Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung | ||
|
invis_server_wiki:upgrade:13.5_to_14.0 [2019/01/19 17:58] flacco [Wiederinbetriebnahme des Samba Active-Directories] |
invis_server_wiki:upgrade:13.5_to_14.0 [2019/08/14 17:13] (aktuell) flacco [Upgrade von Version 13.5 auf 14.0] |
||
|---|---|---|---|
| Zeile 1: | Zeile 1: | ||
| ====== Upgrade von Version 13.5 auf 14.0 ====== | ====== Upgrade von Version 13.5 auf 14.0 ====== | ||
| - | //**Achtung:** Diese Anleitung ist noch in Arbeit, somit ist noch nicht gewährleistet, dass sie auch funktioniert, warten Sie mit dem Nachvollziehen bitte, bis diese Anmerkung entfernt wurde!// | + | **Sie sollten Ihren invis-Server nicht auf invis-Server 14.0 aktualisieren, sondern statt dessen gleich auf 14.1. Erläuterungen dazu finden Sie in der entsprechenden Upgrade-Anleitung** |
| Beginnen wir mit einem ernst gemeinten Hinweis: | Beginnen wir mit einem ernst gemeinten Hinweis: | ||
| Zeile 159: | Zeile 159: | ||
| ===== Wiederinbetriebnahme des Samba Active-Directories ===== | ===== Wiederinbetriebnahme des Samba Active-Directories ===== | ||
| - | Beim Update von Samba 4.6.x auf 4.7.x kann es durch den Wechsel der Kerberos-Bibliotheken von Heimdal zu MIT dazu kommen, dass Teile des ActiveDirectories beschädigt werden. Dies betrifft sogenannte verknüpfte Attribute, wie sie bei Gruppenmitgliedschaften genutzt werden. Um dies zu beheben kann das Samba-Tool genutzt werden. Zunächst ein Trockenlauf um das AD auf Fehler zu prüfen: | + | Beim Upgrade von Samba 4.6.x auf 4.7.x kann es durch den Wechsel der Kerberos-Bibliotheken von Heimdal zu MIT dazu kommen, dass Teile des ActiveDirectories beschädigt werden. Dies betrifft sogenannte verknüpfte Attribute, wie sie bei Gruppenmitgliedschaften genutzt werden. Um dies zu beheben kann das Samba-Tool genutzt werden. Zunächst ein Trockenlauf um das AD auf Fehler zu prüfen: |
| <code> | <code> | ||
| Zeile 167: | Zeile 167: | ||
| //**Hinweis:** Derzeit treten beim Prüflauf auf jeden Fall ein paar Fehler auf. Diese betreffen das LDAP-Schema bzw. die LDAP-Daten des DHCP-Servers. Wir werden versuchen das Auftreten der Fehler von vorneherein zu beseitigen. Dies ist bisher noch nicht geschehen.// | //**Hinweis:** Derzeit treten beim Prüflauf auf jeden Fall ein paar Fehler auf. Diese betreffen das LDAP-Schema bzw. die LDAP-Daten des DHCP-Servers. Wir werden versuchen das Auftreten der Fehler von vorneherein zu beseitigen. Dies ist bisher noch nicht geschehen.// | ||
| - | Werden Fehler gefunden, können diese wie folgt behoben werden: | + | Die Fehler können mit etwas Vorsicht manuell behoben werden. An zwei Stellen unseres Schemas sind wir mit Groß- und Kleinschreibung etwas unachtsam gewesen. Dies lässt sich mit Hilfe des Tools //**ldbedit**// korrigieren. |
| + | |||
| + | //**Achtung:** Bei diesem Eingriff ins ActiveDirectory sollten Sie vertraut im Umgang mit dem Editor **vi** sein! Sie operieren am offenen Herzen.// | ||
| + | |||
| + | Dazu springen wir die beiden Stellen im ActiveDirectory direkt an: | ||
| + | |||
| + | <code> | ||
| + | invis:~ # ldbedit -H /var/lib/samba/private/sam.ldb -b CN=iscDhcpFailOverPeer,CN=Schema,CN=Configuration,DC=invis-net,DC=loc --option="dsdb:schema update allowed"=true | ||
| + | </code> | ||
| + | |||
| + | Passen Sie in der Kommandozeile den DN des zu ändernden Objekts hinter der Option **''-b''** an Ihre Umgebung an. | ||
| + | |||
| + | Es wird die entsprechende Stelle im AD mit dem Editor //**vi**// zur Bearbeitung geöffnet. Ändern Sie die Zeile: | ||
| + | |||
| + | <code> | ||
| + | ... | ||
| + | mustContain: iscDhcpFailoverPrimaryPort | ||
| + | ... | ||
| + | </code> | ||
| + | |||
| + | in | ||
| + | |||
| + | <code> | ||
| + | ... | ||
| + | mustContain: iscDhcpFailOverPrimaryPort | ||
| + | ... | ||
| + | </code> | ||
| + | |||
| + | ab. | ||
| + | |||
| + | Öffnen Sie anschließend die zweite Stelle mit: | ||
| + | |||
| + | <code> | ||
| + | invis:~ # ldbedit -H /var/lib/samba/private/sam.ldb -b CN=iscDhcpClass,CN=Schema,CN=Configuration,DC=invis-net,DC=loc --option="dsdb:schema update allowed"=true | ||
| + | </code> | ||
| + | |||
| + | Ändern Sie die Stelle: | ||
| + | |||
| + | <code> | ||
| + | ... | ||
| + | mayContain: iscDhcpSubClassesDN | ||
| + | ... | ||
| + | </code> | ||
| + | |||
| + | in | ||
| + | |||
| + | <code> | ||
| + | ... | ||
| + | mayContain: iscDhcpSubclassesDN | ||
| + | ... | ||
| + | </code> | ||
| + | |||
| + | ab. | ||
| + | |||
| + | Werden weitere Fehler gefunden, können diese wie folgt behoben werden: | ||
| <code> | <code> | ||
| Zeile 243: | Zeile 297: | ||
| Liefern beide Abfragen Fehlermeldungen anstelle von Listen der Benutzer und Gruppen, sollten Sie zunächst das AD aus der zuvor erstellten Datensicherung wiederherstellen und es erneut versuchen. Das sollte aber nicht der Fall sein. In unseren Tests lief das Upgrade problemlos. | Liefern beide Abfragen Fehlermeldungen anstelle von Listen der Benutzer und Gruppen, sollten Sie zunächst das AD aus der zuvor erstellten Datensicherung wiederherstellen und es erneut versuchen. Das sollte aber nicht der Fall sein. In unseren Tests lief das Upgrade problemlos. | ||
| + | |||
| + | Starten Sie jetzt den SSSD neu und kontrollieren Sie, ob die Benutzer des AD auch unter Linux zur Verfügung stehen: | ||
| + | |||
| + | <code> | ||
| + | invis:~ # systemctl restart sssd.service | ||
| + | invis:~ # getent passwd | ||
| + | .... | ||
| + | heinzb:*:21115:20513:Heinz Becker:/home/heinzb:/bin/bash | ||
| + | klarab:*:21117:20513:Klara Becker:/home/klarab:/bin/bash | ||
| + | </code> | ||
| + | |||
| + | In der Ausgabe sollten Benutzer auftauchen, der UID größer 21000 ist. | ||
| Sorgen Sie jetzt dafür, dass das AD mit dem Systemstart automatisch gestartet wird: | Sorgen Sie jetzt dafür, dass das AD mit dem Systemstart automatisch gestartet wird: | ||
| Zeile 266: | Zeile 332: | ||
| <code> | <code> | ||
| - | invis:~ # cp /etc/invis/invis-pws.conf.rpmsafe /etc/invis/invis-pws.conf | + | invis:~ # cp /etc/invis/invis-pws.conf.rpmsave /etc/invis/invis-pws.conf |
| </code> | </code> | ||
| Zeile 391: | Zeile 457: | ||
| <code> | <code> | ||
| - | invis:~ # cp /usr/share/sine/templates/samba_ad/apparmor /etc/apparmor.d | + | invis:~ # cp /usr/share/sine/templates/samba_ad/apparmor/* /etc/apparmor.d/ |
| </code> | </code> | ||
| Zeile 397: | Zeile 463: | ||
| <code> | <code> | ||
| - | invis:~ # systemctl restart apparmor.service | + | invis:~ # systemctl start apparmor.service |
| ... | ... | ||
| invis:~ # systemctl restart samba-ad-dc.service | invis:~ # systemctl restart samba-ad-dc.service | ||
| + | </code> | ||
| + | |||
| + | Aktivieren Sie AppArmor wieder für den Systemstart: | ||
| + | |||
| + | <code> | ||
| + | invis:~ # systemctl enable apparmor.service | ||
| </code> | </code> | ||
| Zeile 478: | Zeile 550: | ||
| Aktuelle Kopano-Versionen kennen das Verschlüsselungsprotokoll SSLv2 nicht mehr. Dieses ist aus allen Kopano-Konfigurationsdateien unter <file>/etc/kopano</file> zu entfernen. | Aktuelle Kopano-Versionen kennen das Verschlüsselungsprotokoll SSLv2 nicht mehr. Dieses ist aus allen Kopano-Konfigurationsdateien unter <file>/etc/kopano</file> zu entfernen. | ||
| - | Aktiv verwendet wird es ohnehin nicht mehr, das Kürzel "SSLv2" taucht in den Konfigurationsdateien ohnehin nur auf um SSLv2 zu blockieren, also mit vorangestelltem Ausrufezeichen (Negation). Es ist beim entfernen des Kürzels jeweils auch das Ausrufezeichen zu entfernen. | + | Aktiv verwendet wird es ohnehin nicht mehr, das Kürzel "SSLv2" taucht in den Konfigurationsdateien (''server.conf'', ''ical.conf'' und ''gateway.conf'') ohnehin nur auf um SSLv2 zu blockieren, also mit vorangestelltem Ausrufezeichen (Negation). Es ist beim entfernen des Kürzels jeweils auch das Ausrufezeichen zu entfernen. Gleichzeitig können Sie die Sicherheit ein wenig erhöhen, indem Sie das inzwischen als unsicher geltende Protokoll TLSv1 ausschließen. In allen drei Dateien sieht das identisch aus. Ändern Sie den folgenden Block einfach von: |
| + | |||
| + | <code> | ||
| + | ... | ||
| + | # SSL protocols to use, space-separated list of protocols | ||
| + | # (SSLv3 TLSv1 TLSv1.1 TLSv1.2); prefix with ! to lock out a protocol. | ||
| + | ssl_protocols = !SSLv2 !SSLv3 | ||
| + | |||
| + | # SSL ciphers to use, set to 'ALL' for backward compatibility | ||
| + | ssl_ciphers = ALL:!LOW:!SSLv2:!EXP:!aNULL:!3DES | ||
| + | ... | ||
| + | </code> | ||
| + | |||
| + | nach: | ||
| + | |||
| + | <code> | ||
| + | ... | ||
| + | # SSL protocols to use, space-separated list of protocols | ||
| + | # (SSLv3 TLSv1 TLSv1.1 TLSv1.2); prefix with ! to lock out a protocol. | ||
| + | ssl_protocols = !SSLv3 !TLSv1 | ||
| + | |||
| + | # SSL ciphers to use, set to 'ALL' for backward compatibility | ||
| + | ssl_ciphers = ALL:!LOW:!SSLv3:!EXP:!aNULL:!3DES | ||
| + | ... | ||
| + | </code> | ||
| Danach sind alle Kopano Dienste neu zu starten: | Danach sind alle Kopano Dienste neu zu starten: | ||
| Zeile 487: | Zeile 583: | ||
| </code> | </code> | ||
| - | Postfix wurde während des Distributions-Upgrades auf Version 3.3.0 aktualisiert. Dies erfordert eine zusätzliche Konfigurationsoption in der Datei <file>/etc/postfix/main.cf</file> | + | <del>Postfix wurde während des Distributions-Upgrades auf Version 3.3.0 aktualisiert. Dies erfordert eine zusätzliche Konfigurationsoption in der Datei <file>/etc/postfix/main.cf</file> |
| Fügen Sie am Ende der Datei folgende Zeile ein: | Fügen Sie am Ende der Datei folgende Zeile ein: | ||
| Zeile 500: | Zeile 596: | ||
| <code> | <code> | ||
| invis:~ # systemctl restart postfix.service | invis:~ # systemctl restart postfix.service | ||
| - | </code> | + | </code></del> |
| ===== Weitere Anpassungen ===== | ===== Weitere Anpassungen ===== | ||
| Zeile 506: | Zeile 602: | ||
| Für die noch fehlenden Schritte und Tests benötigen wir einen laufenden Client-PC und Zugriff auf das invis-Portal. Starten Sie einen PC im Netzwerk und melden Sie sich daran als Domänen-Administrator an. | Für die noch fehlenden Schritte und Tests benötigen wir einen laufenden Client-PC und Zugriff auf das invis-Portal. Starten Sie einen PC im Netzwerk und melden Sie sich daran als Domänen-Administrator an. | ||
| + | ==== Neue Gruppenverwaltungsfunktion einrichten ==== | ||
| + | |||
| + | Öffnen Sie einem Browser das invis-Portal und melden Sie sich auch dort als Administrator an. Wechseln Sie in die Rubrik "administration". Bei unseren Versuchen ist es vorgekommen, dass der verwendete Browser diese Seite noch im Cache hatte und die neuen Funktionen beim Anlegen von Gruppen nicht zur Verfügung standen. Laden Sie die Seite einmal neu und klicken Sie dann auf "Gruppen". Legen Sie eine neue Gruppe unter dem Namen "diradmins" an. Diese Gruppe soll vom Typ "Team" sein und nicht über ein Gruppenarbeitsverzeichnis verfügen. | ||
| + | |||
| + | Führen Sie anschließend auf der Root-Konsole Ihres Servers das Script //**afterup**// aus. | ||
| + | |||
| + | <code> | ||
| + | invis:~ # afterup | ||
| + | </code> | ||
| + | |||
| + | Damit wird das Verzeichnis für Vorlagen der Gruppenarbeitsverzeichnisse der neuen Gruppe "diradmins" übereignet. Mitglieder der Gruppe können dadurch in der Freigabe "Media" im Unterverzeichnis '\portal\verzeichnisvorlagen' Vorlagen für Gruppenarbeitsverzeichnisse anlegen. | ||
| + | |||
| + | ==== Kimai aktualisieren ==== | ||
| + | |||
| + | Wenn Sie die Zeiterfassungssoftware Kimai auf dem invis-Server nutzen, muss dessen Datenbank an die während des Upgrades installierte neue Kimai-Version angepasst werden. Dieser Vorgang läuft völlig automatisch ab. Öffnen Sie Kimai einfach wie gewohnt und folgen Sie den Anweisungen. | ||
| + | |||
| + | ==== ownCloud aktualisieren ==== | ||
| + | |||
| + | Zur Aktualisierung von ownCloud (falls erforderlich) finden Sie hier im Wiki einen eigenen [[https://wiki.invis-server.org/doku.php/invis_server_wiki:upgrade:owncloudupgrade|Artikel]]. | ||
| + | |||
| + | ===== Fertig ===== | ||
| + | |||
| + | Das müsste es gewesen sein. Kontrollieren Sie, ob alles funktioniert. Sollte Ihnen noch etwas auffallen, was mir entgangen ist, wäre es nett, wenn Sie uns das mitteilen könnten. | ||