Inhaltsverzeichnis
Mit Univention Corporate Server 4.4-4 steht das vierte Point-Release für Univention Corporate Server (UCS) 4.4 zur Verfügung. Es umfasst Funktionserweiterungen und Verbesserungen, neue Eigenschaften sowie diverse Detailverbesserungen und Fehlerkorrekturen. Die wichtigsten Änderungen im Überblick:
UCS kann jetzt protokollieren, wann die letzte Authentifikation am LDAP Server stattgefunden hat, beispielsweise wenn sich Nutzer am SAML Identity Provider angemeldet haben. Ein Anwendungsfall kann zum Beispiel das Erkennen nicht mehr genutzter Accounts sein.
Der AD Connector kann Kerberos Hashes aus AD synchronisieren und damit auf NTLM Hashes verzichten.
Der AD Connector unterstützt jetzt auch offiziell Windows Server 2019. Die Synchronisation von Änderungen an großen Gruppen wurde beschleunigt, in dem nur noch Änderungen (neue / entfernte Mitglieder) übertragen werden und nicht immer die vollständige Liste der aktuellen Gruppenmitglieder. Im Kontext der Gruppen-Synchronisation wurde auch ein Speicherleck beseitigt.
Im App Center wurde die Nutzerführung verbessert: Die Anzahl der Schritte bei der Installation von Apps wird jetzt angezeigt, die unterschiedlichen Meldungen erscheinen in einem klareren, einheitlichen Look-and-Feel und wurden teilweise zusammen gefasst.
Der SAML Login zu Portal und Apps hat mehr Konfigurationsoptionen, u.a. können die verschiedenen Links („Wie melde ich mich an“, „Login ohne SSO“) individualisiert werden. Neu ist ein konfigurierbarer Link zur „Passwort vergessen“ Funktion der Self Service-App.
Diverse Security Updates wurden in UCS 4.4-4 integriert, bspw. für Samba, den Linux Kernel und PHP. Eine vollständige Liste von Security- und Paketupdates ist in Kapitel 6 zu finden.
Während der Aktualisierung kann es zu temporären Ausfällen von Diensten innerhalb der Domäne kommen. Aus diesem Grund sollte das Update innerhalb eines Wartungsfensters erfolgen. Grundsätzlich wird empfohlen, das Update zunächst in einer Testumgebung einzuspielen und zu testen. Die Testumgebung sollte dabei identisch zur Produktivumgebung sein. Je nach Systemgeschwindigkeit, Netzwerkanbindung und installierter Software kann das Update zwischen 20 Minuten und mehreren Stunden dauern.
In Umgebungen mit mehr als einem UCS-System muss die Update-Reihenfolge der UCS-Systeme beachtet werden:
Auf dem Domänencontroller Master wird die maßgebliche (authoritative) Version des LDAP-Verzeichnisdienstes vorgehalten, die an alle übrigen LDAP-Server der UCS-Domäne repliziert wird. Da bei Release-Updates Veränderungen an den LDAP-Schemata auftreten können, muss der Domänencontroller Master bei einem Release-Update immer als erstes System aktualisiert werden.
UCS-Installations-DVDs werden ab UCS 4 nur noch für 64-Bit-Architekturen bereitgestellt. Vorhandene 32-Bit UCS 3 Systeme können weiterhin über das Online Repository oder über Update DVDs auf UCS 4 aktualisiert werden. Die 32-Bit-Architektur wird für die gesamte UCS 4 Maintenance noch unterstützt.
Es sollte geprüft werden, ob ausreichend Festplattenplatz verfügbar ist. Eine Standard-Installation benötigt min. 10 GB Speicherplatz. Das Update benötigt je nach Umfang der vorhanden Installation ungefähr 4 GB zusätzlichen Speicherplatz zum Herunterladen und Installieren der Pakete.
Für das Update sollte eine Anmeldung auf der lokalen Konsole des Systems mit dem Benutzer root durchgeführt und das Update dort gestartet werden.
Alternativ kann das Update über Univention Management Console durchgeführt werden.
Eine Remote-Aktualisierung über SSH wird nicht empfohlen, da dies beispielsweise bei Unterbrechung der Netzverbindung zum Abbruch des Update-Vorgangs und zu einer Beeinträchtigung des Systems führen kann.
Sollte dennoch eine Aktualisierung über eine Netzverbindung durchgeführt werden, ist sicherzustellen, dass das Update bei Unterbrechung der Netzverbindung trotzdem weiterläuft.
Hierfür können beispielsweise die Tools screen oder at eingesetzt werden, die auf allen UCS Systemrollen installiert sind.
Univention bietet ein Skript an, mit dem Probleme, die das Update des UCS Systems verhindern würden, schon vor dem Update erkannt werden können. Dieses Skript kann vor dem Update manuell auf das System geladen und ausgeführt werden:
# download
curl -OOs https://updates.software-univention.de/download/univention-update-checks/pre-update-checks-4.4{,.gpg}
# run script
gpgv --keyring /usr/share/keyrings/univention-archive-key-ucs-4x.gpg pre-update-checks-4.4.gpg \
pre-update-checks-4.4 && bash pre-update-checks-4.4
...
Starting pre-update checks ...
Checking app_appliance ... OK
Checking block_update_of_NT_DC ... OK
Checking cyrus_integration ... OK
Checking disk_space ... OK
Checking hold_packages ... OK
Checking ldap_connection ... OK
Checking ldap_schema ... OK
...
Nach dem Update müssen die neuen oder aktualisierten Join-Skripte ausgeführt werden.
Dies kann auf zwei Wegen erfolgen:
Entweder über das UMC-Modul oder durch Aufruf des Befehls
univention-run-join-scripts als Benutzer root.
Anschließend muss das UCS-System neu gestartet werden.
Bei Verwendung der UCS Core Edition werden anonyme Nutzungsstatistiken zur Verwendung von Univention Management Console erzeugt. Die aufgerufenen Module werden dabei von einer Instanz des Web-Traffic-Analyse-Tools Piwik protokolliert. Dies ermöglicht es Univention die Entwicklung von Univention Management Console besser auf das Kundeninteresse zuzuschneiden und Usability-Verbesserungen vorzunehmen.
Diese Protokollierung erfolgt nur bei Verwendung der UCS Core Edition. Der Lizenzstatus kann überprüft werden durch den Eintrag des Benutzermenüs in der rechten, oberen Ecke von Univention Management Console. Steht hier unter der Eintrag wird eine solche Edition verwendet. Bei Einsatz einer regulären UCS-Lizenz erfolgt keine Teilnahme an der Nutzungsstatistik.
Die Protokollierung kann unabhängig von der verwendeten Lizenz durch Setzen der Univention Configuration Registry-Variable umc/web/piwik auf false deaktiviert werden.
WebKit, Konqueror und QtWebKit werden in UCS im maintained-Zweig des Repositorys mitgeliefert, aber nicht durch Sicherheits-Updates unterstützt. WebKit wird vor allem für die Darstellung von HTML-Hilfeseiten u.ä. verwendet. Als Web-Browser sollte Firefox eingesetzt werden.
Univention Management Console verwendet für die Darstellung der Web-Oberfläche zahlreiche JavaScript- und CSS-Funktionen. Cookies müssen im Browser zugelassen sein. Die folgenden Browser werden empfohlen:
Chrome ab Version 71
Firefox ab Version 60
Safari und Safari Mobile ab Version 12
Microsoft Edge ab Version 18
Der Internet Explorer wird ab diesem Release nicht mehr von Univention Management Console unterstützt.
Mit älteren Browsern können Darstellungs- oder Performanceprobleme auftreten.
Die Changelogs mit den detaillierten Änderungsinformationen werden nur in Englisch gepflegt. Aufgeführt sind die Änderungen seit UCS 4.4-3:
admin/diary/query/limit (Bug 50531).
dh_python2 instead of python-support (Bug 49169).
All security updates issued for UCS 4.4-3 are included:
The following updated packages from Debian Stretch 9.12 are included (Bug 50959): base-files, freetype, glib2.0, libdatetime-timezone-perl, libperl4-corelibs-perl, libtimedate-perl, linux-latest, perl, postfix, python-cryptography, tzdata, xml-security-c, cacti, cargo, davical, debian-edu-config, debian-installer, debian-installer-netboot-images, debian-lan-config, debian-security-support, dehydrated, dispmua, dpdk, evince, fence-agents, fig2dev, flightcrew, freeimage, gdb-arm-none-eabi, gnustep-base, graphicsmagick, italc, ldm, libdate-holidays-de-perl, libjaxen-java, libofx, libole-storage-lite-perl, libparse-win32registry-perl, libpst, libsixel, libsolv, libtest-mocktime-perl, libxmlrpc3-java, limnoria, llvm-toolchain-7, mediawiki, monit, netty, network-manager-ssh, node-fstream, node-mixin-deep, nodejs-mozilla, nvidia-graphics-drivers-legacy-340xx, nyancat, openconnect, opensmtpd, php-horde, prosody-modules, python-acme, python-flask-rdf, python-pgmagick, ros-ros-comm, ruby-encryptor, rust-cbindgen, rustc, safe-rm, sorl-thumbnail, sssd, thunderbird, tigervnc, tmpreaper, tomcat-native, tomcat8, ublock-origin, unhide, x2goclient, xen
The following packages have been moved to the maintained repository of UCS: authres (Bug 50777), dns-root-data (Bug 50777), libopendbx (Bug 50777), opendkim (Bug 50777), py3dns (Bug 50777), pypolicyd-spf (Bug 50777), pyspf (Bug 50777), sendmail (Bug 50777)
k5pwd used the default Kerberos salt to check the password during simple-bind.
We now use the correct salt, found in the k5key itself (Bug 50492).
slapo-lastbind can now be activated via the Univention Configuration Registry variable ldap/overlay/lastbind which when activated stores the timestamp of an successful bind to an LDAP server.
The script /usr/share/univention-ldap/univention_lastbind.py can be used to store the youngest of these timestamps, from all reachable LDAP servers, into the extended attribute lastbind of a specified user (Bug 49700).
ucs/server/languages/ (Bug 47845).
http(s)://FQDN/univention/udm/schema/ or http(s)://FQDN/univention/udm/openapi.json authentication is now required by default.
ucr set directory/manager/rest/require-auth=no can be used to disable this.
After setting this Univention Configuration Registry variable the univention-directory-manager-rest service needs to be restarted (Bug 50732).
umc/login/links/how_do_i_login/.* (Bug 50609).
env file support in docker compose apps (Bug 50898).
pg_hba configuration for docker compose networks (Bug 50858).
None when using univention-app reinitialize (Bug 50718).
univention-app dev-test-setup has been added that installs components needed to run Selenium based app tests (Bug 50592).
udm_extension has been migrated to dh_python.
All existing UDM extensions are migrated during the package upgrade (Bug 50401).
20univention-join.inst to create new host certificates has been fixed, which led to directories getting the wrong file permissions (Bug 49036).
60_old_schema_registration.py:
It searches for a defined set of LDAP schema files and offers to register them properly if they were added to the system using an outdated installation mechanism (Bug 50889).
ldap/server/name points to the master domain controller on member servers (Bug 50191).
memberOf is activated has been added (Bug 50599).
slapo-lastbind can now be activated via the Univention Configuration Registry variable ldap/overlay/lastbind which when activated stores the time-stamp of a successful bind to an LDAP server.
The script /usr/share/univention-ldap/univention_lastbind.py can be used to store the youngest of these timestamps, from all reachable LDAP servers, into the extended attribute lastbind of a specified user (Bug 49700).
slapd now looks for running process only below parent PID 1 specifically.
This allows running other slapd processes in containers (Bug 50616).
ldap-group-to-file used to run against the master domain controller by default.
We randomize the LDAP server selection now to distribute the load (Bug 50191).
saml/serviceprovider has been implemented.
Its value determines whether to sign logout messages sent to this service provider.
Its default value is True (Bug 49305).
umc/login/links/login_without_sso/.* (Bug 50610).
saml/idp/password-change-url (Bug 50594).
umc/login/links/forgot_your_password/.* (Bug 50608).
ucs_registerLDAPExtension.
This prevents errors when a backup domain controller is promoted to be the new master domain controller (Bug 50607).
/etc/postgrey/whitelist_clients.local and /etc/postgrey/whitelist_recipients.local are not included in the Postgrey configuration, even though the corresponding Univention Configuration Registry variable should force this.
The creation of the .local files and the update of the Postgrey configuration has been rearranged to fix this problem (Bug 50647).
/var/log/univention/radius_ntlm_auth.log an automatic logrotate functionality has been added to prevent over-sized logfiles on heavy duty RADIUS servers (Bug 50545).
gencertificate.py to create new host certificates has been fixed, which led to directories getting the wrong file permissions (Bug 49036).
dhcpd/ldap/debug has been added for debugging the configuration from LDAP.
If activated, it creates a log file named /var/log/dhcp-ldap-startup.log (Bug 49281).
dhcpd/options/ (Bug 46805).
check_univention_ad_connector by adapting to the new process name introduced in UCS 4.4-4 erratum 390 from Bug 49168 (Bug 50676).
connector/ad/mapping/user/password/kerberos/enabled=true.
If this variable is not set the hashes will not be synchronized (Bug 50492).
prepare-new-instance.
This fixes the feature to synchronize several Active Directory domains with one UCS directory service (Bug 50713).
connector/ad/mapping/user/ignorefilter to an LDAP filter.
Every user matched by this LDAP filter will be ignored by the connector (Bug 50674).