Inhaltsverzeichnis
Mit Univention Corporate Server 4.1-1 steht das erste Point-Release für Univention Corporate Server (UCS) 4.1 zur Verfügung. Es umfasst diverse Detailverbesserungen und Fehlerkorrekturen. Die wichtigsten Änderungen im Überblick:
Der Linux Kernel wurde auf 4.1.16 aktualisiert. Dieser beinhaltet diverse Sicherheitsaktualisierungen sowie neuere und aktualisierte Treiber für eine verbesserte Hardware-Unterstützung.
Mit dem Update auf Samba 4.3.3 wurde die Kompatibilität zu Active Directory weiter ausgebaut. Dies beinhaltet u.a. Verbesserungen in der DRS-Replikation und diverse Sicherheitsaktualisierungen.
Univention Virtual Machine Manager kann nun auch Virtual Private Clouds (VPC) in Amazon AWS verwalten. Dadurch besteht die Möglichkeit virtuelle Maschinen in der EC2 Region eu-central-1 (Frankfurt am Main) zu administrieren.
Die Performance der Verzeichnisdienst-Replikation wurde deutlich erhöht. Dadurch ist u.a. der Domänenbeitritt in Umgebungen mit mehreren tausend Benutzern deutlich schneller.
Es gibt zahlreiche Verbesserungen in Design und Usability des Univention App Center. So ist es nun bspw. sehr einfach möglich zwischen den unterschiedlichen Apps zu navigieren. Die Ladegeschwindigkeit des App Centers wurde ebenfalls deutlich erhöht.
Während der Aktualisierung kann es zu temporären Ausfällen von Diensten innerhalb der Domäne kommen. Aus diesem Grund sollte das Update innerhalb eines Wartungsfensters erfolgen. Grundsätzlich wird empfohlen, das Update zunächst in einer Testumgebung einzuspielen und zu testen. Die Testumgebung sollte dabei identisch zur Produktivumgebung sein. Je nach Systemgeschwindigkeit, Netzwerkanbindung und installierter Software kann das Update zwischen 20 Minuten und mehreren Stunden dauern.
In Umgebungen mit mehr als einem UCS-System muss die Update-Reihenfolge der UCS-Systeme beachtet werden:
Auf dem Domänencontroller Master wird die maßgebliche (authoritative) Version des LDAP-Verzeichnisdienstes vorgehalten, die an alle übrigen LDAP-Server der UCS-Domäne repliziert wird. Da bei Release-Updates Veränderungen an den LDAP-Schemata auftreten können, muss der Domänencontroller Master bei einem Release-Update immer als erstes System aktualisiert werden.
UCS-Installations-DVDs werden ab UCS 4 nur noch für 64-Bit-Architekturen bereitgestellt. Vorhandene 32-Bit UCS 3 Systeme können weiterhin über das Online Repository oder über Update DVDs auf UCS 4 aktualisiert werden. Die 32-Bit-Architektur wird für die gesamte UCS 4 Maintenance noch unterstützt.
Es sollte geprüft werden, ob ausreichend Festplattenplatz verfügbar ist. Eine Standard-Installation benötigt min. 6 GB Speicherplatz. Das Update benötigt je nach Umfang der vorhanden Installation ungefähr 2 GB weiteren Speicherplatz zum Herunterladen und Installieren der Pakete.
Für das Update sollte eine Anmeldung auf der lokalen Konsole des Systems mit dem Benutzer root durchgeführt und das Update dort gestartet werden.
Alternativ kann das Update über Univention Management Console durchgeführt werden.
Eine Remote-Aktualisierung über SSH wird nicht empfohlen, da dies beispielsweise bei Unterbrechung der Netzverbindung zum Abbruch des Update-Vorgangs und zu einer Beeinträchtigung des Systems führen kann.
Sollte dennoch eine Aktualisierung über eine Netzverbindung durchgeführt werden, ist sicherzustellen, dass das Update bei Unterbrechung der Netzverbindung trotzdem weiterläuft.
Hierfür können beispielsweise die Tools screen oder at eingesetzt werden, die auf allen UCS Systemrollen installiert sind.
Nach dem Update müssen die neuen oder aktualisierten Join-Skripte ausgeführt werden.
Dies kann auf zwei Wegen erfolgen:
Entweder über das UMC-Modul oder durch Aufruf des Befehls univention-run-join-scripts als Benutzer root.
Anschließend muss das UCS-System neu gestartet werden.
Bei Verwendung der UCS Core Edition (die in der Regel für Evaluationen von UCS herangezogen wird) werden anonyme Nutzungsstatistiken zur Verwendung von Univention Management Console erzeugt. Die aufgerufenen Module werden dabei von einer Instanz des Web-Traffic-Analyse-Tools Piwik protokolliert. Dies ermöglicht es Univention die Entwicklung von Univention Management Console besser auf das Kundeninteresse zuzuschneiden und Usability-Verbesserungen vorzunehmen.
Diese Protokollierung erfolgt nur bei Verwendung der UCS Core Edition. Der Lizenzstatus kann überprüft werden durch den Eintrag des Benutzermenüs in der rechten, oberen Ecke von Univention Management Console. Steht hier unter der Eintrag wird eine solche Edition verwendet. Bei Einsatz einer regulären UCS-Lizenz erfolgt keine Teilnahme an der Nutzungsstatistik.
Die Protokollierung kann unabhängig von der verwendeten Lizenz durch Setzen der Univention Configuration Registry-Variable umc/web/piwik auf false deaktiviert werden.
WebKit, Konqueror und QtWebKit werden in UCS im maintained-Zweig des Repositorys mitgeliefert, aber nicht durch Sicherheits-Updates unterstützt. WebKit wird vor allem für die Darstellung von HTML-Hilfeseiten u.ä. verwendet. Als Web-Browser sollte Firefox eingesetzt werden.
Univention Management Console verwendet für die Darstellung der Web-Oberfläche zahlreiche JavaScript- und CSS-Funktionen. Cookies müssen im Browser zugelassen sein. Die folgenden Browser werden empfohlen:
Chrome ab Version 37
Firefox ab Version 38
Internet Explorer ab Version 11
Safari und Safari Mobile ab Version 9
Auf älteren Browsern können Darstellungs- oder Performanceprobleme auftreten.
Die Changelogs mit den detaillierten Änderungsinformationen werden nur in Englisch gepflegt. Aufgeführt sind die Änderungen seit UCS 4.1-0:
All security updates issued for UCS 4.1-0 are included:
sudo. If installed and the Univention Configuration Registry variable auth/sudo is turned on, users
in the group Domain Admins are allowed to run arbitrary commands with root privileges
(Bug 37995).
chroot environment to allow the installation of a DC
Master using the profile based installation (Bug 40559).
grub/default and
grub/savedefault have been added. These variables allow the selection of the next
kernel to boot (Bug 26763).
/usr/share/univention-ldap/ldap_setup_index has been extracted. It
can be used to manage the attributes, which are indexed by the LDAP server (Bug 39866).
listener/ldap/retries
(Bug 40460).
dns/nameserver/registration/forward_zone and
dns/nameserver/registration/reverse_zone have been added.
These variables allow to disable the automatic registration as additional nameserver (Bug 40139).
username=root is given as a query parameter (Bug 40144).
dh_umc debhelper doesn't create duplicated message entries or false
warnings about fuzzy PO file headers anymore (Bug 40341).
dh_umc
debhelper have been adjusted (Bug 30520).
repository/app_center/installed even when
bypassing the App Center (Bug 40087).
appcenter/docker to =disabled. In this case, Docker Apps cannot
be installed anymore (Bug 40074).
univention-app shell has been added. It runs a command within the
environment of a Docker App (Bug 40119).
univention-app does not log the complete set of options, instead just the
name of the action being called (Bug 40287).
univention-app upgrade now correctly upgrades all packages for non
Docker Apps (Bug 40060).
joinscript_run_in_container from the Docker Apps join script helper
functions now correctly passes its arguments to univention-app shell
(Bug 40523).
repository/online/server on EC2 images to
updates.software-univention.de (Bug 40142).
umc/self-service/passwordreset/email/sender_address (Bug 40048).
umc/self-service/passwordreset/email/webserver_address (Bug 40107).
umc/self-service/passwordreset/limit/.* may be used to configure request limits
(Bug 39720).
apache2 (Bug 40061).
listener/timeout/scans (Bug 40373).
mail/postfix/policy/listfilter/use_sasl_username to no (Bug 29615).
squid/rewrite/children (Bug 40095).
sudo rules are not automatically activated on updating systems, only on new
installations (Bug 37995).
/etc/libnss-ldap.conf. Thanks to
Lutz Willek (Bug 38993).
libvirtd is no longer required and has been removed (Bug 35101).
proxy/http is configured (Bug 40030).
smbd server processes exited with a memory corruption error
(Bug 40131).
samba/register/exclude/interfaces has been added to configure samba to
ignore certain network interfaces. The interface docker0 is ignored by default
(Bug 39601).
sysvol-sync script now checks if any changes need to be synchronized at all and it uses file
locking to coordinate concurrent read and write processes (Bug 40186).
sysvol-sync script is now limited to the Policies directory
(Bug 40266).
samba4/sysvol/sync/from_upstream and
samba4/sysvol/sync/from_downstream which can be used to deactivate copying files from
other DCs (Bug 40313).
krb5.keytab
containing differing Kerberos key hashes for the same key version number. This issue has been fixed
(Bug 40434).
connector/s4/mapping/msprintconnectionpolicy is set to true. The S4
connector has to be restarted after changing this Univention Configuration variable. This
is required for UCS@school and will be set there accordingly (Bug 40298).
connector/s4/listener/disabled to true on UCS
Samba/AD DCs which run an S4 Connector in an UCS domain where multiple S4 Connector services are
registered in LDAP. This may affect a DC Master in an UCS@school environment. This doesn't affect
UCS Samba/AD DCs where the Univention Configuration Registry variable connector/s4/allow/secondary is set to true,
which comprises UCS@school Samba AD DC Slave systems (Bug 40467).
univention-ucs-translation-build-package.py has been
enhanced (Bug 40340).