Der Einsatz von UCS beginnt entweder mit einer klassischen Betriebssysteminstallation auf einem physikalischen Server oder als „virtuelle Maschine“, die ebenfalls durch eine Installation eingerichtet oder aus einer als Vorlage eingesetzten, vorhandenen virtuellen Maschine erzeugt werden kann. Die Installation kann interaktiv oder vollautomatisch entweder von CD-ROM/DVD oder über das Netzwerk/PXE erfolgen.

Weiterführende Informationen finden sich in Kapitel 2.

Bei der Installation wird dem Rechner eine Systemrolle zugewiesen. Standardmäßig befinden sich bei UCS alle Server, Clients und Benutzer in einem Sicherheits- und Vertrauenskontext, der so genannten UCS-Domäne. Dementsprechend stehen als Systemrollen Domänencontroller, Memberserver und Clients zur Auswahl.

Abbildung 1.1. UCS-Domänenkonzept

Abhängig von der Systemrolle werden neben dem Betriebssystem grundlegende Dienste wie Kerberos, OpenLDAP, Samba, Module für den Domänenreplikationsmechanismus oder eine Root-CA (Zertifizierungsstelle) auf dem Rechner installiert und automatisch für die gewählte Systemrolle konfiguriert. Das manuelle Einrichten und Konfigurieren jedes einzelnen Dienstes und jeder einzelnen Anwendung erübrigt sich damit. Durch den modularen Aufbau und umfangreiche Konfigurationsschnittstellen lassen sich dennoch auf individuelle Bedürfnisse zugeschnittene Lösungen umsetzen.

Durch die Integration von Samba, das den Domänendienst für mit Microsoft Windows betriebene Clients und Server bereit stellt, ist Univention Corporate Server kompatibel zu Microsoft Active Directory (AD), so dass sich das System gegenüber Windows-basierten Systemen wie ein Active Directory Server verhält. Deswegen können beispielsweise Gruppenrichtlinien für Microsoft Windows-Systeme auf die gewohnte Art und Weise administriert werden und stehen durch UCS in der Samba 4-Domäne zur Verfügung.

Ubuntu-Clients können ebenfalls in eine UCS-Umgebung integriert werden (siehe Abschnitt 7.1.1).

Über die Auswahl verschiedener zusätzlicher Komponenten während der Installation oder durch ein Online-Repository lässt sich der Funktionsumfang eines Rechners gezielt erweitern. Die Komponenten können ebenfalls ohne aufwendige Konfigurationsarbeiten eingesetzt werden, denn sie sind auf das Gesamtkonzept von UCS abgestimmt und fügen sich nahtlos in das UCS-Managementsystem ein.

Mit dem UCS-Managementsystem können alle Bestandteile der UCS-Domäne über Rechner-, Betriebssystem- und Standortgrenzen hinweg zentral verwaltet werden. Es steht somit ein echter Single-Point-of-Administration für die Domäne zur Verfügung. Ein tragendes Element des UCS-Managementsystems ist ein LDAP-Verzeichnis, in dem die domänenweit benötigten, verwaltungsrelevanten Daten vorgehalten werden. Dort wird neben Benutzerkonten und Ähnlichem auch die Datenbasis von Diensten wie DHCP gespeichert. Die zentrale Datenhaltung im LDAP-Verzeichnis erspart nicht nur die wiederholte Eingabe derselben Daten, sondern verringert auch die Wahrscheinlichkeit von Fehlern und Inkonsistenzen.

Ein LDAP-Verzeichnis besitzt eine baumartige Struktur, deren Wurzel die so genannte Basis der UCS-Domäne bildet. Die UCS-Domäne realisiert den gemeinsamen Sicherheits- und Vertrauenskontext für ihre Mitglieder. Bei Benutzern begründet ein Konto im LDAP-Verzeichnis die Mitgliedschaft in der UCS-Domäne. Rechner erhalten bei Beitritt in die Domäne ein Rechnerkonto. Auch Microsoft Windows-Systeme können in die Domäne aufgenommen werden und Benutzer sich dort mit ihrem Domänenpasswort anmelden.

UCS setzt als Verzeichnisdienstserver OpenLDAP ein. Das Verzeichnis wird vom Domänencontroller Master bereitgestellt und auf alle anderen Domänencontroller (DCs) in der Domäne repliziert. Weil ein DC Backup im Notfall den DC Master ersetzen soll, wird auf diesen immer das komplette LDAP-Verzeichnis repliziert. Die Replikation auf DC Slaves kann dagegen mithilfe von ACLs (Access Control Lists) auf beliebige Bereiche des LDAP-Verzeichnisses beschränkt werden, wodurch eine selektive Replikation erreicht wird. Dies kann z.B. dann gewünscht sein, wenn Daten aus Sicherheitsgründen auf möglichst wenigen Servern gespeichert werden sollen. Damit diese und andere Daten verschlüsselt übertragen werden können, ist in UCS eine Root-CA (Zertifizierungsstelle) integriert.

Weiterführende Informationen finden sich in Abschnitt 3.4.

Abbildung 1.2. Univention Management Console

Der Zugang zum LDAP-Verzeichnis erfolgt über die webbasierte und modulare Univention Management Console (UMC). Technisch wird der Zugang über das Univention Management Console-Modul Univention Directory Manager durchgeführt. In Univention Management Console werden sie unter „Domäne“ angezeigt.

Univention Directory Manager ermöglicht auch die Umsetzung aller domänenweiten administrativen Aufgaben über eine Kommandozeilen-Schnittstelle. Dies eignet sich besonders für die Integration in Skripte oder automatisierte administrative Schritte.

Mit Univention Management Console können Daten in das LDAP-Verzeichnis eingetragen und dort angezeigt, bearbeitet und gelöscht werden. Auch die Suche – gefiltert nach einer Vielzahl von Kriterien – ist möglich. In der Webanwendung stehen Assistenten zur Verwaltung von Benutzern, Gruppen, Netzwerken, Rechnern, Verzeichnisfreigaben und Druckern zur Verfügung. Die Rechnerverwaltung umfasst auch umfangreiche Funktionen zur Verteilung und Aktualisierung von Software.

Über den integrierten LDAP-Verzeichnis-Browser können weitergehende Einstellungen vorgenommen und kundenspezifische Objektklassen und Attribute hinzugefügt werden.

Weiterführende Informationen finden sich in Kapitel 4.

Univention Management Console ermöglicht nicht nur den Zugriff auf das LDAP-Verzeichnis mit den Domänendaten, sondern auch die webbasierte Konfiguration und Administration einzelner Rechner, wie die Anpassung von Konfigurationsdaten, die Installation von Software und die Überwachung und Steuerung von Diensten und Betriebssystem. Mit dem UCS-Managementsystem ist also die Domänenverwaltung sowie die Rechner-, bzw. Serverkonfiguration von jedem beliebigen Ort über eine komfortable graphische Web-Oberfläche möglich.

Die baumartige Struktur von LDAP-Verzeichnissen stellt – ähnlich wie bei einem Dateisystem – sicher, dass sich alle Objekte (wie z.B. Benutzer, Rechner etc.) in einem Container befinden und diese Container wieder von anderen Containern aufgenommen werden können. Die Basis bildet der so genannte Wurzelcontainer, oft auch als LDAP-Basis-Objekt bezeichnet.

Richtlinien beschreiben bestimmte administrative Einstellungen, die sinnvoll auf mehr als ein Objekt angewendet werden können. Sie erleichtern die Administration, weil sie an Container gebunden werden können und dann für alle in dem betreffenden Container befindlichen Objekte, sowie die in Unterordner befindlichen Objekte gelten.

Beispielsweise können Benutzer nach Abteilungszugehörigkeit in unterschiedliche Container oder Organisationseinheiten (die eine besondere Form von Containern darstellen) organisiert werden. Einstellungen wie Bildschirmhintergrund oder aufrufbare Programme können dann mit Hilfe von Richtlinien an diese Organisationseinheiten gebunden werden und gelten dann für alle unterhalb der betreffenden Organisationseinheit befindlichen Benutzer.

Weiterführende Informationen finden sich in Abschnitt 4.5.

Ein wichtiger technischer Bestandteil des UCS-Managementsystems stellt der Listener/Notifier-Mechanismus dar. Mit ihm lösen das Anlegen, Verändern oder Löschen frei definierbarer Einträge im LDAP-Verzeichnis definierte Aktionen auf betroffenen Rechnern aus.

So führt zum Beispiel das Anlegen einer Verzeichnisfreigabe mit Univention Management Console dazu, das die Freigabe zunächst in das LDAP-Verzeichnis eingetragen wird. Der Listener/Notifier-Mechanismus stellt dann sicher, dass beispielswese auch die NFS- und Samba-Konfigurationsdateien auf dem gewählten Server entsprechend erweitert werden und das Verzeichnis im Dateisystem des gewählten Servers erstellt wird, falls es noch nicht existiert.

Der Listener/Notifier-Mechanismus kann leicht um Module für weitere – auch kundenspezifische – Vorgänge ergänzt werden und wird zum Beispiel von zahlreichen Technologiepartnern für die Integration ihrer Produkte in den LDAP-Verzeichnisdienst und das UCS-Managementsystem verwendet.

Weiterführende Informationen finden sich in Abschnitt 3.5.

Mit dem UMC-Modul UCS Virtual Machine Manager (UVMM) verfügt UCS über ein umfangreiches und mächtiges Werkzeug zur Verwaltung virtualisierter Infrastrukturen. In der UCS-Domäne registrierte Virtualisierungsserver und darauf betriebene virtuelle Maschinen können zentral überwacht und administriert werden. Als Hypervisor-Technologie können mit UCS die Open Source Virtualisierungstechnologien KVM (Kernel Virtual Machine) und Xen eingesetzt werden.

Weiterführende Informationen finden sich in Kapitel 14.

Die Eingabemasken des Univention Installers werden ausschließlich über die Tastatur bedient:

Weitere Belegungen von Funktionstasten sind in den folgenden Beschreibungen der jeweiligen Module genannt.

Wenn die Option DHCP nicht aktiviert wurde, muss eine IPv4-Adresse eingegeben werden, die an die Netzwerkkarte gebunden werden soll. Zusätzlich zur IP-Adresse muss die Netzmaske angegeben werden. Mit F5-DHCP-Anfrage kann eine Adresse von einem DHCP-Server abgefragt werden. Sofern die Option DHCP nicht aktiviert wird, werden die aus der DHCP-Anfrage erhaltenen Werte dann statisch konfiguriert. Wenn die DHCP-Anfrage fehlschlägt, wird eine zufällige Adresse aus dem 169.254.x.x Netz verwendet.

Die IPv6-Adresse kann auf zwei Arten konfiguriert werden:

Unter Globale Netzwerk-Einstellungen können weitere netzwerkbezogene Einstellungen vorgenommen werden.

Unter IPv4-Gateway und IPv6-Gateway können die für die IP-Adresse im Subnetz eingesetzten Standard-Gateways für IPv4 und IPv6 eingegeben werden. Für IPv6 ist die Angabe eines Gateways bei statischer Konfiguration erforderlich; bei dynamischer Konfiguration ist diese optional, wird jedoch empfohlen. Ein hier konfiguriertes IPv6-Gateway hat Vorrang vor Router Advertisements, die ansonsten die Route ändern könnten.

Zwei Typen von DNS-Servern werden unterschieden:

Bei der Installation eines Domänencontroller Master wird nur ein externer DNS-Server abgefragt, da im Rahmen der Installation immer ein Domänen-DNS-Server eingerichtet wird. Dieser kann dann von den anderen Systemen der Domäne verwendet wird. Über die Schaltfläche [Mehr] können weitere Nameserver aufgenommen werden.

Auch auf den Systemrollen Domänencontroller Backup und Domänencontroller Slave wird jeweils ein lokaler DNS-Server eingerichtet. Hier kann durch Angabe von Domänen-DNS-Server konfiguriert werden, welcher Server primär für die Namensauflösung verwendet wird. Während der Installation muss hier der Domänen-DNS-Server eines bereits installierten Systems angegeben werden, z.B. den des Domänencontroller Master.

Auf Memberservern und Basissystemen kann nur ein Domänen-DNS-Server angegeben werden.

Sollte außer einer virtuellen Netzwerkkarte keine Netzwerkkarte existieren, so sollte kein Nameserver angegeben werden, um längere Wartezeiten während der Installation zu vermeiden. Wenn der Nameserver während der Installation nicht erreicht werden kann, sollte dieser nicht im Univention Installer angegeben, sondern erst nach erfolgter Installation konfiguriert werden. Dies vermeidet längere Timeouts während der Installation.

Während der Installation einiger Pakete müssen aufgrund rechtlicher Einschränkungen Dateien von externen Web-Servern heruntergeladen werden, z.B. das Adobe Flashplugin. Wenn das UCS-System keinen unmittelbaren Zugang zum Internet besitzt, kann unter HTTP-Proxy die URL eines erreichbaren Proxy-Servers angegeben werden, über den die Download-Vorgänge abgewickelt werden. Das Format der URL lautet http://<IP-Adresse-Proxy-Server>:<Port>.

Da die Auflösung von Hostnamen während der Installation in Abhängigkeit von den installierten Komponenten nicht zu jedem Zeitpunkt sichergestellt werden kann, sollte die IP-Adresse des Proxy-Servers eingetragen werden.

Es gibt drei Möglichkeiten ein UCS-System einer bestehenden Domäne beitreten zu lassen; direkt am Ende der Installation im Univention Installer (siehe Abschnitt 2.11) oder nachträglich durch den Befehl univention-join bzw. mit der Univention Management Console.

Der Domänencontroller Master sollte immer auf dem aktuellsten Release-Stand der Domäne installiert sein, da beim Join eines Systems in aktuellerer Version gegen einen älteren DC Master Probleme auftreten können.

Beim Beitritt eines Rechners wird für diesen ein Rechnerkonto angelegt, die SSL-Zertifikate synchronisiert und ggf. eine LDAP-Replikation angestoßen. Außerdem werden am Ende des Join-Vorgangs Join-Skripte ausgeführt. Diese registrieren anhand der auf dem System installierten Software-Pakete z.B. weitere Objekte im Verzeichnisdienst.

Der Domänenbeitritt wird auf Client-Seite in der Logdatei /var/log/univention/join.log aufgezeichnet, die zur Fehleranalyse herangezogen werden kann. Auf dem Domänencontroller Master ausgeführte Aktionen werden in der Logdatei /home/<Join-Account>/.univention-server-join.log abgelegt.

Der Join-Vorgang kann jederzeit wiederholt werden. Nach bestimmten administrativen Schritten (etwa nach Änderungen wichtiger Systemeigenschaften auf dem Domänencontroller Master) kann ein erneuter Beitritt der Systeme sogar zwingend erforderlich sein.

Der Domänenbeitritt von Windows-Systemen zu einer durch Samba bereitgestellten UCS-Domäne wird nachfolgend für Windows 7/8 und Windows XP Professional beschrieben. Bei anderen Windows-Versionen funktioniert der Beitritt ähnlich.

Nur domänenfähige Windows-Versionen können der UCS-Domäne beitreten, d.h. ein Domänenbeitritt mit den Home-Versionen von Windows ist nicht möglich.

Unter UCS können zwei verschiedene Versionen von Samba zum Einsatz kommen: Samba 3 implementiert eine Windows-Domäne auf Basis von NT-Domänentechnologie, während Samba 4 ein Active Directory-Verzeichnis nachbildet. Weitere Hinweise finden sich in Abschnitt 8.1.

Beim Domänenbeitritt wird automatisch ein Rechnerkonto für den Windows-Client erstellt (siehe Abschnitt 7.1). Angaben zu MAC- und IP-Adresse, Netzwerk, DHCP oder DNS können vor oder nach dem Domänenbeitritt in der Univention Management Console ergänzt werden.

Der Domänenbeitritt wird in der Regel mit dem lokalen Administrator-Konto des Windows-Systems durchgeführt.

Abbildung 3.1. Domänenbeitritt eines Windows 7-Systems

Der Domänenbeitritt dauert einige Zeit und sollte nicht vorzeitig abgebrochen werden. Nach einem erfolgreichen Beitritt erscheint ein kleines Fenster mit der Nachricht Willkommen in der Domäne <Domänenname>, die mit [OK] bestätigt werden muss. Abschließend muss der Rechner neu gestartet werden, um die Änderungen in Kraft zu setzen.

Domänennamen sollten auf 13 Zeichen beschränkt werden, da diese auf Seite der Windows-Clients ansonsten verkürzt dargestellt werden, was zu Anmeldefehlern führen kann.

Bei einem Domänenbeitritt gegen einen Domänencontroller auf Basis von Samba 3 muss sichergestellt werden, dass der NetBIOS-Name der Domäne auflösbar ist. Dazu ist unter Umständen ein WINS-Server zu konfigurieren (siehe Abschnitt 8.3.6).

Bei einem Domänenbeitritt gegen einen Domänencontroller auf Basis von Samba 4 muss die DNS-Konfiguration des Clients so eingerichtet sein, dass DNS-Einträge aus der DNS-Zone der UCS-Domäne aufgelöst werden können. Außerdem muss die Zeit auf dem Client-System mit der Zeit auf dem Domänencontroller synchronisiert sein.

Die Integration von Ubuntu-Clients in eine UCS-Domäne ist in Abschnitt 7.1.1 beschrieben.

UCS unterstützt den Domänenbeitritt von Mac OS X-Clients in eine UCS-Umgebung mit Samba 4. Diese Anleitung bezieht sich auf Mac OS X 10.8.2.

Der Domänenbeitritt kann über das Systemeinstellungsmenü oder den Kommandozeilenbefehl dsconfigad erfolgen.

Nach erfolgtem Domänenbeitritt besteht die Möglichkeit CIFS-Freigaben zu definieren, die bei der Anmeldung eines Benutzers unterhalb von /Volumes automatisch eingehängt werden. Um dies zu erreichen, muss die folgende Zeile in die Datei /etc/auto_master eingefügt werden:

/Volumes    auto_custom

Außerdem muss die Datei /etc/auto_custom angelegt werden und die einzubindenden Freigaben dort in der folgenden Form aufgeführt werden:

<subfolder name>    -fstype=smbfs    ://<fqdn>/<sharename>

Die eingebundenen Freigaben werden nicht in der Seitenleiste des Finders angezeigt.

3.2.4.1. Domänenbeitritt über das Systemeinstellungen-Menü

In den Systemeinstellungen kann über Benutzer das Menü Anmeldeoptionen ausgewählt werden. Die Anmeldung erfolgt durch einen Klick auf das Schloss in der linken unteren Ecke, dort muss das lokale Administrator-Konto und dessen Passwort angegeben und Netzwerk-Account-Server: Verbinden angeklickt werden.

Abbildung 3.2. Domänenbeitritt eines Mac OS X-Systems

In den erweiterten Einstellungen sollte die Option Mobilen Account bei Anmeldung erstellen aktiviert werden. Sie bietet den Vorteil, das auch ohne Verbindung zur Domäne eine Anmeldung mit der Domänenbenutzerkennung erfolgen kann

Der Domänenname muss nun im Feld Active Directory Domain und der Rechnername des Mac OS X-Clients in das Feld Computer-ID eingetragen werden. Der Domänenbeitritt erfolgt nach einem Klick auf OK. Für den Domänenbeitritt muss ein Konto aus der Gruppen Domain Admins verwendet werden, z.B. Administrator.

dsconfigad -a <mac hostname> -domain <fqdn> -ou "CN=Computers,<ldap_base>" \
  -u <Domain Administrator> -mobile enable

Ein System mit der Rolle Domänencontroller Master (kurz DC Master) ist der primäre Domänencontroller einer UCS-Domäne und wird immer als erstes System installiert. Auf dem DC Master werden die Domänendaten (wie z.B. Benutzer, Gruppen, Drucker) und die SSL-Sicherheitszertifikate gespeichert. Kopien dieser Daten werden automatisch auf Server mit der Rolle Domänencontroller Backup übertragen.

Auf Servern mit der Rolle Domänencontroller Backup (kurz DC Backup) werden alle Domänendaten und SSL-Sicherheitszertifikate als Nur-Lese-Kopie gespeichert.

Der Domänencontroller Backup dient als Fallback-System des DC Master. Sollte dieser ausfallen, kann ein DC Backup die Rolle des DC Master dauerhaft übernehmen (siehe Abschnitt 3.8).

Auf Servern mit der Rolle Domänencontroller Slave (kurz DC Slave) werden die Domänendaten als Nur-Lese-Kopie gespeichert. Im Gegensatz zum Domänencontroller Backup werden jedoch nicht alle SSL-Sicherheitszertifikate gespeichert. Da die Zugriffe der auf einem Domänencontroller Slave laufenden Dienste gegen den lokalen LDAP-Datenbestand erfolgen, bieten sich DC Slave-System für Standortserver und für die Verteilung lastintensiver Dienste an.

Ein DC Slave-System kann nicht zum DC Master hochgestuft werden.

Memberserver sind Server-Systeme ohne lokalen LDAP-Server. Der Zugriff auf Domänendaten erfolgt hierbei über andere Server der Domäne.

Ein Basissystem ist ein eigenständiges System, das aber nicht Mitglied der Domäne ist.

Ein Basissystem bietet sich somit für Dienste an, die außerhalb des Vertrauenskontextes der Domäne betrieben werden, etwa als Web-Server oder Firewall.

Ubuntu-Clients können mit einer eigenen Systemrolle verwaltet werden, siehe Abschnitt 7.1.1.

Diese Systemrolle wird für die Integration von anderen Linux-Systemen als UCS und Ubuntu verwendet, z.B. für Debian- oder CentOS-Systeme. Die Integration wird in [ext-doc-domain] beschrieben.

Ein Univention Corporate Client ist ein Desktop- oder Thin Client-System auf Basis von Univention Corporate Client.

Mac OS X-Systeme können einer UCS-Domäne mit Samba 4 beitreten. Weitere Hinweise finden sich in Abschnitt 3.2.4.

Ein Domain Trust Account wird für Vertrauensstellungen zwischen Windows und UCS Domänen eingerichtet.

Ein IP-Managed-Client ermöglicht die Integration von Nicht-UCS-Systemen in das IP-Management (DNS/DHCP), z.B. für Netzwerkdrucker oder Router.

Windows-Domänencontroller in einer Samba 4-Umgebung werden mit dieser Systemrolle betrieben.

Windows-Clients und Windows-Memberserver werden mit dieser Systemrolle verwaltet.

In Schema-Definitionen wird festgelegt, welche Objektklassen existieren und welche Attribute darin enthalten sind - mit anderen Worten, welche Daten in einem Verzeichnisdienst gespeichert werden können. Schema-Definitionen liegen als Text-Dateien vor und werden über die Konfigurationsdatei des OpenLDAP-Servers eingebunden.

UCS verwendet nach Möglichkeit Standard-Schemata, so dass eine Interoperabilität mit anderen LDAP-Applikationen in der Regel gegeben ist. Für Univention-spezifische Attribute - etwa für den Richtlinien-Mechanismus - werden Schema-Erweiterungen mitgeliefert.

Das Paket univention-directory-logger ermöglicht die Protokollierung von Änderungen im LDAP-Verzeichnisdienst. Eine integrierte Hash-Summe stellt zusätzlich sicher, dass keine Änderungen aus der Logdatei entfernt werden. Die Protokollierung erfolgt in die Datei /var/log/univention/directory-logger.log

Mit der Univention Configuration Registry-Variable ldap/idletimeout kann ein Zeitraum in Sekunden konfiguriert werden, nach dessen Ablauf eine LDAP-Verbindung serverseitig geschlossen wird. Wenn der Wert auf 0 gesetzt wird, wird kein Ablaufzeitraum angewendet. Seit UCS 3.0 beträgt der Ablaufzeitraum standardmäßig sechs Minuten.

Neben dem Univention Management Console-Webinterface gibt es auch eine Reihe von Programmen, mit denen auf der Kommandozeile auf das LDAP-Verzeichnis zugegriffen werden kann.

Das Tool univention-ldapsearch vereinfacht die authentifizierte Suche im LDAP-Verzeichnis. Als Argument muss ein Suchfilter übergeben werden, im folgenden Beispiel wird der Administrator anhand der User-ID gesucht:

univention-ldapsearch uid=Administrator

Der Befehl slapcat ermöglicht die Speicherung der aktuellen LDAP-Daten in einer Textdatei im LDIF-Format, z.B.:

slapcat > ldapdaten.txt

Der Zugriff auf die Informationen im LDAP-Verzeichnis wird serverseitig durch Access Control Lists (ACLs) geregelt. Die ACLs werden in der zentralen Konfigurations-Datei /etc/ldap/slapd.conf definiert und über Univention Configuration Registry verwaltet. Die slapd.conf wird dabei durch ein Multifile-Template verwaltet; weitere ACL-Elemente können unterhalb von /etc/univention/templates/files/etc/ldap/slapd.conf.d/ zwischen den Dateien 60univention-ldap-server_acl-master und 70univention-ldap-server_acl-master-end eingefügt werden oder die bestehenden Templates erweitert werden.

Die Grundeinstellung des LDAP-Servers bei Neuinstallationen mit UCS erlaubt keinen anonymen Zugriff auf das LDAP-Verzeichnis. Dieses Verhalten kann mit der Univention Configuration Registry-Variable ldap/acl/read/anonymous konfiguriert werden. Einzelne IP-Adressen können über die Univention Configuration Registry-Variable ldap/acl/read/ips für den anonymen Lesezugriff freigeschaltet werden.

Nach erfolgreicher Authentifizierung am LDAP-Server können alle Attribute eines Benutzerkontos von diesem Benutzer ausgelesen werden.

Ein zusätzlicher, interner Account, der Root-DN, besitzt darüberhinaus auch schreibenden Vollzugriff.

Unter UCS gibt es außerdem einige standardmäßig installierte ACLs, die den Zugriff auf sensitive Daten unterbinden (z.B. auf das Benutzerpasswort) und für den Betrieb notwendige Regeln setzen (etwa nötige Zugriffe auf Rechnerkonten für Anmeldungen). Der lesende und schreibende Zugriff auf diese sensitiven Daten ist nur für die Mitglieder der Gruppe Domain Admins vorgesehen. Dabei werden auch enthaltene Gruppen unterstützt. Mit der Univention Configuration Registry-Variable ldap/acl/nestedgroups kann diese Gruppen-in-Gruppen-Funktionalität für die LDAP-ACLs deaktiviert werden, wodurch eine Geschwindigkeitssteigerung bei den Verzeichnisdienstanfragen zu erwarten ist.

Die in Univention Corporate Server verwendete GNU C-Standardbibliothek (glibc) bietet eine modulare Schnittstelle zur Auflösung von Namen von Benutzern, Gruppen und Rechnern, den Name Service Switch.

Das LDAP-NSS-Modul wird auf UCS-Systemen standardmäßig für den Zugriff auf die Domänen-Daten (z.B. Benutzer) verwendet. Das Modul greift dabei auf den in der Univention Configuration Registry-Variable ldap/server/name (und ggf. zusätzlich der ldap/server/addition) festgelegten LDAP-Server zu.

Das Verhalten bei nicht erreichbarem LDAP-Server kann durch die Univention Configuration Registry-Variable nssldap/bindpolicy festgelegt werden. Standardmäßig wird bei nicht erreichbarem Server eine erneute Verbindung aufgebaut. Wird die Variable auf soft gesetzt, wird kein erneuter Verbindungsaufbau durchgeführt. Dies kann den Boot eines Systems mit nicht erreichbarem LDAP-Server - z.B. in einer abgeschottenen Testumgebung - deutlich beschleunigen.

Für die Anbindung von nicht auf UCS-Systemen installierten OpenLDAP-Servern an das UCS-Managementsystem kann parallel zum Notifier-Dienst der Syncrepl-Replikations-Dienst aktiviert werden. Dieser ist Bestandteil von OpenLDAP, registriert Veränderungen im lokalen Verzeichnisdienst und überträgt diese auf weitere OpenLDAP-Server.

Standardmäßig ist der OpenLDAP-Server ab UCS 3.0 so konfiguriert, dass er zusätzlich zu den Standard-Ports 389 und 636 auch auf den Ports 7389 und 7636 Anfragen entgegennimmt.

Wird Samba 4 eingesetzt, belegt der Samba-Domänencontroller-Dienst die Ports 389 und 636. In diesem Fall wird OpenLDAP automatisch umkonfiguriert, so dass nur noch die Ports 7389 und 7636 eingesetzt werden. Dies ist insbesondere bei der Konfiguration von Syncrepl zu beachten (siehe Abschnitt 3.4.7). univention-ldapsearch verwendet automatisch den Standard-Port.

Managed/Mobile Clients oder Memberserver auf Basis von UCS 2.4-4 greifen weiterhin auf Port 389/636 zu. Solche Systeme müssen als LDAP-Server entweder einen Domänencontroller auf Basis von UCS 2.4-4 oder einen UCS 3.x-Domänencontroller ohne Samba 4 verwenden.

Univention Management Console verwendet für die Darstellung der Web-Oberfläche zahlreiche Javascript- und CSS-Funktionen. Cookies müssen im Browser zugelassen sein. Die folgenden Browser werden unterstützt:

Auf älteren Browsern können Darstellungsprobleme auftreten.

Univention Management Console ist in Deutsch und Englisch verfügbar, die Darstellungssprache kann bei der Anmeldung ausgewählt werden.

Das Web-Interface der Univention Management Console kann über die URL https://servername/umc/ aufgerufen werden, alternativ ist der Zugriff auch über die IP-Adresse des Servers möglich.

Unter besonderen Umständen kann es nötig sein über eine ungesicherte Verbindung auf die Univention Management Console zuzugreifen (z.B. wenn für das System noch keine SSL-Zertifikate erstellt worden sind). In diesem Fall muss in der URL http statt https verwendet werden. Passwörter werden in diesem Fall im Klartext über das Netzwerk gesendet!

Abbildung 4.1. UMC-Anmeldemaske

Nach Aufruf der URL erscheint die Anmeldemaske, in der Benutzername und Passwort eingegeben werden müssen:

Nach zehn Minuten Inaktivität wird die Browser-Sitzung automatisch geschlossen und eine Neuanmeldung ist notwendig. Dieses Intervall kann mit der Univention Configuration Registry-Variable umc/http/session/timeout in Sekunden angepasst werden.

Die UCS-Lizenz kann eingerichtet werden, indem in der oberen rechten Bildschirmzeile auf das Zahnrad-Symbol geklickt wird. Hier muss der Menüpunkt Lizenz ausgewählt werden. Unter Aktuelle Lizenz ist der momentane Lizensierungszustand aufgeführt.

Abbildung 4.2. Anzeige der UCS-Lizenz

Mit Lizenz hochladen kann eine Lizenz-Datei ausgewählt werden, alternativ kann der Lizenz-Schlüssel in das Eingabefeld Lizenztext kopiert und mit Hochladen aktiviert werden.

Ist die Anzahl der lizensierten Benutzer- oder Rechner-Objekte überschritten, können keine weiteren Objekte in der Univention Management Console angelegt oder bestehende editiert werden, solange keine erweiterte Lizenz eingespielt wird oder nicht mehr benötigte Benutzer oder Rechner entfernt werden. Auf der UMC-Startseite wird bei überschrittener Lizenz ein entsprechender Hinweis angezeigt.

Alle Domänen-Module der Univention Management Console werden strukturell identisch bedient. Die folgenden Beispiele werden anhand der Benutzerverwaltung dargestellt, gelten aber analog für alle Module.

Abbildung 4.3. Modulübersicht

Die inhaltlichen Eigenschaften/Konfigurationsmöglichkeiten der Domänen-Module ist in folgenden Kapiteln beschrieben:

Die Verwendung von Richtlinien (Abschnitt 4.5) und des direkten Durchsuchens des LDAP-Verzeichnisbaums (Abschnitt 4.4) wird separat beschrieben.

4.2.3.1. Suche nach Objekten

In der Modul-Übersicht werden alle von diesem Modul verwalteten Objekte aufgeführt. Über das Auswahlfeld Eigenschaft kann ein Attribut ausgewählt werden, nach dem die Objekte gefiltert werden. Die Suchmaske wird im Eingabefeld dahinter eingegeben. In der Benutzerverwaltung werden beispielsweise mit der Auswahl von Benutzername und der Suchmaske m* nur die mit m beginnenden Benutzernamen dargestellt.

Abbildung 4.4. Suche nach Benutzern

Durch Klick auf Erweiterte Optionen wird ein weiteres Auswahlfeld Suche in angezeigt. Mit diesem Auswahlfeld kann bestimmt werden, ob bei der Suche nach LDAP-Objekten das komplette LDAP-Verzeichnis oder nur einzelne LDAP-Container durchsucht werden. Weitere Informationen zur Strukturierung des LDAP-Verzeichisdienstes finden sich in Abschnitt 4.7.

Häufig benutzte UMC-Module werden in einem eigenen Untermenü Favoriten dargestellt. Bewegt man die Maus rechts oben über das Icon eines Moduls, das bereits als Favorit markiert ist, wird ein halbtransparentes rotes Kreuz eingeblendet. Klickt man es an, wird das Modul aus den Favoriten entfernt. Um ein Modul zu den Favoriten hinzuzufügen, kann auf dieselbe Weise der gelbe Stern über den Modulen aktiviert werden.

Durch einen auf das Fragezeichensymbol in der oberen Navigationsleiste der Univention Management Console kann die Option Feedback erreicht werden. Hier kann über ein Webformular Feedback zu UCS und zur Univention Management Console gegeben werden.

Richtlinien können über das Richtlinien-Modul der Univention Management Console verwaltet werden. Die Bedienung erfolgt analog zu den in Abschnitt 4.2 beschriebenen Funktionen.

Die Attribute und Eigenschaften der Richtlinien sind in den entsprechenden Kapiteln beschrieben, also die DHCP-Richtlinien beispielsweise im Netzwerk-Kapitel.

Die Namen von Richtlinien dürfen keine Umlaute enthalten.

Unter Referenzierende Objekte findet sich eine Aufstellung aller Container oder LDAP-Objekte, mit denen diese Richtlinie aktuell verknüpft ist.

In den erweiterten Einstellungen einer Richtlinie können einige allgemeine Richtlinien-Optionen gesetzt werden, die in der Regel nur für Sonderfälle nötig sind:

Richtlinien werden auf zwei unterschiedlichen Arten Objekten zugewiesen:

Der Richtlinien-Konfigurationsdialog ist funktional identisch; allerdings werden bei der Zuweisung von Richtlinien an einem LDAP-Container alle Richtlinien-Typen angeboten, während bei der Zuweisung an einem LDAP-Objekt nur die für diesen Objekt-Type gültigen Richtlinien angeboten werden.

Unter Richtlinien-Konfiguration kann dem LDAP-Objekt oder dem Container eine Richtlinie zugewiesen werden. Die aus dieser Richtlinie resultierenden Werte werden direkt angezeigt. Die Einstellung Ererbt bedeutet, dass die Einstellungen wieder aus einer übergeordneten Richtlinie - sofern vorhanden - übernommen werden.

Wenn ein Objekt mit einer Richtlinie verbunden ist oder Richtlinien-Einstellungen erbt, die auf das Objekt nicht angewandt werden können, bleiben die Einstellungen ohne Auswirkung für das Objekt. Dadurch ist es z.B. möglich, eine Richtlinie mit der Wurzel des LDAP-Verzeichnisses zu verbinden, die dann für alle Objekte der Domäne, die diese Richtlinie anwenden können, gültig ist. Objekte, die diese Richtlinie nicht anwenden können, werden nicht beeinflusst.

Richtlinien können im UMC-Domänenmodul Richtlinien bearbeitet und gelöscht werden. Die Bedienung ist in Abschnitt 4.2 beschrieben.

Im Richtlinien-Reiter der einzelnen LDAP-Objekte findet sich außerdem die Schaltfläche Bearbeiten, mit der die aktuell für dieses Objekt gültige Richtlinie bearbeitet werden kann.

Eine komplette Liste der verfügbaren Module wird angezeigt, wenn udm mit dem Parameter modules aufgerufen wird:

# univention-directory-manager modules
Available Modules are:
  computers/managedclient
  computers/computer
  computers/domaincontroller_backup
  computers/domaincontroller_master
  computers/domaincontroller_slave
 [...]

Für jedes Modul existieren bis zu fünf Operationen:

Die mögliche Optionen eines UDM-Moduls und den darauf anwendbaren Operationen können durch Angabe des Operationsnamens ausgegeben werden, z.B.

univention-directory-manager users/user move
[...]
create options:
  --binddn                         bind DN
  --bindpwd                        bind password
[...]
modify options:
  --binddn                         bind DN
  --bindpwd                        bind password
  --dn                             Edit object with DN
[...]
remove options:
  --binddn                         bind DN
  --bindpwd                        bind password
  --dn                             Remove object with DN
  --arg                            Remove object with ARG
[...]
list options:
  --filter                         Lookup filter
[...]
move options:
  --binddn                         bind DN
  --bindpwd                        bind password
[...]

Nähere Informationen, Operationen und Optionen zu jedem Modul gibt der folgende Befehl aus:

univention-directory-manager <Kategorie/Modulname>

Dabei werden auch die Attribute des Moduls angezeigt. Bei der Operation create werden mit (*) die Attribute markiert, die beim Anlegen eines neuen Objektes zwingend angegeben werden müssen.

Einigen Attributen können mehrere Werte zugewiesen werden (z.B. Mailadressen an Benutzerobjekten). Diese Multivalue-Felder sind mit [] hinter dem Attributnamen markiert. Einige Attribute können nur gesetzt werden, wenn für das Objekt bestimmte Optionen gesetzt werden. Dies ist bei den einzelnen Attributen durch Angabe des Optionsnamens aufgeführt:

users/user variables:
  General:
    username (*)                             Username
[...]
  Contact:
    e-mail (person,[])                       E-Mail Address

Hier bezeichnet username (*), dass dieses Attribut beim Anlegen von Benutzerobjekten immer gesetzt werden muss. Wird für das Benutzerkonto die Option person gesetzt (dies ist standardmäßig der Fall), können eine oder mehrere E-Mail-Adressen zu den Kontaktinformationen hinzugefügt werden.

Eine Reihe von Standard-Parametern sind für jedes Modul definiert:

Die folgenden Beispielaufrufe des Kommandozeilen-Frontend von Univention Directory Manager können als Vorlagen für eigene Skripte verwendet werden:

univention-directory-manager users/user create \
    --position "cn=users,dc=example,dc=com" \
    --set username="user01" \
    --set firstname="Random" \
    --set lastname="User" \
    --set organisation="Example company LLC" \
    --set mailPrimaryAddress="mail@example.com" \
    --set password="secretpassword"

univention-directory-manager users/user modify \
    --dn "uid=user01,cn=users,dc=example,dc=com" \
    --set street="Exemplary Road 42" \
    --set postcode="28239" \
    --set city="Bremen"

univention-directory-manager users/user list \
    --filter uid=user*

univention-directory-manager users/user list \
    --filter uid="user*" \
    --position "cn=bremen,cn=users,dc=example,dc=com"

univention-directory-manager users/user remove \
    --dn "uid=user04,cn=users,dc=example,dc=com"

univention-directory-manager users/user move \
    --dn "uid=user03,cn=hamburg,cn=users,dc=example,dc=com" \
    --position "cn=bremen,cn=users,dc=example,dc=com"

univention-directory-manager groups/group create \
    --position "cn=groups,dc=example,dc=com" \
    --set name="Example Users" \
    --set users="uid=user01,cn=users,dc=example,dc=com"

univention-directory-manager groups/group modify \
    --dn "cn=Example Users,cn=groups,dc=example,dc=com" \
    --append users="uid=user02,cn=users,dc=example,dc=com"

univention-directory-manager groups/group modify \
    --dn "cn=Example Users,cn=groups,dc=example,dc=com" \
    --remove users="uid=user01,cn=users,dc=example,dc=com"

univention-directory-manager container/cn create \
    --position "cn=computers,dc=example,dc=com" \
    --set name="bremen" \
    --set computerPath=1

univention-directory-manager policies/mailquota create \
    --position "cn=policies,dc=example,dc=com" \
    --set name="Default quota" \
    --set MailQuota=1024

univention-directory-manager container/cn modify \
    --dn "cn=users,dc=example,dc=com" \
    --policy-reference "cn=Default quota,cn=policies,dc=example,dc=com"

univention-directory-manager policies/registry create \
    --position "cn=config-registry,cn=policies,dc=example,dc=com" \
    --set name="default UCR settings" \
    --set registry="logrotate/rotate/count 52"

univention-directory-manager policies/registry modify \
    --dn "cn=default UCR settings,cn=config-registry,"\
"cn=policies,dc=example,dc=com" \
    --append registry='"logrotate/compress" "no"'

univention-directory-manager computers/windows create \
    --position "cn=computers,dc=example,dc=com" \
    --set name=WinClient01 \
    --set mac=aa:bb:cc:aa:bb:cc \
    --set ip=192.168.0.10

univention-directory-manager shares/share create \
    --position "cn=shares,dc=example,dc=com" \
    --set name="Documentation" \
    --set host="fileserver.example.com" \
    --set path="/var/shares/documentation"

univention-directory-manager shares/printer create \
    --position "cn=printers,dc=example,dc=com" \
    --set name="LaserPrinter01"  \
    --set spoolHost="printserver.example.com" \
    --set uri="ipp:// 192.168.0.100" \
    --set model="foomatic-rip/HP-Color_LaserJet_9500-Postscript.ppd" \
    --set location="Head office" \
    --set producer="producer: "\
"cn=HP,cn=cups,cn=univention,dc=example,dc=com"

univention-directory-manager shares/printergroup create \
    --set name=LaserPrinters \
    --set spoolHost="printserver.example.com" \
    --append groupMember=LaserPrinter01 \
    --append groupMember=LaserPrinter02

univention-directory-manager dhcp/host create \
    --superordinate "cn=example.com,cn=dhcp,dc=example,dc=com" \
    --set host="Client222" \
    --set fixedaddress="192.168.0.110" \
    --set hwaddress="ethernet 00:11:22:33:44:55"

Soll ein Rechnername über DNS auflösbar sein, kann mit den folgenden Befehlen eine Vorwärts- (host record) und Reverse-Auflösung (ptr record) konfiguriert werden:

univention-directory-manager dns/host_record create \
    --superordinate "zoneName=example.com,cn=dns,dc=example,dc=com" \
    --set name="Client222" \
    --set a="192.168.0.110"

univention-directory-manager dns/ptr_record create \
    --superordinate "zoneName=0.168.192.in-addr.arpa,cn=dns,"\
"dc=example,dc=com" \
    --set address="110" \
    --set ptr_record="Client222.example.com."

Weitere Informationn zu DNS finden sich in Abschnitt 9.2.

Mit erweiterten Attributen lässt sich der Funktionsumfang der Univention Management Console flexibel erweitern, siehe Abschnitt 4.6. Im folgenden Beispiel wird ein neues Attribut eingefügt, an dem pro Benutzer das KFZ-Kennzeichen des Dienstwagens gespeichert wird. Die Werte werden in einer extra für diesen Zweck vorgesehenen Objektklasse univentionFreeAttributes verwaltet:

univention-directory-manager settings/extended_attribute create \
    --position "cn=custom attributes,cn=univention,dc=example,dc=com" \
    --set name="CarLicense" \
    --set module="users/user" \
    --set ldapMapping="univentionFreeAttribute01" \
    --set objectClass="univentionFreeAttributes" \
    --set longDescription="License plate number of the company car" \
    --set tabName="Company car" \
    --set multivalue=0 \
    --set syntax="string" \
    --set shortDescription="Car license"

Um einen Report zu erstellen, muss in die Domänen-Module für Benutzer, Gruppen oder Rechner gewechselt werden. Der Report wird dabei über alle in der Übersichtsliste angezeigten Objekte erstellt. Die Auswahl kann über Filter anhand der Eigenschaft eingeschränkt werden. Ein Klick auf Report erstellen ermöglicht die Auswahl zwischen dem Standard-Report im PDF-Format und dem CSV-Report im CSV-Format.

Abbildung 4.8. Erstellen eines Reports

Die über Univention Directory Manager erzeugten Reports werden für 12 Stunden aufbewahrt und danach durch einen Cron-Job entfernt. Die Einstellungen, wann dieser Cron-Job laufen soll und wie lange diese Reports aufbewahrt werden sollen, kann über zwei Univention Configuration Registry-Variablen definiert werden:

Reports können auch über die Kommandozeile mit dem Programm univention-directory-reports erstellt werden. Informationen zur Verwendung des Programm können über die Option --help abgefragt werden.

Mit dem folgenden Befehl können beispielsweise die verfügbaren Reportvorlagen für Benutzer aufgelistet werden:

univention-directory-reports -m users/user -l

Schon vorhandene Reports können direkt mit den Voreinstellungen erstellt werden. Einige Voreinstellungen können mittels Univention Configuration Registry angepasst werden. Beispielsweise ist es möglich, das Logo, dass in der Kopfzeile jeder Seite eines PDF-Reports angezeigt wird, zu ersetzen. Dafür kann der Wert der Univention Configuration Registry-Variable directory/reports/logo den Namen einer Bilddatei enthalten. Dabei können gängigen Bildformate wie JPEG, PNG oder GIF verwendet werden. Das Bild wird automatisch auf eine feste Breite von 5.0 cm angepasst.

Neben dem Logo kann auch der Inhalt der Reports angepasst werden, indem neue Reportvorlagen definiert werden.

Ubuntu-Clients können mit einer eigenen Rechnerrolle in der Univention Management Console verwaltet werden. Die Netzwerkeigenschaften für DNS/DHCP können dabei ebenfalls über die Univention Management Console verwaltet werden.

Die Anwendung von Richtlinien wird nicht unterstützt.

Auf den Ubuntu-Systemen müssen einige Konfigurationsanpassungen vorgenommen werden, die in der erweiterten Dokumentation beschrieben sind [ext-doc-domain].

Der Standard-Kernel in UCS 3.1 basiert auf dem Linux-Kernel 3.2. Prinzipiell sind drei verschiedene Arten von Kernel-Paketen zu unterscheiden:

Im Regelfall ist für den Betrieb eines UCS-Systems nur die Installation eines Kernel-Image-Paketes notwendig.

Der Standard-Kernel in UCS für i386-basierte Systeme ist der sogenannte bigmem-Kernel für Prozessoren mit PAE-Unterstützung, der 64 GB RAM unterstützt. Für ältere i386-basierte Systeme wird ein zweiter Kernel ohne PAE-Unterstützung bereitgestellt, der maximal 4 GB Arbeitsspeicher unterstützt. Der Standard-Kernel für amd64-Systeme besitzt keine solchen Einschränkungen.

Mehrere Kernel-Varianten können parallel installiert sein. Dies stellt sicher, dass im Fehlerfall immer auf eine ältere Variante zurückgegriffen werden kann. Um ein System trotzdem immer auf dem jeweils aktuellen Stand halten zu können, werden sogenannte Meta-Pakete bereitgestellt, die immer auf die aktuell für UCS empfohlene Kernel-Version verweisen und diese im Update-Fall jeweils nachinstallieren.

Die folgenden Meta-Pakete stehen unter i386 / 32 Bit zur Verfügung:

Die folgenden Meta-Pakete stehen unter amd64 / 64 Bit zur Verfügung:

Der Boot-Prozess erfolgt zweistufig unter Verwendung einer Initial RAM Disk (kurz initrd). Diese besteht aus einem Archiv mit weiteren Treibern und Programmen. Der Boot-Manager GRUB (siehe Abschnitt 7.2.3) lädt den Kernel und die initrd in den Arbeitsspeicher, wo das initrd-Archiv entpackt und als temporäres Root-Dateisystem gemountet wird. Aus diesem wird dann das tatsächliche Root-Dateisystem eingebunden, woraufhin abschließend das temporäre Archiv wieder entfernt und der Systemstart eingeleitet wird.

Die zu verwendenden Treiber werden beim Systemstart automatisch erkannt und durch den Device Manager udev geladen. Dabei werden außerdem die notwendigen System-Verknüpfungen unter /dev/ angelegt. Wenn Treiber nicht erkannt werden (was vorkommen kann, wenn keine entsprechenden Hardware-IDs registriert sind oder Hardware verwendet wird, die nicht automatisch erkannt werden kann, etwa ISA-Steckkarten), so können zu ladende Kernel-Module durch die Univention Configuration Registry-Variable kernel/modules hinzugefügt werden. Soll mehr als ein Kernel-Modul geladen werden, so müssen diese durch ein Semikolon voneinander getrennt werden.

Im Gegensatz zu anderen Betriebssystemen liefert der Linux-Kernel (von wenigen Ausnahmen abgesehen) alle Treiber für Komponenten aus einer Hand. Im Regelfall ist es deshalb nicht notwendig Treiber aus externen Quellen nachzuinstallieren.

Wenn doch externe Treiber oder Kernelmodule benötigt werden, können diese über Dynamic Kernel Module Support (DKMS) eingebunden werden. Es stellt eine standardisierte Schnittstelle für Kernelquellen bereit und erlaubt es, Module automatisch für jeden installierten Kernel zu übersetzen. Dazu müssen neben dem Paket dkms auch die Kernel-Header-Pakete univention-kernel-headers für die gewünschten Kernel installiert werden. Zu beachten ist, dass nicht alle externen Kernelmodule mit allen Kerneln kompatibel sind.

Als Boot-Manager wird in Univention Corporate Server GNU GRUB 2 verwendet. GRUB stellt ein Auswahlmenü bereit, aus dem eine zu bootende Linux-Kernel-Variante oder ein weiteres Betriebssystem ausgewählt werden kann. GRUB kann auch direkt auf Dateisysteme zugreifen, so dass im Fehlerfall etwa ein abweichender Kernel geladen werden kann.

Abbildung 7.1. GRUB-Auswahlmenü

GRUB wird in einem zweistufigen Verfahren geladen: in den Master Boot Record der Festplatte wird der Stage 1-Loader geschrieben, der auf die Daten der Stage 2 verweist, welche den Großteil des übrigen Boot-Vorgangs übernimmt.

Die Auswahl der zu startenden Kernel im Boot-Menü wird in der Datei /boot/grub/grub.cfg abgelegt. Diese Datei wird automatisch generiert, es stehen alle installierten Kernel-Pakete zur Auswahl. Durch Auswahl der Option Memory test kann das Speicher-Testprogramm Memtest86+ gestartet werden, das Konsistenzprüfungen auf dem Arbeitsspeicher durchführt.

Standardmäßig wird fünf Sekunden auf die Auswahl des zu bootenden Kernels gewartet. Durch die Univention Configuration Registry-Variable grub/timeout kann ein abweichender Wert in Sekunden konfiguriert werden.

In der Grundeinstellung wird in einen 800x600 Pixel großen Bildschirm unter 16 Bit Farbtiefe gewechselt. Durch die Univention Configuration Registry-Variable grub/gfxmode kann ein anderer Modus ausgewählt werden. Es werden nur Auflösungen unterstützt, die über VESA Bios Extentions gesetzte werden können. Eine Liste der verfügbaren Modi findet sich unter http://en.wikipedia.org/wiki/VESA_BIOS_Extensions. Die Eingabe erfolgt im Format HORIZONTALxVERTIKAL@FARBTIEFEBIT, also z.B. 1024x768@16.

Kernel-Optionen für die gestarteten Linux-Kernel können mit der Univention Configuration Registry-Variable grub/append übergeben werden. Mit der grub/xenhopt können Optionen an den Xen-Hypervisor übergeben werden.

Die grafische Darstellung während des Bootvorgangs - der sogenannte Splash-Screen - kann durch Setzen der Univention Configuration Registry-Variable grub/bootsplash auf nosplash deaktiviert werden.

In älteren Xen-Umgebungen wird zum Booten paravirtualisierter Systeme noch eine Version von PyGrub verwendet, die auf die ältere GRUB 1-Konfigurationsdatei /goot/grub/menu.lst angewiesen ist. Diese wird automatisch erzeugt, sofern sie noch nicht existiert. Dieses Verhalten kann durch Setzen der Univention Configuration Registry-Variable grub/generate-menu-lst auf no deaktiviert werden.

Die Konfiguration der Grafikauflösungen und Monitor-Parameter erfolgt in der Grundeinstellung über eine automatische Erkennung der Grafikkarte und des Monitors. Dabei wird automatisch der beste für die Grafikkarte verfügbare Treiber ausgewählt und die Monitorauflösung auf den höchsten vom Monitor unterstützten Wert gesetzt.

Die Einstellungen können auch über eine Univention Configuration Registry-Richtlinie gesetzt werden. Die manuelle Konfguration ist auch nötig, wenn ein Dual-Monitor-Betrieb verwendet werden soll. Im folgenden eine Auswahl der wichtigen Einstellungen und die dazugehörigen UCR-Variablen in Klammern:

Mit der Richtlinie NFS-Freigaben der Rechnerverwaltung der Univention Management Console können NFS-Freigaben konfiguriert werden, die auf dem System gemountet werden. Zur Auswahl steht eine NFS-Freigabe, die unter dem in Mount point angegebenen Dateipfad eingehängt wird.

Abbildung 7.3. Einbinden einer NFS-Freigabe

Univention pflegt eine Übersicht von Hardware [hardwarelist], die mit UCS kompatibel ist und bei Kunden im Einsatz ist. Die hierbei verarbeiteten Informationen werden über das UMC-Modul Systeminformationen erfasst.

Alle Daten werden dabei anonymisiert an Univention weitergeleitet und erst nach Benutzereinwilligung übermittelt.

Im Start-Dialog finden sich die Eingabefelder Hersteller und Modell, die mit aus den DMI-Informationen der Hardware ermittelten Werten vorausgefüllt sind. Die Felder können auch angepasst und ein zusätzlicher Kommentar angegeben werden.

Wenn die Übermittlung der Systeminformationen im Rahmen einer Support-Anfrage erfolgt, sollte die Option Dies bezieht sich auf einen Supportfall aktiviert werden. Im folgenden Feld kann dann eine Ticketnummer angegeben werden, die die Zuordnung vereinfacht und eine schnellere Bearbeitung ermöglicht.

Nach einem Klick auf Weiter wird eine Übersicht der ermittelten Systeminformationen ausgegeben. Außerdem wird ein komprimiertes Tar-Archiv erstellt, das eine Liste mit den im System verwendeten Hardware-Komponenten enthält und über Archiv mit den Systeminformationen heruntergeladen werden kann.

Nach einem erneuten Klick auf Weiter kann der Übermittlungsweg der Daten an Univention ausgewählt werden. Hochladen überträgt die Daten per HTTPS, Mail senden führt zu einem Dialog, der die für den Versand nötigen Schritte aufführt.

Univention Configuration Registry ist das zentrale Werkzeug zur Verwaltung der lokalen Systemkonfiguration eines UCS-basierten Systems. Ein direktes Editieren der Konfigurationsdateien ist dabei in der Regel nicht nötig.

Einstellungen werden in einem Registrierungsmechanismus in einem einheitlichen Format festgelegt, den sogenannten Univention Configuration Registry-Variablen. Diese Variablen werden verwendet, um aus Konfigurationsdatei-Vorlagen (den sogenannten Univention Configuration Registry-Templates) die effektiv von den Diensten/Programmen verwendeten Konfigurationsdateien zu generieren.

Dieses Verfahren bietet eine Reihe von Vorteilen:

Univention Configuration Registry-Variablen können auf der Kommandozeile über den Befehl univention-config-registry (Kurzform: ucr) oder über die Univention Management Console konfiguriert werden.

Da die meisten Pakete ihre Konfiguration über Univention Configuration Registry durchführen und bei der Installation entsprechende Grundeinstellungen eingerichtet werden, sind nach der Installation eines UCS-Systems bereits einige Hundert Univention Configuration Registry-Variablen gesetzt.

UCR-Variablen können auch effizient in Shell-Skripten verwendet werden, um auf Systemeinstellungen wie den Rechnernamen zuzugreifen.

Die Benennung der Variablen folgt einer baumartigen Struktur, wobei ein Schrägstrich als Trennzeichen von Namensbestandteilen verwendet wird. Beispielsweise handelt es sich bei allen mit ldap beginnenden Univention Configuration Registry-Variablen um Einstellungen, die den lokalen Verzeichnisdienst betreffen.

Zu den meisten Variablen ist eine Beschreibung hinterlegt, die die Verwendung und Funktion erläutert.

Wenn eine Konfigurationsdatei durch ein UCR-Template verwaltet wird und die gewünschte Einstellung nicht bereits durch eine vorhandene Variable abgedeckt ist, muss statt der Konfigurationsdatei das UCR-Template erweitert werden. Würde die Konfigurationsdatei direkt angepasst, würde bei der nächsten Neugenerierung der Datei - z.B. beim Setzen einer registrierten UCR-Variable - die lokale Anpassung wieder überschrieben. Die Anpassung von UCR-Templates ist in Abschnitt 7.3.5 beschrieben.

Ein Teil der über Univention Configuration Registry konfigurierten Einstellungen sind systemspezifisch (z.B. der Rechnername), viele Eigenschaften können jedoch auch auf mehrere Rechner angewendet werden. Mithilfe der Univention Configuration Registry-Richtlinie in der Domänenverwaltung der Univention Management Console können Variablen zusammengefasst und auf mehr als einen Rechner angewendet werden.

Die Auswertung der Univention Configuration Registry-Variablen auf einem UCS-System erfolgt vierstufig:

Wird eine Variable gesetzt, die durch eine übergeordnete Richtlinie überschrieben wird, erscheint eine Warnmeldung.

Die Verwendung der Univention Configuration Registry-Richtlinie ist in Abschnitt 7.3.4 dokumentiert.

Über das Modul Univention Configuration Registry der Univention Management Console können die Variablen eines Systems angezeigt und verändert werden, außerdem besteht die Möglichkeit über Hinzufügen neue Variablen zu setzen.

Auf der Startseite wird eine Suchmaske angezeigt. Alle Variablen sind anhand einer Kategorie klassifiziert, etwa alle LDAP-bezogenen Einstellungen.

In der Suchmaske kann als Filter das Suchattribut angegeben werden, das sich auf den Variablennamen, den Wert oder die Beschreibung beziehen kann.

Nach erfolgter Suche werden die gefundenen Variablen in einer Tabelle angezeigt, dabei wird der Variablenname und der Wert angezeigt. Bewegt man den Mauszeiger auf den Variablennamen, wird eine weiterführende Beschreibung der Variable angezeigt.

Mit einem Klick auf das Icon mit dem stilisierten Stift wird die Einstellung einer Variable bearbeitet. Das Icon mit dem stilisierten Minuszeichen erlaubt das Löschen einer Variable.

Einige zentrale Variablen - z.B. der Domänenname - können nicht direkt in Univention Configuration Registry geändert werden, sondern nur indirekt über die Basiseinstellungen der Univention Management Console. Diese Variablen werden ausgegraut dargestellt. Eine Bearbeitung über das Kommandozeilen-Frontend ist weiterhin möglich.

Das Kommandozeileninterface von Univention Configuration Registry wird über den Befehl univention-config-registry aufgerufen. Alternativ kann auch die Kurzform ucr verwendet werden.

univention-config-registry get ldap/server/ip

univention-config-registry dump

univention-config-registry set VARIABLENNAME=WERT

univention-config-registry set \
    dns/forwarder1=192.168.0.2 \
    sshd/xforwarding="no" \
    sshd/port=2222

univention-config-registry set dns/forwarder1?192.168.0.2

univention-config-registry search nscd

univention-config-registry search --value master.example.com

univention-config-registry unset dns/forwarder2

univention-config-registry commit /etc/samba/smb.conf

univention-config-registry shell ldap/server/name

# eval "$(univention-config-registry shell ldap/server/name)"
# echo "$ldap_server_name"
master.firma.de

Ein Teil der über Univention Configuration Registry konfigurierten Einstellungen sind systemspezifisch (z.B. der Rechnername), viele Eigenschaften können jedoch auch auf mehrere Rechner angewendet werden. Mithilfe der im Richtlinien-Modul der Univention Management Console verwalteten Univention Configuration Registry-Richtlinie können Variablen zusammengefasst und auf mehr als einen Rechner angewendet werden.

Abbildung 7.4. Konfiguration der maximalen Mailgröße über eine Richtlinie

Zuerst muss für die anzulegende Richtlinie ein Name gesetzt werden, unter dem die Variablen später einzelnen Rechner-Objekten zugewiesen werden können.

Außerdem muss mindestens eine Variable konfiguriert und ein Wert zugewiesen werden.

Diese Richtlinie kann dann einem Rechner-Objekt oder einem Container/OU zugewiesen werden (siehe Abschnitt 4.5.2). Es ist zu beachten, dass die Auswertung der konfigurierten Werte gegenüber den übrigen Richtlinien abweicht: Die Werte werden nicht direkt auf die Rechner übertragen, sondern durch Univention Directory Policy auf den zugewiesenen Rechner geschrieben. Das dabei verwendete Zeitintervall wird durch die Univention Configuration Registry-Variable ldap/policy/cron konfiguriert und erfolgt standardmäßig stündlich.

Ein Univention Configuration Registry-Template ist im im einfachsten Fall eine Kopie der ursprünglichen Konfigurationsdatei, in der die Stellen, an denen der Wert einer Variable verwendet werden soll, eine Referenz auf den Variablennamen enthalten.

Für komplexere Szenarien kann auch Inline-Python-Code integriert werden, der dann auch komplexere Konstrukte wie etwa bedingte Abfragen erlaubt.

Die UCR-Templates werden im Verzeichnis /etc/univention/templates/files abgelegt. Der Pfad zu den Vorlagen entspricht dem absoluten Pfad zu der Konfigurationsdatei mit vorangestelltem Pfad zum Vorlagenverzeichnis. So findet sich zum Beispiel die Vorlage für die Konfigurationsdatei /etc/issue unter /etc/univention/templates/files/etc/issue.

Damit Konfigurationsdateien von Univention Configuration Registry korrekt verarbeitet werden können, müssen sie im UNIX-Format vorliegen. Werden Konfigurationsdateien z.B. unter DOS oder Windows bearbeitet, werden Steuerzeichen zur Kennzeichnung des Zeilenumbruchs eingefügt, die die Verwendung der Datei durch Univention Configuration Registry stören.

X11Forwarding @%@sshd/xforwarding@%@

@!@
if configRegistry.get('apache2/ssl/certificate'):
    print 'SSLCertificateFile %s' % \
        configRegistry['apache2/ssl/certificate']
@!@

@!@
if configRegistry.get('version/version') and \
        configRegistry.get('version/patchlevel'):
    print 'UCS %(version/version)s-%(version/patchlevel)s' % \
        configRegistry
@!@

Für den administrativen Vollzugriff existiert auf jedem UCS-System das root-Konto. Das Passwort wird beim Installieren des Systems festgelegt. Der root-Benutzer wird nicht im LDAP-Verzeichnis gespeichert, sondern in den lokalen Benutzerkonten.

Das Passwort für den lokalen root-Nutzer kann über die Univention Management Console unter Basis-Einstellungen -> Allgemein -> Root-Passwort geändert werden. Alternativ kann auf der Kommandozeile der Befehl passwd aufgerufen werden.

Es ist zu beachten, dass hierbei keine Prüfungen hinsichtlich der Passwortlänge/-Stärke und bereits verwendeter Passwörter durchgeführt wird. Um Folgefehler durch Tippfehler zu vermeiden, muss dass Passwort doppelt eingegeben werden.

Unter Linux werden Lokalisierungseigenschaften für Software in Locales definiert. Konfiguriert werden u.a. Einstellungen wie Datums- sowie zu nutzende Währungsformate, verwendete Zeichensätze und die Sprachauswahl für internationalisierte Programme. Die installierten Locales können in der Univention Management Console unter Basis-Einstellungen -> Spracheinstellungen -> Verfügbare System-Lokalisierungen geändert werden. Unter Standard-System-Lokalisierung wird die Standard-Locale festgelegt.

Abbildung 7.5. Konfiguration der Spracheinstellungen

Das Tastaturlayout im Menüpunkt Zeitzonen- und Tastatureinstellungen greift bei lokalen Anmeldungen an dem Rechner.

Mit dem UMC-Modul Systemdienste kann der aktuelle Status eines Systemdienstes geprüft und dieser ggf. gestartet oder gestoppt werden.

Abbildung 7.6. Übersicht der Systemdienste

In der Liste aller auf dem System installierten Dienste ist unter Status der aktuelle Laufzeitstatus und eine Beschreibung aufgeführt. Unter mehr kann der Dienst gestartet, gestoppt oder neu gestartet werden.

In der Grundeinstellung wird jeder Dienst automatisch beim Systemstart gestartet. In einigen Fällen kann es sinnvoll sein, den Dienst nicht direkt zu starten, sondern z.B. erst nach Konfiguration weiterer Einstellungen. Mit der Aktion Manuell starten wird der Dienst nicht beim Systemstart automatisch gestartet, kann aber nachträglich gestartet werden. Mit der Aktion Niemals starten wird auch der nachträgliche Start unterbunden.

Authentifizierungs-Dienste werden in Univention Corporate Server durch Pluggable Authentication Modules (PAM) realisiert. Dabei werden unterschiedliche Anmeldeverfahren auf eine gemeinsame Schnittstelle abgebildet, so dass eine neue Anmeldemethode keine Anpassungen an bestehenden Applikationen benötigt.

auth/sshd/group/Administrators: yes
auth/sshd/group/Computers: yes
auth/sshd/group/DC Backup Hosts: yes
auth/sshd/group/DC Slave Hosts: yes
auth/sshd/group/Domain Admins: yes
auth/sshd/restrict: yes

In einer UCS-Domäne können mehrere LDAP-Server betrieben werden. Der primär verwendete wird mit der Univention Configuration Registry-Variable ldap/server/name festgelegt, weitere Server können über die Univention Configuration Registry-Variable ldap/server/addition angegeben werden.

Alternativ können die LDAP-Server auch über die Richtlinie LDAP-Server in der Rechnerverwaltung der Univention Management Console festgelegt werden. Die Reihenfolge der Server bestimmt die Reihenfolge der Anfragen des Rechners an die Server, falls ein LDAP-Server nicht erreichbar sein sollte.

Der zu verwendende Druckserver kann mit der Univention Configuration Registry-Variable cups/server festgelegt werden.

Alternativ kann der Server auch über die Richtlinie Druckserver in der Rechnerverwaltung der Univention Management Console festgelegt werden.

Regelmäßig wiederkehrende Aktionen (wie z.B. das Verarbeiten von Logdateien) können mit dem Cron-Dienst zu einem definierten Zeitpunkt gestartet werden. Eine solche Aktion bezeichnet man auch als Cron-Job.

30 * * * * root /usr/sbin/jitter 600 /usr/share/univention-samba/slave-sync
*/5 * * * * www-data /usr/bin/php -q /usr/share/horde/reminders.php

Um häufige Anfragen unveränderter Daten zu beschleunigen, werden Namensauflösungen durch den Name Server Cache Daemon (NSCD) zwischengespeichert. Werden diese erneut angefragt, muss so nicht eine vollständige neue LDAP-Anfrage durchgeführt werden, sondern die Daten können direkt aus dem Cache bezogen werden.

Die Zwischenspeicherung der Gruppen erfolgt seit UCS 3.1 aus Performance- und Stabilitätsgründen nicht mehr über den NSCD, sondern durch einen lokalen Gruppencache, siehe Abschnitt 6.3.

Die zentrale Konfigurations-Datei des NSCD (/etc/nscd.conf) wird durch Univention Configuration Registry verwaltet.

Der Zugriff auf den Cache erfolgt über eine Hash-Tabelle. Die Größe dieser Hash-Tabelle kann über Univention Configuration Registry konfiguriert werden und sollte größer sein als die Anzahl der gleichzeitig verwendeten Benutzer/Rechner. Aus technischen Gründen sollte als Größe der Tabelle eine Primzahl verwendet werden. Die folgende Tabelle führt die Standardwerte der Variablen auf:

Bei sehr großen Caches kann es nötig sein, die Größe der Cache-Datenbank im Arbeitsspeicher zu erhöhen. Dies kann mit den Univention Configuration Registry-Variablen nscd/hosts/maxdbsize und nscd/passwd/maxdbsize konfiguriert werden.

Standardmäßig startet NSCD fünf Threads. In Umgebungen, in denen viele Zugriffe erfolgen, kann es erforderlich sein, die Anzahl durch die Univention Configuration Registry-Variable nscd/threads zu erhöhen.

In der Grundeinstellung wird ein aufgelöster Gruppen- oder Rechnername eine Stunde im Cache vorgehalten und ein Benutzername zehn Minuten. Durch die Univention Configuration Registry-Variablen nscd/hosts/positive_time_to_live und nscd/passwd/positive_time_to_live können diese Zeiträume erweitert oder verringert werden (die Angabe erfolgt in Sekunden).

Gelegentlich kann es nötig sein, den Cache des NSCD manuell zu invalidieren. Die kann individuell pro Cache-Tabelle durch folgende Befehle geschehen:

nscd -i passwd
nscd -i hosts

Der Detailgrad der Logmeldungen kann mit der Univention Configuration Registry-Variable nscd/debug/level konfiguriert werden.

Bei der Installation eines UCS-Systems wird in der Vorauswahl ein SSH-Server mitinstalliert. Über SSH können verschlüsselte Verbindungen zu Rechnern durchgeführt werden, wobei auch die Identität eines Rechners über eine Prüfsumme sichergestellt werden kann. Wesentliche Aspekte der Konfiguration des SSH-Servers lassen sich über Univention Configuration Registry anpassen:

Standardmäßig ist der Login des privilegierten root-Benutzers per SSH erlaubt (etwa um ein neu installiertes System an einem entfernten Standort zu konfigurieren, auf dem noch keine weiteren Benutzer angelegt wurden).

Mit der Univention Configuration Registry-Variable sshd/xforwarding kann konfiguriert werden, ob eine X11-Ausgabe über SSH weitergeleitet werden soll. Dies ist u.a. nötig, um einem Benutzer die Möglichkeit zu geben durch einen Login mit ssh -X ZIELRECHNER ein Programm mit grafischer Ausgabe auf einem entfernten Rechner zu starten. Die möglichen Einstellungen sind yes und no.

Der Standard-Port für SSH-Verbindungen ist Port 22 über TCP. Wenn ein abweichender Port verwendet werden soll, kann dies über die Univention Configuration Registry-Variable sshd/port konfiguriert werden.

Die Zeitzone, in der ein System angesiedelt ist, kann in der Univention Management Console unter Basis-Einstellungen -> Sprache -> Zeitzone geändert werden.

Asynchrone Systemzeiten zwischen den einzelnen Rechnern einer Domäne können die Quelle vielfältiger Fehler bedeuten: Sie verringern beispielweise die Verlässlichkeit von Log-Dateien, stören den Kerberos-Betrieb und können die korrekte Auswertung von Passwortablaufintervallen stören.

In einer Domäne dient standardmäßig der Domänencontroller Master als Zeitserver. Über die Univention Configuration Registry-Variablen timeserver, timeserver2 und timeserver3 können externe NTP-Server als Zeitquelle eingebunden werden.

Eine manuelle Zeitsynchronisation kann durch den Befehl ntpdate gestartet werden.

Windows-Clients, die in eine Samba 4-Domäne gejoint wurden, akzeptieren nur signierte NTP-Zeitanfragen. Wird die Univention Configuration Registry-Variable ntp/signed auf yes gesetzt, werden die NTP-Pakete durch Samba 4 signiert. Diese Einstellung sollte auf Samba 4-Domänencontrollern gesetzt werden.

Die in UCS integrierte Softwareverteilung bietet umfangreiche Möglichkeiten für den Rollout und die Aktualisierung von UCS-Installationen. Sicherheits- und Versionsupdates können dabei über ein Online-Update installiert werden.

Für größere Installationen besteht die Möglichkeit, einen lokalen Repository-Server einzurichten, von dem dann alle weiteren Aktualisierungen durchgeführt werden. Dieser Repository-Server bezieht seine Pakete entweder vom Univention-Online-Repository oder in Umgebungen ohne Internetzugriff auch durch Offline-Updates in Form von ISO-Images (siehe Abschnitt 7.5.4).

UCS-Systeme können über die Univention Management Console, über ein Kommandozeilen-Tool und richtliniengesteuert aktualisiert werden. Dies wird in Abschnitt 7.5.5 beschrieben. Die UCS-Softwareverteilung unterstützt nicht die Aktualisierung von Microsoft Windows-Systemen. Hierfür ist eine zusätzliche Windows-Softwareverteilung nötig.

Die Erstinstallation von UCS-Systemen ist nicht Bestandteil dieses Kapitels und wird stattdessen in Kapitel 2 beschrieben.

Der Funktionsumfang einer UCS-Installation kann durch die Einbindung weiterer Repository-Komponenten erweitert werden, siehe Abschnitt 7.5.8. Solche Komponenten werden sowohl von Univention (z.B. für das auf UCS aufbauende UCS DVS), wie auch von Drittanbietern bereitgestellt.

Die UCS-Softwareverteilung basiert auf den unterliegenden Debian-Paketmanagement-Tools, wird aber durch UCS-spezifische Werkzeuge ergänzt. Die verschiedenen Werkzeuge zur Installation von Software werden in Abschnitt 7.5.6 vorgestellt.

Die Installation von Versions- und Sicherheitsupdates kann über Richtlinien automatisiert werden, siehe Abschnitt 7.5.7

Mit dem Software-Monitor steht ein Werkzeug zur Verfügung, mit dem alle Paketinstallationsstände zentral in einer Datenbank erfasst werden, siehe Abschnitt 7.5.9.

Vier Arten von UCS-Updates werden unterschieden:

Jede ausgelieferte UCS-Version besitzt eine eindeutige Versionsbezeichnung; sie besteht aus einer Zahl (der Majorversion), einem Punkt, einer zweiten Zahl (der Minorversion) einem Bindestrich und einer dritten Zahl (der Patchlevelversion). Mit der Version UCS 3.2-1 wird also das erste Patchlevel-Update für das zweite Minor Update für das Major-Release UCS 3 bezeichnet.

Errata-Updates beziehen sich immer auf bestimmte Minor-Releases, also beispielsweise für UCS 3.0. Errata-Updates können in der Regel für alle Patchlevelversionen eines Minor Releases installiert werden.

Wenn neue Release- oder Errata-Updates verfügbar sind, wird bei der Anmeldung an der Univention Management Console ein entsprechender Hinweis ausgegeben.

Die Verfügbarkeit neuer Updates wird außerdem per E-Mail angekündigt, entsprechende Newsletter - getrennt nach Release- und Errata-Updates - können auf der Univention-Webseite abonniert werden.

Unter http://errata.univention.de/ wird zusätzlich eine Übersicht aller Errata-Updates bereitgestellt.

Zu jedem Release-Update wird ein Release-Notes-Dokument veröffentlicht, in dem die aktualisierten Pakete, Hinweise zu Fehlerkorrekturen und neuen Funktionen aufgeführt sind.

Das Univention App Center erlaubt die einfache Einbindung von Softwarekomponenten in eine UCS-Installation. Die Applikationen werden sowohl von Drittanbietern wie auch von Univention selbst (z.B. UCS@school) bereitgestellt. Der Kauf von Lizenzen, Maintenance oder Support für die Applikation verläuft über den jeweiligen Hersteller und nicht über das Univention App Center.

Abbildung 7.7. Überblick der verfügbaren Applikationen im App Center

Das Univention App Center kann über das UMC-Modul App Center aufgerufen werden. Unter Applikationen werden die verfügbaren Softwarekomponenten aufgeführt. Mit Suchbegriff kann die Liste der angezeigten Applikationen eingeschränkt werden, außerdem können die Applikationen anhand der Kategorien geordnet werden.

Klickt man auf eine der angezeigten Applikationen, werden weitergehende Details zu der Komponente angezeigt (u.a. Beschreibung, Hersteller, Ansprechpartner und ein Screenshot). Im Feld E-Mail Benachrichtigung wird angezeigt, ob der Hersteller der Softwarekomponente bei der Installation/Deinstallation benachrichtigt wird.

Abbildung 7.8. Details einer Applikation im App Center

Die Installation der meisten Anwendungen aus dem Univention App Center erfordert einen individuell ausgestellten Lizenschlüssel mit eindeutiger Schlüsselidentifikation. UCS-Lizenzschlüssel, die für UCS-Versionen vor 3.1 ausgestellt wurden, müssen umgewandelt werden. Wird eine betroffene Applikation installiert, öffnet sich ein Dialog, mit dem die Umwandlung eingeleitet werden kann: Der aktuelle Lizenzschlüssel wird dabei an Univention geschickt und der aktualisierte Schlüssel nach einigen Minuten an eine angegebene E-Mail-Adresse versendet. Der neue Schlüssel kann dann direkt eingespielt werden. Der Lizenzumfang bleibt durch die Konvertierung unverändert.

Einige Applikationen sind möglicherweise inkompatibel mit anderen Softwarepaketen aus UCS. So setzen beispielsweise die meisten Groupwarepakete voraus, dass der UCS-Mailstack deinstalliert ist. Jede Applikation prüft, ob inkompatible Versionen installiert sind und gibt einen Hinweis, welche Konflikte bestehen und wie sie beseitigt werden können. Die Installation dieser Pakete wird dann zurückgehalten, bis die Konflikte beseitigt sind.

Viele Komponenten integrieren Pakete, die auf dem Domänencontroller Master installiert werden müssen (in der Regel LDAP-Schema-Erweiterungen oder Erweiterungen für das UCS-Managementsystem). Diese Pakete werden automatisch auf dem Domänencontroller Master installiert. Ist dieser nicht erreichbar, wird die Installation abgebrochen. Außerdem werden die Pakete auf allen erreichbaren Domänencontroller Backup-Systemen eingerichtet.

Nach der Installation einer Applikation werden nach einem Klick auf das Icon einer Applikation zwei neue Optionen angezeigt: Deinstallieren entfernt eine Applikation und ein Klick auf Öffnen zeigt ein Übersichtsmodul an, in dem weitergehende Informationen wie ein Link zu Dokumentation und die installierte Version angezeigt werden. Hier kann die Applikation auch deinstalliert werden oder - falls eine aktuellere Version vorliegt - ein Update gestartet werden. Eine Übersicht über die vorhandenen Applikationen kann in der UMC-Startseite unter Installierte Applikationen abgerufen werden.

Installationen und das Entfernen von Paketen werden in der Logdatei /var/log/univention/management-console-module-appcenter.log protokolliert.

Paketinstallationen und Updates können entweder vom Univention-Update-Server oder von einem lokal gepflegten Repository durchgeführt werden. Ein lokales Repository ist sinnvoll, wenn viele UCS-Systeme zu aktualisieren sind, da Updates in diesem Fall nur einmalig heruntergeladen werden müssen. Da Repositorys auch offline aktualisiert werden können, ermöglicht ein lokales Repository auch die Aktualisierung von UCS-Umgebungen ohne Internetanbindung.

Anhand der registrierten Einstellungen werden apt-Paketquellen für Release- und Errata-Updates und Addon-Komponenten im Verzeichnis /etc/apt/sources.list.d automatisch generiert. Sollten auf einem System weitere Repositorys benötigt werden, können diese in die Datei /etc/apt/sources.list eingetragen werden.

Bei einer Neuinstallation wird in der Grundeinstellung das Univention-Repository updates.software-univention.de verwendet.

Das Univention-Repository und andere Repository-Komponenten unterscheiden zwischen zwei Bestandteilen:

Ein lokales Repository kann - gerade bei Einbindung des unmaintained-Zweiges - viel Plattenplatz in Anspruch nehmen.

univention-repository-update -h

UCS-Systeme können auf zwei Wegen aktualisiert werden; entweder pro einzelnem System (über die Univention Management Console oder auf der Kommandozeile) oder für größere Gruppen von UCS-Systemen automatisiert über eine Rechner-Richtlinie der Univention Management Console.

7.5.5.2. Aktualisierung eines einzelnen Systems in der Univention Management Console

Mit dem Online-Update-Modul der Univention Management Console können Versions- und Errata-Updates installiert werden.

In Abbildung 7.9 ist die Übersichtsseite des Moduls dargestellt. Im oberen Teil des Dialogs wird unter Release-Aktualisierungen der aktuelle Installationsstand angezeigt.

Abbildung 7.9. Aktualisierung eines UCS-Systems über UMC

Sollte eine neuere UCS-Version vorhanden sein, wird eine Auswahlliste präsentiert. Durch einen Klick auf Release-Aktualisierungen installieren werden nach Bestätigung alle Updates bis zur jeweiligen Version eingespielt. Zuvor wird ein Hinweis auf mögliche Einschränkungen der Serverdienste während des Updates angezeigt. Eventuelle Zwischenversionen werden automatisch mitinstalliert.

Durch einen Klick auf Errata-Aktualisierungen installieren werden alle für das aktuelle Release und die eingebundenen Komponenten verfügbaren Errata-Updates eingerichtet.

Mit Paket-Aktualisierungen prüfen wird eine Aktualisierung der momentan eingetragenen Paketquellen aktiviert. Dies kann etwa verwendet werden, wenn für eine Komponente eine aktualisierte Version bereitgestellt wurde.

Die während der Aktualisierung erzeugten Meldungen werden in die Datei /var/log/univention/updater.log geschrieben.

7.5.5.4. Aktualisierung von Systemen über eine Rechner-Richtlinie

Mit einer Release-Richtlinie in der Rechner-/Domänenverwaltung der Univention Management Console lässt sich ein Update für mehrere Rechner konfigurieren.

Allgemeine Hinweise zur Richtlinienverwaltung finden sich in Abschnitt 4.5.

Abbildung 7.10. Aktualisierung eines UCS-Systems über eine Release-Richtlinie

Nur wenn das Auswahlfeld Aktiviere die Richtlinie aktiviert ist, wird eine Release-Aktualisierung durchgeführt.

Das Eingabefeld Release-Version enthält die Versionsnummer, bis zu der das System aktualisiert werden soll, z.B. 3.2-1. Wird keine Angabe gemacht, aktualisiert sich das System bis zur höchsten verfügbaren Versionsnummer.

Der Zeitpunkt, zu dem die Aktualisierung durchgeführt wird, wird über eine Paketpflege-Richtlinie konfiguriert (siehe Abschnitt 7.5.7).

Die während der Aktualisierung erzeugten Meldungen werden in die Datei /var/log/univention/updater.log geschrieben.

Die Erstauswahl der Software-Komponenten eines UCS-Systems erfolgt im Rahmen der Installation. Die Auswahl der Softwarekomponenten erfolgt dabei funktionsbezogen, indem etwa die Komponente Proxy-Server ausgewählt wird, die dann über ein Meta-Paket die eigentlichen Software-Pakete nachzieht. Der Administrator muss dazu die eigentlichen Paketnamen nicht kennen. Für weitergehende Aufgaben können aber auch einzelne Pakete gezielt installiert und entfernt werden.

Bei der Installation eines Pakets werden unter Umständen Pakete mitinstalliert, die für die Funktion des angegebenen Pakets erforderlich sind, die sogenannten Paketabhängigkeiten.

Alle Softwarekomponenten werden aus einem Repository geladen (siehe Abschnitt 7.5.4).

Fremdsoftware, die nicht im Debian-Paketformat vorliegt, sollte in die Verzeichnisse /opt oder /usr/local installiert werden. UCS-Pakete nutzen diese Verzeichnisse nicht, so dass eine saubere Trennung von UCS- und Fremdsoftware gewährleistet ist.

Um auf einem bereits installierten System nachträglich weitere Pakete zuinstallieren, stehen mehrere Möglichkeiten zur Verfügung:

7.5.6.1. Funktionsbezogene Softwareauswahl in der Univention Management Console

In der Univention Management Console steht unter Basis-Einstellungen -> Software ein Modul zur Verfügung, mit der die auch im Univention Installer angebotene funktionsbezogene Softwareauswahl nachträglich angepasst werden kann. Durch Aktivierung/Deaktivierung des Auswahlkästchens vor den Komponenten und abschließendem Klick auf Speichern können Softwarekomponenten installiert und entfernt werden.

Abbildung 7.11. Funktionsbezogene Softwareauswahl

Eine Aufstellung der verfügbaren Softwareauswahl findet sich in Abschnitt 2.12.

7.5.6.2. Installation/Deinstallation von einzelnen Paketen in der Univention Management Console

Mit dem Univention Management Console-Modul App Center (Reiter: Erweiterte Software-Verwaltung) können einzelne Softwarepakete installiert und deinstalliert werden.

Abbildung 7.12. Installation des Pakets univention-squid in der Univention Management Console

Auf der Startseite wird eine Suchmaske angezeigt in der die Paketkategorie und ein Suchfilter (Name oder Beschreibung) zur Auswahl stehen. Die Ergebnisliste besteht aus einer Tabelle mit den folgenden Spalten:

• Paketname
• Paketbeschreibung
• Paketstatus

Durch einen Klick auf eine Zeile in der Ergebnisliste wird eine detaillierte Informationsseite zu dem Softwarepaket angezeigt, u.a. eine ausführliche Beschreibung und die Versionsnummer.

Zusätzlich werden ein oder mehrere Buttons angezeigt: Installieren wird angezeigt, falls das Softwarepaket noch nicht installiert ist, Deinstallieren, falls das Paket installiert ist und Aktualisieren falls das Softwarepaket bereits installiert, aber nicht aktuell ist. Durch Schließen kann zu der vorherigen Suchabfrage zurückgekehrt werden.

univention-install PAKETNAME

univention-remove PAKETNAME

apt-cache search fax

Mit einer Paketpflege-Richtlinie in der Rechner-/Domänenverwaltung der Univention Management Console kann ein Zeitpunkt vorgegeben werden, an dem die folgenden Schritte durchgeführt werden:

Alternativ können die Aktualisierungen auch beim Systemstart oder beim Herunterfahren des Systems erfolgen.

Allgemeine Hinweise zur Richtlinienverwaltung finden sich in Abschnitt 4.5.

Ein Repository enthält in der Grundeinstellung nur die Pakete des Standard-UCS-Umfangs. Weitere Komponenten können eingebunden werden, sowohl von Univention - etwa die Komponente UCS@school - oder von Drittanbietern wie Groupware-Herstellern. Zusätzliche Komponenten werden in der Regel über das Univention App Center integriert (siehe Abschnitt 7.5.3). Die folgenden Schritte sind nur notwendig für Komponenten, die nicht über das Univention App Center bereitgestellt werden.

Weitere Komponenten können über die Univention Management Console oder in der Univention Configuration Registry registriert werden.

Komponenten können versioniert werden. Dies stellt sicher, dass nur zu einer UCS-Version kompatible Komponenten installiert werden. Bei der Installation über das Univention App Center wird die Versionskompatibilität automatisch sichergestellt.

7.5.8.1. Integration von Repository-Komponenten über die Univention Management Console

Im App Center-Modul der Univention Management Console findet sich im Reiter Repository-Einstellungen eine Aufstellung der eingebundenen Repository-Komponenten. Applikationen, die über das Univention App Center eingebunden wurden, werden hier weiterhin aufgeführt, sollten aber über den Reiter App-Verwaltung verwaltet werden.

Mit Neu kann eine weitere Komponente eingerichtet werden. Der Name der Komponente identifiziert die Komponente auf dem Repository-Server. Unter Beschreibung kann ein frei wählbarer Text angegeben werden, der z.B. detaillierter auf die Funktion der Komponente eingeht.

Abbildung 7.13. Konfiguration einer Repository-Komponente in UMC

Der Rechnername des Download-Servers ist im Eingabefeld Repository Server anzugeben und, sofern notwendig, unter Repository Prefix ein eventueller zusätzlicher Dateipfad.

Für Repository-Server, die eine Authentifizierung erfordern, können Benutzername und Passwort konfiguriert werden.

Eine Software-Komponente ist erst verfügbar, wenn sie mit Diese Komponenten aktivieren aktiviert wurde.

Auch für Komponenten wird zwischen maintained und unmaintained-Komponenten unterschieden, siehe Abschnitt 7.5.4.

ucr set repository/online/component/ucsschool/description="UCS@school-Pakete" \
 repository/online/component/ucsschool/server=updates.software-univention.de \
 repository/online/component/ucsschool=yes

Der Software-Monitor ist eine Datenbank, in der Informationen über die auf UCS-Systemen installierten Softwarepakete aufgezeichnet werden. Durch diese Datenbank kann sich ein Administrator einen Überblick verschaffen, welche Release- und Paketversionen auf den Systemen der Domäne installiert sind und diese Informationen bei der schrittweisen Aktualisierung einer UCS-Domäne nutzen und Installations-Probleme erkennen.

Der Software-Monitor kann durch Auswahl der Komponente Paketstatus-Überwachung im Univention Installer eingerichtet werden. Alternativ kann das Paket univention-pkgdb installiert werden.

UCS-Systeme aktualisieren ihre Einträge bei der Installation, Entfernung und Aktualisierung von Software selbsttätig. Das System, auf dem der Software-Monitor betrieben wird, wird dabei durch den DNS-Service-Record _pkgdb._tcp lokalisiert.

Die webbasierte Abfrageschnittstelle des Software-Monitors integriert sich in die Univention Management Console und kann über das Modul Software-Monitor erreicht werden. Folgende Funktionen stehen zur Verfügung:

Abbildung 7.14. Suche nach Paketen im Software-Monitor

Wenn verhindert werden soll, dass UCS-Systeme Installations-Vorgänge im Software-Monitor aufzeichnen (etwa weil keine Netzwerkverbindung zur Datenbank besteht), kann dies durch Setzen der Univention Configuration Registry-Variable pkgdb/scan auf no abgeschaltet werden. Wenn die Aufzeichnungen danach wieder aktiviert werden, muss das Kommando univention-pkgdb-scan ausgeführt werden, damit die in der Zwischenzeit installierten Paketversionen in die Datenbank übernommen werden.

Mit dem folgenden Befehl kann der Programmbestand eines Systems wieder aus der Datenbank entfernt werden:

univention-pkgdb-scan --remove-system RECHNERNAME

Samba 3 kann auf allen UCS-Domänencontrollern durch Auswahl der Installer-Komponente NT-kompatibler Domänencontroller (Samba 3) oder durch nachträgliche Installation des Pakets univention-samba eingerichtet werden. Bei der nachträglichen Installation muss zum Abschluss der Befehl univention-run-join-scripts aufgerufen werden.

Auf Memberservern heißt die Installer-Komponente Windows Memberserver (Samba 3 / Samba 4). Alternativ können die Pakete univention-samba und winbind installiert werden.

Samba 4 kann nur auf UCS-Domänencontrollern installiert werden.

Im Univention Installer ist die Komponente Active Directory-kompatibler Domänencontroller (Samba 4) auszuwählen. Eine Installation auf der Kommandozeile erfolgt mit dem Paket univention-samba4. Auf den Systemrollen Domänencontroller Master und Domänencontroller Backup muss zusätzlich univention-s4-connector installiert werden (bei der Installation über den Univention Installer wird das Connector-Paket automatisch mitinstalliert).

Zur Installation eines Samba-Member-Servers ist auf einem UCS-Memberserver im Univention Installer die Komponente Windows Memberserver (Samba 3 / Samba 4) auszuwählen. Alternativ können die Pakete univention-samba und winbind installiert werden.

Auf allen Samba-Domänencontrollern sollte die Signierung der NTP-Pakete aktiviert werden, siehe Abschnitt 7.4.11.

Samba 4 unterstützt auf den Betrieb als read-only domain controller. Die Einrichtung ist in [ext-doc-win] dokumentiert.

Samba 4 implementiert Active Directory Verzeichnisdienste, die eine Multimasterreplikation erlauben, d.h. die schreibenden Änderungen mehrerer Domänencontroller werden auf Protokollebene synchronisiert. Die Verwendung von Snapshots in Virtualisierungslösungen sollte daher beim Einsatz von Samba 4 vermieden und Samba 4 auf einem Server betrieben werden, der durchgehend eingeschaltet bleibt.