invis_server_wiki:installation:basesetup

Dies ist eine alte Version des Dokuments!


Ziel dieses Arbeitsabschnittes ist ein lauffähiges Linux-System, mit eingerichtetem RAID-System, vorkonfigurierten Netzwerkkarten und vorinstallierter Server-Software.

Der Festplatten-Partitionierer von openSUSE ist seit Version 11.1 wieder in der Lage ein funktionierendes RAID/LVM Setup zu erzeugen. Wer allerdings kein Vertrauen in YaST hat, kann die Festplatten-Partitionierung und RAID-Konfiguration im Vorfeld der Installation auch von Hand vornehmen. Mehr dazu lesen Sie hier.

Für die weitere Beschreibung gehe ich davon aus, dass der Server über zwei Festplatten verfügt, die als RAID Level 1 Verbund betrieben werden.

Hinweis: Einige Funktionen des invis-Servers gehen von einem Setup auf Basis von LVM und Software-RAID in Kombination mit dem Dateisystem Ext4 aus. Seit openSUSE 13.2 setzt openSUSE auf BTRfs mit integrierter RAID und Snapshot-Funktion als Dateisystem für das Betriebssystem sowie XFS für Datenpartitionen aus. Wir raten von dieser Kombination in Verbindung mit dem invis Server ab. XFS sollte aufgrund dessen Inkompatibilität mit LVM-Snapshots nicht verwendet werden.

Starten Sie Ihren zukünftigen Server von der Netz-Installations-CD und folgen Sie den Anweisungen bis zu dem Punkt, an dem Sie sich für ein Desktop-System entscheiden sollen. Klicken Sie hier auf „Andere“ und wählen Sie „Minimale Serverauswahl (Textmodus)“ aus.

Klicken Sie im nächsten Fenster auf die Schaltfläche „Partitionsaufbau erstellen“ → „Benutzerdefinierte Partitionierung (für Experten)“. Legen Sie auf jeder der beiden (hoffentlich identischen) Festplatten folgende Partitionen an:

  1. sdx1 Größe: 512MB - Typ: primär - Partitions-ID: 0xFD Linux-RAID (nicht formatieren!)
  2. sdx2 Größe: 1024MB (liegt an Ihnen) - Typ: primär - Dateisystem: swap
  3. sdx3 Größe: der gesamte Rest - Typ: primär - Partitions-ID: 0xFD Linux-RAID (nicht formatieren!)

Fassen Sie jetzt jeweils die erste Partition der beiden Platten zu einem RAID 1 Verbund (md0) zusammen.

  • Dateisystem: ext4 - Mountpoint: /boot

Fassen Sie anschließend jeweils die dritte Partition zu einem weiteren RAID 1 Verbund (md1) zusammen. Dieses Device wird nicht formatiert und erhält auch keinen Mountpoint.

Fügen Sie das RAID-Device md1 einer LVM-Volumegroup hinzu. Legen Sie auf dieser Volumegroup Logical-Volumes für die Mountpoints /, /var, /home und /srv an. Bevorzugtes Dateisystem hierbei ist generell ext4.

Achtung: Bei der Verwendung von XFS kommt es zu Problemen bei Datensicherungsstrategieen auf Basis von LVM-Snapshots.

Die Größen der einzelnen LVs sind von verschiedenen Faktoren abhängig. Für / (root-Dateisystem) sollten 4GB immer ausreichen. Die Größe von /var ist vor allem davon abhängig, welchem IMAP-Server Sie den Vorzug geben. Dovecot etwa legt alle „Maildirs“ in den Home-Verzeichnissen der User an - hier kann /var deutlich kleiner als 10GB sein, entsprechend sollte allerdings /home so groß gewählt sein, dass die zu erwartenden emails nebst den eigenen Dateien der User ausreichend Platz finden. Cyrus-IMAP (in Verbindung mit Group-e empfohlen) hingegen speichert alle Mails unter /var. Enstsprechend groß sollte /var auch sein, 10GB sind hier eher knapp.

Den Großteil des verbleibenden Rests sollten Sie auf /home und /srv verteilen. Hier gilt: Arbeiten die Anwender vor allem im Team gemeinsam an Projekten ist /srv mit viel Platz zu bedenken. Haben Sie es mit einer Horde Individualisten zu tun, sollten Sie /home mit viel Platz bedenken. Lassen Sie sich in jedem Fall einige Gigabyte als Reserve übrig, die Sie temporär für LVM-Snapshots als Basis für Datensicherungen nutzen können.

Hinweis: Wenn nicht klar ist, wie sich der Plattenplatzbedarf in den einzelnen Volumes entwickelt, kann es hilfreich sein für /srv, /home und /var zusammen nur einen Teil des insegesamt zur Verfügung stehenden Platzes zu verwenden und den verbleibenden Platz in Reserve zu halten. Dank LVM ist es später jederzeit, also auch während der produktiven Nutzung des Systems, möglich freien Platz nach Belieben den bereits vorhandenen Volumes zuzuweisen.

Ist die Partitionierung vorbereitet, fragt YaST im nächsten Schritt nach den Daten eines anzulegenden Benutzers. Überspringen Sie diesen Punkt einfach (ignorieren Sie das Gemecker). Hier bereits einen Benutzer anzulegen macht keinen Sinn, schließlich ist das Ziel ja ein Server für eine LDAP-gestützte zentrale Benutzerverwaltung.

Es folgt die Auswahl der zu installierenden Software. Es ist lediglich die textbasierte Server-Basis-Installation notwendig. Das zusätzliche Installieren weiterer Software dann vom Setup-Script bzw. dem invis-Setup-RPM übernommen.

Ab openSUSE-Version 11.2 sollten Sie von vorneherein noch dafür sorgen, dass der SSH-Daemon gestartet und der zugehörige Port in der Firewall geöffnet wird. Klicken Sie dazu in der Installationszusammenfassung auf den Link (aktivieren und öffnen) neben dem SSH-Eintrag.

Achtung: Mit openSUSE Leap 42.1 läuft das openSUSE Setup geringfügig anders ab. Hier ist bei der Minimal-Installation keine Firewall mehr vorgesehen. Da diese aber für den invis-Server elementar ist, sollte in der Zusammenfassung der Installationseinstellungen die Firewall und der SSH-Daemon aktiviert und dann natürlich auch der SSH-Port freigegeben werden.

Bestätigen Sie Ihre Einstellungen und überlassen Sie Ihren zukünftigen Server für eine Weile sich selbst; Zeit für ein Bier ;-).

Führen Sie nach Abschluß der Installation zunächst ein vollständiges Online-Update durch. Hierzu bietet sich entweder YaST oder die direkte Verwendung des Paketmanagers zypper an:

Kommandozeile: zypper refresh
Kommandozeile: zypper up

Da in aller Regel bei diesem ersten Update auch der Kernel aktualisiert wird, ist danach ein Neustart erforderlich.

Um die Basis-Installation abzuschließen, müssen noch die beiden Netzwerkschnittstellen eingerichtet, sowie der voll qualifizierte Name (FQDN) des Servers vergeben werden.

Bei der Namensvergabe gelten folgende Regeln:

  • Der Name muss dem Schema host.domain.tld gehorchen. (host.tld ist nicht zulässig!)
  • Für die Top-Level-Domain (TLD) muss eine Fantasie-Domain wie beispielsweise .loc, .local oder .lan verwendet werden. Die Verwendung einer im Internet gültigen Domain führt zu Problemen beim Routing und dem EMail-Handling.

Mit Veröffentlichung von openSUSE 13.1 wurde die Benennung der Netzwerkkarten so geändert, dass Sie sich an BIOS Informationen orientiert. Da die Benennung sich nur schwer denn einzelnen Firewall-Zonen eines invis-Servers zuordnen lässt, haben wir uns entschlossen, auf Basis von udev-Regeln klare Namen zu vergeben. Auch die Benennung der im Laufe des Setups einzurichtenden VPN-Schnittstelle wurde ein entsprechender Name gegeben:

Früherer Gerätename Aktueller Name
eth0 extern
eth1 intern
tun1 vpn

Die erste Netzwerkkarte des Systems (extern) stellt die Verbindung des Servers mit dem Internet her - entspricht somit der externen Zone Ihrer Firewall. Verwenden Sie vor dem Server einen Router, sollten Sie „extern“ als DHCP-Client Konfigurieren. Wenn Sie ein Modem oder einen Router im Pass-Through Modus verwenden müssen Sie sie als PPPoE-Device einrichten und Ihren DSL-Zugang einrichten. Sorgen Sie dafür, dass bei der Internet-Einwahl nicht der verwendete DNS-Server geändert wird.

Die zweite Netzwerkkarte (intern) muss mit einer festen IP-Adresse versehen werden. Selbst, wenn über den Internet-Service-Provider eine feste IP-Adresse zur Verfügung steht, ist für das interne Netz die Verwendung einer Adresse aus einem privaten Adressbereich zwingend.

Zur Benennung der Netzwerkschnittstellen steht nach der Installation des invis-Setup RPMs mit netsetup ein eigenes Script zur Verfügung. Der Reihen nach.

Zur Installation ist es notwendig zunächst das gewünschte invis-Repository auf einem minimalen openSUSE System zu installieren. Zur Verfügung stehen zwei Repositories:

  1. spins:invis:stable - Stabile Version der invis-Server Setup Pakete. Nutzen Sie dieses Repository für produktiv genutzte invis-Server
  2. spins:invis:unstable - In Entwicklung befindliche Versionen der invis-Server Setup Pakete. Nutzen Sie dieses Repository, wenn Sie uns mit Rat, Tat, Lob oder Kritik bei der Weiterentwicklung unterstützen möchten.

Ab openSUSE Leap 42.1 bzw. invis-Server AD 10.4 muss der nachfolgende Schritt nicht mehr manuell ausgeführt werden. Dies erledigt das Script invisprep automatisch.

Zur Installation eines der Repositories können Sie zypper verwenden:

linux:~ # zypper ar -f http://download.opensuse.org/repositories/spins:/invis:/stable/openSUSE_13.1/spins:invis:stable.repo

oder

linux:~ # zypper ar -f http://download.opensuse.org/repositories/spins:/invis:/unstable/openSUSE_42.1/spins:invis:unstable.repo

Danach kann das Setup-Paket installiert werden:

Classic:

linux:~ # zypper ref
linux:~ # zypper in invis-setup

Active Directory:

linux:~ # zypper ref
linux:~ # zypper in invisAD-setup

Bei der Ausführung von zypper ref wird der „Signierungsschlüssel“ des invis-Repositories empfangen. Diesem muss dauerhaft vertraut werden. Bestätigen Sie die gestellte Frage entsprechend.

Hinweis: Dass bei der Installation des invis-setup RPMs über 400 weitere Software-Pakete installiert werden ist normal. ;-)

Hinweis: Da invis-Server (9.2 und 10.0) bereits den Nameserver bind in Version 9.10 verwenden kommt es bei der installation des invis-setup (u. invisAD-setup) Paketes zu einem Software-Abhängigkeitsproblem. Wählen Sie den von zypper unterbreiteten Lösungsvorschlag 1 (Lösung 1: bind-utils-9.10.1P1-179.1.x86_64 installieren (mit Anbieterwechsel)) aus.

Nach der Installation sollte zunächst das Script netsetup ausgeführt werden. Es versorgt die vorhandenen Netzwerkschnittstellen mit den persistenten Namen „extern“ und „intern“.

linux:~ # netsetup
Es wurden Regeln zur Benennung der vorhandenen Netzwerkkarten erzeugt.

Bitte starten Sie den Server jetzt neu und konfigurieren
Sie Ihre Netzwerkkarten anschließend mit YaST.
linux:~ # 

Nach Ausführung dieses Scripts ist ein Neustart des Servers notwendig. Danach kann das Netzwerk-Setup mit YaST abgeschlossen werden:

linux:~ # yast lan

Hinweis: Kontrollieren Sie beim Setup der Netzwerkkarten mit YaST, dass in den Karteneinstellungen unter Punkt „General“ anstelle von „On Cable Connect“, „At Boot Time“ für das initialisieren der Netzwerkkarten eingetragen ist.

Nach beenden von YaST, ist evtl. das Kommando (Sollte ab openSUSE Leap 42.1 auch ohne funktionieren):

linux:~ # rcnetwork restart

auszuführen. Das Ergebnis sollte in etwa so aussehen:

linux:~ # ifconfig 
extern    Link encap:Ethernet  Hardware Adresse 08:00:27:DB:46:89  
          inet Adresse:192.168.240.205  Bcast:192.168.240.255  Maske:255.255.255.0
          inet6 Adresse: fe80::a00:27ff:fedb:4689/64 Gültigkeitsbereich:Verbindung
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:282 errors:0 dropped:96 overruns:0 frame:0
          TX packets:79 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 Sendewarteschlangenlänge:1000 
          RX bytes:23953 (23.3 Kb)  TX bytes:9356 (9.1 Kb)

intern    Link encap:Ethernet  Hardware Adresse 08:00:27:1A:53:3A  
          inet Adresse:192.168.222.10  Bcast:192.168.222.255  Maske:255.255.255.0
          inet6 Adresse: fe80::a00:27ff:fe1a:533a/64 Gültigkeitsbereich:Verbindung
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:8 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 Sendewarteschlangenlänge:1000 
          RX bytes:0 (0.0 b)  TX bytes:648 (648.0 b)

Zu prüfen ist auch ob der Hostname korrekt gesetzt wurde:

linux:~ # hostname -f

Wenn hierbei nach wie vor der von openSUSE während der Installation zufällig generierte Name (z.b. linux-lajhf1.site oder linux.suse) ausgegeben wird, kann das invis Server Setup nicht funktionieren. In diesem Fall bitte mit YaST das Setzen eines korrekten Hostnamens nachholen.

Damit sind Basisinstallation und Netzwerkkonfiguration abgeschlossen.

  • invis_server_wiki/installation/basesetup.1458934285.txt.gz
  • Zuletzt geändert: 2016/03/25 19:31
  • von flacco