Feature review UCS 4.1

1.241 Aufrufe

Veröffentlicht am

Feature review UCS 4.1 - SSO, 2-Faktoren Authentifizierung...

Veröffentlicht in: Software
0 Kommentare
0 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Keine Downloads
Aufrufe
Aufrufe insgesamt
1.241
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
971
Aktionen
Geteilt
0
Downloads
0
Kommentare
0
Gefällt mir
0
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie
  • Hallo und herzlich Willkommen!
    Mein Name ist Michael Grandjean, ich bin Teil des Professional Services Team bei Univention und ich freue mich, dass sie heute hier sind und sich für den Technik-Track entschieden haben.Wir machen jetzt knapp 30 Minuten Feature Review – Was gibt es Neues in UCS 4.1? Dann folgen noch zwei Vorträge zu je 30 Minuten und gegen 13 Uhr gibt’s dann ganz regulär eine Stunde Pause.
    Aber fangen wir mal vorne an ...
  • UCS 4.1-0 wurde am 17. November 2015 veröffentlicht. Das war eine terminliche Punktlandung, das Release kam genau an dem Tag, für den es geplant war. Zum wiederholten Mal, im Übrigen und da kann ich der Entwicklungsabteilung nur noch mal gratulieren.
    [Applaus, Applaus!]
    Damit ist das Release gut zwei Monate alt (oder jung) – Wer hier im Raum hat denn schon aktualisiert (oder neu installiert)?
  • Docker! Container, Container …
    Das ist wahrscheinlich die prominenteste Neuaufnahme in das Feature-Repertoire von UCS, wenn auch oberflächlich wenig davon zu sehen ist, denn die Integration hat hauptsächlich unter der Haube stattgefunden.
    Docker ist aktuell stark präsent, wer es nicht kennt: Docker ist eine Open-Source-Software, die es ermöglicht Applikationen in einen sogenannten Container zu packen, der gerade genug enthält damit die Applikation laufen kann. So können Applikationen sauber voneinander separiert werden und diese Container sind deutlich schlanker als bspw. virtuelle Maschinen.
    Zu Docker bzw. der Integration in das Univention App Center gibt es um 14:30 Uhr einen eigenen Vortrag hier im Technik-Track, der das Thema dann tiefergehend behandelt.
  • DEMO VIDEO?
    Worum geht’s? Ich melde mich einmal an einem Webdienst an – in dem Fall dem SSO-Portal der UMC – und kann mich dann per SSO an anderen SAML-fähigen Webdiensten anmelden ohne nochmal Benutzername und Kennwort eingeben zu müssen.
    Zu dem Thema gibt es übrigens um 14 Uhr hier im Technik Track einen ausführlichen Vortrag, weswegen wir das jetzt nur kurz anreißen.
    Bei SAML gibt es immer mind. einen sog. „Identity Provider“, der die Identity-Informationen bereithält und mind. einen „Service Provider“, der den Webdienst bereitstellt.
  • DEMO VIDEO?
    UCS ist nun der Identity Provider, mit dem man verschiedenste Service Provider verbinden kann.
    Das kann UCS schon länger, in UCS 4.1 gibt es nun zahlreiche Verbesserungen und die UMC – also das Webbasierte Administrationsinterface von UCS – ist nun automatisch ein SAML Service Provider.
    Hier im Demo-Video wird bspw. der SSO-Login an den einzelnen UMCs / Webfrontends verschiedener UCS Server der selben Domäne demonstriert.https://www.univention.de/2015/11/single-sign-on-fuer-ucs-4-1/
  • UCS 4.1 bringt auch ein neues Feature mit, das unter „Self-Service“ zusammengefasst wird.
    Es erlaubt sowohl das Ändern als auch das Zurücksetzen des eigenen Passworts über ein Webinterface.
    Passwortänderungen waren bisher über den Clientrechner (bspw. Windows) oder über ein entsprechendes UMC-Modul möglich. Mit dem neuen Webservice außerhalb der UMC ist das jedoch vollkommen unabhängig vom verwendete Client deutlich einfacher und intuitiver.
  • DEMO VIDEO
    Zum Ändern muss ich allerdings mein altes Kennwort noch wissen.
    Was ist aber, wenn ich mein Kennwort vergessen habe? Hier kommt die gänzlich neue Funktion „Passwort zurücksetzen“ ins Spiel.
  • DEMO VIDEO
    Dem Benutzer oder Benutzerin wird dann ein zeitlich begrenzt gültiger Token zugeschickt, der zum Zurücksetzen des Kennworts berechtigt.
    Wichtig dafür ist, dass zuvor eine E-Mail-Adresse oder eine Mobilfunknummer hinterlegt wurde, an die der Token verschickt werden kann.
    Das kann man entweder selber vorab machen, solange man sein Kennwort noch kennt, oder ein Admin setzt das im Vorfeld um.
    Natürlich sollte die E-Mail besser an eine externe Mailadresse gehen.
    Für den SMS-Versand braucht es einen SMS-Provider. Zudem kann auch als dritte Option eine eigene Lösung implementiert werden.
  • DEMO
    Das App Center wurde entsprechend des Feedbacks von Benutzern und App Anbietern weiter verbessert und ausgebaut.
    Feedback ist uns generell sehr wichtig und gerne gesehen, wer also Verbesserungsvorschläge hat, darf sich gerne an [email_address] melden oder das entsprechende Formular auf der Website verwenden.
  • DEMO VIDEO?
  • UCS 4.1 verwendet den Linux Kernel 4.1 – dass die Versionsnummern hier gleich sind ist allerdings Zufall. 4.1 ist der aktuelle Kernel mit "longterm maintenance", d.h. der wird lange genug von den Kernel Maintainern gepflegt und mit Fixes und Backports versorgt um ihn guten Gewissens in einer Enterprise-Distribution einsetzen zu können. Daneben liefert er natürlich viele Verbesserungen und baut den Hardwaresupport weiter aus.
    http://kernelnewbies.org/Linux_3.17
    http://kernelnewbies.org/Linux_3.18
    http://kernelnewbies.org/Linux_3.19
    http://kernelnewbies.org/Linux_4.0
    http://kernelnewbies.org/Linux_4.1
  • Samba ist ebenfalls in der aktuellsten Version an Bord. Mit Samba 4.3 erhalten wir Support für SMB in Version 3.1.1 (das bspw. von Windows 10 gesprochen wird) und die TLS-Konfiguration bspw. für die LDAP-Abfragen kann konfiguriert werden. Zudem kann Samba nun auch die beiden DNS Infrastruktur-Master-Rollen übernehmen.
    Samba 4.3 hat auch große Fortschritte beim Thema Trusts/Vertrauensstellungen gemacht, allerdings hat das unserer Einschätzung nach noch nicht den Stand, dass man das in einer Produktivumgebung einsetzen möchte (und Univention dafür Support leisten müsste). Deswegen sind Trusts noch kein supportetes Feature in UCS.https://www.samba.org/samba/history/samba-4.3.0.html
    https://www.univention.de/2015/12/samba-4-3-1-an-bord-von-ucs-4-1/
  • OpenLDAP wurde ebenfalls auf die (zum Zeitpunkt des Releases) neueste Version aktualisiert, da sind die Änderungen aber weniger spektakulär und fast ausschließlich Bugfixes.http://www.openldap.org/software/release/changes.html
  • https://netknights.it/zwei-faktor-authentisierung-an-der-univention-management-console/
    Die UMC ist jetzt in der Lage eine Zwei-Faktor-Authentisierung anzubieten. Genau genommen wurde das darunterliegende PAM-Stack entsprechend erweitert, sodass die Funktion auch anderen Diensten die PAM nutzen, zur Verfügung steht, bspw. SSH.
    Die erste Implementierung stammt von privacy IDEA und ist im App Center verfügbar. Zu dem Thema gibt’s von Herrn Kölbel ab 12 Uhr im App Plattform-Track auch einen kurzen Vortrag.
  • https://netknights.it/zwei-faktor-authentisierung-an-der-univention-management-console/
    Und so sieht das dann aus.
  • https://netknights.it/zwei-faktor-authentisierung-an-der-univention-management-console/
    Die UMC ist jetzt in der Lage eine Zwei-Faktor-Authentisierung anzubieten. Genau genommen wurde das darunterliegende PAM-Stack entsprechend erweitert, sodass die Funktion auch anderen Diensten die PAM nutzen, zur Verfügung steht, bspw. SSH.
    Die erste Implementierung stammt von privacy IDEA und ist im App Center verfügbar. Zu dem Thema gibt’s von Herrn Kölbel ab 12 Uhr im App Plattform-Track auch einen kurzen Vortrag.
  • https://www.univention.de/2015/07/mailserver-dovecot-als-standard-imappop3-server-in-ucs/
    Das Mailstack hat bereits über Errata-Updates unter UCS 4.0 eine Reihe an Verbesserungen erhalten. Die größte Änderung, die jetzt auch mit den Neuinstallationen mit UCS 4.1 so richtig zur Geltung kommt, ist sicherlich der Wechsel des Default-IMAP-Servers von Cyrus zu Dovecot.
    Cyrus hat uns lange gute Dienste erwiesen, aber Dovecot hat inzwischen doch deutliche Vorzüge in der Administration, in der Sicherheits-Architektur und vor allem in der Skalierung. Zudem ist Dovecot zu 100% IMAP-compliant
    In Postfix wurden die TLS-Optionen verbesser und konfigurierbar gemacht, Mail-Clients können nun auch den Submission Port 587 zu Einlieferung von Mails nutzen und die Möglichkeiten zur Abwehr von unerwünschten Mails wurden ausgebaut.
  • https://www.univention.de/2015/07/mailserver-dovecot-als-standard-imappop3-server-in-ucs/
    Das Mailstack hat bereits über Errata-Updates unter UCS 4.0 eine Reihe an Verbesserungen erhalten. Die größte Änderung, die jetzt auch mit den Neuinstallationen mit UCS 4.1 so richtig zur Geltung kommt, ist sicherlich der Wechsel des Default-IMAP-Servers von Cyrus zu Dovecot.
    Cyrus hat uns lange gute Dienste erwiesen, aber Dovecot hat inzwischen doch deutliche Vorzüge in der Administration, in der Sicherheits-Architektur und vor allem in der Skalierung. Zudem ist Dovecot zu 100% IMAP-compliant
    In Postfix wurden die TLS-Optionen verbesser und konfigurierbar gemacht, Mail-Clients können nun auch den Submission Port 587 zu Einlieferung von Mails nutzen und die Möglichkeiten zur Abwehr von unerwünschten Mails wurden ausgebaut.
  • Das UMC-Modul System-Fehlerdiagnose gibt es schon seit UCS 4.0, ist aber vergleichsweise wenig bekannt. Neben den bereits vorhandenen Checks wie bspw. für Gateway, Namensauflösung, Proxy und Paketstatus prüft das Modul seit UCS 4.1 nun auch die Erreichbarkeit der übrigen UCS Systeme in der Domäne.
  • Das UMC-Modul System-Fehlerdiagnose gibt es schon seit UCS 4.0, ist aber vergleichsweise wenig bekannt. Neben den bereits vorhandenen Checks wie bspw. für Gateway, Namensauflösung, Proxy und Paketstatus prüft das Modul seit UCS 4.1 nun auch die Erreichbarkeit der übrigen UCS Systeme in der Domäne.
  • Bessere Fehlerbehandlung, File-Locking
  • Außerdem nutzen Listener/Notifier jetzt TCP-KeepAlive
  • Außerdem nutzen Listener/Notifier jetzt TCP-KeepAlive
  • Domain Admins sind jetzt standardmäßig sudoers
  • Resolution: FIXED
    Target Milestone: UCS 4.1
    Product: UCS
    Mit Errata bis 2015-01-15: 362 CLOSED FIXED
  • SVN Commits für UCS 4.1
    bis einschließlich 2015-11-17
    Stand 2015-01-15 mit Errata:
    2300 Commits
  • Feature review UCS 4.1

    1. 1. Feature Review UCS 4.1 The latest and greatest - Neue Features in UCS Michael Grandjean Univention GmbH grandjean@univention.de
    2. 2. Feature Review UCS 4.1 UCS 4.1-0 Release: 2015-11-17
    3. 3. Feature Review UCS 4.1
    4. 4. Feature Review UCS 4.1 Web Single-Sign-On mit SAML
    5. 5. Feature Review UCS 4.1 Self-Services (Ich hab' mein Kennwort vergessen ...)
    6. 6. Feature Review UCS 4.1
    7. 7. Feature Review UCS 4.1 Passwort ändern Passwort zurücksetzen Token per Mail, SMS oder eigene Lösung Empfängeradresse vorher festlegen
    8. 8. Feature Review UCS 4.1 App Center Usability
    9. 9. Feature Review UCS 4.1 Neue App Galerie App Beschreibung jetzt auch mit Videos Mehr Infos zum Hersteller Neues App Rating Verbesserte Übersicht über installierte Apps Verbesserung Remote-Installation von Apps auf anderen Servern
    10. 10. Feature Review UCS 4.1 Linux Kernel 4.1 (Longterm)
    11. 11. Feature Review UCS 4.1 Linux Kernel 4.1 (Longterm) Samba 4.3
    12. 12. Feature Review UCS 4.1 Linux Kernel 4.1 (Longterm) Samba 4.3 OpenLDAP 2.4.42
    13. 13. Feature Review UCS 4.1 Zwei-Faktor-Auth
    14. 14. Feature Review UCS 4.1 Zwei-Faktor-Auth UMC, SSH, SAML, RADIUS ... diverse Token, u.a. Yubikey, Smartphone Apps ...
    15. 15. Feature Review UCS 4.1 Dovecot + Postfix
    16. 16. Feature Review UCS 4.1 Dovecot + Postfix Dovecot neuer Standard-IMAP-Server Postfix Submission Port 587 verbesserte TLS Konfiguration mehr Anti-Spam-Maßnahmen
    17. 17. Feature Review UCS 4.1 System Fehlerdiagnose
    18. 18. Feature Review UCS 4.1
    19. 19. Feature Review UCS 4.1 Robuster: sysvol-sync
    20. 20. Feature Review UCS 4.1 Schneller: Initialisierung der Listener-Module
    21. 21. Feature Review UCS 4.1 Schneller: Initialisierung der Listener-Module Außerdem: TCP-KeepAlive
    22. 22. Feature Review UCS 4.1 Neu: univention-sudo ucr set auth/sudo=yes
    23. 23. Feature Review UCS 4.1 Geschlossene Issues: 284
    24. 24. Feature Review UCS 4.1 Geschlossene Issues: 284 SVN Commits: 1741
    25. 25. Image Credit Pictograms (all from the Noun Project) https://thenounproject.com delivery by Rigo Peter Database Server Icon by YuguDesign Bug Catcher by Krisada Comic Strip sudo: „Incident“ by Randall Munroe, https://xkcd.com/838/
    26. 26. Feature Review UCS 4.1
    27. 27. Vielen Dank für Ihre Aufmerksamkeit! Kontakt Michael Grandjean Univention GmbH grandjean@univention.de www.univention.de

    ×