Release Notes für die Inbetriebnahme und Aktualisierung von Univention Corporate Server (UCS) 5.2-0#
Veröffentlichungsdatum von UCS 5.2-0: 2025-02-05
Release-Highlights#
Mit Univention Corporate Server 5.2-0 steht das zweite Minor Release für Univention Corporate Server (UCS) zur Verfügung. Es umfasst Funktionserweiterungen und Verbesserungen, neue Eigenschaften sowie diverse Detailverbesserungen und Fehlerkorrekturen. Die wichtigsten Änderungen im Überblick:
Univention Corporate Server 5.2 basiert auf Debian 12
Bookworm, wodurch viele Pakete nun in einer neueren Version vorliegen. Da Univention Corporate Server 5.0 auf Debian 10Busterbasierte existiert als technischer Zwischenschritt Univention Corporate Server 5.1 basierend auf Debian 11Bullseye.Univention Corporate Server 5.1 ist nur für den Updatepfad relevant und darf nicht produktiv eingesetzt werden.
Es aktualisiert sich allerdings automatisch und ohne manuelle Interaktion auf 5.2, welches neuere Versionen von unter anderem dem Linux Kernel (6.1.0-28), Samba (4.21.1), OpenLDAP (2.5.13), PostgreSQL (15), Python (3.11) und Docker (4.18.0) enthält.
Keycloak ersetzt SimpleSAMLphp und Kopano Konnect. In Univention Corporate Server 5.2 ist Keycloak der alleinige Identity Provider (IDP) für Univention Corporate Server und damit die einzige Komponente, welche Authentifikation und (Single) Sign-On bereitstellt. Keycloak ist bereits als App im Univention App Center für Univention Corporate Server 5.0 verfügbar.
Der Migration Guide to Keycloak liefert Informationen und Vorbereitungsschritte für das Update.
Keycloak stellt eine große Spanne an Funktionen und Konfigurierbarkeit hinsichtlich Log-In und Nutzungsszenarien wie Föderation, Single Sign-On mit SAML, OIDC und Kerberos oder eigener konditionaler Authentifizierungsverfahren bereit. Einen Überblick über die getesteten Anwendungsfälle finden Sie im Univention Keycloak app Manual.
Univention Corporate Server 5.0 unterstützte gemischte Umgebungen mit führenden Systemen auf Stand 5.0 und weiteren Univention Corporate Server Nodes innerhalb der Domäne auf Version 4. Univention Corporate Server 5.2 stellt die Unterstützung von Univention Corporate Server 4 Umgebungen vollständig ein. Es ist aber weiterhin möglich die Versionsstände 5.2 und 5.0 in einer Domäne zu mischen.
Univention Corporate Server 5.2 aktualisiert Python von 3.7 auf 3.11. Während Univention Corporate Server 5.0 noch Python 2.7 auslieferte, unterstützt Univention Corporate Server 5.2 Python 2.7 nicht mehr und entfernt dessen Unterstützung vollständig.
Univention Corporate Server 5.2 modernisiert die Weboberfläche und verbessert das allgemeine Erscheinungsbild in vielen Details. Vor allem die Integration verschiedener gestaffelter Elemente wurde verbessert, um die Navigation zu erleichtern und wichtige Bereiche deutlicher hervorzuheben.
Die Univention Configuration Registry (UCR) prüft und validiert nun Werte, die entsprechend des konfigurierten Typs angegeben werden, um eine versehentliche Verwendung nicht unterstützter Werte zu verhindern.
Hinweise zum Update#
Voraussetzung für das Update auf UCS 5.2 ist, dass alle UCS-Systeme in der Domäne mindestens auf der Version 5.0-9 laufen und das zu aktualisierende System mindestens auf der Version 5.0-9-1204.
Wichtig
Bei der Installation eines Backup Directory Node von den 5.0-9 Appliance-Images oder der 5.0-9 DVD schlägt der abschließende Domänen-Join derzeit fehl, wenn der Primary Directory Node die Version 5.2-0 hat.
Bitte starten Sie das Setup ohne Domänen-Join und aktualisieren Sie das System bis mindestens 5.0-9-1200. Starten Sie anschließend den Domänen-Join. Dieses Problem wird mit den 5.0-10 Appliance-Images und der DVD behoben sein.
Führen Sie das Update in einem Wartungsfenster durch, da einige Dienste in der Domäne möglicherweise vorübergehend nicht verfügbar sind. Es wird empfohlen, die Aktualisierung in einer separaten Testumgebung zu testen, bevor Sie die eigentliche Aktualisierung durchführen. Die Testumgebung muss mit der Produktionsumgebung identisch sein.
Je nach Systemleistung, Netzwerkverbindung und installierter Software kann die Aktualisierung zwischen 30 Minuten und mehreren Stunden dauern. Für große Umgebungen konsultieren Sie bitte den UCS performance guide [1].
Empfohlene Update-Reihenfolge für Umgebungen mit mehr als einem UCS System#
Beachten Sie in Umgebungen mit mehr als einem UCS-System die Update-Reihenfolge der UCS-Systeme:
Die maßgebliche (authoritative) Version des LDAP-Verzeichnisdienstes operiert auf dem Primary Directory Node (frühere Bezeichnung: Master Domain Controller) und repliziert an alle übrigen LDAP-Server der UCS-Domäne. Da bei Release-Updates Veränderungen an den LDAP-Schemata auftreten können, muss der Primary Directory Node bei einem Release-Update immer das erste System sein, auf dem das Update durchgeführt wird.
Gleichzeitiger Betrieb von UCS und Debian auf UEFI Systemen#
Beginnend mit UCS 5.0 wird ein gleichzeitiger Betrieb von UCS und Debian GNU/Linux auf einem UEFI System nicht unterstützt.
Ursache hierfür ist der Bootloader GRUB von Univention Corporate Server, der teilweise die gleichen Konfigurationsdateien wie Debian verwendet. Ein bereits installiertes Debian führt dazu, dass UCS nach der Installation von bzw. einem Update auf UCS 5.0 nicht (mehr) startet. Eine nachträgliche Installation von Debian wird ebenfalls dazu führen, dass UCS 5.0 nicht mehr startet. Mehr Informationen finden Sie unter KB 17768.
Vorbereitung des Updates#
In diesem Abschnitt finden Sie weitere Informationen, die Sie vor der Aktualisierung beachten müssen.
Migration des Standard-Identitätsproviders vor dem Update auf UCS 5.2#
Beginnend mit Univention Corporate Server 5.2 ersetzt die App Keycloak SimpleSAMLphp und die App Kopano Connect als Standard-Identitätsprovider in Univention Corporate Server. Vor dem Update auf UCS 5.2 ist eine händische Migration des Standard-Identitätsproviders notwendig. Eine detaillierte Beschreibung des Vorgehens für die Migration finden Sie in Migration Guide to Keycloak.
Migration der OpenLDAP Datenbank von BDB auf MDB#
Univention Corporate Server 5.2 unterstützt nicht länger das Datenbankformat Berkeley DB für OpenLDAP. Sie müssen alle Systeme mit dem Datenbankformat Berkeley DB vor dem Update auf UCS 5.2 migrieren. Informationen zur Durchführung dieser Migration finden Sie unter KB 22322.
Gemischte Umgebungen mit 5.2 und 5.0 Systemen#
Wenn Sie Replica Directory Nodes oder Managed Nodes in Version 5.0 in Ihrer 5.2-Domäne weiterhin betreiben, müssen Sie sicherstellen, dass Python 2.7 auf diesen Systemen, zum Beispiel UDM Hooks, UMC-Module usw., nicht mehr verwendet wird.
Wenn Sie ein neues lokales Software Repository auf einem Univention Corporate Server 5.2-System erstellen wollen und dieses lokale Repository zum Aktualisieren anderer UCS-Systeme von 5.0-x auf 5.2-x verwenden möchten, lesen Sie bitte KB 23755 für weitere Hinweise.
Python 3.11 Kompatibilität#
Bevor Sie aktualisieren, prüfen Sie manuell erstellten Python-Programmcode auf Kompatibilität mit Python 3.11 und passen Sie ihn entsprechend an. Das betrifft auch Univention Configuration Registry Templates, die Python-Code enthalten. Angepasste Univention AD Connector Mapping Templates sind ein Beispiel. Hinweise hierzu finden Sie in den verschiedenen Abschnitten zur Python 3 Migration in der Univention Developer Reference [2]
AD Connector Mapping#
Wenn Sie mehrere Instanzen des AD Connector betreiben, wie in Synchronization of several Active Directory domains with one UCS directory service beschrieben, müssen Sie die Mapping-Konfiguration anpassen. Außerdem müssen Sie die Kompatibilität mit Python 3.11 vor dem Update sicher stellen. KB 17754 beschreibt die Schritte.
Ausreichender Festplattenplatz#
Prüfen Sie auch, ob ausreichend Festplattenplatz verfügbar ist. Eine Standard-Installation benötigt mindestens 6-10 GB Speicherplatz. Das Update benötigt je nach Umfang der vorhandenen Installation ungefähr 5 GB zusätzlichen Speicherplatz zum Herunterladen und Installieren der Pakete.
Nutzung der Konsole für das Update#
Melden Sie sich für das Update auf der lokalen Konsole des Systems mit dem Benutzer root an und starten Sie das Update dort. Alternativ können Sie das Update über Univention Management Console durchführen.
Wenn Sie das Update über eine Netzwerkverbindung durchführen möchten oder müssen, stellen Sie sicher, dass das Update im Fall einer Unterbrechung der Netzwerkverbindung weiterläuft. Unterbrechungen der Netzwerkverbindung können den Aktualisierungsvorgang abbrechen, den Sie über eine entfernte Verbindung ausgelöst haben. Ein unterbrochener Aktualisierungsvorgang kann Ihr System ernsthaft beeinträchtigen. Damit das Update auch bei einer unterbrochenen Netzwerkverbindung weiterläuft, verwenden Sie beispielsweise Werkzeuge wie tmux, screen oder at einsetzen. Sie sind auf allen UCS Systemrollen installiert.
Skript zur Prüfung auf bekannte Update-Probleme#
Univention bietet ein Skript an, mit dem Probleme, die das Update des UCS Systems verhindern würden, schon vor dem Update erkannt werden können. Sie können das Skript vor dem Update manuell auf das System herunterladen und ausführen:
# download
$ curl -OOf https://updates.software-univention.de/download/univention-update-checks/pre-update-checks-5.2-0{.gpg,}
# verify and run script
$ apt-key verify pre-update-checks-5.2-0{.gpg,} && bash pre-update-checks-5.2-0
...
Starting pre-update checks ...
Checking app_appliance ... OK
Checking block_update_of_NT_DC ... OK
Checking cyrus_integration ... OK
Checking disk_space ... OK
Checking hold_packages ... OK
Checking ldap_connection ... OK
Checking ldap_schema ... OK
...
Nachbereitung des Updates#
Nach dem Update müssen Sie die neuen oder aktualisierten Join-Skripte ausführen. Sie können dafür entweder das UMC-Modul Domänenbeitritt verwenden oder durch Befehl univention-run-join-scripts als Benutzer root aufrufen.
Anschließend müssen Sie das UCS-System neu starten.
Bitte überprüfen Sie die PostgreSQL-Version aller Systeme, die auf UCS 5.2 aktualisiert wurden. Da UCS 5.2 Version 15 von PostgreSQL ausliefert, müssen aktualisierte Systeme möglicherweise von PostgreSQL-11 migriert werden. Der KB 22162 erläutert die empfohlenen Schritte.
Hinweise zum Einsatz einzelner Pakete#
Die folgenden Abschnitte informieren über einige ausgewählte Pakete im Zusammenhang mit dem Update.
Erfassung von Nutzungsstatistiken#
Mit der UCS Core Edition werden anonyme Nutzungsstatistiken zur Verwendung von Univention Management Console erzeugt. Die aufgerufenen Module werden dabei von einer Instanz des Web-Traffic-Analyse-Tools Matomo protokolliert. Nutzungsstatistiken ermögliche es Univention die Entwicklung von Univention Management Console besser auf das Kundeninteresse zuzuschneiden und Usability-Verbesserungen vorzunehmen.
Sie können den Lizenzstatus über den Menüeintrag des Benutzermenüs in der oberen rechten Ecke von Univention Management Console überprüfen. Ihr UCS-System ist ein UCS Core Edition-System, wenn unter Lizenzinformationen unter Lizenztyp UCS Core Edition aufgeführt ist.
UCS sammelt keine Nutzungsstatistiken, wenn Sie eine Enterprise Subskription wie UCS Base Subscription oder UCS Standard Subscription verwenden.
Unabhängig von der verwendeten Lizenz, können Sie die Sammlung von Nutzungsstatistiken durch Setzen der Univention Configuration Registry Variable umc/web/piwik auf false deaktivieren.
Empfohlene Browser für den Zugriff auf Univention Management Console#
Univention Management Console verwendet für die Darstellung der Web-Oberfläche zahlreiche JavaScript- und CSS-Funktionen. Ihr Browser muss dafür Cookies zulassen. Univention Management Console benötigt dafür einen der folgenden Browser:
Chrome ab Version 131
Firefox ab Version 128
Safari und Safari Mobile ab Version 18
Microsoft Edge ab Version 128
Mit älteren Browsern können Darstellungs- oder Performanceprobleme auftreten.
Changelog#
Die Änderungen seit UCS 5.0-9 finden Sie in Changelog for Univention Corporate Server (UCS) 5.2-0.
Literaturverzeichnis#
UCS performance guide. Univention GmbH, 2021. URL: https://docs.software-univention.de/ext-performance/5.2/en/index.html.
Univention Developer Reference. Univention GmbH, 2021. URL: https://docs.software-univention.de/developer-reference/5.2/en/index.html.