Inhaltsverzeichnis
Mit Univention Corporate Server 4.4-1 steht das erste Point-Release für Univention Corporate Server (UCS) 4.4 zur Verfügung. Es umfasst Funktionserweiterungen und Verbesserungen, neue Eigenschaften sowie diverse Detailverbesserungen und Fehlerkorrekturen. Die wichtigsten Änderungen im Überblick:
Durch die Konfiguration von eigenen Stylesheets kann das Aussehen der Login- und Webseiten individuell angepasst werden.
Es gibt deutliche Performance-Verbesserungen des Directory Managers in Umgebungen mit umfangreichen LDAP-Strukturen.
Im App Center gibt ein neues Feature Hinweise auf ergänzende Apps, basierend auf den in der Umgebung bereits installierten Apps.
Eine Betaversion der neuen UDM Rest API wurde veröffentlicht.
Einige UCS-Pakete wurden für die zukünftige Migration zu Python 3 angepasst.
Diverse Security Updates wurden in UCS 4.4-1 integriert, bspw. für Samba, den Linux Kernel und Dovecot. Eine vollständige Liste von Security- und Paketupdates ist in Kapitel 6 zu finden.
Während der Aktualisierung kann es zu temporären Ausfällen von Diensten innerhalb der Domäne kommen. Aus diesem Grund sollte das Update innerhalb eines Wartungsfensters erfolgen. Grundsätzlich wird empfohlen, das Update zunächst in einer Testumgebung einzuspielen und zu testen. Die Testumgebung sollte dabei identisch zur Produktivumgebung sein. Je nach Systemgeschwindigkeit, Netzwerkanbindung und installierter Software kann das Update zwischen 20 Minuten und mehreren Stunden dauern.
In Umgebungen mit mehr als einem UCS-System muss die Update-Reihenfolge der UCS-Systeme beachtet werden:
Auf dem Domänencontroller Master wird die maßgebliche (authoritative) Version des LDAP-Verzeichnisdienstes vorgehalten, die an alle übrigen LDAP-Server der UCS-Domäne repliziert wird. Da bei Release-Updates Veränderungen an den LDAP-Schemata auftreten können, muss der Domänencontroller Master bei einem Release-Update immer als erstes System aktualisiert werden.
UCS-Installations-DVDs werden ab UCS 4 nur noch für 64-Bit-Architekturen bereitgestellt. Vorhandene 32-Bit UCS 3 Systeme können weiterhin über das Online Repository oder über Update DVDs auf UCS 4 aktualisiert werden. Die 32-Bit-Architektur wird für die gesamte UCS 4 Maintenance noch unterstützt.
Es sollte geprüft werden, ob ausreichend Festplattenplatz verfügbar ist. Eine Standard-Installation benötigt min. 10 GB Speicherplatz. Das Update benötigt je nach Umfang der vorhanden Installation ungefähr 4 GB zusätzlichen Speicherplatz zum Herunterladen und Installieren der Pakete.
Für das Update sollte eine Anmeldung auf der lokalen Konsole des Systems mit dem Benutzer root durchgeführt und das Update dort gestartet werden.
Alternativ kann das Update über Univention Management Console durchgeführt werden.
Eine Remote-Aktualisierung über SSH wird nicht empfohlen, da dies beispielsweise bei Unterbrechung der Netzverbindung zum Abbruch des Update-Vorgangs und zu einer Beeinträchtigung des Systems führen kann.
Sollte dennoch eine Aktualisierung über eine Netzverbindung durchgeführt werden, ist sicherzustellen, dass das Update bei Unterbrechung der Netzverbindung trotzdem weiterläuft.
Hierfür können beispielsweise die Tools screen oder at eingesetzt werden, die auf allen UCS Systemrollen installiert sind.
Univention bietet ein Skript an, mit dem Probleme, die das Update des UCS Systems verhindern würden, schon vor dem Update erkannt werden können. Dieses Skript kann vor dem Update manuell auf das System geladen und ausgeführt werden:
# download
curl -OOs http://updates.software-univention.de/download/univention-update-checks/pre-update-checks-4.4{,.gpg}
# run script
gpgv --keyring /usr/share/keyrings/univention-archive-key-ucs-4x.gpg pre-update-checks-4.4.gpg \
pre-update-checks-4.4 && bash pre-update-checks-4.4
...
Starting pre-update checks ...
Checking app_appliance ... OK
Checking block_update_of_NT_DC ... OK
Checking cyrus_integration ... OK
Checking disk_space ... OK
Checking hold_packages ... OK
Checking ldap_connection ... OK
Checking ldap_schema ... OK
...
Nach dem Update müssen die neuen oder aktualisierten Join-Skripte ausgeführt werden.
Dies kann auf zwei Wegen erfolgen:
Entweder über das UMC-Modul oder durch Aufruf des Befehls
univention-run-join-scripts als Benutzer root.
Anschließend muss das UCS-System neu gestartet werden.
Durch einen Entwurfsfehler im Univention Directory Notifier Netzwerkprotokoll Version 2 kann jeder Benutzer an Informationen über Änderungen am LDAP-Verzeichnisdienst kommen.
Ein neues Protokoll Version 3 wurde mit UCS 4.3-3 erratum 427 implementiert.
Für die Kompatibilität mit alten UCS Systemen bot Univention Directory Notifier standardmäßig weiterhin Version 2 an.
Beginnend mit UCS-4.4 bieten neue Installationen standardmäßig nur noch Version 3 an.
Protokoll 2 kann reaktiviert werden, indem die Univention Configuration Registry-Variable notifier/protocol/version auf 2 geändert und Univention Directory Notifier neu gestartet wird.
Bei Verwendung der UCS Core Edition werden anonyme Nutzungsstatistiken zur Verwendung von Univention Management Console erzeugt. Die aufgerufenen Module werden dabei von einer Instanz des Web-Traffic-Analyse-Tools Piwik protokolliert. Dies ermöglicht es Univention die Entwicklung von Univention Management Console besser auf das Kundeninteresse zuzuschneiden und Usability-Verbesserungen vorzunehmen.
Diese Protokollierung erfolgt nur bei Verwendung der UCS Core Edition. Der Lizenzstatus kann überprüft werden durch den Eintrag des Benutzermenüs in der rechten, oberen Ecke von Univention Management Console. Steht hier unter der Eintrag wird eine solche Edition verwendet. Bei Einsatz einer regulären UCS-Lizenz erfolgt keine Teilnahme an der Nutzungsstatistik.
Die Protokollierung kann unabhängig von der verwendeten Lizenz durch Setzen der Univention Configuration Registry-Variable umc/web/piwik auf false deaktiviert werden.
WebKit, Konqueror und QtWebKit werden in UCS im maintained-Zweig des Repositorys mitgeliefert, aber nicht durch Sicherheits-Updates unterstützt. WebKit wird vor allem für die Darstellung von HTML-Hilfeseiten u.ä. verwendet. Als Web-Browser sollte Firefox eingesetzt werden.
Univention Management Console verwendet für die Darstellung der Web-Oberfläche zahlreiche JavaScript- und CSS-Funktionen. Cookies müssen im Browser zugelassen sein. Die folgenden Browser werden empfohlen:
Chrome ab Version 71
Firefox ab Version 60
Safari und Safari Mobile ab Version 12
Microsoft Edge ab Version 18
Der Internet Explorer wird ab diesem Release nicht mehr von Univention Management Console unterstützt.
Mit älteren Browsern können Darstellungs- oder Performanceprobleme auftreten.
Die Changelogs mit den detaillierten Änderungsinformationen werden nur in Englisch gepflegt. Aufgeführt sind die Änderungen seit UCS 4.4-0:
All security updates issued since UCS 4.4-0 are included:
The following packages have been moved to the maintained repository of UCS: numad (Bug 47574), python-setproctitle (Bug 49176), configparser (Bug 49588)
ldap/sizelimit, which defaults to 400k.
This is not enough for univention-translog prune.
Remove the limit for searches connecting via ldapi:///. (Bug 49505)
slaptest for LDAP schema checking in the ldap_extension module. (Bug 49596)
/etc/ldap/rootpw.conf) used for LDAP replication to improve security against brute force attacks. (Bug 48606)
univention-ldapsearch appends the argument -o ldif-wrap=no now. (Bug 48683)
resync_objects.py helper script now respects the configured local LDAP port. (Bug 49228)
cn=translog setup, which reset the LDAP indexes. (Bug 48971)
/var/lib/univention-ldap/notify/transaction and the cn=translog database in OpenLDAP.
A failed write to the later can make UDN abort, in which case UDN is restarted automatically and writes the pending transactions to said file again.
This leads to inconsistency.
The order has been swapped to prevent this issue from happening again.
The transaction file might require manual corrections if UDN fails to start up properly. (Bug 49198)
univention-translog check --fix command to check (and fix) inconsistency between the files /var/lib/univention-ldap/notify/transaction, /var/lib/univention-ldap/notify/transaction.index, /var/lib/univention-ldap/listener/listener, and /var/lib/univention-ldap/last_id. (Bug 49201)
Implement command univention-translog prune to prune old transactions from the transaction file and database.
This can be used to save space.
This procedure is dangerous and should ONLY be executed if ALL Univention Directory Listener (UDL) in the domain have processed all previous transactions.
Otherwise the UDLs will no longer be able to process transactions and affected systems must be re-joined!
Systems, which have not been running for some time or are restored from backup, must also be re-joined if their last processed transaction is no longer part contained in the purged translog. (Bug 48729)
/umcp/ to access UMC backend has been removed. (Bug 49639)
/usr/share/univention-management-console-login/css/custom.css. (Bug 49436)
umc/web/sso/enabled. (Bug 48224)
univention-portal-server has been increased. (Bug 49526)
univention-portal-server is reloaded after a server password rotation. (Bug 49746)
92univention-management-console-web-server.inst (Bug 48198)
ldapError: Insufficient access.
This has been fixed by ensuring a new connection is used after LDAP connection problems. (Bug 46089)
docker/daemon/default/opts/log-driver (default json-file) and docker/daemon/default/map/log-opt (default max-file=4,max-size=10m). (Bug 47416)
dpkg lock before attempting to install database software packages.
If starting the database service fails anyway, we now send more verbose information. (Bug 48669)
machine.secret could not be copied into container. (Bug 49543)
admindiary.client.write_event() in univention-updater occurring in Docker containers during docker build. (Bug 49056)
computers/* UDM handlers now share a common base class.
Code redundancy has therefore been reduced. (Bug 41659)
univentionPolicyReference is now removed from objects when the last policy is dereferenced. (Bug 46466)
lookup() method. (Bug 49638)
users/user UDM module now uses the LDAP filter univentionObjectType=users/user when searching for objects to increase performance. (Bug 48390)
udm users/user create without --set username does not cause a exception anymore. (Bug 48441)
mountpoint, a quota policy that had a value of zero (meaning no quota is enforced) would overwrite smaller quota policies.
This behavior has been changed to always choose the smallest value. (Bug 48000)
debug2.py again with C-version debug.py. (Bug 46100)
function class in favor of trace decorator. (Bug 43422)
univention.uldap.access.search() methods. (Bug 49638)
/usr/lib/python2.7/dist-packages/univention/. (Bug 49140)
unknownClients from the UMC policy DHCP Scope is no longer applied to a DHCP pool statement.
This is not allowed by the syntax of the DHCP daemon. (Bug 20222)
/var/spool/dovecot/private/ by unsuccessful login attempts of users without a primary mail address. (Bug 49038)
mail/dovecot/ssl/sni/$fqdn/certificate=$path_to_certificate and mail/dovecot/ssl/sni/$fqdn/key=$path_to_certificate_key (Bug 48485)
saml/idp/session-duration.
With this update, the default value for a SAML session is raised from 8 to 12 hours. (Bug 49503)
/usr/share/univention-management-console-login/css/custom.css. (Bug 49436)
Self Service-App not working when the Univention Configuration Registry variable umc/self-service/profiledata/enabled is set to false. (Bug 45041)
Self Service-App can now be styled via the /var/www/univention/self-service/css/custom.css CSS file. (Bug 49343)
/etc/cups/cupsd.local.conf is applied again.
Since UCS 4.3 erratum 149 the cups Include directive has been removed.
Changes in the /etc/cups/cupsd.local.conf configuration require a ucr commit /etc/cups/cupsd.conf now. (Bug 48437)
cn=translog database has been added. (Bug 48422)
univention-directory-listener database has been added.
To apply it on a slave domain controller, backup domain controller or member server execute: univention-run-join-scripts --force --run-scripts 30univention-nagios-client.inst (Bug 48617)
select() exception. (Bug 49403)
host-model does not survive the creation of snapshots or suspend to disk and gets rewritten to the concrete CPU model of the host system.
This has been fixed.
Old snapshots created and domains suspended before this erratum might fail to start, in which case the CPU configuration must be manually removed from the XML description using virsh snapshot-edit or virsh save-image-edit respectively. (Bug 49425)
samba-tool ntacl sysvolcheck to reduce reporting false positives.
This can be run by using new option --mask-msad-differences.
Without the new option the reporting is unchanged.
This is another step in the ongoing quest of improving the quality this tool for NTACL inheritance. (Bug 46643)
sysvol synchronization. (Bug 48917)
dns_update_list and spn_update_list. (Bug 49025)
univention-samba4-backup fails, cron will automatically send system-mails to root. (Bug 49399)
lockingdb and s4cache during re-join (Bug 40773)
connector-s4.log which is hard to scroll.
The log volume of the group cache init has been lowered to log level ALL. (Bug 48364)
remove_ucs_rejected.py and remove_s4_rejected.py now escapes SQL syntax. (Bug 49445)
sync_to_ucs for machine accounts. (Bug 49649)
/usr/lib/python2.7/dist-packages/univention/s4connector/. (Bug 49176)
univention-s4-connector has been enhanced. (Bug 49176)
connector/s4/mapping/ignoresubtree/. (Bug 47008)
version/erratalevel to 0 (Bug 48654).
getRootDnConnection() has been fixed. (Bug 49024)
cn=monitor can now be extended via Univention Configuration Registry variables. (Bug 49387)
ldap/create-ldap-server-policy. (Bug 49386)
stderr if LDAP schema validation fails. (Bug 49500)
ldap_extension.py listener utilities has been fixed. (Bug 41780)
univention-policy-update-config-registry now has a new option to specify the LDAP server from which to get the policies. (Bug 35208)
rsyslog remote servers can now be specified in the Univention Configuration Registry variable syslog/remote. (Bug 48508)
systemd service timeout for mysqld configurable via the Univention Configuration Registry variable mariadb/startup/timeout. (Bug 46901)
computers/domaincontroller_master objects can now be configured.
During the upgrade every default container for computer objects are set as default container for computers/domaincontroller_master except cn=computers and cn=memberservers,cn=computer. (Bug 46919)
.debian. (Bug 49441)
debian/ucslint.overrides when used with paths. (Bug 49520)