Release Notes für die Inbetriebnahme und Aktualisierung von Univention Corporate Server (UCS) 5.0-9#
Veröffentlichungsdatum von UCS 5.0-9: 2024-09-24
Release-Highlights#
Mit Univention Corporate Server 5.0-9 steht das neunte Patchlevel-Update für Univention Corporate Server (UCS) 5.0 zur Verfügung. Es umfasst Funktionserweiterungen und Verbesserungen, neue Eigenschaften sowie diverse Detailverbesserungen und Fehlerkorrekturen. Die wichtigsten Änderungen im Überblick:
Single Sign-on
(SSO) ist ein zentraler Bestandteil eines integrierten Identity and Access Managements (IAM). Der Nubus Identity Provider unterstützt bereits die wichtigsten Protokolle SAML and OpenID Connect (OIDC). Mit Univention Corporate Server 5.0-9 wird OIDC nun auch für die UCS eigene Weboberfläche, insbesondere das Portal und die Univention Management Console (UMC), verfügbar gemacht. Neben der Migration auf den neueren Mechanismus für SSO ermöglicht OIDC in UCS 5.0-9 neue Funktionen wie denBack-channel Logout
, der einen Single Logout (SLO) ohne Nutzerinteraktion unterstützt. Zur Verbesserung der Benutzerfreundlichkeit sorgt eine automatische Aktualisierung der Portal Inhalte im Webbrowser dafür, dass der abgemeldete Zustand überall korrekt angezeigt wird.Die Active Directory-Verbindung synchronisiert Benutzer, Gruppen und Computerobjekte zwischen Nubus und Active Directory (AD). Mit UCS 5.0-9 wurde die selektive Synchronisation grundlegend überarbeitet. Sie ermöglicht nun eine flexible Steuerung der synchronisierten Objekte auf Basis von
Allow
- undDeny
-Filtern, sowohl auf Ebene ganzer Teilbäume als auch einzelner Objekttypen. Die verbesserte Selektion stellt sicher, dass die AD Verbindung nur die gewünschten Objekte synchronisiert, was unerwünschte Einträge auf beiden Seiten vermeidet und den manuellen Aufwand minimiert.UCS 5.0-9 integriert diverse Security Updates, zum Beispiel für apache2, BIND9, OpenJDK-11, dovecot, postgresql, systemd und den Linux Kernel 5.10.
Hinweise zum Update#
Führen Sie das Update in einem Wartungsfenster durch, da einige Dienste in der Domäne möglicherweise vorübergehend nicht verfügbar sind. Es wird empfohlen, die Aktualisierung in einer separaten Testumgebung zu testen, bevor Sie die eigentliche Aktualisierung durchführen. Die Testumgebung muss mit der Produktionsumgebung identisch sein.
Je nach Systemleistung, Netzwerkverbindung und installierter Software kann die Aktualisierung zwischen 20 Minuten und mehreren Stunden dauern. Für große Umgebungen konsultieren Sie bitte den UCS performance guide [1].
Empfohlene Update-Reihenfolge für Umgebungen mit mehr als einem UCS System#
Beachten Sie in Umgebungen mit mehr als einem UCS-System die Update-Reihenfolge der UCS-Systeme:
Die autoritative Version des LDAP Verzeichnisdienstes arbeitet auf dem Primary Directory Node und repliziert auf alle übrigen LDAP-Server der UCS-Domäne. Da es bei Release-Updates zu Änderungen am LDAP-Schema kommen kann, müssen Sie bei einem Release-Update immer zuerst den Primary Directory Node aktualisieren.
UCS nur noch als 64-Bit-Variante#
UCS 5 ist nur für die x86 64 Bit Architektur amd64 verfügbar. Bestehende 32-Bit UCS-Systeme können nicht auf UCS 5 aktualisiert werden.
Gleichzeitiger Betrieb von UCS und Debian auf UEFI Systemen#
Beginnend mit UCS 5.0 wird ein gleichzeitiger Betrieb von UCS und Debian GNU/Linux auf einem UEFI System nicht unterstützt.
Ursache hierfür ist der Bootloader GRUB von Univention Corporate Server, der teilweise die gleichen Konfigurationsdateien wie Debian verwendet. Ein bereits installiertes Debian führt dazu, dass UCS nach der Installation von bzw. einem Update auf UCS 5.0 nicht (mehr) startet. Eine nachträgliche Installation von Debian wird ebenfalls dazu führen, dass UCS 5.0 nicht mehr startet. Mehr Informationen finden Sie unter KB 17768.
Lokales Paket Repository#
Dieser Abschnitt ist relevant für Umgebungen mit einem local repository. Die installierte Hauptversion von UCS bestimmt, welche Pakete ein lokales Repository bereitstellt. Ein Repository, das auf einem UCS-Server mit Version 4.x läuft, stellt nur Pakete bis UCS 4.x zur Verfügung, ein Repository-Server, der auf UCS 5 läuft, nur Pakete für UCS 5 und höher.
Um in einer Umgebung mit lokalem Repository Systeme auf UCS 5 zu aktualisieren, bestehen unter anderem die folgenden Möglichkeiten. Zunächst muss ein lokaler UCS 5 Repository Server aufgesetzt werden.
Installieren Sie ein neues UCS 5 System als Primary Directory Node von der DVD oder aus einem virtualisierten Basisimage. Anschließend richten Sie auf diesem System ein lokales Repository ein, wie in UCS Handbuch [2] beschrieben.
Installieren Sie ein neues UCS 5 System in der Systemrolle Backup Directory Node, Replica Directory Node oder Managed Node von der DVD oder aus einem virtualisierten Basisimage. Wählen Sie im System-Setup aus, dass das System keiner Domäne beitritt. Richten Sie anschließend auf diesem System ein lokales Repository ein, wie in UCS Handbuch [2] beschrieben. Nachdem Sie den Primary Directory Node auf UCS 5 aktualisiert haben, der in der Domäne verwendet wird, kann der UCS 5 Repository Server der Domäne über univention-join beitreten.
Um ein System in der Domäne auf UCS 5 zu aktualisieren, aktualisieren Sie es zuerst auf den aktuellsten Paketstand unter UCS 4.x. Setzen Sie anschließend den vom System verwendeten Repository Server durch das Ändern der Univention Configuration Registry Variable repository/online/server
auf das lokale UCS 5 Repository. Das System kann nun über die Univention Management Console oder über die Kommandozeile auf UCS 5 aktualisiert werden.
Vorbereitung des Updates#
In diesem Abschnitt finden Sie weitere Informationen, die Sie vor der Aktualisierung beachten müssen.
Python 3.7 Kompatibilität#
Überprüfen Sie vor der Aktualisierung manuell erstellten Python-Code auf Kompatibilität mit Python 3.7 und passen Sie ihn entsprechend an. Dies gilt auch für Univention Configuration Registry Vorlagen, die Python-Code enthalten. Angepasste AD-Connector Mapping Vorlagen sind ein Beispiel dafür. Für Ratschläge, siehe auch die Univention Developer Reference [3].
AD Connector Mapping#
Wenn Sie mehrere Instanzen des AD Connector betreiben, wie in Synchronization of several Active Directory domains with one UCS directory service beschrieben, müssen Sie die Mapping-Konfiguration anpassen. Außerdem müssen Sie die Kompatibilität mit Python 3.7 vor dem Update sicher stellen. KB 17754 beschreibt die Schritte.
Ausreichender Festplattenplatz#
Prüfen Sie auch, ob ausreichend Festplattenplatz verfügbar ist. Eine Standard-Installation benötigt mindestens 6-10 GB Speicherplatz. Das Update benötigt je nach Umfang der vorhandenen Installation ungefähr 1-2 GB zusätzlichen Speicherplatz zum Herunterladen und Installieren der Pakete.
Nutzung der Konsole für das Update#
Melden Sie sich für das Update auf der lokalen Konsole des Systems mit dem Benutzer root
an und starten Sie das Update dort. Alternativ können Sie das Update über Univention Management Console durchführen.
Wenn Sie das Update über eine Netzwerkverbindung durchführen möchten oder müssen, stellen Sie sicher, dass das Update im Fall einer Unterbrechung der Netzwerkverbindung weiterläuft. Unterbrechungen der Netzwerkverbindung können den Aktualisierungsvorgang abbrechen, den Sie über eine entfernte Verbindung ausgelöst haben. Ein unterbrochener Aktualisierungsvorgang kann Ihr System ernsthaft beeinträchtigen. Damit das Update auch bei einer unterbrochenen Netzwerkverbindung weiterläuft, verwenden Sie beispielsweise Werkzeuge wie tmux, screen oder at einsetzen. Sie sind auf allen UCS Systemrollen installiert.
Skript zur Prüfung auf bekannte Update-Probleme#
Univention bietet ein Skript an, mit dem Probleme, die das Update des UCS Systems verhindern würden, schon vor dem Update erkannt werden können. Sie können das Skript vor dem Update manuell auf das System herunterladen und ausführen:
# download
$ curl -OOf https://updates.software-univention.de/download/univention-update-checks/pre-update-checks-5.0-9{.gpg,}
# verify and run script
$ apt-key verify pre-update-checks-5.0-9{.gpg,} && bash pre-update-checks-5.0-9
...
Starting pre-update checks ...
Checking app_appliance ... OK
Checking block_update_of_NT_DC ... OK
Checking cyrus_integration ... OK
Checking disk_space ... OK
Checking hold_packages ... OK
Checking ldap_connection ... OK
Checking ldap_schema ... OK
...
Nachbereitung des Updates#
Nach dem Update müssen Sie die neuen oder aktualisierten Join-Skripte ausführen. Sie können dafür entweder das UMC-Modul Domänenbeitritt verwenden oder durch Befehl univention-run-join-scripts als Benutzer root
aufrufen.
Anschließend müssen Sie das UCS-System neu starten.
Hinweise zum Einsatz einzelner Pakete#
Die folgenden Abschnitte informieren über einige ausgewählte Pakete im Zusammenhang mit dem Update.
Erfassung von Nutzungsstatistiken#
Mit der UCS Core Edition werden anonyme Nutzungsstatistiken zur Verwendung von Univention Management Console erzeugt. Die aufgerufenen Module werden dabei von einer Instanz des Web-Traffic-Analyse-Tools Matomo protokolliert. Nutzungsstatistiken ermögliche es Univention die Entwicklung von Univention Management Console besser auf das Kundeninteresse zuzuschneiden und Usability-Verbesserungen vorzunehmen.
Sie können den Lizenzstatus über den Menüeintrag UCS Core Edition
aufgeführt ist.
UCS sammelt keine Nutzungsstatistiken, wenn Sie eine Enterprise Subskription wie UCS Base Subscription oder UCS Standard Subscription verwenden.
Unabhängig von der verwendeten Lizenz, können Sie die Sammlung von Nutzungsstatistiken durch Setzen der Univention Configuration Registry Variable umc/web/piwik
auf false
deaktivieren.
Empfohlene Browser für den Zugriff auf Univention Management Console#
Univention Management Console verwendet für die Darstellung der Web-Oberfläche zahlreiche JavaScript- und CSS-Funktionen. Ihr Browser muss dafür Cookies zulassen. Univention Management Console benötigt dafür einen der folgenden Browser:
Google Chrome ab Version 85
Mozilla Firefox ab Version 78
Apple Safari und Apple Safari Mobile ab Version 13
Microsoft Edge ab Version 88
Mit älteren Browsern können Darstellungs- oder Performanceprobleme auftreten.
Changelog#
Die Änderungen seit UCS 5.0-8 finden Sie in Changelog for Univention Corporate Server (UCS) 5.0-9.
Literaturverzeichnis#
UCS performance guide. Univention GmbH, 2021. URL: https://docs.software-univention.de/ext-performance/5.0/en/index.html.
UCS Handbuch. Univention GmbH, 2021. URL: https://docs.software-univention.de/manual/5.0/de/.
Univention Developer Reference. Univention GmbH, 2021. URL: https://docs.software-univention.de/developer-reference/5.0/en/index.html.