Inhaltsverzeichnis
Mit Univention Corporate Server 4.1-5 steht das fünfte Point-Release für Univention Corporate Server (UCS) 4.1 zur Verfügung. Es umfasst diverse Detailverbesserungen und Fehlerkorrekturen. Die wichtigsten Änderungen im Überblick:
Samba wurde mit wichtigen Sicherheitsupdates aktualisiert.
Der Linux Kernel wurde auf den letzten stabilen 4.1er Longterm-Kernel aktualisiert. Dieser beinhaltet diverse Sicherheitsaktualisierungen, Verbesserungen in der Stabilität, sowie neuere und aktualisierte Treiber für eine verbesserte Hardware-Unterstützung.
Die Startzeit des App Center UMC Moduls wurde verbessert. Diese Optimierung wird durch das differenzielle Herunterladen von aktualisierten Daten vom App Center Server mit Hilfe von zsync erreicht.
Während der Aktualisierung kann es zu temporären Ausfällen von Diensten innerhalb der Domäne kommen. Aus diesem Grund sollte das Update innerhalb eines Wartungsfensters erfolgen. Grundsätzlich wird empfohlen, das Update zunächst in einer Testumgebung einzuspielen und zu testen. Die Testumgebung sollte dabei identisch zur Produktivumgebung sein. Je nach Systemgeschwindigkeit, Netzwerkanbindung und installierter Software kann das Update zwischen 20 Minuten und mehreren Stunden dauern.
In Umgebungen mit mehr als einem UCS-System muss die Update-Reihenfolge der UCS-Systeme beachtet werden:
Auf dem Domänencontroller Master wird die maßgebliche (authoritative) Version des LDAP-Verzeichnisdienstes vorgehalten, die an alle übrigen LDAP-Server der UCS-Domäne repliziert wird. Da bei Release-Updates Veränderungen an den LDAP-Schemata auftreten können, muss der Domänencontroller Master bei einem Release-Update immer als erstes System aktualisiert werden.
UCS-Installations-DVDs werden ab UCS 4 nur noch für 64-Bit-Architekturen bereitgestellt. Vorhandene 32-Bit UCS 3 Systeme können weiterhin über das Online Repository oder über Update DVDs auf UCS 4 aktualisiert werden. Die 32-Bit-Architektur wird für die gesamte UCS 4 Maintenance noch unterstützt.
Es sollte geprüft werden, ob ausreichend Festplattenplatz verfügbar ist. Eine Standard-Installation benötigt min. 6 GB Speicherplatz. Das Update benötigt je nach Umfang der vorhanden Installation ungefähr 2 GB weiteren Speicherplatz zum Herunterladen und Installieren der Pakete.
Für das Update sollte eine Anmeldung auf der lokalen Konsole des Systems mit dem Benutzer root durchgeführt und das Update dort gestartet werden.
Alternativ kann das Update über Univention Management Console durchgeführt werden.
Eine Remote-Aktualisierung über SSH wird nicht empfohlen, da dies beispielsweise bei Unterbrechung der Netzverbindung zum Abbruch des Update-Vorgangs und zu einer Beeinträchtigung des Systems führen kann.
Sollte dennoch eine Aktualisierung über eine Netzverbindung durchgeführt werden, ist sicherzustellen, dass das Update bei Unterbrechung der Netzverbindung trotzdem weiterläuft.
Hierfür können beispielsweise die Tools screen oder at eingesetzt werden, die auf allen UCS Systemrollen installiert sind.
Nach dem Update müssen die neuen oder aktualisierten Join-Skripte ausgeführt werden.
Dies kann auf zwei Wegen erfolgen:
Entweder über das UMC-Modul oder durch Aufruf des Befehls univention-run-join-scripts als Benutzer root.
Anschließend muss das UCS-System neu gestartet werden.
Bei Verwendung der UCS Core Edition (die in der Regel für Evaluationen von UCS herangezogen wird) werden anonyme Nutzungsstatistiken zur Verwendung von Univention Management Console erzeugt. Die aufgerufenen Module werden dabei von einer Instanz des Web-Traffic-Analyse-Tools Piwik protokolliert. Dies ermöglicht es Univention die Entwicklung von Univention Management Console besser auf das Kundeninteresse zuzuschneiden und Usability-Verbesserungen vorzunehmen.
Diese Protokollierung erfolgt nur bei Verwendung der UCS Core Edition. Der Lizenzstatus kann überprüft werden durch den Eintrag des Benutzermenüs in der rechten, oberen Ecke von Univention Management Console. Steht hier unter der Eintrag wird eine solche Edition verwendet. Bei Einsatz einer regulären UCS-Lizenz erfolgt keine Teilnahme an der Nutzungsstatistik.
Die Protokollierung kann unabhängig von der verwendeten Lizenz durch Setzen der Univention Configuration Registry-Variable umc/web/piwik auf false deaktiviert werden.
WebKit, Konqueror und QtWebKit werden in UCS im maintained-Zweig des Repositorys mitgeliefert, aber nicht durch Sicherheits-Updates unterstützt. WebKit wird vor allem für die Darstellung von HTML-Hilfeseiten u.ä. verwendet. Als Web-Browser sollte Firefox eingesetzt werden.
Univention Management Console verwendet für die Darstellung der Web-Oberfläche zahlreiche JavaScript- und CSS-Funktionen. Cookies müssen im Browser zugelassen sein. Die folgenden Browser werden empfohlen:
Chrome ab Version 37
Firefox ab Version 38
Internet Explorer ab Version 11
Safari und Safari Mobile ab Version 9
Auf älteren Browsern können Darstellungs- oder Performanceprobleme auftreten.
Die Changelogs mit den detaillierten Änderungsinformationen werden nur in Englisch gepflegt. Aufgeführt sind die Änderungen seit UCS 4.1-4:
All security updates issued for UCS 4.1-4 are included:
umc/http/max_request_body_size (Bug 42357).
tmp cleanup (Bug 44387).
ucs-overview link (Bug 43657).
univention-app dev-set to support development tools (Bug 43040).
preinst script during App installation / upgrade (Bug 44655).
ComboBox widget (Bug 43094).
univention.admin.license Python module (Bug 43298).
univention_license_ldap_init() (Bug 35157).
sign has been added to univention-certificate to allow creating certificates for external Certificate Signing Requests (Bug 22085).
squid/cache/format, squid/cache/directory, squid/cache/size, squid/cache/l1_size, squid/cache/l2_size to configure the cache settings have been added (Bug 37381).
samba/client/min/protocol, samba/min/protocol and samba/client/max/protocol have been added. Please be aware that raising samba/min/protocol e.g. to SMB2 also requires raising samba/client/max/protocol to that value or higher (Bug 44646).
_msdcs below the position CN=MicrosoftDNS,CN=System. If CN=System is still used by BIND9, the DRS replication will be stopped. This can only happen if Samba 4 was installed before UCS 4.0-4 and a Samba 4 system is installed or rejoined. This update removes the created DNS object and prevented its recreation (Bug 43288).
samba4/ldap/base differs from ldap/base (Bug 42393).
status action has been added, too (Bug 40659).
Printer-Admins and searching for conflicting deleted objects by objectsid (Bug 44289).
connector/s4/mapping/{gpo,wmifilter,msprintconnectionpolicy}/syncmode (Bug 43629).
The mapping for the MS-Exchange related attribute proxyAddresses has been revised to synchronize the OpenLDAP attribute mailPrimaryAddress with the default value configured in proxyAddresses (Bug 43216). In detail:
SMTP: prefix is now written to the OpenLDAP attribute mailPrimaryAddress. Before this update mailPrimaryAddress used to be synchronized with the value of the Active Directory mail attribute instead. The Active Directory mail attribute has informative character.SMTP:.smtp: prefixed values in proxyAddresses continue to be synchronized with OpenLDAP mailAlternativeAddressINIT INFO headers in various packages to help the update to UCS 4.2 (Bug 45109, ).
/etc/ssl/certs/ (Bug 39179).
join.log in univention-join (Bug 43381).
The syslog configuration has been extended to allow logging to remote hosts. Several protocols are supported:
Sending must be enabled explicitly. For this the new Univention Configuration Registry variables syslog/remote, syslog/remote/fallback and syslog/remote/selector have been added. Receiving must also be enabled explicitly. For this the new Univention Configuration Registry variables syslog/input/udp, syslog/input/tdp and syslog/input/relp have been added. Please note, that log messages are sent unencrypted and in clear text! It is recommended to use this only in protected networks, as passwords and other sensitive data might leak otherwise (Bug 15728).
logrotate/$facility/.... All remaining files are handled by logroate/syslog-other/... (Bug 41816).
Several new Univention Configuration Registry variables syslog/... have been added to enable/disable logging of events of certain facilities to the corresponding targets:
syslog/auth/var/log/auth.logsyslog/cron/var/log/cron.logsyslog/kern/var/log/kern.logsyslog/daemon/var/log/daemon.logsyslog/user/var/log/user.logsyslog/lpr/var/log/lpr.logsyslog/mail/var/log/mail.*syslog/news/var/log/news.*syslog/syslog/var/log/syslog (catch-all for all messages)syslog/debug/var/log/debug (only debug messages)syslog/messages/var/log/messages (all except debug and errors)syslog/xconsole/dev/xconsole (used by graphical console)
The new Univention Configuration Registry variable syslog/syslog/avoid_duplicate_messages can be used to remove messages logged to other targets from /var/log/syslog. By default messages get logged multiple times. Further more the selector for certain files can now be customized through the following new Univention Configuration Registry variables: (Bug 41815).
syslog/syslog/selector[*.*]syslog/debug/selector[*.=debug;auth,authpriv,news,mail.none]syslog/messages/selector [*.=info-warn;auth;authpriv;cron;daemon;mail;news.none]syslog/xconsole/selector [daemon,mail.*;news.err;*.debug-warn]