Logo Effekt UCS 5.0

Während der Planung der kommenden UCS-Entwicklungsstufe haben wir entschieden, einen Versionssprung zu machen und nächstes Jahr UCS 5.0 herauszugeben. Ich möchte Ihnen in diesem Beitrag einen Blick hinter die Kulissen erlauben und ein paar unserer Pläne vorstellen.

Seit dem Release von UCS 4.0 sind fast 5 Jahre vergangen. In dieser Zeit hat sich UCS stark weiterentwickelt; gleichzeitig haben wir die Features alter Versionen weiter gepflegt. Während die meisten Funktionen oft genutzt werden, gibt es inzwischen auch einige Dinge, die wir heute ganz anders oder gar nicht mehr machen würden. Mit dem Sprung auf eine neue Major-Version wollen wir nicht nur aufräumen, sondern auch einige Neuerungen umsetzen. Noch stehen wir ganz am Anfang der Entwicklung und haben noch längst nicht alle Entscheidungen getroffen – aber ganz im Sinne von „be open“ möchte ich die ersten Ziele für das Release hier mit Ihnen teilen.

Umstieg auf Debian 10 „Buster“

Mit dem neuen Release werden wir die Debian-Basis auf das im September 2019 erschienene Release 10 (Codename „Buster“) aktualisieren. Neben den damit einhergehenden Aktualisierungen für alle Pakete wollen wir weiter daran arbeiten, die Unterschiede zwischen Debian und UCS in der Basisdistribution zu verringern. Beispielsweise ist Debian – auch durch unsere Unterstützung – inzwischen von Haus aus UEFI-kompatibel; hier braucht UCS also keine Anpassungen mehr mitzubringen.

Migration auf Python 3

Wir bei Univention entwickeln den Großteil unserer Software in der Skriptsprache Python. Unter UCS 4.x nutzen wir dazu die Laufzeitumgebung von Python 2; Python 3 ist aber seit Längerem verfügbar. Damit wir und unsere Partner von den Möglichkeiten der neuen Version profitieren können, wird Python 3 für Univention-Implementierungen in UCS 5.0 der Standard sein. Die Vorbereitungen dazu finden Sie bereits in der aktuellen Version UCS 4.4, denn die Umstellung ist in einigen Paketen bereits erfolgt. Integrationen oder Projekte, die Python-basierte UCS-Schnittstellen wie UDM hooks oder Listener-Module nutzen, sollten diese bis zum Release von UCS 5.0 prüfen und die Python-3-Kompatibilität sicherstellen.

Logo UCS (Univention Corporate Server)

Mit der UCS Online Demo verschaffen Sie sich schnell und einfach einen Überblick über die wichtigsten Funktionen von Univention Corporate Server.

Hier die Online Demo starten!

Nur noch 64 Bit

Für UCS gibt es schon seit einigen Jahren keine Installationsmedien mehr für 32-Bit-Umgebungen („i386-Pakete“); Updates unterstützen wir aber für UCS 4.x weiterhin. Mit Einführung von UCS 5.0 werden wir damit aufhören. 32-Bit-Umgebungen können durch schrittweise Neuinstallation bereits heute auf 64 Bit umsteigen. Administratoren sollten diese Umstellung abgeschlossen haben, bevor sie auf UCS 5.0 aktualisieren. Für alle 64-Bit-Umgebungen wollen wir wie gehabt auch das Upgrade bestehender Installationen unterstützen.

Nicht Genutztes weglassen

Einige der in UCS eingeführten Funktionen werden kaum oder gar nicht genutzt. Hier schauen wir uns im Detail an, welche Features wir in UCS 5.0 noch unterstützen wollen. Für einige Bereiche haben wir bereits beschlossen, dass wir sie nicht weiter unterstützen wollen:

  • Zugriff auf EC2-Instanzen über UVMM: In UCS 4.x gibt es eine Erweiterung für den UCS Virtual Machine Manager (UVMM), um auch Instanzen in Amazon-AWS-kompatiblen IaaS-Umgebungen zu verwalten. Diese Integration werden wir entfernen.
  • Unterstützung für NT-kompatible Domänen: In UCS 4.x finden sich Integrationen, Pakete und Skripte, um mit Samba Windows-NT-Domänen kompatibel zu betreiben. Diese werden wir für UCS 5 nicht übernehmen.

Was wird wirklich benutzt?

Wir werden sicher noch weitere Dinge aus unserer Distribution entfernen, da wir der Meinung sind, dass wir die zur Pflege nicht genutzter Funktionen anfallende Zeit besser investieren können. An dieser Stelle interessiert uns besonders Ihre Meinung zu folgender Frage:

Braucht ein Serversystem wie UCS eine KDE-Desktopumgebung?

Wir freuen uns über Ihr Feedback an unsere Produktmanager und Entwickler.

Neue Funktionen

Mit einem neuen Major Release wollen wir nicht nur Änderungen an der Basis durchführen, sondern auch Neuerungen im Managementsystem implementieren. Teile dieser Neuerungen werden wir auch für UCS 4.4 über aktualisierte Apps und Errata Updates veröffentlichen – Genaueres dazu lesen Sie hier in zukünftigen Blogartikeln.

Ausblick und Zeitplan

Die Arbeiten an UCS 5.0 haben bei uns gerade erst begonnen; für die Veröffentlichung eines Release-Datums ist es daher noch zu früh. Sicher ist aber schon jetzt, dass wir das Release nicht vor dem nächsten Univention Summit (23. und 24. Januar 2020 in Bremen) veröffentlichen werden. Bis dahin wird es noch jede Menge spannende Neuerungen für UCS 4.4 und natürlich weitere Ankündigungen für UCS 5.0 geben.

UCS Core Edition jetzt kostenfrei einsetzen!
Zum Downloadbereich

Kommentare

  1. Jan Simons

    18.10.2019 um 13:02 Uhr

    Mit Umstieg auf Debian Buster ergibt sich die Chance, ZFS in einer Version, die auch Verschlüsselung nativ beherrscht (also v0.8+), einzusetzen. Es wäre toll, wenn UCS5 dies direkt unterstützen würde. Insgesamt wäre es aus meiner Sicht sinnvoll ZFS stärker zu integrieren, da dieses im Vergleich zu einem mdraid-LVM-LUKS-btfs/ext4-Stack deutliche Vorteile bietet.
    Zum Beispiel:
    * Snapshots als einfache Möglichkeit eine Wiederherstellung von Dateien auch für user unter Windows über „Vorgängerversionen“ zu ermöglichen (vgl. https://help.univention.com/t/ucs-samba-with-zfs-via-nfs-working/6865).
    * Einfaches Backup von Snapshots via zfs send/receive
    * Datendeduplikation
    * transparente Datenkompression
    * …

    Antworten
    1. Ingo Steuwer

      Ingo Steuwer

      25.10.2019 um 13:22 Uhr

      Danke für das Feedback!

      Wir gehen hier i.d.R. so vor, das wir die Voreinstellungen von Debian übernehmen – wir nutzen bei der Installation ja auch den Debian Installer. Wir haben aber z.B. die Nutzung von BTRFS eingeschränkt, da es (zumindest zum damaligen Zeitpunk) Probleme im Zusammenspiel mit Docker gab und daher einige Apps nicht funktioniert hätten.

      Im verlinkten Post auf help.univention.com/ geht es um ein Szenario, in dem auch Samba und VFS Module in Samba eine Rolle spielen um über CIFS-clients auf durch ZFS erstellte Snapshots zuzugreifen. Das ist spannend und wir versuchen uns das anzusehen wenn klar ist, ob ZFS auch in allen anderen Szenarien genutzt werden kann.

      Antworten
  2. Jens Büttner

    25.10.2019 um 12:48 Uhr

    Braucht ein Serversystem wie UCS eine KDE-Desktopumgebung?
    Wir benutzen UCS mit KDE und XRDP für virtuelle Desktops in einer ThinClient-Umgebung.
    Eine einfachere Lösung für ortsunabhängiges Arbeiten haben wir noch nicht gefunden.
    – Hostsysteme UCS-DC mit KVM
    – virt.Server UCS für print, wiki, …
    – virt.Desktop-Server UCS mit KDE, XRDP
    – ThinClient Igel UD2

    => ja, bitte behalten

    Antworten
    1. Ingo Steuwer

      Ingo Steuwer

      25.10.2019 um 13:27 Uhr

      Danke für das Feedback!

      Hier finde ich spannend, das der KDE Desktop für etwas verwendet wird, für das wir ihn gar nicht gedacht hatten: Wir haben einen Desktop bereit gestellt, um eine Möglichkeit zu bieten einen Server auch „interaktiv“ administrieren zu können, wenn man keinen Netzzugang hat. Beispielsweise um im „Fenster“ von Virtualbox / Vmware auch per Dateibrowser Dateisystem-ACLs setzen zu können.

      Das System war also nicht (mehr) als Terminalservice für Endanwender gedacht. Da würde ich Stand heute dazu raten, XRDP auf in der Domäne eingebundenen Linux Systemen mit Fokus auf den Desktop (z.B. Ubuntu / Kubuntu mit unserem Join-Assistent) zu nutzen.

      Beispiele / Infos dazu:
      https://www.univention.de/produkte/univention-domain-join-assistant/
      https://www.univention.de/blog-de/2019/08/how-to-web-basierter-linux-terminal-server-mit-2-faktor-authentifizierung/

      Antworten
  3. Volker Groos

    30.12.2019 um 23:40 Uhr

    Ich wäre dankbar für eine KDE. Ich benutze UCS als Basis-Betriebssystem für die FHEM-Hausautomatisierung. Die Notebooks sind an die E-Unterverteilungen getackert, von daher wäre es schön, wenn ich das FHEM-Webinterface über den Firefox der KDE im Falle von Netzwerkproblemen noch erreichen könnte.

    Antworten
  4. Rene 'Renne' Bartsch

    03.03.2020 um 21:10 Uhr

    ZFSoL benötigt sehr viel Arbeitsspeicher und ist deshalb für SoHo-Installationen ungeeignet. Deshalb empfehle ich BTRFS für SoHo-Installationen beizubehalten.

    BTRFS-Anwendungsfälle:
    – Hot-Swap kleinerer SSDs/HDDs mit Größeren (btrfs replace + btrfs filesystem resize)
    – Effiziente und inkrementelle Synchronisierung der (Sub-)Volume-Snapshots auf BTRFS-formatierte Backup-Festplatten (Netzwerk oder USB) (btrfs-send | btrfs-receive)
    – Beschleunigte Datenmüll/Duplikatsuche durch BTRFS-Checksummen/-Hashes
    – ZSTD-Kompression zur Beschleunigung der Festplatten
    – Unterstützung für SSD-TRIM

    Sonstige Anwendungsfälle:
    – Routerfunktion mit PPPoE und Firewall (WAN, DMZ, LAN)
    – Hidden Primary Nameserver (WebUI für alle standardisierten DNS Ressource-Records)
    – Kernel-Module für Virtio-FS (https://virtio-fs.gitlab.io/index.html#howto) für bessere Storage-Performance in KVMs

    Antworten
  5. Rene "Renne" Bartsch

    03.03.2020 um 21:55 Uhr

    Ich empfehle auch die Wireguard VPN-Lösung zu implemtieren (https://www.wireguard.com/).

    Antworten
  6. Rene "Renne" Bartsch

    06.03.2020 um 23:30 Uhr

    Das Bundesamt für Sicherheit in der Informationstechnik fordert für den E-Mail-Transport DANE (https://de.wikipedia.org/wiki/DNS-based_Authentication_of_Named_Entities). Siehe https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR03108/TR03108-1.pdf?__blob=publicationFile&v=4 Abschnitte 2.2.1 und 3.2.
    Dadurch wird DANE wohl bei Schadenersatzforderungen und Bußgeldern aufgrund der DSGVO als Stand der Technik eingestuft werden.

    Konfiguration:
    1. DNSSEC-Signierung des Primary Nameservers aktivieren
    2. DNSSEC Validierung in BIND9-Resolver aktivieren (https://kb.isc.org/docs/aa-01182)
    3. DANE-Validierung in Postfix main.cf aktivieren:
    smtp_dns_support_level = dnssec
    smtp_tls_security_level = dane
    4. TLS-Zertifikat erstellen (z.B. per Let’s Encrypt) und in Postfix konfigurieren
    5. TLSA Ressource-Records der DNS-Zone hinzufügen:
    apt install hash-slinger
    tlsa –create –protocol tcp –port 25 –certificate /path/to/certificate –output rfc –usage 3 –selector 1 –mtype 1 |
    6. Bei SAN-Zertifikaten oder zusätzlichen Protokollen/Ports die Zonengröße durch CNAME Ressource-Records minimieren

    Antworten
  7. Ingo Steuwer

    Ingo Steuwer

    17.03.2020 um 11:01 Uhr

    Vielen Dank für die Anregungen und hilfreichen technischen Hinweise!

    Zwei Anmerkungen: Viele UCS Mailsysteme werden hinter SMTP/IMAP Gateways betrieben, daher ist es vor allem wichtig, DANE auf diesen Gateways zu aktivieren.

    Bzgl. der technischen Schritte / Hinweise dort: Veröffentlichen Sie die Hinweise gerne auch unter https://help.univention.com/ – dort werden sie von mehr Personen gelesen und bei Bedarf erweitert. Danke!

    Antworten
  8. Mario Loderer

    17.04.2020 um 17:46 Uhr

    KDE mit RDP Mega! So verdammt schnell. Kann natürlich nicht so viel wie nomachine Workstation. Ist aber definitiv schneller, ich verwende hier nomachine Workstation seit einem Jahr auf KDE Neon und das kommt auch mit allen Optimierungen an UCS mit RDP nicht ran.

    Antworten
  9. Rene "Renne" Bartsch

    27.04.2020 um 18:01 Uhr

    Wegen Datenschutz und Datensicherheit empfehle ich. die Verbindung zwischen UCS und Smarthost eines E-Mail-Anbieters per ebenfalls DANE abzusichern. Die UCS Management-Interfaces sollten entsprechende Funktionen anbieten. Selbst Microsoft hat mit der Einführung von DANE-SMTP in Microsoft 365 begonnen.

    Antworten
  10. Jan Eggert

    01.10.2020 um 08:27 Uhr

    Gibt es schon eine nähere Eingrenzung eines Release-Termins?

    Antworten
  11. Ingo Steuwer

    Ingo Steuwer

    16.10.2020 um 13:57 Uhr

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert