Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste Überarbeitung Beide Seiten der Revision | ||
invis_server_wiki:upgrade:14.0_to_14.1 [2019/12/13 20:35] flacco angelegt |
invis_server_wiki:upgrade:14.0_to_14.1 [2019/12/15 19:55] flacco [Distributions-Upgrade] |
||
---|---|---|---|
Zeile 2: | Zeile 2: | ||
Dieses Anleitung beschreibt den Weg zurück aus der Sackgasse, also den Weg von der kaum funktionierenden Kombination aus Samba und MIT-Kerberos zurück zu unseren Samba-Paketen mit Heimdal-Kerberos. | Dieses Anleitung beschreibt den Weg zurück aus der Sackgasse, also den Weg von der kaum funktionierenden Kombination aus Samba und MIT-Kerberos zurück zu unseren Samba-Paketen mit Heimdal-Kerberos. | ||
+ | |||
+ | Das Upgrade impliziert auch das Distributionsupgrade von openSUSE Leap 15.0 auf 15.1. | ||
+ | |||
+ | ===== Vorbereitung ===== | ||
+ | |||
+ | Sichern Sie alle Datenbanken des Servers. Sie können dafür die Tools des invis-Servers nutzen: | ||
+ | |||
+ | **ActiveDirectory** | ||
+ | |||
+ | <code> | ||
+ | invis:~ # adbackup | ||
+ | </code> | ||
+ | |||
+ | **Kopano** | ||
+ | |||
+ | Führen Sie hier beide Sicherungswege durch: | ||
+ | |||
+ | <code> | ||
+ | invis:~ # kdbdump | ||
+ | ... | ||
+ | invis:~ # kbackup | ||
+ | </code> | ||
+ | |||
+ | **Weitere Datenbanken** | ||
+ | |||
+ | <code> | ||
+ | invis:~ # alldump | ||
+ | </code> | ||
+ | |||
+ | **Dokuwiki** | ||
+ | |||
+ | <code> | ||
+ | invis:~ # dwdatasnapshot | ||
+ | </code> | ||
+ | |||
+ | Da mit der neuen auf MIT-Kerberos basierenden Samba-Version 4.7. die im Laufe des Upgrades installiert wird, werden überarbeitete AppArmor Profile notwendig. Um negative Effekte auf das Upgrade durch mögliche AppArmor-Blockaden vorzubereiten wird AppArmor vor dem Upgrade deaktiviert. | ||
+ | |||
+ | <code> | ||
+ | invis:~ # systemctl stop apparmor.service | ||
+ | ... | ||
+ | invis:~ # systemctl disable apparmor.service | ||
+ | </code> | ||
+ | |||
+ | Im späteren Verlauf des Upgrades wird AppArmor mit neuen Profilen wieder aktiviert. | ||
+ | |||
+ | Auch der Email-Abruf sollte vor dem Upgrade deaktiviert werden: | ||
+ | |||
+ | <code> | ||
+ | invis:~ # systemctl stop fetchmail.service | ||
+ | invis:~ # systemctl disable fetchmail.service | ||
+ | </code> | ||
+ | |||
+ | Auch der Samba Domain-Controller wird abgeschaltet. | ||
+ | |||
+ | <code> | ||
+ | invis:~ # systemctl stop samba.service | ||
+ | </code> | ||
+ | |||
+ | ===== Samba Upgrade ===== | ||
+ | |||
+ | Starten wir mit dem Upgrade der Samba AD-Umgebung. Das bedeutet einen Wechsel von den openSUSE-eigenen Samba-Paketen zurück zu Paketen die wir, das invis-Server-Projekt über eigene Repositories bereit stellen. | ||
+ | |||
+ | Beginnen wir damit das passende Repository einzubinden: | ||
+ | |||
+ | <code> | ||
+ | invis:~ # zypper ar https://download.opensuse.org/repositories/spins:/invis:/15:/stable:/samba/openSUSE_Leap_15.0/spins:invis:15:stable:samba.repo | ||
+ | invis:~ # zypper ref | ||
+ | </code> | ||
+ | |||
+ | Jetzt können die neuen Samba-Pakete installiert werden. Es wird dabei direkt von Samba-Version 4.7.x aus der openSUSE Distribution auf 4.10.x aus unseren eigenen Repositories aktualisiert. Dies erfordert ein wenig Nacharbeit. | ||
+ | |||
+ | Ermitteln Sie zunächst die Nummer des hinzugekommenen Samba-Repositories: | ||
+ | |||
+ | <code> | ||
+ | invis:~ # zypper repos | grep samba | ||
+ | 15 | spins_invis_15.0_samba | Samba 4.10 with Heimdal Kerberos (openSUSE_Leap_15.0) | Ja | (r ) Ja | Nein | ||
+ | invis:~ # | ||
+ | </code> | ||
+ | |||
+ | Im Beispiel trägt das neue Repository die Nr. 15, daraus ergibt sich das Kommando zum Paket-Upgrade: | ||
+ | |||
+ | <code> | ||
+ | invis:~ # zypper dup --from 15 --allow-vendor-change | ||
+ | </code> | ||
+ | |||
+ | Dieses Kommando löst eine Reihe Paketkonflikten aus. | ||
+ | |||
+ | Wählen Sie jeweils Lösung **2**: | ||
+ | |||
+ | <code> | ||
+ | ... | ||
+ | Lösung 2: Deinstallation von samba-python-4.7.11+git.186.d75219614c3-lp150.3.18.2.x86_64 | ||
+ | ... | ||
+ | </code> | ||
+ | |||
+ | <code> | ||
+ | ... | ||
+ | Lösung 2: Deinstallation von libsamba-policy0-4.7.11+git.186.d75219614c3-lp150.3.18.2.x86_64 | ||
+ | ... | ||
+ | </code> | ||
+ | |||
+ | <code> | ||
+ | ... | ||
+ | Lösung 2: Deinstallation von krb5-server-1.15.2-lp150.5.10.1.x86_64 | ||
+ | ... | ||
+ | </code> | ||
+ | |||
+ | Wundern Sie sich nicht über die Deinstallation des Kerberos-Server Paketes "krb5-server", genau das ist es ja worum es geht. Den Austausch des MIT-Kerberos Dienstes gegen den in unseren Paketen enthaltenen Heimdal KDC. | ||
+ | |||
+ | Nach dem Tausch der Samba-Pakete startet der Samba ActiveDirectory Dienst nicht automatisch. Dies liegt im Austausch des zugehörigen Service-Unit-Files begründet. Auch wenn die neue Datei den gleichen Namen trägt, weigert sich Systemd dies einfach so hinzunehmen. Notwendig ist ein Reload des Systemd: | ||
+ | |||
+ | <code> | ||
+ | invis:~ # systemctl daemon-reload | ||
+ | </code> | ||
+ | |||
+ | Danach lässt sich Samba wieder starten: | ||
+ | |||
+ | <code> | ||
+ | invis:~ # systemctl start samba-ad-dc.service | ||
+ | </code> | ||
+ | |||
+ | Starten Sie ggf. noch die von Samba unmittelbar abhängigen Dienste wie "bind", "sssd" und "dhcpd" neu und testen Sie, ob alles funktioniert. D.h. Logins an der an der Domäne, Domänenbeitritt, Zugriff auf die Freigaben sollten funktionieren bevor Sie weiter machen. | ||
+ | |||
+ | Danach kann von openSUSE Leap 15.0 auf 15.1 aktualisiert werden. | ||
+ | |||
+ | ===== Distributions-Upgrade ===== | ||
+ | |||
+ | Der Sprung von openSUSE Leap 15.0 nach 15.1 ist deutlich unkomplizierter als der vorherige Schritt. Passen Sie zunächst die Repositories an: | ||
+ | |||
+ | <code> | ||
+ | invis:~ # sed -i 's/15\.0/15\.1/g' /etc/zypp/repos.d/* | ||
+ | </code> | ||
+ | |||
+ | Jetzt kann das Upgrade gestartet werden: | ||
+ | |||
+ | <code> | ||
+ | invis:~ # zypper ref | ||
+ | ... | ||
+ | invis:~ # zypper dup | ||
+ | </code> | ||
+ | |||
+ | Diesmal treten keine Paketkonflikte auf, ggf. aber wieder Dateikonflikte. Erlauben Sie das überschreiben der alten Dateien mit "ja". Danach starten Sie das System neu. | ||