mapping between a 
820     SID and a UNIX uid/gid.  These objects are created by the 
821     idmap_ldap module as needed.
823   * sambaSidEntry - object representing a SID alone, as a Structural
824     class on which to build the sambaIdmapEntry.
826     
827 New Suffix for Searching
828 ------------------------
829   
830 The following new smb.conf parameters have been added to aid in directing
831 certain LDAP queries when 'passdb backend = ldapsam://...' has been
832 specified.
834   * ldap suffix         - used to search for user and computer accounts
835   * ldap user suffix    - used to store user accounts
836   * ldap machine suffix - used to store machine trust accounts
837   * ldap group suffix   - location of posixGroup/sambaGroupMapping entries
838   * ldap idmap suffix   - location of sambaIdmapEntry objects
840 If an 'ldap suffix' is defined, it will be appended to all of the 
841 remaining sub-suffix parameters.  In this case, the order of the suffix
842 listings in smb.conf is important.  Always place the 'ldap suffix' first
843 in the list.  
845 Due to a limitation in Samba's smb.conf parsing, you should not surround 
846 the DN's with quotation marks.
849 IdMap LDAP support
850 ------------------
852 Samba 3.0 supports an ldap backend for the idmap subsystem.  The 
853 following options would inform Samba that the idmap table should be
854 stored on the directory server onterose in the "ou=idmap,dc=plainjoe,
855 dc=org" partition.
857  [global]
858     ...
859     idmap backend     = ldap:ldap://onterose/
860     ldap idmap suffix = ou=idmap,dc=plainjoe,dc=org
861     idmap uid         = 40000-50000
862     idmap gid         = 40000-50000
864 This configuration allows winbind installations on multiple servers to
865 share a uid/gid number space, thus avoiding the interoperability problems
866 with NFS that were present in Samba 2.2.
867     
870 ######################################################################
871 Trust Relationships and a Samba Domain
872 ######################################
874 Samba 3.0.0beta2 is able to utilize winbindd as the means of 
875 allocating uids and gids to trusted users and groups.  More
876 information regarding Samba's support for establishing trust 
877 relationships can be found in the Samba-HOWTO-Collection included
878 in the docs/ directory of this release.
880 First create your Samba PDC and ensure that everything is 
881 working correctly before moving on the trusts.
883 To establish Samba as the trusting domain (named SAMBA) from a Windows NT
884 4.0 domain named WINDOWS:
886   1) create the trust account for SAMBA in "User Manager for Domains"
887   2) connect the trust from the Samba domain using
888      'net rpc trustdom establish GLASS'
890 To create a trustlationship with SAMBA as the trusted domain:
892   1) create the initial trust account for GLASS using
893      'smbpasswd -a -i GLASS'.  You may need to create a UNIX
894      account for GLASS$ prior to this step (depending on your
895      local configuration).
896   2) connect the trust from a WINDOWS DC using "User Manager
897      for Domains"
899 Now join winbindd on the Samba PDC to the SAMBA domain using
900 the normal steps for adding a Samba server to an NT4 domain:
901 (note that smbd & nmbd must be running at this point)
903    root# net rpc join -U root
904    Password: <enter root password from smbpasswd file here>
906 Start winbindd and test the join with 'wbinfo -t'.
908 Now test the trust relationship by connecting to the SAMBA DC
909 (e.g. POGO) as a user from the WINDOWS domain:
911    $ smbclient //pogo/netlogon -U Administrator -W WINDOWS
912    Password:
914 Now connect to the WINDOWS DC (e.g. CRYSTAL) as a Samba user:
916    $ smbclient //crystal/netlogon -U root -W WINDOWS
917    Password:
919 ######################################################################
920 Changes in Winbind
921 ##################
923 Beginning with Samba3.0.0beta3, winbindd has been given new account
924 manage functionality equivalent to the 'add user script' family of
925 smb.conf parameters.  The idmap design has also been changed to 
926 centralize control of foreign SID lookups and matching to UNIX 
927 uids and gids.
930 Brief Description of Changes
931 ----------------------------
933 1) The sid_to_uid() family of functions (smbd/uid.c) have been 
934    reverted to the 2.2.x design.  This means that when resolving a 
935    SID to a UID or similar mapping:
937         a) First consult winbindd
938         b) perform a local lookup only if winbindd fails to
939            return a successful answer
941    There are some variations to this, but these two rules generally
942    apply.
944 2) All idmap lookups have been moved into winbindd.  This means that
945    a server must run winbindd (and support NSS) in order to achieve
946    any mappings of SID to dynamically allocated UNIX ids.  This was
947    a conscious design choice.
949 3) New functions have been added to winbindd to emulate the 'add user 
950    script' family of smbd functions without requiring that external
951    scripts be defined.  This functionality is controlled by the 'winbind 
952    enable local accounts' smb.conf parameter (enabled by default).
954    However, this account management functionality is only supported 
955    in a local tdb (winbindd_idmap.tdb).  If these new UNIX accounts 
956    must be shared among multiple Samba servers (such as a PDC and BDCs), 
957    it will be necessary to define your own 'add user script', et. al.
958    programs that place the accounts/groups in some form of directory
959    such as NIS or LDAP.  This requirement was deemed beyond the scope
960    of winbind's account management functions.  Solutions for 
961    distributing UNIX system information have been deployed and tested 
962    for many years.  We saw no need to reinvent the wheel.
964 4) A member of a Samba controlled domain running winbindd is now able 
965    to map domain users directly onto existing UNIX accounts while still
966    automatically creating accounts for trusted users and groups.  This
967    behavior is controlled by the 'winbind trusted domains only' smb.conf
968    parameter (disabled by default to provide 2.2.x winbind behavior).
970 5) Group mapping support is wrapped in the local_XX_to_XX() functions
971    in smbd/uid.c.  The reason that group mappings are not included
972    in winbindd is because the purpose of Samba's group map is to
973    match any Windows SID with an existing UNIX group.  These UNIX
974    groups can be created by winbindd (see next section), but the
975    SID<->gid mapping is retreived by smbd, not winbindd.
978 Examples
979 --------
981 * security = server running winbindd to allocate accounts on demand
983 * Samba PDC running winbindd to handle the automatic creation of UNIX
984   identities for machine trust accounts
986 * Automtically creating UNIX user and groups when migrating a Windows NT
987   4.0 PDC to a Samba PDC.  Winbindd must be running when executing
988   'net rpc vampire' for this to work.
990    
991 ######################################################################
992 Known Issues
993 ############
995 * There are several bugs currently logged against the 3.0 codebase
996   that affect the use of NT 4.0 GUI domain management tools when run
997   against a Samba 3.0 PDC.  This bugs should be released in an early 
998   3.0.x release.
1000 Please refer to https://bugzilla.samba.org/ for a current list of bugs 
1001 filed against the Samba 3.0 codebase.
1004 ######################################################################
1005 Reporting bugs & Development Discussion
1006 #######################################
1008 Please discuss this release on the samba-technical mailing list or by
1009 joining the #samba-technical IRC channel on irc.freenode.net.
1011 If you do report problems then please try to send high quality
1012 feedback. If you don't provide vital information to help us track down
1013 the problem then you will probably be ignored.  
1015 A new bugzilla installation has been established to help support the 
1016 Samba 3.0 community of users.  This server, located at 
1017 https://bugzilla.samba.org/, has replaced the older jitterbug server 
1018 previously located at http://bugs.samba.org/.