Inhaltsverzeichnis
Mit Univention Corporate Server 4.4-7 steht das siebte Point-Release für Univention Corporate Server (UCS) 4.4 zur Verfügung. Es umfasst Funktionserweiterungen und Verbesserungen, neue Eigenschaften sowie diverse Detailverbesserungen und Fehlerkorrekturen. Die wichtigsten Änderungen im Überblick:
Das Bearbeiten der eigenen Kontaktinformationen am UCS Self Service ist mit bestehender Single Sign On Anmeldung möglich.
Administratoren können über die UCR Variable umc/cookie-banner/show die Anzeige eines Banners steuern, dass Benutzer über die Verwendung von Cookies bei der Benutzung des UCS Portals und weiterer Dienste informiert.
Im S4 Connector und im AD Connector wurde ein Bug behoben, der nach dem Verschieben oder Deaktivieren von Benutzerobjekten diese Objekte noch in für sie nicht mehr relevanten Gruppen zugeordnet hat.
Das Update auf Samba 4.10.18 entschärft die Zerologon Lücke, neue Optionen ermöglichen die sichere Konfiguration in Umgebungen, in denen Secure Channel verwendet werden muss.
Diverse Security Updates wurden in UCS 4.4-7 integriert, bspw. für Postgresql, Samba, den Linux Kernel und PHP. Eine vollständige Liste von Security- und Paketupdates ist in Kapitel 6 zu finden.
Während der Aktualisierung kann es zu temporären Ausfällen von Diensten innerhalb der Domäne kommen. Aus diesem Grund sollte das Update innerhalb eines Wartungsfensters erfolgen. Grundsätzlich wird empfohlen, das Update zunächst in einer Testumgebung einzuspielen und zu testen. Die Testumgebung sollte dabei identisch zur Produktivumgebung sein. Je nach Systemgeschwindigkeit, Netzwerkanbindung und installierter Software kann das Update zwischen 20 Minuten und mehreren Stunden dauern.
In Umgebungen mit mehr als einem UCS-System muss die Update-Reihenfolge der UCS-Systeme beachtet werden:
Auf dem Domänencontroller Master wird die maßgebliche (authoritative) Version des LDAP-Verzeichnisdienstes vorgehalten, die an alle übrigen LDAP-Server der UCS-Domäne repliziert wird. Da bei Release-Updates Veränderungen an den LDAP-Schemata auftreten können, muss der Domänencontroller Master bei einem Release-Update immer als erstes System aktualisiert werden.
UCS-Installations-DVDs werden ab UCS 4 nur noch für 64-Bit-Architekturen bereitgestellt. Vorhandene 32-Bit UCS 3 Systeme können weiterhin über das Online Repository oder über Update DVDs auf UCS 4 aktualisiert werden. Die 32-Bit-Architektur wird für die gesamte UCS 4 Maintenance noch unterstützt.
Es sollte geprüft werden, ob ausreichend Festplattenplatz verfügbar ist. Eine Standard-Installation benötigt min. 10 GB Speicherplatz. Das Update benötigt je nach Umfang der vorhanden Installation ungefähr 4 GB zusätzlichen Speicherplatz zum Herunterladen und Installieren der Pakete.
Für das Update sollte eine Anmeldung auf der lokalen Konsole des Systems mit dem Benutzer root durchgeführt und das Update dort gestartet werden.
Alternativ kann das Update über Univention Management Console durchgeführt werden.
Eine Remote-Aktualisierung über SSH wird nicht empfohlen, da dies beispielsweise bei Unterbrechung der Netzverbindung zum Abbruch des Update-Vorgangs und zu einer Beeinträchtigung des Systems führen kann.
Sollte dennoch eine Aktualisierung über eine Netzverbindung durchgeführt werden, ist sicherzustellen, dass das Update bei Unterbrechung der Netzverbindung trotzdem weiterläuft.
Hierfür können beispielsweise die Tools screen oder at eingesetzt werden, die auf allen UCS Systemrollen installiert sind.
Univention bietet ein Skript an, mit dem Probleme, die das Update des UCS Systems verhindern würden, schon vor dem Update erkannt werden können. Dieses Skript kann vor dem Update manuell auf das System geladen und ausgeführt werden:
# download
curl -OOs https://updates.software-univention.de/download/univention-update-checks/pre-update-checks-4.4{,.gpg}
# run script
gpgv --keyring /usr/share/keyrings/univention-archive-key-ucs-4x.gpg pre-update-checks-4.4.gpg \
pre-update-checks-4.4 && bash pre-update-checks-4.4
...
Starting pre-update checks ...
Checking app_appliance ... OK
Checking block_update_of_NT_DC ... OK
Checking cyrus_integration ... OK
Checking disk_space ... OK
Checking hold_packages ... OK
Checking ldap_connection ... OK
Checking ldap_schema ... OK
...
Nach dem Update müssen die neuen oder aktualisierten Join-Skripte ausgeführt werden.
Dies kann auf zwei Wegen erfolgen:
Entweder über das UMC-Modul oder durch Aufruf des Befehls
univention-run-join-scripts als Benutzer root.
Anschließend muss das UCS-System neu gestartet werden.
Bei Verwendung der UCS Core Edition werden anonyme Nutzungsstatistiken zur Verwendung von Univention Management Console erzeugt. Die aufgerufenen Module werden dabei von einer Instanz des Web-Traffic-Analyse-Tools Piwik protokolliert. Dies ermöglicht es Univention die Entwicklung von Univention Management Console besser auf das Kundeninteresse zuzuschneiden und Usability-Verbesserungen vorzunehmen.
Diese Protokollierung erfolgt nur bei Verwendung der UCS Core Edition. Der Lizenzstatus kann überprüft werden durch den Eintrag des Benutzermenüs in der rechten, oberen Ecke von Univention Management Console. Steht hier unter der Eintrag wird eine solche Edition verwendet. Bei Einsatz einer regulären UCS-Lizenz erfolgt keine Teilnahme an der Nutzungsstatistik.
Die Protokollierung kann unabhängig von der verwendeten Lizenz durch Setzen der Univention Configuration Registry-Variable umc/web/piwik auf false deaktiviert werden.
WebKit, Konqueror und QtWebKit werden in UCS im maintained-Zweig des Repositorys mitgeliefert, aber nicht durch Sicherheits-Updates unterstützt. WebKit wird vor allem für die Darstellung von HTML-Hilfeseiten u.ä. verwendet. Als Web-Browser sollte Firefox eingesetzt werden.
Univention Management Console verwendet für die Darstellung der Web-Oberfläche zahlreiche JavaScript- und CSS-Funktionen. Cookies müssen im Browser zugelassen sein. Die folgenden Browser werden empfohlen:
Chrome ab Version 71
Firefox ab Version 60
Safari und Safari Mobile ab Version 12
Microsoft Edge ab Version 18
Der Internet Explorer wird ab diesem Release nicht mehr von Univention Management Console unterstützt.
Mit älteren Browsern können Darstellungs- oder Performanceprobleme auftreten.
Die Changelogs mit den detaillierten Änderungsinformationen werden nur in Englisch gepflegt. Aufgeführt sind die Änderungen seit UCS 4.4-6:
All security updates issued for UCS 4.4-6 are included:
The following updated packages from Debian Stretch 9.13 are included (Bug 52381): php-pear, libdatetime-timezone-perl, linux-latest, tzdata, activemq, blueman, bouncycastle, cargo, cimg, dompurify.js, drupal7, eclipse-wtp, fastd, gcc-mozilla, golang-1.7, golang-1.8, golang-go.crypto, guacamole-server, httpcomponents-client, inspircd, jackson-databind, jruby, junit4, jupyter-notebook, linux-4.19, linux-latest-4.19, llvm-toolchain-7, mediawiki, moin, nfdump, nodejs-mozilla, obfs4proxy, pacemaker, packagekit, packer, phpmyadmin, puma, rails, rclone, restic, ruby-gon, ruby-json-jwt, ruby-rack-cors, rust-cbindgen, rustc, sddm, snmptt, spice-gtk, sympa, thunderbird, tigervnc, tomcat8, wordpress, yaws, zabbix
meta.json from UMC, but the inexpensive one from Apache directly (Bug 52303).
umc/cookie-banner/show to true (Bug 50302).
meta.json, which would involve UMC. The portal does not need the additional information and may save one expensive request (Bug 52303).
/univention/get/meta involves a call to UMC. This is not always necessary. Now it is possible to fetch a stripped down static version instead. This patch moves the meta file into a public folder (Bug 52303).
appcenter/app has been updated to be compatible to python3.
The joinscript has been updated to specify a --ucsversionend option with the
ucs_registerLDAPExtension calls. This is required in preparation for UCS 5.0
(Bug 52429).
meta.json file was changed. This change is internal (Bug 52303).
userChrome.css (Bug 52160).
univention-run-join-scripts now validates command line arguments and does not run all scripts if an unknown parameter is given (Bug 46985).
ucs_registerLDAPExtension offers an additional option --name
which can be used to specify the RDN of the LDAP object. This can be useful
if two versions of a UDM or LDAP extension need to be active simultaneously in the domain,
e.g. one being only compatible to python2, but still required for UCS 4.4-based systems in the domain
and another being only compatible to python3, required for the systems which at some point will
have updated to UCS 5. This may be useful in preparation to the UCS 5.0 release (Bug 52433).
clean_old_backups has been fixed (Bug 51765).
meta.json, which would involve UMC. The site does not need the additional information and may save one expensive request (Bug 52303).
/var/lib/simplesamlphp/secrets.inc.php which contains the simplesamlphp administration password could be read by any local user (Bug 51922).
/etc/simplesamlphp/serviceprovider_enabled_groups.json This fixes a bug where SAML permissions applied to groups could not be evaluated (Bug 51608).
umc/self-service/passwordreset/token_validity_period is now evaluated correctly (Bug 51287).
umc/self-service/allow-authenticated-use to true. When enabling the behavior all UCR variables for the Self-Service which are set on the DC Master must be set identically on the Self-Service System (Bug 51607).
--ucsversionend option with the ucs_registerLDAPExtension calls.
This is required in preparation for UCS 5.0 (Bug 52426).
apache2/server-limit apache2/start-servers apache2/min-spare-threads apache2/max-spare-threads apache2/threads-per-child apache2/server-signature apache2/server-tokens apache2/server-admin (Bug 51294).
create/spn/account/timeout sets the timeout for how long the system waits for successful synchronization of the SPN account during a domain join. The default timeout has been increased to 10800s (Bug 51835).
--ucsversionend option with the
ucs_registerLDAPExtension calls. This is required in preparation for UCS 5.0
(Bug 52428).
connector/s4/mapping/domainpolicy=yes. The schema file n_domainpolicy.schema has to be activated beforehand. See the manual for more information (Bug 51782).
/etc/univention/connector/localmapping.py. The manual has details on how to write this file (Bug 49981).