Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste Überarbeitung Beide Seiten der Revision | ||
|
invis_server_wiki:upgrade [2016/07/05 09:03] flacco [Zarafa Upgrade von Version 7.2.0 auf 7.2.2] |
invis_server_wiki:upgrade [2016/07/23 07:02] flacco [Upgrade] |
||
|---|---|---|---|
| Zeile 85: | Zeile 85: | ||
| linux:~ # chown -R zarafa.zarafa /var/log/zarafa/ | linux:~ # chown -R zarafa.zarafa /var/log/zarafa/ | ||
| linux:~ # chown -R .zarafa /etc/zarafa/* | linux:~ # chown -R .zarafa /etc/zarafa/* | ||
| + | linux:~ # chown -R zarafa.zarafa /var/lib/zarafa/ | ||
| </code> | </code> | ||
| Zeile 290: | Zeile 291: | ||
| ... | ... | ||
| </code> | </code> | ||
| + | |||
| + | //**Achtung:** Beobachten Sie nach dem Upgrade die Logfiles des Zarafa-Servers, stellen Sie notfalls die Log-Level der einzelnen Dienste vorübergehend hoch. Testen Sie jetzt alles aus. Sollten Fehler auftauchen (davon gab es bei meinen Upgrades reichlich), hat es sich als rettende Maßnahme erwiesen im Zweifel alle Zarafa-Pakete per YaST einfach noch einmal "drüber" zu installieren. Danach müssen erneut die Rechte an den Zarafa-Konfigurationsdateien wie eingangs beschrieben gesetzt werden.// | ||
| ==== "kleines Update" mit dem invis-updater Script ==== | ==== "kleines Update" mit dem invis-updater Script ==== | ||
| Zeile 418: | Zeile 421: | ||
| "gelöst". | "gelöst". | ||
| + | |||
| + | Fügen Sie jetzt als vorübergehenden Workaround für eine mit Version 4.2.9 eingeführte Sicherheitseinstellung folgende Zeile in <file>/etc/samba/smb.invis.conf</file> ein: | ||
| + | |||
| + | <code> | ||
| + | ... | ||
| + | ldap server require strong auth = no | ||
| + | ... | ||
| + | </code> | ||
| + | |||
| + | //**Hinweis:**Diese Einstellung verhindert, dass Sambas LDAP Dienst eine verschlüsselte Verbindung oder eine Kerberos-Authentifizierung erfordert. Die "starke" Authentifizierung erhöht die Sicherheit des LDAP-Dienstes deutlich, leider unterstützen einige Komponenten des invis-Servers bis einschließlich Version 10.4 noch nicht. Da auf einem invis-Server die Anmeldungen am LDAP-Dienst in der Regel nur über "localhost" erfolgen erwächst daraus kein erhöhtes Sicherheitsrisiko. Ab invis-Server Version 11.0 kann diese Einstellung wieder entfernt werden.// | ||
| Führen Sie jetzt das Script //**afterup**// aus: | Führen Sie jetzt das Script //**afterup**// aus: | ||
| Zeile 446: | Zeile 459: | ||
| </code> | </code> | ||
| - | Durch Auswahl von "Lösung 1" lies sich das Problem beheben. Da sie auch die Blockade eines "systemd" Updates verursachte wird auch diese Update gleich mit erledigt. | + | Durch Auswahl von "Lösung 1" lies sich das Problem beheben. Da sie auch die Blockade eines "systemd" Updates verursachte wird auch diese Update gleich mit erledigt. Sollte ein weiterer, ähnlicher Konflikt folgen, kann dieser auch durch Lösung 1 behoben werden. |
| Sie können sich jetzt mit | Sie können sich jetzt mit | ||
| Zeile 464: | Zeile 477: | ||
| === Clamav === | === Clamav === | ||
| - | Das Clamav beim regulären Update nicht vollständig aktualisiert wurde liegt daran, dass für openSUSE 13.1 lediglich Version 0.99 zur Verfügung steht. Das Bugfix-Release 0.99.1 stellen wir über unser invis-common Repository zur Verfügung. D.h. Das Upgrade erfordert also einen Anbieter-Wechsel. | + | Wenn Clamav beim regulären Update nicht vollständig aktualisiert wurde, liegt daran, dass für openSUSE 13.1 keine aktuelle Clamav Version zur Verfügung steht. Alternativ stellen wir aktuelle Bugfix-Releases über unser invis-common Repository zur Verfügung. D.h. Das Upgrade erfordert also einen Anbieter-Wechsel. |
| - | Der Versuch Clamav zu aktualisieren liefert folgenden Hinweis: | + | Der Versuch Clamav zu aktualisieren liefert dann folgenden Hinweis: |
| <code> | <code> | ||
| Zeile 478: | Zeile 491: | ||
| </code> | </code> | ||
| - | Entsprechend dem Hinweis sieht dann das Upgrade aus: | + | Wird dies nicht angezeigt, wurde bereits eine aktuelle Version installiert. |
| + | |||
| + | Entsprechend obigem Hinweis sieht dann das Upgrade aus: | ||
| <code> | <code> | ||
| Zeile 667: | Zeile 682: | ||
| Das Upgrade lief etwa eine Stunde. Obwohl ich vermutet hatte, dass es mit Grub Probleme geben würde, habe ich mich zu einem direkten Reboot entschieden und mein System startete nicht mehr. | Das Upgrade lief etwa eine Stunde. Obwohl ich vermutet hatte, dass es mit Grub Probleme geben würde, habe ich mich zu einem direkten Reboot entschieden und mein System startete nicht mehr. | ||
| - | Um das zu beheben habe ich zur "Super-Grub-Disk" gegriffen **(und das ist an einem 1. April ein ECHTER Spaß)** und mein System gestartet, was ebenfalls problemlos funktionierte. | + | Um das zu beheben habe ich zur "Super-Grub-Disk" gegriffen **[[https://www.youtube.com/watch?v=CDqQWXYD2RI|(und das ist an einem 1. April ein ECHTER Spaß)]]** und mein System gestartet, was ebenfalls problemlos funktionierte. |
| Zum Beheben der Probleme genügte es Grub neu in die MBRs aller Festplatten zu installieren: | Zum Beheben der Probleme genügte es Grub neu in die MBRs aller Festplatten zu installieren: | ||
| Zeile 678: | Zeile 693: | ||
| Der nächste Reboot funktioniert dann ohne Super-Grub-Disk (hätte man auch vorher erledigen können), allerdings ohne unser invis-Grub-Theme. Das wiederherzustellen ist aber allenfalls Kosmetik und fällt in die Rubrik Nacharbeit. | Der nächste Reboot funktioniert dann ohne Super-Grub-Disk (hätte man auch vorher erledigen können), allerdings ohne unser invis-Grub-Theme. Das wiederherzustellen ist aber allenfalls Kosmetik und fällt in die Rubrik Nacharbeit. | ||
| - | ...und Nacharbeit gibt es, wäre ja auch ein bisschen zuviel des Guten, wenn ein System nach Neuinstallation von mehr als 1300 Paketen Problemlos funktioniert. | + | ...und Nacharbeit gibt es, wäre ja auch ein bisschen zu viel des Guten, wenn ein System nach Neuinstallation von mehr als 1300 Paketen Problemlos funktioniert. |
| === Nacharbeit === | === Nacharbeit === | ||
| Zeile 898: | Zeile 913: | ||
| Ansonsten gilt: **Wilkommen zu Ihrem aktuellen invis-Server** | Ansonsten gilt: **Wilkommen zu Ihrem aktuellen invis-Server** | ||
| - | ===== invisAD 10.4 -> invisAD 10.5 ===== | + | ===== invisAD 10.4 -> invisAD 11.0 ===== |
| - | Mit Version 10.5 des invis-Servers ergeben sich ein paar strukturelle Unterschiede. Allem voran geht dabei die Umstellung der "Public Key Infrastructure", also die Organisation von Schlüsseln und Zertifikaten für die verschiedenen Verschlüsselungsaufgaben. | + | Mit Version 11.0 des invis-Servers ergeben sich ein paar strukturelle Unterschiede. Allem voran geht dabei die Umstellung der "Public Key Infrastructure", also die Organisation von Schlüsseln und Zertifikaten für die verschiedenen Verschlüsselungsaufgaben. |
| Bisher wurden zwei sogenannte Zertifizierungsstellen (CA) erstellt, davon diente eine zur Verwaltung der Schlüssel und Zertifikate für die verschiedenen Serverdienste (LDAP, Mail, Web) und eine zweite ausschließlich für openVPN. Zur Pflege der Schlüssel- und Zertifikate wurde das Toolkit "easy-rsa" in Version 2.0 verwendet, der Rest direkt mit //**openssl**// und eigenen Scripten. | Bisher wurden zwei sogenannte Zertifizierungsstellen (CA) erstellt, davon diente eine zur Verwaltung der Schlüssel und Zertifikate für die verschiedenen Serverdienste (LDAP, Mail, Web) und eine zweite ausschließlich für openVPN. Zur Pflege der Schlüssel- und Zertifikate wurde das Toolkit "easy-rsa" in Version 2.0 verwendet, der Rest direkt mit //**openssl**// und eigenen Scripten. | ||
| - | Das Toolkit "easy-rsa" liegt inzwischen in Version 3.0 vor und wurde im Zuge der Weiterentwicklung deutlich verbessert. Nach ersten Tests damit war klar, dass easy-rsa 3.0 ideal zur Verwaltung aller Schlüssel- und Zertifikaten eines invis-Servers ist. Kurzum ab Version 10.5 verfügen invis-Server nur noch über eine mit easy-rsa erstellte Zertifizierungsstelle. | + | Das Toolkit "easy-rsa" liegt inzwischen in Version 3.0 vor und wurde im Zuge der Weiterentwicklung deutlich verbessert. Nach ersten Tests damit war klar, dass easy-rsa 3.0 ideal zur Verwaltung aller Schlüssel- und Zertifikaten eines invis-Servers ist. Kurzum ab Version 11.0 verfügen invis-Server nur noch über eine mit easy-rsa erstellte Zertifizierungsstelle. |
| Aus dem bisherigen Script //**serverkeys**// zur Generierung von Serverzertifikaten wurde //**inviscerts**//. Die Handhabung des Scripts wird im Abschnitt "invis Administration" erläutert. | Aus dem bisherigen Script //**serverkeys**// zur Generierung von Serverzertifikaten wurde //**inviscerts**//. Die Handhabung des Scripts wird im Abschnitt "invis Administration" erläutert. | ||
| - | Beim Upgrade von 10.4 auf 10.5 müssen die Schritte zum Aufbau einer PKI die //**sine**// während des Setups erledigt manuell vorgenommen werden. | + | Beim Upgrade von 10.4 auf 11.0 müssen die Schritte zum Aufbau einer PKI die //**sine**// während des Setups erledigt manuell vorgenommen werden. |
| ==== Aufbau einer Public Key Infrastruktur mit easy-rsa ==== | ==== Aufbau einer Public Key Infrastruktur mit easy-rsa ==== | ||