invis-Server Upgrade von 14.0 auf 14.1

Dieses Anleitung beschreibt den Weg zurück aus der Sackgasse, also den Weg von der kaum funktionierenden Kombination aus Samba und MIT-Kerberos zurück zu unseren Samba-Paketen mit Heimdal-Kerberos.

Das Upgrade impliziert auch das Distributionsupgrade von openSUSE Leap 15.0 auf 15.1.

Sichern Sie alle Datenbanken des Servers. Sie können dafür die Tools des invis-Servers nutzen:

ActiveDirectory

invis:~ # adbackup

Kopano

Führen Sie hier beide Sicherungswege durch:

invis:~ # kdbdump
...
invis:~ # kbackup

Weitere Datenbanken

invis:~ # alldump

Dokuwiki

invis:~ # dwdatasnapshot

Da mit der neuen auf MIT-Kerberos basierenden Samba-Version 4.7. die im Laufe des Upgrades installiert wird, werden überarbeitete AppArmor Profile notwendig. Um negative Effekte auf das Upgrade durch mögliche AppArmor-Blockaden vorzubereiten wird AppArmor vor dem Upgrade deaktiviert.

invis:~ # systemctl stop apparmor.service
...
invis:~ # systemctl disable apparmor.service

Im späteren Verlauf des Upgrades wird AppArmor mit neuen Profilen wieder aktiviert.

Auch der Email-Abruf sollte vor dem Upgrade deaktiviert werden:

invis:~ # systemctl stop fetchmail.service
invis:~ # systemctl disable fetchmail.service

Auch der Samba Domain-Controller wird abgeschaltet.

invis:~ # systemctl stop samba.service

Starten wir mit dem Upgrade der Samba AD-Umgebung. Das bedeutet einen Wechsel von den openSUSE-eigenen Samba-Paketen zurück zu Paketen die wir, das invis-Server-Projekt über eigene Repositories bereit stellen.

Beginnen wir damit das passende Repository einzubinden:

invis:~ # zypper ar https://download.opensuse.org/repositories/spins:/invis:/15:/stable:/samba/openSUSE_Leap_15.0/spins:invis:15:stable:samba.repo
invis:~ # zypper ref

Jetzt können die neuen Samba-Pakete installiert werden. Es wird dabei direkt von Samba-Version 4.7.x aus der openSUSE Distribution auf 4.10.x aus unseren eigenen Repositories aktualisiert. Dies erfordert ein wenig Nacharbeit.

Ermitteln Sie zunächst die Nummer des hinzugekommenen Samba-Repositories:

invis:~ # zypper repos | grep samba
15 | spins_invis_15.0_samba     | Samba 4.10 with Heimdal Kerberos  (openSUSE_Leap_15.0)             | Ja        | (r ) Ja         | Nein
invis:~ # 

Im Beispiel trägt das neue Repository die Nr. 15, daraus ergibt sich das Kommando zum Paket-Upgrade:

invis:~ # zypper dup --from 15 --allow-vendor-change

Dieses Kommando löst eine Reihe Paketkonflikten aus.

Wählen Sie jeweils Lösung 2:

...
 Lösung 2: Deinstallation von samba-python-4.7.11+git.186.d75219614c3-lp150.3.18.2.x86_64
...

...
 Lösung 2: Deinstallation von libsamba-policy0-4.7.11+git.186.d75219614c3-lp150.3.18.2.x86_64
...

...
 Lösung 2: Deinstallation von krb5-server-1.15.2-lp150.5.10.1.x86_64
...

Wundern Sie sich nicht über die Deinstallation des Kerberos-Server Paketes „krb5-server“, genau das ist es ja worum es geht. Den Austausch des MIT-Kerberos Dienstes gegen den in unseren Paketen enthaltenen Heimdal KDC.

Nach dem Tausch der Samba-Pakete startet der Samba ActiveDirectory Dienst nicht automatisch. Dies liegt im Austausch des zugehörigen Service-Unit-Files begründet. Auch wenn die neue Datei den gleichen Namen trägt, weigert sich Systemd dies einfach so hinzunehmen. Notwendig ist ein Reload des Systemd:

invis:~ # systemctl daemon-reload

Danach lässt sich Samba wieder starten:

invis:~ # systemctl start samba-ad-dc.service

Starten Sie ggf. noch die von Samba unmittelbar abhängigen Dienste wie „bind“, „sssd“ und „dhcpd“ neu und testen Sie, ob alles funktioniert. D.h. Logins an der an der Domäne, Domänenbeitritt, Zugriff auf die Freigaben sollten funktionieren bevor Sie weiter machen.

Danach kann von openSUSE Leap 15.0 auf 15.1 aktualisiert werden.

Der Sprung von openSUSE Leap 15.0 nach 15.1 ist recht simpel. Passen Sie zunächst die Repositories an:

invis:~ # sed -i 's/15\.0/15\.1/g' /etc/zypp/repos.d/*

Jetzt kann das Upgrade gestartet werden:

invis:~ # zypper ref
...
invis:~ # zypper dup

Diesmal treten keine Paketkonflikte auf, ggf. aber wieder Dateikonflikte. Erlauben Sie das überschreiben der alten Dateien mit „ja“. Danach starten Sie das System neu.

to be continued…