WHATSNEW.txt

   1 Release Announcements
   2 =====================
   3
   4 This is the first pre release of Samba 4.19.  This is *not*
   5 intended for production environments and is designed for testing
   6 purposes only.  Please report any defects via the Samba bug reporting
   7 system at https://bugzilla.samba.org/.
   8
   9 Samba 4.19 will be the next version of the Samba suite.
  10
  11
  12 UPGRADING
  13 =========
  14
  15
  16 NEW FEATURES/CHANGES
  17 ====================
  18
  19 Migrated smbget to use common command line parser
  20 -------------------------------------------------
  21
  22 The smbget utility implemented its own command line parsing logic. After
  23 discovering an issue we decided to migrate it to use the common command line
  24 parser. This has some advantages as you get all the feature it provides like
  25 Kerberos authentication. The downside is that breaks the options interface.
  26 The support for smbgetrc has been removed. You can use an authentication file
  27 if needed, this is documented in the manpage.
  28
  29 Please check the smbget manpage or --help output.
  30
  31 gpupdate changes
  32 ----------------
  33
  34 The libgpo.get_gpo_list function has been deprecated in favor of
  35 an implementation written in python. The new function can be imported via
  36 `import samba.gp`. The python implementation connects to Active Directory
  37 using the SamDB module, instead of ADS (which is what libgpo uses).
  38
  39 Improved winbind logging and a new tool for parsing the winbind logs
  40 --------------------------------------------------------------------
  41
  42 Winbind logs (if smb.conf 'winbind debug traceid = yes' is set) contain new
  43 trace header fields 'traceid' and 'depth'.  Field 'traceid' allows to track the
  44 trace records belonging to the same request.  Field 'depth' allows to track the
  45 request nesting level. A new tool samba-log-parser is added for better log
  46 parsing.
  47
  48 AD database prepared to FL 2016 standards for new domains
  49 ---------------------------------------------------------
  50
  51 While Samba still provides only Functional Level 2008R2 by default,
  52 Samba as an AD DC will now, in provision ensure that the blank
  53 database is already prepared for Functional Level 2016, with AD Schema
  54 2019.
  55
  56 This preparation is of the default objects in the database, adding
  57 containers for Authentication Policies, Authentication Silos and AD
  58 claims in particular.  These DB objects must be updated to allow
  59 operation of the new features found in higher functional levels.
  60
  61 Kerberos Claims, Authentication Silos and NTLM authentication policies
  62 ----------------------------------------------------------------------
  63
  64 An initial, partial implementation of Active Directory Functional
  65 Level 2012, 2012R2 and 2016 is available in this release.
  66
  67 While we continue to develop these features, existing domains can
  68 test the feature by selecting the functional level in provision or
  69 raising the DC functional level by setting
  70
  71  ad dc functional level = 2016
  72
  73 in the smb.conf
  74
  75 The smb.conf file on each DC must have 'ad dc functional level = 2016'
  76 set to have the partially complete feature available.  This will also,
  77 at first startup, update the server's own AD entry with the configured
  78 functional level.
  79
  80 For new domains, add these parameters to 'samba-tool provision'
  81
  82 --option="ad dc functional level = 2016" --function-level=2016
  83
  84 The second option, setting the overall domain functional level
  85 indicates that all DCs should be at this functional level.
  86
  87 To raise the domain functional level of an existing domain, after
  88 updating the smb.conf and restarting Samba run
  89 samba-tool domain schemaupgrade --schema=2019
  90 samba-tool domain functionalprep --function-level=2016
  91 samba-tool domain level raise --domain-level=2016 --forest-level=2016
  92
  93 New samba-tool support for silos, claims, sites and subnets.
  94 ------------------------------------------------------------
  95
  96 samba-tool can now list, show, add and manipulate Authentication Silos
  97 (silos) and Active Directory Authentication Claims (claims).
  98
  99 samba-tool can now list and show Active Directory sites and subnets.
 100
 101 A new Object Relational Model (ORM) based architecture, similar to
 102 that used with Django, has been built to make adding new samba-tool
 103 subcommands simpler and more consistent, with JSON output available
 104 standard on these new commands.
 105
 106 Updated GnuTLS requirement / in-tree cryptography removal
 107 ----------------------------------------------------------
 108
 109 Samba requires GnuTLS 3.6.13 and prefers GnuTLS 3.6.14 or later.
 110
 111 This has allowed Samba to remove all of our in-tree cryptography,
 112 except that found in our Heimdal import.  Samba's runtime cryptography
 113 needs are now all provided by GnuTLS.
 114
 115 (The GnuTLS vesion requirement is raised to 3.7.2 on systems without
 116 the Linux getrandom())
 117
 118 We also use Python's cryptography module for our testing.
 119
 120 The use of well known cryptography libraries makes Samba easier for
 121 end-users to validate and deploy, and for distributors to ship.  This
 122 is the end of a very long journey for Samba.
 123
 124 Revocation support in Heimdal KDC for PKINIT certificates
 125 ---------------------------------------------------------
 126
 127 Samba will now correctly honour the revocation of 'smart card'
 128 certificates used for PKINIT Kerberos authentication.
 129
 130 This list is reloaded each time the file changes, so no further action
 131 other than replacing the file is required.  The additional krb5.conf
 132 option is:
 133
 134  [kdc]
 135         pkinit_revoke = FILE:/path/to/crl.pem
 136
 137 Information on the "Smart Card login" feature as a whole is at:
 138  https://wiki.samba.org/index.php/Samba_AD_Smart_Card_Login
 139
 140 Protocol level testsuite for (Smart Card Logon) PKINIT
 141 ------------------------------------------------------
 142
 143 Previously Samba's PKINIT support in the KDC was tested by use of
 144 shell scripts around the client tools of MIT or Heimdal Kerberos.
 145 Samba's independently written python testsuite has been extended to
 146 validate KDC behaviour for PKINIT.
 147
 148
 149 ================
 150 REMOVED FEATURES
 151 ================
 152
 153
 154 smb.conf changes
 155 ================
 156
 157   Parameter Name                          Description     Default
 158   --------------                          -----------     -------
 159   winbind debug traceid                   Add traceid     No
 160   directory name cache size               Removed
 161
 162
 163 KNOWN ISSUES
 164 ============
 165
 166 https://wiki.samba.org/index.php/Release_Planning_for_Samba_4.19#Release_blocking_bugs
 167
 168
 169 #######################################
 170 Reporting bugs & Development Discussion
 171 #######################################
 172
 173 Please discuss this release on the samba-technical mailing list or by
 174 joining the #samba-technical:matrix.org matrix room, or
 175 #samba-technical IRC channel on irc.libera.chat
 176
 177 If you do report problems then please try to send high quality
 178 feedback. If you don't provide vital information to help us track down
 179 the problem then you will probably be ignored.  All bug reports should
 180 be filed under the Samba 4.1 and newer product in the project's Bugzilla
 181 database (https://bugzilla.samba.org/).
 182
 183
 184 ======================================================================
 185 == Our Code, Our Bugs, Our Responsibility.
 186 == The Samba Team
 187 ======================================================================
 188