Inhaltsverzeichnis
Mit Univention Corporate Server 3.2 steht das zweite Minor-Release für Univention Corporate Server (UCS) zur Verfügung. Es umfasst diverse Detailverbesserungen und Fehlerkorrekturen:
Die Bedienung der Univention Management Console wurde an vielen Stellen optimiert und vereinfacht, z.B. gibt es nun vereinfachte Assistenten zum Anlegen von Benutzern und interne Systembenutzer werden in der Grundeinstellung nicht mehr angezeigt. Die Univention Management Console bietet außerdem nun Single-Sign-On; mit einer Anmeldung kann auf verschiedene UMC-Instanzen zugegriffen werden.
SAML (Security Assertion Markup Language) ist ein XML-basierter Standard zum Austausch von Authentifizierungsinformationen, der u.a. Single-Sign-On über Domänengrenzen hinweg erlaubt. UCS stellt nun einen SAML Identity Provider bereit: Der externe Dienst (z.B. Salesforce) wird dabei über ein kryptografisches Zertifikat fest registriert und vertraut dann dem Identity Provider. Der Benutzer authentifiziert sich dann nur noch in UCS und kann den eingebundenen Dienst ohne erneute Authentifizierung nutzen.
Das Univention App Center wurde weiter ausgebaut und bietet weitergehende Integrationsmöglichkeiten für Drittanbieter (z.B. Relationen von Apps und optionale Bestellfunktionen von Apps aus dem App Center). Auch die Standard-UCS-Komponenten werden nur über das App Center verwaltet.
Samba 4 wurde auf Version 4.1 aktualisiert. SMB2 wird nun anstelle von CIFS als bevorzugtes Protokoll für Dateidienste eingesetzt. Der Univention S4 Connector wurde deutlich beschleunigt und die Synchronisation von Gruppen verbessert.
Bridges, Bondings und VLANs können nun auch in der Univention Management Console konfiguriert werden.
Die unterliegende Debian-Version wurde auf Version 6.0.8 aktualisiert; dies bringt zahlreiche Verbesserungen und Fehlerkorrekturen mit sich.
Der Linux-Kernel wurde auf 3.10.15 aktualisiert.
Die Verwaltung von Freigaben wurde vereinfacht. Für NFS-Freigaben wird nun auch NFSv4 unterstützt.
Die Proxy-Authentifizierung kann nun auch über Kerberos erfolgen.
In Umgebungen mit mehr als einem UCS-System muss die Update-Reihenfolge der UCS-Systeme beachtet werden:
Auf dem Domänencontroller Master wird die maßgebliche (authoritative) Version des LDAP-Verzeichnis-dienstes vorgehalten, die an alle übrigen LDAP-Server der UCS-Domäne repliziert wird. Da bei Release-Updates Veränderungen an den LDAP-Schemata auftreten können muss der Domänencontroller Master bei einem Release-Update immer als erstes System aktualisiert werden.
Generell ist es empfehlenswert alle UCS-Systeme möglichst in einem Wartungsfenster zu aktualisieren.
Es sollte geprüft werden, ob ausreichend Festplattenplatz verfügbar ist. Eine Standard-Installation benötigt min. 6 GB Speicherplatz. Das Update benötigt je nach Umfang der vorhanden Installation mindestens 1 GB weiteren Speicherplatz zum Herunterladen und Installieren der Pakete.
Für das Update sollte eine Anmeldung auf der Console mit dem Benutzer root durchgeführt und das Update dort gestartet werden. Alternativ kann das Update über die Univention Management Console durchgeführt werden.
Eine Remote-Aktualisierung über SSH wird nicht empfohlen, da dies beispielsweise bei
Unterbrechung der Netzverbindung zum Abbruch des Update-Vorgangs und zu einer
Beeinträchtigung des Systems führen kann. Sollte dennoch eine Aktualisierung über eine
Netzverbindung durchgeführt werden, ist sicherzustellen, dass das Update bei Unterbrechung
der Netzverbindung trotzdem weiterläuft. Hierfür können beispielsweise die Tools
screen oder at eingesetzt werden, die auf allen
Systemrollen installiert sind.
Applikationen, die aus dem Univention App Center installiert wurden, müssen vor dem Update aktualisiert werden. Wird beispielsweise im Online-Update-Modul die Fehlermeldung angezeigt, muss die installierte Applikation (in diesem Fall Zarafa) im Univention App Center mit aktualisiert werden, bevor das Release-Update initiiert werden kann.
Ab UCS 3.2 wird von dem Paket univention-mail-cyrus ein neues Univention Configuration Registry-Template für die
Konfigurationsdatei der Cyrus-BDB-Datenbank
(/var/lib/cyrus/db/DB_CONFIG) ausgeliefert.
Die Default-Werte der UCR-Variablen für die Konfiguration der BDB-Datenbank sind:
mail/cyrus/bdb/dbconfig/set_lg_regionmax : "2097152"
mail/cyrus/bdb/dbconfig/set_cachesize : "0 2097152 1"
Eine bereits vorhandene Cyrus BDB-Konfiguration wird während des Update nach
/var/lib/cyrus/db/DB_CONFIG.debian kopiert. Sollten die neuen
Default-Werte nicht der alten, bereits vorhandenen Konfiguration entsprechen oder sind
die verwendeten Optionen nicht in den neuen Default-Werten enthalten, sollten die
entsprechenden Univention Configuration Registry-Variablen vor dem Update gesetzt werden, z.B.:
ucr set mail/cyrus/bdb/dbconfig/set_cachesize="0 4097152 1" ucr set mail/cyrus/bdb/dbconfig/set_lg_regionmax="2097152" ucr set mail/cyrus/bdb/dbconfig/set_lg_max="1048576"
Das Listener Modul für die Verwaltung der Postfächer wurde überarbeitet. Postfächer werden nun nur noch angelegt, wenn das Attribut mailHomeServer am Benutzer gesetzt ist (in der UMC unter ).
Ist die Univention Configuration Registry-Variable mail/cyrus/mailbox/delete auf dem Mailserver aktiviert
und wird das Mail-Home-Server-Attribut vom Benutzerobjekt entfernt, wird dadurch das Postfach
gelöscht.
Einige Komponenten sind entfernt worden und werden mit UCS 3.2 nicht mehr ausgeliefert:
Das UMC-Modul wurde entfernt. Für einen grafischen Remote-Login auf UCS-Server kann alternativ Xrdp aus dem Univention App Center installiert werden.
Das Paket univention-local-users (nur Bestandteil von unmaintained) wurde entfernt.
Das Installationsprogramm für das Flash-Plugin wird nicht mehr ausgeliefert.
Nach dem Update müssen die neuen oder aktualisierten Join-Skripte ausgeführt werden. Dies
kann auf zwei Wegen erfolgen: Entweder über das UMC-Modul
oder durch Aufruf des Befehls
univention-run-join-scripts als Benutzer root.
Anschließend sollte das UCS-System neu gestartet werden.
Bei einer Neuinstallation ab UCS 3.0 wird vom Univention Installer direkt GRUB 2 in den Bootsektor geschrieben.
Bei einem Update bleibt GRUB 1 im Master Boot Record (MBR) installiert. GRUB 2 richtet einen Eintrag "Chainload into GRUB" ein, der dann das eigentliche GRUB 2 lädt.
Eine Dokumentation, um auch auf aktualisierten Systemen GRUB 2 direkt in den MBR zu schreiben wird in der Univention Supportdatenbank bereitgestellt (http://sdb.univention.de/1218).
Ab UCS 3.0 wird neben PostgreSQL 8.3 auch PostgreSQL 8.4 angeboten. Bei Aktualisierungen von Systemen mit PostgreSQL 8.3 auf UCS 3.0 wird aber die installierte PostgreSQL Version beibehalten.
Das Update auf PostgreSQL 8.4 ist im SDB-Artikel http://sdb.univention.de/1220 beschrieben.
Ab UCS 3.2 wird die Horde Groupware Webmail Edition nicht mehr über das Paket univention-horde4 sondern über das Univention App Center bereitgestellt. Das Update von univention-horde4 auf bzw. die Neuinstallation von Horde 5.1.0 erfolgt über die Installation der App Horde Groupware Webmail Edition im Univention App Center.
In Versionen vor UCS 3.2 verwendete Samba zur Bereitstellung von Dateidiensten das CIFS-Protokoll. Bei Neuinstallationen ab UCS 3.2 wird standardmäßig der Nachfolger SMB2 aktiviert. Verwendet man einen Client, der SMB2 unterstützt (ab Windows Vista, also auch Windows 7/8), verbessert sich die Performance und die Skalierbarkeit.
Bei Updates von früheren UCS-Releases verwendet Samba weiterhin CIFS. Um die Verwendung
von SMB2 nachträglich zu aktivieren muss auf allen Samba-Servern die Univention Configuration Registry-Variable
samba/max/protocol auf SMB2 gesetzt werden und der/die
Samba-Server neu gestartet werden.
Preup- und Postup-Skripte sind Skripte, die vor und nach Release-Updates aufgerufen werden (z.B. zur Nachbereitung des Updates, etwa die Deinstallation obsoleter Pakete). Ab UCS 3.2 werden diese Skripte kryptographisch signiert, um eine unerlaubte Modifikation zu verhindern. Beim Update und Spiegeln des Repositories werden diese Signaturen überprüft. Sind diese ungültig oder fehlen, so wird die Aktion abgebrochen.
Wird ein Repository-Server mit UCS 3.1-x betrieben, muß dieser auf UCS 3.2 aktualisiert werden, bevor weitere Systeme auf UCS 3.2-1 aktualisiert werden können.
Wenn ein Update des Repository-Servers nicht möglich ist, müssen die Signaturdateien manuell heruntergeladen werden:
LOCAL_DIR="/var/lib//univention-repository/mirror"
SERVER="http://updates.software-univention.de"
for release in 3.2-0 3.2-1; do
for script in preup postup; do
file="3.2/maintained/$release/all/$script.sh.gpg"
wget -O "$LOCAL_DIR/$file" "$SERVER/$file"
done
done
Alternativ kann die Prüfung der Signaturen auch deaktiviert werden, was ein Sicherheitsrisiko darstellen kann.
Für dem Repository-Server kann dazu die Univention Configuration Registry-Variable repository/mirror/verify auf false gesetzt werden.
Für das Update muß auf allen Systemen die Univention Configuration Registry-Variable repository/online/verify auf false gesetzt werden.
Bei Neuinstallationen ab UCS 3.2 werden bei Verwendung von Samba 4 die Gruppenmitgliedschaften zwischen dem Samba 4-Verzeichnisdienst und dem OpenLDAP-Verzeichnisdienst durch den Univention S4-Connector synchronisiert, d.h. jede Gruppe auf UCS-Seite ist einer Gruppe im Active Directory assoziiert.
Systeme, die mit UCS-Versionen vor 3.2 installiert wurden, können optional nachträglich umgestellt werden. Weitere Informationen finden sich unter http://sdb.univention.de/1237.
Die UCS-Startseite konnte in früheren UCS-Versionen durch Univention Configuration Registry-Templates im
Verzeichnis /etc/univention/templates/files/var/www/ucs-overview
erweitert werden. Ab UCS 3.2 wird die Startseite durch Univention Configuration Registry-Variablen erweitert
(ucs/web/overview/entries/*, weitere Informationen finden sich in den
UCR-Variablenbeschreibungen). Eventuell bestehende Erweiterungen müssen daher manuell
migriert werden.
Bei Verwendung der Free for personal use-Version von UCS (die in der Regel für Evaluationen von UCS herangezogen wird) werden anonyme Nutzungsstatistiken zur Verwendung der Univention Management Console erzeugt. Die aufgerufenen Module werden dabei von einer Instanz des Web-Traffic-Analyse-Tools Piwik protokolliert. Dies ermöglicht es Univention die Entwicklung der Univention Management Console besser auf das Kundeninteresse zuzuschneiden und Usability-Verbesserungen vorzunehmen.
Diese Protokollierung erfolgt nur bei Verwendung der Free-for-Personal-Use-Lizenz. Der Lizenzstatus kann durch einen Klick auf das Zahnrad-Symbol in der rechten, oberen Ecke der Univention Management Console und die Auswahl von geprüft werden. Steht hier unter Free for personal use edition wird eine solche Version verwendet. Bei Einsatz einer regulären UCS-Lizenz erfolgt keine Nutzungsstatistik.
Die Protokollierung kann unabhängig von der verwendeten Lizenz durch Setzen der
Univention Configuration Registry-Variable umc/web/piwik auf false deaktiviert
werden.
Ab UCS 3.1 steht für amd64 neben der Standard-Installations-DVD auch ein Medium mit Unterstützung für den Unified Extensible Firmware Interface-Standard (UEFI) bereit.
Auf Systemen, die nur einen UEFI-Start unterstützen, kann sie anstelle der Standard-DVD verwendet werden.
Webkit, Konqueror und QtWebkit werden in UCS im maintained-Zweig des Repositorys mitgeliefert, aber nicht durch Sicherheits-Updates unterstützt. Webkit wird vor allem für die Darstellung von HTML-Hilfeseiten u.ä. verwendet. Als Web-Browser sollte Firefox eingesetzt werden.
Univention Management Console verwendet für die Darstellung der Web-Oberfläche zahlreiche Javascript- und CSS-Funktionen. Cookies müssen im Browser zugelassen sein. Die folgenden Browser werden empfohlen:
Chrome ab Version 14
Firefox ab Version 10
Internet Explorer ab Version 9
Safari (auf dem iPad 2)
Auf älteren Browsern können Darstellungs- oder Performanceprobleme auftreten.
Die aktuell vom Samba-Projekt veröffentlichten Versionen von Samba 4 unterliegen in der Weiterentwicklung noch stärkeren Änderungen als Samba 3. Einige Funktionalitäten stehen daher noch nicht vollständig zur Verfügung:
Microsoft Windows Domänencontroller dürfen aktuell nicht in eine Samba 4-Domäne gejoint werden.
Eine selektive Replikation ist mit Samba 4 nicht möglich, da diese durch Active Directory prinzipiell nicht unterstützt wird (in UCS@school basiert die selektive Replikation auf der Listener/Notifier-Replikation).
Samba 4 unterstützt aktuell keine Forest-Domänen.
Samba 4 unterstützt aktuell keine Vertrauensstellungen.
Weitere Hinweise finden sich in Kapitel 8 des UCS-Handbuchs [UCS-Handbuch].
Bei der Installation von UCS in der Virtualisierungslösung VirtualBox vor Version 4.2 kann folgender VirtualBox-Bug auftreten: Wenn von der Installations-DVD gebootet wird, bietet GRUB die Option an. Wählt man diese Option aus, friert VirtualBox ein.
Als Workaround muß vor dem Neustart der UCS-VM entweder die Installations-DVD aus den Laufwerkseinstellungen der VirtualBox-VM entfernt werden oder beim Start der virtuellen Instanz F12 gedrückt werden und die Festplatte als Bootpartition ausgewählt werden.
Bei der Installation von UCS in der Virtualisierungslösung Citrix XenServer 6.0 - 6.2 wird mit der standardmässig emulierten Cirrus-Grafikkarte das Grub-Menü des Univention Installers nicht angezeigt. Der Univention Installer kann durch Drücken der ENTER-Taste direkt gestartet werden; alternativ startet die Installation automatisch nach sechzig Sekunden. Der dann gestartete Univention Installer wird normal dargestellt.
Um Grub korrekt darzustellen, kann die von XenServer emulierte Grafikkarte umkonfiguriert
werden. Dazu muss eine Anmeldung als Benutzer root auf dem
XenServer-System folgen. Mit dem Befehl xe vm-list muss zuerst die UUID
der virtuellen Maschine ermittelt werden. Mit dem folgenden Befehl wird dann die emulierte
Grafikkarte auf VGA umkonfiguriert:
xe vm-param-set uuid=UUIDVM platform:vga=std
Es existieren zwei grundlegende Verfahren zur Migration von Samba 3 auf Samba 4:
Aufbau einer parallelen Samba 4-Domäne. Beide Domänen verwenden unterschiedliche NetBIOS-Namen und SIDs. Die Clients treten dann schrittweise der Samba 4-Domäne bei.
Migration aller Systeme innerhalb eines Wartungsfensters.
Beide Verfahren sind im Univention Wiki ausführlich dokumentiert: http://wiki.univention.de/index.php?title=Migration_from_Samba_3_to_Samba_4.
Wenn der Xen Hypervisor benutzt wird und das Speicherlimit über die Univention Configuration Registry-Variable
grub/xenhopt begrenzt wurde, sollte der Wert aktualisiert und um die
,max:-Angabe erweitert werden. Weitere Details finden sich unter
http://wiki.univention.de/index.php?title=UVMM_Quickstart-3.1#Konfiguration_der_Dom0.
Die Changelogs mit den detaillierten Änderungsinformationen werden nur in Englisch gepflegt. Aufgeführt sind die Änderung seit UCS 3.1-1:
/etc/issue (Bug 31094).
The Debian point update 6.0.8 was incorporated. Among other changes it also fixes several security issues (Bug 31956):
preup.sh using slapschema
(Bug 25674).
pvremove before pvcreate is called (Bug 31925).
grub-install <device> after the update has
completed successfully. Alternatively if the GRUB device is known in advance, the Univention Configuration Registry variable
update/grub/boot may be set to the corresponding devicename
(e.g. update/grub/boot=/dev/sda) (Bug 28191,
Bug 32634, Bug 33125).
grub/vga=788). During the update to UCS
3.2 the color depth switches from 16 to 24 bits (grub/vga=789) if the default settings
are still set. The old state may be regained by setting the Univention Configuration Registry variable
grub/vga=788. To prevent this change during the update, set the Univention Configuration Registry variable
update32/grub/changecolordepth=no prior to the update (Bug 32634).
uniboot.png and
uniboot.xpm.gz) are now stored in
/usr/share/univention-grub/ and will be copied to
/boot/grub/ during package updates (Bug
33123).
update/reboot/required,
which triggers a note to the user that the system requires a reboot to complete the update
(Bug 24287). The kernel 2.6.32 transition packages have
been removed (Bug 31593).
kernel/blacklist can now be used to prevent kernel modules
from being loaded. Multiple entries need to be separated by a semicolon. By default the
nouveau module is now blacklisted since the kernel module from 3.10 is incompatible with
the Xorg userland (Bug 19892).
The kernel inotify parameters can now be controlled by Univention Configuration Registry variables (Bug 32327). The default values have been increased to improve support of large environments. The following Univention Configuration Registry variables are available:
kernel/fs/inotify/max_user_instances (default: 512)kernel/fs/inotify/max_user_watches (default: 32768)kernel/fs/inotify/max_queued_events (default: 16384)/etc/sysctl.d/ the file should be removed and the configured values transfered to the respective Univention Configuration Registry variables.
/etc/network/interfaces was converted from a single-file template
into a multi-file template. To preserve user modifications the original file was moved to
the new location. This breaks the network tools, since the generated file now contains two
declarations for the loopback interface. This situation is now detected and the second
declaration is commented out (Bug 32297).
interfaces/restart/auto to false (Bug 31844). In the past this has caused time-outs and
re-connect problems. The previous value is restored after the package
univention-base-files has been updated successfully.
{K5KEY} scheme has been fixed (Bug 31352).
slapd init script now supports graceful-restart
and graceful-stop, both asking the slapd kindly to
stop and then waiting for 120 seconds before forcefully killing the process
(Bug 31998). If slapd can not be
started, slapschema is called to determine the cause and the output is
displayed (Bug 23055). The temporary schema file is now
properly removed (Bug 31989).
ldap/server/port is now set to 7389 by default (Bug 26888).
ldap/server/additional has been
removed. ldap/server/addition can be used instead (Bug 24507).
univention-ldap-backup now creates a separate logfile during the backup
process in /var/univention-backup/ (Bug 31997). A bug which could lead to truncated
slapcat output was fixed (Bug 31170).
ldap/acl/user/passwordreset/protected/gid.
By default the group Domain Admins is protected (Bug 29710).
The Univention Configuration Registry variable descriptions have been revised (Bug 30946).
univention-object-metadata.schema,
udm_extension.schema and
univention-ldap-extension.schema
(Bug 32391, Bug 32410).
univention-app.schema using the new mechanism implemented via
Bug 32412.
univentionShareHost now supports the substring
search (Bug 31208).
univention-legacy-kolab-schema
have been revised (Bug 30946).
windows/domain is now set in
univention-join to the value of windows/domain on
the DC master (Bug 24442).
univention-run-join-scripts have been fixed (Bug 32005).
univention-server-join now adds /usr/sbin/ and /sbin/ to the shell PATH
environment variable before importing the univention shell libs (Bug 31281).
univention-backup2master now also replaces the Univention Configuration Registry variable kerberos/kpasswdserver
with the new masters's FQDN (Bug 31077).
univention-backup2master now cleans up Samba 4 related objects
(Bug 27893).
univention-backup2master now transfers the Samba/AD FSMO roles before removing the old DC account from Samba4
(Bug 33382).
umc-get was fixed (Bug 30605).
univention-add-app
more robust (Bug 32398). A new option allows to
install the latest version of the application (Bug
31157). Fixed app installation with --all and --master when pointing to an
outdated version (Bug 31279).
univention-management-console-server startup (Bug 31154).
apache2/startsite will now be set to correct values when
reinstalling, uninstalling and updating univention-system-setup-boot (Bug 31385, Bug 31643).
directory/manager/web/modules/users/user/properties/username/syntax to
string) (Bug 19441).
connector/s4/mapping/group/grouptype is set to true (Bug 32767).
eval() has been replaced with getattr() in several UMC modules
(Bug 31523).
proof_dns_dhcp_records has been
corrected (Bug 30903).
univention-dnsedit which occurred when trying to remove the last
location from a SRV record has been corrected. When removing the last location, the whole
SRV record will be removed now (Bug 32592).
/etc/apache2/sites-enabled/univention-repository will now be disabled
(Bug 29262).
preup.sh and postup.sh are digitally signed from UCS version 3.2-0 onwards.
Both updater and mirror will refuses to download them if they are not signed by any PGP key stored in trust-ring of apt-key.
The verification can be disabled using the Univention Configuration Registry variable repository/online/verify and repository/mirror/verify
(Bug 28045).
call_joinscript() has been modified. The start and end of every
executed join script will be displayed on console (Bug 29263).
machine/password/length and
machine/password/complexity (Bug 31281).
getLDAPURIs and getLDAPServersCommaList have been added to the Python lib, which return all configured LDAP servers (Bug 19753).
ucs_registerLDAPExtension and ucs_unregisterLDAPExtension have been implemented
(Bug 32392, Bug 26785, Bug 32643,
Bug 32663).
ucs_isServiceUnused now always searches in the LDAP
directory of the DC master and uses proper LDAP bind credentials
(Bug 32578).
univention-ipcalc6 to compute DNS names have been moved to the new Python module univention.ipcalc (Bug 32931).
ucs_removeServiceFromHost was made idempotent and can now also be used when the service does not exist (Bug 33138).
mail/cyrus/imap/duplicatesuppression (default: yes) has been
added to univention-mail-cyrus. If set to yes, lmtpd will suppress delivery
of a message to a mailbox if same message with the same message-id (or resent-message-id)
has already been delivered to the mailbox (Bug 22429).
/var/lib/cyrus/db/DB_CONFIG for the cyrus bdb
configuration has been added. This template is registered to UCR variables with the prefix
mail/cyrus/bdb/dbconfig/. All these variables, without the prefix,
and the values are written to the DB_CONFIG file. Default settings for the DB_CONFIG file
are:
mail/cyrus/bdb/dbconfig/set_lg_regionmax="2097152" mail/cyrus/bdb/dbconfig/set_cachesize="0 2097152 1"(Bug 28464)
ldap/server/addition too (Bug 19753).
pam_univentionmailcyrus now supports multiple LDAP
servers (Bug 19753).
mail/cyrus/ssl/cafile and mail/cyrus/ssl/capath have been
added to configure the Cyrus CA certificates (Bug 28123).
mail/postfix/smtpd/debug has been added to configure
whether the smtpd should be started in debug mode (Bug 29593).
The Univention Configuration Registry variables mail/postfix/ssl/cafile and mail/postfix/ssl/capath have been
added to configure smtpd ca certificates (Bug 28124).
The Univention Configuration Registry variable mail/postfix/smtpd/banner has been added to
configure the the SMTP greeting banner (Bug 32444).
ldap/server/addition (Bug 19753).
cups/errorpolicy. The change will be applied to all printers (Bug 28877). The SystemGroup parameter has
changed. System groups are now separated by a blank character and not by a comma in
cupsd.conf. The Univention Configuration Registry variable must remain a comma separated list
though (Bug 28884).
lpadmin (Bug 17660).
univention-check-printers (Bug
28558). Package dependencies to univention-printserver and
bsd-mailx have been added (Bug 29123).
cups/printmode/hosts/none. This functionality is needed for UCS@School
(Bug 32055).
/etc/samba/printers.conf is refreshed directly
(Bug 31764).
/usr/share/univention-heimdal/check_cracklib.py has
been fixed (Bug 22926).
kpasswdd is now only started on the master domain
controller (Bug #20167).
squid_ldap_ntlm_auth is a negotiate wrapper for either Kerberos
or NTLM over negotiate. The previous negotiate authenticator setting can be restored by
setting the Univention Configuration Registry variable squid/krb5auth/tool to
/usr/lib/squid3/squid_kerb_auth (Bug 31972).
squid/auth/allowed_groups was not set (Bug 30969).
98univention-squid-samba4.inst now correctly saves its status when
not in a Samba 4 environment (Bug 32011).
/var/www/ucs-overview/languages.json, which contains available server
languages and can be controlled by Univention Configuration Registry variables
ucs/server/languages/* (Bug 32677).
umc/server/languages/.* has been renamed to Univention Configuration Registry
variable ucs/server/languages/.*, possible user defined variables will be
adopted during package update (Bug 32678).
nagios/server/checkexternalcmd has been
changed to yes (Bug 29839).
nfs/nfsd/nfs4 can be set to false (Bug 21556).
nfs/common/gssd, which defaults to yes (Bug 21556).
nfs/common/idmapd, which defaults to yes (Bug 21556).
nssldap/nss_srv has been added to specify whether or not
libnss-ldap is allowed to perform DNS SRV record lookups (Bug 30779).
libnss-ldap.secret if it is a link (Bug 30779).
ldap-group-to-file.py does now support postrun hooks located in
/var/lib/ldap-group-to-file-hooks.d/. Thus scripts can be executed after
changing the group memberships (Bug 32581).
/etc/postgresql/pam_ldap.conf now uses
the univention Python lib to generate the LDAP URI
(Bug 19753).
server/password/change.
The date is now calculated relative to the date of the last password change instead of
being relative to the start of the current year (Bug
31068).
sshd/motd to false (Bug 31096). The
new Univention Configuration Registry variable sshd/banner can be used to configure a banner display for
SSH logins.
/etc/mysql.secret. This file can be read by root. If a password is
already set, nothing will be done (Bug 19354).
univention-mount-homedir was improved to reduce
server load during concurrent logins. The logging was cleaned up (Bug 31256).
/usr/lib/flashplugin-nonfree (Bug 31852).
/etc/samba/shares.conf is now updated directly after
changing a share (Bug 29399).
windows/wins-server and Univention Configuration Registry variable
windows/wins-support are now set in the Samba join script
(Bug 31814, Bug 32745).
samba/max_protocol has been renamed to Univention Configuration Registry variable
samba/max/protocol (Bug 31921).
windows/wins-server and
windows/wins-support are now initialised during the join
(Bug 30813, Bug 32745).
samba/client_use_spnego and Univention Configuration Registry variable
samba/time_server have been removed (Bug
26389).
samba4/join/site without Samba 4 on the master domain
controller now respects the chosen samba4/dc (Bug 30792).
sysvol-sync.py now preserves timestamps (Bug 30823).
sysvol-cleanup.py moved the policy definitions away. Now it considers only GPO
paths (Bug 31186).
samba4/sysvol/sync/setfacl/AU (Bug 31271, Bug 31275).
samba4-idmap now also works in case smb.conf includes files readable
only for root (Bug 31538).
/var/lib/samba/ntp_signd (Bug 31109).
/etc/samba/shares.conf includes non-existing
files, it is now updated directly after a share was added/removed or renamed (Bug 31800).
samba/max/protocol has been added (Bug 31145).
New Samba 4 installations now uses SMB2 as the maximum supported SMB
protocol. On updated systems NT1 is still used
(Bug 32394).
/etc/krb5.conf will get committed from the updated UCR
template on update (Bug 31306).
/var/lib/samba is now cleaned up during the
rejoin of the system
(Bug 32595).
/etc/samba/local.conf
(Bug 32376).
purge_s4_computer.py, which
could occur if a DC was removed from a Samba 4/AD site
(Bug 30763).
idmap.ldb as ID_TYPE_BOTH
(Bug 33129).
samba/max_open_files is now raised to
32786 (Bug 32221).
create_spn_account.sh now also sets the
saltPrincipal attribute, ensuring compatibility with kinit
(Bug 32291).
setup-s4.sh
(Bug 31106).
samba4/service/smb have been fixed
(Bug 30968).
create_dns-host_spn.py has been removed
(Bug 28371).
displayName attribute definition has been moved from post_attributes to attributes in the user mapping
definition. This increases the synchronisation performance (Bug 32323).
connector/s4/mapping/group/grouptype
is set to true. By default this is activated for new UCS 3.2 installations only. All other
systems have to be migrated manually
(Bug 32768, Bug 29486,
Bug 33121).
univention-ad-takeover script now runs a consistency check on the samba database at the end of the takeover process
(Bug 33339).
connector/ad/mapping/group/grouptype
is set to true. By default this is activated for new UCS 3.2 installations only. All other
systems have to be migrated manually
(Bug 32769).
univention-directory-manager users/user list --filter uid=Administrator
(Bug 30116
univention-dnsedit has been added (Bug 31104).
user_create from the internal test framework now checks whether the mail domain
exists or not. If the mail domain for the local domain does not exist the user is created
without a mail address (Bug 31296).
tests/domainadmin/account,
tests/domainadmin/pwd and tests/domainadmin/pwdfile
have been added. They can be used to configure which domain administrator credentials
ucs-test should use when running tests (Bug 31250).
udm-test or wait_for_replication. The existing test cases have been adapted
(Bug 31687, Bug 31678,
Bug 31679, Bug 31680,
Bug 32025, Bug 32797).
import_ldif_with_listener, import_ldif_without_listener and an
example customer LDIF with 5000 users and other objects have been added to
ucs-test-tools (Bug 29418).
ucslint (Bug 28699).
random_* functions from random.sh now encode
timestamp information into the output to hopefully guarantee better uniqueness. Several
unused and subtly broken functions have been removed (Bug
32793).
umc/object/policies command has been added
(Bug 32271
univention-user-quota has been rewritten in Python. It does now support share names with
whitespaces (Bug 30636, Bug 31957).
univention-home-mounter has been fixed (Bug 19441).