Dieses Anleitung beschreibt den Weg zurück aus der Sackgasse, also den Weg von der kaum funktionierenden Kombination aus Samba und MIT-Kerberos zurück zu unseren Samba-Paketen mit Heimdal-Kerberos.
Das Upgrade impliziert auch das Distributionsupgrade von openSUSE Leap 15.0 auf 15.1.
Sichern Sie alle Datenbanken des Servers. Sie können dafür die Tools des invis-Servers nutzen:
ActiveDirectory
invis:~ # adbackup
Kopano
Führen Sie hier beide Sicherungswege durch:
invis:~ # kdbdump ... invis:~ # kbackup
Weitere Datenbanken
invis:~ # alldump
Dokuwiki
invis:~ # dwdatasnapshot
Da mit der neuen auf MIT-Kerberos basierenden Samba-Version 4.7. die im Laufe des Upgrades installiert wird, werden überarbeitete AppArmor Profile notwendig. Um negative Effekte auf das Upgrade durch mögliche AppArmor-Blockaden vorzubereiten wird AppArmor vor dem Upgrade deaktiviert.
invis:~ # systemctl stop apparmor.service ... invis:~ # systemctl disable apparmor.service
Im späteren Verlauf des Upgrades wird AppArmor mit neuen Profilen wieder aktiviert.
Auch der Email-Abruf sollte vor dem Upgrade deaktiviert werden:
invis:~ # systemctl stop fetchmail.service invis:~ # systemctl disable fetchmail.service
Auch der Samba Domain-Controller wird abgeschaltet.
invis:~ # systemctl stop samba-ad-dc.service
Starten wir mit dem Upgrade der Samba AD-Umgebung. Das bedeutet einen Wechsel von den openSUSE-eigenen Samba-Paketen zurück zu Paketen die wir, das invis-Server-Projekt über eigene Repositories bereit stellen.
Beginnen wir damit das passende Repository einzubinden:
invis:~ # zypper ar https://download.opensuse.org/repositories/spins:/invis:/15:/stable:/samba/openSUSE_Leap_15.0/spins:invis:15:stable:samba.repo invis:~ # zypper ref
Jetzt können die neuen Samba-Pakete installiert werden. Es wird dabei direkt von Samba-Version 4.7.x aus der openSUSE Distribution auf 4.10.x aus unseren eigenen Repositories aktualisiert. Dies erfordert ein wenig Nacharbeit.
Ermitteln Sie zunächst die Nummer des hinzugekommenen Samba-Repositories:
invis:~ # zypper repos | grep samba 15 | spins_invis_15.0_samba | Samba 4.10 with Heimdal Kerberos (openSUSE_Leap_15.0) | Ja | (r ) Ja | Nein invis:~ #
Im Beispiel trägt das neue Repository die Nr. 15, daraus ergibt sich das Kommando zum Paket-Upgrade:
invis:~ # zypper dup --from 15 --allow-vendor-change
Dieses Kommando löst eine Reihe Paketkonflikten aus.
Wählen Sie jeweils Lösung 2:
... Lösung 2: Deinstallation von samba-python-4.7.11+git.186.d75219614c3-lp150.3.18.2.x86_64 ...
... Lösung 2: Deinstallation von libsamba-policy0-4.7.11+git.186.d75219614c3-lp150.3.18.2.x86_64 ...
... Lösung 2: Deinstallation von krb5-server-1.15.2-lp150.5.10.1.x86_64 ...
Wundern Sie sich nicht über die Deinstallation des Kerberos-Server Paketes „krb5-server“, genau das ist es ja worum es geht. Den Austausch des MIT-Kerberos Dienstes gegen den in unseren Paketen enthaltenen Heimdal KDC.
Nach dem Tausch der Samba-Pakete startet der Samba ActiveDirectory Dienst nicht automatisch. Dies liegt im Austausch des zugehörigen Service-Unit-Files begründet. Auch wenn die neue Datei den gleichen Namen trägt, weigert sich Systemd dies einfach so hinzunehmen. Notwendig ist ein Reload des Systemd:
invis:~ # systemctl daemon-reload
Danach lässt sich Samba wieder starten:
invis:~ # systemctl start samba-ad-dc.service
Starten Sie ggf. noch die von Samba unmittelbar abhängigen Dienste wie „bind“, „sssd“ und „dhcpd“ neu und testen Sie, ob alles funktioniert. D.h. Logins an der an der Domäne, Domänenbeitritt, Zugriff auf die Freigaben sollten funktionieren bevor Sie weiter machen.
Danach kann von openSUSE Leap 15.0 auf 15.1 aktualisiert werden.
Der Sprung von openSUSE Leap 15.0 nach 15.1 schließt ein Upgrade von Kopano mit ein. Das macht es ein wenig umständlicher als üblich. Passen Sie zunächst die Repositories an:
invis:~ # sed -i 's/15\.0/15\.1/g' /etc/zypp/repos.d/*
Am Repository der kopano-Webapp muss eine Anpassung vorgenommen werden. Ändern Sie in Datei
/etc/zypp/repos.d/Kopano-Webapp-Limited.repo
die Zeile „baseurl=“ wie folgt ab.
Aus:
baseurl=https://download.kopano.io/limited/webapp:/final/openSUSE_Leap_15.1/
wird
baseurl=https://download.kopano.io/limited/webapp:/final/SLE_15/
Jetzt muss noch die Datei
/root/.zypp/credentials.cat
mit den Zugangsdaten zu den Kopano-Repositories angepasst werden. Auch hier müssen die URLs an die neuen Repositories angepasst werden.
[https://download.kopano.io/limited/core:/final/openSUSE_Leap_15.1/] username = kopanokonto password = supergeheim [https://download.kopano.io/limited/webapp:/final/SLE_15/] username = kopanokonto password = supergeheim
Jetzt kann das Upgrade gestartet werden:
invis:~ # zypper ref ... invis:~ # zypper dup
Durch die Veränderung der Kopano-Repositories erfolgen bei den zu aktualisierenden Kopano-Pakete einige „Anbieterwechsel“ (Vendor-Change). Diese müssen Sie manuell bestätigen:
Problem: Problem mit installiertem Paket kopano-backup-8.7.5.0-lp150.43.1.x86_64 Lösung 1: kopano-backup-8.7.12.0-lp151.21.1.x86_64 installieren (mit Anbieterwechsel) obs://private/core:pre-final --> obs://private/core:final
Richtig ist hier und bei allen 34 folgenden Fragen Lösung 1.
Weitere Paketkonflikte treten nicht auf, ggf. aber wieder Dateikonflikte. Erlauben Sie das überschreiben der alten Dateien mit „ja“. Danach starten Sie das System neu.
Mit Upgrade auf invis-Server Version 14.1 haben ein paar neue Funktionen Einzug gehalten, die sich auf die Konfiguration des Server auswirken. Dazu gehört, dass das Tool diskchecker auch die absolvierte Laufzeit der Server-Festplatten ermittelt. Im invis-Portal werden diese dann im Verhältnis zu garantierten Laufzeit dieses Festplattentyps dargestellt. Dafür muss die Datei
/etc/invis/invis.conf
um folgende Einträge ergänzt werden:
# Disk Warranty Time - Garantiezeitraum der eingesetzten Festplatten # 5 Jahre = 43800 Stunden (Gilt für die meisten 24/7 Festplatten) # 3 Jahre = 26280 Stunden (Gilt für gute Consumer Festplatten) # 1 Jahr = 14140 Stunde (Gilt für Low-Budged Festplatten) diskWarrantyTime:43800
Tragen Sie für diskWarrantyTime
den Wert ein den Ihnen der Hersteller Ihrer Festplatten gewährt.
Heben Sie in der gleichen Datei noch die invis-Server Versionsnummer noch von 14.0 auf 14.1 an.
#invis-server Version invisVersion:14.1
Abschließend sind noch in der Konfiguration des invis-Portals
/etc/invis/portal/config.php
die Versionsnummerneinträge anzupassen:
$INVISVERSION = '14.1'; $OPENSUSEVERSION = '15.1';
Damit ist auch dieser Schritt abgeschlossen.
Wer möchte kann auch seine ClamAV-Installation auf Stand bringen. Die von openSUSE Leap 15.x ausgelieferte Version ist nicht auf der Höhe der Zeit. Daher bieten wir eine aktuelle Version über unser Common-Repository an.
Dazu genügt folgender Befehl:
invis:~ # zypper up --allow-vendor-change clamav
Aktivieren Sie den Email-Abruf wieder:
invis:~ # systemctl start fetchmail.service invis:~ # systemctl enable fetchmail.service
Damit ist das Server-Upgrade abgeschlossen.