invis_server_wiki:upgrade:14.0_to_14.1

Dies ist eine alte Version des Dokuments!


invis-Server Upgrade von 14.0 auf 14.1

Dieses Anleitung beschreibt den Weg zurück aus der Sackgasse, also den Weg von der kaum funktionierenden Kombination aus Samba und MIT-Kerberos zurück zu unseren Samba-Paketen mit Heimdal-Kerberos.

Das Upgrade impliziert auch das Distributionsupgrade von openSUSE Leap 15.0 auf 15.1.

Sichern Sie alle Datenbanken des Servers. Sie können dafür die Tools des invis-Servers nutzen:

ActiveDirectory

invis:~ # adbackup

Kopano

Führen Sie hier beide Sicherungswege durch:

invis:~ # kdbdump
...
invis:~ # kbackup

Weitere Datenbanken

invis:~ # alldump

Dokuwiki

invis:~ # dwdatasnapshot

Da mit der neuen auf MIT-Kerberos basierenden Samba-Version 4.7. die im Laufe des Upgrades installiert wird, werden überarbeitete AppArmor Profile notwendig. Um negative Effekte auf das Upgrade durch mögliche AppArmor-Blockaden vorzubereiten wird AppArmor vor dem Upgrade deaktiviert.

invis:~ # systemctl stop apparmor.service
...
invis:~ # systemctl disable apparmor.service

Im späteren Verlauf des Upgrades wird AppArmor mit neuen Profilen wieder aktiviert.

Auch der Email-Abruf sollte vor dem Upgrade deaktiviert werden:

invis:~ # systemctl stop fetchmail.service
invis:~ # systemctl disable fetchmail.service

Auch der Samba Domain-Controller wird abgeschaltet und deaktiviert.

invis:~ # systemctl stop samba.service
invis:~ # systemctl disable samba.service

Starten wir mit dem Upgrade der Samba AD-Umgebung. Das bedeutet einen Wechsel von den openSUSE-eigenen Samba-Paketen zurück zu Paketen die wir, das invis-Server-Projekt über eigene Repositories bereit stellen.

Beginnen wir damit das passende Repository einzubinden:

invis:~ # zypper ar https://download.opensuse.org/repositories/spins:/invis:/15:/stable:/samba/openSUSE_Leap_15.0/spins:invis:15:stable:samba.repo
invis:~ # zypper ref

Jetzt können die neuen Samba-Pakete installiert werden. Es wird dabei direkt von Samba-Version 4.7.x aus der openSUSE Distribution auf 4.10.x aus unseren eigenen Repositories aktualisiert. Dies erfordert ein wenig Nacharbeit.

Ermitteln Sie zunächst die Nummer des hinzugekommenen Samba-Repositories:

invis:~ # zypper repos | grep samba
15 | spins_invis_15.0_samba     | Samba 4.10 with Heimdal Kerberos  (openSUSE_Leap_15.0)             | Ja        | (r ) Ja         | Nein
invis:~ # 

Im Beispiel trägt das neue Repository die Nr. 15, daraus ergibt sich das Kommando zum Paket-Upgrade:

invis:~ # zypper dup --from 15 --allow-vendor-change

Dieses Kommando löst eine Reihe Paketkonflikten aus.

Wählen Sie jeweils Lösung 2:

...
 Lösung 2: Deinstallation von samba-python-4.7.11+git.186.d75219614c3-lp150.3.18.2.x86_64
...
...
 Lösung 2: Deinstallation von libsamba-policy0-4.7.11+git.186.d75219614c3-lp150.3.18.2.x86_64
...
...
 Lösung 2: Deinstallation von krb5-server-1.15.2-lp150.5.10.1.x86_64
...

Wundern Sie sich nicht über die Deinstallation des Kerberos-Server Paketes „krb5-server“, genau das ist es ja worum es geht. Den Austausch des MIT-Kerberos Dienstes gegen den in unseren Paketen enthaltenen Heimdal KDC.

Nach dem Tausch der Samba-Pakete startet der Samba ActiveDirectory Dienst nicht automatisch. Dies liegt im Austausch des zugehörigen Service-Unit-Files begründet. Auch wenn die neue Datei den gleichen Namen trägt, weigert sich Systemd dies einfach so hinzunehmen. Notwendig ist ein Reload des Systemd:

invis:~ # systemctl daemon-reload

Danach lässt sich Samba wieder starten:

invis:~ # systemctl start samba-ad-dc.service
  • invis_server_wiki/upgrade/14.0_to_14.1.1576437665.txt.gz
  • Zuletzt geändert: 2019/12/15 19:21
  • von flacco