Inhaltsverzeichnis
Mit Univention Corporate Server 4.2-3 steht das dritte Point-Release für Univention Corporate Server (UCS) 4.2 zur Verfügung. Es umfasst eine Reihe Funktionserweiterungen und Verbesserungen, neue Eigenschaften sowie diverse Detailverbesserungen und Fehlerkorrekturen. Die wichtigsten Änderungen im Überblick:
Für das UMC Diagnosemodul wurde eine große Zahl zusätzlicher Funktionstests hinzugefügt, die den Administrator dabei unterstützen den Gesundheitszustand des Servers und der gesamten Domäne zu prüfen.
Die Usability und Konfigurierbarkeit des Managementsystems wurde weiter ausgebaut. So wurde das Design der Assistenten und Dialoge des Managementsystems im Hinblick auf Usability Aspekte überarbeitet. Zusätzlich wurden weitere Konfigurationsoptionen für das Single Sign-On des Managementsystems hinzugefügt, bspw. die Konfigurierbarkeit des verwendeten Zertifikats.
Beim Domänenbeitritt eines UCS-Systems zu einer Microsoft Active Directory Domäne werden nun mehr Prüfungen vorgenommen. Dadurch können Hinweise auf bekannte Probleme angezeigt werden inkl. Hinweise auf deren Behebung.
Diverse Security Updates wurden in UCS 4.2-3 integriert, bspw. für den Linux Kernel, Samba, Asterisk.
Während der Aktualisierung kann es zu temporären Ausfällen von Diensten innerhalb der Domäne kommen. Aus diesem Grund sollte das Update innerhalb eines Wartungsfensters erfolgen. Grundsätzlich wird empfohlen, das Update zunächst in einer Testumgebung einzuspielen und zu testen. Die Testumgebung sollte dabei identisch zur Produktivumgebung sein. Je nach Systemgeschwindigkeit, Netzwerkanbindung und installierter Software kann das Update zwischen 20 Minuten und mehreren Stunden dauern.
In Umgebungen mit mehr als einem UCS-System muss die Update-Reihenfolge der UCS-Systeme beachtet werden:
Auf dem Domänencontroller Master wird die maßgebliche (authoritative) Version des LDAP-Verzeichnisdienstes vorgehalten, die an alle übrigen LDAP-Server der UCS-Domäne repliziert wird. Da bei Release-Updates Veränderungen an den LDAP-Schemata auftreten können, muss der Domänencontroller Master bei einem Release-Update immer als erstes System aktualisiert werden.
UCS-Installations-DVDs werden ab UCS 4 nur noch für 64-Bit-Architekturen bereitgestellt. Vorhandene 32-Bit UCS 3 Systeme können weiterhin über das Online Repository oder über Update DVDs auf UCS 4 aktualisiert werden. Die 32-Bit-Architektur wird für die gesamte UCS 4 Maintenance noch unterstützt.
Es sollte geprüft werden, ob ausreichend Festplattenplatz verfügbar ist. Eine Standard-Installation benötigt min. 6 GB Speicherplatz. Das Update benötigt je nach Umfang der vorhanden Installation ungefähr 1 GB weiteren Speicherplatz zum Herunterladen und Installieren der Pakete.
Für das Update sollte eine Anmeldung auf der lokalen Konsole des Systems mit dem Benutzer root durchgeführt und das Update dort gestartet werden.
Alternativ kann das Update über Univention Management Console durchgeführt werden.
Eine Remote-Aktualisierung über SSH wird nicht empfohlen, da dies beispielsweise bei Unterbrechung der Netzverbindung zum Abbruch des Update-Vorgangs und zu einer Beeinträchtigung des Systems führen kann.
Sollte dennoch eine Aktualisierung über eine Netzverbindung durchgeführt werden, ist sicherzustellen, dass das Update bei Unterbrechung der Netzverbindung trotzdem weiterläuft.
Hierfür können beispielsweise die Tools screen oder at eingesetzt werden, die auf allen UCS Systemrollen installiert sind.
Nach dem Update müssen die neuen oder aktualisierten Join-Skripte ausgeführt werden.
Dies kann auf zwei Wegen erfolgen:
Entweder über das UMC-Modul oder durch Aufruf des Befehls univention-run-join-scripts als Benutzer root.
Anschließend muss das UCS-System neu gestartet werden.
Bei Verwendung der UCS Core Edition (die in der Regel für Evaluationen von UCS herangezogen wird) werden anonyme Nutzungsstatistiken zur Verwendung von Univention Management Console erzeugt. Die aufgerufenen Module werden dabei von einer Instanz des Web-Traffic-Analyse-Tools Piwik protokolliert. Dies ermöglicht es Univention die Entwicklung von Univention Management Console besser auf das Kundeninteresse zuzuschneiden und Usability-Verbesserungen vorzunehmen.
Diese Protokollierung erfolgt nur bei Verwendung der UCS Core Edition. Der Lizenzstatus kann überprüft werden durch den Eintrag des Benutzermenüs in der rechten, oberen Ecke von Univention Management Console. Steht hier unter der Eintrag wird eine solche Edition verwendet. Bei Einsatz einer regulären UCS-Lizenz erfolgt keine Teilnahme an der Nutzungsstatistik.
Die Protokollierung kann unabhängig von der verwendeten Lizenz durch Setzen der Univention Configuration Registry-Variable umc/web/piwik auf false deaktiviert werden.
WebKit, Konqueror und QtWebKit werden in UCS im maintained-Zweig des Repositorys mitgeliefert, aber nicht durch Sicherheits-Updates unterstützt. WebKit wird vor allem für die Darstellung von HTML-Hilfeseiten u.ä. verwendet. Als Web-Browser sollte Firefox eingesetzt werden.
Univention Management Console verwendet für die Darstellung der Web-Oberfläche zahlreiche JavaScript- und CSS-Funktionen. Cookies müssen im Browser zugelassen sein. Die folgenden Browser werden empfohlen:
Chrome ab Version 37
Firefox ab Version 38
Internet Explorer ab Version 11
Safari und Safari Mobile ab Version 9
Auf älteren Browsern können Darstellungs- oder Performanceprobleme auftreten.
Die Changelogs mit den detaillierten Änderungsinformationen werden nur in Englisch gepflegt. Aufgeführt sind die Änderungen seit UCS 4.2-2:
All security updates issued for UCS 4.2-2 are included:
build-report.txt was removed from the Debian package univention-web(Bug 45391).
/var/www/univention/ has been disabled (Bug 45394).
max open files soft limit of the UMC server has been raised (Bug 45309).
checkboxes which used the boolean syntax in an extended attribute with a default value of 1 because they were detected as already activated. This behavior has been corrected (Bug 45066).
combobox widgets is shown again when the LDAP size limits are reached (Bug 44905).
Content-Security-Policy did not include https://piwik.univention.de if the Univention Configuration Registry umc/web/piwik had been set to false (Bug 45396).
PasswordFile settings (Bug 45543).
README information before installation (Bug 44002).
zsync fails, the archive is downloaded via an HTTPS request (Bug 45227).
krbtgt, guest or administrator (Bug 44333).
sambaAcctFlags attribute is now correctly set when the locked and deactivated properties are changed at once during modification of user objects (Bug 45287).
univention.admin.modules.update() is now thread safe (Bug 45540).
module has been renamed into obj in the stub methods of simpleHook (Bug 32375).
_domaincontroller_master._tcp SRV record will be replaced with the new one (Bug 43745).
admember.py (Bug 38442).
OrderedSet implementation has been added (Bug 45249).
backup/clean/max_age, backup/clean/min_backups and new function clean_old_backups (Bug 38554).
check_ad_account (Bug 44762).
add and modify of python-ldap are used to better handle SERVER_DOWN conditions.
This was broken since erratum 116 (Bug 45474).
PackageManger now also holds the APT lock to prevent errors in the App Center (Bug 43619).
ucs-sso.$domainname are now configurable via Univention Configuration Registry variables (Bug 40927).
saml/idp/show-errors (Bug 45393).
/var/www/saml/ has been disabled (Bug 45394).
umc/web/sso/enabled to false (Bug 45597).
30univention-nagios-client has to be re-executed or the Nagios service UNIVENTION_PACKAGE_STATUS needs to be added in the computer's Nagios settings in the Directory Management (Bug 40370).
UNIVENTION_SMBD Nagios service failed.
The service plugin has been fixed (Bug 45454).
nscd check has been fixed and should not incorrectly report the unknown program bound to nscd socket error anymore (Bug 45414).
name resolve order can now be set through Univention Configuration Registry variable samba/name/resolve/order (Bug 37946, Bug 36089).
univention-samba-lockedout and univention-samba-unlock to list the samba locked-out and unlock status of users have been added (Bug 35071).
<interfaces/primary> as a keyword for the Univention Configuration Registry variable samba/interfaces has been added.
Now, newly installed Samba 4 systems will set samba/interfaces to lo and the primary interface which is represented via interfaces/primary.
Thus, Samba will by default only listen on those two interfaces.
This can be configured afterwards via Univention Configuration Registry variables samba/interfaces, samba/interfaces/bindonly and samba/register/exclude/interfaces (Bug 35072).
samba/logonscript has been removed (Bug 41057).
univention-samba4-backup (Bug 38554).
Windows 10 default profile (default.V6) in univention-skel (Bug 44895).
postinst (Bug 41849).
/var/lib/samba/sysvol/ are found (Bug 45062).
samba-tool dbcheck --cross-ncs --fix --yes on update if there are inconsistencies.
A backup of /var/lib/samba/private/ is performed and the fix is skipped if the available disk space is too low (Bug 44635).
krbtgt account (and fix if possible) has been added (Bug 44333).
univention-adsearch now accepts multiple attributes in the LDAP filter (Bug 45134).
repository/mirror/recreate_packages has been changed to no, as re-creating the Packages files without the corresponding override files breaks debootstrap (Bug 45185).
nscd (Bug 40371).