====== invis-Server Upgrade von 14.0 auf 14.1 ======

Dieses Anleitung beschreibt den Weg zurück aus der Sackgasse, also den Weg von der kaum funktionierenden Kombination aus Samba und MIT-Kerberos zurück zu unseren Samba-Paketen mit Heimdal-Kerberos.

Das Upgrade impliziert auch das Distributionsupgrade von openSUSE Leap 15.0 auf 15.1.

===== Vorbereitung =====

Sichern Sie alle Datenbanken des Servers. Sie können dafür die Tools des invis-Servers nutzen:

**ActiveDirectory**

<code>
invis:~ # adbackup
</code>

**Kopano**

Führen Sie hier beide Sicherungswege durch:

<code>
invis:~ # kdbdump
...
invis:~ # kbackup
</code>

**Weitere Datenbanken**

<code>
invis:~ # alldump
</code>

**Dokuwiki**

<code>
invis:~ # dwdatasnapshot
</code>

Da mit der neuen auf MIT-Kerberos basierenden Samba-Version 4.7. die im Laufe des Upgrades installiert wird, werden überarbeitete AppArmor Profile notwendig. Um negative Effekte auf das Upgrade durch mögliche AppArmor-Blockaden vorzubereiten wird AppArmor vor dem Upgrade deaktiviert.

<code>
invis:~ # systemctl stop apparmor.service
...
invis:~ # systemctl disable apparmor.service
</code>

Im späteren Verlauf des Upgrades wird AppArmor mit neuen Profilen wieder aktiviert.

Auch der Email-Abruf sollte vor dem Upgrade deaktiviert werden:

<code>
invis:~ # systemctl stop fetchmail.service
invis:~ # systemctl disable fetchmail.service
</code>

Auch der Samba Domain-Controller wird abgeschaltet.

<code>
invis:~ # systemctl stop samba-ad-dc.service
</code>

===== Samba Upgrade =====

Starten wir mit dem Upgrade der Samba AD-Umgebung. Das bedeutet einen Wechsel von den openSUSE-eigenen Samba-Paketen zurück zu Paketen die wir, das invis-Server-Projekt über eigene Repositories bereit stellen.

Beginnen wir damit das passende Repository einzubinden:

<code>
invis:~ # zypper ar https://download.opensuse.org/repositories/spins:/invis:/15:/stable:/samba/openSUSE_Leap_15.0/spins:invis:15:stable:samba.repo
invis:~ # zypper ref
</code>

Jetzt können die neuen Samba-Pakete installiert werden. Es wird dabei direkt von Samba-Version 4.7.x aus der openSUSE Distribution auf 4.10.x aus unseren eigenen Repositories aktualisiert. Dies erfordert ein wenig Nacharbeit.

Ermitteln Sie zunächst die Nummer des hinzugekommenen Samba-Repositories:

<code>
invis:~ # zypper repos | grep samba
15 | spins_invis_15.0_samba     | Samba 4.10 with Heimdal Kerberos  (openSUSE_Leap_15.0)             | Ja        | (r ) Ja         | Nein
invis:~ # 
</code>

Im Beispiel trägt das neue Repository die Nr. 15, daraus ergibt sich das Kommando zum Paket-Upgrade:

<code>
invis:~ # zypper dup --from 15 --allow-vendor-change
</code>

Dieses Kommando löst eine Reihe Paketkonflikten aus. 

Wählen Sie jeweils Lösung **2**:

<code>
...
 Lösung 2: Deinstallation von samba-python-4.7.11+git.186.d75219614c3-lp150.3.18.2.x86_64
...
</code>

<code>
...
 Lösung 2: Deinstallation von libsamba-policy0-4.7.11+git.186.d75219614c3-lp150.3.18.2.x86_64
...
</code>

<code>
...
 Lösung 2: Deinstallation von krb5-server-1.15.2-lp150.5.10.1.x86_64
...
</code>

Wundern Sie sich nicht über die Deinstallation des Kerberos-Server Paketes "krb5-server", genau das ist es ja worum es geht. Den Austausch des MIT-Kerberos Dienstes gegen den in unseren Paketen enthaltenen Heimdal KDC.

Nach dem Tausch der Samba-Pakete startet der Samba ActiveDirectory Dienst nicht automatisch. Dies liegt im Austausch des zugehörigen Service-Unit-Files begründet. Auch wenn die neue Datei den gleichen Namen trägt, weigert sich Systemd dies einfach so hinzunehmen. Notwendig ist ein Reload des Systemd:

<code>
invis:~ # systemctl daemon-reload
</code>

Danach lässt sich Samba wieder starten:

<code>
invis:~ # systemctl start samba-ad-dc.service
</code>

Starten Sie ggf. noch die von Samba unmittelbar abhängigen Dienste wie "bind", "sssd" und "dhcpd" neu und testen Sie, ob alles funktioniert. D.h. Logins an der an der Domäne, Domänenbeitritt, Zugriff auf die Freigaben sollten funktionieren bevor Sie weiter machen.

Danach kann von openSUSE Leap 15.0 auf 15.1 aktualisiert werden.

===== Kopano und Distributions-Upgrade =====

Der Sprung von openSUSE Leap 15.0 nach 15.1 schließt ein Upgrade von Kopano mit ein. Das macht es ein wenig umständlicher als üblich. Passen Sie zunächst die Repositories an:

<code>
invis:~ # sed -i 's/15\.0/15\.1/g' /etc/zypp/repos.d/*
</code>

Am Repository der kopano-Webapp muss eine Anpassung vorgenommen werden. Ändern Sie in Datei <file>/etc/zypp/repos.d/Kopano-Webapp-Limited.repo</file> die Zeile "baseurl=" wie folgt ab.

Aus:
<code>
baseurl=https://download.kopano.io/limited/webapp:/final/openSUSE_Leap_15.1/
</code>
wird
<code>
baseurl=https://download.kopano.io/limited/webapp:/final/SLE_15/
</code>

Jetzt muss noch die Datei <file>/root/.zypp/credentials.cat</file> mit den Zugangsdaten zu den Kopano-Repositories angepasst werden. Auch hier müssen die URLs an die neuen Repositories angepasst werden.

<code>
[https://download.kopano.io/limited/core:/final/openSUSE_Leap_15.1/]
username = kopanokonto
password = supergeheim

[https://download.kopano.io/limited/webapp:/final/SLE_15/]
username = kopanokonto
password = supergeheim
</code>

Jetzt kann das Upgrade gestartet werden:

<code>
invis:~ # zypper ref
...
invis:~ # zypper dup
</code>

Durch die Veränderung der Kopano-Repositories erfolgen bei den zu aktualisierenden Kopano-Pakete einige "Anbieterwechsel" (Vendor-Change). Diese müssen Sie manuell bestätigen:

<code>
Problem: Problem mit installiertem Paket kopano-backup-8.7.5.0-lp150.43.1.x86_64
 Lösung 1: kopano-backup-8.7.12.0-lp151.21.1.x86_64 installieren (mit Anbieterwechsel)
  obs://private/core:pre-final --> obs://private/core:final
</code>

Richtig ist hier und bei allen 34 folgenden Fragen Lösung 1.

Weitere Paketkonflikte treten nicht auf, ggf. aber wieder Dateikonflikte. Erlauben Sie das überschreiben der alten Dateien mit "ja". Danach starten Sie das System neu.

===== invis-Setup aktualisieren =====

Mit Upgrade auf invis-Server Version 14.1 haben ein paar neue Funktionen Einzug gehalten, die sich auf die Konfiguration des Server auswirken. Dazu gehört, dass das Tool **//diskchecker//** auch die absolvierte Laufzeit der Server-Festplatten ermittelt. Im invis-Portal werden diese dann im Verhältnis zu garantierten Laufzeit dieses Festplattentyps dargestellt. Dafür muss die Datei <file>/etc/invis/invis.conf</file> um folgende Einträge ergänzt werden:

<code>
# Disk Warranty Time - Garantiezeitraum der eingesetzten Festplatten
# 5 Jahre = 43800 Stunden (Gilt für die meisten 24/7 Festplatten)
# 3 Jahre = 26280 Stunden (Gilt für gute Consumer Festplatten)
# 1 Jahr = 14140 Stunde (Gilt für Low-Budged Festplatten)
diskWarrantyTime:43800
</code>

Tragen Sie für ''diskWarrantyTime'' den Wert ein den Ihnen der Hersteller Ihrer Festplatten gewährt.

Heben Sie in der gleichen Datei noch die invis-Server Versionsnummer noch von 14.0 auf 14.1 an.

<code>
#invis-server Version
invisVersion:14.1
</code>

Abschließend sind noch in der Konfiguration des invis-Portals <file>/etc/invis/portal/config.php</file>die Versionsnummerneinträge anzupassen:

<code>
$INVISVERSION = '14.1';
$OPENSUSEVERSION = '15.1';
</code>

Damit ist auch dieser Schritt abgeschlossen.

===== ClamAV und Abschluss =====

Wer möchte kann auch seine ClamAV-Installation auf Stand bringen. Die von openSUSE Leap 15.x ausgelieferte Version ist nicht auf der Höhe der Zeit. Daher bieten wir eine aktuelle Version über unser Common-Repository an.

Dazu genügt folgender Befehl:

<code>
invis:~ # zypper up --allow-vendor-change clamav
</code>

Aktivieren Sie den Email-Abruf wieder:

<code>
invis:~ # systemctl start fetchmail.service
invis:~ # systemctl enable fetchmail.service
</code>

Damit ist das Server-Upgrade abgeschlossen.