Inhaltsverzeichnis
Mit Univention Corporate Server 4.3 steht das dritte Minor Release für Univention Corporate Server (UCS) 4 zur Verfügung. Es umfasst Funktionserweiterungen und Verbesserungen, neue Eigenschaften sowie diverse Detailverbesserungen und Fehlerkorrekturen. Die wichtigsten Änderungen im Überblick:
UCS 4.3 basiert auf Debian GNU/Linux 9 (Stretch). Mehr als 20.000 Source Pakete wurden aktualisiert und zum Teil an die Bedürfnisse der Nutzer von UCS angepasst. Als Linux Kernel wird nun der unveränderte Kernel von Debian GNU/Linux verwendet. Das erhöht die Kompatibilität zu Hard- und Softwaresystemen, die für Debian zertifiziert sind. Neu in UCS 4.3 sind außerdem u.a. MariaDB und Nagios 4.
Über die mit UCS 4.2 eingeführten Portalseiten erhalten Nutzer von überall einfachen Zugriff auf relevante Anwendungen. Mit UCS 4.3 können Administratoren diese Portale in einem Visual Composer Modus und via Drag and Drop einfach aufbauen und verwalten. Je nach Berechtigung, Abteilung, Niederlassung oder Schule können den Nutzern oder Gruppen unterschiedliche Inhalte angezeigt werden.
Mit UCS 4.3 ist die SAML-Authentifizierung mit der Kerberos Anmeldung verknüpft. An Windows oder Linux (Ubuntu) angemeldete Nutzer können ohne eine erneute Authentifizierung auf Web-Applikationen zugreifen, die SAML unterstützen.
Die unterschiedlichen Kontooptionen für Benutzer wurden vereinheitlicht. So gibt es mit UCS 4.3 drei unterschiedliche Kontotypen:
Normale, vollwertige Konten, diese haben sämtliche Eigenschaften.
Einfache Authentisierungskonten, diese können sich lediglich mit dem LDAP-Server verbinden, haben aber keine Möglichkeit sich auch anderweitig anzumelden.
Adressbucheinträge für die Pflege von Kontaktinformationen.
Samba wurde auf Version 4.7 aktualisiert. In der neuen Samba Version gibt es wichtige Verbesserungen im Bereich Active Directory Domänencontroller. So wird durch die Multi-Process-Implementierung des Samba LDAP-Servers eine deutliche Performanceverbesserung eintreten. Zusätzlich kommt die Replikation von Gruppenmitgliedschaften nun mit deutlich weniger Ressourcen aus.
Während der Aktualisierung kann es zu temporären Ausfällen von Diensten innerhalb der Domäne kommen. Aus diesem Grund sollte das Update innerhalb eines Wartungsfensters erfolgen. Grundsätzlich wird empfohlen, das Update zunächst in einer Testumgebung einzuspielen und zu testen. Die Testumgebung sollte dabei identisch zur Produktivumgebung sein. Je nach Systemgeschwindigkeit, Netzwerkanbindung und installierter Software kann das Update zwischen 20 Minuten und mehreren Stunden dauern.
In Umgebungen mit mehr als einem UCS-System muss die Update-Reihenfolge der UCS-Systeme beachtet werden:
Auf dem Domänencontroller Master wird die maßgebliche (authoritative) Version des LDAP-Verzeichnisdienstes vorgehalten, die an alle übrigen LDAP-Server der UCS-Domäne repliziert wird. Da bei Release-Updates Veränderungen an den LDAP-Schemata auftreten können, muss der Domänencontroller Master bei einem Release-Update immer als erstes System aktualisiert werden.
UCS-Installations-DVDs werden ab UCS 4 nur noch für 64-Bit-Architekturen bereitgestellt. Vorhandene 32-Bit UCS 3 Systeme können weiterhin über das Online Repository oder über Update DVDs auf UCS 4 aktualisiert werden. Die 32-Bit-Architektur wird für die gesamte UCS 4 Maintenance noch unterstützt.
Es sollte geprüft werden, ob ausreichend Festplattenplatz verfügbar ist. Eine Standard-Installation benötigt min. 6 GB Speicherplatz. Das Update benötigt je nach Umfang der vorhanden Installation ungefähr 2 GB zusätzlichen Speicherplatz zum Herunterladen und Installieren der Pakete.
Für das Update sollte eine Anmeldung auf der lokalen Konsole des Systems mit dem Benutzer root durchgeführt und das Update dort gestartet werden.
Alternativ kann das Update über Univention Management Console durchgeführt werden.
Eine Remote-Aktualisierung über SSH wird nicht empfohlen, da dies beispielsweise bei Unterbrechung der Netzverbindung zum Abbruch des Update-Vorgangs und zu einer Beeinträchtigung des Systems führen kann.
Sollte dennoch eine Aktualisierung über eine Netzverbindung durchgeführt werden, ist sicherzustellen, dass das Update bei Unterbrechung der Netzverbindung trotzdem weiterläuft.
Hierfür können beispielsweise die Tools screen oder at eingesetzt werden, die auf allen UCS Systemrollen installiert sind.
Mit UCS 4.3 bietet Univention ein Skript an, mit dem Probleme, die das Update des UCS Systems verhindern würden, schon vor dem Update erkannt werden können. Diese Skript kann vor dem Update manuell auf das System geladen und ausgeführt werden:
# download
-> curl -OOs http://updates.software-univention.de/download/univention-update-checks/pre-update-checks-4.3{,.gpg}
# run script
-> gpgv --keyring /usr/share/keyrings/univention-archive-key-ucs-4x.gpg pre-update-checks-4.3.gpg \
pre-update-checks-4.3 && bash pre-update-checks-4.3
gpgv: Unterschrift vom Mi 07 Mär 2018 13:36:51 CET mittels RSA-Schlüssel ID 6B8BFD3C
gpgv: Korrekte Unterschrift von "Univention Corporate Server 4.x <packages@univention.de>"
Starting pre-update checks (Mo 12. Mär 09:15:34 CET 2018):
Checking app_appliance ... OK
Checking block_update_of_NT_DC ... OK
Checking cyrus_integration ... OK
Checking disk_space ... OK
Checking hold_packages ... OK
Checking ldap_connection ... OK
Checking ldap_schema ... OK
...
Nach dem Update müssen die neuen oder aktualisierten Join-Skripte ausgeführt werden.
Dies kann auf zwei Wegen erfolgen:
Entweder über das UMC-Modul oder durch Aufruf des Befehls
univention-run-join-scripts als Benutzer root.
Anschließend muss das UCS-System neu gestartet werden.
Mit UCS 4.3 wird MySQL durch MariaDB ersetzt. Die Integration wird über das neue Paket univention-mariadb bereitgestellt. Das Paket univention-mysql ist nun ein Meta-Paket und installiert univention-mariadb. Bestehende Daten werden ohne Benutzerinteraktion bei einem Update auf UCS 4.3 migriert.
Bisher konnten den Benutzern vom Administrator in UMC bestimmte Eigenschaften zugeordnet werden. Das waren u.a. Samba, Kerberos, POSIX und Mail. Mit UCS 4.3 werden die vorhandenen Benutzer in drei unterschiedliche Benutzertypen migriert: 1. Normale vollwertige Benutzer, diese haben sämtliche Eigenschaften. 2. Einfache Authentisierungskonten, diese können sich lediglich mit dem LDAP verbinden, haben aber keine Möglichkeit sich auch anderweitig anzumelden. 3. Reine Adressbucheinträge - hier können neben internen auch externe Identitäten gepflegt werden, z.B. um Adresslisten zu erstellen.
Die Integration des Cyrus IMAP- und POP3-Servers wurde aus UCS entfernt. Die Integration von Dovecot wird die einzige sein, die ab UCS 4.3 unterstützt wird. Wenn Sie Cyrus unter UCS 4.2 verwenden und ein Upgrade auf UCS 4.3 durchführen möchten, lesen Sie den Artikel https://help.univention.com/t/7957. Der Artikel enthält einen Link zu Anweisungen für die Migration von Cyrus nach Dovecot.
Unterstützung für Windows-NT-Domänen wurde aus UCS 4.3 entfernt. Das Update für diese Domänen
ist blockiert und die Domäne muss nach der Anleitung
Migration von Samba 3 nach Samba 4 zu Samba/AD migriert werden.
Siehe auch Best Practices für Samba 4 Migration.
Bei Verwendung der UCS Core Edition werden anonyme Nutzungsstatistiken zur Verwendung von Univention Management Console erzeugt. Die aufgerufenen Module werden dabei von einer Instanz des Web-Traffic-Analyse-Tools Piwik protokolliert. Dies ermöglicht es Univention die Entwicklung von Univention Management Console besser auf das Kundeninteresse zuzuschneiden und Usability-Verbesserungen vorzunehmen.
Diese Protokollierung erfolgt nur bei Verwendung der UCS Core Edition. Der Lizenzstatus kann überprüft werden durch den Eintrag des Benutzermenüs in der rechten, oberen Ecke von Univention Management Console. Steht hier unter der Eintrag wird eine solche Edition verwendet. Bei Einsatz einer regulären UCS-Lizenz erfolgt keine Teilnahme an der Nutzungsstatistik.
Die Protokollierung kann unabhängig von der verwendeten Lizenz durch Setzen der Univention Configuration Registry-Variable umc/web/piwik auf false deaktiviert werden.
WebKit, Konqueror und QtWebKit werden in UCS im maintained-Zweig des Repositorys mitgeliefert, aber nicht durch Sicherheits-Updates unterstützt. WebKit wird vor allem für die Darstellung von HTML-Hilfeseiten u.ä. verwendet. Als Web-Browser sollte Firefox eingesetzt werden.
Univention Management Console verwendet für die Darstellung der Web-Oberfläche zahlreiche JavaScript- und CSS-Funktionen. Cookies müssen im Browser zugelassen sein. Die folgenden Browser werden empfohlen:
Chrome ab Version 37
Firefox ab Version 38
Internet Explorer ab Version 11
Safari und Safari Mobile ab Version 9
Mit älteren Browsern können Darstellungs- oder Performanceprobleme auftreten.
Die Changelogs mit den detaillierten Änderungsinformationen werden nur in Englisch gepflegt. Aufgeführt sind die Änderungen seit UCS 4.2-3:
service instead
of invoke-rc.d to restart services. This is necessary for the services to be
restarted during the UCS installation (Bug 45905, Bug 46055).
XS-Python-Version and XB-Python-Version have been removed from all packages(Bug 43336).
interfaces/primary is set during system setup (Bug 45956, Bug 46551).
ucr set ssl/default/hashfunction=sha256.
The certificate needs to be renewed afterwards.
For details see Renewing the SSL certificate.
krb5-kdc.schema has a new attribute krb5ExtendedAttributes (Bug 45996).
/etc/krb5.conf has been adjusted
to also set Heimdal specific options like default_etypes>. This ensures compatibility with domain controllers
in the UCS domain that have not been updated to UCS 4.3 yet (Bug 36542, Bug 46292).
apt-get directly, instead of using a library and implement the functionality (Bug 43660).
/var/log/univention/appcenter.log is now rotated (Bug 46274).
text/xml input data (Bug 45941).
Accept). The daemon in upstreams version sets it to Drop (Bug 46612).
/etc/nagios3/ to
/etc/nagios/. Also the cache and log directories have been renamed to
/var/cache/nagios/ and /var/log/nagios/. During the update,
all files from /etc/nagios3/conf.local.d/ and /etc/nagios3/conf.univention.d/
and the log and cache files are moved to the new directories to ensure a smooth transition. Nevertheless, the
Nagios configuration should be manually checked after the update (nagios -v /etc/nagios/nagios.cfg).
nagios.log have been changed to 640 (Bug 46306).
mpm_prefork handling and Univention Configuration Registry templates in univention-apache has been
adapted to Debian Stretch (Bug 45857, Bug 46065).
apache2/ssl/v3 has been removed (Bug 45922).
php/memory/limit, php/limit/postsize, php/limit/filesize,
php/limit/inputtime, php/memory/executiontime and php/limit/sockettimeout
to configure the php.ini have been removed. To configure PHP settings
/etc/php/7.0/apache2/php.ini or /etc/php5/apache2/php.ini
can be modified manually (Bug 46121).
update43/ignore_cyrus_check to yes.
Be advised that such a system is not supported by Univention.
Such a system may not be able to store received email, even if Cyrus is still running, as the legacy Cyrus integration will not create mailboxes for new users.
mailquota policy and its associated UDM module have been removed.
The Dovecot integration requires the quota information be set directly on the user object
(see UCS manual, section "Mail quota").
The names of the UDM properties for the mail quota have been changed to be vendor neutral. This is only noticeable when setting the quota via command line or via Python.
users/user) has been renamed from UniventionDovecotUserQuota to mailUserQuota.
mail/folder) has been renamed from cyrus-userquota to mailQuota.
If custom shell or Python scripts that change quota setting using UDM are in use, they must be modified to use the new names or they will not work anymore.
sieve_dir has been removed, as it is now part of the configuration value
of sieve (see conf.d/90-sieve.conf).
sieve_global_dir has been renamed to sieve_global
(see conf.d/90-sieve.conf).
/etc/postfix/dynamicmaps.cf has changed in Postfix 3.
The file will be saved to /etc/postfix/dynamicmaps.cf.postfix2.XXXXXXXX
(with XXXXXXXX being a random string) and removed before upgrading. The Postfix 3
packages will recreate it in the new format during the upgrade to UCS 4.3 (Bug 45968).
sa-update has been improved, which is done automatically during the installation of the package,
to ensure that a current ruleset for SpamAssassin is available after the installation (Bug 46555)
/etc/squid3 to /etc/squid. This includes the Univention Configuration Registry variable template /etc/squid/squid.conf
but also user configurations like /etc/squid/local.conf, /etc/squid/local_rules.conf etc..
All old configuration files are saved before the update in the directory /etc/squid3-update-4.3 (Bug 45935).
UCS-4.3.
Profiles for Windows Server 2003 are no longer created.
Individual profiles for previous UCS releases are no longer created in favor
of a generic profile for UCS-4.
The default boot order has been swapped to hard-disk before CD-ROM (Bug 46119).
NT style domain control has been removed in most parts. The update for these domains is
blocked and the domain needs to be migrated to Samba/AD following the update guide
Migration from Samba 3 to Samba 4.
See also Best practices for Samba 4 Migration (Bug 46118).
init.d script for smbd in univention-samba have been improved (Bug 46437).
SSH v.1 protocol has been removed.
Many legacy algorithms have been disabled, as they are considered cryptographically weak nowadays.
The Univention Configuration Registry template file for openssh has been updated accordingly:
The deprecated Univention Configuration Registry variables sshd/Protocol and sshd/ServerKeyBits have been removed.
The privilege separation mode has been changed to the new default sandbox.
All other settings have been reviewed and reset to their default value if appropriate (Bug 46033).
systemctl from reporting a wrong status for the services
univention-bind, univention-dhcp,
univention-directory-notifier and univention-directory-listener,
the runsv timeout has been increased to 30 seconds (Bug 46310, Bug 46311, Bug 46312, Bug 46313).
univention-directory-listener is now properly re-started in
univention-directory-replication-resync (Bug 46372).
ntp init script has been removed from univention-base-files.
Instead the systemd script provided by ntp is being used (Bug 46071).
/dev/urandom again instead of /dev/random (Bug 46260).
interfaces/*/network and interfaces/*/broadcast (Bug 46515).