invis_server_wiki:upgrade:13.5_to_14.1

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung
Vorhergehende Überarbeitung
invis_server_wiki:upgrade:13.5_to_14.1 [2019/08/29 12:51]
flacco [Kopano wieder in Betrieb nehmen]
invis_server_wiki:upgrade:13.5_to_14.1 [2020/06/26 13:27] (aktuell)
flacco [Inbetriebnahme des Firewall-Daemons (firewalld)]
Zeile 3: Zeile 3:
 Richtig gelesen, wir lassen invis-Server Version 14.0 aus. Begründet liegt dies in den unverhofft aufgetretenen Probleme mit den in openSUSE Leap enthaltenen Samba-Paketen. Zum Hintergrund. Mit openSUSE Leap 15.0 wurden seitens openSUSE Samba-Pakete mit ActiveDirectory-Domain-Controller Funktion ausgeliefert. Darauf haben wir lange gewartet. Diese nutzen jedoch statt der von den Samba-Entwicklern integrierten Kerberos-Implementation Heimdal, den aus der Distribution stammenden MIT-Kerberos-Server. Richtig gelesen, wir lassen invis-Server Version 14.0 aus. Begründet liegt dies in den unverhofft aufgetretenen Probleme mit den in openSUSE Leap enthaltenen Samba-Paketen. Zum Hintergrund. Mit openSUSE Leap 15.0 wurden seitens openSUSE Samba-Pakete mit ActiveDirectory-Domain-Controller Funktion ausgeliefert. Darauf haben wir lange gewartet. Diese nutzen jedoch statt der von den Samba-Entwicklern integrierten Kerberos-Implementation Heimdal, den aus der Distribution stammenden MIT-Kerberos-Server.
  
-Wie sich in der Praxis herausstellte,​ war das ein riesiges Problem, das Kerberos damit einfach nicht korrekt ​funktioniert. Kurz wir haben in den sauren Apfel gebissen und begonnen wieder eigene Samba-Pakete mit Heimdal-Kerberos zu bauen. Lesen Sie dazu auch unseren Blog-Beitrag **[[https://​blog.invis-server.org/​rolle-rueckwaerts/​|Rolle Rückwärts]]** um die lange Geschichte zu erfahren.+Wie sich in der Praxis herausstellte,​ war das ein riesiges ProblemKerberos ​funktioniert ​damit einfach nicht korrekt. Kurz wir haben in den sauren Apfel gebissen und begonnen wieder eigene Samba-Pakete mit Heimdal-Kerberos zu bauen. Lesen Sie dazu auch unseren Blog-Beitrag **[[https://​blog.invis-server.org/​rolle-rueckwaerts/​|Rolle Rückwärts]]** um die lange Geschichte zu erfahren.
  
 Weiterhin basiert invis-Server 14.1 bereits auf openSUSE Leap 15.1, d.h. es müssen 2 Distributionsupgrades in Folge gemacht werden. Weiterhin basiert invis-Server 14.1 bereits auf openSUSE Leap 15.1, d.h. es müssen 2 Distributionsupgrades in Folge gemacht werden.
  
-//​**Hinweis:​** Die folgende Anleitung setzt voraus, dass Ihr Server definitiv auf dem Stand von Version 13.5 ist, also bereits PHP7 und ownCloud 10.x verwendet. Ist das nicht der Fall müssen Sie zunächst auf Version 13.5 aktualisieren. Eine Anleitung dazu finden Sie hier.//+//​**Hinweis:​** Die folgende Anleitung setzt voraus, dass Ihr Server ​__**definitiv**__ auf dem Stand von Version 13.5 ist, also bereits PHP7 und ownCloud 10.x verwendet. Ist das nicht der Fall müssen Sie zunächst auf Version 13.5 aktualisieren. Eine Anleitung dazu finden Sie **[[https://​wiki.invis-server.org/​doku.php/​invis_server_wiki:​upgrade:​13.5_to_14.1|hier]]**.//
  
 ===== Vorbereitung ===== ===== Vorbereitung =====
Zeile 86: Zeile 86:
 </​code>​ </​code>​
  
-Jetzt können Sie das neue Samba-Repository hinzufügen und den Repository-Cache auffrischen:​+Speziell für das Upgrade haben wir eigens ein Samba-Repository erzeugt, welches aktuelle Samba-Pakete auch für openSUSE Leap 42.3 bereit stellt. Die darin enthaltenen Pakete sind nicht für den Dauerbetrieb gedacht, da es kompatibilitätsprobleme mit dem SSSD-Dienst gibt. Die Pakete darin ermöglichen lediglich das Upgrade von Samba auf die Version, die auch von invis-Server 14.1 genutzt wird. 
 + 
 +Jetzt können Sie das neue "​temporäre" ​Samba-Repository hinzufügen und den Repository-Cache auffrischen:​
  
 <​code>​ <​code>​
-invis:~ # zypper ar https://​download.opensuse.org/​repositories/​spins:/​invis:/​15:/stable:/​samba/​openSUSE_Leap_42.3/​spins:​invis:​15:stable:samba.repo+invis:~ # zypper ar https://​download.opensuse.org/​repositories/​spins:/​invis:/​13.5:/​samba/​openSUSE_Leap_42.3/​spins:​invis:​13.5:samba.repo
 invis:~ # zypper ref invis:~ # zypper ref
 </​code>​ </​code>​
Zeile 99: Zeile 101:
 <​code>​ <​code>​
 invis:~ # zypper repos | grep samba invis:~ # zypper repos | grep samba
-20 | spins_invis_15_stable_samba ​    | Samba 4.10 with Heimdal Kerberos ​ (openSUSE_Leap_42.3) ​            | Ja        | (r ) Ja         | Nein+20 | spins_invis_13.5_samba ​    | Samba 4.10 with Heimdal Kerberos ​ (openSUSE_Leap_42.3) ​            | Ja        | (r ) Ja         | Nein
 invis:~ #  invis:~ # 
 </​code>​ </​code>​
Zeile 143: Zeile 145:
 </​code>​ </​code>​
  
 +Sind alle Pakete installiert kann Samba neu gestartet werden:
 +
 +<​code>​
 +invis:~ # systemctl start samba-ad-dc.service
 +...
 +invis:~ # systemctl enable samba-ad-dc.service
 +</​code>​
 +
 +In mehreren Fällen startete nach dem Samba-Upgrade der sssd-Dienst nicht mehr. Sollte das auch bei Ihnen der Fall sein ignorieren Sie das Problem an dieser Stelle. Bei unseren Tests hat nach dem anschließenden Distributionsupgrade wieder alles funktioniert.
 +
 +Testen Sie Ihr AD in dem Sie sich die Benutzer und Gruppen anzeigen lassen:
 +
 +<​code>​
 +invis:~ # wbinfo -u
 +.....
 +invis:~ # wbinfo -g
 +</​code>​
 +
 +Im Normalfall ist das Samba-Upgrade damit abgeschlossen.
 +
 +//​**Hinweis:​** Die nachfolgende Anleitung basierte wohl auf einer "​merkwürdigen"​ Installation und kann hier getrost ignoriert werden. Widmen Sie der Anleitung nur dann weitere Aufmerksamkeit,​ wenn etwas partout nicht funktioniert.//​
 +----
 Sind alle Pakete installiert,​ darf Samba noch **nicht** wieder gestartet werden. Mit Samba 4.10. hat sich die Verzeichnisstruktur unter <​file>/​var/​lib/​samba</​file>​ moderat geändert. D.h. die zuvor angelegte Datensicherung muss in die neue Verzeichnisstruktur wiederhergestellt werden. Für diesen Zweck haben wir ein Script entwickelt. Zwar ist dieses Script im aktuellen invisAD Setup Paket enthalten, leider stehen dieses Paket erst nach Umstrukturierung der Software-Repositories wie nachfolgend beschrieben zur Verfügung. Um das Samba-Upgrade jetzt dennoch abschließen zu können stellen wir das Script auch hier zum direkten Download zur Verfügung. Laden Sie die Datei wie folgt auf Ihren Server herunter: Sind alle Pakete installiert,​ darf Samba noch **nicht** wieder gestartet werden. Mit Samba 4.10. hat sich die Verzeichnisstruktur unter <​file>/​var/​lib/​samba</​file>​ moderat geändert. D.h. die zuvor angelegte Datensicherung muss in die neue Verzeichnisstruktur wiederhergestellt werden. Für diesen Zweck haben wir ein Script entwickelt. Zwar ist dieses Script im aktuellen invisAD Setup Paket enthalten, leider stehen dieses Paket erst nach Umstrukturierung der Software-Repositories wie nachfolgend beschrieben zur Verfügung. Um das Samba-Upgrade jetzt dennoch abschließen zu können stellen wir das Script auch hier zum direkten Download zur Verfügung. Laden Sie die Datei wie folgt auf Ihren Server herunter:
  
Zeile 176: Zeile 200:
  
 Damit ist das Samba-Upgrade abgeschlossen. Damit ist das Samba-Upgrade abgeschlossen.
 +----
 ===== Distributions-Upgrade Sprung 1 ===== ===== Distributions-Upgrade Sprung 1 =====
 +
 +//​**Hinweis:​** In einzelnen Fällen gab es bei unseren Tests beim Sprung von openSUSE Leap 42.3 auf 15.0, dann ein Problem wenn das System als virtuelle Maschine betrieben wurde. Der aktuelle Kernel von Leap 15.0 scheint mit Virtualisierung ein Problem zu haben. Die Folge war, dass das System ewig zum starten brauchte und danach nicht benutzbar war. Umgehen lässt sich das Problem in dem das System über den noch vorhandenen Kernel von Leap 42.3 gestartet wird und dann das nächste Distributionsupgrade auf 15.1 durchgeführt wird. Mit dem Kernel dieser Version treten die Probleme nicht mehr auf.//
  
 Mit dem Sprung auf invis-Server 14.0 muss auf openSUSE Leap 15.0 aktualisiert werden. Die Vorgehensweise dazu ist denkbar einfach. Zunächst müssen Sie Ihre Software-Repositories daran anpassen. Es kann auch nicht schaden zunächst mal alles zu sichern, so wie es ist: Mit dem Sprung auf invis-Server 14.0 muss auf openSUSE Leap 15.0 aktualisiert werden. Die Vorgehensweise dazu ist denkbar einfach. Zunächst müssen Sie Ihre Software-Repositories daran anpassen. Es kann auch nicht schaden zunächst mal alles zu sichern, so wie es ist:
Zeile 197: Zeile 223:
 <​code>​ <​code>​
 invis:~ # zypper repos |grep spins_invis invis:~ # zypper repos |grep spins_invis
-20 | spins_invis_15_stable_samba ​    | Samba 4.10 with Heimdal Kerberos ​ (openSUSE_Leap_42.3) ​            | Ja        | (r ) Ja         | Nein          ​+20 | spins_invis_13.5_samba ​    | Samba 4.10 with Heimdal Kerberos ​ (openSUSE_Leap_42.3) ​            | Ja        | (r ) Ja         | Nein          ​
 21 | spins_invis_common ​             | Common packages for invis-Server stable & unstable (openSUSE_42.3) | Ja        | (r ) Ja         | Ja            ​ 21 | spins_invis_common ​             | Common packages for invis-Server stable & unstable (openSUSE_42.3) | Ja        | (r ) Ja         | Ja            ​
 22 | spins_invis_stable ​             | Stable Packages for invis-servers (openSUSE_Leap_42.3) ​            | Ja        | (r ) Ja         | Ja 22 | spins_invis_stable ​             | Stable Packages for invis-servers (openSUSE_Leap_42.3) ​            | Ja        | (r ) Ja         | Ja
Zeile 211: Zeile 237:
 Repository '​Common packages for invis-Server stable & unstable (openSUSE_42.3)'​ entfernen .............................................[fertig] Repository '​Common packages for invis-Server stable & unstable (openSUSE_42.3)'​ entfernen .............................................[fertig]
 Repository '​Common packages for invis-Server stable & unstable (openSUSE_42.3)'​ wurde entfernt. Repository '​Common packages for invis-Server stable & unstable (openSUSE_42.3)'​ wurde entfernt.
 +invis:~ # zypper rr 20
 +Repository 'Samba 4.10 with Heimdal Kerberos ​ (openSUSE_Leap_42.3)'​ entfernen .............................................[fertig]
 +Repository 'Samba 4.10 with Heimdal Kerberos ​ (openSUSE_Leap_42.3)'​ wurde entfernt.
 +
 invis:~ # invis:~ #
 </​code>​ </​code>​
Zeile 220: Zeile 250:
 ... ...
 invis:~ # zypper ar https://​download.opensuse.org/​repositories/​spins:/​invis:/​15:/​stable/​openSUSE_Leap_15.0/​spins:​invis:​15:​stable.repo invis:~ # zypper ar https://​download.opensuse.org/​repositories/​spins:/​invis:/​15:/​stable/​openSUSE_Leap_15.0/​spins:​invis:​15:​stable.repo
 +...
 +invis:~ # zypper ar https://​download.opensuse.org/​repositories/​spins:/​invis:/​15:/​stable:/​samba/​openSUSE_Leap_15.0/​spins:​invis:​15:​stable:​samba.repo
 </​code>​ </​code>​
- 
  
 Wenn Sie Kopano auf Basis einer offiziellen Kopano-Subskription einsetzen müssen Sie eine der Repository-Dateien manuell anpassen. Editieren Sie die Datei: <​file>/​etc/​zypp/​repos.d/​Kopano-openSUSE_limited.repo</​file>,​ indem Sie die mit "​baseurl="​ beginnende Zeile auf folgende URL abändern: Wenn Sie Kopano auf Basis einer offiziellen Kopano-Subskription einsetzen müssen Sie eine der Repository-Dateien manuell anpassen. Editieren Sie die Datei: <​file>/​etc/​zypp/​repos.d/​Kopano-openSUSE_limited.repo</​file>,​ indem Sie die mit "​baseurl="​ beginnende Zeile auf folgende URL abändern:
Zeile 279: Zeile 310:
 <​code>​ <​code>​
 invis:~ # sed -i '​s/​15\.0/​15\.1/​g'​ /​etc/​zypp/​repos.d/​* invis:~ # sed -i '​s/​15\.0/​15\.1/​g'​ /​etc/​zypp/​repos.d/​*
-</​code>​ 
- 
-Dabei werden auch die Kopano Repositories aktualisiert,​ leider stehen derzeit noch keine Repositories für Leap 15.1 zur Verfügung, entsprechend müssen hier die Änderungen wieder zurück genommen werden. 
- 
-Ändern Sie in der Datei <​file>/​etc/​zypp/​repos.d/​Kopano-openSUSE_limited.repo</​file>​ die openSUSE Versionsnummer wieder auf 15.0 zurück: 
- 
-<​code>​ 
-invis:~ # sed -i '​s/​15\.1/​15\.0/​g'​ /​etc/​zypp/​repos.d/​Kopano-openSUSE_limited.repo 
 </​code>​ </​code>​
  
Zeile 315: Zeile 338:
 invis:~ # old /​etc/​invis/​invis-pws.conf invis:~ # old /​etc/​invis/​invis-pws.conf
 invis:~ # cp /​etc/​invis/​invis-pws.conf.rpmsave /​etc/​invis/​invis-pws.conf invis:~ # cp /​etc/​invis/​invis-pws.conf.rpmsave /​etc/​invis/​invis-pws.conf
 +</​code>​
 +
 +Für die neue Version des Samba-Servers haben wir neue Apparmor-Profile erstellt, die Sie installieren müssen:
 +
 +<​code>​
 +invis:~ # cp /​usr/​share/​sine/​templates/​samba_ad/​apparmor/​* /​etc/​apparmor.d/​
 +</​code>​
 +
 +Starten Sie Apparmor jetzt neu:
 +
 +<​code>​
 +invis:~ # systemctl restart apparmor.service
 </​code>​ </​code>​
  
Zeile 480: Zeile 515:
  
 Damit ist auch der neue Firewall-Daemon in Betrieb genommen. Damit ist auch der neue Firewall-Daemon in Betrieb genommen.
 +
 +===== Anpassungen am Mailserver-Setup =====
 +
 +Je nach Version von Postfix, die beim Upgrade installiert wird weigert sich Postfix anschließend Emails zuzustellen. Um Postfix wieder zur Mitarbeit zu bewegen muss am Ende der Datei <​file>/​etc/​postfix/​main.cf</​file>​ folgende Konfiguration ergänzt werden:
 +
 +<​code>​
 +...
 +smtpd_relay_restrictions = permit_mynetworks, ​
 +                            permit_sasl_authenticated, ​
 +                            defer_unauth_destination
 +</​code>​
 +
 +Weiterhin kann es passieren, dass der Amavis-Daemon nicht startet. Um dies zu beheben führen Sie einmalig manuell das folgende Kommando aus:
 +
 +<​code>​
 +invis:~ # sa-update
 +</​code>​
 +
 +Danach lässt sich Amavis wieder starten:
 +
 +<​code>​
 +invis:~ # systemctl restart amavis.service
 +</​code>​
 +
 ===== Kopano wieder in Betrieb nehmen ===== ===== Kopano wieder in Betrieb nehmen =====
  
Zeile 566: Zeile 625:
 </​code>​ </​code>​
  
-...to be continued+Starten Sie jetzt den Gateway-Dienst und kontrollieren Sie ihn:
  
 +<​code>​
 +invis:~ # systemctl start kopano-gateway.service
 +</​code>​
  
 +Auch dies sollten Sie überprüfen:​
 +
 +<​code>​
 +invis:~ # systemctl status kopano-gateway.service
 +</​code>​
 +
 +Auch dabei ist bei unseren Tests nichts schief gegangen.
 +
 +Gehen Sie identisch beim Kopano-ical Dienst vor:
 +
 +<​code>​
 +invis:~ # old /​etc/​kopano/​ical.cfg ​
 +moving /​etc/​kopano/​ical.cfg to /​etc/​kopano/​ical.cfg-20190829
 +invis:~ # cp /​usr/​share/​sine/​templates/​groupware/​kopano/​ical.cfg /​etc/​kopano/​
 +</​code>​
 +
 +<​code>​
 +invis:~ # systemctl start kopano-ical.service
 +</​code>​
 +
 +Auch dies sollten Sie überprüfen:​
 +
 +<​code>​
 +invis:~ # systemctl status kopano-ical.service
 +</​code>​
 +
 +Zu guter Letzt fehlt noch eine zusätzliche Konfigurationsdatei,​ die Sie ebenfalls aus unseren Vorlagen beziehen können:
 +
 +<​code>​
 +invis:~ # cp /​usr/​share/​sine/​templates/​groupware/​kopano/​admin.cfg /​etc/​kopano/​
 +</​code>​
 +
 +Sollten Sie die kommerzielle Kopano-Erweiterung "​Files"​ installiert haben müssen Sie noch ein PHP-Paket austauschen:​
 +
 +<​code>​
 +invis:~ # zypper in php7-smbclient
 +</​code>​
 +
 +Das zu ersetzende Paket wird dabei automatisch deinstalliert. Starten Sie anschließend den Apache-Webserver neu:
 +
 +<​code>​
 +invis:~ # systemctl restart apache2.service
 +</​code>​
 +
 +Sie können jetzt noch einmal alle Kopano-Dienste im Block, stoppen, starten und überprüfen:​
 +
 +<​code>​
 +invis:~ # runkopano stop
 +invis:~ # runkopano start
 +invis:~ # runkopano status
 +</​code>​
 +
 +Laufen alle Dienst, ist auch das Kopano Upgrade abgeschlossen.
 +
 +===== Kimai aktualisieren =====
 +
 +Wenn Sie die Zeiterfassungssoftware Kimai auf dem invis-Server nutzen, muss dessen Datenbank an die während des Upgrades installierte neue Kimai-Version angepasst werden. Dieser Vorgang läuft völlig automatisch ab. Öffnen Sie Kimai einfach wie gewohnt und folgen Sie den Anweisungen.
 +
 +===== ownCloud aktualisieren =====
 +
 +Zur Aktualisierung von ownCloud (falls erforderlich) finden Sie hier im Wiki einen eigenen [[https://​wiki.invis-server.org/​doku.php/​invis_server_wiki:​upgrade:​owncloudupgrade|Artikel]].
 +
 +Normalerweise sollten aber folgende Kommandos ausreichen um ownCloud auf Stand zu bringen:
 +
 +<​code>​
 +invis:~ # sudo -u wwwrun /​srv/​www/​htdocs/​owncloud/​occ upgrade
 +...
 +invis:~ # sudo -u wwwrun /​srv/​www/​htdocs/​owncloud/​occ maintenance:​mode --off
 +</​code>​
  
 +**Bleibt nur noch: Viel Spaß mit Ihrem invis-Server 14.1!**
  • invis_server_wiki/upgrade/13.5_to_14.1.1567083064.txt.gz
  • Zuletzt geändert: 2019/08/29 12:51
  • von flacco