Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste Überarbeitung Beide Seiten der Revision | ||
invis_server_wiki:upgrade:14.0_to_14.1 [2019/12/13 20:35] flacco angelegt |
invis_server_wiki:upgrade:14.0_to_14.1 [2019/12/15 19:22] flacco [Vorbereitung] |
||
---|---|---|---|
Zeile 2: | Zeile 2: | ||
Dieses Anleitung beschreibt den Weg zurück aus der Sackgasse, also den Weg von der kaum funktionierenden Kombination aus Samba und MIT-Kerberos zurück zu unseren Samba-Paketen mit Heimdal-Kerberos. | Dieses Anleitung beschreibt den Weg zurück aus der Sackgasse, also den Weg von der kaum funktionierenden Kombination aus Samba und MIT-Kerberos zurück zu unseren Samba-Paketen mit Heimdal-Kerberos. | ||
+ | |||
+ | Das Upgrade impliziert auch das Distributionsupgrade von openSUSE Leap 15.0 auf 15.1. | ||
+ | |||
+ | ===== Vorbereitung ===== | ||
+ | |||
+ | Sichern Sie alle Datenbanken des Servers. Sie können dafür die Tools des invis-Servers nutzen: | ||
+ | |||
+ | **ActiveDirectory** | ||
+ | |||
+ | <code> | ||
+ | invis:~ # adbackup | ||
+ | </code> | ||
+ | |||
+ | **Kopano** | ||
+ | |||
+ | Führen Sie hier beide Sicherungswege durch: | ||
+ | |||
+ | <code> | ||
+ | invis:~ # kdbdump | ||
+ | ... | ||
+ | invis:~ # kbackup | ||
+ | </code> | ||
+ | |||
+ | **Weitere Datenbanken** | ||
+ | |||
+ | <code> | ||
+ | invis:~ # alldump | ||
+ | </code> | ||
+ | |||
+ | **Dokuwiki** | ||
+ | |||
+ | <code> | ||
+ | invis:~ # dwdatasnapshot | ||
+ | </code> | ||
+ | |||
+ | Da mit der neuen auf MIT-Kerberos basierenden Samba-Version 4.7. die im Laufe des Upgrades installiert wird, werden überarbeitete AppArmor Profile notwendig. Um negative Effekte auf das Upgrade durch mögliche AppArmor-Blockaden vorzubereiten wird AppArmor vor dem Upgrade deaktiviert. | ||
+ | |||
+ | <code> | ||
+ | invis:~ # systemctl stop apparmor.service | ||
+ | ... | ||
+ | invis:~ # systemctl disable apparmor.service | ||
+ | </code> | ||
+ | |||
+ | Im späteren Verlauf des Upgrades wird AppArmor mit neuen Profilen wieder aktiviert. | ||
+ | |||
+ | Auch der Email-Abruf sollte vor dem Upgrade deaktiviert werden: | ||
+ | |||
+ | <code> | ||
+ | invis:~ # systemctl stop fetchmail.service | ||
+ | invis:~ # systemctl disable fetchmail.service | ||
+ | </code> | ||
+ | |||
+ | Auch der Samba Domain-Controller wird abgeschaltet. | ||
+ | |||
+ | <code> | ||
+ | invis:~ # systemctl stop samba.service | ||
+ | </code> | ||
+ | |||
+ | ===== Samba Upgrade ===== | ||
+ | |||
+ | Starten wir mit dem Upgrade der Samba AD-Umgebung. Das bedeutet einen Wechsel von den openSUSE-eigenen Samba-Paketen zurück zu Paketen die wir, das invis-Server-Projekt über eigene Repositories bereit stellen. | ||
+ | |||
+ | Beginnen wir damit das passende Repository einzubinden: | ||
+ | |||
+ | <code> | ||
+ | invis:~ # zypper ar https://download.opensuse.org/repositories/spins:/invis:/15:/stable:/samba/openSUSE_Leap_15.0/spins:invis:15:stable:samba.repo | ||
+ | invis:~ # zypper ref | ||
+ | </code> | ||
+ | |||
+ | Jetzt können die neuen Samba-Pakete installiert werden. Es wird dabei direkt von Samba-Version 4.7.x aus der openSUSE Distribution auf 4.10.x aus unseren eigenen Repositories aktualisiert. Dies erfordert ein wenig Nacharbeit. | ||
+ | |||
+ | Ermitteln Sie zunächst die Nummer des hinzugekommenen Samba-Repositories: | ||
+ | |||
+ | <code> | ||
+ | invis:~ # zypper repos | grep samba | ||
+ | 15 | spins_invis_15.0_samba | Samba 4.10 with Heimdal Kerberos (openSUSE_Leap_15.0) | Ja | (r ) Ja | Nein | ||
+ | invis:~ # | ||
+ | </code> | ||
+ | |||
+ | Im Beispiel trägt das neue Repository die Nr. 15, daraus ergibt sich das Kommando zum Paket-Upgrade: | ||
+ | |||
+ | <code> | ||
+ | invis:~ # zypper dup --from 15 --allow-vendor-change | ||
+ | </code> | ||
+ | |||
+ | Dieses Kommando löst eine Reihe Paketkonflikten aus. | ||
+ | |||
+ | Wählen Sie jeweils Lösung **2**: | ||
+ | |||
+ | <code> | ||
+ | ... | ||
+ | Lösung 2: Deinstallation von samba-python-4.7.11+git.186.d75219614c3-lp150.3.18.2.x86_64 | ||
+ | ... | ||
+ | </code> | ||
+ | |||
+ | <code> | ||
+ | ... | ||
+ | Lösung 2: Deinstallation von libsamba-policy0-4.7.11+git.186.d75219614c3-lp150.3.18.2.x86_64 | ||
+ | ... | ||
+ | </code> | ||
+ | |||
+ | <code> | ||
+ | ... | ||
+ | Lösung 2: Deinstallation von krb5-server-1.15.2-lp150.5.10.1.x86_64 | ||
+ | ... | ||
+ | </code> | ||
+ | |||
+ | Wundern Sie sich nicht über die Deinstallation des Kerberos-Server Paketes "krb5-server", genau das ist es ja worum es geht. Den Austausch des MIT-Kerberos Dienstes gegen den in unseren Paketen enthaltenen Heimdal KDC. | ||
+ | |||
+ | Nach dem Tausch der Samba-Pakete startet der Samba ActiveDirectory Dienst nicht automatisch. Dies liegt im Austausch des zugehörigen Service-Unit-Files begründet. Auch wenn die neue Datei den gleichen Namen trägt, weigert sich Systemd dies einfach so hinzunehmen. Notwendig ist ein Reload des Systemd: | ||
+ | |||
+ | <code> | ||
+ | invis:~ # systemctl daemon-reload | ||
+ | </code> | ||
+ | |||
+ | Danach lässt sich Samba wieder starten: | ||
+ | |||
+ | <code> | ||
+ | invis:~ # systemctl start samba-ad-dc.service | ||
+ | </code> | ||