Inhaltsverzeichnis
Mit Univention Corporate Server 4.4-2 steht das zweite Point-Release für Univention Corporate Server (UCS) 4.4 zur Verfügung. Es umfasst Funktionserweiterungen und Verbesserungen, neue Eigenschaften sowie diverse Detailverbesserungen und Fehlerkorrekturen. Die wichtigsten Änderungen im Überblick:
Die UDM REST API ist erstmals als stabiles Release enthalten und wird auf allen DC Master und DC Backup Instanzen aktiviert. Weitere Informationen sind in einem Artikel zur API und den UCS 4.4-1 Release Notes zu finden.
Verbesserungen bei der Fehlerbehandlung für die Generierung von Lizenzen während der initialen Konfiguration.
In UCS Virtual Machine Manager (UVMM) lässt sich der automatische Start für Instanzen und der virtuellen CPU-Typ konfigurieren.
Durch das Update der Docker Engine erhalten App Anbieter mehr Möglichkeiten unter anderem durch Unterstützung von zusätzlichen Features in den Docker Compose Dateien.
Mit 4.4-2 wird die Aktualisierung auf den Stand des Debian Release 9.11 abgeschlossen.
Diverse Security Updates wurden in UCS 4.4-2 integriert, bspw. für Samba, den Linux Kernel und Dovecot. Eine vollständige Liste von Security- und Paketupdates ist in Kapitel 6 zu finden.
Eine Reihe zusätzlicher Attribute wird bei der Synchronisation zwischen UDM/OpenLDAP und Samba/AD Benutzerobjekten berücksichtigt (unixhome, employeeType, employeeNumber, loginShell, title, gidNumber, uidNumber, departmentNumber, roomNumber, jpegPhoto, userCertificate, initials, physicalDeliveryOfficeName, postOfficeBox, preferredLanguage).
Während der Aktualisierung kann es zu temporären Ausfällen von Diensten innerhalb der Domäne kommen. Aus diesem Grund sollte das Update innerhalb eines Wartungsfensters erfolgen. Grundsätzlich wird empfohlen, das Update zunächst in einer Testumgebung einzuspielen und zu testen. Die Testumgebung sollte dabei identisch zur Produktivumgebung sein. Je nach Systemgeschwindigkeit, Netzwerkanbindung und installierter Software kann das Update zwischen 20 Minuten und mehreren Stunden dauern.
In Umgebungen mit mehr als einem UCS-System muss die Update-Reihenfolge der UCS-Systeme beachtet werden:
Auf dem Domänencontroller Master wird die maßgebliche (authoritative) Version des LDAP-Verzeichnisdienstes vorgehalten, die an alle übrigen LDAP-Server der UCS-Domäne repliziert wird. Da bei Release-Updates Veränderungen an den LDAP-Schemata auftreten können, muss der Domänencontroller Master bei einem Release-Update immer als erstes System aktualisiert werden.
UCS-Installations-DVDs werden ab UCS 4 nur noch für 64-Bit-Architekturen bereitgestellt. Vorhandene 32-Bit UCS 3 Systeme können weiterhin über das Online Repository oder über Update DVDs auf UCS 4 aktualisiert werden. Die 32-Bit-Architektur wird für die gesamte UCS 4 Maintenance noch unterstützt.
Es sollte geprüft werden, ob ausreichend Festplattenplatz verfügbar ist. Eine Standard-Installation benötigt min. 10 GB Speicherplatz. Das Update benötigt je nach Umfang der vorhanden Installation ungefähr 4 GB zusätzlichen Speicherplatz zum Herunterladen und Installieren der Pakete.
Für das Update sollte eine Anmeldung auf der lokalen Konsole des Systems mit dem Benutzer root durchgeführt und das Update dort gestartet werden.
Alternativ kann das Update über Univention Management Console durchgeführt werden.
Eine Remote-Aktualisierung über SSH wird nicht empfohlen, da dies beispielsweise bei Unterbrechung der Netzverbindung zum Abbruch des Update-Vorgangs und zu einer Beeinträchtigung des Systems führen kann.
Sollte dennoch eine Aktualisierung über eine Netzverbindung durchgeführt werden, ist sicherzustellen, dass das Update bei Unterbrechung der Netzverbindung trotzdem weiterläuft.
Hierfür können beispielsweise die Tools screen oder at eingesetzt werden, die auf allen UCS Systemrollen installiert sind.
Univention bietet ein Skript an, mit dem Probleme, die das Update des UCS Systems verhindern würden, schon vor dem Update erkannt werden können. Dieses Skript kann vor dem Update manuell auf das System geladen und ausgeführt werden:
# download
curl -OOs https://updates.software-univention.de/download/univention-update-checks/pre-update-checks-4.4{,.gpg}
# run script
gpgv --keyring /usr/share/keyrings/univention-archive-key-ucs-4x.gpg pre-update-checks-4.4.gpg \
pre-update-checks-4.4 && bash pre-update-checks-4.4
...
Starting pre-update checks ...
Checking app_appliance ... OK
Checking block_update_of_NT_DC ... OK
Checking cyrus_integration ... OK
Checking disk_space ... OK
Checking hold_packages ... OK
Checking ldap_connection ... OK
Checking ldap_schema ... OK
...
Nach dem Update müssen die neuen oder aktualisierten Join-Skripte ausgeführt werden.
Dies kann auf zwei Wegen erfolgen:
Entweder über das UMC-Modul oder durch Aufruf des Befehls
univention-run-join-scripts als Benutzer root.
Anschließend muss das UCS-System neu gestartet werden.
Folgende Attribute wurden dem UDM Modul users/user hinzugefügt: initials,
postOfficeBox, preferredLanguage, physicalDeliveryOfficeName,
preferredDeliveryMethod. Jedes erweiterte Attribut für diese Eigenschaften sollte dahingehend geändert werden,
dass es den Namen des UDM Attributes verwendet.
Durch einen Entwurfsfehler im Univention Directory Notifier Netzwerkprotokoll Version 2 kann jeder Benutzer an Informationen über Änderungen am LDAP-Verzeichnisdienst kommen.
Ein neues Protokoll Version 3 wurde mit UCS 4.3-3 erratum 427 implementiert.
Für die Kompatibilität mit alten UCS Systemen bot Univention Directory Notifier standardmäßig weiterhin Version 2 an.
Beginnend mit UCS-4.4 bieten neue Installationen standardmäßig nur noch Version 3 an.
Protokoll 2 kann reaktiviert werden, indem die Univention Configuration Registry-Variable notifier/protocol/version auf 2 geändert und Univention Directory Notifier neu gestartet wird.
Bei Verwendung der UCS Core Edition werden anonyme Nutzungsstatistiken zur Verwendung von Univention Management Console erzeugt. Die aufgerufenen Module werden dabei von einer Instanz des Web-Traffic-Analyse-Tools Piwik protokolliert. Dies ermöglicht es Univention die Entwicklung von Univention Management Console besser auf das Kundeninteresse zuzuschneiden und Usability-Verbesserungen vorzunehmen.
Diese Protokollierung erfolgt nur bei Verwendung der UCS Core Edition. Der Lizenzstatus kann überprüft werden durch den Eintrag des Benutzermenüs in der rechten, oberen Ecke von Univention Management Console. Steht hier unter der Eintrag wird eine solche Edition verwendet. Bei Einsatz einer regulären UCS-Lizenz erfolgt keine Teilnahme an der Nutzungsstatistik.
Die Protokollierung kann unabhängig von der verwendeten Lizenz durch Setzen der Univention Configuration Registry-Variable umc/web/piwik auf false deaktiviert werden.
WebKit, Konqueror und QtWebKit werden in UCS im maintained-Zweig des Repositorys mitgeliefert, aber nicht durch Sicherheits-Updates unterstützt. WebKit wird vor allem für die Darstellung von HTML-Hilfeseiten u.ä. verwendet. Als Web-Browser sollte Firefox eingesetzt werden.
Univention Management Console verwendet für die Darstellung der Web-Oberfläche zahlreiche JavaScript- und CSS-Funktionen. Cookies müssen im Browser zugelassen sein. Die folgenden Browser werden empfohlen:
Chrome ab Version 71
Firefox ab Version 60
Safari und Safari Mobile ab Version 12
Microsoft Edge ab Version 18
Der Internet Explorer wird ab diesem Release nicht mehr von Univention Management Console unterstützt.
Mit älteren Browsern können Darstellungs- oder Performanceprobleme auftreten.
Die Changelogs mit den detaillierten Änderungsinformationen werden nur in Englisch gepflegt. Aufgeführt sind die Änderungen seit UCS 4.4-1:
All security updates issued for UCS 4.4-1 are included:
The following updated packages from Debian 9.11 are included (Bug 50211): base-files, basez, biomaj-watcher, bird, bogl, chaosreader, c-icap-modules, corekeeper, dansguardian, dar, debian-archive-keyring, debian-installer-netboot-images, debian-installer, dosbox, fence-agents, fig2dev, fribidi, fusiondirectory, gettext, gocode, groonga, gsoap, gthumb, havp, icu, koji, lemonldap-ng, libclamunrar, libconvert-units-perl, libdatetime-timezone-perl, libevent-rpc-perl, libgovirt, librecad, libsdl2-image, libthrift-java, libtk-img, libu2f-host, linux-latest, liquidsoap, llvm-toolchain-7, minissdpd, miniupnpd, mitmproxy, monkeysphere, nasm-mozilla, ncbi-tools6, neovim, nginx, node-growl, node-ws, opendmarc, openssh, open-vm-tools, passwordsafe, pound, prelink, python-clamav, redis, reportbug, resiprocate, ruby-mini-magick, sash, signing-party, slurm-llnl, t-digest, tenshi, thunderbird, tzdata, usbutils, xymon, yubico-piv-tool, z3, zfs-auto-snapshot, zsh
The following packages have been moved to the maintained repository of UCS: python-concurrent.futures (Bug 49973), python-mimeparse (Bug 49973), python-uritemplate (Bug 50034)
univention-service files to be not installed any more (Bug 50098).
SuggestionBox widget (Bug 48811).
univention-service file to be not installed any more (Bug 50169).
docker-compose file (Bug 50030).
appcenter/docker/compose/network, which defaults to 172.16.1.1/16.
This change takes effect with new App installations (Bug 49055).
IStates, AllowDeny, AppActivatedOK, AppActivatedTrue, OkOrNot, TrueFalse, TrueFalseUp, TrueFalseUpper, booleanNone and ddnsUpdates now correctly validate input values (Bug 40731).
users/user properties departmentNumber and roomNumber have been changed to be multi-value, as allowed in the LDAP schema.
This change has been made to support synchronization with Samba/AD (Bug 49092).
users/user: initials, postOfficeBox,
preferredLanguage, physicalDeliveryOfficeName, preferredDeliveryMethod.
The UDM module users/user has been prepared for adding the following properties: st (state) and c (country).
Any extended attribute for those properties should be changed to use the same property name as CLIName (Bug 49092).
combobox syntax class has been added (Bug 48811).
container/ou objects has been fixed (Bug 49478).
_apt to fix an error with the Acquire::GzipIndexes=true option set for apt (Bug 49799).
univention-service file to be not installed any more (Bug 50169).
SuggestionBox has been added to the mapping of syntax classes (Bug 48811).
60univention-ldap-server_acl-slave into 60univention-ldap-server_acl-slave and 70univention-ldap-server_acl-slave-end.
The rule which allows read access for every user to every object is contained in the later one.
This increases security for templates which are installed on the DC Master and DC Slaves where the same behavior is now present (Bug 49734).
uldap.py utilities (Bug 47926).
univention-service definition has been corrected and split into two services for PostgreSQL 9.4 and PostgreSQL 9.6 (Bug 42241).
mail/dovecot/ssl/cafile (Bug 50105).
pam_krb5 now strips passwords at 1024 characters.
This prevents denial of service attacks when authenticating with very long passwords when pam_krb5 would hang in the hash generation of the password (Bug 49740).
pam_unix now strips passwords at 512 characters.
This prevents denial of service attacks when authenticating with very long passwords when pam_unix would hang in the hash generation of the password.
https://github.com/linux-pam/linux-pam/issues/118 (Bug 49741).
systemd by default.
It can be re-enabled by setting the Univention Configuration Registry variable pam/session/systemd to true (Bug 49910).
ldap-group-to-file.py has been implemented so that it is ensured the process only runs once at a time (Bug 35173).
appcenter/docker/compose/network is now included in the firewall rules;
MySQL connections are allowed from this subnet.
It is used by the App Center when installing certain Apps (Bug 49055).
uvmm/profile (Bug 49695).
univention-service file to be not installed any more (Bug 50098).
/etc/univention/connector/s4/localmapping.py is now included in mapping.py to allow adjusting the mapping dynamically.
It may contain a Python function mapping_hook(s4_mapping) which can return a modified mapping (Bug 48410).
sync_krbgt script (Bug 36633).
connector/s4/mapping/user/attributes/ignorelist.
The synchronization of these attributes is deactivated for updates.
? character in their DN could not be synchronized due to a decoding error.
The synchronization works now (Bug 49865).
remove_ucs_rejected.py has been repaired.
It has been broken via UCS 4.4-2 erratum 155 (Bug 26501).