Inhaltsverzeichnis
Mit Univention Corporate Server 4.4-5 steht das fünfte Point-Release für Univention Corporate Server (UCS) 4.4 zur Verfügung. Es umfasst Funktionserweiterungen und Verbesserungen, neue Eigenschaften sowie diverse Detailverbesserungen und Fehlerkorrekturen. Die wichtigsten Änderungen im Überblick:
Die Replikation von Gruppen mit vielen Mitgliedern wurde durch Performance Verbesserungen stark beschleunigt.
Die Berechtigung für die Nutzung von per SAML angebundenen Diensten kann jetzt für Gruppen konfiguriert werden, vorher konnte die Einstellung nur pro Benutzer gesetzt werden. Außerdem kann für per SAML angebundene Dienste nun in der UMC ein Mapping von UCS LDAP Attributnamen auf Attributnamen konfiguriert werden, die von der angebundenen Anwendung erwartet werden.
Ein Update für den OpenID Connect Provider ermöglicht, dass Anmeldungen am SAML Identity Provider auch für OpenID Connect gültig sind. Das Single Sign-On in UCS funktioniert damit über zwei Standards hinweg.
Der Benutzer Self-Service verfügt über ein neues aktivierbares Feature, mit dem sich Benutzer selbst ein Konto in UCS erstellen und auch wieder löschen können. Die Benutzeraccounts müssen vor der ersten Benutzung durch den Klick auf einen Aktivierungslink in einer E-Mail bestätigt werden. Administratoren können festlegen, welche Attribute Benutzer bei der Registrierung angeben müssen.
Diverse Security Updates wurden in UCS 4.4-5 integriert, bspw. für Samba, OpenLDAP, den Linux Kernel und PHP. Eine vollständige Liste von Security- und Paketupdates ist in Kapitel 6 zu finden.
Während der Aktualisierung kann es zu temporären Ausfällen von Diensten innerhalb der Domäne kommen. Aus diesem Grund sollte das Update innerhalb eines Wartungsfensters erfolgen. Grundsätzlich wird empfohlen, das Update zunächst in einer Testumgebung einzuspielen und zu testen. Die Testumgebung sollte dabei identisch zur Produktivumgebung sein. Je nach Systemgeschwindigkeit, Netzwerkanbindung und installierter Software kann das Update zwischen 20 Minuten und mehreren Stunden dauern.
Wenn das Update auf UCS 4.4-5 abbricht, sollte die Datei /var/log/univention/updater.log auf folgenden Fehler untersucht werden:
**** Downloading scripts at Thu Jun 25 11:34:04 2020 Error: Update aborted due to verification error: Verification error: Invalid signature: gpgv: keyblock resource '/etc/apt/trusted.gpg': \ Datei oder Verzeichnis nicht gefunden
Wenn dieser Fehler in der Logdatei auftritt, müssen alle verfügbaren Errata Updates eingespielt werden. Anschließend kann das Update auf UCS 4.4-5 erneut gestartet werden. (Bug 51576)
Weitere Informationen sind in unserer Support Datenbank verfügbar.
In Umgebungen mit mehr als einem UCS-System muss die Update-Reihenfolge der UCS-Systeme beachtet werden:
Auf dem Domänencontroller Master wird die maßgebliche (authoritative) Version des LDAP-Verzeichnisdienstes vorgehalten, die an alle übrigen LDAP-Server der UCS-Domäne repliziert wird. Da bei Release-Updates Veränderungen an den LDAP-Schemata auftreten können, muss der Domänencontroller Master bei einem Release-Update immer als erstes System aktualisiert werden.
UCS-Installations-DVDs werden ab UCS 4 nur noch für 64-Bit-Architekturen bereitgestellt. Vorhandene 32-Bit UCS 3 Systeme können weiterhin über das Online Repository oder über Update DVDs auf UCS 4 aktualisiert werden. Die 32-Bit-Architektur wird für die gesamte UCS 4 Maintenance noch unterstützt.
Es sollte geprüft werden, ob ausreichend Festplattenplatz verfügbar ist. Eine Standard-Installation benötigt min. 10 GB Speicherplatz. Das Update benötigt je nach Umfang der vorhanden Installation ungefähr 4 GB zusätzlichen Speicherplatz zum Herunterladen und Installieren der Pakete.
Für das Update sollte eine Anmeldung auf der lokalen Konsole des Systems mit dem Benutzer root durchgeführt und das Update dort gestartet werden.
Alternativ kann das Update über Univention Management Console durchgeführt werden.
Eine Remote-Aktualisierung über SSH wird nicht empfohlen, da dies beispielsweise bei Unterbrechung der Netzverbindung zum Abbruch des Update-Vorgangs und zu einer Beeinträchtigung des Systems führen kann.
Sollte dennoch eine Aktualisierung über eine Netzverbindung durchgeführt werden, ist sicherzustellen, dass das Update bei Unterbrechung der Netzverbindung trotzdem weiterläuft.
Hierfür können beispielsweise die Tools screen oder at eingesetzt werden, die auf allen UCS Systemrollen installiert sind.
Univention bietet ein Skript an, mit dem Probleme, die das Update des UCS Systems verhindern würden, schon vor dem Update erkannt werden können. Dieses Skript kann vor dem Update manuell auf das System geladen und ausgeführt werden:
# download
curl -OOs https://updates.software-univention.de/download/univention-update-checks/pre-update-checks-4.4{,.gpg}
# run script
gpgv --keyring /usr/share/keyrings/univention-archive-key-ucs-4x.gpg pre-update-checks-4.4.gpg \
pre-update-checks-4.4 && bash pre-update-checks-4.4
...
Starting pre-update checks ...
Checking app_appliance ... OK
Checking block_update_of_NT_DC ... OK
Checking cyrus_integration ... OK
Checking disk_space ... OK
Checking hold_packages ... OK
Checking ldap_connection ... OK
Checking ldap_schema ... OK
...
Nach dem Update müssen die neuen oder aktualisierten Join-Skripte ausgeführt werden.
Dies kann auf zwei Wegen erfolgen:
Entweder über das UMC-Modul oder durch Aufruf des Befehls
univention-run-join-scripts als Benutzer root.
Anschließend muss das UCS-System neu gestartet werden.
Bei Verwendung der UCS Core Edition werden anonyme Nutzungsstatistiken zur Verwendung von Univention Management Console erzeugt. Die aufgerufenen Module werden dabei von einer Instanz des Web-Traffic-Analyse-Tools Piwik protokolliert. Dies ermöglicht es Univention die Entwicklung von Univention Management Console besser auf das Kundeninteresse zuzuschneiden und Usability-Verbesserungen vorzunehmen.
Diese Protokollierung erfolgt nur bei Verwendung der UCS Core Edition. Der Lizenzstatus kann überprüft werden durch den Eintrag des Benutzermenüs in der rechten, oberen Ecke von Univention Management Console. Steht hier unter der Eintrag wird eine solche Edition verwendet. Bei Einsatz einer regulären UCS-Lizenz erfolgt keine Teilnahme an der Nutzungsstatistik.
Die Protokollierung kann unabhängig von der verwendeten Lizenz durch Setzen der Univention Configuration Registry-Variable umc/web/piwik auf false deaktiviert werden.
WebKit, Konqueror und QtWebKit werden in UCS im maintained-Zweig des Repositorys mitgeliefert, aber nicht durch Sicherheits-Updates unterstützt. WebKit wird vor allem für die Darstellung von HTML-Hilfeseiten u.ä. verwendet. Als Web-Browser sollte Firefox eingesetzt werden.
Univention Management Console verwendet für die Darstellung der Web-Oberfläche zahlreiche JavaScript- und CSS-Funktionen. Cookies müssen im Browser zugelassen sein. Die folgenden Browser werden empfohlen:
Chrome ab Version 71
Firefox ab Version 60
Safari und Safari Mobile ab Version 12
Microsoft Edge ab Version 18
Der Internet Explorer wird ab diesem Release nicht mehr von Univention Management Console unterstützt.
Mit älteren Browsern können Darstellungs- oder Performanceprobleme auftreten.
Die Changelogs mit den detaillierten Änderungsinformationen werden nur in Englisch gepflegt. Aufgeführt sind die Änderungen seit UCS 4.4-4:
All security updates issued for UCS 4.4-4 are included:
The following updated packages from Debian Stretch 9.12 are included (Bug 51554): mailman, mutt, mysql-connector-java, netqmail, qbittorrent, roundcube, salt, thunderbird, tomcat8, wordpress
The following packages have been moved to the maintained repository of UCS: univention-debhelper (Bug 51374)
univention.config_registy.interfaces for Python 3 compatibility (Bug 51021).
/usr/share/univention-LDAP-overlay-memberof/univention-update-memberof should be called once on every UCS domaincontroller (Bug 46590).
dns/backend not to use "LDAP" on UCS domain controller systems running Samba4 (Bug 50501).
dns/timeout-start (Bug 50662).
server/password/interval, the UDM REST API refused to deliver an openapi.json file and disallows further logins (Bug 50708).
ucs/server/sso/fqdn (Bug 51211).
umc/http/content-security-policy/.* and umc/login/content-security-policy/.* Univention Configuration Registry variables. The X-Frame-Options default header has been replaced with the Content-Security-Policy frame-ancestor setting (Bug 51211).
umc/self-service/account-deregistration/enabled UCR variable (Bug 51110).
meta.json now contains more variables for the self service pages (Bug 51001).
/etc/apt/apt.conf.d/80proxy from the UCS host read-only to the container with the name /etc/apt/apt.conf.d/81proxy (Bug 51034).
UDP ports in docker compose file has been added (Bug 51069).
__getitem__() (Bug 51193).
http and https connections. They are applied to the Univention Configuration Registry variables proxy/http and proxy/https. Previously, only proxy/http was used (Bug 50613).
ABI Version 1.5.8 for the samba update (Bug 51532).
/etc/freeradius/ssl are now also checked by the diagnostics module. Permissions for that path should be 2755 (Bug 50887).
uLDAP methods __getstate__(), __setstate__() and parentDn() (Bug 51193).
univention.lib Python modules are now Python 3 compatible (Bug 51592).
/etc/systemd/system/docker.service.d/http-proxy.conf the UCR variable proxy/no_proxy is considered for the docker proxy settings (Bug 51031).
saml/apache2/content-security-policy/. UCR variables (Bug 51211).
umc/self-service/passwordreset/{blacklist,whitelist}/{users,groups} UCR variables but the umc/self-service/profiledata/{blacklist,whitelist}/{users,groups} and umc/self-service/account-deregistration/{...} UCR variables respectively (Bug 51259).
umc/self-service/content-security-policy/.* UCR variables (Bug 51211).
umc/self-service/account-deregistration/enabled UCR variable (Bug 51110).
/etc/samba/base.conf (Bug 51212).
ABI Version 1.5.8 for the samba update (Bug 51532).
connector/ad/poll/profiling (Bug 51518).
connector/ad/mapping/attributes/irrelevant (Bug 18501).
ldap/logging/id-prefix=yes to enable this feature manually (Bug 51082).
univention-archive-key-ucs-5x.gpg for UCS 5 and remove expired key univention-archive-key-ucs-3x.gpg from UCS-3 (Bug 51250).
debian/*.pyinstall files to install Python modules (Bug 51106).
custom_{user,group}name() registering for required UCR variables (Bug 50056).
Essential:yes packages (Bug 51476).
uLDAP.searchDn() (Bug 51375).
debian/*.{pre,post}{inst,rm} are now checked for handling wrong actions (Bug 43981).
Unjoin-script files are now checked for errors, too (Bug 48747).
debian/changelogi file is checked for strict-monotonic entries. In the past this has lead to surprising update results as the timestamp of the latest entry is used for many things during the package build (Bug 49620).
debian/*.ucs files are checked more strictly due to the switch to Python 3. For example duplicate keys are now errors (Bug 49683).
debhelper related files in debian/ are recognized (Bug 51246).
debian/*.dirs is now checked for unneeded entries which are already created indirectly by other steps (Bug 51247).
debian/compat is now checked for consistency with the declared versioned build dependency of debhelper in debian/control (Bug 51248).
debhelper scripts has been added (Bug 51235).
LDAP/overlay/memberof/ before system is joined (Bug 47641).