Inhaltsverzeichnis
Mit Univention Corporate Server 4.0-3 steht das dritte Point-Release für Univention Corporate Server (UCS) 4.0 zur Verfügung. Es umfasst diverse Detailverbesserungen und Fehlerkorrekturen. Die wichtigsten Änderungen im Überblick:
Der Mailserver Dovecot wurde als Standard IMAP/POP3-Server in UCS integriert und bietet somit eine Alternative zum weiterhin zur Verfügung stehenden Cyrus IMAP Server. Weitere Informationen zur Integration sind in diesem Artikel beschrieben.
Mit dem Update auf Samba 4.2.3 wurde die Kompatibilität zu Active Directory weiter ausgebaut. Dies beinhaltet u.a. Verbesserungen in der DRS-Replikation und der Handhabung von Druckertreibern. Auch ist der Domänenbeitritt von Huawai Storage Systemen in die von UCS bereitgestellte Active Directory-Domäne nun möglich.
Es gibt zahlreiche Verbesserungen in Design und Usability des UCS-Managementsystems. So ist es nun bspw. möglich die Vor- und Zurück-Buttons des Webbrowsers zu benutzen. Dies ermöglicht ein einfacheres und schnelleres Navigieren in der Managementoberfläche.
Für LDAP-Richtlinien können nun LDAP-Filter definiert werden, das bedeutet die LDAP-Richtlinien gelten nur auf die Objekte, die dem LDAP-Filter entsprechen. Dadurch ist es, vor allen in größeren Umgebungen möglich, LDAP-Richtlinien noch einfacher und generischer anzuwenden.
Der Linux Kernel wurde auf den letzten stabilen 3.16er Longterm-Kernel aktualisiert. Dieser beinhaltet diverse Sicherheitsaktualisierungen sowie neuere und aktualisierte Treiber für eine verbesserte Hardware-Unterstützung.
Sämtliche für UCS 4.0-2 veröffentlichten Sicherheitsupdates sind in diesem Update enthalten. Um die Sicherheit des UCS-Systems zu erhöhen, ist es nun einfach per Univention Configuration Registry-Variable möglich die HTTP-Anfragen auf HTTPS umzuleiten.
Während der Aktualisierung kann es zu Ausfällen von Diensten innerhalb der Domäne kommen. Aus diesem Grund sollte das Update innerhalb eines Wartungsfensters erfolgen. Grundsätzlich wird empfohlen das Update zunächst in einer Testumgebung einzuspielen und zu testen. Die Testumgebung sollte dabei identisch zur Produktivumgebung sein. Je nach Systemgeschwindigkeit, Netzwerkanbindung und installierter Software kann das Update zwischen 20 Minuten und mehreren Stunden dauern.
In Umgebungen mit mehr als einem UCS-System muss die Update-Reihenfolge der UCS-Systeme beachtet werden:
Auf dem Domänencontroller Master wird die maßgebliche (authoritative) Version des LDAP-Verzeichnisdienstes vorgehalten, die an alle übrigen LDAP-Server der UCS-Domäne repliziert wird. Da bei Release-Updates Veränderungen an den LDAP-Schemata auftreten können, muss der Domänencontroller Master bei einem Release-Update immer als erstes System aktualisiert werden.
UCS-Installations-DVSs werden ab UCS 4 nur noch für 64-Bit-Archtitekturen bereitgestellt. Vorhandene 32-Bit UCS 3 Systeme können weiterhin über das Online Repository oder über Update DVDs auf UCS 4 aktualisiert werden. Die 32-Bit-Archtitektur wird für die gesamte UCS 4 Maintenance noch unterstützt.
Es sollte geprüft werden, ob ausreichend Festplattenplatz verfügbar ist. Eine Standard-Installation benötigt min. 6 GB Speicherplatz. Das Update benötigt je nach Umfang der vorhanden Installation ungefähr 2 GB weiteren Speicherplatz zum Herunterladen und Installieren der Pakete.
Für das Update sollte eine Anmeldung auf der lokalen Konsole des Systems mit dem Benutzer root durchgeführt und das Update dort gestartet werden.
Alternativ kann das Update über Univention Management Console durchgeführt werden.
Eine Remote-Aktualisierung über SSH wird nicht empfohlen, da dies beispielsweise bei Unterbrechung der Netzverbindung zum Abbruch des Update-Vorgangs und zu einer Beeinträchtigung des Systems führen kann.
Sollte dennoch eine Aktualisierung über eine Netzverbindung durchgeführt werden, ist sicherzustellen, dass das Update bei Unterbrechung der Netzverbindung trotzdem weiterläuft.
Hierfür können beispielsweise die Tools screen oder at eingesetzt werden, die auf allen Systemrollen installiert sind.
Nach dem Update müssen die neuen oder aktualisierten Join-Skripte ausgeführt werden.
Dies kann auf zwei Wegen erfolgen:
Entweder über das UMC-Modul oder durch Aufruf des Befehls univention-run-join-scripts als Benutzer root.
Anschließend muss das UCS-System neu gestartet werden.
Die Profil-basierte Netzwerkinstallation von UCS steht mit UCS 4.0-2 zur Verfügung. Genauere Informationen dazu befinden sich in [ext-doc-inst].
Bei Verwendung der UCS Core Edition-Version von UCS (die in der Regel für Evaluationen von UCS herangezogen wird) werden anonyme Nutzungsstatistiken zur Verwendung von Univention Management Console erzeugt. Die aufgerufenen Module werden dabei von einer Instanz des Web-Traffic-Analyse-Tools Piwik protokolliert. Dies ermöglicht es Univention die Entwicklung von Univention Management Console besser auf das Kundeninteresse zuzuschneiden und Usability-Verbesserungen vorzunehmen.
Diese Protokollierung erfolgt nur bei Verwendung der UCS Core Edition. Der Lizenzstatus kann überprüft werden durch den Eintrag des Benutzermenüs in der rechten, oberen Ecke von Univention Management Console. Steht hier unter wird eine solche Version verwendet. Bei Einsatz einer regulären UCS-Lizenz erfolgt keine Teilnahme an der Nutzungsstatistik.
Die Protokollierung kann unabhängig von der verwendeten Lizenz durch Setzen der Univention Configuration Registry-Variable umc/web/piwik auf false deaktiviert werden.
WebKit, Konqueror und QtWebKit werden in UCS im maintained-Zweig des Repositorys mitgeliefert, aber nicht durch Sicherheits-Updates unterstützt. WebKit wird vor allem für die Darstellung von HTML-Hilfeseiten u.ä. verwendet. Als Web-Browser sollte Firefox eingesetzt werden.
Univention Management Console verwendet für die Darstellung der Web-Oberfläche zahlreiche JavaScript- und CSS-Funktionen. Cookies müssen im Browser zugelassen sein. Die folgenden Browser werden empfohlen:
Chrome ab Version 33
Firefox ab Version 24
Internet Explorer ab Version 9
Safari und Safari Mobile ab Version 7
Auf älteren Browsern können Darstellungs- oder Performanceprobleme auftreten.
Die Changelogs mit den detaillierten Änderungsinformationen werden nur in Englisch gepflegt. Aufgeführt sind die Änderungen seit UCS 4.0-2:
All security updates issued for UCS 4.0-2 are included:
msgpo.schema file introduced as a fix for Bug 38488 has been removed again (Bug 38566).
ldap/server/addition has been improved (Bug 38094).
ldap/server/addition is used to configure additional LDAP servers in case the primary LDAP server is unavailable. The setting can be configured through a UMC policy 'LDAP server'.
Previously the so configured value was written into the NORMAL layer of the Univention Configuration Registry, which overwrote any setting configured by the user. The value is now written into the LDAP layer, which has a higher priority
than the NORMAL layer and thus overrules any local configuration, but preserves the user configured setting. The value can still be overwritten locally by using the FORCED layer of UCR, e.g. ucr set --force ldap/server/addition=....
Setting the UCR variable through a UMC policy 'Univention Configuration Registry' is not recommended and will clash with the 'LDAP server' policy (Bug 38094).
ldap/tls/ciphersuite and ldap/tls/minprotocol to configure the allowed ciphers and the minimum requires TLS version. By default 'RC4', 'NULL' and 'SSLv3' are now disabled (Bug 38685).
ldap/tls/dh/... (Bug 38685).
univentionPolicy objects (Bug 36255).
Packages files are now handled (Bug 38112).
univention-upgrade to upgrade apps (Bug 38697).
policies/mailquota has been moved to the package univention-mail-cyrus. From now on the module will only be available if the UCS domain contains an UCS system with installed Cyrus mail stack (Bug 38473).
directory/manager/web/modules/users/user/add/default. The variable expects the DN or the label of a user template (Bug 38832).
mail/cyrus/auth/allowplaintext to (dis)allow plain text passwords over non-TLS connections has been added. The variable defaults to no.
This changes the previous default behaviour! Plain text authentication over unencrypted connections is now disabled by default. To revert to the old behaviour set mail/cyrus/auth/allowplaintext=yes resp. mail/dovecot/auth/allowplaintext=yes (Bug 38500).
policies/mailquota has been moved to the package univention-mail-cyrus. The UDM module will only be available if the UCS mail stack with Cyrus is installed (Bug 38473 Bug 39004).
mail/antivir/max_servers. When unset, the current default 2 is used (Bug 37653).
mail/postfix/smtpd/restrictions/sender/reject_unknown_client_hostname and mail/postfix/smtpd/restrictions/sender/reject_unknown_reverse_client_hostname for weaker and stricter reverse DNS checking respectively (Bug 38292).
check_univention_ldap plugin has been modified to use the FQDN of the LDAP server (Bug 27043).
BACKUPKEY serverwrap protocol may cause problems with retrieving saved passwords on Windows clients (DPAPI). This issue has been fixed (Bug 39025).
dns/host_record (Bug 39077).
The following packages have been added to the maintained package repository (Bug 37972, Bug 38628):
[ext-doc-inst] Univention GmbH. 2014. Extended installation documentation. http://docs.univention.de/installation-4.0.html.