Inhaltsverzeichnis
Mit Univention Corporate Server 4.1-3 steht das dritte Point-Release für Univention Corporate Server (UCS) 4.1 zur Verfügung. Es umfasst diverse Detailverbesserungen und Fehlerkorrekturen. Die wichtigsten Änderungen im Überblick:
Diverse wichtige Sicherheitsupdates wurden in UCS 4.1-3 integriert, u.a. für libvirt, OpenSSL, QEMU und Samba. Weiter wurden Sicherheitsaktualisierungen in den Standard-LDAP-ACLs und dem UMC-Server integriert.
Das App Center wurde an vielen Stellen weiterentwickelt und es wurden mehr Möglichkeiten für die Migration der Apps zu Docker Apps implementiert.
Die Replikation von Verzeichnisdienstobjekten wurde für diverse Randsituationen weiter stabilisiert.
Der Domänenbeitritt von weiteren Samba-basierten Active Directory Domänencontrollern ist nun auch bei mehr als 100.000 Verzeichnisdienstobjekten möglich.
Die App Appliances wurden weiter ausgebaut, so ist es nun möglich für App Anbieter ein eigenes Branding zu definieren, als auch einen Fast-Demo-Modus zu aktivieren. Dadurch kann ein Tester sehr schnell mit vordefinierten Einstellungen eine App Appliance testen.
Während der Aktualisierung kann es zu temporären Ausfällen von Diensten innerhalb der Domäne kommen. Aus diesem Grund sollte das Update innerhalb eines Wartungsfensters erfolgen. Grundsätzlich wird empfohlen, das Update zunächst in einer Testumgebung einzuspielen und zu testen. Die Testumgebung sollte dabei identisch zur Produktivumgebung sein. Je nach Systemgeschwindigkeit, Netzwerkanbindung und installierter Software kann das Update zwischen 20 Minuten und mehreren Stunden dauern.
In Umgebungen mit mehr als einem UCS-System muss die Update-Reihenfolge der UCS-Systeme beachtet werden:
Auf dem Domänencontroller Master wird die maßgebliche (authoritative) Version des LDAP-Verzeichnisdienstes vorgehalten, die an alle übrigen LDAP-Server der UCS-Domäne repliziert wird. Da bei Release-Updates Veränderungen an den LDAP-Schemata auftreten können, muss der Domänencontroller Master bei einem Release-Update immer als erstes System aktualisiert werden.
UCS-Installations-DVDs werden ab UCS 4 nur noch für 64-Bit-Architekturen bereitgestellt. Vorhandene 32-Bit UCS 3 Systeme können weiterhin über das Online Repository oder über Update DVDs auf UCS 4 aktualisiert werden. Die 32-Bit-Architektur wird für die gesamte UCS 4 Maintenance noch unterstützt.
Es sollte geprüft werden, ob ausreichend Festplattenplatz verfügbar ist. Eine Standard-Installation benötigt min. 6 GB Speicherplatz. Das Update benötigt je nach Umfang der vorhanden Installation ungefähr 2 GB weiteren Speicherplatz zum Herunterladen und Installieren der Pakete.
Für das Update sollte eine Anmeldung auf der lokalen Konsole des Systems mit dem Benutzer root durchgeführt und das Update dort gestartet werden.
Alternativ kann das Update über Univention Management Console durchgeführt werden.
Eine Remote-Aktualisierung über SSH wird nicht empfohlen, da dies beispielsweise bei Unterbrechung der Netzverbindung zum Abbruch des Update-Vorgangs und zu einer Beeinträchtigung des Systems führen kann.
Sollte dennoch eine Aktualisierung über eine Netzverbindung durchgeführt werden, ist sicherzustellen, dass das Update bei Unterbrechung der Netzverbindung trotzdem weiterläuft.
Hierfür können beispielsweise die Tools screen oder at eingesetzt werden, die auf allen UCS Systemrollen installiert sind.
Nach dem Update müssen die neuen oder aktualisierten Join-Skripte ausgeführt werden.
Dies kann auf zwei Wegen erfolgen:
Entweder über das UMC-Modul oder durch Aufruf des Befehls univention-run-join-scripts als Benutzer root.
Anschließend muss das UCS-System neu gestartet werden.
Bei Verwendung der UCS Core Edition (die in der Regel für Evaluationen von UCS herangezogen wird) werden anonyme Nutzungsstatistiken zur Verwendung von Univention Management Console erzeugt. Die aufgerufenen Module werden dabei von einer Instanz des Web-Traffic-Analyse-Tools Piwik protokolliert. Dies ermöglicht es Univention die Entwicklung von Univention Management Console besser auf das Kundeninteresse zuzuschneiden und Usability-Verbesserungen vorzunehmen.
Diese Protokollierung erfolgt nur bei Verwendung der UCS Core Edition. Der Lizenzstatus kann überprüft werden durch den Eintrag des Benutzermenüs in der rechten, oberen Ecke von Univention Management Console. Steht hier unter der Eintrag wird eine solche Edition verwendet. Bei Einsatz einer regulären UCS-Lizenz erfolgt keine Teilnahme an der Nutzungsstatistik.
Die Protokollierung kann unabhängig von der verwendeten Lizenz durch Setzen der Univention Configuration Registry-Variable umc/web/piwik auf false deaktiviert werden.
WebKit, Konqueror und QtWebKit werden in UCS im maintained-Zweig des Repositorys mitgeliefert, aber nicht durch Sicherheits-Updates unterstützt. WebKit wird vor allem für die Darstellung von HTML-Hilfeseiten u.ä. verwendet. Als Web-Browser sollte Firefox eingesetzt werden.
Univention Management Console verwendet für die Darstellung der Web-Oberfläche zahlreiche JavaScript- und CSS-Funktionen. Cookies müssen im Browser zugelassen sein. Die folgenden Browser werden empfohlen:
Chrome ab Version 37
Firefox ab Version 38
Internet Explorer ab Version 11
Safari und Safari Mobile ab Version 9
Auf älteren Browsern können Darstellungs- oder Performanceprobleme auftreten.
Die Changelogs mit den detaillierten Änderungsinformationen werden nur in Englisch gepflegt. Aufgeführt sind die Änderungen seit UCS 4.1-2:
All security updates issued for UCS 4.1-2 are included:
maxsize of
at least 2147483648 could potentially fail. The init script now triple checks the start (Bug 33993).
get_notifier_id.py (Bug 39509).
univention-directory-listener-ctrl have been improved. Also two new subcommand
modules and status have been added (Bug 3490).
/var/lib/univention-directory-replication/ is now owned by the user listener. The
failed.ldif files are now owned by the user listener and the LDAP connections are now made by the
user listener (Bug 34324).
allow_none to allow None values (Bug 41424).
--remove on single value attributes. Before
--set attribute= had to be used (Bug 41172).
univention_policy_result. This misbehavior affected the DHCP service and other services using
univention_policy_result (Bug 41641).
univention-certificate check now also checks the expiry date of the certificate
(Bug 31369).
univention-certificate new now also accepts the -days parameter
(Bug 39257).
univention-certificate now checks the UCS server role, as its full functionality is only available on
the 'DC Master' (Bug 24094).
ssl/default/hashfunction and ssl/default/bits now takes immediate
effect (Bug 40498).
ssl/crl/interval and ssl/crl/validity (Bug 35748).
ssl/ca/cipher can be used to chose the encryption mechanism for the private key of the
root CA. The new default is aes256 (Bug 37621).
ssl/host/objectclass can be used to configure the LDAP object classes for which SSL
certificates are automatically created (Bug 38903).
docker/daemon/default/opts/$PARAM=$VALUE
(Bug 40515).
samba_dnsupdate has been improved on UCS@school DC Slaves by using localhost for DNS related Kerberos
operations. This fixes an intermittent error in the 98univention-samba4slavepdc-dns.inst joinscript
(Bug 34908).
samba-ad-dc after NMBD (Bug 41551).
ucslint no longer warns about files processed by some debhelper scripts supporting the
--name argument (Bug 41603).
ucslint now also accepts "${@}" for padding join credentials
(Bug 34253).
ucslint warns when univention-ldapsearch -x is used (Bug 38853).
mysql/config/$group/$option (Bug 39471, Bug 40216).