Mit dem zweiten Patchlevel Release von UCS bündeln wir alle Neuerungen der letzten Wochen auf frischen Installationsmedien. Neben vielen Verbesserungen, die bereits als Errata veröffentlicht wurden, enthält dieses Release auch eine Erweiterung: einen einheitlichen Identifier für alle von Nubus für UCS verwalteten Objekte.
Inhaltsverzeichnis
Einheitliche Kennzeichnung für alle Nubus-Objekte
Beginnen wir mit der größten Änderung: dem mit UCS 5.2-2 aktivierten „univentionObjectIdentifier“. Mit diesem Attribut, das nun an allen durch die Nubus-Komponente Univention Directory Manager (UDM) verwalteten Objekten verfügbar ist, haben wir eine unveränderbare und global eindeutige Kennung eingeführt.
Solche eindeutigen Kennungen – sogenannte Identifier – werden verwendet, um Objekte schnell und sicher zu finden oder wiederzuerkennen. Das ist besonders für die Implementierung von Konnektoren zu anderen Systemen wichtig, um Nutzer und Gruppen in UDM den Objekten im angebundenen System zuordnen zu können. Auch kann so in Logdateien das betroffene Objekt in einer Logzeile eindeutig identifiziert werden.
Bisher standen bereits einige Attribute als Identifier zur Verfügung, beispielsweise der Login eines Benutzers (im LDAP: uid), der Name einer Gruppe (im LDAP: cn) oder die Datenbank-ID von OpenLDAP (entryUUID). Diese haben jedoch individuelle Einschränkungen: Die meisten vorhandenen Identifier können sich im Laufe der Zeit ändern, so z.B. der Login eines Nutzers oder der Name einer Gruppe. Für die Synchronisation mit anderen Systemen sind dann bei Änderungen des Identifiers aufwändige Sonderbehandlungen nötig, damit die Zuordnung nicht verloren geht.
Mit dem Produkt Nubus bündelt Univention die Funktionalitäten für die Speicherung und Verwaltung von Identitäten und Berechtigungen und den damit verbundenen Endanwender-Services Portal und Self Service. Nubus ist sowohl für Kubernetes als auch als Teil von UCS verfügbar.
Die Datenbank-ID „entryUUID“ von OpenLDAP ist zwar unveränderbar, wurde aber primär als interner Identifier von OpenLDAP entworfen. Das hat beispielsweise zur Folge, dass UDM in seinen APIs beim Erstellen eines Objektes keinen Identifier zurückgeben kann, ohne Performance-Verluste durch zusätzliche LDAP-Abfragen in Kauf zu nehmen.
Der univentionObjectIdentifier ist bereits länger verfügbar, wird aber mit UCS 5.2-2 jetzt automatisch aktiviert. Der UDM erstellt ab sofort bei jedem neuen Objekt automatisch einen Identifier. Für bestehende Objekte, bei denen dieses Attribut noch leer ist, wird beim Upgrade automatisch der Inhalt der entryUUID zut Initialisierung übernommen. Im UMC-Modul „System Diagnostic“ prüft ein Plugin die vollständige Abdeckung aller Objekte der Klasse „univentionObject“, um auch im Mischbetrieb mit älteren UCS-Versionen für Konsistenz zu sorgen. In großen Umgebungen sollte diese Ergänzung zu einem Zeitpunkt mit geringer Systemlast durchgeführt werden. Genauere Informationen dazu gibt es in den Release Notes.
Keycloak mit neuer Funktion „Ad Hoc Provisioning“
Neben zahlreichen kleineren Upgrades seit dem letzten Patchlevel Release fällt insbesondere die Aktualisierung von Keycloak auf, das jetzt in Version 26 im App Center bereitsteht. Neben der Behebung von Sicherheitslücken bringt Keycloak 26 zahlreiche Verbesserungen, darunter einen neuen Token Exchange für die Integration von Anwendungen.
Univention hat zudem ein „Ad Hoc Provisioning“-Plugin integriert, das die Anbindung von UCS in bestehende Infrastrukturen erheblich erleichtert. Mit diesem Plugin können Nutzer, die sich über ein Single Sign-on mit einem anderen Identity Provider (z.B. Active Directory) anmelden, automatisch ein Nutzerkonto in Nubus erhalten. Nutzer aus vertrauten Quellen können so direkt auf die an Nubus angebundenen Anwendungen zugreifen. Detaillierte Beispiele folgen in späteren Blogartikeln.
Performance- und Sicherheits-Verbesserungen
Im UDM wurden an mehreren Stellen spürbare Performance-Verbesserungen für große Umgebungen umgesetzt. Das Löschen von Rechnerobjekten sowie das Bearbeiten von Gruppen erfolgt jetzt deutlich schneller.
In sehr großen und alten Umgebungen mit vielen Änderungen im Verzeichnisdienst wurde zudem eine Fragmentierung des OpenLDAP-Datenbank-Backends als Performance-Bremse identifiziert. Ein neues Diagnosemodul zeigt an, ob diese Problem in Ihrer Umgebung auftritt, und verweist auf ein Tool, mit dem sich Fragmentierung einfach beheben lässt.
Weiterführende Informationen
Eine vollständige Übersicht aller Änderungen und Hinweise zum Upgrade finden Sie wie immer in den Release Notes zu UCS 5.2-2. Sollten noch Fragen offenbleiben, steht unser Support Team oder das Help-Forum unter help.univention.com zur Verfügung.
