Inhaltsverzeichnis
Mit Univention Corporate Server 4.0-2 steht das zweite Point-Release für Univention Corporate Server (UCS) 4.0 zur Verfügung. Es umfasst diverse Detailverbesserungen und Fehlerkorrekturen. Die wichtigsten Änderungen im Überblick:
Die Free for personal Use Lizenz wurde durch die UCS Core Edition Lizenz ersetzt. Dadurch kann UCS auch im kommerziellen Einsatz kostenfrei eingesetzt werden. Das Upgrade der Lizenz ist in SDB 1324 beschrieben. Mehr Informationen zur UCS Core Edition finden sich unter https://www.univention.de/produkte/preise/.
Die Container-Virtualisierung Docker wurde zu UCS hinzugefügt. Dadurch können auf einem UCS-System Docker-Container gestartet werden. Es stehen auch erste Docker Images von UCS zur Verfügung. Weitere Informationen dazu unter http://wiki.univention.de/index.php?title=Docker.
Für die Erstellungen von Apps gibt es jetzt speziell einen eigenen Leitfaden.
Nach der Installation einer App auf einem entfernten System wird diese nun automatisch über Join Skripte konfiguriert.
Es gab zahlreiche Verbesserungen in Design und Usability der Univention Management Console.
Die automatische Profil-basierte UCS Installation über das Netzwerk wurde hinzugefügt.
Die Active Directory Kompatibilität wurde verbessert.
So ist nun der Domänenbeitritt von Windows 2008 R2 Foundation Servern als Memberserver möglich.
Zudem wurde ein Problem in der SID Auflösung in Zusammenhang mit NetApp Storage Systemen behoben.
Beim Web-Server Apache und Mail-Server Postfix werden zusätzliche Einstellungen bezüglich der Verschlüsselung und anderer Sicherheitseinstellungen unterstützt. Des Weiteren werden alte Verschlüsselungsverfahren standardmäßig nicht mehr aktiviert.
Während der Aktualisierung kann es zu Ausfällen von Diensten innerhalb der Domäne kommen. Aus diesem Grund sollte das Update innerhalb eines Wartungsfensters erfolgen. Grundsätzlich wird empfohlen das Update zunächst in einer Testumgebung einzuspielen und zu testen. Die Testumgebung sollte dabei identisch zur Produktivumgebung sein. Je nach Systemgeschwindigkeit, Netzwerkanbindung und installierter Software kann das Update zwischen 20 Minuten und mehreren Stunden dauern.
In Umgebungen mit mehr als einem UCS-System muss die Update-Reihenfolge der UCS-Systeme beachtet werden:
Auf dem Domänencontroller Master wird die maßgebliche (authoritative) Version des LDAP-Verzeichnisdienstes vorgehalten, die an alle übrigen LDAP-Server der UCS-Domäne repliziert wird. Da bei Release-Updates Veränderungen an den LDAP-Schemata auftreten können, muss der Domänencontroller Master bei einem Release-Update immer als erstes System aktualisiert werden.
Sofern Applikationen aus dem App Center installiert sind, ist das Update erst dann möglich, wenn alle lokal installierten Applikationen im App Center verfügbar sind. Einige Applikationen werden beim Update ebenfalls auf neuere Versionen aktualisiert. Sollte eine Applikation noch nicht für UCS 4.0 verfügbar sein, kann der Zeitpunkt der Veröffentlichung beim Applikationshersteller nachgefragt werden.
UCS-Installations-DVSs werden ab UCS 4 nur noch für 64-Bit-Archtitekturen bereitgestellt. Vorhandene 32-Bit UCS 3 Systeme können weiterhin über das Online Repository oder über Update DVDs auf UCS 4 aktualisiert werden. Die 32-Bit-Archtitektur wird für die gesamte UCS 4 Maintenance noch unterstützt.
Es sollte geprüft werden, ob ausreichend Festplattenplatz verfügbar ist. Eine Standard-Installation benötigt min. 6 GB Speicherplatz. Das Update benötigt je nach Umfang der vorhanden Installation ungefähr 2 GB weiteren Speicherplatz zum Herunterladen und Installieren der Pakete.
Für das Update sollte eine Anmeldung auf der lokalen Konsole des Systems mit dem Benutzer root durchgeführt und das Update dort gestartet werden.
Alternativ kann das Update über Univention Management Console durchgeführt werden.
Eine Remote-Aktualisierung über SSH wird nicht empfohlen, da dies beispielsweise bei Unterbrechung der Netzverbindung zum Abbruch des Update-Vorgangs und zu einer Beeinträchtigung des Systems führen kann.
Sollte dennoch eine Aktualisierung über eine Netzverbindung durchgeführt werden, ist sicherzustellen, dass das Update bei Unterbrechung der Netzverbindung trotzdem weiterläuft.
Hierfür können beispielsweise die Tools screen oder at eingesetzt werden, die auf allen Systemrollen installiert sind.
Nach dem Update müssen die neuen oder aktualisierten Join-Skripte ausgeführt werden.
Dies kann auf zwei Wegen erfolgen:
Entweder über das UMC-Modul oder durch Aufruf des Befehls univention-run-join-scripts als Benutzer root.
Anschließend muss das UCS-System neu gestartet werden.
Die Profil-basierte Netzwerkinstallation von UCS steht mit UCS 4.0-2 zur Verfügung. Genauere Informationen dazu befinden sich in [ext-doc-inst].
Bei Verwendung der UCS Core Edition-Version von UCS (die in der Regel für Evaluationen von UCS herangezogen wird) werden anonyme Nutzungsstatistiken zur Verwendung von Univention Management Console erzeugt. Die aufgerufenen Module werden dabei von einer Instanz des Web-Traffic-Analyse-Tools Piwik protokolliert. Dies ermöglicht es Univention die Entwicklung von Univention Management Console besser auf das Kundeninteresse zuzuschneiden und Usability-Verbesserungen vorzunehmen.
Diese Protokollierung erfolgt nur bei Verwendung der UCS Core Edition. Der Lizenzstatus kann überprüft werden durch den Eintrag des Benutzermenüs in der rechten, oberen Ecke von Univention Management Console. Steht hier unter wird eine solche Version verwendet. Bei Einsatz einer regulären UCS-Lizenz erfolgt keine Teilnahme an der Nutzungsstatistik.
Die Protokollierung kann unabhängig von der verwendeten Lizenz durch Setzen der Univention Configuration Registry-Variable umc/web/piwik auf false deaktiviert werden.
WebKit, Konqueror und QtWebKit werden in UCS im maintained-Zweig des Repositorys mitgeliefert, aber nicht durch Sicherheits-Updates unterstützt. WebKit wird vor allem für die Darstellung von HTML-Hilfeseiten u.ä. verwendet. Als Web-Browser sollte Firefox eingesetzt werden.
Univention Management Console verwendet für die Darstellung der Web-Oberfläche zahlreiche JavaScript- und CSS-Funktionen. Cookies müssen im Browser zugelassen sein. Die folgenden Browser werden empfohlen:
Chrome ab Version 33
Firefox ab Version 24
Internet Explorer ab Version 9
Safari und Safari Mobile ab Version 7
Auf älteren Browsern können Darstellungs- oder Performanceprobleme auftreten.
Die Changelogs mit den detaillierten Änderungsinformationen werden nur in Englisch gepflegt. Aufgeführt sind die Änderungen seit UCS 4.0-1:
All security updates issued for UCS 4.0-1 are included:
ComplexInput widget (Bug 36539).
www.univention.de (Bug 37908).
localhost (Bug 37347).
umc/http/maxthreads (Bug 37851).
www.univention.de (Bug 37908).
PrinterURI syntax class (Bug 36711).
--policies option of UDM command line tool (Bug 21585).
ucr set directory/manager/web/modules/mail/domain/properties/name/syntax='string' (Bug 34552).
univention-license-check (Bug 38203).
sambadomain settings module (Bug 28331).
/var/log/univention/join.log (Bug 37489).
motd.setup before the system is fully configured (Bug 37129, Bug 38510).
system/setup/boot/fields/blacklist has been extended to disabling the selection of particular server roles (Bug 38116).
/var/log/univention/setup.log is now regularly flushed (Bug 38293).
setup-join.sh is called from the command line.
All output is logged to STDOUT/STDERR (Bug 38332).
05_role/10role has been speeded up.
It creates hard-links instead of copying packages into the dpkg cache (Bug 38393).
setup-join:
run-parts now prints filenames (Bug 38332).
univention-add-app now prevents the installation of apps on the wrong server role (Bug 32543).
univention-user-quota (Bug 36805).
univention-group-quota (Bug 37134).
mail/localmailboxsizelimit and mail/messagesizelimit have been updated as 0 does not implement unlimited as previously mentioned (Bug 38061).
Additional arguments for smtpd processes may now be added via Univention Configuration Registry variables.
The given arguments are automatically added to the configuration file /etc/postfix/master.cf.
The following UCR variable prefixes are currently supported:
mail/postfix/mastercf/options/smtp/...mail/postfix/mastercf/options/smtps/...main.cf framework have been done for defining a custom restriction rule set via Univention Configuration Registry variables for Postfix' smtps port (465).
There is currently no change in Postfix behaviour (Bug 38049).
mail/postfix/tls/client/exclude_ciphers and mail/postfix/smtpd/tls/exclude_ciphers and sets them by default to RC4, aNULL (Bug 38043).
mail/postfix/smtpd/tls/*protocols and mail/postfix/tls/client/*protocols (Bug 38044).
mail/postfix/smtpd/restrictions/sender/require_reverse_dns and mail/postfix/smtpd/restrictions/sender/require_forward-confirmed_reverse_dns for weaker and stricter reverse DNS checking respectively (Bug 38292).
/etc/machine.secret file for LDAP lookups in the join script (Bug 36861).
ldap/server/addition (Bug 37752).
ethX are now also added to the access control list (Bug 36623).
The configuration of the SSL/TLS support in Apache has been improved:
apache2/ssl/tlsv11 is set to true, Apache only accepts TLS 1.1 and TLS 1.2.
apache2/ssl/tlsv12 is set to true, Apache only accepts TLS 1.2.
apache2/ssl/compression.
apache2/ssl/ciphersuite.
apache2/ssl/honorcipherorder is set, the server choice of ciphers is used instead of the ciphers preferred by
the TLS client.
Please refer to the Univention Configuration Registry variable descriptions for additional details (Bug 35456).
ucs/web/overview/entries/*/*/port_http and .../port_httpslocale/keymap, which caused the join script to use en-us as default keyboard layout.
This has been fixed (Bug 37551).
Windows Server 2008 R2 Foundation member server license check failed in Samba/AD domains (Bug 37687).
[ext-doc-inst] Univention GmbH. 2014. Extended installation documentation. https://docs.software-univention.de/installation-4.0.html.