Das vierte Point Release ist da: Neben Bugfixes und Korrekturen haben wir einige neue Features implementiert und zahlreiche Apps verbessert. So führt UCS 4.4-4 eine Protokollierung der Anmeldungen am LDAP-Server ein, was vorher nur über Samba 4 möglich war. Außerdem haben wir die Sicherheit, Performance und Kompatibilität des AD Connectors, das Univention App Center und die Portal-Anmeldung verbessert. Dieser Artikel wirft einen Blick hinter die Kulissen und stellt die wichtigsten Neuerungen vor.

LDAP-Anmeldungen protokollieren

Gibt es in Ihrer UCS-Umgebung Accounts, die nicht mehr genutzt werden und daher deaktiviert werden können? Oder gab es in der Vergangenheit (unschöne) Vorfälle und Sie wollten nachschauen, welche Anwender*innen sich zu einem bestimmten Zeitpunkt authentifiziert haben? Dann haben wir gute Neuigkeiten für Sie: UCS 4.4-4 kann jetzt die LDAP-Anmeldung (technisch: LDAP BIND) protokollieren und anzeigen, wann die letzte Authentifizierung eines Benutzers stattgefunden hat.
Um etwa herauszufinden, wann sich jemand zuletzt am SAML-IdP angemeldet hat, muss das Lastbind-Overlay-Modul in den LDAP-Servern aktiviert werden. Ein mitgeliefertes Skript, das sich z. B. für den Einsatz in Cronjobs eignet, sammelt dann die verschiedenen Zeitstempel ein und speichert jeweils den jüngsten davon am Benutzer-Objekt auf dem DC Master ab. Administratoren können die Information in Skripten auswerten oder die Anzeige in der Univention Management Console aktivieren.

Screenshot: UCS 4.4-4 - Lastbind

Das neue Feature ist in der Voreinstellung deaktiviert, und Admins müssen das Protokollieren aktiv einschalten. Dabei gilt es zu beachten, dass Endanwender*innen in der Regel über die Datenerhebung informiert werden und dieser zustimmen müssen. Was die technische Seite betrifft, gibt es zwei Punkte zu berücksichtigen:

  1. Alle LDAP-Server einer UCS-Umgebung müssen vorher auf UCS 4.4-4 aktualisiert werden.
  2. Die Last auf den LDAP-Servern steigt, denn Authentifizierungen sind nicht mehr nur lesende Operationen, sondern wegen der Einträge in die Datenbank auch schreibende.

Beachten Sie, dass sich Samba 4 nach wie vor um alle Anmeldungen aus dem Windows-/Kerberos-Umfeld kümmert und das Anmelden getrennt von der LDAP-Authentifizierung protokolliert.

AD-Verbindung: Windows Server 2019 und Unterstützung von Kerberos Hashes

Die UCS App Active Directory-Verbindung, die Sie aus dem App Center installieren können, führt ein bestehendes AD und eine UCS-Domäne zusammen und gleicht damit automatisch Daten zwischen Microsoft Windows Active Directory und Univention Corporate Server ab. Die neue Version, die wir mit UCS 4.4-4 ausliefern, unterstützt nun auch offiziell Windows Server 2019. Da der Connector Standard-Schnittstellen verwendet, musste unser Entwicklungsteam den Connector selbst nicht verändern, hat aber zusätzliche automatische Tests eingefügt und die UCS-Dokumentation entsprechend angepasst.
Das Synchronisieren von Änderungen an Gruppen mit vielen Mitgliedern läuft nun deutlich schneller als unter 4.4-3, da nicht länger die vollständige Liste der Gruppenmitglieder übertragen wird. Stattdessen findet ein Abgleich der Änderungen statt, das heißt, der AD Connector übermittelt nur Informationen über neue oder entfernte Mitglieder. In dem Zusammenhang haben unsere Entwickler auch einen Fehler in der Speicherverwaltung (ein Memory Leak) beseitigt.
Die wichtigste Neuerung betrifft allerdings das Synchronisieren von Passwort-Hashes von einer Microsoft Active Directory-Domäne mit einer UCS-Domäne, was deutlich sicherer geworden ist. Während die Vorgängerversion ausschließlich NTLM-Hashes abgleichen konnte, liest der AD Connector von UCS 4.4-4 nun auch neuere Hashes aus, die Kerberos Keys. Die Umsetzung des neuen Feature war recht komplex, da UCS ganz unterschiedlich gehashte Kennwörter an mehreren Stellen speichert. Der LDAP-Verzeichnisdienst muss diese auslesen können, und auch Samba 4 haben unsere Entwickler*innen gepatcht, damit die Synchronisation gelingt.
Auch dieses neue Feature ist in der Voreinstellung deaktiviert; Admins müssen es explizit einschalten. Dazu ist es unbedingt erforderlich, alle Systeme in der UCS-Umgebung auf UCS 4.4-4 zu aktualisieren. Andernfalls gelingt die Synchronisierung nicht, oder Benutzer*innen können sich nicht mehr anmelden.


Logo UCS (Univention Corporate Server)

UCS 4.4-4 jetzt herunterladen

UCS steht Ihnen als ISO-Image oder als vorinstalliertes VMware-, VirtualBox-, Hyper-V- und KVM-Image zum Download bereit.

Zum UCS 4.4-4 Download


Optimiert: Installation von Apps, Konfiguration der Anmeldemaske

Das Univention App Center startet nun schneller und wir haben die Nutzerführung verbessert. Während der Installation einer neuen App erhalten Admins beispielsweise nun Informationen zu der Anzahl von Schritten, die zur Konfiguration erforderlich sind. Die unterschiedlichen Meldungen, z. B. die Hinweise des App-Hersteller und des App Centers selbst, Warnungen oder Fehler erscheinen jetzt in einem einheitlichen, klareren Look & Feel. Teilweise haben wir die Meldungen auch zusammengefasst.

Screenshot: UCS 4.4-4 - App Center Dialog

Screenshot: UCS 4.4-4 - App Center Dialog

Außerdem hat der Anmeldebildschirm des UCS-Portals nun neue Konfigurationsoptionen. Administrator*inn*en können die Links im SAML-Login individualisieren:

  • Der Tooltip über dem Link Wie melde ich mich an? kann nun einen eigenen Text erhalten.
  • Der Link zu Passwort vergessen? führt zur App Self Service, und Benutzer*innen können das Kennwort zurücksetzen.

Unsere Entwickler haben ebenfalls die Benutzerführung verbessert für den Fall, dass Anwender*innen ein abgelaufenes Passwort ändern möchten.

Liste der Korrekturen: Highlights

Für UCS 4.4 gibt es bislang 499 Errata, die wir seit dem initialen Release veröffentlicht haben. Die vollständige Liste finden Sie online – hier sind ein paar Highlights der 113 Korrekturen und Features, die wir für die neue Version 4.4-4 umgesetzt haben (Nummer des Errata Updates in Klammern):

  • Sicherheit: Bugfixes für Samba 4 (386 und 424), Microcode für einige Intel-CPUs (401), Kernel-Update (480)
  • Backend: Neuer UMC-Check, ob die UCR-Variable ldap/server/name auf DC Master zeigt (431), zufällige Auswahl des LDAP-Servers für das Skript ldap-group-to-file (432, 433), Abfragelimit für das Admin Diary (444), LDAP Lastbind-Overlay-Modul aktivieren (497 usw.)
  • App Center: Prüfung des Plattenplatz vor Installation (392), schnellerer Start (405), bessere und einheitliche Anzeige von Warnungen und Fehlern (419, 455)
  • Samba/S4-Connector: Synchronisieren von zusätzlichen AD Policies (407), Speicherleck (422), Synchronisieren von Kerberos-Hashes (495)
  • AD Connector: schnellerer Abgleich von Gruppenänderungen (425), neuer Filter für Benutzer (429), Synchronisieren von Kerberos-Hashes (494)
  • Portal/Login/SAML: Link zum Ändern des Kennworts (408), Konfigurierbarkeit des Links Passwort vergessen? (441), individueller Text für Wie melde ich mich an? (442), Konfigurieren von Links zur Anmeldung ohne SSO (443), verbessertes SAML-Session-Handling (442)
  • UDM REST API: Zugriff auf .../schema und .../openapi.json in der Voreinstellung nur noch per Passwort (440)

Release Notes von UCS 4.4-4

 

Unser Entwicklungsteam hat neben den Performance-Verbesserungen und Sicherheits-Updates natürlich die kommende Version 5.0 nicht aus den Augen verloren. Wir bereiten das neue Release kontinuierlich weiter vor. Wenn Sie Wünsche und Verbesserungsvorschläge haben, freuen wir uns wie immer über Feedback – hier im Blog oder auf help.univention.de.

 

UCS Core Edition jetzt kostenfrei einsetzen!

Zum Downloadbereich

Ingo Steuwer beschäftigt sich seit 1999 mit Linux und ist seit 2004 bei Univention. Als Head of Product Management liegt sein Fokus auf der Weiterentwicklung von UCS.

Was ist Ihre Meinung? Hinterlassen Sie einen Kommentar!

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.