Inhaltsverzeichnis
Mit Univention Corporate Server 3.2-1 steht das erste Point-Release für Univention Corporate Server (UCS) zur Verfügung. Es beinhaltet alle für UCS 3.2-0 veröffentlichten Errata-Updates:
Das Linux-Kernel-Paket wurde auf Version 3.10.26 aktualisiert. Dies verbessert neben vielen Bugfixes auch den Hardware-Support.
Das Univention App Center wurde erweitert: Neben vielen Detailverbesserungen wurden neue Schnittstellen geschaffen, die die Integration von Applikationen von Drittherstellern verbessern.
Univention AD Takeover - die UCS-Lösung zur automatischen Migration einer Active Directory-Domäne zu UCS - wurde weiter verbessert; u.a. wird nun auch die Migration von AD-Domänen unterstützt, die nicht in Englisch oder Deutsch betrieben wurden.
Zahlreiche Usability-Verbesserungen in der Univention Management Console.
In Umgebungen mit mehr als einem UCS-System muss die Update-Reihenfolge der UCS-Systeme beachtet werden:
Auf dem Domänencontroller Master wird die maßgebliche (authoritative) Version des LDAP-Verzeichnisdienstes vorgehalten, die an alle übrigen LDAP-Server der UCS-Domäne repliziert wird. Da bei Release-Updates Veränderungen an den LDAP-Schemata auftreten können muss der Domänencontroller Master bei einem Release-Update immer als erstes System aktualisiert werden.
Generell ist es empfehlenswert alle UCS-Systeme möglichst in einem Wartungsfenster zu aktualisieren.
Es sollte geprüft werden, ob ausreichend Festplattenplatz verfügbar ist. Eine Standard-Installation benötigt min. 6 GB Speicherplatz. Das Update benötigt je nach Umfang der vorhanden Installation mindestens 1 GB weiteren Speicherplatz zum Herunterladen und Installieren der Pakete.
Für das Update sollte eine Anmeldung auf der Console mit dem Benutzer root durchgeführt und das Update dort gestartet werden. Alternativ kann das Update über die Univention Management Console durchgeführt werden.
Eine Remote-Aktualisierung über SSH wird nicht empfohlen, da dies beispielsweise bei Unterbrechung der Netzverbindung zum Abbruch des Update-Vorgangs und zu einer Beeinträchtigung des Systems führen kann.
Sollte dennoch eine Aktualisierung über eine Netzverbindung durchgeführt werden, ist sicherzustellen, dass das Update bei Unterbrechung der Netzverbindung trotzdem weiterläuft.
Hierfür können beispielsweise die Tools screen oder at eingesetzt werden, die auf allen Systemrollen installiert sind.
Nach dem Update müssen die neuen oder aktualisierten Join-Skripte ausgeführt werden.
Dies kann auf zwei Wegen erfolgen: Entweder über das UMC-Modul oder durch Aufruf des Befehls univention-run-join-scripts als Benutzer root.
Anschließend sollte das UCS-System neu gestartet werden.
Preup- und Postup-Skripte sind Skripte, die vor und nach Release-Updates aufgerufen werden (z.B. zur Nachbereitung des Updates, etwa die Deinstallation obsoleter Pakete). Ab UCS 3.2 werden diese Skripte kryptographisch signiert, um eine unerlaubte Modifikation zu verhindern. Beim Update und Spiegeln des Repositories werden diese Signaturen überprüft. Sind diese ungültig oder fehlen, so wird die Aktion abgebrochen.
Wird ein Repository-Server mit UCS 3.1-x betrieben, muß dieser auf UCS 3.2 aktualisiert werden, bevor weitere Systeme auf UCS 3.2-1 aktualisiert werden können.
Wenn ein Update des Repository-Servers nicht möglich ist, müssen die Signaturdateien manuell heruntergeladen werden:
LOCAL_DIR="/var/lib//univention-repository/mirror" SERVER="http://updates.software-univention.de" for release in 3.2-0 3.2-1; do for script in preup postup; do file="3.2/maintained/$release/all/$script.sh.gpg" wget -O "$LOCAL_DIR/$file" "$SERVER/$file" done done
Alternativ kann die Prüfung der Signaturen auch deaktiviert werden, was ein Sicherheitsrisiko darstellen kann.
Für dem Repository-Server kann dazu die Univention Configuration Registry-Variable repository/mirror/verify auf false gesetzt werden.
Für das Update muß auf allen Systemen die Univention Configuration Registry-Variable repository/online/verify auf false gesetzt werden.
Bei Verwendung der Free for personal use-Version von UCS (die in der Regel für Evaluationen von UCS herangezogen wird) werden anonyme Nutzungsstatistiken zur Verwendung der Univention Management Console erzeugt. Die aufgerufenen Module werden dabei von einer Instanz des Web-Traffic-Analyse-Tools Piwik protokolliert. Dies ermöglicht es Univention die Entwicklung der Univention Management Console besser auf das Kundeninteresse zuzuschneiden und Usability-Verbesserungen vorzunehmen.
Diese Protokollierung erfolgt nur bei Verwendung der Free-for-Personal-Use-Lizenz. Der Lizenzstatus kann durch einen Klick auf das Zahnrad-Symbol in der rechten, oberen Ecke der Univention Management Console und die Auswahl von geprüft werden. Steht hier unter Free for personal use edition wird eine solche Version verwendet. Bei Einsatz einer regulären UCS-Lizenz wird keine Nutzungsstatistik gesammelt.
Die Protokollierung kann unabhängig von der verwendeten Lizenz durch Setzen der Univention Configuration Registry-Variable umc/web/piwik auf false deaktiviert werden.
Für amd64 steht neben der Standard-Installations-DVD auch ein Medium mit Unterstützung für den Unified Extensible Firmware Interface-Standard (UEFI) bereit.
Auf Systemen, die nur einen UEFI-Start unterstützen, muss sie anstelle der Standard-DVD verwendet werden.
Webkit, Konqueror und QtWebkit werden in UCS im maintained-Zweig des Repositorys mitgeliefert, aber nicht durch Sicherheits-Updates unterstützt. Webkit wird vor allem für die Darstellung von HTML-Hilfeseiten u.ä. verwendet. Als Web-Browser sollte Firefox eingesetzt werden.
Univention Management Console verwendet für die Darstellung der Web-Oberfläche zahlreiche Javascript- und CSS-Funktionen. Cookies müssen im Browser zugelassen sein. Die folgenden Browser werden empfohlen:
Chrome ab Version 14
Firefox ab Version 10
Internet Explorer ab Version 9
Safari (auf dem iPad 2)
Auf älteren Browsern können Darstellungs- oder Performanceprobleme auftreten.
In Samba 4 stehen einige Active-Directory-Funktionen noch nicht vollständig zur Verfügung:
Microsoft Windows Domänencontroller dürfen aktuell nicht in eine Samba 4-Domäne beitreten.
Eine selektive Replikation ist mit Samba 4 nicht möglich, da diese durch Active Directory prinzipiell nicht unterstützt wird (in UCS@school basiert die selektive Replikation auf der Listener/Notifier-Replikation).
Samba 4 unterstützt aktuell keine Forest-Domänen.
Samba 4 unterstützt aktuell keine Vertrauensstellungen.
Weitere Hinweise finden sich in Kapitel 8 des [ucs-handbuch].
Bei der Installation von UCS in der Virtualisierungslösung VirtualBox vor Version 4.2 kann folgender VirtualBox-Bug auftreten: Wenn von der Installations-DVD gebootet wird, bietet GRUB die Option an. Wählt man diese Option aus, friert VirtualBox ein.
Als Workaround muß vor dem Neustart der UCS-VM entweder die Installations-DVD aus den Laufwerkseinstellungen der VirtualBox-VM entfernt werden oder beim Start der virtuellen Instanz F12 gedrückt werden und die Festplatte als Bootpartition ausgewählt werden. UCS startet danach dann problemlos.
Bei der Installation von UCS in der Virtualisierungslösung Citrix XenServer 6.0 - 6.2 wird mit der standardmässig emulierten Cirrus-Grafikkarte das Grub-Menü des Univention Installers nicht angezeigt. Der Univention Installer kann durch Drücken der ENTER-Taste direkt gestartet werden; alternativ startet die Installation automatisch nach sechzig Sekunden. Der dann gestartete Univention Installer wird normal dargestellt.
Um Grub korrekt darzustellen, kann die von XenServer emulierte Grafikkarte umkonfiguriert werden.
Dazu muss eine Anmeldung als Benutzer root auf dem XenServer-System folgen.
Mit dem Befehl xe vm-list muss zuerst die UUID der virtuellen Maschine ermittelt werden.
Mit dem folgenden Befehl wird dann die emulierte Grafikkarte auf VGA umkonfiguriert:
xe vm-param-set uuid=UUIDVM platform:vga=std
Es existieren zwei grundlegende Verfahren zur Migration von Samba 3 auf Samba 4:
Aufbau einer parallelen Samba 4-Domäne. Beide Domänen verwenden unterschiedliche NetBIOS-Namen und SIDs. Die Clients treten dann schrittweise der Samba 4-Domäne bei.
Migration aller Systeme innerhalb eines Wartungsfensters.
Beide Verfahren sind im Univention Wiki ausführlich dokumentiert: http://wiki.univention.de/index.php?title=Migration_from_Samba_3_to_Samba_4.
Wenn der Xen Hypervisor benutzt wird und das Speicherlimit über die Univention Configuration Registry-Variable grub/xenhopt begrenzt wurde, sollte der Wert aktualisiert und um die ,max:-Angabe erweitert werden.
Weitere Details finden sich unter http://wiki.univention.de/index.php?title=UVMM_Quickstart-3.1#Konfiguration_der_Dom0.
Die Changelogs mit den detaillierten Änderungsinformationen werden nur in Englisch gepflegt. Aufgeführt sind die Änderung seit UCS 3.2-0:
/usr/include/asm/ to the different location
/usr/include/gnu-*-linux/asm/, which broke compiling other
software. This change was reverted (Bug 33924).
/etc/security/limits.conf has been increased to 32768. This value can be
changed by setting the Univention Configuration Registry variables security/limits/default/user/soft/nofile
and security/limits/default/user/hard/nofile (Bug 32415).
univention-ldapsearch now accepts the command line options
--binddn, --bindpwd and
--bindpwdfile for authentication.
ldap/index/ (Bug 33430).
groups/default/* (Bug 33645).
users/default/*. These variables are managed
automatically by a Univention Directory Listener module and should usually not be
adjusted manually (Bug 33890).
univention-add-app now works through proxies (Bug 33542).
Fixed an error in the usage information of the option --latest (Bug 31410).
updater.status
file (Bug 33548).
urandom is deactivated until the appliance mode is
finished. This avoids having the same random seed in templates. Also recreate SSH and SSL
keys during boot if the files are missing (Bug 30034).
update/available
(Bug 33762).
cups-pdf://. This has been corrected (Bug 33383).
ucs_registerLDAPExtension to let join scripts continue in case an
LDAP extension could not be registered because a newer one is already active in the domain
(Bug 33582).
custom_groupname maps the
default group names to the actual name (Bug 33649).
custom_username maps the
default user names to the actual name (Bug 33710).
s4 has been added for Samba-related operations (Bug 33893).
/etc/univention/ssl/ and the files
contained in it where mangled on certificate renewal via the UMC module . New certificates created using
univention-certificate new were created with incorrect
permissions. This update fixes these issues, making sure that the group DC
Backup Hosts has access to the certificates (Bug 31941).
ntp/noquery which can be set to true to disable most queries including
the "monlist" function and thus mitigates this issue. The regular time service of NTP
will continue to serve time updates independent of the value of the variable. After
setting the variable the NTP service needs to be restarted in the "System services"
module of the Univention Management Console or with the command /etc/init.d/ntp restart.
It is recommended to set this variable on UCS systems that exposes the NTP
service to the internet. On installations with UCS 3.2-1 the variable is automatically
set (Bug 33834).
samba/winbind/rpc/only is set to yes trusts relations
to Microsoft Windows AD domains are possible again (Bug 33303).
samba/global/options/* was
fixed (Bug 28722).
create_spn_account.sh failed in case the generated random
password started with a dash. This has been fixed (Bug 32938).
ldapsearch-wrapper has been added to
univention-ldapsearch calls in Samba setup scripts to prevent line
wrapping of LDAP search results (Bug 33583).
well-known-sid-name-mapping.py implements a mechanism for domain-wide
customisation of account names for well known Windows/Samba SIDs. It sets the Univention Configuration Registry-Variables
groups/default/* and users/default/* in case accounts with
well known SIDs are renamed (Bug 33897).
firefox to hang when accessing the UMC in a local
session (Bug 34125).
[ucs-handbuch] Univention GmbH. 2013. Univention Corporate Server - Manual for users and administrators. http://docs.univention.de/manual-3.2.html.