Inhaltsverzeichnis
Mit Univention Corporate Server 4.3-3 steht das dritte Point-Release für Univention Corporate Server (UCS) 4.3 zur Verfügung. Es umfasst Funktionserweiterungen und Verbesserungen, neue Eigenschaften sowie diverse Detailverbesserungen und Fehlerkorrekturen. Die wichtigsten Änderungen im Überblick:
Die Konfigurationsmöglichkeiten für das UCS Portal wurden erweitert, um es besser an eigene Bedürfnisse anzupassen. Es können jetzt eigene Kategorien für Kacheln definiert werden. Zudem gibt es die Möglichkeit, statische Links zu definieren, um beispielweise ein Impressum zu verlinken.
Die neue UCS Dashboard App ermöglicht Administratoren den Zustand der Domäne oder einzelner Server schnell und einfach auf unterschiedlichen Dashboards abzulesen.
Neben kleineren Fehlerbehebungen in Univention Management Console wurde insbesondere das Scrolling an vielen Stellen verbessert.
Die Einführung einer neuen vereinfachten Python API verringert für Entwickler den Entwicklungsaufwand um auf das UCS Identity Management zuzugreifen.
Diverse Security Updates wurden in UCS 4.3-3 integriert, bspw. für den Linux Kernel, Samba und Apache2. UCS 4.3-3 basiert auf dem im November veröffentlichten Debian Release 9.6. Eine vollständige Liste ist in Kapitel 6 zu finden.
Während der Aktualisierung kann es zu temporären Ausfällen von Diensten innerhalb der Domäne kommen. Aus diesem Grund sollte das Update innerhalb eines Wartungsfensters erfolgen. Grundsätzlich wird empfohlen, das Update zunächst in einer Testumgebung einzuspielen und zu testen. Die Testumgebung sollte dabei identisch zur Produktivumgebung sein. Je nach Systemgeschwindigkeit, Netzwerkanbindung und installierter Software kann das Update zwischen 20 Minuten und mehreren Stunden dauern.
In Umgebungen mit mehr als einem UCS-System muss die Update-Reihenfolge der UCS-Systeme beachtet werden:
Auf dem Domänencontroller Master wird die maßgebliche (authoritative) Version des LDAP-Verzeichnisdienstes vorgehalten, die an alle übrigen LDAP-Server der UCS-Domäne repliziert wird. Da bei Release-Updates Veränderungen an den LDAP-Schemata auftreten können, muss der Domänencontroller Master bei einem Release-Update immer als erstes System aktualisiert werden.
UCS-Installations-DVDs werden ab UCS 4 nur noch für 64-Bit-Architekturen bereitgestellt. Vorhandene 32-Bit UCS 3 Systeme können weiterhin über das Online Repository oder über Update DVDs auf UCS 4 aktualisiert werden. Die 32-Bit-Architektur wird für die gesamte UCS 4 Maintenance noch unterstützt.
Es sollte geprüft werden, ob ausreichend Festplattenplatz verfügbar ist. Eine Standard-Installation benötigt min. 10 GB Speicherplatz. Das Update benötigt je nach Umfang der vorhanden Installation ungefähr 4 GB zusätzlichen Speicherplatz zum Herunterladen und Installieren der Pakete.
Für das Update sollte eine Anmeldung auf der lokalen Konsole des Systems mit dem Benutzer root durchgeführt und das Update dort gestartet werden.
Alternativ kann das Update über Univention Management Console durchgeführt werden.
Eine Remote-Aktualisierung über SSH wird nicht empfohlen, da dies beispielsweise bei Unterbrechung der Netzverbindung zum Abbruch des Update-Vorgangs und zu einer Beeinträchtigung des Systems führen kann.
Sollte dennoch eine Aktualisierung über eine Netzverbindung durchgeführt werden, ist sicherzustellen, dass das Update bei Unterbrechung der Netzverbindung trotzdem weiterläuft.
Hierfür können beispielsweise die Tools screen oder at eingesetzt werden, die auf allen UCS Systemrollen installiert sind.
Nach dem Update müssen die neuen oder aktualisierten Join-Skripte ausgeführt werden.
Dies kann auf zwei Wegen erfolgen:
Entweder über das UMC-Modul oder durch Aufruf des Befehls
univention-run-join-scripts als Benutzer root.
Anschließend muss das UCS-System neu gestartet werden.
Bei Verwendung der UCS Core Edition werden anonyme Nutzungsstatistiken zur Verwendung von Univention Management Console erzeugt. Die aufgerufenen Module werden dabei von einer Instanz des Web-Traffic-Analyse-Tools Piwik protokolliert. Dies ermöglicht es Univention die Entwicklung von Univention Management Console besser auf das Kundeninteresse zuzuschneiden und Usability-Verbesserungen vorzunehmen.
Diese Protokollierung erfolgt nur bei Verwendung der UCS Core Edition. Der Lizenzstatus kann überprüft werden durch den Eintrag des Benutzermenüs in der rechten, oberen Ecke von Univention Management Console. Steht hier unter der Eintrag wird eine solche Edition verwendet. Bei Einsatz einer regulären UCS-Lizenz erfolgt keine Teilnahme an der Nutzungsstatistik.
Die Protokollierung kann unabhängig von der verwendeten Lizenz durch Setzen der Univention Configuration Registry-Variable umc/web/piwik auf false deaktiviert werden.
WebKit, Konqueror und QtWebKit werden in UCS im maintained-Zweig des Repositorys mitgeliefert, aber nicht durch Sicherheits-Updates unterstützt. WebKit wird vor allem für die Darstellung von HTML-Hilfeseiten u.ä. verwendet. Als Web-Browser sollte Firefox eingesetzt werden.
Univention Management Console verwendet für die Darstellung der Web-Oberfläche zahlreiche JavaScript- und CSS-Funktionen. Cookies müssen im Browser zugelassen sein. Die folgenden Browser werden empfohlen:
Chrome ab Version 37
Firefox ab Version 38
Internet Explorer ab Version 11
Safari und Safari Mobile ab Version 9
Mit älteren Browsern können Darstellungs- oder Performanceprobleme auftreten.
Die Changelogs mit den detaillierten Änderungsinformationen werden nur in Englisch gepflegt. Aufgeführt sind die Änderungen seit UCS 4.3-2:
All security updates issued for UCS 4.3-3 are included:
The following updated packages from Debian 9.6 are included (Bug 48278): accerciser, base-files, brltty, canna, cargo, chromium-browser, confuse, debian-installer, debian-installer-netboot-images, discount, dnsmasq, dom4j, dpdk, dropbear, drupal7, easytag, enigmail, espeakup, fastforward, firetray, fuse, ganeti, globus-gsi-credential, gnupg2, gphoto2-cffi, graphicsmagick, grub2, hdparm, https-everywhere, i3-wm, icecast2, iipimage, jhead, kamailio, lastpass-cli, ldap2zone, libcgroup, libclamunrar, libdap, libdatetime-timezone-perl, libextractor, libmail-deliverystatus-bounceparser-perl, libseccomp, libxml-stream-perl, libxml-structured-perl, lxcfs, mailman, mbedtls, mediawiki, mgetty, moin, mosquitto, multipath-tools, mupdf, nagstamon, network-manager-applet, nginx, ola, openafs, opensc, otrs2, pkgsel, publicsuffix, python-django, python-imaplib2, roundcube, ruby-json-jwt, rustc, sddm, serf, soundconverter, spice-gtk, sqlcipher, strongswan, subversion, sympa, systraq, thunderbird, tinc, tomcat-native, tor, trafficserver, tzdata, ublock-origin, vagrant, vmtk, x11vnc, xapian-core, xmotd, xorg-server, zutils
The following packages have been moved to the maintained repository of UCS: backports.ssl-match-hostname (Bug 43612), cached-property (Bug 43612), docker-compose (Bug 43612), dockerpty (Bug 43612), docopt (Bug 43612), lazy-object-proxy (Bug 48086), libconfig-inifiles-perl (Bug 48201), libhx (Bug 47933), libresample (Bug 48007), python-bsddb3 (Bug 47933), python-docker (Bug 43612), python-functools32 (Bug 43612), python-jsonschema (Bug 43612), python-ruamel.ordereddict (Bug 43612), python-typing (Bug 43612), ruamel.yaml (Bug 43612), texttable (Bug 43612), websocket-client (Bug 43612), wimlib (Bug 47994)
univention-directory-listener-ctrl (Bug 47870).
server/role and ldap/master are not set (Bug 47837).
AttributeHook.
This can be used to implement a mapping between LDAP and UDM for extended attributes (Bug 43129).
admin is now allowed (Bug 38092).
settings/data was added.
It can be used to store arbitrary data in LDAP (Bug 47944).
mailinglist_name in running Python processes (Bug 48020).
syntax.py (Bug 48026).
alphanum option (Bug 47580).
univentionObjectType although they should have one.
The plugin also allows to migrate those objects.
Having a univentionObjectType allows for other services to use a convenient LDAP filter (Bug 47844).
usrjquota) quota as well (Bug 47764).
users/self module regarding saving unset properties with default values has been addressed (Bug 48047).
alphanum option (Bug 47580).
umc_init does not assume to find the LDAP group objects cn=Domain Admins and cn=Domain Users as direct children of the cn=groups container anymore.
Instead it searches for them (or their localized equivalents, like Domänen-Admins) (Bug 38057).
slapschema during registration of new schemas for errors (Bug 45571).
settings/data was added.
It can be used to store arbitrary data in LDAP (Bug 47944).
ldap/debug/level has been fixed (Bug 48102).
ldap/database/mdb/envflags (Bug 47869).
univention-updater now logs a more useful error message (Bug 34444).
pg_hba.conf to always grant access to that internal user.
This is required for automatic maintenance and similar tasks (Bug 31081).
postgres9/pg_hba/config/* allows for additional configuration options in the file pg_hba.conf (Bug 47276).
ifconfig was missing in the UCS container.
Also fixed parsing of the tool's output (Bug 46665).
stunnel to run on systems without univention-saml installed, like member server and slave domain controller servers.
The univention-saml package was updated to create the required directories (Bug 47250).
clamav-daemon is disabled via Univention Configuration Registry variable clamav/daemon/autostart=no.
Without this change Postfix is unable to process incoming mails due to a non-working AMaViS (Bug 39372).
mail/dovecot/sieve/client/server can now be used to specify an external FQDN for the Sieve script upload that matches the external SSL certificate (Bug 41018).
proxy.conf to allow RADIUS authentication with DOMAIN\USERNAME.
The original proxy.conf is diverted to proxy.conf.debian and is included into the new proxy.conf (Bug 42535).
ldap has been activated manually (Bug 48105).
univention-certificate renew does not revoke the old certificates anymore, so that they are still valid until they expire.
Additionally, certificates can now get addressed by their serial numbers using the option -id (Bug 41013).
uvmm/vm/cpu/host-model to either missing or always:
This modifies the XML description to include a description for the CPU of the host system for running virtual machines.
If a CPU description is present, UVMM will check the target host for compatibility.
The migration is aborted if the target host's CPU is not compatible.
Virtual machines must be restarted to activate pending changes.
UVMM monitors running virtual machines for reboot events and restarts them automatically (Bug 21386).
map acl inherit = yes for samba shares if NT ACLs and inherit ACLs are activated (Bug 47850).
netlogon_creds_cli.tdb in univention-samba4-backup (Bug 46468).
samba-tool dbcheck was unable to fix this automatically (Bug 48054).
samba-tool dbcheck --fix even if a modification failed (Bug 48040).
CN=Configuration gets replicated before the main domain partition.
As a result DRS replication could fail (Bug 47441).
sync_to_ucs reject for DNS Start of Authority (SOA) records with trailing dot missing in the Name Server (NS) resource record (Bug 44104).
connector/s4/mapping/dns/ignorelist was unset or empty (Bug 44711).
ucs_module_others if defined in the mapping (Bug 47779).
0 when synchronizing changes back from Samba/AD to UDM/OpenLDAP.
In an UCS@school specific UMC module this caused a display issue, where the next required password change was shown as never (Bug 47508, Bug 47595).
connector/ad/mapping/sync/userPrincipalName and restart the AD-Connector to sync username to userPrincipalName on subsequent object modifications (Bug 48153).
univention-adsearch now accepts space separated attribute list as parameter (Bug 43189).
univention-adsearch are printed base64 encoded (Bug 48082).
cn=Subschema object caused AD-Connector rejects (Bug 47396).
Domain Admin account is configured for the AD connection (Bug 47069).
connector/ldap/server set to a non-master server with read-only OpenLDAP (Bug 44024).
univention-adsearch now also uses the file containing the full certificate chain instead of only the exported AD certificate alone (Bug 47858).
server/password/cron (Bug 47781).