Inhaltsverzeichnis
Mit Univention Corporate Server 4.4-6 steht das sechste Point-Release für Univention Corporate Server (UCS) 4.4 zur Verfügung. Es umfasst Funktionserweiterungen und Verbesserungen, neue Eigenschaften sowie diverse Detailverbesserungen und Fehlerkorrekturen. Die wichtigsten Änderungen im Überblick:
Verbesserungen in der Benutzerselbstverwaltung über die Self-Service App. Dem Nutzer werden in der Self-Service App, z.B. beim Zurücksetzen des Passworts, vordefinierte Texte angezeigt. Administratoren können die Inhalte dieser Texte nun anpassen. Neu registrierte Nutzer werden aktiviert, sobald die E-Mailadresse des Nutzers erfolgreich verifiziert worden ist. Das Verhalten ist standardmäßig deaktiviert. Mit der Option ist es möglich, ein UCS mit Self-Service Modul zu betreiben, an dem sich Nutzer selbst registrieren und ihr Benutzerkonto nach erfolgreicher Validierung der E-Mailadresse zu verwenden.
App Center: Eigene Hook Scripte für Administratoren.
UCS Systemadministratoren können jetzt auf einem UCS System eigene Scripte bei Apps hinterlegen, die vom App Center für eine nach Installation, Update oder Deinstallation ausgeführt werden.
Damit können z.B. wiederkehrende manuelle Schritte nach einem App Update automatisiert werden, bei denen eine App z.B. an individuelle Gegebenheiten angepasst wird.
Beispiel: Das Nachinstallieren von Schriften in die installierte Office App oder das Kopieren eines eigenen SSL Zertifikats in eine App.
UCS Portal: Warnung vor veralteten und nicht mehr unterstützten Browsern. Einem Nutzer wird eine Warnung beim Login am UCS Managementsystem angezeigt, falls ein nicht unterstützter Browser, wie z.B. Internet Explorer 11, verwendet wird. Die Warnung kann auch für das Portal aktiviert werden.
Verbesserungen in der Produktstabilität.
Speicherleck in UMC Server behoben. Das führte u.a. dazu, dass der Nutzer Self-Service in größeren Umgebungen beim Ändern des eigenen Passworts nicht mehr funktionierte bis der UMC Server neu gestartet wurde.
Beobachtete Absturzverhalten des LDAP Servers im Zusammenhang mit dem ppolicy Overlay Modul wurden behoben.
Die UDM REST API kann jetzt mit Umlauten in in der URL eines API Aufrufs umgehen.
Abgelaufene Benutzerpasswörter können nun im Single Sign On Anmeldefenster direkt neu gesetzt werden.
Diverse Security Updates wurden in UCS 4.4-6 integriert, bspw. für QEMU, bind9, den Linux Kernel und PHP. Eine vollständige Liste von Security- und Paketupdates ist in Kapitel 6 zu finden.
Während der Aktualisierung kann es zu temporären Ausfällen von Diensten innerhalb der Domäne kommen. Aus diesem Grund sollte das Update innerhalb eines Wartungsfensters erfolgen. Grundsätzlich wird empfohlen, das Update zunächst in einer Testumgebung einzuspielen und zu testen. Die Testumgebung sollte dabei identisch zur Produktivumgebung sein. Je nach Systemgeschwindigkeit, Netzwerkanbindung und installierter Software kann das Update zwischen 20 Minuten und mehreren Stunden dauern.
In Umgebungen mit mehr als einem UCS-System muss die Update-Reihenfolge der UCS-Systeme beachtet werden:
Auf dem Domänencontroller Master wird die maßgebliche (authoritative) Version des LDAP-Verzeichnisdienstes vorgehalten, die an alle übrigen LDAP-Server der UCS-Domäne repliziert wird. Da bei Release-Updates Veränderungen an den LDAP-Schemata auftreten können, muss der Domänencontroller Master bei einem Release-Update immer als erstes System aktualisiert werden.
UCS-Installations-DVDs werden ab UCS 4 nur noch für 64-Bit-Architekturen bereitgestellt. Vorhandene 32-Bit UCS 3 Systeme können weiterhin über das Online Repository oder über Update DVDs auf UCS 4 aktualisiert werden. Die 32-Bit-Architektur wird für die gesamte UCS 4 Maintenance noch unterstützt.
Es sollte geprüft werden, ob ausreichend Festplattenplatz verfügbar ist. Eine Standard-Installation benötigt min. 10 GB Speicherplatz. Das Update benötigt je nach Umfang der vorhanden Installation ungefähr 4 GB zusätzlichen Speicherplatz zum Herunterladen und Installieren der Pakete.
Für das Update sollte eine Anmeldung auf der lokalen Konsole des Systems mit dem Benutzer root durchgeführt und das Update dort gestartet werden.
Alternativ kann das Update über Univention Management Console durchgeführt werden.
Eine Remote-Aktualisierung über SSH wird nicht empfohlen, da dies beispielsweise bei Unterbrechung der Netzverbindung zum Abbruch des Update-Vorgangs und zu einer Beeinträchtigung des Systems führen kann.
Sollte dennoch eine Aktualisierung über eine Netzverbindung durchgeführt werden, ist sicherzustellen, dass das Update bei Unterbrechung der Netzverbindung trotzdem weiterläuft.
Hierfür können beispielsweise die Tools screen oder at eingesetzt werden, die auf allen UCS Systemrollen installiert sind.
Univention bietet ein Skript an, mit dem Probleme, die das Update des UCS Systems verhindern würden, schon vor dem Update erkannt werden können. Dieses Skript kann vor dem Update manuell auf das System geladen und ausgeführt werden:
# download
curl -OOs https://updates.software-univention.de/download/univention-update-checks/pre-update-checks-4.4{,.gpg}
# run script
gpgv --keyring /usr/share/keyrings/univention-archive-key-ucs-4x.gpg pre-update-checks-4.4.gpg \
pre-update-checks-4.4 && bash pre-update-checks-4.4
...
Starting pre-update checks ...
Checking app_appliance ... OK
Checking block_update_of_NT_DC ... OK
Checking cyrus_integration ... OK
Checking disk_space ... OK
Checking hold_packages ... OK
Checking ldap_connection ... OK
Checking ldap_schema ... OK
...
Nach dem Update müssen die neuen oder aktualisierten Join-Skripte ausgeführt werden.
Dies kann auf zwei Wegen erfolgen:
Entweder über das UMC-Modul oder durch Aufruf des Befehls
univention-run-join-scripts als Benutzer root.
Anschließend muss das UCS-System neu gestartet werden.
Bei Verwendung der UCS Core Edition werden anonyme Nutzungsstatistiken zur Verwendung von Univention Management Console erzeugt. Die aufgerufenen Module werden dabei von einer Instanz des Web-Traffic-Analyse-Tools Piwik protokolliert. Dies ermöglicht es Univention die Entwicklung von Univention Management Console besser auf das Kundeninteresse zuzuschneiden und Usability-Verbesserungen vorzunehmen.
Diese Protokollierung erfolgt nur bei Verwendung der UCS Core Edition. Der Lizenzstatus kann überprüft werden durch den Eintrag des Benutzermenüs in der rechten, oberen Ecke von Univention Management Console. Steht hier unter der Eintrag wird eine solche Edition verwendet. Bei Einsatz einer regulären UCS-Lizenz erfolgt keine Teilnahme an der Nutzungsstatistik.
Die Protokollierung kann unabhängig von der verwendeten Lizenz durch Setzen der Univention Configuration Registry-Variable umc/web/piwik auf false deaktiviert werden.
WebKit, Konqueror und QtWebKit werden in UCS im maintained-Zweig des Repositorys mitgeliefert, aber nicht durch Sicherheits-Updates unterstützt. WebKit wird vor allem für die Darstellung von HTML-Hilfeseiten u.ä. verwendet. Als Web-Browser sollte Firefox eingesetzt werden.
Univention Management Console verwendet für die Darstellung der Web-Oberfläche zahlreiche JavaScript- und CSS-Funktionen. Cookies müssen im Browser zugelassen sein. Die folgenden Browser werden empfohlen:
Chrome ab Version 71
Firefox ab Version 60
Safari und Safari Mobile ab Version 12
Microsoft Edge ab Version 18
Der Internet Explorer wird ab diesem Release nicht mehr von Univention Management Console unterstützt.
Mit älteren Browsern können Darstellungs- oder Performanceprobleme auftreten.
Die Changelogs mit den detaillierten Änderungsinformationen werden nur in Englisch gepflegt. Aufgeführt sind die Änderungen seit UCS 4.4-5:
All security updates issued for UCS 4.4-5 are included:
The following updated packages from Debian Stretch 9.13 are included (Bug 52026): gnome-shell, base-files, libdbi, linux-latest, neon27, postfix, proftpd-dfsg, sendmail, squid3, tzdata, websockify, xdg-utils, xml-security-c, acmetool, asyncpg, atril, batik, c-icap-modules, chasquid, checkstyle, compactheader, cram, csync2, debian-installer, debian-installer-netboot-images, debian-security-support, fex, file-roller, firejail, fwupd, golang-github-seccomp-libseccomp-golang, gosa, grunt, gssdp, gupnp, heartbleeder, htmlunit, icingaweb2, inetutils, iptables-persistent, jackson-databind, jruby, ksh, lemonldap-ng, libapache2-mod-auth-openidc, libbusiness-hours-perl, libclamunrar, libembperl-perl, libetpan, libjackson-json-java, libpam-radius-auth, linux-4.19, linux-latest-4.19, luajit, lucene-solr, mailman, megatools, mercurial, milkytracker, mod-gnutls, mongo-tools, mongodb, mupdf, ndpi, netty, netty-3.9, nginx, node-url-parse, nvidia-graphics-drivers, pcl, php-horde, php-horde-core, php-horde-data, php-horde-form, php-horde-gollem, php-horde-kronolith, php-horde-trean, phpmyadmin, python-icalendar, python-pip, rails, ros-actionlib, roundcube, ruby-json, ruby-kramdown, ruby-rack, ruby-websocket-extensions, ruby-zip, salt, shiro, software-properties, sogo-connector, ssvnc, storebackup, swt-gtk, thunderbird, tinyproxy, tomcat8, transmission, uwsgi, wordpress, xrdp, xtrlock, zabbix
The following packages have been moved to the maintained repository of UCS: univention-debhelper (Bug 51374)
`open(..., 'rw')`, which is invalid with Python 3 (Bug 51680).
password/quality/mspolicy has been added to allow
configuration of standard MS password criteria. It is not active by default.
When set to yes or true, this check is applied
in addition to the python-cracklib checks. If set to
sufficient, then it is done instead of the python-cracklib
checks. See Univention Configuration Registry variable description for details (Bug 51994).
domaincontroller backup and domaincontroller slave systems. This problem has now been fixed. To get all user objects back in sync, the script /usr/share/univention-ldap-overlay-memberof/univention-update-memberof should be called once on every UCS domaincontroller (Bug 46590).
dns/timeout-start (Bug 50662).
openapi.json file and disallows further logins (Bug 50708).
meta.json file to include UCR variables to configure page titles of the Univention Self Service (Bug 51260).
meta.json now contains more variables for the self service pages (Bug 51001).
/etc/apt/apt.conf.d/80proxy from the UCS host read-only to the container with the name /etc/apt/apt.conf.d/81proxy (Bug 51034).
unix password for the root account in the UCS appliance images is disabled
until a proper password is set during the setup (Bug 51954). If a ssh login is
required before the setup, the image has to be modified (e.g. add a ssh key for the root user).
/etc/freeradius/ssl are now also checked by the diagnostics module. Permissions for that path should be 2755 (Bug 50887).
/etc/systemd/system/docker.service.d/http-proxy.conf the ucr var proxy/no_proxy is considered for the docker proxy settings (Bug 51031).
login.{definition,translation}.json template files (Bug 51747).
/etc/samba/base.conf (Bug 51212).
Diff-Mode synchronization from the OpenLDAP attributes telephoneNumber, homePhone, mobilePhone and pager to the MS AD attributes otherTelephone, otherHomePhone, otherMobile and otherPager (Bug 51567).
Diff-Mode synchronization technique originally implemented for the S4-Connector has been merged to the AD-Connector. This affects the replication of multi value attribute values such that only added and removed attribute values are modified on the destination system, but values unchanged on the source of replication are also unchanged on the destination. Before this update, all values of an attribute changed in the source LDAP got replaced in the destination LDAP. Please note that there is no change in the replication of group memberships, because they already have been replicated in Diff-Mode before (Bug 51462).
univention-archive-key-ucs-3x.gpg. This fixes an issue that a UCS repository mirror could not download packages (Bug 51603).
univention-archive-key-ucs-5x.gpg for UCS 5 and remove expired key univention-archive-key-ucs-3x.gpg from UCS-3 (Bug 51250).
ldap/logging/id-prefix=yes to enable this feature manually (Bug 51082).
`debian/*.pyinstall` files to install Python modules (Bug 51106).
`debian/*.dirs` is now checked for unneeded entries which are already created indirectly by other steps (Bug 51247).
`debian/compat` is now checked for consistency with the declared versioned build dependency of `debhelper` in `debian/control` (Bug 51248).
`ldap/overlay/memberof/` before system is joined (Bug 47641).