Inhaltsverzeichnis
Mit Univention Corporate Server 4.3-4 steht das vierte Point-Release für Univention Corporate Server (UCS) 4.3 zur Verfügung. Es umfasst Funktionserweiterungen und Verbesserungen, neue Eigenschaften sowie diverse Detailverbesserungen und Fehlerkorrekturen. Die wichtigsten Änderungen im Überblick:
Der Univention Directory Notifier unterstützt eine neue Protokollversion.
Metadaten der Verzeichnisreplikation werden jetzt zusätzlich in der LDAP Datenbank cn=translog gespeichert.
Die Unterstützung der Konfiguration mehrerer Zertifikate für Server Name Indication (SNI) wurde dem Paket univention-mail-dovecot hinzugefügt.
Der UCS Virtual Machine Manager (UVMM) wurde in mehreren Punkten verbessert:
Die CPU und RAM Auslastung der Virtualisierungsserver wird nun dargestellt.
Für virtuelle Maschinen die Windows ausführen wird jetzt Hyper-V Enlightenment konfiguriert.
Es ist nun möglich einen Schutz vor der Überbelegung des RAM (RAM overcommitment) mit der Univention Configuration Registry-Variable uvmm/overcommit/reserved zu konfigurieren.
Die Eintrag der LDAP Wurzel kann nun wieder modifiziert werden, um beispielsweise Referenzen auf Richtlinien zu ändern.
Diverse Security Updates wurden in UCS 4.3-4 integriert, bspw. für den Linux Kernel, Samba und Apache2. Eine vollständige Liste ist in Kapitel 6 zu finden.
Während der Aktualisierung kann es zu temporären Ausfällen von Diensten innerhalb der Domäne kommen. Aus diesem Grund sollte das Update innerhalb eines Wartungsfensters erfolgen. Grundsätzlich wird empfohlen, das Update zunächst in einer Testumgebung einzuspielen und zu testen. Die Testumgebung sollte dabei identisch zur Produktivumgebung sein. Je nach Systemgeschwindigkeit, Netzwerkanbindung und installierter Software kann das Update zwischen 20 Minuten und mehreren Stunden dauern.
In Umgebungen mit mehr als einem UCS-System muss die Update-Reihenfolge der UCS-Systeme beachtet werden:
Auf dem Domänencontroller Master wird die maßgebliche (authoritative) Version des LDAP-Verzeichnisdienstes vorgehalten, die an alle übrigen LDAP-Server der UCS-Domäne repliziert wird. Da bei Release-Updates Veränderungen an den LDAP-Schemata auftreten können, muss der Domänencontroller Master bei einem Release-Update immer als erstes System aktualisiert werden.
UCS-Installations-DVDs werden ab UCS 4 nur noch für 64-Bit-Architekturen bereitgestellt. Vorhandene 32-Bit UCS 3 Systeme können weiterhin über das Online Repository oder über Update DVDs auf UCS 4 aktualisiert werden. Die 32-Bit-Architektur wird für die gesamte UCS 4 Maintenance noch unterstützt.
Es sollte geprüft werden, ob ausreichend Festplattenplatz verfügbar ist. Eine Standard-Installation benötigt min. 10 GB Speicherplatz. Das Update benötigt je nach Umfang der vorhanden Installation ungefähr 4 GB zusätzlichen Speicherplatz zum Herunterladen und Installieren der Pakete.
Für das Update sollte eine Anmeldung auf der lokalen Konsole des Systems mit dem Benutzer root durchgeführt und das Update dort gestartet werden.
Alternativ kann das Update über Univention Management Console durchgeführt werden.
Eine Remote-Aktualisierung über SSH wird nicht empfohlen, da dies beispielsweise bei Unterbrechung der Netzverbindung zum Abbruch des Update-Vorgangs und zu einer Beeinträchtigung des Systems führen kann.
Sollte dennoch eine Aktualisierung über eine Netzverbindung durchgeführt werden, ist sicherzustellen, dass das Update bei Unterbrechung der Netzverbindung trotzdem weiterläuft.
Hierfür können beispielsweise die Tools screen oder at eingesetzt werden, die auf allen UCS Systemrollen installiert sind.
Nach dem Update müssen die neuen oder aktualisierten Join-Skripte ausgeführt werden.
Dies kann auf zwei Wegen erfolgen:
Entweder über das UMC-Modul oder durch Aufruf des Befehls
univention-run-join-scripts als Benutzer root.
Anschließend muss das UCS-System neu gestartet werden.
Bei Verwendung der UCS Core Edition werden anonyme Nutzungsstatistiken zur Verwendung von Univention Management Console erzeugt. Die aufgerufenen Module werden dabei von einer Instanz des Web-Traffic-Analyse-Tools Piwik protokolliert. Dies ermöglicht es Univention die Entwicklung von Univention Management Console besser auf das Kundeninteresse zuzuschneiden und Usability-Verbesserungen vorzunehmen.
Diese Protokollierung erfolgt nur bei Verwendung der UCS Core Edition. Der Lizenzstatus kann überprüft werden durch den Eintrag des Benutzermenüs in der rechten, oberen Ecke von Univention Management Console. Steht hier unter der Eintrag wird eine solche Edition verwendet. Bei Einsatz einer regulären UCS-Lizenz erfolgt keine Teilnahme an der Nutzungsstatistik.
Die Protokollierung kann unabhängig von der verwendeten Lizenz durch Setzen der Univention Configuration Registry-Variable umc/web/piwik auf false deaktiviert werden.
WebKit, Konqueror und QtWebKit werden in UCS im maintained-Zweig des Repositorys mitgeliefert, aber nicht durch Sicherheits-Updates unterstützt. WebKit wird vor allem für die Darstellung von HTML-Hilfeseiten u.ä. verwendet. Als Web-Browser sollte Firefox eingesetzt werden.
Univention Management Console verwendet für die Darstellung der Web-Oberfläche zahlreiche JavaScript- und CSS-Funktionen. Cookies müssen im Browser zugelassen sein. Die folgenden Browser werden empfohlen:
Chrome ab Version 37
Firefox ab Version 38
Internet Explorer ab Version 11
Safari und Safari Mobile ab Version 9
Mit älteren Browsern können Darstellungs- oder Performanceprobleme auftreten.
Die Changelogs mit den detaillierten Änderungsinformationen werden nur in Englisch gepflegt. Aufgeführt sind die Änderungen seit UCS 4.3-3:
All security updates issued for UCS 4.3-4 are included:
The following updated packages from Debian 9.6 are included (Bug 48278): wpa, base-files, ca-certificates-java, dnspython, erlang, espeakup, gnupg2, ibus, libdatetime-timezone-perl, libgpod, libssh, openvpn, postfix, postgresql-9.6, postgrey, tzdata, xapian-core, ansible, arc, astroml-addons, c3p0, chkrootkit, chromium, compactheader, coturn, courier, debian-edu-config, debian-installer, debian-installer-netboot-images, debian-security-support, drupal7, egg, flatpak, ganeti-os-noop, glx-alternatives, gnulib, golang-1.7, golang-1.8, graphite-api, grokmirror, icinga2, ikiwiki, isort, jdupes, kmodpy, libapache-mod-jk, libapache2-mod-auth-mellon, libb2, libemail-address-list-perl, libextractor, libu2f-host, linux-igd, lttng-modules, mistral, monkeysign, mosquitto, mpqc, mumble, netatalk, neutron, nvidia-graphics-drivers, nvidia-modprobe, nvidia-persistenced, nvidia-settings, nvidia-xconfig, openni2, parsedatetime, passenger, pdns, pdns-recursor, photocollage, putty, pylint-django, python-acme, python-arpy, python-certbot, python-certbot-apache, python-certbot-nginx, python-hypothesis, python-josepy, pyzo, r-cran-readxl, rssh, rtkit, ruby-loofah, ruby-rack, ruby-sanitize, sl-modem, sogo-connector, spip, ssh-agent-filter, supercollider, sympa, thunderbird, tmpreaper, tryton-server, twig, twitter-bootstrap3, uglifyjs, vm, vulture, waagent, wicd, wordpress, wvstreams, xen, xkeycaps, xmltooling, yosys, z3
The following packages have been moved to the maintained repository of UCS: fail2ban (Bug 47566), libmaxminddb (Bug 48409)
univention-translog check --fix command to check (and fix) inconsistency between the files /var/lib/univention-ldap/notify/transaction, /var/lib/univention-ldap/notify/transaction.index, /var/lib/univention-ldap/listener/listener, and /var/lib/univention-ldap/last_id (Bug 49202).
/var/lib/univention-ldap/notify/transaction and the cn=translog database in OpenLDAP.
A failed write to the later can make UDN abort, in which case UDN is restarted automatically and writes the pending transactions to said file again.
This leads to inconsistency.
The order has been swapped to prevent this issue from happening again.
The transaction file might require manual corrections if UDN fails to start up properly.
Details of this procedure will be provided by a future update (Bug 49199).
univention-replicate-many can be used to re-replicate multiple objects at once (Bug 41262).
umc/web/sso/enabled (Bug 48985).
pam_cracklib were evaluated again when changing the password via Univention Management Console.
The old behavior has been restored later on.
Therefore password changes do not require strong passwords anymore if no password policy is defined in the domain (Bug 48684, Bug 49039).
univention-run-diagnostic-checks which can be used to execute the diagnostic checks (Bug 47650).
cn=translog setup, which reset the LDAP index.
If an UCS-4.3 system was updated to Erratum 426 before this erratum was made available, the list of indexed LDAP attributes was reset to the default on master and backup systems.
This may lead to slow LDAP searches.
If other attributes were added manually to the Univention Configuration Registry variables ldap/index/eq, ldap/index/sub, ldap/index/pres, they must be restored manually.
The old values might be recovered from the log file /var/log/univention/config-registry.replog.
After a manual change of these Univention Configuration Registry variables, the LDAP server index need to be updated by stopping the slapd service, then running the script /usr/share/univention-ldap/ldap_setup_index and starting the slapd service again (Bug 48970).
cn=monitor backend for statistical information.
To activate this, set the Univention Configuration Registry variable ldap/monitor=true and restart the LDAP server service (slapd) (Bug 41213).
cn=translog database for transaction log (Bug 48427).
ldap_extension is performed on backup domain controller and slave domain controller systems to correct possible inconsistencies in LDAP ACLs (Bug 48530).
cn=config backend, accessible via LDAPI only (Bug 43515).
die() function to ldap.sh (Bug 47424).
cron mails for a successful ldap-backup cron job (Bug 48014).
univention-repository-addpackage, univention-repository-delpackage and univention-repository-merge are deprecated and will be removed with UCS-4.4 (Bug 29505).
dists/ are now also mirrored.
This is required for the PXE network installer (Bug 46600).
update/debug/level for changing the debug level of the UCS updater (Bug 47913).
postmirror.sh file is no longer displayed (Bug 27761).
VirtualHost configuration can now be extended by placing .conf files in the directory /etc/apache2/sso-vhost.conf.d/ (Bug 48348).
mail/dovecot/ssl/sni/$fqdn/certificate=$path_to_certificate and mail/dovecot/ssl/sni/$fqdn/key=$path_to_certificate_key (Bug 49064).
/var/spool/dovecot/private/ by unsuccessful login attempts of users without a primary mail address (Bug 48628).
/etc/cups/cupsd.local.conf is applied again.
Since Erratum 149 the CUPS Include directive has been removed.
Changes in the /etc/cups/cupsd.local.conf configuration require a ucr commit /etc/cups/cupsd.conf now (Bug 49197).
None or smb (raw) printer model (Bug 47843).
/usr/share/cups/model is a link to /usr/share/ppd (Bug 47435).
uvmm/overcommit/reserved (Bug 48098).