Während der Planung der kommenden UCS-Entwicklungsstufe haben wir entschieden, einen Versionssprung zu machen und nächstes Jahr UCS 5.0 herauszugeben. Ich möchte Ihnen in diesem Beitrag einen Blick hinter die Kulissen erlauben und ein paar unserer Pläne vorstellen.
Seit dem Release von UCS 4.0 sind fast 5 Jahre vergangen. In dieser Zeit hat sich UCS stark weiterentwickelt; gleichzeitig haben wir die Features alter Versionen weiter gepflegt. Während die meisten Funktionen oft genutzt werden, gibt es inzwischen auch einige Dinge, die wir heute ganz anders oder gar nicht mehr machen würden. Mit dem Sprung auf eine neue Major-Version wollen wir nicht nur aufräumen, sondern auch einige Neuerungen umsetzen. Noch stehen wir ganz am Anfang der Entwicklung und haben noch längst nicht alle Entscheidungen getroffen – aber ganz im Sinne von „be open“ möchte ich die ersten Ziele für das Release hier mit Ihnen teilen.
Umstieg auf Debian 10 „Buster“
Mit dem neuen Release werden wir die Debian-Basis auf das im September 2019 erschienene Release 10 (Codename „Buster“) aktualisieren. Neben den damit einhergehenden Aktualisierungen für alle Pakete wollen wir weiter daran arbeiten, die Unterschiede zwischen Debian und UCS in der Basisdistribution zu verringern. Beispielsweise ist Debian – auch durch unsere Unterstützung – inzwischen von Haus aus UEFI-kompatibel; hier braucht UCS also keine Anpassungen mehr mitzubringen.
Migration auf Python 3
Wir bei Univention entwickeln den Großteil unserer Software in der Skriptsprache Python. Unter UCS 4.x nutzen wir dazu die Laufzeitumgebung von Python 2; Python 3 ist aber seit Längerem verfügbar. Damit wir und unsere Partner von den Möglichkeiten der neuen Version profitieren können, wird Python 3 für Univention-Implementierungen in UCS 5.0 der Standard sein. Die Vorbereitungen dazu finden Sie bereits in der aktuellen Version UCS 4.4, denn die Umstellung ist in einigen Paketen bereits erfolgt. Integrationen oder Projekte, die Python-basierte UCS-Schnittstellen wie UDM hooks oder Listener-Module nutzen, sollten diese bis zum Release von UCS 5.0 prüfen und die Python-3-Kompatibilität sicherstellen.
Mit der UCS Online Demo verschaffen Sie sich schnell und einfach einen Überblick über die wichtigsten Funktionen von Univention Corporate Server.
Nur noch 64 Bit
Für UCS gibt es schon seit einigen Jahren keine Installationsmedien mehr für 32-Bit-Umgebungen („i386-Pakete“); Updates unterstützen wir aber für UCS 4.x weiterhin. Mit Einführung von UCS 5.0 werden wir damit aufhören. 32-Bit-Umgebungen können durch schrittweise Neuinstallation bereits heute auf 64 Bit umsteigen. Administratoren sollten diese Umstellung abgeschlossen haben, bevor sie auf UCS 5.0 aktualisieren. Für alle 64-Bit-Umgebungen wollen wir wie gehabt auch das Upgrade bestehender Installationen unterstützen.
Nicht Genutztes weglassen
Einige der in UCS eingeführten Funktionen werden kaum oder gar nicht genutzt. Hier schauen wir uns im Detail an, welche Features wir in UCS 5.0 noch unterstützen wollen. Für einige Bereiche haben wir bereits beschlossen, dass wir sie nicht weiter unterstützen wollen:
- Zugriff auf EC2-Instanzen über UVMM: In UCS 4.x gibt es eine Erweiterung für den UCS Virtual Machine Manager (UVMM), um auch Instanzen in Amazon-AWS-kompatiblen IaaS-Umgebungen zu verwalten. Diese Integration werden wir entfernen.
- Unterstützung für NT-kompatible Domänen: In UCS 4.x finden sich Integrationen, Pakete und Skripte, um mit Samba Windows-NT-Domänen kompatibel zu betreiben. Diese werden wir für UCS 5 nicht übernehmen.
Was wird wirklich benutzt?
Wir werden sicher noch weitere Dinge aus unserer Distribution entfernen, da wir der Meinung sind, dass wir die zur Pflege nicht genutzter Funktionen anfallende Zeit besser investieren können. An dieser Stelle interessiert uns besonders Ihre Meinung zu folgender Frage:
Braucht ein Serversystem wie UCS eine KDE-Desktopumgebung?
Wir freuen uns über Ihr Feedback an unsere Produktmanager und Entwickler.
Neue Funktionen
Mit einem neuen Major Release wollen wir nicht nur Änderungen an der Basis durchführen, sondern auch Neuerungen im Managementsystem implementieren. Teile dieser Neuerungen werden wir auch für UCS 4.4 über aktualisierte Apps und Errata Updates veröffentlichen – Genaueres dazu lesen Sie hier in zukünftigen Blogartikeln.
Ausblick und Zeitplan
Die Arbeiten an UCS 5.0 haben bei uns gerade erst begonnen; für die Veröffentlichung eines Release-Datums ist es daher noch zu früh. Sicher ist aber schon jetzt, dass wir das Release nicht vor dem nächsten Univention Summit (23. und 24. Januar 2020 in Bremen) veröffentlichen werden. Bis dahin wird es noch jede Menge spannende Neuerungen für UCS 4.4 und natürlich weitere Ankündigungen für UCS 5.0 geben.
Kommentare
Jan Simons
Mit Umstieg auf Debian Buster ergibt sich die Chance, ZFS in einer Version, die auch Verschlüsselung nativ beherrscht (also v0.8+), einzusetzen. Es wäre toll, wenn UCS5 dies direkt unterstützen würde. Insgesamt wäre es aus meiner Sicht sinnvoll ZFS stärker zu integrieren, da dieses im Vergleich zu einem mdraid-LVM-LUKS-btfs/ext4-Stack deutliche Vorteile bietet.
Zum Beispiel:
* Snapshots als einfache Möglichkeit eine Wiederherstellung von Dateien auch für user unter Windows über „Vorgängerversionen“ zu ermöglichen (vgl. https://help.univention.com/t/ucs-samba-with-zfs-via-nfs-working/6865).
* Einfaches Backup von Snapshots via zfs send/receive
* Datendeduplikation
* transparente Datenkompression
* …
Ingo Steuwer
Danke für das Feedback!
Wir gehen hier i.d.R. so vor, das wir die Voreinstellungen von Debian übernehmen – wir nutzen bei der Installation ja auch den Debian Installer. Wir haben aber z.B. die Nutzung von BTRFS eingeschränkt, da es (zumindest zum damaligen Zeitpunk) Probleme im Zusammenspiel mit Docker gab und daher einige Apps nicht funktioniert hätten.
Im verlinkten Post auf help.univention.com/ geht es um ein Szenario, in dem auch Samba und VFS Module in Samba eine Rolle spielen um über CIFS-clients auf durch ZFS erstellte Snapshots zuzugreifen. Das ist spannend und wir versuchen uns das anzusehen wenn klar ist, ob ZFS auch in allen anderen Szenarien genutzt werden kann.
Jens Büttner
Braucht ein Serversystem wie UCS eine KDE-Desktopumgebung?
Wir benutzen UCS mit KDE und XRDP für virtuelle Desktops in einer ThinClient-Umgebung.
Eine einfachere Lösung für ortsunabhängiges Arbeiten haben wir noch nicht gefunden.
– Hostsysteme UCS-DC mit KVM
– virt.Server UCS für print, wiki, …
– virt.Desktop-Server UCS mit KDE, XRDP
– ThinClient Igel UD2
=> ja, bitte behalten
Ingo Steuwer
Danke für das Feedback!
Hier finde ich spannend, das der KDE Desktop für etwas verwendet wird, für das wir ihn gar nicht gedacht hatten: Wir haben einen Desktop bereit gestellt, um eine Möglichkeit zu bieten einen Server auch „interaktiv“ administrieren zu können, wenn man keinen Netzzugang hat. Beispielsweise um im „Fenster“ von Virtualbox / Vmware auch per Dateibrowser Dateisystem-ACLs setzen zu können.
Das System war also nicht (mehr) als Terminalservice für Endanwender gedacht. Da würde ich Stand heute dazu raten, XRDP auf in der Domäne eingebundenen Linux Systemen mit Fokus auf den Desktop (z.B. Ubuntu / Kubuntu mit unserem Join-Assistent) zu nutzen.
Beispiele / Infos dazu:
https://www.univention.de/produkte/univention-domain-join-assistant/
https://www.univention.de/blog-de/2019/08/how-to-web-basierter-linux-terminal-server-mit-2-faktor-authentifizierung/
Volker Groos
Ich wäre dankbar für eine KDE. Ich benutze UCS als Basis-Betriebssystem für die FHEM-Hausautomatisierung. Die Notebooks sind an die E-Unterverteilungen getackert, von daher wäre es schön, wenn ich das FHEM-Webinterface über den Firefox der KDE im Falle von Netzwerkproblemen noch erreichen könnte.
Rene 'Renne' Bartsch
ZFSoL benötigt sehr viel Arbeitsspeicher und ist deshalb für SoHo-Installationen ungeeignet. Deshalb empfehle ich BTRFS für SoHo-Installationen beizubehalten.
BTRFS-Anwendungsfälle:
– Hot-Swap kleinerer SSDs/HDDs mit Größeren (btrfs replace + btrfs filesystem resize)
– Effiziente und inkrementelle Synchronisierung der (Sub-)Volume-Snapshots auf BTRFS-formatierte Backup-Festplatten (Netzwerk oder USB) (btrfs-send | btrfs-receive)
– Beschleunigte Datenmüll/Duplikatsuche durch BTRFS-Checksummen/-Hashes
– ZSTD-Kompression zur Beschleunigung der Festplatten
– Unterstützung für SSD-TRIM
Sonstige Anwendungsfälle:
– Routerfunktion mit PPPoE und Firewall (WAN, DMZ, LAN)
– Hidden Primary Nameserver (WebUI für alle standardisierten DNS Ressource-Records)
– Kernel-Module für Virtio-FS (https://virtio-fs.gitlab.io/index.html#howto) für bessere Storage-Performance in KVMs
Rene "Renne" Bartsch
Ich empfehle auch die Wireguard VPN-Lösung zu implemtieren (https://www.wireguard.com/).
Rene "Renne" Bartsch
Das Bundesamt für Sicherheit in der Informationstechnik fordert für den E-Mail-Transport DANE (https://de.wikipedia.org/wiki/DNS-based_Authentication_of_Named_Entities). Siehe https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR03108/TR03108-1.pdf?__blob=publicationFile&v=4 Abschnitte 2.2.1 und 3.2.
Dadurch wird DANE wohl bei Schadenersatzforderungen und Bußgeldern aufgrund der DSGVO als Stand der Technik eingestuft werden.
Konfiguration:
1. DNSSEC-Signierung des Primary Nameservers aktivieren
2. DNSSEC Validierung in BIND9-Resolver aktivieren (https://kb.isc.org/docs/aa-01182)
3. DANE-Validierung in Postfix main.cf aktivieren:
smtp_dns_support_level = dnssec
smtp_tls_security_level = dane
4. TLS-Zertifikat erstellen (z.B. per Let’s Encrypt) und in Postfix konfigurieren
5. TLSA Ressource-Records der DNS-Zone hinzufügen:
apt install hash-slinger
tlsa –create –protocol tcp –port 25 –certificate /path/to/certificate –output rfc –usage 3 –selector 1 –mtype 1 |
6. Bei SAN-Zertifikaten oder zusätzlichen Protokollen/Ports die Zonengröße durch CNAME Ressource-Records minimieren
Ingo Steuwer
Vielen Dank für die Anregungen und hilfreichen technischen Hinweise!
Zwei Anmerkungen: Viele UCS Mailsysteme werden hinter SMTP/IMAP Gateways betrieben, daher ist es vor allem wichtig, DANE auf diesen Gateways zu aktivieren.
Bzgl. der technischen Schritte / Hinweise dort: Veröffentlichen Sie die Hinweise gerne auch unter https://help.univention.com/ – dort werden sie von mehr Personen gelesen und bei Bedarf erweitert. Danke!
Mario Loderer
KDE mit RDP Mega! So verdammt schnell. Kann natürlich nicht so viel wie nomachine Workstation. Ist aber definitiv schneller, ich verwende hier nomachine Workstation seit einem Jahr auf KDE Neon und das kommt auch mit allen Optimierungen an UCS mit RDP nicht ran.
Rene "Renne" Bartsch
Wegen Datenschutz und Datensicherheit empfehle ich. die Verbindung zwischen UCS und Smarthost eines E-Mail-Anbieters per ebenfalls DANE abzusichern. Die UCS Management-Interfaces sollten entsprechende Funktionen anbieten. Selbst Microsoft hat mit der Einführung von DANE-SMTP in Microsoft 365 begonnen.
Jan Eggert
Gibt es schon eine nähere Eingrenzung eines Release-Termins?
Ingo Steuwer
Hier (endlich) mehr Infos: https://www.univention.de/blog-de/2020/10/ucs-5-0-status-update-beta-release-im-dezember-2020/