Inhaltsverzeichnis
Mit Univention Corporate Server 4.3-2 steht das zweite Point-Release für Univention Corporate Server (UCS) 4.3 zur Verfügung. Es umfasst Funktionserweiterungen und Verbesserungen, neue Eigenschaften sowie diverse Detailverbesserungen und Fehlerkorrekturen. Die wichtigsten Änderungen im Überblick:
Während der Aktualisierung auf neue UCS Release- oder Patchlevelversionen wird die Univention Management Console in einen Wartungsmodus versetzt. Während der Wartungsmodus aktiv ist, wird der Fortschritt des Updates auf einer einfachen Webseite dargestellt.
Samba wurde auf Version 4.7.8 aktualisiert. Aus Sicherheitsgründen ist jetzt die Authentifizierung mit NTLMv1 nicht mehr erlaubt. Sofern noch sehr alte Systeme oder Anwendungen im Einsatz sind, die unbedingt NTLMv1 benötigen, so kann dies per Univention Configuration Registry wieder aktiviert werden.
Der Installationswizard wurde erweitert, so dass vor dem Start der Installation mögliche Probleme beim Domänenbeitritt und der Internetanbindung identifiziert werden und Lösungsmöglichkeiten aufgezeigt werden können.
Eine manuell erstellte oder angepasste SAML Konfiguration für einen Dienst kann nun direkt im LDAP abgelegt werden. Diese Konfiguration wird dann auf alle am Single Sign On beteiligten Identity Provider in der Domäne repliziert.
Der AD Connector wurde um Werkzeuge erweitert, einzelne Objekte oder ganze Teilbäume erneut zu synchronisieren und Rejects gezielt zu entfernen.
Diverse Security Updates wurden in UCS 4.3-2 integriert, bspw. für den Linux Kernel, Samba und Apache2. Eine vollständige Liste ist in Kapitel 6 zu finden.
Während der Aktualisierung kann es zu temporären Ausfällen von Diensten innerhalb der Domäne kommen. Aus diesem Grund sollte das Update innerhalb eines Wartungsfensters erfolgen. Grundsätzlich wird empfohlen, das Update zunächst in einer Testumgebung einzuspielen und zu testen. Die Testumgebung sollte dabei identisch zur Produktivumgebung sein. Je nach Systemgeschwindigkeit, Netzwerkanbindung und installierter Software kann das Update zwischen 20 Minuten und mehreren Stunden dauern.
In Umgebungen mit mehr als einem UCS-System muss die Update-Reihenfolge der UCS-Systeme beachtet werden:
Auf dem Domänencontroller Master wird die maßgebliche (authoritative) Version des LDAP-Verzeichnisdienstes vorgehalten, die an alle übrigen LDAP-Server der UCS-Domäne repliziert wird. Da bei Release-Updates Veränderungen an den LDAP-Schemata auftreten können, muss der Domänencontroller Master bei einem Release-Update immer als erstes System aktualisiert werden.
UCS-Installations-DVDs werden ab UCS 4 nur noch für 64-Bit-Architekturen bereitgestellt. Vorhandene 32-Bit UCS 3 Systeme können weiterhin über das Online Repository oder über Update DVDs auf UCS 4 aktualisiert werden. Die 32-Bit-Architektur wird für die gesamte UCS 4 Maintenance noch unterstützt.
Es sollte geprüft werden, ob ausreichend Festplattenplatz verfügbar ist. Eine Standard-Installation benötigt min. 10 GB Speicherplatz. Das Update benötigt je nach Umfang der vorhanden Installation ungefähr 4 GB zusätzlichen Speicherplatz zum Herunterladen und Installieren der Pakete.
Für das Update sollte eine Anmeldung auf der lokalen Konsole des Systems mit dem Benutzer root durchgeführt und das Update dort gestartet werden.
Alternativ kann das Update über Univention Management Console durchgeführt werden.
Eine Remote-Aktualisierung über SSH wird nicht empfohlen, da dies beispielsweise bei Unterbrechung der Netzverbindung zum Abbruch des Update-Vorgangs und zu einer Beeinträchtigung des Systems führen kann.
Sollte dennoch eine Aktualisierung über eine Netzverbindung durchgeführt werden, ist sicherzustellen, dass das Update bei Unterbrechung der Netzverbindung trotzdem weiterläuft.
Hierfür können beispielsweise die Tools screen oder at eingesetzt werden, die auf allen UCS Systemrollen installiert sind.
Nach dem Update müssen die neuen oder aktualisierten Join-Skripte ausgeführt werden.
Dies kann auf zwei Wegen erfolgen:
Entweder über das UMC-Modul oder durch Aufruf des Befehls
univention-run-join-scripts als Benutzer root.
Anschließend muss das UCS-System neu gestartet werden.
Bei Verwendung der UCS Core Edition werden anonyme Nutzungsstatistiken zur Verwendung von Univention Management Console erzeugt. Die aufgerufenen Module werden dabei von einer Instanz des Web-Traffic-Analyse-Tools Piwik protokolliert. Dies ermöglicht es Univention die Entwicklung von Univention Management Console besser auf das Kundeninteresse zuzuschneiden und Usability-Verbesserungen vorzunehmen.
Diese Protokollierung erfolgt nur bei Verwendung der UCS Core Edition. Der Lizenzstatus kann überprüft werden durch den Eintrag des Benutzermenüs in der rechten, oberen Ecke von Univention Management Console. Steht hier unter der Eintrag wird eine solche Edition verwendet. Bei Einsatz einer regulären UCS-Lizenz erfolgt keine Teilnahme an der Nutzungsstatistik.
Die Protokollierung kann unabhängig von der verwendeten Lizenz durch Setzen der Univention Configuration Registry-Variable umc/web/piwik auf false deaktiviert werden.
WebKit, Konqueror und QtWebKit werden in UCS im maintained-Zweig des Repositorys mitgeliefert, aber nicht durch Sicherheits-Updates unterstützt. WebKit wird vor allem für die Darstellung von HTML-Hilfeseiten u.ä. verwendet. Als Web-Browser sollte Firefox eingesetzt werden.
Univention Management Console verwendet für die Darstellung der Web-Oberfläche zahlreiche JavaScript- und CSS-Funktionen. Cookies müssen im Browser zugelassen sein. Die folgenden Browser werden empfohlen:
Chrome ab Version 37
Firefox ab Version 38
Internet Explorer ab Version 11
Safari und Safari Mobile ab Version 9
Mit älteren Browsern können Darstellungs- oder Performanceprobleme auftreten.
Die Changelogs mit den detaillierten Änderungsinformationen werden nur in Englisch gepflegt. Aufgeführt sind die Änderungen seit UCS 4.3-1:
All security updates issued for UCS 4.3-1 are included:
The following updated packages from Debian Stretch 9.5 are included (Bug 47659): 2ping, abiword, adminer, ant, auto-complete-el, awffull, ax25-tools, blender, blktrace, bouncycastle, camo, cffi, cgit, check-postgres, chromium-browser, clustershell, debian-installer, debian-installer-netboot-images, debian-security-support, dehydrated, disc-cover, django-xmlrpc, dosbox, dpdk, dput-ng, elastix, email2trac, faker, fastkml, ganeti, git-annex, glx-alternatives, gosa, gridengine, insserv, jdresolve, jetty9, kamailio, keystone, lava-server, libb64, libdate-holidays-de-perl, libextractor, liblouis, libosmium, llvm-toolchain-4.0, local-apt-repository, loook, mailman, miniupnpd, mutt, network-manager-vpnc, nss-pam-ldapd, nvidia-graphics-drivers, obfsproxy, openstack-debian-images, php-horde-image, piglit, plexus-archiver, psad, pysurfer, python-cluster, python-pyorick, python-scruffy, r-cran-mi, redis, ruby-rack-protection, ruby-sprockets, rustc, salt, showq, slurm-llnl, source-highlight, spip, starplot, strongswan, sus, symfony, tclreadline, thefuck, thunderbird, tinyproxy, tlslite-ng, tolua, tomcat8, unison, variety, vim-syntastic, wordpress, xen, xrdp, znc
dpkg trigger execution to noawait when Univention Configuration Registry templates are installed or updated (Bug 47356).
/etc/rsyslog.conf has been fixed.
Modules configured by the Univention Configuration Registry variables syslog/input/* are now activated correctly (Bug 47035).
autostart variables are now correctly evaluated across all scopes (Bug 46300).
/etc/ssh/sshd_config were not mapped to Univention Configuration Registry variables (Bug 39704).
Intl.Collator object is now used for other widgets as well (Bug 47195).
univention-app logs has been introduced for Docker Apps (Bug 46433).
univention-appcenter-listener-converter has been fixed (Bug 47644).
root is used inside containers to run scripts (Bug 47340).
univention-app took every App from every UCS version into consideration.
Now non-Docker Apps are excluded when the UCS version of the App and the one of the system do not match (Bug 47187).
univention-join tool for checking problems without altering the system (Bug 42022).
univention-server-join now checks and reports conflicts in name, role, MAC and IP address to provide better error feedback (Bug 42124).
ldap/attributeoptions has been added to configure the slapd.conf attributeoptions parameter.
The default for attributeoptions has changed from entry- to entry-,lang- (Bug 47246).
getMailFromMailOrUid from execution on module load (Bug 47206).
updater.log file in UMC if the last release update failed (Bug 47592).
deb-systemd-invoke stop "postgresql@$ver-*" to prevent upgrading/removing server packages from stopping other major version clusters when running systemd.
(Use deb-systemd-invoke instead of invoke-rc.d; Jessie's invoke-rc.d does not support service patterns.) (Bug 47511).
chroot environment.
systemd is not yet used there, but the legacy SysV init scripts.
Its stop action reports an error as the daemon is not running.
This aborts the removal of the package, which is done when setting up a Base system (Bug 47194).
saml/serviceprovider objects.
The configuration will be replicated to all domain IdP servers.
In addition, the configuration option of simplesamlphp LDAP get_attributes is now done in LDAP.
The current value set to the Univention Configuration Registry variables is migrated to the updated configuration (Bug 47309).
uvmm/umc/showcpuusage (Bug 47268).
samba/ntlm/auth (ntlm auth) to ntlmv2-only (Bug 46782).
Two new Univention Configuration Registry variables have been added to give more granular control over the behavior of the SYSVOL synchronization:
samba4/sysvol/sync/from_upstream/deletesamba4/sysvol/sync/fix_gpt_inigpt.ini files should be deleted after the synchronization to the local SYSVOL directory (Bug 47576).
samba-tool dbcheck --fix even if a modification failed (Bug 45982).
Four new tools have been added:
resync_object_from_ad.py, resync_object_from_ucs.py, remove_ad_rejected.py, remove_ucs_rejected.py
(Bug 47232).