Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste Überarbeitung Beide Seiten der Revision | ||
|
invis_server_wiki:upgrade [2016/04/23 09:14] flacco [Nacharbeit] |
invis_server_wiki:upgrade [2016/07/23 06:09] flacco [invisAD 10.4 -> invisAD 10.5] |
||
|---|---|---|---|
| Zeile 66: | Zeile 66: | ||
| Dabei stößt //**zypper**// auf einen Paketkonflikt mit dem Paket "php5-mapi-7.2.0". Wählen Sie hier Lösung 1, die Installation des erwähnten Paketes. Daraus resultiert kein weiteres Problem, da das Paket durch ein neues geringfügig anders benanntes Paket ersetzt wird. | Dabei stößt //**zypper**// auf einen Paketkonflikt mit dem Paket "php5-mapi-7.2.0". Wählen Sie hier Lösung 1, die Installation des erwähnten Paketes. Daraus resultiert kein weiteres Problem, da das Paket durch ein neues geringfügig anders benanntes Paket ersetzt wird. | ||
| + | |||
| + | Installiert werden muss auch das Paket "zarafa-compat": | ||
| + | |||
| + | <code> | ||
| + | linux:~ # zypper in zarafa-compat | ||
| + | </code> | ||
| Ist die Installation der neuen Pakete abgeschlossen, müssen manuell alle Reste der alten Paket-Struktur entfernt werden. Das lässt sich am besten per YaST erledigen. Suchen Sie hier in der Software-Verwaltung nach "zarafa" und entfernen Sie alle Pakete die "7.2.0" im Namen oder als Versionsnummer tragen. | Ist die Installation der neuen Pakete abgeschlossen, müssen manuell alle Reste der alten Paket-Struktur entfernt werden. Das lässt sich am besten per YaST erledigen. Suchen Sie hier in der Software-Verwaltung nach "zarafa" und entfernen Sie alle Pakete die "7.2.0" im Namen oder als Versionsnummer tragen. | ||
| Zeile 78: | Zeile 84: | ||
| linux:~ # chown -R zarafa.zarafa /srv/zarafa/ | linux:~ # chown -R zarafa.zarafa /srv/zarafa/ | ||
| linux:~ # chown -R zarafa.zarafa /var/log/zarafa/ | linux:~ # chown -R zarafa.zarafa /var/log/zarafa/ | ||
| - | linux:~ # choen -R .zarafa /etc/zarafa/* | + | linux:~ # chown -R .zarafa /etc/zarafa/* |
| + | linux:~ # chown -R zarafa.zarafa /var/lib/zarafa/ | ||
| </code> | </code> | ||
| Zeile 98: | Zeile 105: | ||
| </code> | </code> | ||
| - | Sie müssen jetzt Ihre individuellen Konfigurationen in die neue Datei übernehmen. Die wichtigen Anpassungen im Einzelnen: | + | Sie müssen jetzt Ihre individuellen Konfigurationen in die neue Datei übernehmen. |
| + | |||
| + | //**Hinweis:** Auf Systemen, die sowohl IPv4 als auch IPv6 unterstützen müssen Sie in allen Konfigurationstateien, in denen URLs genannt sind, die "localhost" enthalten, dies auf die IP-Adresse "127.0.0.1" ändern. Ansonsten wird der Name "localhost" in die IPv6 Adresse "::1" aufgelöst, womit Zarafa (derzeit) nicht umgehen kann.// | ||
| + | |||
| + | Alle weiteren wichtigen Anpassungen im Einzelnen: | ||
| **ical.cfg** | **ical.cfg** | ||
| Zeile 269: | Zeile 280: | ||
| //**Achtung:** Nicht enthalten ist der Lizenz-Dienst in den Open-Source Paketen.// | //**Achtung:** Nicht enthalten ist der Lizenz-Dienst in den Open-Source Paketen.// | ||
| + | Auch an der Konfiguration des License-Daemons muss der Pfad zum Zarafa-Socket an das neue Setup angepasst werden. | ||
| + | |||
| + | **licensed.cfg** | ||
| + | |||
| + | <code> | ||
| + | ... | ||
| + | # The URL on which we can contact zarafa-server | ||
| + | # default: file:///var/run/zarafa | ||
| + | server_socket = file:///var/run/zarafad/prio.sock | ||
| + | ... | ||
| + | </code> | ||
| + | |||
| + | //**Achtung:** Beobachten Sie nach dem Upgrade die Logfiles des Zarafa-Servers, stellen Sie notfalls die Log-Level der einzelnen Dienste vorübergehend hoch. Testen Sie jetzt alles aus. Sollten Fehler auftauchen (davon gab es bei meinen Upgrades reichlich), hat es sich als rettende Maßnahme erwiesen im Zweifel alle Zarafa-Pakete per YaST einfach noch einmal "drüber" zu installieren. Danach müssen erneut die Rechte an den Zarafa-Konfigurationsdateien wie eingangs beschrieben gesetzt werden.// | ||
| ==== "kleines Update" mit dem invis-updater Script ==== | ==== "kleines Update" mit dem invis-updater Script ==== | ||
| Zeile 397: | Zeile 421: | ||
| "gelöst". | "gelöst". | ||
| + | |||
| + | Fügen Sie jetzt als vorübergehenden Workaround für eine mit Version 4.2.9 eingeführte Sicherheitseinstellung folgende Zeile in <file>/etc/samba/smb.invis.conf</file> ein: | ||
| + | |||
| + | <code> | ||
| + | ... | ||
| + | ldap server require strong auth = no | ||
| + | ... | ||
| + | </code> | ||
| + | |||
| + | //**Hinweis:**Diese Einstellung verhindert, dass Sambas LDAP Dienst eine verschlüsselte Verbindung oder eine Kerberos-Authentifizierung erfordert. Die "starke" Authentifizierung erhöht die Sicherheit des LDAP-Dienstes deutlich, leider unterstützen einige Komponenten des invis-Servers bis einschließlich Version 10.4 noch nicht. Da auf einem invis-Server die Anmeldungen am LDAP-Dienst in der Regel nur über "localhost" erfolgen erwächst daraus kein erhöhtes Sicherheitsrisiko. Ab invis-Server Version 11.0 kann diese Einstellung wieder entfernt werden.// | ||
| Führen Sie jetzt das Script //**afterup**// aus: | Führen Sie jetzt das Script //**afterup**// aus: | ||
| Zeile 877: | Zeile 911: | ||
| Ansonsten gilt: **Wilkommen zu Ihrem aktuellen invis-Server** | Ansonsten gilt: **Wilkommen zu Ihrem aktuellen invis-Server** | ||
| - | ===== invisAD 10.4 -> invisAD 10.5 ===== | + | ===== invisAD 10.4 -> invisAD 11.0 ===== |
| - | Mit Version 10.5 des invis-Servers ergeben sich ein paar strukturelle Unterschiede. Allem voran geht dabei die Umstellung der "Public Key Infrastructure", also die Organisation von Schlüsseln und Zertifikaten für die verschiedenen Verschlüsselungsaufgaben. | + | Mit Version 11.0 des invis-Servers ergeben sich ein paar strukturelle Unterschiede. Allem voran geht dabei die Umstellung der "Public Key Infrastructure", also die Organisation von Schlüsseln und Zertifikaten für die verschiedenen Verschlüsselungsaufgaben. |
| Bisher wurden zwei sogenannte Zertifizierungsstellen (CA) erstellt, davon diente eine zur Verwaltung der Schlüssel und Zertifikate für die verschiedenen Serverdienste (LDAP, Mail, Web) und eine zweite ausschließlich für openVPN. Zur Pflege der Schlüssel- und Zertifikate wurde das Toolkit "easy-rsa" in Version 2.0 verwendet, der Rest direkt mit //**openssl**// und eigenen Scripten. | Bisher wurden zwei sogenannte Zertifizierungsstellen (CA) erstellt, davon diente eine zur Verwaltung der Schlüssel und Zertifikate für die verschiedenen Serverdienste (LDAP, Mail, Web) und eine zweite ausschließlich für openVPN. Zur Pflege der Schlüssel- und Zertifikate wurde das Toolkit "easy-rsa" in Version 2.0 verwendet, der Rest direkt mit //**openssl**// und eigenen Scripten. | ||
| Zeile 957: | Zeile 991: | ||
| <code> | <code> | ||
| - | linux:~ easyrsa gen-dh | + | linux:~ # openssl gendh -out $path/$domain/dh.pem -2 2048 |
| + | linux:~ # openssl gendh -out $path/$domain/dh_512.pem -2 512 | ||
| </code> | </code> | ||
| + | |||
| + | Die Diffie-Hellman Parameter-Dateien werden bewusst direkt mit //**openssl**// erstellt, da das Script //**easyrsa**// immer die in der Konfiguration vorgegebene Schlüssellänge verwendet. Diese sollte auf 4096Bit eingestellt sein. Der Bau einer 4096 Bit großen DH-Parameterdatei dauert allerdings je nach System mehrere Stunden. Außerdem wird für die überarbeitete Postfix-Konfiguration noch eine 512Bit lange Datei benötigt. | ||
| **CRL erzeugen** | **CRL erzeugen** | ||
| <code> | <code> | ||
| - | linux:~ easyrsa gen-crl | + | linux:~ # easyrsa gen-crl |
| </code> | </code> | ||
| Hierfür wird wieder das CA-Passwort benötigt. | Hierfür wird wieder das CA-Passwort benötigt. | ||
| + | |||
| + | === Aufbau der invis-Server Verzeichnisstruktur === | ||
| + | |||
| + | Es sind drei neue Verzeichnisse anzulegen: | ||
| + | |||
| + | <code> | ||
| + | linux:~ # mkdir /etc/invis/certs | ||
| + | linux:~ # mkdir /etc/invis/private | ||
| + | linux:~ # mkdir /etc/openvpn/keys | ||
| + | </code> | ||
| + | |||
| + | Jetzt muss das Stammzertifikat der Zertifizierungsstelle "verteilt" werden: | ||
| + | |||
| + | <code> | ||
| + | linux:~ # cp /etc/easy-rsa/yourdomain.tld/ca.crt /etc/invis/certs/ | ||
| + | linux:~ # cp /etc/easy-rsa/yourdomain.tld/ca.crt /etc/openvpn/keys/ | ||
| + | </code> | ||
| + | |||
| + | Ebenfalls zu kopieren sind die CRL, sowie die Diffie-Hellman-Parameter Dateien | ||
| + | |||
| + | <code> | ||
| + | linux:~ # cp /etc/easy-rsa/yourdomain.tld/dh.pem /etc/openvpn/keys/ | ||
| + | linux:~ # cp /etc/easy-rsa/yourdomain.tld/crl.pem /etc/openvpn/keys/ | ||
| + | linux:~ # cp /etc/easy-rsa/yourdomain.tld/dh*.pem /etc/postfix/ | ||
| + | </code> | ||
| + | |||
| + | Jetzt können wie im Abschnitt "invis Administration" beschrieben Schlüssel und Zertifikate für den Server erstellt werden. | ||
| + | |||
| + | Um die Umstellung zu komplettieren, müssen die Pfade zu Schlüsseln- und Zertifikaten in den Konfigurationsdateien des Apache-Webservers, von Postfix und ggf. Dovecot, von Samba und openVPN an die neuen Verzeichnisse und Dateinamen anzupassen. | ||
| + | |||
| + | Eine detaillierte Anleitung dafür folgt. | ||
| ====== invis-Classic -> invis-AD ====== | ====== invis-Classic -> invis-AD ====== | ||