Inhaltsverzeichnis
Mit Univention Corporate Server 4.1-2 steht das zweite Point-Release für Univention Corporate Server (UCS) 4.1 zur Verfügung. Es umfasst diverse Detailverbesserungen und Fehlerkorrekturen. Die wichtigsten Änderungen im Überblick:
Diverse wichtige Sicherheitsupdates wurden in UCS 4.1-2 integriert, u.a. für Samba, Apache, OpenSSL und die GNU C-Bibliothek (glibc).
Das Update auf Samba 4.3.7 beinhaltet diverse Sicherheitsaktualisierungen. Zusätzlich wurden diverse Fehler behoben, bspw. werden fehlgeschlagene Anmeldeversuche nun korrekt gezählt.
Der Active Directory Connector verwendet für die Synchronisation der Passwort-Hashes nun Standard-Schnittstellen des Active Directory. Dadurch entfällt der Passwort-Synchronisationsdienst auf Windows-Seite.
Das Erscheinungsbild der Apps im Univention App Center wurde überarbeitet und verbessert, u.a. werden nun die Lizenzbedingungen der Apps angezeigt.
Während der Aktualisierung kann es zu temporären Ausfällen von Diensten innerhalb der Domäne kommen. Aus diesem Grund sollte das Update innerhalb eines Wartungsfensters erfolgen. Grundsätzlich wird empfohlen, das Update zunächst in einer Testumgebung einzuspielen und zu testen. Die Testumgebung sollte dabei identisch zur Produktivumgebung sein. Je nach Systemgeschwindigkeit, Netzwerkanbindung und installierter Software kann das Update zwischen 20 Minuten und mehreren Stunden dauern.
In Umgebungen mit mehr als einem UCS-System muss die Update-Reihenfolge der UCS-Systeme beachtet werden:
Auf dem Domänencontroller Master wird die maßgebliche (authoritative) Version des LDAP-Verzeichnisdienstes vorgehalten, die an alle übrigen LDAP-Server der UCS-Domäne repliziert wird. Da bei Release-Updates Veränderungen an den LDAP-Schemata auftreten können, muss der Domänencontroller Master bei einem Release-Update immer als erstes System aktualisiert werden.
UCS-Installations-DVDs werden ab UCS 4 nur noch für 64-Bit-Architekturen bereitgestellt. Vorhandene 32-Bit UCS 3 Systeme können weiterhin über das Online Repository oder über Update DVDs auf UCS 4 aktualisiert werden. Die 32-Bit-Architektur wird für die gesamte UCS 4 Maintenance noch unterstützt.
Es sollte geprüft werden, ob ausreichend Festplattenplatz verfügbar ist. Eine Standard-Installation benötigt min. 6 GB Speicherplatz. Das Update benötigt je nach Umfang der vorhanden Installation ungefähr 2 GB weiteren Speicherplatz zum Herunterladen und Installieren der Pakete.
Für das Update sollte eine Anmeldung auf der lokalen Konsole des Systems mit dem Benutzer root durchgeführt und das Update dort gestartet werden.
Alternativ kann das Update über Univention Management Console durchgeführt werden.
Eine Remote-Aktualisierung über SSH wird nicht empfohlen, da dies beispielsweise bei Unterbrechung der Netzverbindung zum Abbruch des Update-Vorgangs und zu einer Beeinträchtigung des Systems führen kann.
Sollte dennoch eine Aktualisierung über eine Netzverbindung durchgeführt werden, ist sicherzustellen, dass das Update bei Unterbrechung der Netzverbindung trotzdem weiterläuft.
Hierfür können beispielsweise die Tools screen oder at eingesetzt werden, die auf allen UCS Systemrollen installiert sind.
Nach dem Update müssen die neuen oder aktualisierten Join-Skripte ausgeführt werden.
Dies kann auf zwei Wegen erfolgen:
Entweder über das UMC-Modul oder durch Aufruf des Befehls univention-run-join-scripts als Benutzer root.
Anschließend muss das UCS-System neu gestartet werden.
Bei Verwendung der UCS Core Edition (die in der Regel für Evaluationen von UCS herangezogen wird) werden anonyme Nutzungsstatistiken zur Verwendung von Univention Management Console erzeugt. Die aufgerufenen Module werden dabei von einer Instanz des Web-Traffic-Analyse-Tools Piwik protokolliert. Dies ermöglicht es Univention die Entwicklung von Univention Management Console besser auf das Kundeninteresse zuzuschneiden und Usability-Verbesserungen vorzunehmen.
Diese Protokollierung erfolgt nur bei Verwendung der UCS Core Edition. Der Lizenzstatus kann überprüft werden durch den Eintrag des Benutzermenüs in der rechten, oberen Ecke von Univention Management Console. Steht hier unter der Eintrag wird eine solche Edition verwendet. Bei Einsatz einer regulären UCS-Lizenz erfolgt keine Teilnahme an der Nutzungsstatistik.
Die Protokollierung kann unabhängig von der verwendeten Lizenz durch Setzen der Univention Configuration Registry-Variable umc/web/piwik auf false deaktiviert werden.
WebKit, Konqueror und QtWebKit werden in UCS im maintained-Zweig des Repositorys mitgeliefert, aber nicht durch Sicherheits-Updates unterstützt. WebKit wird vor allem für die Darstellung von HTML-Hilfeseiten u.ä. verwendet. Als Web-Browser sollte Firefox eingesetzt werden.
Univention Management Console verwendet für die Darstellung der Web-Oberfläche zahlreiche JavaScript- und CSS-Funktionen. Cookies müssen im Browser zugelassen sein. Die folgenden Browser werden empfohlen:
Chrome ab Version 37
Firefox ab Version 38
Internet Explorer ab Version 11
Safari und Safari Mobile ab Version 9
Auf älteren Browsern können Darstellungs- oder Performanceprobleme auftreten.
Die Changelogs mit den detaillierten Änderungsinformationen werden nur in Englisch gepflegt. Aufgeführt sind die Änderungen seit UCS 4.1-1:
All security updates issued for UCS 4.1-1 are included:
mount -o remount,no_mbcache "$fs" or by adding the option
no_mbcache in /etc/fstab and rebooting the system (Bug 41054).
/etc/univention/service.info/services
are now only considered if they carry the filename suffix .cfg.
The behavior is now similar to the treatment of UCR info files.
(Bug 40383).
grub/default, as it doesn't work on systems using a different language (Bug 41046).
grub-mkdevicemap as it is not needed (Bug 40586).
grub/terminal and grub/serialcommand. Thanks to Lutz Willek for the patch (Bug 40596).
umc/logout/location
(Bug 40613).
univention-register-apps now uses the new App Center API and has been deprecated (Bug 40754).
univention-app shell now correctly exits with the exit code of the called command (Bug 40550).
univention-app installed unsigned packages. This issue has been fixed (Bug 40861).
univention-run-join-scripts instead of being called directly
(Bug 40984).
umc/module/udm/users/self/disabled to false (Bug 39016).
preup.sh and postup.sh scripts have been updated to match UCS-4.1-2 (Bug 41157).
dists/**/Packages* files created for local repositories did contain multiple entries for the
same package. This breaks the Debian installer and other tools like debootstrap, which use a simpler implementation than
APT. A filter has been added to filter out old versions and duplicate entries (Bug 40932).
kerberos/autostart did not clearly explain
that this variable needs to remain set to no on Samba4/AD DCs (Bug 40383).
nssldap/timelimit and defaults to 30 seconds. This prevents hanging UMC server processes when changing
network and IP settings in certain circumstances (Bug 40968).
samba-tool domain
passwordsettings, the badPwdCount increased in steps of two for each failed login attempt
at a Windows client (Bug 40328).
/. This issue
has been fixed (Bug 40847).
smb.conf option ldap server require strong auth to
allow_sasl_over_tls. Additionally it configures tls verify peer to
ca_and_name. The raised security requirements of Samba server components may require configuration
adjustments for older clients. Univention Corporate Client (UCC) 1.0 running a Linux kernel version prior to 3.8 for
example require an adjustment of the mount.cifs options. In that case the value for mount option
sec needs to be adjusted to ntlmsspi, e.g. by setting ucr set
ucc/mount/cifshome/options="serverino,sec=ntlmsspi". UCC 2.x clients (i.e. Linux kernel above 3.8) don't
require this adjustment (Bug 40988).
smb.conf options configurable via Univention Configuration Registry:
samba/ntlm/auth, samba/server/signing samba/tls/verify/peer
samba/tls/priority samba/tls/dh/params/file and
samba/ldap/server/require/strong/auth (Bug 41034).
connector/ad/mapping/user/alternativemail and
connector/ad/mapping/group/alternativemail (Bug 40357).