Feature review UCS 4.1

Feature Review UCS 4.1

The latest and greatest - Neue Features in UCS

Michael Grandjean
Univention GmbH
[email protected]

Hallo und herzlich Willkommen!Mein Name ist Michael Grandjean, ich bin Teil des Professional Services Team bei Univention und ich freue mich, dass sie heute hier sind und sich fr den Technik-Track entschieden haben.
Wir machen jetzt knapp 30 Minuten Feature Review Was gibt es Neues in UCS 4.1? Dann folgen noch zwei Vortrge zu je 30 Minuten und gegen 13 Uhr gibts dann ganz regulr eine Stunde Pause.Aber fangen wir mal vorne an ...


UCS 4.1-0 Release: 2015-11-17

UCS 4.1-0 wurde am 17. November 2015 verffentlicht. Das war eine terminliche Punktlandung, das Release kam genau an dem Tag, fr den es geplant war. Zum wiederholten Mal, im brigen und da kann ich der Entwicklungsabteilung nur noch mal gratulieren.

[Applaus, Applaus!]

Damit ist das Release gut zwei Monate alt (oder jung) Wer hier im Raum hat denn schon aktualisiert (oder neu installiert)?


Docker! Container, Container

Das ist wahrscheinlich die prominenteste Neuaufnahme in das Feature-Repertoire von UCS, wenn auch oberflchlich wenig davon zu sehen ist, denn die Integration hat hauptschlich unter der Haube stattgefunden.

Docker ist aktuell stark prsent, wer es nicht kennt: Docker ist eine Open-Source-Software, die es ermglicht Applikationen in einen sogenannten Container zu packen, der gerade genug enthlt damit die Applikation laufen kann. So knnen Applikationen sauber voneinander separiert werden und diese Container sind deutlich schlanker als bspw. virtuelle Maschinen.

Zu Docker bzw. der Integration in das Univention App Center gibt es um 14:30 Uhr einen eigenen Vortrag hier im Technik-Track, der das Thema dann tiefergehend behandelt.


Web Single-Sign-Onmit SAML

DEMO VIDEO?

Worum gehts? Ich melde mich einmal an einem Webdienst an in dem Fall dem SSO-Portal der UMC und kann mich dann per SSO an anderen SAML-fhigen Webdiensten anmelden ohne nochmal Benutzername und Kennwort eingeben zu mssen.

Zu dem Thema gibt es brigens um 14 Uhr hier im Technik Track einen ausfhrlichen Vortrag, weswegen wir das jetzt nur kurz anreien.

Bei SAML gibt es immer mind. einen sog. Identity Provider, der die Identity-Informationen bereithlt und mind. einen Service Provider, der den Webdienst bereitstellt.


Demo

DEMO VIDEO?

UCS ist nun der Identity Provider, mit dem man verschiedenste Service Provider verbinden kann.Das kann UCS schon lnger, in UCS 4.1 gibt es nun zahlreiche Verbesserungen und die UMC also das Webbasierte Administrationsinterface von UCS ist nun automatisch ein SAML Service Provider.

Hier im Demo-Video wird bspw. der SSO-Login an den einzelnen UMCs / Webfrontends verschiedener UCS Server der selben Domne demonstriert.

https://www.univention.de/2015/11/single-sign-on-fuer-ucs-4-1/


Self-Services(Ich hab' mein Kennwort vergessen ...)

UCS 4.1 bringt auch ein neues Feature mit, das unter Self-Service zusammengefasst wird.

Es erlaubt sowohl das ndern als auch das Zurcksetzen des eigenen Passworts ber ein Webinterface.

Passwortnderungen waren bisher ber den Clientrechner (bspw. Windows) oder ber ein entsprechendes UMC-Modul mglich. Mit dem neuen Webservice auerhalb der UMC ist das jedoch vollkommen unabhngig vom verwendete Client deutlich einfacher und intuitiver.


Demo

DEMO VIDEO

Zum ndern muss ich allerdings mein altes Kennwort noch wissen.

Was ist aber, wenn ich mein Kennwort vergessen habe? Hier kommt die gnzlich neue Funktion Passwort zurcksetzen ins Spiel.


Demo

DEMO VIDEO

Dem Benutzer oder Benutzerin wird dann ein zeitlich begrenzt gltiger Token zugeschickt, der zum Zurcksetzen des Kennworts berechtigt.

Wichtig dafr ist, dass zuvor eine E-Mail-Adresse oder eine Mobilfunknummer hinterlegt wurde, an die der Token verschickt werden kann.Das kann man entweder selber vorab machen, solange man sein Kennwort noch kennt, oder ein Admin setzt das im Vorfeld um.

Natrlich sollte die E-Mail besser an eine externe Mailadresse gehen.Fr den SMS-Versand braucht es einen SMS-Provider. Zudem kann auch als dritte Option eine eigene Lsung implementiert werden.



Passwort ndern

Passwort zurcksetzen Token per Mail, SMS oder eigene Lsung

Empfngeradresse vorher festlegen


App Center Usability

DEMO

Das App Center wurde entsprechend des Feedbacks von Benutzern und App Anbietern weiter verbessert und ausgebaut.

Feedback ist uns generell sehr wichtig und gerne gesehen, wer also Verbesserungsvorschlge hat, darf sich gerne an [email protected] melden oder das entsprechende Formular auf der Website verwenden.


Demo

DEMO VIDEO?


Neue App Galerie

App Beschreibung jetzt auch mit Videos

Mehr Infos zum Hersteller

Neues App Rating

Verbesserte bersicht ber installierte Apps

Verbesserung Remote-Installation von Apps auf anderen Servern


Linux Kernel 4.1 (Longterm)

UCS 4.1 verwendet den Linux Kernel 4.1 dass die Versionsnummern hier gleich sind ist allerdings Zufall. 4.1 ist der aktuelle Kernel mit "longterm maintenance", d.h. der wird lange genug von den Kernel Maintainern gepflegt und mit Fixes und Backports versorgt um ihn guten Gewissens in einer Enterprise-Distribution einsetzen zu knnen. Daneben liefert er natrlich viele Verbesserungen und baut den Hardwaresupport weiter aus.

http://kernelnewbies.org/Linux_3.17http://kernelnewbies.org/Linux_3.18http://kernelnewbies.org/Linux_3.19http://kernelnewbies.org/Linux_4.0http://kernelnewbies.org/Linux_4.1



Samba 4.3

Samba ist ebenfalls in der aktuellsten Version an Bord. Mit Samba 4.3 erhalten wir Support fr SMB in Version 3.1.1 (das bspw. von Windows 10 gesprochen wird) und die TLS-Konfiguration bspw. fr die LDAP-Abfragen kann konfiguriert werden. Zudem kann Samba nun auch die beiden DNS Infrastruktur-Master-Rollen bernehmen.

Samba 4.3 hat auch groe Fortschritte beim Thema Trusts/Vertrauensstellungen gemacht, allerdings hat das unserer Einschtzung nach noch nicht den Stand, dass man das in einer Produktivumgebung einsetzen mchte (und Univention dafr Support leisten msste). Deswegen sind Trusts noch kein supportetes Feature in UCS.

https://www.samba.org/samba/history/samba-4.3.0.htmlhttps://www.univention.de/2015/12/samba-4-3-1-an-bord-von-ucs-4-1/



Samba 4.3

OpenLDAP 2.4.42

OpenLDAP wurde ebenfalls auf die (zum Zeitpunkt des Releases) neueste Version aktualisiert, da sind die nderungen aber weniger spektakulr und fast ausschlielich Bugfixes.

http://www.openldap.org/software/release/changes.html


Zwei-Faktor-Auth

https://netknights.it/zwei-faktor-authentisierung-an-der-univention-management-console/

Die UMC ist jetzt in der Lage eine Zwei-Faktor-Authentisierung anzubieten. Genau genommen wurde das darunterliegende PAM-Stack entsprechend erweitert, sodass die Funktion auch anderen Diensten die PAM nutzen, zur Verfgung steht, bspw. SSH. Die erste Implementierung stammt von privacy IDEA und ist im App Center verfgbar. Zu dem Thema gibts von Herrn Klbel ab 12 Uhr im App Plattform-Track auch einen kurzen Vortrag.



Und so sieht das dann aus.


Zwei-Faktor-Auth UMC, SSH, SAML, RADIUS ...

diverse Token, u.a. Yubikey,
Smartphone Apps ...


Die UMC ist jetzt in der Lage eine Zwei-Faktor-Authentisierung anzubieten. Genau genommen wurde das darunterliegende PAM-Stack entsprechend erweitert, sodass die Funktion auch anderen Diensten die PAM nutzen, zur Verfgung steht, bspw. SSH. Die erste Implementierung stammt von privacy IDEA und ist im App Center verfgbar. Zu dem Thema gibts von Herrn Klbel ab 12 Uhr im App Plattform-Track auch einen kurzen Vortrag.


Dovecot + Postfix

https://www.univention.de/2015/07/mailserver-dovecot-als-standard-imappop3-server-in-ucs/

Das Mailstack hat bereits ber Errata-Updates unter UCS 4.0 eine Reihe an Verbesserungen erhalten. Die grte nderung, die jetzt auch mit den Neuinstallationen mit UCS 4.1 so richtig zur Geltung kommt, ist sicherlich der Wechsel des Default-IMAP-Servers von Cyrus zu Dovecot.

Cyrus hat uns lange gute Dienste erwiesen, aber Dovecot hat inzwischen doch deutliche Vorzge in der Administration, in der Sicherheits-Architektur und vor allem in der Skalierung. Zudem ist Dovecot zu 100% IMAP-compliant

In Postfix wurden die TLS-Optionen verbesser und konfigurierbar gemacht, Mail-Clients knnen nun auch den Submission Port 587 zu Einlieferung von Mails nutzen und die Mglichkeiten zur Abwehr von unerwnschten Mails wurden ausgebaut.


Dovecot + Postfix Dovecot neuer Standard-IMAP-Server

Postfix Submission Port 587

verbesserte TLS Konfiguration

mehr Anti-Spam-Manahmen

https://www.univention.de/2015/07/mailserver-dovecot-als-standard-imappop3-server-in-ucs/

Das Mailstack hat bereits ber Errata-Updates unter UCS 4.0 eine Reihe an Verbesserungen erhalten. Die grte nderung, die jetzt auch mit den Neuinstallationen mit UCS 4.1 so richtig zur Geltung kommt, ist sicherlich der Wechsel des Default-IMAP-Servers von Cyrus zu Dovecot.

Cyrus hat uns lange gute Dienste erwiesen, aber Dovecot hat inzwischen doch deutliche Vorzge in der Administration, in der Sicherheits-Architektur und vor allem in der Skalierung. Zudem ist Dovecot zu 100% IMAP-compliant

In Postfix wurden die TLS-Optionen verbesser und konfigurierbar gemacht, Mail-Clients knnen nun auch den Submission Port 587 zu Einlieferung von Mails nutzen und die Mglichkeiten zur Abwehr von unerwnschten Mails wurden ausgebaut.


System Fehlerdiagnose

Das UMC-Modul System-Fehlerdiagnose gibt es schon seit UCS 4.0, ist aber vergleichsweise wenig bekannt. Neben den bereits vorhandenen Checks wie bspw. fr Gateway, Namensauflsung, Proxy und Paketstatus prft das Modul seit UCS 4.1 nun auch die Erreichbarkeit der brigen UCS Systeme in der Domne.


Das UMC-Modul System-Fehlerdiagnose gibt es schon seit UCS 4.0, ist aber vergleichsweise wenig bekannt. Neben den bereits vorhandenen Checks wie bspw. fr Gateway, Namensauflsung, Proxy und Paketstatus prft das Modul seit UCS 4.1 nun auch die Erreichbarkeit der brigen UCS Systeme in der Domne.


Robuster: sysvol-sync

Bessere Fehlerbehandlung, File-Locking


Schneller: Initialisierung der Listener-Module

Auerdem nutzen Listener/Notifier jetzt TCP-KeepAlive


Schneller: Initialisierung der Listener-Module Auerdem: TCP-KeepAlive

Auerdem nutzen Listener/Notifier jetzt TCP-KeepAlive


Neu: univention-sudo ucr set auth/sudo=yes

Domain Admins sind jetzt standardmig sudoers


Geschlossene Issues: 284

Resolution: FIXED Target Milestone: UCS 4.1 Product: UCS

Mit Errata bis 2015-01-15: 362 CLOSED FIXED


Geschlossene Issues: 284

SVN Commits: 1741

SVN Commits fr UCS 4.1 bis einschlielich 2015-11-17

Stand 2015-01-15 mit Errata:2300 Commits

Image Credit

Pictograms (all from the Noun Project) https://thenounproject.com delivery by Rigo Peter

Database Server Icon by YuguDesign

Bug Catcher by Krisada

Comic Strip sudo: Incident by Randall Munroe, https://xkcd.com/838/



Vielen Dank fr Ihre Aufmerksamkeit!

Kontakt Michael Grandjean
Univention GmbH
[email protected]
www.univention.de

Klicken Sie, um die Formate des Gliederungstextes zu bearbeiten Zweite Gliederungsebene Dritte Gliederungsebene Vierte Gliederungsebene Fnfte Gliederungsebene Sechste Gliederungsebene Siebente Gliederungsebene

Klicken Sie, um die Formate des Gliederungstextes zu bearbeitenZweite GliederungsebeneDritte GliederungsebeneVierte GliederungsebeneFnfte Gliederungsebene

Headline

Klicken Sie, um die Formate des Gliederungstextes zu bearbeitenZweite GliederungsebeneDritte GliederungsebeneVierte GliederungsebeneFnfte GliederungsebeneSechste GliederungsebeneSiebente Gliederungsebene