Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste Überarbeitung Beide Seiten der Revision | ||
|
invis_server_wiki:upgrade:13.5_to_14.1 [2019/08/29 09:20] flacco [Konfigurationsanpassung invis Portal] |
invis_server_wiki:upgrade:13.5_to_14.1 [2019/08/29 14:09] flacco [invis-Server Upgrade von 13.5 auf 14.1] |
||
|---|---|---|---|
| Zeile 3: | Zeile 3: | ||
| Richtig gelesen, wir lassen invis-Server Version 14.0 aus. Begründet liegt dies in den unverhofft aufgetretenen Probleme mit den in openSUSE Leap enthaltenen Samba-Paketen. Zum Hintergrund. Mit openSUSE Leap 15.0 wurden seitens openSUSE Samba-Pakete mit ActiveDirectory-Domain-Controller Funktion ausgeliefert. Darauf haben wir lange gewartet. Diese nutzen jedoch statt der von den Samba-Entwicklern integrierten Kerberos-Implementation Heimdal, den aus der Distribution stammenden MIT-Kerberos-Server. | Richtig gelesen, wir lassen invis-Server Version 14.0 aus. Begründet liegt dies in den unverhofft aufgetretenen Probleme mit den in openSUSE Leap enthaltenen Samba-Paketen. Zum Hintergrund. Mit openSUSE Leap 15.0 wurden seitens openSUSE Samba-Pakete mit ActiveDirectory-Domain-Controller Funktion ausgeliefert. Darauf haben wir lange gewartet. Diese nutzen jedoch statt der von den Samba-Entwicklern integrierten Kerberos-Implementation Heimdal, den aus der Distribution stammenden MIT-Kerberos-Server. | ||
| - | Wie sich in der Praxis herausstellte, war das ein riesiges Problem, das Kerberos damit einfach nicht korrekt funktioniert. Kurz wir haben in den sauren Apfel gebissen und begonnen wieder eigene Samba-Pakete mit Heimdal-Kerberos zu bauen. Lesen Sie dazu auch unseren Blog-Beitrag **[[https://blog.invis-server.org/rolle-rueckwaerts/|Rolle Rückwärts]]** um die lange Geschichte zu erfahren. | + | Wie sich in der Praxis herausstellte, war das ein riesiges Problem. Kerberos funktioniert damit einfach nicht korrekt. Kurz wir haben in den sauren Apfel gebissen und begonnen wieder eigene Samba-Pakete mit Heimdal-Kerberos zu bauen. Lesen Sie dazu auch unseren Blog-Beitrag **[[https://blog.invis-server.org/rolle-rueckwaerts/|Rolle Rückwärts]]** um die lange Geschichte zu erfahren. |
| Weiterhin basiert invis-Server 14.1 bereits auf openSUSE Leap 15.1, d.h. es müssen 2 Distributionsupgrades in Folge gemacht werden. | Weiterhin basiert invis-Server 14.1 bereits auf openSUSE Leap 15.1, d.h. es müssen 2 Distributionsupgrades in Folge gemacht werden. | ||
| - | //**Hinweis:** Die folgende Anleitung setzt voraus, dass Ihr Server definitiv auf dem Stand von Version 13.5 ist, also bereits PHP7 und ownCloud 10.x verwendet. Ist das nicht der Fall müssen Sie zunächst auf Version 13.5 aktualisieren. Eine Anleitung dazu finden Sie hier.// | + | //**Hinweis:** Die folgende Anleitung setzt voraus, dass Ihr Server __**definitiv**__ auf dem Stand von Version 13.5 ist, also bereits PHP7 und ownCloud 10.x verwendet. Ist das nicht der Fall müssen Sie zunächst auf Version 13.5 aktualisieren. Eine Anleitung dazu finden Sie hier.// |
| ===== Vorbereitung ===== | ===== Vorbereitung ===== | ||
| Zeile 315: | Zeile 315: | ||
| invis:~ # old /etc/invis/invis-pws.conf | invis:~ # old /etc/invis/invis-pws.conf | ||
| invis:~ # cp /etc/invis/invis-pws.conf.rpmsave /etc/invis/invis-pws.conf | invis:~ # cp /etc/invis/invis-pws.conf.rpmsave /etc/invis/invis-pws.conf | ||
| + | </code> | ||
| + | |||
| + | Für die neue Version des Samba-Servers haben wir neue Apparmor-Profile erstellt, die Sie installieren müssen: | ||
| + | |||
| + | <code> | ||
| + | invis:~ # cp /usr/share/sine/templates/samba_ad/apparmor/* /etc/apparmor.d/ | ||
| + | </code> | ||
| + | |||
| + | Starten Sie Apparmor jetzt neu: | ||
| + | |||
| + | <code> | ||
| + | invis:~ # systemctl restart apparmor.service | ||
| </code> | </code> | ||
| Zeile 424: | Zeile 436: | ||
| Damit ist auch die Konfiguration des invis-Portals auf Stand. | Damit ist auch die Konfiguration des invis-Portals auf Stand. | ||
| + | Legen Sie abschließend im Administrationsbereich des invis-Portals die Gruppe "diradmins" an, sie benötigt **kein** Gruppenarbeitsverzeichnis und sollte vom Typ "Team" sein. | ||
| + | |||
| + | Mitglieder der Gruppe haben die Berechtigung Verzeichnisvorlagen für die Gruppenarbeitsverzeichnisse anzulegen und zu bearbeiten. | ||
| ==== Zugriffsrechte der Netzwerkfreigaben wiederherstellen ==== | ==== Zugriffsrechte der Netzwerkfreigaben wiederherstellen ==== | ||
| Zeile 432: | Zeile 447: | ||
| </code> | </code> | ||
| + | Damit ist das invis-Server Setup auf aktuellem Stand. | ||
| - | ...to be continued | + | ===== Inbetriebnahme des Firewall-Daemons (firewalld) ===== |
| - | ===== Kopano Konfiguration anpassen ===== | + | Mit Erscheinen der openSUSE Leap Version 15.0 ist SUSE vom jahrelang selbst entwickelten Firewall-System "**SuSEfirewall2**" auf den von RedHat entwickelten "**firewalld**" umgestiegen. Diesen Umstieg müssen Sie mit Hilfe von //**sine2**// vollziehen. |
| - | ...to be continued | + | Bevor es los geht, sollten Sie dafür sorgen, dass die SuSEfirewall2 nach einem Reboot nicht mehr gestartet wird: |
| + | <code> | ||
| + | invis:~ # systemctl disable SuSEfirewall2.service | ||
| + | </code> | ||
| + | ...und deaktivieren Sie sie: | ||
| + | |||
| + | <code> | ||
| + | invis:~ # systemctl disable SuSEfirewall2.service | ||
| + | </code> | ||
| + | |||
| + | Um das sine2-Firewall-Modul aufrufen zu können bedarf es eines Tricks. Normalerweise ist dieses Modul kein optionales Modul, kann also nicht einzeln aufgerufen werden. Genau das muss für den nächsten Schritt geändert werden. Öffnen Sie dazu in Ihrem Editor folgende Datei: <file>/usr/share/sine/registered-modules.txt</file> | ||
| + | |||
| + | Ändern Sie darin die Zeile: | ||
| + | |||
| + | <code> | ||
| + | ... | ||
| + | 13:d:firewall | ||
| + | ... | ||
| + | </code> | ||
| + | |||
| + | auf | ||
| + | |||
| + | <code> | ||
| + | ... | ||
| + | 13:o:firewall | ||
| + | ... | ||
| + | </code> | ||
| + | |||
| + | ab. | ||
| + | |||
| + | Jetzt können Sie das Firewall-Modul direkt aufrufen. Es kümmert sich um alles weitere: | ||
| + | |||
| + | <code> | ||
| + | invis:~ # sine2 firewall | ||
| + | </code> | ||
| + | |||
| + | Damit ist auch der neue Firewall-Daemon in Betrieb genommen. | ||
| + | ===== Kopano wieder in Betrieb nehmen ===== | ||
| + | |||
| + | Stoppen Sie zunächst ggf. laufende Kopano-Dienste: | ||
| + | |||
| + | <code> | ||
| + | invis:~ # runkopano stop | ||
| + | </code> | ||
| + | |||
| + | Nach den verschiedenen Upgrades fehlt Kopano unter Umständen das Recht auf seine Schlüsseldatei <file>/etc/invis/certs/kopano.pem</file> zuzugreifen. Evtl. befindet sich in der Konfiguration des Serverdienstes noch ein falscher Pfad, der Systembenutzer "kopano" muss mittlerweile Mitglied der Gruppe "pkeys" sein und die Datei "kopano.pem" befindet sich noch gar nicht am genannten Ort. Abhängig ist dies vom Ausgangspunkt des Upgrades. | ||
| + | |||
| + | Letzteres lässt sich einfach beheben: | ||
| + | |||
| + | <code> | ||
| + | invis:~ # mkkopanokey | ||
| + | </code> | ||
| + | |||
| + | Diesen Befehl können Sie einfach auf Verdacht ausführen, er richtet keinen Schaden an. | ||
| + | |||
| + | Um Kopano in die Gruppe "pkeys" aufzunehmen bearbeiten Sie die Datei <file>/etc/groups</file> unter Verwendung des Kommandos //**vigr**// (vi Kenntnisse vorausgesetzt!). Suchen Sie die Zeile "pkeys" und ergänzen Sie sie wie folgt: | ||
| + | |||
| + | <code> | ||
| + | ... | ||
| + | pkeys:x:998:wwwrun,kopano | ||
| + | ... | ||
| + | </code> | ||
| + | |||
| + | Kontrollieren Sie jetzt noch in <file>/etc/kopano/server.cfg</file> in Zeile (ca.) 195 ob der korrekte Pfad (siehe oben) angegeben ist. | ||
| + | |||
| + | Testen Sie jetzt, ob sich der Kopano-Serverdienst starten lässt: | ||
| + | |||
| + | <code> | ||
| + | invis:~ # systemctl start kopano-server.service | ||
| + | </code> | ||
| + | |||
| + | Kontrollieren Sie dies einfach mit: | ||
| + | |||
| + | <code> | ||
| + | invis:~ # systemctl status kopano-server.service | ||
| + | </code> | ||
| + | |||
| + | Läuft der Server-Dienst, müssen Anpassungen an der Datenbank vorgenommen werden. Dies erledigt das Kommando: | ||
| + | |||
| + | <code> | ||
| + | invis:~ # kopano-dbadm usmp | ||
| + | </code> | ||
| + | |||
| + | Je nach Datenbankgröße kann das eine ganze Weile dauern. Starten Sie im Anschluss daran den Kopano-Server-Dienst neu: | ||
| + | |||
| + | <code> | ||
| + | invis:~ # systemctl restart kopano-server.service | ||
| + | </code> | ||
| + | |||
| + | Kontrollieren Sie das Ende der Kopano-Server Logdatei auf Fehler: | ||
| + | |||
| + | <code> | ||
| + | invis:~ # less /var/log/kopano/server.log | ||
| + | </code> | ||
| + | |||
| + | Im Idealfall ist alles OK. | ||
| + | |||
| + | Nach dem Upgrade fehlt für den Kopano-Search Dienst ein Python3 Paket, installieren Sie es wie folgt nach: | ||
| + | |||
| + | <code> | ||
| + | invis:~ # zypper in python3-magic | ||
| + | </code> | ||
| + | |||
| + | Danach sollte sich auch dieser Dienst starten lassen: | ||
| + | |||
| + | <code> | ||
| + | invis:~ # systemctl start kopano-search.service | ||
| + | </code> | ||
| + | |||
| + | Auch dies sollten Sie überprüfen: | ||
| + | |||
| + | <code> | ||
| + | invis:~ # systemctl status kopano-search.service | ||
| + | </code> | ||
| + | |||
| + | Der Kopano-Gateway Dienst benötigt eine neue Konfigurationsdatei. Hier können Sie einfach unsere Vorlage aus dem invis-Setup-Paket nutzen. Sichern Sie zuvor vorsichtshalber die bestehende Datei: | ||
| + | |||
| + | <code> | ||
| + | invis:~ # old /etc/kopano/gateway.cfg | ||
| + | moving /etc/kopano/gateway.cfg to /etc/kopano/gateway.cfg-20190829 | ||
| + | invis:~ # cp /usr/share/sine/templates/groupware/kopano/gateway.cfg /etc/kopano/ | ||
| + | </code> | ||
| + | |||
| + | Starten Sie jetzt den Gateway-Dienst und kontrollieren Sie ihn: | ||
| + | |||
| + | <code> | ||
| + | invis:~ # systemctl start kopano-gateway.service | ||
| + | </code> | ||
| + | |||
| + | Auch dies sollten Sie überprüfen: | ||
| + | |||
| + | <code> | ||
| + | invis:~ # systemctl status kopano-gateway.service | ||
| + | </code> | ||
| + | |||
| + | Auch dabei ist bei unseren Tests nichts schief gegangen. | ||
| + | |||
| + | Gehen Sie identisch beim Kopano-ical Dienst vor: | ||
| + | |||
| + | <code> | ||
| + | invis:~ # old /etc/kopano/ical.cfg | ||
| + | moving /etc/kopano/ical.cfg to /etc/kopano/ical.cfg-20190829 | ||
| + | invis:~ # cp /usr/share/sine/templates/groupware/kopano/ical.cfg /etc/kopano/ | ||
| + | </code> | ||
| + | |||
| + | <code> | ||
| + | invis:~ # systemctl start kopano-ical.service | ||
| + | </code> | ||
| + | |||
| + | Auch dies sollten Sie überprüfen: | ||
| + | |||
| + | <code> | ||
| + | invis:~ # systemctl status kopano-ical.service | ||
| + | </code> | ||
| + | |||
| + | Zu guter Letzt fehlt noch eine zusätzliche Konfigurationsdatei, die Sie ebenfalls aus unseren Vorlagen beziehen können: | ||
| + | |||
| + | <code> | ||
| + | invis:~ # cp /usr/share/sine/templates/groupware/kopano/admin.cfg /etc/kopano/ | ||
| + | </code> | ||
| + | |||
| + | Sollten Sie die kommerzielle Kopano-Erweiterung "Files" installiert haben müssen Sie noch ein PHP-Paket austauschen: | ||
| + | |||
| + | <code> | ||
| + | invis:~ # zypper in php7-smbclient | ||
| + | </code> | ||
| + | |||
| + | Das zu ersetzende Paket wird dabei automatisch deinstalliert. Starten Sie anschließend den Apache-Webserver neu: | ||
| + | |||
| + | <code> | ||
| + | invis:~ # systemctl restart apache2.service | ||
| + | </code> | ||
| + | |||
| + | Sie können jetzt noch einmal alle Kopano-Dienste im Block, stoppen, starten und überprüfen: | ||
| + | |||
| + | <code> | ||
| + | invis:~ # runkopano stop | ||
| + | invis:~ # runkopano start | ||
| + | invis:~ # runkopano status | ||
| + | </code> | ||
| + | |||
| + | Laufen alle Dienst, ist auch das Kopano Upgrade abgeschlossen. | ||
| + | |||
| + | ===== Kimai aktualisieren ===== | ||
| + | |||
| + | Wenn Sie die Zeiterfassungssoftware Kimai auf dem invis-Server nutzen, muss dessen Datenbank an die während des Upgrades installierte neue Kimai-Version angepasst werden. Dieser Vorgang läuft völlig automatisch ab. Öffnen Sie Kimai einfach wie gewohnt und folgen Sie den Anweisungen. | ||
| + | |||
| + | ===== ownCloud aktualisieren ===== | ||
| + | |||
| + | Zur Aktualisierung von ownCloud (falls erforderlich) finden Sie hier im Wiki einen eigenen [[https://wiki.invis-server.org/doku.php/invis_server_wiki:upgrade:owncloudupgrade|Artikel]]. | ||
| + | |||
| + | Normalerweise sollten aber folgende Kommandos ausreichen um ownCloud auf Stand zu bringen: | ||
| + | |||
| + | <code> | ||
| + | invis:~ # sudo -u wwwrun /srv/www/htdocs/owncloud/occ upgrade | ||
| + | ... | ||
| + | invis:~ # sudo -u wwwrun /srv/www/htdocs/owncloud/occ maintenance:mode --off | ||
| + | </code> | ||
| + | **Bleibt nur noch: Viel Spaß mit Ihrem invis-Server 14.1!** | ||