Das erste Patch-Level-Release des Jahres bündelt alle Neuerungen der letzten drei Monate auf neuen Installationsmedien – und enthält dadurch Highlights wie das automatische Wiederherstellern versehentlich gelöschter Nutzer in Active Directory und Samba 4 sowie den Nubus Provisioning Service.
Inhaltsverzeichnis
Provisioning Service für UCS
Der neue Provisioning Service von Univention Nubus ermöglicht die schnelle Benachrichtigung von Anwendungen über Änderungen an Nutzern, Gruppen und anderen Ereignissen innerhalb von Univention Nubus. Er wurde zunächst in Nubus für Kubernetes eingeführt und stand seit einigen Monaten als Preview für UCS zur Verfügung. Seit Ende Januar ist er nun auch als stabiles Release für UCS verfügbar und kann über das App Center installiert werden.
Gegenüber dem seit langem in UCS etablierten Listener-Plugins, die ebenfalls genutzt werden um z.B. Änderungen an Nutzern an andere Anwendungen zu übermitteln, bietet der Provisioning Service mehrere Vorteile. Seine Architektur ist skalierbarer – beispielsweise werden die verschiedenen angebundenen Anwendungen nun parallel bedient und nicht mehr nacheinander.
Der Zugriff erfolgt zudem nicht mehr über Plugins, die auf UCS installiert werden müssen, sondern über eine REST API („Provisioning API“). Anwendungsentwickler und Betreiber sind damit sowohl freier in der Wahl des Betriebsorts für Anwendungen und Integrationen als auch in der Auswahl der Entwicklungsumgebung und Programmiersprache.
Mit der Verfügbarkeit des Nubus Provisioning Service für UCS schließen wir zudem eine Lücke zwischen unserem Angebot von Nubus für Kubernetes und Nubus für UCS. Auf beiden Plattformen bietet Nubus jetzt die gleichen Komponenten und Schnittstellen. Wir empfehlen daher, bei neuen Integrationen die Provisioning API zu nutzen, sodass diese sowohl mit Nubus für Kubernetes als auch mit Nubus für UCS verwendet werden können. Informationen zur Nutzung der Provisioning API finden sich in der Produktdokumentation.
Wiederherstellung von Nutzern in Samba und Active Directory
Mit den letzten Updates für die Connectoren für Samba 4 und Active Directory haben wir den geplanten Funktionsumfang der „Papierkorb“-Funktion von Univention Nubus auf UCS vervollständigt.
Mit dem „Papierkorb“ ist es möglich, gelöschte Objekte in einem Zwischenspeicher zu halten, aus dem sie wiederhergestellt werden können. Wurde ein Nutzer oder eine Gruppe versehentlich gelöscht, kann sie aus diesem Zwischenspeicher vollständig wiederhergestellt werden. Dabei werden alle internen, technischen Attribute wie Identifier oder Passwort-Hashes in den Ursprungszustand zurückversetzt. Der Nutzer kann also direkt weiterarbeiten, und alle angebundenen Systeme haben die gleichen technischen Informationen.
Mit den letzten Errata-Updates wurden der Samba-4-Connector, der Teil der „Active Directory kompatibler Domain Controller“-App ist, sowie der „Active Directory Connector“ für die Anbindung von Microsoft Active Directory um eine Wiederherstellungsfunktion erweitert. Diese kann sowohl mit der in Active Directory standardmäßig aktiven „Tombstone“-Implementierung als auch mit der optional aktivierbaren Recycle-Bin-Funktionalität genutzt werden, die dort als Zwischenspeicher für gelöschte Objekte dient.
Die Connectoren erkennen, wenn Nutzer im Univention Directory Manager wiederhergestellt wurden, und informieren Samba 4 bzw. Active Directory darüber, dass der Account auch dort wiederhergestellt werden soll. Damit werden auch dort interne technische Identifier weiterverwendet. Da der „Tombstone“ von Active Directory deutlich weniger Informationen wiederherstellen kann, werden die Nutzerobjekte auf Basis der im UDM verfügbaren Informationen – z.B. Gruppenmitgliedschaften – auch in Samba 4 bzw. Active Directory vervollständigt. Diese Wiederherstellungsfunktionalität ist bidirektional nutzbar.
Die Einrichtung des „Papierkorbs“ wurde mit Projektpartnern getestet und ist in UCS vollständig umgesetzt. Die Einrichtung ist im UCS 5.2 Manual dokumentiert.
Die kleinen Highlights
Wie immer finden sich in den vielen Verbesserungen durch Errata- und App-Updates der letzten drei Monate neben Sicherheitsupdates und Bugfixes einige erwähnenswerte Neuigkeiten:
- Änderungen an Gruppenmitgliedschaften über den Univention Directory Manager wurden weiter beschleunigt
- Die Installation oder Aktualisierung von Erweiterungen des UDM – z.B. das Definieren neuer Extended Attributes – erfordert keinen Neustart der UDM REST API mehr
- Keycloak wird nun so konfiguriert, dass Informationen über Nutzer bei jedem Login aus dem LDAP aktualisiert werden. Dadurch wird sichergestellt, dass Änderungen an Nutzern immer beim nächsten Login wirksam sind.
UCS 5.2-5 steht wie immer im Downloadbereich zur Verfügung. Weitere Informationen zu den enthaltenen Änderungen finden sich in den Release Notes und im Help-Artikel.
