Inhaltsverzeichnis
Die wichtigsten Änderungen im Überblick:
Das Univention App Center integriert die Containertechnologie Docker. Mittels Docker lassen sich Apps voneinander getrennt und gekapselt betreiben. Dadurch werden die Sicherheit der UCS Umgebung erhöht und die Abhängigkeiten der Apps zu anderen Software-Bibliotheken reduziert. Die Integration von Docker ist für die Benutzer transparent. Das App Center führt die Inbetriebnahme und Konfiguration der Docker-Container automatisch durch.
Die Usability im Univention App Center wurde weiter verbessert. Apps werden nun übersichtlicher dargestellt. Die Detailseiten der Apps wurden aufgeräumt und um ein Rating in den Kategorien Vendor Supported, Popularity's Award und Editor's Award ergänzt. Die Einteilung basiert auf Daten wie zum Beispiel der Installationsbasis der Apps oder Wartungsverhalten der App Anbieter. Dadurch werden Transparenz und Vergleichbarkeit der Apps untereinander gesteigert.
Single-Sign-On via SAML ist ab UCS 4.1 Produktbestandteil und arbeitet Out of the box mit dem UCS-Managementsystem. Einmal angemeldet kann ohne Neuanmeldung zwischen Web-Anwendungen gewechselt werden.
Benutzer können über den neuen Self Service selbstständig ihr Passwort ändern oder im Fall eines vergessenen Passworts dies neu setzen lassen. Dafür können vorab E-Mailadressen oder Mobilfunknummern hinterlegt werden, an die dann ein entsprechendes Token verschickt wird. Mit dem Token kann ein neues Passwort gesetzt werden.
Der Linux Kernel wurde auf den letzten stabilen 4.1er Longterm-Kernel aktualisiert. Dieser beinhaltet diverse Sicherheitsaktualisierungen sowie neuere und aktualisierte Treiber für eine verbesserte Hardware-Unterstützung.
Samba wurde auf Version 4.3.1 aktualisiert. Neben sehr vielen Detailverbesserungen bietet Samba 4.3 Unterstützung für SMB 3.1.1, welches Microsoft mit Windows 10 eingeführt hat und das eine höhere Sicherheit und mehr Funktionen bietet.
Während der Aktualisierung kann es zu temporären Ausfällen von Diensten innerhalb der Domäne kommen. Aus diesem Grund sollte das Update innerhalb eines Wartungsfensters erfolgen. Grundsätzlich wird empfohlen, das Update zunächst in einer Testumgebung einzuspielen und zu testen. Die Testumgebung sollte dabei identisch zur Produktivumgebung sein. Je nach Systemgeschwindigkeit, Netzwerkanbindung und installierter Software kann das Update zwischen 20 Minuten und mehreren Stunden dauern.
In Umgebungen mit mehr als einem UCS-System muss die Update-Reihenfolge der UCS-Systeme beachtet werden:
Auf dem Domänencontroller Master wird die maßgebliche (authoritative) Version des LDAP-Verzeichnisdienstes vorgehalten, die an alle übrigen LDAP-Server der UCS-Domäne repliziert wird. Da bei Release-Updates Veränderungen an den LDAP-Schemata auftreten können, muss der Domänencontroller Master bei einem Release-Update immer als erstes System aktualisiert werden.
Sofern Applikationen aus dem App Center installiert sind, ist das Update erst dann möglich, wenn alle lokal installierten Applikationen im App Center verfügbar sind. Einige Applikationen werden beim Update ebenfalls auf neuere Versionen aktualisiert. Sollte eine Applikation noch nicht für UCS 4.1 verfügbar sein, kann der Zeitpunkt der Veröffentlichung beim Applikationsanbieter nachgefragt werden.
UCS-Installations-DVSs werden ab UCS 4 nur noch für 64-Bit-Archtitekturen bereitgestellt. Vorhandene 32-Bit UCS 3 Systeme können weiterhin über das Online Repository oder über Update DVDs auf UCS 4 aktualisiert werden. Die 32-Bit-Archtitektur wird für die gesamte UCS 4 Maintenance noch unterstützt.
Es sollte geprüft werden, ob ausreichend Festplattenplatz verfügbar ist. Eine Standard-Installation benötigt min. 6 GB Speicherplatz. Das Update benötigt je nach Umfang der vorhanden Installation ungefähr 2 GB weiteren Speicherplatz zum Herunterladen und Installieren der Pakete.
Für das Update sollte eine Anmeldung auf der lokalen Konsole des Systems mit dem Benutzer root durchgeführt und das Update dort gestartet werden.
Alternativ kann das Update über Univention Management Console durchgeführt werden.
Eine Remote-Aktualisierung über SSH wird nicht empfohlen, da dies beispielsweise bei Unterbrechung der Netzverbindung zum Abbruch des Update-Vorgangs und zu einer Beeinträchtigung des Systems führen kann.
Sollte dennoch eine Aktualisierung über eine Netzverbindung durchgeführt werden, ist sicherzustellen, dass das Update bei Unterbrechung der Netzverbindung trotzdem weiterläuft.
Hierfür können beispielsweise die Tools screen oder at eingesetzt werden, die auf allen UCS Systemrollen installiert sind.
Nach dem Update müssen die neuen oder aktualisierten Join-Skripte ausgeführt werden.
Dies kann auf zwei Wegen erfolgen:
Entweder über das UMC-Modul oder durch Aufruf des Befehls univention-run-join-scripts als Benutzer root.
Anschließend muss das UCS-System neu gestartet werden.
Die App SAML identity provider gehört nun zum Produktumfang von UCS 4.1. Während des Updates auf UCS 4.1 wird der SAML identity provider automatisch konfiguriert. Wurde die App unter UCS 4.0 genutzt, müssen die Einstellungen der benutzten Service Provider aktualisiert werden. Insbesondere müssen auf den Service Providern neue Zertifikate und Metadaten verfügbar gemacht werden, um die Funktionalität wieder herzustellen.
Bei Verwendung der UCS Core Edition (die in der Regel für Evaluationen von UCS herangezogen wird) werden anonyme Nutzungsstatistiken zur Verwendung von Univention Management Console erzeugt. Die aufgerufenen Module werden dabei von einer Instanz des Web-Traffic-Analyse-Tools Piwik protokolliert. Dies ermöglicht es Univention die Entwicklung von Univention Management Console besser auf das Kundeninteresse zuzuschneiden und Usability-Verbesserungen vorzunehmen.
Diese Protokollierung erfolgt nur bei Verwendung der UCS Core Edition. Der Lizenzstatus kann überprüft werden durch den Eintrag des Benutzermenüs in der rechten, oberen Ecke von Univention Management Console. Steht hier unter der Eintrag wird eine solche Edition verwendet. Bei Einsatz einer regulären UCS-Lizenz erfolgt keine Teilnahme an der Nutzungsstatistik.
Die Protokollierung kann unabhängig von der verwendeten Lizenz durch Setzen der Univention Configuration Registry-Variable umc/web/piwik auf false deaktiviert werden.
WebKit, Konqueror und QtWebKit werden in UCS im maintained-Zweig des Repositorys mitgeliefert, aber nicht durch Sicherheits-Updates unterstützt. WebKit wird vor allem für die Darstellung von HTML-Hilfeseiten u.ä. verwendet. Als Web-Browser sollte Firefox eingesetzt werden.
Univention Management Console verwendet für die Darstellung der Web-Oberfläche zahlreiche JavaScript- und CSS-Funktionen. Cookies müssen im Browser zugelassen sein. Die folgenden Browser werden empfohlen:
Chrome ab Version 33
Firefox ab Version 24
Internet Explorer ab Version 9
Safari und Safari Mobile ab Version 7
Auf älteren Browsern können Darstellungs- oder Performanceprobleme auftreten.
Mit UCS 4.1 wurde das Verfahren für maintained und unmaintained-Pakete geändert.
Mit dieser Änderung ändert sich auch die Definition der maintained-Pakete: maintained ist nun auf der Basis der Quellpakete definiert, während es früher auf einer Untermenge der Binärpakete definiert war. Diese Änderung kann zu einer erhöhten Nutzung von Speicherplatz auf einem lokalen Repository-Server führen, da maintained nun mehr Pakete enthält als in früheren Releases.
Die Changelogs mit den detaillierten Änderungsinformationen werden nur in Englisch gepflegt. Aufgeführt sind die Änderungen seit UCS 4.0-4:
univention-network-common if UCS is running in a Docker
container because the network registration for this mode is implemented in
the init script univention-docker-container-mode
(Bug 38365).
univention-firewall now creates port forwarding
rules for services in Docker containers (Bug 38307).
/univention-management-console/.
Therefore, the entry point /umcp/ has been moved to /univention-management-console/ (Bug 38820).
SystemExit is now caught by the UMC server and not shown as a traceback to the user (Bug 39031).
UCSOverviewCategory now accepts the value None in which case any
UCR variable once registered will be removed (Bug 39718).
Logo and LogoDetailPage where the latter optional entry
may define a different logo which is displayed in the app detail view (Bug 39525, Bug 39656).
Screenshot has been replaced with the property
Thumbnails which allows a comma separated list of pictures or
youtube URIs (Bug 39654, Bug 39524).
preup.sh and postup.sh
have been adapted to the needs of UCS 4.1 (Bug 39271).
HTTPS to access the Univention Software Repository at https://updates.software-univention.de/ by default (Bug 39306).
proxy/https for HTTPS connections. If proxy/https is not defined, the fallback proxy/http is used (Bug 39922).
proxy/address, proxy/port, proxy/username and proxy/password are no longer used to configure the package toolkit apt. Please use the Univention Configuration Registry variable proxy/http or proxy/https instead (Bug 39922).
license/uuid) to access the Univention Software Repository at https://updates.software-univention.de/ by default (Bug 39305).
Packages files (Bug 28022).
preup.sh script now checks if the DC master has already been updated (Bug 37260).
univention-upgrade now references the logfile /var/log/univention/updater.log for further details (Bug 31006).
univention-upgrade now uses --enable-app-updates by default (Bug 39082).
is_ucr_true has been added to the package shell-univention-lib (Bug 27701).
1.0.2d (Bug 39500).
https:// servers using
SNI. This has been fixed
(Bug 39603).
ucs/server/sso/fqdn
(Bug 39386, Bug 39574, Bug 39399).
authsources.php and saml20-idp-hosted.php have been changed to a UCR multifile template (Bug 39250).
saml/idp/entityID (Bug 33912).
mail/postfix/mastercf/options/smtp/smtpd_sasl_auth_enable=yes to enable the old behavior (Bug 39021).
Dovecot Managesieve service is now also available via IPv6 (Bug 39702).
/etc/init.d/postfix has been fixed that could lead to the inability to start/stop postfix in docker containers (Bug 39542).
ucs_registerLDAPExtension
from package shell-univention-lib now supports
the options packagename and
packageversion
(Bug 38205).
docker.software-univention.de
(Bug 39188).
docker init script has been added
which properly stops and restarts running containers
(Bug 39474).
consul and
etcd service running on the Docker host
(Bug 38331).
docker.software-univention.de before downloading them.
The integrity of the container maintainer scripts are verified in
this manner as well
(Bug 39194).
docker.software-univention.de
(Bug 39187).
samba/register/exclude/interfaces has been added.
The IP addresses of theses network interfaces are not registered automatically in DNS.
By default the variable is set to docker0
(Bug 39466).
samba/max/protocol doesn't get set any longer for new
installations. Additionally, if it was set to the default "SMB2" it will get unset
as well during updates. The purpose of this change is to give customers the
highest protocol level considered stable by the Samba defaults. Currently this
is SMB3_11.
(Bug 32939).
IPC$ share is not explicitly configured any longer
in the default configuration where samba4/service/smb is s3fs.
This change avoids a lot of unnecessary warning messages from samba
(Bug 29227).
nscd. This is needed in a minimal environment (Bug 38662).
nscd terminates its children when stopping (Bug 38135).
settings/packages Univention Directory Manager objects
have been updated (Bug 32443).
univention.lib.umc_connection.UMCConnection library has been improved (Bug 39599).