Inhaltsverzeichnis
Mit Univention Corporate Server 4.4-8 steht das achte Point-Release für Univention Corporate Server (UCS) 4.4 zur Verfügung. Es umfasst Funktionserweiterungen und Verbesserungen, neue Eigenschaften sowie diverse Detailverbesserungen und Fehlerkorrekturen. Die wichtigsten Änderungen im Überblick:
Die Performance des UMC Webservers in großen Umgebungen mit vielen Anfragen wurde verbessert, indem der Webserver mit mehreren Prozessen gestartet werden kann, um mehrere CPU Kerne zu nutzen. Hierfür wurde der UMC Webserver von single- auf multiprocessing umgestellt. Die Anzahl der Prozesse ist konfigurierbar.
Diverse Verbesserungen wurden in Vorbereitung auf UCS 5.0 vorgenommen. Unter anderem wird das UCS Upgrade blockiert, wenn installierte Apps unter UCS 5.0 noch nicht verfügbar sind.
Der S4 Connector synchronisiert nun auch das Attribut gidNumber für Gruppenobjekte.
Diverse Security Updates wurden in UCS 4.4-8 integriert, bspw. für PostgreSQL, Samba, den Linux Kernel und MariaDB.
Während der Aktualisierung kann es zu temporären Ausfällen von Diensten innerhalb der Domäne kommen. Aus diesem Grund sollte das Update innerhalb eines Wartungsfensters erfolgen. Grundsätzlich wird empfohlen, das Update zunächst in einer Testumgebung einzuspielen und zu testen. Die Testumgebung sollte dabei identisch zur Produktivumgebung sein. Je nach Systemgeschwindigkeit, Netzwerkanbindung und installierter Software kann das Update zwischen 20 Minuten und mehreren Stunden dauern.
In Umgebungen mit mehr als einem UCS-System muss die Update-Reihenfolge der UCS-Systeme beachtet werden:
Auf dem Domänencontroller Master wird die maßgebliche (authoritative) Version des LDAP-Verzeichnisdienstes vorgehalten, die an alle übrigen LDAP-Server der UCS-Domäne repliziert wird. Da bei Release-Updates Veränderungen an den LDAP-Schemata auftreten können, muss der Domänencontroller Master bei einem Release-Update immer als erstes System aktualisiert werden.
UCS-Installations-DVDs werden ab UCS 4 nur noch für 64-Bit-Architekturen bereitgestellt. Vorhandene 32-Bit UCS 3 Systeme können weiterhin über das Online Repository oder über Update DVDs auf UCS 4 aktualisiert werden. Die 32-Bit-Architektur wird für die gesamte UCS 4 Maintenance noch unterstützt.
Es sollte geprüft werden, ob ausreichend Festplattenplatz verfügbar ist. Eine Standard-Installation benötigt min. 10 GB Speicherplatz. Das Update benötigt je nach Umfang der vorhanden Installation ungefähr 4 GB zusätzlichen Speicherplatz zum Herunterladen und Installieren der Pakete.
Für das Update sollte eine Anmeldung auf der lokalen Konsole des Systems mit dem Benutzer root durchgeführt und das Update dort gestartet werden.
Alternativ kann das Update über Univention Management Console durchgeführt werden.
Eine Remote-Aktualisierung über SSH wird nicht empfohlen, da dies beispielsweise bei Unterbrechung der Netzverbindung zum Abbruch des Update-Vorgangs und zu einer Beeinträchtigung des Systems führen kann.
Sollte dennoch eine Aktualisierung über eine Netzverbindung durchgeführt werden, ist sicherzustellen, dass das Update bei Unterbrechung der Netzverbindung trotzdem weiterläuft.
Hierfür können beispielsweise die Tools screen oder at eingesetzt werden, die auf allen UCS Systemrollen installiert sind.
Univention bietet ein Skript an, mit dem Probleme, die das Update des UCS Systems verhindern würden, schon vor dem Update erkannt werden können. Dieses Skript kann vor dem Update manuell auf das System geladen und ausgeführt werden:
# download
curl -OOs https://updates.software-univention.de/download/univention-update-checks/pre-update-checks-4.4{,.gpg}
# run script
gpgv --keyring /usr/share/keyrings/univention-archive-key-ucs-4x.gpg pre-update-checks-4.4.gpg \
pre-update-checks-4.4 && bash pre-update-checks-4.4
...
Starting pre-update checks ...
Checking app_appliance ... OK
Checking block_update_of_NT_DC ... OK
Checking cyrus_integration ... OK
Checking disk_space ... OK
Checking hold_packages ... OK
Checking ldap_connection ... OK
Checking ldap_schema ... OK
...
Nach dem Update müssen die neuen oder aktualisierten Join-Skripte ausgeführt werden.
Dies kann auf zwei Wegen erfolgen:
Entweder über das UMC-Modul oder durch Aufruf des Befehls
univention-run-join-scripts als Benutzer root.
Anschließend muss das UCS-System neu gestartet werden.
Bei Verwendung der UCS Core Edition werden anonyme Nutzungsstatistiken zur Verwendung von Univention Management Console erzeugt. Die aufgerufenen Module werden dabei von einer Instanz des Web-Traffic-Analyse-Tools Piwik protokolliert. Dies ermöglicht es Univention die Entwicklung von Univention Management Console besser auf das Kundeninteresse zuzuschneiden und Usability-Verbesserungen vorzunehmen.
Diese Protokollierung erfolgt nur bei Verwendung der UCS Core Edition. Der Lizenzstatus kann überprüft werden durch den Eintrag des Benutzermenüs in der rechten, oberen Ecke von Univention Management Console. Steht hier unter der Eintrag wird eine solche Edition verwendet. Bei Einsatz einer regulären UCS-Lizenz erfolgt keine Teilnahme an der Nutzungsstatistik.
Die Protokollierung kann unabhängig von der verwendeten Lizenz durch Setzen der Univention Configuration Registry-Variable umc/web/piwik auf false deaktiviert werden.
WebKit, Konqueror und QtWebKit werden in UCS im maintained-Zweig des Repositorys mitgeliefert, aber nicht durch Sicherheits-Updates unterstützt. WebKit wird vor allem für die Darstellung von HTML-Hilfeseiten u.ä. verwendet. Als Web-Browser sollte Firefox eingesetzt werden.
Univention Management Console verwendet für die Darstellung der Web-Oberfläche zahlreiche JavaScript- und CSS-Funktionen. Cookies müssen im Browser zugelassen sein. Die folgenden Browser werden empfohlen:
Chrome ab Version 71
Firefox ab Version 60
Safari und Safari Mobile ab Version 12
Microsoft Edge ab Version 18
Der Internet Explorer wird ab diesem Release nicht mehr von Univention Management Console unterstützt.
Mit älteren Browsern können Darstellungs- oder Performanceprobleme auftreten.
Die Changelogs mit den detaillierten Änderungsinformationen werden nur in Englisch gepflegt. Aufgeführt sind die Änderungen seit UCS 4.4-7:
All security updates issued for UCS 4.4-7 are included:
The following updated packages from Debian 9.13 are included (Bug 53084): ca-certificates, libdatetime-timezone-perl, linux-latest, tzdata, activemq, adminer, ansible, awstats, brotli, connman, coturn, crmsh, csync2, debian-security-support, drupal7, firejail, golang-1.7, golang-1.8, golang-golang-x-net-dev, golang-websocket, gssproxy, highlight.js, influxdb, jupyter-notebook, leptonlib, libhibernate3-java, libmediainfo, libpano13, libxstream-java, libzstd, linux-4.19, linux-latest-4.19, mediawiki, minidlna, mqtt-client, mumble, mupdf, musl, mutt, netty, node-ini, open-build-service, openvswitch, pacemaker, pdfresurrect, php-horde-text-filter, php-nette, postsrsd, privoxy, python-bleach, python-bottle, python-certbot, redis, roundcube, ruby-mechanize, ruby-redcarpet, salt, shibboleth-sp2, slirp, snapd, spice-vdagent, spip, sympa, tcpflow, thunderbird, tomcat8, unbound1.9, unrar-free, velocity, velocity-tools, vips, x11vnc, xcftools, zsh
The following packages have been moved to the maintained repository of UCS: moreutils (Bug 52743), python-bcrypt (Bug 52693), python-monotonic (Bug 52273)
201 as additional possible status code for modify operations.
It is returned in case an object was moved (Bug 52725).
200 as status code for the retrieval of object creation templates (Bug 52723).
pam/krb5/ticket_after_pwchange has been added to restore the default behavior of the PAM module krb5.
See https://help.univention.com/t/17403 for more information (Bug 52188).
KeyError is prevented when a session timer has already been removed (Bug 52535).
`python2.7.
This included UCS services like UCS Virtual Machine Manager, UMC server, UMC web server, UMC REST API, UCS Portal server and Univention S4 connector.
The broken fallback mechanism has been disabled and removed (Bug 52518).
update-check has been added to univention-app to check whether an UCS update with the currently installed Apps is possible (Bug 52771).
docker.pull has been removed (Bug 52456).
password/hashing/bcrypt (default: false).
The bcrypt cost factor and variant can be configured with the Univention Configuration Registry variables password/hashing/bcrypt/cost_factor (default: 12) and password/hashing/bcrypt/prefix (default: 2b) (Bug 52693).
--remove-option of the UDM CLI command create has been repaired (Bug 52576).
`python2.7.
This included UCS services like UCS Virtual Machine Manager, UMC server, UMC web server, UMC REST API, UCS Portal server and Univention S4 connector.
The broken fallback mechanism has been disabled and removed (Bug 52518).
docker/daemon/default/opts/registry-mirrors can be used to define custom registry mirrors for the docker daemon.
It is also possible now to configure arbitrary JSON encoded data, which gets mixed into the Docker daemon configuration file /etc/docker/daemon.json via the Univention Configuration Registry variable docker/daemon/default/json (Bug 52344).
statx to docker seccomp profile (Bug 52478).
univention-stunnel4-watchdog has been added, which restarts the stunnel4 service, if it does not respond any more, but is marked as active.
This can be activated by setting the Univention Configuration Registry variable ucs/server/sso/stunnel4/watchdog/active=true and restarting the service univention-stunnel4-watchdog (Bug 52196).
krb5 has been changed.
From now on the module no longer tries to obtain a new ticket after a password change (as this is error prone due to timing issues in the password synchronization).
The old behavior can be restored by setting the Univention Configuration Registry variable pam/krb5/ticket_after_pwchange=true (sets the ticket_after_pwchange flag in the PAM configuration).
See https://help.univention.com/t/17403 for more information (Bug 52188).
heimdal-kdc.
This is necessary to allow for the mspwdpolicy feature to work correctly (Bug 52198).
/usr/share/univention-s4-connector/resync_object_from_ucs.py --filter, which accepts an LDAP filter (Bug 50766).
pam/krb5/ticket_after_pwchange has been added to restore the default behavior of the PAM module krb5.
See https://help.univention.com/t/17403 for more information (Bug 52188).