Mit UCS 4.3 haben wir nicht nur zahlreiche Sicherheitsupdates eingespielt – ganz aktuell das Samba 4 Update vom 13. März – und hunderte von Bugs geschlossen. Wir haben auch einen Schwerpunkt auf eine deutlich höhere Performance beim Datenimport und mehr Komfort bei der Administration z. B. von Portalseiten oder Nutzern umgesetzt. Neben einer effizienten und einfachen Verwaltung von UCS, war es uns auch wichtig, für die Nutzer ein positives Erlebnis beim Umgang mit UCS zu schaffen. Hier zu nennende Meilensteine sind sicherlich ein Single Sign-on bei der Anmeldung an Windows- oder Linux-Desktops, die gleichzeitig auch den Zugriff auf die Univention Management Console, Office 365 und ownCloud oder Nextcloud ermöglicht, um nur eine der Verbesserungen zu nennen.

Wir sind mit UCS 4.3 einen weiteren konsequenten Schritt bei der Entwicklung von UCS zu einer offenen Plattform für den Betrieb und das Management von IT in Unternehmen gegangen – egal ob es sich dabei um kleine Organisationen mit nur wenigen Nutzern oder um Organisationen mit Hunderttausend Anwendern handelt.

Einfacher geht es nicht – Mit Drag-and-Drop und Visual Composer Online-Portal managen

Die seit UCS 4.2 veröffentlichten Online-Portale, über die Administratoren den Anwendern einen einfachen Zugriff auf Services der IT-Umgebung geben können, sind ein voller Erfolg und bei immer mehr Organisationen im Einsatz. Die Anpassung einer Portalseite zum Beispiel durch das Hinzufügen neuer Einträge oder die Anpassung des Layouts an das Organisationseigene Design, war bisher zwar auch schon möglich, allerdings war die Umsetzung nicht immer ganz intuitiv.

Mit UCS 4.3 können Administratoren das Portal nun direkt mit Hilfe eines „Visual Composers“ administrieren, mit dem sie sofort sehen, was sie verändern. Der Komfort geht sogar so weit, dass die Reihenfolge der Kacheln im Portal via Drag-and-Drop konfiguriert werden kann. Weitere Einstellungen können ebenfalls komfortabel über ein UMC Modul vorgenommen werden.

Neu ist auch, dass Administratoren Portaleinträge nur für bestimmte Gruppen freischalten können. Dadurch können sehr einfach individuelle und benutzergruppenbezogene Portale definiert und administriert werden. Stellen Sie sich einen heterogen organisierten Konzern mit verschiedensten Fachabteilungen oder unterschiedlichen Standorten vor. Hier kann der Administrator von UCS nun einen maßgeschneiderten Zugriff auf genau die IT-Services und Ressourcen bieten, die benötigt werden. Genauso Schulträger, die den Nutzern der Grundschulen in ihrem Bezirk natürlich ganz andere IT-Dienste zur Verfügung stellen müssen, als denen der Gymnasien vor Ort.

Damit wird UCS 4.3 noch einfacher zum zentralen Portal für den Zugriff auf die Organisations-IT. Dank der einfachen Administrierbarkeit für kleine Organisationen genauso wie für große.

Active Directory Connector für Windows Server bis Version 2016

Administratoren können mit dem UCS-Tool „Active Directory Connector“ Windows-Server bis Version 2016 verwalten. Durch Beitritt von UCS zu einer Active Directory-Domäne können sie zahlreiche Open Source-Anwendungen – wie beispielsweise ownCloud, Nextcloud, Mattermost und Kopano – in Windows-Umgebungen zur Verfügung stellen.

Usability-Vereinfachungen im Managementsystem

Das Identity-Managementsystem bildet schon immer das Herzstück von UCS, um digitale Identitäten zentral zu verwalten. Dafür können die Administratoren den jeweiligen Benutzern über die UMC bestimmte Eigenschaften zuordnen, um z. B. benötigte Zugriffsrechte oder Gruppenzugehörigkeiten zu verleihen. Im Laufe der Zeit sind diese Eigenschaften, z. B. Samba, Kerberos, POSIX oder Mail immer mehr geworden und es war gerade neuen Nutzern von UCS nicht sofort klar, was hinter diesen Eigenschaften eigentlich genau stand. Zudem kam es zu Abhängigkeiten untereinander, die zu Problemen führen konnten.
Mit UCS 4.3 haben wir für die Zuordnung von Benutzereigenschaften ein deutlich vereinfachtes System umgesetzt, mit dem alle benötigten Eigenschaften einfach den Benutzern zugeordnet werden können.

So existieren mit UCS 4.3 nur noch drei unterschiedliche Benutzertypen:

  1. Benutzer, denen sämtliche Eigenschaften zugeordnet sind.
  2. Einfache Authentisierungskonten, diese können sich lediglich mit dem LDAP verbinden, haben aber keine Möglichkeit sich auch anderweitig anzumelden.
  3. Reine Adressbucheinträge, in denen neben internen auch externe Identitäten gepflegt werden können, um z. B. Adresslisten zu erstellen.

Auch wenn Sie bereits eine Vorgängerversion von UCS im Betrieb haben, ist diese neue Funktionalität einfach einsetzbar, da während des Updates auf UCS 4.3 die vorhandenen Einträge anhand der zur Verfügung stehenden Informationen zu den drei neuen Typen migriert und die Nutzer automatisch zugeordnet werden.

Im Zuge der Vereinheitlichung dieser Optionen war es uns auch möglich, die zwei Eigenschaften für gesperrte und deaktivierte Benutzer zu vereinfachen.

Neu in UCS: Integration des Attributs memberOf

Eine technische Neuerung ist die Integration des Attributs memberOf. Viele Anwendungen, die das UCS LDAP-Verzeichnis verwenden, versuchen die Gruppeneigenschaften über das Attribut memberOf abzufragen. Dieses Attribut konnte bisher auf UCS optional aktiviert werden. Seit UCS 4.3 ist dies standardmäßig aktiviert.

Docker und andere Apps für UCS 4.3

Das Univention App Center unterstützt weiterhin sowohl die Installation von nativen Paketen von Apps direkt in das UCS-System als auch die Installation und Konfiguration von Docker-Images der Apps. Für diese beiden unterschiedliche Verfahren wurden bisher unterschiedliche Bibliotheken mit unterschiedlichen Featuresets verwendet. Dies wurde nun mit UCS 4.3 vereinheitlicht, was die Pflege dieser Bibliothek vereinfacht.
Zahlreiche der Apps aus dem Univention App Center sind mit dem Release bereits für UCS 4.3 verfügbar. Unter anderem natürlich alle auf Docker-basierenden Apps. Weitere Apps befinden sich momentan im Freigabeprozess durch die jeweiligen Hersteller und werden in den nächsten Wochen für UCS 4.3 veröffentlicht.

Verbindung von SAML mit Kerberos für mehr Single Sign-on

Bereits seit UCS 4.2 wird das Single Sign-on-Protokoll SAML unterstützt und auch Out-of-the-Box konfiguriert.

Mit UCS 4.3 ist die SAML-Authentifizierung nun mit der Kerberos-Anmeldung verknüpft. Das bedeutet, dass ein Benutzer, der sich zum Beispiel an Windows oder Linux (Ubuntu) anmeldet und danach auf Web-Applikationen wie die Univention Management Console, Office 365 oder ownCloud oder Nextcloud zugreifen möchte, sich nicht mehr für diese erneut anmelden muss, da die Anmeldung an angebundene Apps automatisch erfolgen kann. Diese Single Sign-on-Mechanismen machen für die Anwender die Nutzung der Unternehmens-IT äußerst komfortabel, da sie sich nicht unterschiedliche Passwörter merken und mehrere Anmeldungsschritte durchführen müssen.

Neues Samba für massive Performance-Verbesserungen

Logo SambaSamba wurde in UCS 4.3 auf Version 4.7 aktualisiert und gleichzeitig haben wir auch das aktuelle Sicherheitsupdate vom 13. März integriert, mit dem eine kritische Sicherheitslücke von Samba bei der Zugangskontrolle für Berechtigungen vom Ändern von Passwörtern geschlossen wurde. Samba 4.7 bringt wichtige Verbesserungen im Bereich des Active Directory Domänencontrollers. So tritt durch die Multi-Process-Implementierung des Samba LDAP-Servers eine deutliche Performance-Verbesserung ein. In internen Tests konnten wir eine Beschleunigung um einen 4fachen Faktor nachweisen. Auch die Replikation von Gruppenmitgliedschaften kommt nun mit deutlich weniger Ressourcen aus. Beide Prozesse bringen vor allem in großen Umgebungen wie zum Beispiel von Schulträgern deutliche Verbesserungen mit.

Mit UCS 4.3 ist es nicht mehr möglich Windows NT-basierte Domänen bereitzustellen. Die alten sogenannten „Samba 3 Domänen“ müssen vor dem Update auf UCS 4.3 auf eine Samba Active Directory Domäne / Samba 4 aktualisiert werden.

Einbindung von Debian 9 bringt 20.000 aktualisierte Basispakete für UCS 4.3

Auch an der technischen Basis von UCS 4.3 hat sich einiges getan. So basiert UCS nun auf Debian 9 (Stretch), dies bedeutet eine Aktualisierung fast aller Pakete in UCS. Zusätzlich ist es uns nun gelungen auf den Standard Debian Kernel zu wechseln. Lediglich für die Unterstützung von UEFI Secure Boot wird der Kernel zusätzlich noch signiert. Das erhöht insgesamt die Kompatibilität zu Hard- und Softwaresystemen, die für Debian zertifiziert sind.

Einige Beispiele für Neuerungen, die die Einbindung von Debian Stretch mit sich bringt

Höhere Sicherheit

Das Kompilieren von „position independent executables“ (PIE, positionsunabhängige Binärdateien) ist neue Standardeinstellung des GNU GCC-6 Kompilers, so dass die Mehrzahl aller ausführbaren Dateien jetzt Address space layout randomization (ASLR) unterstützt, was eine Reihe von Exploits zur Ausnutzung von Schwachstellen deutlich schwieriger macht. Außerdem verwirft APT jetzt standardmäßig schwächere Prüfsummen (z.B. SHA1). Stretch enthält den „modernen“ Zweig von GnuPG in dem gnupg-Paket, der u. a. Kryptographie über elliptische Kurven, bessere Standardeinstellungen, eine modularere Architektur und verbesserte Smartcard-Unterstützung enthält.

Namensvergabe

Der Installer und das neu installierte System von Debian 9 nutzen eine neue Methode zur Festlegung der Namen von Netzwerkschnittstellen. Das neue Verfahren nutzt mehr Daten als Grundlage, um ein reproduzierbareres Ergebnis zu erzielen und verwendet die von Firmware bzw. BIOS bereitgestellten Index-Nummern.

Eine weitere wichtige Aktualisierung im Bereich der Basispakete ist die Ersetzung der MySQL-Datenbank durch MariaDB und die Ablösung von Nagios 3 durch Nagios 4 als Standard Monitoring System.

Updates für den Mailstack

Der Mailstack in UCS ist tausendfach im bei Anwendern im Einsatz. Entweder direkt, wenn UCS selber als Mailserver eingesetzt wird oder wenn auf UCS eine andere Groupware, wie beispielsweise Open-Xchange, Kopano, Tine 2.0 oder EGroupware läuft, welche den Mailstack von UCS im Hintergrund verwendet.

Administratoren können über eine eigene Datei umgebungsspezifische Konfigurationen konfigurieren und müssen nicht mehr die von UCS bereitgestellte Templates selber überschreiben. Das reduziert die Aufwände für die Administration bei anstehenden Updates.

Mit UCS 4.3 wird der Cyrus-IMAP Server nicht mehr unterstützt, sondern nur noch Dovecot. Nutzer des Cyrus-IMAP-Server müssen daher vor dem Update auf UCS 4.3 zum Dovecot IMAP-Server migrieren. Außerdem ist Postfix von Version 2 auf Version 3 aktualisiert worden. Dadurch landen viele Detailverbesserungen im Bereich des Mail Transfer Agent in UCS 4.3.

 


 

Wir sind sehr gespannt, wie Sie das neue UCS 4.3 finden, welche Weiterentwicklungen Sie für besonders gelungen und welche Sie eher für nicht so gut halten. Und selbstverständlich freuen wir uns extrem über jeden Hinweis zu weiteren Verbesserungen.

Mehr Informationen und eine Übersicht über die Release Highlights finden Sie in unseren Release Notes.

Herunterladen oder als virtuelle Appliance starten, können Sie das neue UCS 4.3 als kostenlose Core Edition aus unserem Downloadbereich.

Zum Downloadbereich

 

Stefan Gohmann beschäftigt sich seit 1998 mit Linux. Er studierte an der Fachhochschule Ostfriesland in Emden Informatik und schrieb seine Diplomarbeit bei der Utimaco Safeware AG, wo er anschließend als Softwareentwickler arbeitete. Seit 2003 arbeitet er bei Univention. Seit 2004 leitet er die Softwareentwicklung und den Support bei Univention.

Was ist Ihre Meinung? Hinterlassen Sie einen Kommentar!

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.