Inhaltsverzeichnis
Mit Univention Corporate Server 4.0 steht das vierte Major Release für Univention Corporate Server (UCS) zur Verfügung. Es umfasst eine Reihe umfangreicher Funktionserweiterungen und Verbesserungen, neue Eigenschaften sowie diverse Detailverbesserungen und Fehlerkorrekturen. Die wichtigsten Änderungen im Überblick:
Das Design und die Usability der graphischen Administrationsoberfläche Univention Management Console wurde mit UCS 4.0 komplett überarbeitet. Durch ein Responsive Design kann die Administration auch bequem vom Tablet oder Smartphone aus erfolgen.
UCS Virtual Machine Manager (UVMM) kann neben lokalen UCS Virtualisierungsservern nun auch OpenStack- oder Amazon EC2-Umgebungen administrieren. Dadurch sind hybride Cloud Szenarien mit UCS Out-of-the-Box möglich.
UCS 4.0 basiert auf Debian GNU/Linux 7.7 (Wheezy). Mehr als 16.000 Source Pakete wurden aktualisiert und an die Bedürfnisse der UCS-Administratoren angepasst. Einige Kernkomponenten, wie OpenLDAP (2.4.40), Samba (4.2rc2) oder der Linux Kernel (3.16) sind in UCS 4.0 aktueller als in Debian GNU/Linux 7.7.
Die Installation von UCS wurde deutlich vereinfacht. Die Basis-Installation erfolgt mit Hilfe des Debian Installers und wird mit der Web-basierten Konfiguration des Systems abgeschlossen. Die Web-basierte Konfiguration kommt auch bei der manuellen Konfiguration von Cloud-Images oder anderen Appliances zum Einsatz.
Die Performance des OpenLDAP-Verzeichnisdienstes wurde deutlich verbessert. Standardmäßig wird bei einer Neuinstallation als Backend für OpenLDAP nun die Memory-Mapped-Datenbank (MDB) verwendet.
Die Administration von Applikationen innerhalb der UCS-Domäne wird durch ein zentralisiertes App Center noch weiter vereinfacht. Applikationen können nun über das App Center auf einem beliebigen UCS-System innerhalb der Domäne installiert werden.
UCS unterstützt nun auch die Installation auf Systemen mit aktiviertem UEFI SecureBoot.
Während der Aktualisierung kann es zu Ausfällen von Diensten innerhalb der Domäne kommen. Aus diesem Grund sollte das Update innerhalb eines Wartungsfensters erfolgen. Grundsätzlich wird empfohlen das Update zunächst in einer Testumgebung einzuspielen und zu testen. Die Testumgebung sollte dabei identisch zur Produktivumgebung sein. Je nach Systemgeschwindigkeit, Netzwerkanbindung und installierter Software kann das Update zwischen dreißig Minuten und mehreren Stunden dauern.
In Umgebungen mit mehr als einem UCS-System muss die Update-Reihenfolge der UCS-Systeme beachtet werden:
Auf dem Domänencontroller Master wird die maßgebliche (authoritative) Version des LDAP-Verzeichnisdienstes vorgehalten, die an alle übrigen LDAP-Server der UCS-Domäne repliziert wird. Da bei Release-Updates Veränderungen an den LDAP-Schemata auftreten können, muss der Domänencontroller Master bei einem Release-Update immer als erstes System aktualisiert werden.
UCS 4.0 unterstützt den Mischbetrieb mit UCS 3.2-4 Systemen. Aus diesem Grund müssen nicht alle UCS-Systeme in einem Wartungsfenster auf UCS 4.0 aktualisiert werden. Ein Mischbetrieb mit älteren UCS-Versionen, bspw. UCS 3.1 wird nicht unterstützt.
Sofern Applikationen aus dem App Center installiert sind, ist das Update erst dann möglich, wenn alle lokal installierten Applikationen im App Center verfügbar sind. Einige Applikationen werden beim Update ebenfalls auf neuere Versionen aktualisiert. Sollte eine Applikation noch nicht für UCS 4.0 verfügbar sein, kann der Zeitpunkt der Veröffentlichung beim Applikationshersteller nachgefragt werden.
Falls Univention Corporate Client 1.0 im Einsatz ist und ein Update auf Univention Corporate Client 2.0 noch nicht erfolgen soll, so sollte vor dem Update auf UCS 4.0 auf die letzte verfügbare Univention Corporate Client 1.0 Version aktualisiert werden. Dies kann mit dem folgenden Befehlen durchgeführt werden:
eval "$(ucr shell version/version version/patchlevel)" univention-add-app ucc_20140115 univention-upgrade --updateto $version_version-$version_patchlevel
Eine detaillierte Übersicht zu den Änderungen ist in den UCC 1.0 rev3 Release Notes beschrieben: http://updates.software-univention.de/doc/release-notes-ucc-1.0-rev3.pdf.
Die Verwendung von Windows NT Domänendiensten, die klassisch durch Samba 3 bereitgestellt wurden, wird mit UCS 4.0 nicht mehr empfohlen. Eine Auswahl der Windows NT Domänendienste ist deshalb während der Installation von UCS und durch das App Center nicht mehr vorgesehen. Es wird empfohlen auf die Active Directory Domänendienste von UCS (Samba 4) zu migrieren. Die Migration ist im Univention Wiki dokumentiert: http://wiki.univention.de/index.php?title=Migration_from_Samba_3_to_Samba_4.
UCS-Installations-DVSs werden ab UCS 4 nur noch für 64-Bit-Archtitekturen bereitgestellt. Vorhandene 32-Bit UCS 3 Systeme können weiterhin über das Online Repository oder über Update DVDs auf UCS 4 aktualisiert werden. Die 32-Bit-Archtitektur wird für die gesamte UCS 4 Maintenance noch unterstützt.
Es sollte geprüft werden, ob ausreichend Festplattenplatz verfügbar ist. Eine Standard-Installation benötigt min. 6 GB Speicherplatz. Das Update benötigt je nach Umfang der vorhanden Installation ungefähr 4 GB weiteren Speicherplatz zum Herunterladen und Installieren der Pakete.
Für das Update sollte eine Anmeldung auf der lokalen Konsole des Systems mit dem Benutzer
root durchgeführt und das Update dort gestartet werden. Alternativ
kann das Update über Univention Management Console durchgeführt werden.
Eine Remote-Aktualisierung über SSH wird nicht empfohlen, da dies beispielsweise bei
Unterbrechung der Netzverbindung zum Abbruch des Update-Vorgangs und zu einer
Beeinträchtigung des Systems führen kann. Sollte dennoch eine Aktualisierung über eine
Netzverbindung durchgeführt werden, ist sicherzustellen, dass das Update bei Unterbrechung
der Netzverbindung trotzdem weiterläuft. Hierfür können beispielsweise die Tools
screen oder at eingesetzt werden, die auf allen
Systemrollen installiert sind.
Einige Komponenten sind entfernt worden und werden mit UCS 4.0 nicht mehr ausgeliefert:
Der Xen Hypervisor wurde entfernt und wird nicht länger von UCS Virtual Machine Manager unterstützt. Details zur Migration zu KVM befinden sich in [ext-doc-uvmm].
Das Scalix LDAP Schema wurde in UCS 4.0 entfernt. Alle Scalix spezifischen Attribute müssen vor dem Update aus dem LDAP-Verzeichnis entfernt werden.
PostgreSQL-8.3 wurde in UCS 4.0 entfernt. Die Daten müssen von Hand in eine neuere Version migriert werden. Das Vorgehen ist in SDB 1220 beschrieben.
Cyrus-2.2 wurde in UCS 4.0 entfernt. Die Mailserverdaten müssen von Hand in eine neuere Version migriert werden. Das Vorgehen ist in SDB 1213 beschrieben.
Nach dem Update müssen die neuen oder aktualisierten Join-Skripte ausgeführt werden.
Dies kann auf zwei Wegen erfolgen: Entweder über das UMC-Modul
oder durch Aufruf des Befehls
univention-run-join-scripts als Benutzer root.
Wenn die Applikation UCS Virtual Machine Manager
zusammen mit KVM-Virtualisierungsservern vor dem Update in der Domäne betrieben wurde,
müssen die mit dem Update hinzugekommenen Profile für virtuelle Maschinen mit UCS 4.0
angepasst werden. Wenn das Bridge-Interface auf den KVM Servern nicht br0
ist, sollte das Profil entsprechend der Beschreibung in [ucs-uvmm-profile] angepasst werden.
Anschließend muss das UCS-System neu gestartet werden.
Die Profil-basierte Netzwerkinstallation von UCS steht mit UCS 4.0-0 noch nicht zur Verfügung. Die Unterstützung wird zu einem späteren Zeitpunkt nachgeliefert. Der Status kann in unserem Issue-Tracker nachvollzogen werden: Bug 35537.
Bei Verwendung der Free for personal use-Version von UCS (die in der Regel für Evaluationen von UCS herangezogen wird) werden anonyme Nutzungsstatistiken zur Verwendung von Univention Management Console erzeugt. Die aufgerufenen Module werden dabei von einer Instanz des Web-Traffic-Analyse-Tools Piwik protokolliert. Dies ermöglicht es Univention die Entwicklung von Univention Management Console besser auf das Kundeninteresse zuzuschneiden und Usability-Verbesserungen vorzunehmen.
Diese Protokollierung erfolgt nur bei Verwendung der Free-for-Personal-Use-Lizenz. Der Lizenzstatus kann überprüft werden durch den Eintrag des Benutzermenüs in der rechten, oberen Ecke von Univention Management Console. Steht hier unter wird eine solche Version verwendet. Bei Einsatz einer regulären UCS-Lizenz erfolgt keine Teilnahme an der Nutzungsstatistik.
Die Protokollierung kann unabhängig von der verwendeten Lizenz durch Setzen der Univention Configuration Registry-Variable
umc/web/piwik auf false deaktiviert werden.
WebKit, Konqueror und QtWebKit werden in UCS im maintained-Zweig des Repositorys mitgeliefert, aber nicht durch Sicherheits-Updates unterstützt. WebKit wird vor allem für die Darstellung von HTML-Hilfeseiten u.ä. verwendet. Als Web-Browser sollte Firefox eingesetzt werden.
Univention Management Console verwendet für die Darstellung der Web-Oberfläche zahlreiche Javascript- und CSS-Funktionen. Cookies müssen im Browser zugelassen sein. Die folgenden Browser werden empfohlen:
Chrome ab Version 33
Firefox ab Version 24
Internet Explorer ab Version 9
Safari und Safari Mobile ab Version 7
Auf älteren Browsern können Darstellungs- oder Performanceprobleme auftreten.
Die Changelogs mit den detaillierten Änderungsinformationen werden nur in Englisch gepflegt. Aufgeführt sind die Änderung seit UCS 3.2-4:
update40/skip/openjdk7 to
true (Bug 35382).
grub/gfxmode) is now
set to "text", otherwise the grub menu is invisible
(Bug 30978).
ldap/database/type. The backend is
not changed during the update. More information about MDB can be found in the
performance guide: [ucs-performance-guide]
(Bug 34994,
Bug 36725).
ldap/ppolicy
and ldap/ppolicy/enabled to yes and
restarting the slapd daemon. The default policy is such that
5 repeated LDAP authentication failures within a monitoring interval
of 5 minutes causes the authenticating account to be locked in UDM.
A locked account can only be unlocked via UDM by a Domain Admin.
The number of repeated LDAP authentication failures can be adjusted
in the configuration object which has the objectClass pwdPolicy.
The attribute pwdMaxFailure determines the number of LDAP
authentication errors before lockout. The attribute pwdMaxFailure
determines the time interval in seconds which is considered: LDAP authentication
failures outside of that interval are neglected in the counting.
Other attributes of this objectclass should not be adjusted
(Bug 31907).
univention.uldap removes the base
object from the search result if the search scope one was used. Thus
the behavior is identical between BDB and MDB
(Bug 36169).
shadowMax, shadowExpire
and univentionUDMOptionModule have been added
(Bug 36215,
Bug 36671,).
windows/domain is derived from the domain name
it is automatically truncated to up to 15 characters to conform to netbios
restrictions (Bug 36459).
preup.sh and postup.sh
have been adapted to the needs of UCS 4.0
(
Bug 36205,
Bug 36218,
Bug 36228,
Bug 36229,
Bug 36441,
Bug 36455,
Bug 36554,
Bug 36558,
Bug 36618,
Bug 36619,
Bug 36620,
Bug 36769
).
apt-get autoremove to
deinstall obsolete packages (e.g. packages that were automatically installed
but are now no longer referenced by other packages). This can be disabled by setting
the Univention Configuration Registry variable update40/skip/autoremove to true.
(Bug 36265).
univention-repository-create is still able to create a local
repository from any type of UCS DVD (old or new data structure). But as of UCS 4.0 the PXE
installation of UCS system prior to UCS 4 is no longer supported. Therefore
univention-repository-create will not copy PXE installation data from UCS DVDs
with old data structure (Bug 36269).
univention.uldap implementation to retry failed connects too many times.
This has been fixed (Bug 35841, Bug 35852).
univention.uldap resulted in
invalid access errors in the S4 Connector after a samba restart.
To avoid this, the S4 Connector turns off the reconnect feature for the access
to the samba directory service (Bug 36227).
mail/postfix/smtpd/tls/eecdh/grade and
mail/postfix/tls/preempt/cipherlist have been added
to allow better configuration of postfix's perfect forward secrecy
(Bug 35923).
mail/antivir/spam to false
after the update
(Bug 36524).
mail/alias/* variables are set
(Bug 31837).
net idmap secret has been renamed to net idmap set secret
(Bug 35765).
SMB_CONF_PATH is set during the
univention-samba join to ensure the right configuration is used
(Bug 36734).
SMB_CONF_PATH is set during the
univention-samba4 join to ensure the right configuration is used
(Bug 36806).
windows/wins-support was not set samba complained about
an empty value in smb.conf This has been fixed
(Bug 33261).
smb.conf validation code complained about empty values in smb.conf
(Bug 36814).
dns/forwarder*
Univention Configuration Registry settings from the DC master will be copied to the joining system
(Bug 36245).
xorg/keyboard/options/XkbModel,
xorg/keyboard/options/XkbLayout and
xorg/keyboard/options/XkbVariant. The old
Univention Configuration Registry variable locale/keymap has been removed
(Bug 35709).
[ext-doc-uvmm] Univention GmbH. 2014. Extended virtualization documentation. https://docs.software-univention.de/uvmm-4.0.html.
[ucs-uvmm-profile] Univention GmbH. 2014. UCS manual - Virtualization - Profiles. https://docs.software-univention.de/manual-4.0.html#uvmm::profile::network.
[ucs-performance-guide] Univention GmbH. 2014. UCS performance guide. https://docs.software-univention.de/performance-guide-4.0.html.