Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste Überarbeitung Beide Seiten der Revision | ||
|
invis_server_wiki:installation:basesetup-140 [2018/05/26 08:20] flacco [Basis-Installation] |
invis_server_wiki:installation:basesetup-140 [2018/05/26 10:11] flacco [Netzwerkkonfiguration] |
||
|---|---|---|---|
| Zeile 3: | Zeile 3: | ||
| Eine Schritt für Schritt Anleitung zur Installation eines openSUSE Leap ollte wohl nicht erforderlich sein. Daher hier nur ein paar Anmerkungen zum Festplatten-Management, der Software-Paket-Auswahl sowie der anschließenden Netzwerkkonfiguration. | Eine Schritt für Schritt Anleitung zur Installation eines openSUSE Leap ollte wohl nicht erforderlich sein. Daher hier nur ein paar Anmerkungen zum Festplatten-Management, der Software-Paket-Auswahl sowie der anschließenden Netzwerkkonfiguration. | ||
| - | Zur Installation eines invis-Servers ab Version 14.0 wird ein openSUSE Leap 15.x vorausgesetzt. | + | Zur Installation eines invis-Servers ab Version 14.0 wird ein [[https://software.opensuse.org/distributions/leap | openSUSE Leap 15.x]] vorausgesetzt. |
| + | //**Bevor Sie starten:** Schalten Sie gerade bei neuer Hardware im **[[https://de.wikipedia.org/wiki/Unified_Extensible_Firmware_Interface | UEFI]]** Ihres Systems die Secure-Boot Funktion ab. Dies ist Voraussetzung dafür, dass das nachfolgend beschriebene Partitionierungsbeispiel funktioniert.// | ||
| ===== Software-Auswahl ===== | ===== Software-Auswahl ===== | ||
| - | Für den invis-Server müssen Sie keine zusätzliche Software installieren, das erledigt unser Setup-Tool von selbst.{{ :invis_server_wiki:installation:01_online-repos.png|}} | + | Für die Installation eines invis-Servers müssen Sie über die Auswahl des Installationsmusters (Systemrolle) "Server" keine zusätzliche Software installieren, das erledigt unser Setup-Tool von selbst.{{ :invis_server_wiki:auswahl_installationstyp.png?200|}} |
| - | Das Setup mit YaST bietet die Möglichkeit, vor der eigentlichen Installation zur Verfügung stehende Online-Repositories einzubinden. Machen Sie davon Gebrauch, da in diesem Fall nach der Installation bereits alle anstehenden Updates eingespielt wurden. | + | Das Setup mit YaST bietet die Möglichkeit, vor der eigentlichen Installation zur Verfügung stehende Online-Repositories einzubinden. Machen Sie davon Gebrauch, da in diesem Fall nach der Installation bereits alle anstehenden Updates eingespielt wurden. Klicken Sie zur Konfiguration der Online-Repositories einfach auf die entsprechende Schaltfläche. Die Voreingestellt Auswahl der einzubindenden Repositories muss nicht erweitert oder geändert werden. |
| - | Ein paar Bilder weiter, werden die einzubindenden Repositories angezeigt, hier können Sie den Vorschlag einfach übernehmen. | + | |
| - | Starten Sie die Installation des Servers von der Netz-Installations-CD und folgen Sie den Anweisungen bis zu dem Punkt, an dem Sie sich für ein Desktop-System entscheiden sollen. Wählen Sie "Minimale Serverauswahl (Textmodus)" aus. Ein grafisches Desktop-System wird für den Betrieb des Servers nicht benötigt.{{ :invis_server_wiki:installation:03_desktop_auswahl.png|}} | + | Starten Sie die Installation des Servers von der Netz-Installations-CD und folgen Sie den Anweisungen bis zu dem Punkt, an dem Sie sich für eine Systemrolle entscheiden sollen. Wählen Sie wie in der Abbildung gezeigt "Server" aus. Ein grafisches Desktop-System wird für den Betrieb eines invis-Servers nicht benötigt, ist aber möglich. |
| ===== Festplatten-Management ===== | ===== Festplatten-Management ===== | ||
| + | Dem Festplattenmanagement sollten Sie besondere Aufmerksamkeit widmen, schließlich geht es um sinnvolle Nutzung Ihres Plattenplatzes, der Sicherheit Ihrer Daten und der Wartbarkeit des Servers. Wir erläutern das Management beispielhaft anhand eines von uns in der Praxis meist genutzten Setups. | ||
| Wir gehen hier davon aus, dass Sie keinen Hardware-RAID-Controller im Einsatz haben, sondern statt dessen auf ein Linux-Sowftware-RAID setzen. Vorteil dieser Methode ist auf jeden Fall, die Hardware-Unabhängigkeit sowie der Preisvorteil. Die Investition in einen Hardware-RAID-Controller macht sich hinsichtlich der höheren Performance bemerkbar. | Wir gehen hier davon aus, dass Sie keinen Hardware-RAID-Controller im Einsatz haben, sondern statt dessen auf ein Linux-Sowftware-RAID setzen. Vorteil dieser Methode ist auf jeden Fall, die Hardware-Unabhängigkeit sowie der Preisvorteil. Die Investition in einen Hardware-RAID-Controller macht sich hinsichtlich der höheren Performance bemerkbar. | ||
| Zeile 19: | Zeile 20: | ||
| Weiterhin gehen wir von einem einfachen Setup mit lediglich zwei Festplatten aus. Die Verwendung von mehr Festplatten und höheren RAID-Leveln läuft aber prinzipiell nach dem gleichen Schema ab. | Weiterhin gehen wir von einem einfachen Setup mit lediglich zwei Festplatten aus. Die Verwendung von mehr Festplatten und höheren RAID-Leveln läuft aber prinzipiell nach dem gleichen Schema ab. | ||
| - | Unabhängig von der Größe der eingesetzten Festplatten bevorzugen wir eine GPT-basierte Partitionierung. Es hat sich gezeigt, dass dies im Falle eines Festplattendefekts weitaus weniger Probleme bereitet, als eine MBR basierte Partitionierung. Wenn Sie mit YaST partitionieren müssen Sie also bevor Sie Partitionen anlegen auf jeden Fall eine GPT Partitionstabelle anlegen (Festplatte auswählen -> Schaltfläche "Experte" -> Partitionstabelle anlegen -> GPT). | + | Unabhängig von der Größe der eingesetzten Festplatten bevorzugen wir eine GPT-basierte Partitionierung. Es hat sich gezeigt, dass dies im Falle eines Festplattendefekts weitaus weniger Probleme bereitet, als eine MBR basierte Partitionierung. Die Verwendung von GPT Partitionstabellen ist ab openSUSE Leap die Vorgabe, Sie müssen also nichts anpassen. |
| Ziel des Setups ist also eine GPT-basierte Partitionierung. Dafür muss am Anfang jeder Platte (deaktiviertes Secure Boot vorausgesetzt) eine 8MB große Patition vom Typ "BIOS Boot" angelegt werden, in die Grub seine Boot-Records speichert. Es folgen zwei Swap-Partitionen von max. 1-2GB Größe. Der verbleibende Platz wird mit zwei Partitionen des Typs "Linux RAID" belegt, die zu einem RAID1-Verbund kombiniert werden. Darauf aufbauend wird die Verteilung des zur Verfügung stehenden Platzes mittels Logical-Volume-Management (LVM) erledigt. Alle Überlegungen lassen sich im Verlauf der Installation bequem mit YaST vornehmen. | Ziel des Setups ist also eine GPT-basierte Partitionierung. Dafür muss am Anfang jeder Platte (deaktiviertes Secure Boot vorausgesetzt) eine 8MB große Patition vom Typ "BIOS Boot" angelegt werden, in die Grub seine Boot-Records speichert. Es folgen zwei Swap-Partitionen von max. 1-2GB Größe. Der verbleibende Platz wird mit zwei Partitionen des Typs "Linux RAID" belegt, die zu einem RAID1-Verbund kombiniert werden. Darauf aufbauend wird die Verteilung des zur Verfügung stehenden Platzes mittels Logical-Volume-Management (LVM) erledigt. Alle Überlegungen lassen sich im Verlauf der Installation bequem mit YaST vornehmen. | ||
| + | |||
| + | Alternativ zu zwei individuellen Swap-Partitionen, können Sie auch ein Swap-Volume im Rahmen des nachfolgend beschriebenen Volumemanagement realisieren. | ||
| //**Hinweis:** Wer sich statt dessen an einem vollständig manuellen Setup versuchen möchten findet **[[:invis_server_wiki:installation:diskprep|hier]]** eine nicht ganz aktuelle Anleitung.// | //**Hinweis:** Wer sich statt dessen an einem vollständig manuellen Setup versuchen möchten findet **[[:invis_server_wiki:installation:diskprep|hier]]** eine nicht ganz aktuelle Anleitung.// | ||
| - | //**Hinweis:** Einige Funktionen des invis-Portals sowie des invis Server eigenen Backup-Tools gehen zwingend von der Kombination aus Software-RAID und LVM aus. Wählen Sie ein anderes Setup können diese Funktionen nicht genutzt werden.// | + | //**Hinweis:** Einige Funktionen des invis-Portals sowie des invis Server eigenen Backup-Tools gehen zwingend von der Kombination aus Software-RAID und LVM aus. Wählen Sie ein anderes Setup können diese Funktionen nicht oder nicht vollständig genutzt werden.// |
| Einen Überblick über das für invis-Server angestrebte Datenträger-Layout, bietet folgende Grafik: | Einen Überblick über das für invis-Server angestrebte Datenträger-Layout, bietet folgende Grafik: | ||
| Zeile 33: | Zeile 36: | ||
| //**Hinweis:** Lesen Sie für Systeme mit Festplatten größer 2TB und/oder aktiviertem UEFI-Boot bitte die entsprechenden Hinweise [[http://wiki.invis-server.org/doku.php/invis_server_wiki:installation:diskprep#festplatten_groesser_2tb_uefi_boot_secure_boot|hier]].// | //**Hinweis:** Lesen Sie für Systeme mit Festplatten größer 2TB und/oder aktiviertem UEFI-Boot bitte die entsprechenden Hinweise [[http://wiki.invis-server.org/doku.php/invis_server_wiki:installation:diskprep#festplatten_groesser_2tb_uefi_boot_secure_boot|hier]].// | ||
| - | Folgen Sie den Instalationsanweisungen der Setup-Routine bis zur Festplatten-Partitionierung. Klicken Sie hier auf die Schaltfläche "Partitions-Setup erstellen..." -> "Benutzerdefinierte Partitionierung (für Experten)".{{ :invis_server_wiki:installation:02_partitionierer-auswahl.png|}} | + | Folgen Sie den Installationsanweisungen der Setup-Routine bis zur Festplatten-Partitionierung. Klicken Sie hier auf die Schaltfläche "Experten-Partitionierer" -> "Start mit vorhandenen Partitionen".{{ :invis_server_wiki:installation:ausgangspunkt_partitionierung.png?300|}} |
| Legen Sie auf jeder der beiden (hoffentlich identischen) Festplatten folgende Partitionen an: | Legen Sie auf jeder der beiden (hoffentlich identischen) Festplatten folgende Partitionen an: | ||
| Zeile 44: | Zeile 47: | ||
| Fügen Sie das RAID-Device md0 einer LVM-Volumegroup hinzu. Legen Sie auf dieser Volumegroup Logical-Volumes für die Mountpoints /, /var, /home und /srv an. Bevorzugtes Dateisystem hierbei ist generell **ext4**. | Fügen Sie das RAID-Device md0 einer LVM-Volumegroup hinzu. Legen Sie auf dieser Volumegroup Logical-Volumes für die Mountpoints /, /var, /home und /srv an. Bevorzugtes Dateisystem hierbei ist generell **ext4**. | ||
| - | //**Achtung:** Bei der Verwendung von XFS, wie inzwischen vom YaST-Partitionierer vorgeschlagen kommt es zu Problemen bei Datensicherungsstrategieen auf Basis von LVM-Snapshots.// | + | //**Achtung:** Bei der Verwendung von XFS, wie inzwischen vom YaST-Partitionierer vorgeschlagen kommt es zu Problemen bei Datensicherungsstrategien auf Basis von LVM-Snapshots.// |
| - | Die Größen der einzelnen LVs sind von verschiedenen Faktoren abhängig. Für / (root-Dateisystem) sollten 8GB immer ausreichen. Die Größe von /var ist vor allem davon abhängig, welches Datenaufkommen Sie für SQL-Datenbanken und ggf. emails erwarten. Auch die Wahl des IMAP-Servers ist entscheidend. Dovecot legt den gesamten Datenbestand unter "/var/spool/mail" ab, während Kopano die emails selbst in der eigenen MySQL-Datenbank speichert, deren Attachements aber zuvor abtrennt und in unserem Setup unter "/srv/kopano" speichert. | + | Die Größen der einzelnen LVs sind von verschiedenen Faktoren abhängig. Für / (root-Dateisystem) sollten 8GB immer ausreichen. Die Größe von /var ist vor allem davon abhängig, welches Datenaufkommen Sie für SQL-Datenbanken und ggf. emails erwarten. Auch die Wahl des IMAP-Servers ist entscheidend. Dovecot legt den gesamten Datenbestand unter "/var/spool/mail" ab, während Kopano die emails selbst in der eigenen MySQL-Datenbank speichert, deren Attachments aber zuvor abtrennt und in unserem Setup unter "/srv/kopano" speichert. |
| Den Großteil des verbleibenden Rests sollten Sie auf /home und /srv verteilen. Hier gilt: Arbeiten die Anwender vor allem im Team gemeinsam an Projekten ist /srv mit viel Platz zu bedenken. Haben Sie es mit einer Horde von Individualisten zu tun, sollten Sie /home mit viel Platz bedenken. | Den Großteil des verbleibenden Rests sollten Sie auf /home und /srv verteilen. Hier gilt: Arbeiten die Anwender vor allem im Team gemeinsam an Projekten ist /srv mit viel Platz zu bedenken. Haben Sie es mit einer Horde von Individualisten zu tun, sollten Sie /home mit viel Platz bedenken. | ||
| Zeile 54: | Zeile 57: | ||
| ===== Anpassungen ===== | ===== Anpassungen ===== | ||
| - | Mit Einführung von openSUSE Leap 42.1 läuft das openSUSE Setup geringfügig anders ab. Hier ist bei der Minimal-Installation keine Firewall mehr vorgesehen. Da diese aber für den invis-Server elementar ist, sollte in der Zusammenfassung der Installationseinstellungen die Firewall und der SSH-Daemon aktiviert und dann natürlich auch der SSH-Port freigegeben werden. | + | Im Anschluss an Systemrollenwahl, Partitionierung und Zeiteinstellung werden Sie gebeten einen ersten Benutzer für das System anzulegen. Dies ist nicht notwendig. Wählen Sie einfach den Punkt "Benutzereinstellung überspringen" aus.{{ :invis_server_wiki:installation:firewall_und_ssh.png?300|}} |
| - | Die entsprechenden Einstellungen lassen sich in der Installationszusammenfassung vornehmen. | + | Damit Sie Ihren Server direkt nach dem Setup per SSH erreichen können, ist der SSH Dienst zu aktivieren und der entsprechende Port (22) in der Firewall zu öffnen. Anders als bei den Leap 42.x Versionen ist ab Leap 15.0 die Firewall wieder grundsätzlich aktiv. Nebenbei sei bemerkt, dass es sich hierbei nicht mehr um die "SuSEfirewall2", sondern den von RedHat entwickelten "firewalld" handelt. Klicken Sie in der Installationszusammenfassung unter Punkt "Firewall und SSH" auf die beiden Links "Aktivieren" und "Öffnen". |
| - | Bestätigen Sie Ihre Einstellungen und überlassen Sie Ihren zukünftigen Server für eine Weile sich selbst; Zeit für ein [[https://en.opensuse.org/openSUSE:Beer|Bier]] ;-). | + | Bestätigen Sie Ihre Einstellungen und überlassen Sie Ihren zukünftigen Server für eine Weile sich selbst; Zeit für ein **[[https://en.opensuse.org/openSUSE:Beer|Bier]]** ;-). |
| - | Sollten Sie bei der Installation nicht die Online-Repositories hinzugefügt haben, führen Sie nach Abschluß der Installation zunächst ein vollständiges Online-Update durch. Hierzu bietet sich entweder YaST oder die direkte Verwendung des Paketmanagers //**zypper**// an: | + | Sollten Sie bei der Installation nicht die Online-Repositories hinzugefügt haben, führen Sie nach Abschluss der Installation zunächst ein vollständiges Online-Update durch. Hierzu bietet sich entweder YaST oder die direkte Verwendung des Paketmanagers //**zypper**// an: |
| <code> | <code> | ||
| Zeile 77: | Zeile 80: | ||
| - **spins:invis:stable** - Stabile Version der invis-Server Setup Pakets. Nutzen Sie dieses Repository für produktiv genutzte invis-Server | - **spins:invis:stable** - Stabile Version der invis-Server Setup Pakets. Nutzen Sie dieses Repository für produktiv genutzte invis-Server | ||
| - **spins:invis:unstable** - In Entwicklung befindliche Versionen der invis-Server Setup Pakets. Nutzen Sie dieses Repository, wenn Sie uns mit Rat, Tat, Lob oder Kritik bei der Weiterentwicklung unterstützen möchten. | - **spins:invis:unstable** - In Entwicklung befindliche Versionen der invis-Server Setup Pakets. Nutzen Sie dieses Repository, wenn Sie uns mit Rat, Tat, Lob oder Kritik bei der Weiterentwicklung unterstützen möchten. | ||
| - | |||
| - | Ab invis-Server Version 12.0 bieten wir eigene Samba-Pakete inkl. Active-Directory an. Diese werden in gesonderten Repositories bereit gestellt. Auch hier wird zwischen "stable" und "unstable" unterschieden: | ||
| - | |||
| - | - **spins:invis:stable:samba46** - Stabile und getestete Samba-Pakete | ||
| - | - **spins:invis:unstable:samba** - Experimentelle Samba-Pakete zum Testen. Auch hier wünschen wir uns Feedback. | ||
| Zur Einbindung des gewünschten Repositories haben wir mit //**invisprep**// ein Script erstellt, welches diesen Schritt automatisch durchführt. | Zur Einbindung des gewünschten Repositories haben wir mit //**invisprep**// ein Script erstellt, welches diesen Schritt automatisch durchführt. | ||
| Zeile 94: | Zeile 92: | ||
| linux:~ # wget -O invisprep.gz http://wiki.invis-server.org/lib/exe/fetch.php/invis_server_wiki:invisprep.gz | linux:~ # wget -O invisprep.gz http://wiki.invis-server.org/lib/exe/fetch.php/invis_server_wiki:invisprep.gz | ||
| </code> | </code> | ||
| - | |||
| - | //**Hinweis:** invisprep wurde bereits so angepasst, dass invis-Server 13.0 damit bereits aus dem unstable Zweig installiert werden kann.// | ||
| Danach kann das invis-Setup Paket installiert werden: | Danach kann das invis-Setup Paket installiert werden: | ||
| Zeile 101: | Zeile 97: | ||
| <code> | <code> | ||
| linux:~ # zypper ref | linux:~ # zypper ref | ||
| - | linux:~ # zypper in invisAD-setup-12 | + | linux:~ # zypper in invisAD-setup-13 |
| </code> | </code> | ||
| + | |||
| + | (Stand Mai 2018: Für die Stable-Installation lesen Sie bitte [[https://wiki.invis-server.org/doku.php/invis_server_wiki:installation#installation_invis_ad_ab_version_110|hier]] weiter.) | ||
| oder "unstable" | oder "unstable" | ||
| Zeile 108: | Zeile 106: | ||
| <code> | <code> | ||
| linux:~ # zypper ref | linux:~ # zypper ref | ||
| - | linux:~ # zypper in invisAD-setup-13 | + | linux:~ # zypper in invisAD-setup-14 |
| </code> | </code> | ||
| Zeile 115: | Zeile 113: | ||
| //**Hinweis:** Dass bei der Installation des invisAD-setup RPMs sehr viele weitere Software-Pakete installiert werden ist normal. ;-)// | //**Hinweis:** Dass bei der Installation des invisAD-setup RPMs sehr viele weitere Software-Pakete installiert werden ist normal. ;-)// | ||
| - | //**Hinweis:** Beim Installieren des Setup-Paketes bemängelt **zypper** einen Paketkonflikt bezüglich des Nameservers "bind". Wählen Sie Lösungsvorschlag Nr.: **1**// | + | //**Hinweis:** Beim Installieren des Setup-Paketes bemängelt **zypper** einen Paketkonflikt bezüglich unseres eigenen DHCP-Server Pakets "invisdhcp". Wählen Sie Lösungsvorschlag Nr.: **1**// |
| ===== Netzwerkkonfiguration ===== | ===== Netzwerkkonfiguration ===== | ||
| Zeile 123: | Zeile 121: | ||
| * Der Name muss dem Schema **//host.domain.tld//** gehorchen. (//host.tld// ist **nicht** zulässig!) | * Der Name muss dem Schema **//host.domain.tld//** gehorchen. (//host.tld// ist **nicht** zulässig!) | ||
| - | * Für die Top-Level-Domain (TLD) muss eine Fantasie-Domain wie beispielsweise //**.loc**//, //**.local**// oder //**.lan**// verwendet werden. Die Verwendung einer im Internet gültigen Domain führt zu Problemen beim Routing und dem EMail-Handling. | + | * Für die Top-Level-Domain (TLD) sollte eine Fantasie-Domain wie beispielsweise //**.loc**//, //**.lan**// oder //**.corp**// verwendet werden. Die Verwendung einer im Internet gültigen bzw. bereits vergebenen Domain führt zu Problemen beim Routing und dem EMail-Handling. |
| + | |||
| + | //**Hinweis:** Dieses Thema ist hoch umstritten. Die für die Zulassung von Top-Level-Domains zuständige Organisation ICANN warnt wegen der ständig neu zugelassenen TLDs vor Domain-Kollisionen, hat aber die Vergabe von beispielsweise .corp auf unbestimmte Zeit zurück gestellt. [[https://heise.de/-2062606|Infos zum Thema]]. Unserer Meinung nach fällt es gerade kleineren Unternehmen, an die sich unser Projekt ja wendet, schwer auch für interne Zwecke mit offiziell registrierten Domains zu arbeiten. Es steht Ihnen natürlich frei dies zu tun.// | ||
| Um die Benennung der Netzwerkschnittstellen mit den einzelnen Firewall-Zonen eines invis-Servers in Verbindung zu bringen, haben wir uns entschlossen, auf Basis von udev-Regeln klare Namen für die Netzwerkschnittstellen zu vergeben. Auch die Benennung der im Laufe des Setups einzurichtenden VPN-Schnittstelle wurde ein entsprechender Name gegeben: | Um die Benennung der Netzwerkschnittstellen mit den einzelnen Firewall-Zonen eines invis-Servers in Verbindung zu bringen, haben wir uns entschlossen, auf Basis von udev-Regeln klare Namen für die Netzwerkschnittstellen zu vergeben. Auch die Benennung der im Laufe des Setups einzurichtenden VPN-Schnittstelle wurde ein entsprechender Name gegeben: | ||