Das siebte Point Release ist da: UCS 4.4.-7 bringt Verbesserungen und Neuerungen, unter anderem für den Self Service, das Portal, Samba und den S4 Connector. Die wichtigsten Veränderungen möchte ich Ihnen in diesem Artikel vorstellen.
UCS Self Service, Single Sign-on via SAML
Ein großer Vorteil von Univention Corporate Server ist, dass sich Benutzer*innen an ganz unterschiedlichen Rechnern und Diensten der UCS-Domäne mit ihrem Benutzernamen und Passwort anmelden können. Bereits mit dem ersten 4.4-Release haben wir die neue App Self Service eingeführt, die es Anwendern erlaubt, selbstständig und ohne Administrator-Unterstützung Änderungen an ihren persönlichen Daten vorzunehmen. Dazu gehören das Ändern und Zurücksetzen des Passwortes sowie das Bearbeiten der eigenen Kontaktinformationen.
In der neuen UCS-Version 4.4-7 funktioniert das nun auch, wenn Benutzer*innen per Single Sign-on (SSO) via SAML angemeldet sind. In diesem Zusammenhang haben wir die Sicherheit verbessert – schließlich handelt es sich bei SSO um einen zentralen Service, der mit einer einmaligen Anmeldung Zugriff auf sämtliche freigegebenen Programme und Dienste ermöglicht. Anwender*innen mit einem abgelaufenen Kennwort, die ein falsches Passwort im Dialog zum Passwortwechsel eingegeben haben, erhielten bislang eine entsprechende Meldung. So konnten Unbefugte herausfinden, ob ein Passwort für ein bestimmtes Benutzerkonto abgelaufen war. Diese Sicherheitslücke haben wir mit dem neuen Release erfolgreich geschlossen. Außerdem erhalten bestimmte Dateien, die der Listener auf dem Server erzeugt hat, jetzt korrekte Dateiberechtigungen. So sind sie für den SAML-Dienst verfügbar, aber nicht für andere Benutzer*innen lesbar.
Ein Cookie-Banner für das UCS-Portal
Cookies dürfen nur dann auf den Rechnern der Benutzer*innen gespeichert werden, wenn diese ausdrücklich zugestimmt haben – das hat der Europäische Gerichtshof in Luxemburg letztes Jahr festgelegt. Es reicht also nicht mehr aus, die Besucher*innen einer Website einfach nur über die Verwendung von Cookies zu informieren. Da auch das Portal und die Management Console von Univention Corporate Server Cookies nutzen, haben wir mit Version 4.4-7 ein Banner eingeführt, das die Zustimmung der Benutzer*innen einholt.
Der Hinweis zur Verwendung von Cookies erscheint nun in der neuen UCS-Version
UCS-Admins aktivieren das Banner über die UCR-Variable umc/cookie-banner/show. Wir haben zwei weitere Variablen implementiert, die den angezeigten Text definieren. Den deutschen Cookie-Hinweis definiert umc/cookie-banner/text/de="Deutscher Text" und den englischen setzt die Variable umc/cookie-banner/text/en="English Text".
Der Hinweistext zur Verwendung von Cookies lässt sich in UCS 4.4-7 einfach und individuell anpassen
Samba, S4 Connector und AD Connector
Wir haben die Samba-Version von 4.10.1 auf 4.10.18 aktualisiert, was die Zerologon-Sicherheitslücke (CVE-2020-1472) schließt. Diese Schwachstelle kann es Angreifern ermöglichen, die Kontrolle über einen AD Domain Controller zu übernehmen. Nach dem Update auf die neue Samba-Version können Admins die Option Secure Channel in der Samba-Konfiguration smb.conf für einzelne UCS-Systeme deaktivieren. Es ist damit nicht länger nötig, die Option global abzuschalten.
Weiterhin haben wir Samba und den S4 Connector so angepasst, dass das Abschalten der veralteten DES-Verschlüsselung keine Rejects mehr beim Synchronisieren erzeugt, wenn ein neues Konto erstellt oder das Passwort eines bestehenden geändert wird. Im S4 Connector und im AD Connector haben wir außerdem ein Problem behoben, bei dem nach dem Verschieben oder Deaktivieren von Benutzerobjekten weiterhin Gruppenzuordnungen erhalten geblieben sind, die nicht mehr relevant waren.
Univention Corporate Server 4.4-7 steht Ihnen als ISO-Image zur Installation sowie als bereits vorinstalliertes, virtuelles Maschinenimage zur Verfügung.
Mehr Plattenplatz: alte Kernel-Versionen und Backups
Jeder neue Betriebssystem-Kernel benötigt Platz auf der Festplatte und alte Versionen werden bei einem Update nicht automatisch entfernt. Um UCS-Admins die Suche nach den entsprechenden Paketen im Paketmanager zu ersparen, gibt es nun den Befehl univention-prune-kernels, der aufräumt. Das Python-Skript sucht veraltete und nicht länger benötigte Kernel-Versionen auf dem UCS-System und entfernt diese. Der aktuell laufende Kernel wird dabei selbstverständlich nicht angetastet.
Um mehr Platz auf der Festplatte geht es auch im Fix unseres Backup-Skriptes, das unter anderem täglich eine Sicherung von OpenLDAP und Samba erstellt. In der Voreinstellung werden keine alten Backups gelöscht. Das bedeutet: je nach Größe des Verzeichnisdienstes kann über einen längeren Zeitraum eine recht große Datenmenge anfallen. In der Vergangenheit kam es daher vor, dass Admins Meldungen über knapp gewordenen Plattenplatz erhielten. UCS 4.4-7 setzt für die UCR-Variable namens backup/clean/max_age einen Standardwert, der eine Obergrenze für das Alter der Sicherungskopien definiert. Auf neuen UCS-Installationen ist diese bereits auf 365 (Tage) gesetzt; auf aktualisierten Systemen können Admins den Grenzwert explizit selbst einrichten.
Weitere Verbesserungen: Stabilität und Sicherheitsupdates
Wir haben den Join-Vorgang in großen UCS-Umgebungen verbessert. Davon profitieren vor allem Installationen mit 50.000 Accounts und mehr. Der Timeout beim Warten auf die Synchronisation eines bestimmten Systembenutzers ist nun auf einen Standardwert von 3 Stunden gesetzt; längere oder kürzere Grenzwerte richten Admins über die UCR-Variable create/spn/account/timeout ein.
Für Kommandozeilenfans haben wir einige Befehle überarbeitet, die bei Wartungsarbeiten auf der Shell zum Einsatz kommen. Das Tool univention-run-diagnostic-checks beispielsweise führt nun alle Checks aus, wenn Admins keine Parameter angeben. Nach dem Aufruf ohne weitere Optionen erfragt das Tool die Anmeldeinformationen. Wer sich einen Überblick über die verfügbaren Checks verschaffen möchte, ruft den Befehl mit dem Schalter -t list auf; auch diese Variante benötigt die Credentials. Keine Anmeldeinformationen benötigt hingegen der Parameter --help, der die verfügbaren Checks nicht mehr auflistet.
Das Tool univention-run-join-scripts prüft nun die übergebenen Parameter sorgfältiger und startet nicht länger alle Skripte, wenn ein Tippfehler im Aufruf enthalten ist.
Ausblick: Skalierbarkeit und ACLs
Ein paar Features haben es nicht ins 4.4-7-Release geschafft, erscheinen aber mit einigen der nächsten Errata-Updates und stehen gesammelt in Version 4.4-8 nächstes Frühjahr zur Verfügung. Da die folgenden Neuerungen vor allem in großen Umgebungen von Bedeutung sind, wollen wir sie schon jetzt vorstellen:
- Das UCS-Managementsystem kann verfügbare Prozessorkerne künftig deutlich besser ausnutzen, was zur Folge hat, dass das UCS-Portal viel mehr Anmeldungen pro Sekunde ermöglicht.
- Wir haben die Verarbeitung von Access Control Lists (ACLs) beim Anmelden am UCS-Managementsystem optimiert. Künftig werden nur noch benötigte Policies geladen, was die Ladezeiten verringert und den Anmeldevorgang beschleunigt.
Die vollständige Liste aller Korrekturen und Bugfixes für UCS 4.4-7 finden Sie online. Weitere Informationen können Sie außerdem den Release Notes zu UCS 4.4.-7 entnehmen. Wie immer gilt: Wenn Sie Wünsche und Verbesserungsvorschläge haben, freuen wir uns über Feedback – hier im Blog oder auf help.univention.de.
UCS Core Edition jetzt kostenfrei einsetzen!
Zum Downloadbereich
Nico Gulden studierte angewandte Informatik und arbeitet seit 2010 bei Univention. Als Technical Editor ist er verantwortlich für Ausbau und Pflege der Produktdokumentation. In seiner Freizeit widmet er sich seiner Familie, dem Lesen, der Bewegung an der frischen Luft zum Radfahren, Fotografieren, Geocaching und der Kinder- und Jugendarbeit.
