Inhaltsverzeichnis
Mit Univention Corporate Server 4.4-0 steht das vierte Minor Release für Univention Corporate Server (UCS) 4 zur Verfügung. Es umfasst Funktionserweiterungen und Verbesserungen, neue Eigenschaften sowie diverse Detailverbesserungen und Fehlerkorrekturen. Die wichtigsten Änderungen im Überblick:
Mit dem Release steht die neue App Admin Diary bereit, mit der administrative Ereignisse von allen UCS Instanzen einer Domäne zentral eingesehen und ausgewertet werden können. Änderungen an Benutzern, Gruppen oder anderen Objekten im Verzeichnisdienst sind darüber genauso nachverfolgbar wie Updates von Servern oder (De-)Installationen von Apps.
Das Admin Diary wird als zwei Komponenten ausgeliefert: Ein Backend für die Datenhaltung in einer SQL Datenbank und ein Frontend für die Integration in die UMC. Die Erfassung der Ereignisse ist Teil von UCS 4.4 und wird mit Installation des Backends automatisch aktiviert.
Die Self-Service App wurde in zwei Bereichen erweitert:
Das Portal wurde um die Möglichkeit erweitert, Anwender direkt auf die Anmeldeseite zu verweisen und bei einem leeren Portal Hinweistexte anzuzeigen. Die Darstellungen wurden optimiert und sind jetzt per CSS anpassbar. Weiter verfügt das Portal jetzt über ein verbessertes Berechtigungsmanagement, mit dem mehr Zugriffsschutz auf Serverseite möglich ist, was die Grundlage für zukünftige Funktionen bildet.
Die RADIUS App wurde vereinheitlicht durch das Zusammenführen der Implementierungen von UCS@school und der UCS App. Im Rahmen der Implementierung wurde der Austausch von Shared Secrets z.B. mit WLAN Access Points vereinfacht: Die Access Point Konfiguration kann nun über das UMC Modul für Rechnerobjekte vorgenommen werden.
Samba wurde auf Version 4.10 RC2 aktualisiert, wodurch zahlreiche Verbesserungen einfließen.
So werden mit dieser Version Vertrauensstellungen (Trusts) zwischen UCS und Microsoft Active Directory Domänen konfigurierbar. Damit ist es beispielsweise möglich, das in UCS administrierte Nutzer Zugriff auf in Microsoft Domänen betriebenen Services erhalten.
Weiter unterstützt Samba jetzt Fine Grained Password Policies, mit denen es möglich ist unterschiedliche und detaillierte Passwort-Richtlinien innerhalb der Microsoft Active Directory bzw. Kerberos Domäne zu definieren.
Die Benutzerführung in der Univention Management Console wurden in vielen Punkten verbessert. Dazu gehören eine klarere Darstellung von Eingabeelementen, eine bessere Handhabung von langen Ergebnislisten und eine effizientere Darstellung auf kleinen Displays.
Die von installierten Apps mitgebrachten Einstellungen an Benutzerobjekten können jetzt an einer übersichtlichen Stelle am Benutzer editiert werden. Damit wird sowohl die Administration von UCS als auch die Integration durch App Provider vereinfacht.
Für App Anbieter sind die Install Permissions eine neue Funktion im App Center: Damit kann pro Version angeben werden, ob die App für die Installation ein Vertragsverhältnis zwischen Nutzer und Anbieter erfordert. Damit unterstützt das App Center besser entsprechende Geschäftsmodelle der App Anbieter und Nutzer können besser erkennen, welche Versionen einer App verfügbar sind.
UCS 4.4-0 basiert auf dem im Februar veröffentlichten Debian Release 9.8. Eine vollständige Liste von Security- und Paketupdates ist in Kapitel 6 zu finden.
Während der Aktualisierung kann es zu temporären Ausfällen von Diensten innerhalb der Domäne kommen. Aus diesem Grund sollte das Update innerhalb eines Wartungsfensters erfolgen. Grundsätzlich wird empfohlen, das Update zunächst in einer Testumgebung einzuspielen und zu testen. Die Testumgebung sollte dabei identisch zur Produktivumgebung sein. Je nach Systemgeschwindigkeit, Netzwerkanbindung und installierter Software kann das Update zwischen 20 Minuten und mehreren Stunden dauern.
In Umgebungen mit mehr als einem UCS-System muss die Update-Reihenfolge der UCS-Systeme beachtet werden:
Auf dem Domänencontroller Master wird die maßgebliche (authoritative) Version des LDAP-Verzeichnisdienstes vorgehalten, die an alle übrigen LDAP-Server der UCS-Domäne repliziert wird. Da bei Release-Updates Veränderungen an den LDAP-Schemata auftreten können, muss der Domänencontroller Master bei einem Release-Update immer als erstes System aktualisiert werden.
UCS-Installations-DVDs werden ab UCS 4 nur noch für 64-Bit-Architekturen bereitgestellt. Vorhandene 32-Bit UCS 3 Systeme können weiterhin über das Online Repository oder über Update DVDs auf UCS 4 aktualisiert werden. Die 32-Bit-Architektur wird für die gesamte UCS 4 Maintenance noch unterstützt.
Es sollte geprüft werden, ob ausreichend Festplattenplatz verfügbar ist. Eine Standard-Installation benötigt min. 10 GB Speicherplatz. Das Update benötigt je nach Umfang der vorhanden Installation ungefähr 4 GB zusätzlichen Speicherplatz zum Herunterladen und Installieren der Pakete.
Für das Update sollte eine Anmeldung auf der lokalen Konsole des Systems mit dem Benutzer root durchgeführt und das Update dort gestartet werden.
Alternativ kann das Update über Univention Management Console durchgeführt werden.
Eine Remote-Aktualisierung über SSH wird nicht empfohlen, da dies beispielsweise bei Unterbrechung der Netzverbindung zum Abbruch des Update-Vorgangs und zu einer Beeinträchtigung des Systems führen kann.
Sollte dennoch eine Aktualisierung über eine Netzverbindung durchgeführt werden, ist sicherzustellen, dass das Update bei Unterbrechung der Netzverbindung trotzdem weiterläuft.
Hierfür können beispielsweise die Tools screen oder at eingesetzt werden, die auf allen UCS Systemrollen installiert sind.
Univention bietet ein Skript an, mit dem Probleme, die das Update des UCS Systems verhindern würden, schon vor dem Update erkannt werden können. Dieses Skript kann vor dem Update manuell auf das System geladen und ausgeführt werden:
# download
curl -OOs http://updates.software-univention.de/download/univention-update-checks/pre-update-checks-4.4{,.gpg}
# run script
gpgv --keyring /usr/share/keyrings/univention-archive-key-ucs-4x.gpg pre-update-checks-4.4.gpg \
pre-update-checks-4.4 && bash pre-update-checks-4.4
...
Starting pre-update checks ...
Checking app_appliance ... OK
Checking block_update_of_NT_DC ... OK
Checking cyrus_integration ... OK
Checking disk_space ... OK
Checking hold_packages ... OK
Checking ldap_connection ... OK
Checking ldap_schema ... OK
...
Nach dem Update müssen die neuen oder aktualisierten Join-Skripte ausgeführt werden.
Dies kann auf zwei Wegen erfolgen:
Entweder über das UMC-Modul oder durch Aufruf des Befehls
univention-run-join-scripts als Benutzer root.
Anschließend muss das UCS-System neu gestartet werden.
Durch einen Entwurfsfehler im Univention Directory Notifier Netzwerkprotokoll Version 2 kann jeder Benutzer an Informationen über Änderungen am LDAP-Verzeichnisdienst kommen.
Ein neues Protokoll Version 3 wurde mit UCS-4.3-3 Erratum 427 implementiert.
Für die Kompatibilität mit alten UCS Systemen bot Univention Directory Notifier standardmäßig weiterhin Version 2 an.
Beginnend mit UCS-4.4 bieten neue Installationen standardmäßig nur noch Version 3 an.
Protokoll 2 kann reaktiviert werden, indem die Univention Configuration Registry-Variable notifier/protocol/version auf 2 geändert und Univention Directory Notifier neu gestartet wird.
Bei Verwendung der UCS Core Edition werden anonyme Nutzungsstatistiken zur Verwendung von Univention Management Console erzeugt. Die aufgerufenen Module werden dabei von einer Instanz des Web-Traffic-Analyse-Tools Piwik protokolliert. Dies ermöglicht es Univention die Entwicklung von Univention Management Console besser auf das Kundeninteresse zuzuschneiden und Usability-Verbesserungen vorzunehmen.
Diese Protokollierung erfolgt nur bei Verwendung der UCS Core Edition. Der Lizenzstatus kann überprüft werden durch den Eintrag des Benutzermenüs in der rechten, oberen Ecke von Univention Management Console. Steht hier unter der Eintrag wird eine solche Edition verwendet. Bei Einsatz einer regulären UCS-Lizenz erfolgt keine Teilnahme an der Nutzungsstatistik.
Die Protokollierung kann unabhängig von der verwendeten Lizenz durch Setzen der Univention Configuration Registry-Variable umc/web/piwik auf false deaktiviert werden.
WebKit, Konqueror und QtWebKit werden in UCS im maintained-Zweig des Repositorys mitgeliefert, aber nicht durch Sicherheits-Updates unterstützt. WebKit wird vor allem für die Darstellung von HTML-Hilfeseiten u.ä. verwendet. Als Web-Browser sollte Firefox eingesetzt werden.
Univention Management Console verwendet für die Darstellung der Web-Oberfläche zahlreiche JavaScript- und CSS-Funktionen. Cookies müssen im Browser zugelassen sein. Die folgenden Browser werden empfohlen:
Chrome ab Version 71
Firefox ab Version 60
Safari und Safari Mobile ab Version 12
Microsoft Edge ab Version 18
Der Internet Explorer wird ab diesem Release nicht mehr von Univention Management Console unterstützt.
Mit älteren Browsern können Darstellungs- oder Performanceprobleme auftreten.
Die Changelogs mit den detaillierten Änderungsinformationen werden nur in Englisch gepflegt. Aufgeführt sind die Änderungen seit UCS 4.3-3:
All security updates issued since UCS 4.3-3 are included:
The following updated packages from Debian 9.8 are included (Bug 48332): ansible, arc, astroml-addons, base-files, c3p0, ca-certificates-java, chkrootkit, chromium, compactheader, coturn, courier, debian-edu-config, debian-installer-netboot-images, debian-installer, debian-security-support, dnspython, drupal7, egg, erlang, espeakup, flatpak, ganeti-os-noop, glx-alternatives, gnulib, gnupg2, golang-1.7, golang-1.8, graphite-api, grokmirror, ibus, icinga2, ikiwiki, isort, jdupes, kmodpy, libapache-mod-jk, libb2, libdatetime-timezone-perl, libemail-address-list-perl, libextractor, libgpod, libssh, libu2f-host, linux-igd, lttng-modules, mistral, monkeysign, mosquitto, mpqc, netatalk, nvidia-graphics-drivers, nvidia-modprobe, nvidia-persistenced, nvidia-settings, nvidia-xconfig, openni2, openvpn, parsedatetime, pdns, pdns-recursor, photocollage, postfix, postgresql-9.6, postgrey, pylint-django, python-acme, python-arpy, python-certbot-apache, python-certbot-nginx, python-certbot, python-hypothesis, python-josepy, pyzo, r-cran-readxl, rssh, rtkit, ruby-loofah, ruby-rack, ruby-sanitize, sl-modem, sogo-connector, ssh-agent-filter, supercollider, sympa, thunderbird, tmpreaper, twitter-bootstrap3, tzdata, uglifyjs, vm, vulture, wicd, wordpress, wvstreams, xapian-core, xen, xkeycaps, yosys, z3
The following packages have been moved to the maintained repository of UCS: fail2ban (Bug 47566), libmaxminddb (Bug 48409)
debian/changelog files have been updated to the machine-readable DEP-5 format.
The copyright of all packages has been extended to 2019 (Bug 28499):
univention-run-diagnostic-checks which can be used to execute the diagnostic checks (Bug 47650).
cn=monitor backend for statistical information.
To activate this, set Univention Configuration Registry variable ldap/monitor to true and restart the LDAP server service (slapd) (Bug 41213).
cn=translog database for transaction log (Bug 48427).
ldap_extension is performed on backup domain controller and slave domain controller systems to correct possible inconsistencies in LDAP ACLs (Bug 48530).
cn=config backend, accessible via ldapi:/// only (Bug 43515).
die() function to ldap.sh (Bug 47424).
ldap-backup cron job (Bug 48014).
mailinglist_name was integrated into syntax.py (Bug 48383).
univention-repository-addpackage, univention-repository-delpackage and univention-repository-merge are deprecated and are removed with UCS-4.4 (Bug 29505).
dists/ are now also mirrored.
This is required for the PXE network installer (Bug 46600).
update/debug/level for changing the debug level of the UCS updater (Bug 47913).
postmirror.sh file is no longer displayed (Bug 27761).
preup.sh and postup.sh
have been adapted to the needs of UCS 4.4 (Bug 48808).
univention-repository-create from DVD (Bug 48910).
univention-repository-create now checks if univention-debmirror is installed before installing it (Bug 48151).
.conf files in the directory /etc/apache2/sso-vhost.conf.d/ (Bug 48348).
self-service/ldap_attributes
and self-service/udm_attributes (Bug 48447, Bug 48710)
clients.conf is not converted and can still be used to configure clients manually (Bug 25935).
Switch to Python passlib for DES encryption (Bug 48460).
Move clients.conf.example into the right folder (Bug 46561).
Improved logging for univention-radius-ntlm-auth which is used by FreeRADIUS to authenticate users.
Log entries are written to radius_ntlm_auth.log.
The log level can be adjusted with the Univention Configuration Registry variable freeradius/auth/helper/ntlm/debug.
Internal changes to enable the UCS@school RADIUS implementation to build upon the univention-radius package (Bug 46018).
uvmm/overcommit/reserved (Bug 48901).
samba-tool ntacl sysvolcheck didn't map owner LA to DA properly while checking, leading to irritating, unnecessary error messages (Bug 44282).
4.10.0~rc2 (Bug 48084).
97libunivention-ldb-modules.inst to 96univention-samba4.inst to simplify package structure (Bug 47955).
version/erratalevel to 0 (Bug 48654).
join/pre-joinscripts have been called.
This prevents join problems on backup domain controller system in case the join hook installed additional software (Bug 48751).