9. Feature Review UCS 4.1
Neue App Galerie
App Beschreibung jetzt auch mit Videos
Mehr Infos zum Hersteller
Neues App Rating
Verbesserte Übersicht über installierte Apps
Verbesserung Remote-Installation von Apps auf anderen Servern
25. Image Credit
Pictograms (all from the Noun Project)
https://thenounproject.com
delivery by Rigo Peter
Database Server Icon by YuguDesign
Bug Catcher by Krisada
Comic Strip
sudo: „Incident“ by Randall Munroe, https://xkcd.com/838/
27. Vielen Dank für Ihre Aufmerksamkeit!
Kontakt
Michael Grandjean
Univention GmbH
grandjean@univention.de
www.univention.de
Notes de l'éditeur
Hallo und herzlich Willkommen!
Mein Name ist Michael Grandjean, ich bin Teil des Professional Services Team bei Univention und ich freue mich, dass sie heute hier sind und sich für den Technik-Track entschieden haben.Wir machen jetzt knapp 30 Minuten Feature Review – Was gibt es Neues in UCS 4.1? Dann folgen noch zwei Vorträge zu je 30 Minuten und gegen 13 Uhr gibt’s dann ganz regulär eine Stunde Pause.
Aber fangen wir mal vorne an ...
UCS 4.1-0 wurde am 17. November 2015 veröffentlicht. Das war eine terminliche Punktlandung, das Release kam genau an dem Tag, für den es geplant war. Zum wiederholten Mal, im Übrigen und da kann ich der Entwicklungsabteilung nur noch mal gratulieren.
[Applaus, Applaus!]
Damit ist das Release gut zwei Monate alt (oder jung) – Wer hier im Raum hat denn schon aktualisiert (oder neu installiert)?
Docker! Container, Container …
Das ist wahrscheinlich die prominenteste Neuaufnahme in das Feature-Repertoire von UCS, wenn auch oberflächlich wenig davon zu sehen ist, denn die Integration hat hauptsächlich unter der Haube stattgefunden.
Docker ist aktuell stark präsent, wer es nicht kennt: Docker ist eine Open-Source-Software, die es ermöglicht Applikationen in einen sogenannten Container zu packen, der gerade genug enthält damit die Applikation laufen kann. So können Applikationen sauber voneinander separiert werden und diese Container sind deutlich schlanker als bspw. virtuelle Maschinen.
Zu Docker bzw. der Integration in das Univention App Center gibt es um 14:30 Uhr einen eigenen Vortrag hier im Technik-Track, der das Thema dann tiefergehend behandelt.
DEMO VIDEO?
Worum geht’s? Ich melde mich einmal an einem Webdienst an – in dem Fall dem SSO-Portal der UMC – und kann mich dann per SSO an anderen SAML-fähigen Webdiensten anmelden ohne nochmal Benutzername und Kennwort eingeben zu müssen.
Zu dem Thema gibt es übrigens um 14 Uhr hier im Technik Track einen ausführlichen Vortrag, weswegen wir das jetzt nur kurz anreißen.
Bei SAML gibt es immer mind. einen sog. „Identity Provider“, der die Identity-Informationen bereithält und mind. einen „Service Provider“, der den Webdienst bereitstellt.
DEMO VIDEO?
UCS ist nun der Identity Provider, mit dem man verschiedenste Service Provider verbinden kann.
Das kann UCS schon länger, in UCS 4.1 gibt es nun zahlreiche Verbesserungen und die UMC – also das Webbasierte Administrationsinterface von UCS – ist nun automatisch ein SAML Service Provider.
Hier im Demo-Video wird bspw. der SSO-Login an den einzelnen UMCs / Webfrontends verschiedener UCS Server der selben Domäne demonstriert.https://www.univention.de/2015/11/single-sign-on-fuer-ucs-4-1/
UCS 4.1 bringt auch ein neues Feature mit, das unter „Self-Service“ zusammengefasst wird.
Es erlaubt sowohl das Ändern als auch das Zurücksetzen des eigenen Passworts über ein Webinterface.
Passwortänderungen waren bisher über den Clientrechner (bspw. Windows) oder über ein entsprechendes UMC-Modul möglich. Mit dem neuen Webservice außerhalb der UMC ist das jedoch vollkommen unabhängig vom verwendete Client deutlich einfacher und intuitiver.
DEMO VIDEO
Zum Ändern muss ich allerdings mein altes Kennwort noch wissen.
Was ist aber, wenn ich mein Kennwort vergessen habe? Hier kommt die gänzlich neue Funktion „Passwort zurücksetzen“ ins Spiel.
DEMO VIDEO
Dem Benutzer oder Benutzerin wird dann ein zeitlich begrenzt gültiger Token zugeschickt, der zum Zurücksetzen des Kennworts berechtigt.
Wichtig dafür ist, dass zuvor eine E-Mail-Adresse oder eine Mobilfunknummer hinterlegt wurde, an die der Token verschickt werden kann.
Das kann man entweder selber vorab machen, solange man sein Kennwort noch kennt, oder ein Admin setzt das im Vorfeld um.
Natürlich sollte die E-Mail besser an eine externe Mailadresse gehen.
Für den SMS-Versand braucht es einen SMS-Provider. Zudem kann auch als dritte Option eine eigene Lösung implementiert werden.
DEMO
Das App Center wurde entsprechend des Feedbacks von Benutzern und App Anbietern weiter verbessert und ausgebaut.
Feedback ist uns generell sehr wichtig und gerne gesehen, wer also Verbesserungsvorschläge hat, darf sich gerne an [email_address] melden oder das entsprechende Formular auf der Website verwenden.
DEMO VIDEO?
UCS 4.1 verwendet den Linux Kernel 4.1 – dass die Versionsnummern hier gleich sind ist allerdings Zufall. 4.1 ist der aktuelle Kernel mit "longterm maintenance", d.h. der wird lange genug von den Kernel Maintainern gepflegt und mit Fixes und Backports versorgt um ihn guten Gewissens in einer Enterprise-Distribution einsetzen zu können. Daneben liefert er natürlich viele Verbesserungen und baut den Hardwaresupport weiter aus.
http://kernelnewbies.org/Linux_3.17
http://kernelnewbies.org/Linux_3.18
http://kernelnewbies.org/Linux_3.19
http://kernelnewbies.org/Linux_4.0
http://kernelnewbies.org/Linux_4.1
Samba ist ebenfalls in der aktuellsten Version an Bord. Mit Samba 4.3 erhalten wir Support für SMB in Version 3.1.1 (das bspw. von Windows 10 gesprochen wird) und die TLS-Konfiguration bspw. für die LDAP-Abfragen kann konfiguriert werden. Zudem kann Samba nun auch die beiden DNS Infrastruktur-Master-Rollen übernehmen.
Samba 4.3 hat auch große Fortschritte beim Thema Trusts/Vertrauensstellungen gemacht, allerdings hat das unserer Einschätzung nach noch nicht den Stand, dass man das in einer Produktivumgebung einsetzen möchte (und Univention dafür Support leisten müsste). Deswegen sind Trusts noch kein supportetes Feature in UCS.https://www.samba.org/samba/history/samba-4.3.0.html
https://www.univention.de/2015/12/samba-4-3-1-an-bord-von-ucs-4-1/
OpenLDAP wurde ebenfalls auf die (zum Zeitpunkt des Releases) neueste Version aktualisiert, da sind die Änderungen aber weniger spektakulär und fast ausschließlich Bugfixes.http://www.openldap.org/software/release/changes.html
https://netknights.it/zwei-faktor-authentisierung-an-der-univention-management-console/
Die UMC ist jetzt in der Lage eine Zwei-Faktor-Authentisierung anzubieten. Genau genommen wurde das darunterliegende PAM-Stack entsprechend erweitert, sodass die Funktion auch anderen Diensten die PAM nutzen, zur Verfügung steht, bspw. SSH.
Die erste Implementierung stammt von privacy IDEA und ist im App Center verfügbar. Zu dem Thema gibt’s von Herrn Kölbel ab 12 Uhr im App Plattform-Track auch einen kurzen Vortrag.
https://netknights.it/zwei-faktor-authentisierung-an-der-univention-management-console/
Und so sieht das dann aus.
https://netknights.it/zwei-faktor-authentisierung-an-der-univention-management-console/
Die UMC ist jetzt in der Lage eine Zwei-Faktor-Authentisierung anzubieten. Genau genommen wurde das darunterliegende PAM-Stack entsprechend erweitert, sodass die Funktion auch anderen Diensten die PAM nutzen, zur Verfügung steht, bspw. SSH.
Die erste Implementierung stammt von privacy IDEA und ist im App Center verfügbar. Zu dem Thema gibt’s von Herrn Kölbel ab 12 Uhr im App Plattform-Track auch einen kurzen Vortrag.
https://www.univention.de/2015/07/mailserver-dovecot-als-standard-imappop3-server-in-ucs/
Das Mailstack hat bereits über Errata-Updates unter UCS 4.0 eine Reihe an Verbesserungen erhalten. Die größte Änderung, die jetzt auch mit den Neuinstallationen mit UCS 4.1 so richtig zur Geltung kommt, ist sicherlich der Wechsel des Default-IMAP-Servers von Cyrus zu Dovecot.
Cyrus hat uns lange gute Dienste erwiesen, aber Dovecot hat inzwischen doch deutliche Vorzüge in der Administration, in der Sicherheits-Architektur und vor allem in der Skalierung. Zudem ist Dovecot zu 100% IMAP-compliant
In Postfix wurden die TLS-Optionen verbesser und konfigurierbar gemacht, Mail-Clients können nun auch den Submission Port 587 zu Einlieferung von Mails nutzen und die Möglichkeiten zur Abwehr von unerwünschten Mails wurden ausgebaut.
https://www.univention.de/2015/07/mailserver-dovecot-als-standard-imappop3-server-in-ucs/
Das Mailstack hat bereits über Errata-Updates unter UCS 4.0 eine Reihe an Verbesserungen erhalten. Die größte Änderung, die jetzt auch mit den Neuinstallationen mit UCS 4.1 so richtig zur Geltung kommt, ist sicherlich der Wechsel des Default-IMAP-Servers von Cyrus zu Dovecot.
Cyrus hat uns lange gute Dienste erwiesen, aber Dovecot hat inzwischen doch deutliche Vorzüge in der Administration, in der Sicherheits-Architektur und vor allem in der Skalierung. Zudem ist Dovecot zu 100% IMAP-compliant
In Postfix wurden die TLS-Optionen verbesser und konfigurierbar gemacht, Mail-Clients können nun auch den Submission Port 587 zu Einlieferung von Mails nutzen und die Möglichkeiten zur Abwehr von unerwünschten Mails wurden ausgebaut.
Das UMC-Modul System-Fehlerdiagnose gibt es schon seit UCS 4.0, ist aber vergleichsweise wenig bekannt. Neben den bereits vorhandenen Checks wie bspw. für Gateway, Namensauflösung, Proxy und Paketstatus prüft das Modul seit UCS 4.1 nun auch die Erreichbarkeit der übrigen UCS Systeme in der Domäne.
Das UMC-Modul System-Fehlerdiagnose gibt es schon seit UCS 4.0, ist aber vergleichsweise wenig bekannt. Neben den bereits vorhandenen Checks wie bspw. für Gateway, Namensauflösung, Proxy und Paketstatus prüft das Modul seit UCS 4.1 nun auch die Erreichbarkeit der übrigen UCS Systeme in der Domäne.
Bessere Fehlerbehandlung, File-Locking
Außerdem nutzen Listener/Notifier jetzt TCP-KeepAlive
Außerdem nutzen Listener/Notifier jetzt TCP-KeepAlive
Domain Admins sind jetzt standardmäßig sudoers
Resolution: FIXED
Target Milestone: UCS 4.1
Product: UCS
Mit Errata bis 2015-01-15: 362 CLOSED FIXED
SVN Commits für UCS 4.1
bis einschließlich 2015-11-17
Stand 2015-01-15 mit Errata:
2300 Commits