Mit UCS 4.3-2 steht nun das zweite Point-Release für Univention Corporate Server (UCS) 4.3 zur Verfügung, das eine Reihe Sicherheits-Updates und diverse neue Features mitbringt.
Neu: UCS Wartungsmodus
So bietet UCS 4.3-2 einen neuen Wartungsmodus für das Einspielen von Release Updates über Univention Management Console (UMC). UMC ist die webbasierte, grafische Benutzeroberfläche für die Administration der gesamten Domäne. Wenn ein Release Update eingespielt wurde, konnte es in der Vergangenheit zu kurzfristigen Ausfällen der UMC kommen, weil bspw. die aktualisierten Dienste neu gestartet wurden. Durch den neuen Wartungsmodus wird die Zuverlässigkeit für das Einspielen der Release Updates über UMC deutlich verbessert. Außerdem können Sie nun den Fortschritt des Updates verfolgen.
Der bei der Installation von UCS zum Einsatz kommende UCS Installer wurde so erweitert, dass nun schon vor dem Start der Installation mögliche Probleme, die beim Domänenbeitritt und der Internetanbindung des Systems auftreten könnten, identifiziert und direkte Lösungsmöglichkeiten aufgezeigt werden. Damit bekommen Administratoren schon frühzeitig Hinweise auf mögliche Inkonsistenzen in der Domäne.
Erhöhte Ausfallsicherheit durch Neuerungen in SAML
Auch bei SAML (Security Assertion Markup Language), das in immer mehr Umgebungen für ein Single Sign-on eingesetzt wird, hat sich einiges getan. Bisher wurden Teile der Konfiguration im Dateisystem abgelegt, was zur Folge hatte, dass sie zwischen unterschiedlichen Systemen synchronisiert werden mussten. Ab UCS 4.3-2 werden diese Konfigurationen direkt im Verzeichnisdienst (OpenLDAP) abgelegt und somit automatisch synchronisiert, was besonders die Ausfallsicherheit in verteilten Domänen erhöht. SAML kommt u. a. beim GSuite- oder Office 365 Connector zum Einsatz, aber auch beim UMC Login.
Optimierter Sync für Active Directory Connector
Der Active Directory Connector bietet Ihnen die Möglichkeit, Benutzer und Gruppen zwischen einer UCS Domäne und einer Active Directory Domäne inkl. der Passwörter zu synchronisieren. Die Synchronisation kann dabei wahlweise uni- oder bidirektional erfolgen. Während der Synchronisation kann es vorkommen, dass einzelne Objekte nicht synchronisiert werden können, weil es bspw. Inkompatibilitäten zwischen den beiden Domänen gibt. Diese Objekte werden in sogenannten Rejects abgespeichert. Mit UCS 4.3-2 stehen nun neue Werkzeuge bereit, mit denen einzelne Rejects einfach gelöscht werden können. Im gleichen Zuge wurden weitere Werkzeuge ergänzt, mit denen einzelne Objekte oder ganze Teilbäume neu synchronisiert werden können.
App Center: Verbesserte Remote-Installationen + Push Mechanismus
Neue Funktionen gibt es auch im Univention App Center, über das Sie in einer Domäne sehr einfach Apps in Betrieb nehmen können. Die Installation einer App kann im App Center dabei entweder lokal direkt auf dem System oder remote auf einem anderen UCS System in der Domäne erfolgen. In dem Bereich der Remote-Installationen haben wir jetzt diverse Kleinigkeiten verbessert, die die Installationen vereinfachen und stabilisieren. Zusätzlich wurde die Startperformance des App Centers mit UCS 4.3-2 deutlich verbessert. Für das Experten-Tool univention-app, welches die Installation und Konfiguration auf der Kommandozeile ermöglicht, wurde eine Option logs hinzugefügt, wodurch ein direkter Zugriff auf die Docker Loginformationen erfolgt.
Ein weiteres Highlight: Docker Apps können von nun an über einen Push-Mechanismus Informationen zu Änderungen an Benutzern oder Gruppen bekommen. Dabei werden JSON-Dateien für die Änderungen im Docker Container hinterlegt. Bisher war dafür die Implementierung von Univention Directory Listener Modulen notwendig. Für Anbieter von Apps wird es dadurch noch einfacher, ihre Apps in das bestehende Benutzermanagement von UCS zu integrieren.
Mehr Details zum Push Mechanismus finden Sie in der App Provider Dokumentation.
KVM für Univention Virtual Machine Manager
Univention Virtual Machine Manager (UVMM) bietet in UCS die Möglichkeit, KVM-basierte virtuelle Maschinen zu verwalten. Wir haben den VirtIO-Treiber, der für virtualisierte Windows Systeme verwendet werden kann, aktualisiert. In der GUI von UVMM können jetzt Snapshots direkt über das Kontextmenü erstellt und die Anzeige der CPU-Auslastung kann über eine Konfiguration ausgeblendet werden. Dadurch ist die Oberfläche noch besser an die individuellen Bedürfnisse anpassbar.
OpenLDAP protokolliert kritische Meldungen direkt
Ein zentraler Bestandteil von UCS ist OpenLDAP, das die extrem schnelle und zuverlässige Speicherung von mehreren Millionen Objekten ermöglicht.
Mit UCS 4.3-2 haben wir den Standard Loglevel von OpenLDAP so umgestellt, dass kritische Meldungen immer direkt protokolliert werden. Dadurch sollten potenzielle Probleme einfacher erkannt werden können.
Sicherheit und Usability
Auch in puncto Sicherheit und Usability haben wir UCS in den vergangenen Monaten weiter oprimiert. In den meisten UCS-Umgebungen verhindern Passwortrichtlinien das erneute Verwenden des vorherigen Passworts. Sofern diese Passwortrichtlinien nicht eingesetzt werden und ein Nutzer bei der Passwortänderung dasselbe Passwort erneut eingibt, wird die Passwortsynchronisation nun auch erneut durchgeführt. Bisher war es so, dass eine Synchronisation in diesem Fall nicht erfolgt ist und dadurch auch die Einstellungen, dass das Passwort geändert werden muss, nicht zurückgenommen wurden.
Außerdem wurden diverse Security Updates in UCS 4.3-2 integriert wie beispielsweise die Aktualisierung auf Samba 4.7.8. Durch dieses Update werden Authentifizierungen über das Protokoll NTLMv1 standardmäßig nicht mehr erlaubt. Sofern noch sehr alte Systeme oder Anwendungen im Einsatz sind, die unbedingt NTLMv1 benötigen, können Sie diese Funktion per Univention Configuration Registry wieder aktivieren. Weitere wichtige Security Updates für Apache 2, OpenSSH und Systemd sind ebenfalls in UCS 4.3-2 enthalten. Und wir haben den Linux Kernel von UCS auf Version 4.9.110-8 aktualisiert. Dieser beinhaltet vor allem Security Updates und Stabilitätsupdates. Neue Microcode Updates für AMD und Intel Prozessoren wurden ebenfalls ausgeliefert.
Release Notes
Eine vollständige Liste der Änderungen zu UCS 4.3-2 inkl. aller CVE Nummern sind in unseren Release Notes zu finden.