Versionshinweise: Unterschied zwischen den Versionen
Admin (Diskussion | Beiträge) |
Admin (Diskussion | Beiträge) |
||
Zeile 77: | Zeile 77: | ||
Richtig: Signature Algorithm: sha256WithRSAEncryption | Richtig: Signature Algorithm: sha256WithRSAEncryption | ||
Falsch: Signature Algorithm: md5WithRSAEncryption | Falsch: Signature Algorithm: md5WithRSAEncryption | ||
+ | |||
+ | ==Migration von OSS-3.4.2== | ||
+ | ===Die wichtigsten Änderungen im CRANIX-4 gegenüber OSS-3.4.2=== | ||
+ | |||
+ | #Basiert auf der aktuellen openLeap-Distribution und nicht mehr auf SLES. | ||
+ | #Der OSS-3.4.2 bot einen LDAP-Server als zentraler Authentifizierungserver an. Der CRANIX-4 ist ein Active-Directory-Server. Es gibt zwar Gemeinsamkeiten aber auch wesentliche Unterschiede: [https://blog.varonis.com/the-difference-between-active-directory-and-ldap/ AD vs LDAP] , [https://de.wikipedia.org/wiki/Active_Directory Active-Directory] | ||
+ | #Aus Umstellung zur Active-Directory Server Kompatibilität und der daraus resultierenden Notwendigkeit der Eindeutigkeit von Objekt-Namen ergibt sich die Besonderheit, dass bei Benutzer, Gruppen und Workstation-Accounts mit identischen Namen nicht existieren dürfen. Deshalb wurde der Benutzer "admin" abgeschafft. Statt dessen gibt es nur den Benutzer "Administrator", der der Windows-Domänen Administrator ist. Während der Migration werden die Daten von "admin" dem Benutzer "Administrator" zugewiesen. | ||
+ | #Bisher wurde bei der Registrierung eines Rechners ein dazugehöriger Workstation-Benutzer angelegt. Nun werden nur noch Workstation-Benutzer für Geräte angelegt, welche eine Hardwarekonfiguration vom Gerätyp '''FatClient''' haben. | ||
+ | #Die kombinierte Rolle "teachers,sysadmins" gibt es nicht mehr. Im OSS 3-4 konnte man einem Lehrerbenutzer Administrationsrechte geben. Dadurch hatte dieser Zugriff auf die meisten Funktionen, die ein Systemadministrator sonst hatte. Diese Art von Rechteverteilung hat sich als zu starr erwiesen, weshalb im CRANIX-4 ein auf ACLs basierendes Rechtesystem eingebaut wurde. Mehr dazu entnehmen Sie dem Kapitel [[Rechtekonzept]]. | ||
+ | #'''Raumkontrolle''' Im OSS-3.X war es möglich aus einem Raum mit "no_control" alle anderen kontrollierbaren Räumen zu kontrollieren. Im CRANIX-4 hat sich dieses Verhalten geändert. Räume mit "inRoom"-Kontrolle dürfen nur aus dem Raum selbst kontrolliert werden. Aus einem Raum mit "no" dürfen nur Räume mit "allTeachers" kontrolliert werden. Dadurch soll verhindert werden, dass man zum Beispiel eine Klausur stört. Klausuren sollten in Räumen mit "inRoom"-Kontrolle ausgeführt werden. Zur Kontrolle des Raumes muss ein Lehrer im "Klausurraum" angemeldet sein. Diese Änderung hat auch die Konsequenz, dass die Räume mit "inRoom" Kontrolle nicht in der Auswahl der Räume unter Pädagogik -> Unterricht erscheinen. Auch nicht für Systemadministratoren. Wollen Sie also, dass immer alle Räume zur Auswahl stehen, da es in den Räumen keinen dedizierten Lehrerrechner gibt und die Lehrer mit privaten Rechner arbeiten, müssen Sie die Kontrolle der Räumen auf "allTeachers" setzen.<br>Weiterhin ist es nicht mehr möglich für Räumen mit Raumkontrolle "no" Zugriffszeitplan zu erstellen oder dynamisch den Zugriff zu kontrollieren. Für Räumen mit Raumkontrolle "no" ist der Zugang zu allen Diensten des OSS immer erlaubt. Für direkten Internetzugang muss unter ''Firewall'' -> ''Ausgehende Verbindungen'' Raumregel gesetzt werden.<br>Neu ist auch die "sysadminsOnly"-Kontrolle. Das sind Räume in denen die dynamische Kontrolle nur für Systemadministratoren nicht jedoch den LehrerInnen erlaubt ist. Standardmäßig ist der ANON_DHCP-Bereich so ein Raum. | ||
+ | #CUPS ist im CRANIX-4 nur direkt am Server unter https://localhost:631 verwaltbar. | ||
+ | #Der CRANIX-4 liefert keine eigene Portalseite wie der OSS-3 und bei der Migration per Neuinstallation wird die alte Portalseite nicht übernommen. Sie können den Inhalt von /srv/www/oss/ selbst gestalten. | ||
+ | |||
+ | ==Migration von OSS 3.4.2 auf CRANIX-4== | ||
+ | |||
+ | Bitte beachten Sie folgendes für die Migration: auch wenn der Prozess sorgfältig getestet wurde, können wir keine Garantie für die Übernahme aller Daten übernehmen. Der Migrations-Prozess kann nur Daten übernehmen, die von einem richtig gepflegten und aktualisierten OSS 3 stammen. Daten einer installierten Fremdsoftware oder OSS Daten, die von einer Fremdsoftware angepasst und angereichert wurden, können ggf. nicht korrekt übernommen werden. Wenn Sie in Ihrem OSS Fremdsoftware installiert haben, dann wird diese aller Voraussicht nach deinstalliert oder sie wird nicht mehr korrekt funktionieren. Aus der Umstellung zur Active-Directory Server Kompatibilität und der daraus resultierenden Notwendigkeit der Eindeutigkeit von Objekt-Namen, ergibt sich die Besonderheit, dass bei Benutzer, Gruppen und Workstation-Accounts mit identischen Namen nur das Benutzerkonto migriert wird. Die Daten der Gruppe bleiben dann zwar erhalten, die Gruppe selbst wird jedoch nicht migriert. | ||
+ | |||
+ | '''Die Windows-Benutzerprofile werden NICHT übernommen.''' Die Benutzer selbst müssen dafür Sorge tragen, dass sie vor der Migration alle wichtige Dateien in ihren Homeverzeichnisse speichern! | ||
+ | |||
+ | '''Portalseite wird NICHT übernommen.''' Der CRANIX-4 liefert keine eigene Portalseite wie der OSS-3 und bei der Migration per Neuinstallation wird die alte Portalseite nicht übernommen. | ||
+ | |||
+ | ''Drucker können nur dann übernommen werden, wenn dieser sowohl über die Adminoberfläche als auch in CUPS mit völlig identischen namen angelegt wurden. Damit solche Drucker in CRANIX-4 weiter verwaltet werden können, muss für die Geräte die Gerätekonfiguration nach der Migration über die Adminoberfläche auf 'Printer' gesetzt werden. Drucker die diese Schema nicht entsprechen, müssen vor der Migration gelöscht und neu angelegt werden.'' | ||
+ | |||
+ | ''Die Übernahme von Mailaccounts bzw. Mailservereinstellungen erfolgt nicht automatisch. Dieses bieten wir als zusätzliche Dienstleistung an. Sollten Sie hierbei Unterstützung benötigen, erstellen wir Ihnen gerne ein unverbindliches Angebot. Schreiben Sie uns einfach über: support@cephalix.eu an.'' | ||
+ | |||
+ | Es gibt 2 Möglichkeiten für die Migration von OSS-3.4.2 auf CRANIX-4 über ein Update per DVD oder über Neuinstallation und anschließende Import der Objekten. In beiden Fällen muss der Server bzw die Klients für die Migration vorbereitet werden. Das neueste Migrationspaket, Installationsmedium und das ClientSetup Programm befinden sich auf unserem Server: [https://repo.cephalix.eu/Downloads] | ||
+ | |||
+ | ==Die Migration von OSS 3.4.2 per Neuinstallation== | ||
+ | |||
+ | ===Installation der Migrationstools auf dem Server=== | ||
+ | Bitte laden Sie die neueste Version von ''oss-migration-3-to-4'' von unserem Repository-Server https://repo.cephalix.eu/Downloads herunter und installieren Sie diese auf dem Server: | ||
+ | rpm -Uvh --noarch oss-migration-3-to-4-3.4-7.noarch.rpm | ||
+ | ===Installation des neuen Klientprogrammes auf den Rechnern.=== | ||
+ | Der CRANIX-4 verwaltet die Klientrechner mit dem SaltStack-Management-Software. Um die Umstellungsarbeiten zu erleichtern, haben wir ein Wpkg-Paket erstellt, womit man das neue Klientprogramm mit dem alten Softwarevertelungstool installiert werden kann. Laden Sie dazu das Programm ''Oss4UpdateClients'' aus der Kategorie "''OSS4.0 prereq''" herunter. Bevor Sie dieses Software nun allen Clients zuweisen und die Installation starten müssen Sie die Datei /srv/itool/swrepository/Oss4UpdateClients/install.ps1 anpassen und den Platzhalter "<<DOMAIN>>" durch ihren DNS-Domainnamen ersetzen: ''$name = ($env:COMPUTERNAME).ToLower() + ".rs-angels.haeven.edu"''. Nach dieser Anpassung müssen Sie dieses Paket allen Rechner zuweisen und die Softwareinstallation anstoßen. Erst nachdem das neue Programm auf den Clients installiert ist, sollten Sie mit der Migration vorfahren. | ||
+ | ===Exportieren der Objekten=== | ||
+ | Im Paket oss-migration-3-to-4 befindet sich ein Programm womit man die Objekten von OSS-3-4-2 in Dateien exportiert, die mit CRANIX-4 importiert werden können: ''/usr/sbin/oss_export-for-4-0.pl''.<br>Erstellen Sie ein Verzeichnis für die Importskripten, wechseln Sie in diese Verzeichnis und führen Sie nun das Exportskrip aus: | ||
+ | mkdir -p /home/migration/CRANIX-4 | ||
+ | cd /home/migration/CRANIX-4 | ||
+ | /usr/sbin/oss_export-for-4-0.pl | ||
+ | Überprüfen Sie den Inhalt der Importdateien. Wichtig ist auch, dass die Importdateien auf eine Partition liegen, die bei der Installation nicht formatiert wird. Am besten ist es, wenn Sie ein Backup erstellen. | ||
+ | ===Neuinstallation von CRANIX-4=== | ||
+ | Sie können CRANIX-4 auf eine neue Hardware oder auch auf die selbe Hardware installieren. In letzterem Fall müssen Sie die manuelle Installation wählen und die Partitioniereung selber vornehmen. Dabei ist sehr wichtig, dass die Partition mit ''/home'' nicht formatiert wird.<br>Möchten Sie die E-Mails auch übertragen, müssen Sie von den Verzeichnissen /var/lib/imap, /var/spool/imapund /var/lib/sieve ein Backup erstellen.<br>Sie können während der Installation eine andere Domäne wählen, die Netzwerkkonfiguration soll jedoch erhalten bleiben, sonst können die exportierten Räumen und Geräten nicht importiert werden. | ||
+ | ===Übertragung der Dateien=== | ||
+ | Wurde der CRANIX-4 auf eine neue Hardware installiert, muss das /home/ vom alten Server auf den neuen Server übertragen werden. Verwenden Sie dazu das Tool rsync mit folgenden Parametern: | ||
+ | rsync -aAv --exclude profile --exclude archiv /home/ <neuer-server>:/home/ | ||
+ | ===Importieren der Objekten=== | ||
+ | Die Reihenfolge wie Sie die Importdateien einlesen ist sehr wichtig. Weichen Sie davon nicht ab! | ||
+ | ====Importieren von Gerätekonfigurationen==== | ||
+ | Von der Kommandozeile mit folgendem Befehl: | ||
+ | crx_api_post_file.sh hwconfs/import hwconfs.csv'' | ||
+ | ====Importieren von Räumen==== | ||
+ | Von der Kommandozeile mit folgendem Befehl: | ||
+ | crx_api_upload_file.sh rooms/import rooms.csv | ||
+ | ====Importieren von Benutzern==== | ||
+ | Die Benutzer müssen rollen weise von der Kommandozeile mit folgenden Befehl importiert werden: | ||
+ | crx_import_user_list.py --role <role> --input /home/migration/CRANIX-4/<role>.csv | ||
+ | Wobei ''<role>'' mit den entsprechenden Rollen ersetzt werden soll. Alternativ können Sie das Import auch über die Adminoberfläche durchführen. Weiterhin muss beachtet werden, dass die so angelegten Benutzter neue Passwörter erhalten. Sie können jedoch mit Verwendung der Parameter ''--userpassword --mustchange'' dieses Verhalten beeinflussen. Alle Kommandozeilenparameter zum crx_import_user_list.py finden Sie [[Benutzerverwaltung#Importparameter|hier]]. Die Importlisten befinden sich anschließend in /home/groups/SYSADMINS/userimports/. | ||
+ | |||
+ | ====Importieren von Geräten==== | ||
+ | Von der Kommandozeile mit folgendem Befehl: | ||
+ | crx_api_upload_file.sh devices/import devices.csv | ||
+ | ====Anpassen von Filesystemrechten==== | ||
+ | Dazu müssen 2 Befehle ausgeführt werden aus dem Verzeichnis aus, wo sich die Importdateien befinden. | ||
+ | crx_reset_home.sh -a | ||
+ | bash chown-users.sh | ||
+ | ====Importieren von Gruppen==== | ||
+ | Während der Anpassung der Dateisystemrechten kann die Datei groups.csv von der Kommandozeile mit folgendem Befehl eingelesen werden: | ||
+ | crx_api_upload_file.sh groups/import groups.csv | ||
+ | |||
+ | ==Die Migration von OSS 3.4.2 per Update== | ||
+ | |||
+ | #'''Installation der Migrationstools auf dem Server'''<br>Bitte laden Sie die neueste Version von ''oss-migration-3-to-4'' von unserem Repository-Server http://repo.cephalix.eu/Downloads herunter und installieren Sie diese auf dem Server:<br>''zypper install oss-migration-3-to-4-3.4-7.noarch.rpm'' | ||
+ | #'''Installation des neuen Klientprogrammes auf den Rechnern.'''<br> Der CRANIX-4 verwaltet die Klientrechner mit dem SaltStack-Management-Software. Um die Umstellungsarbeiten zu erleichtern, haben wir ein Wpkg-Paket erstellt, womit man das neue Klientprogramm mit dem alten Softwarevertelungstool installiert werden kann. Laden Sie dazu das Programm ''Oss4UpdateClients'' aus der Kategorie "''OSS4.0 prereq''" herunter. Bevor Sie dieses Software nun allen Clients zuweisen und die Installation starten müssen Sie die Datei /srv/itool/swrepository/Oss4UpdateClients/install.ps1 anpassen und den Platzhalter "<<DOMAIN>>" durch ihren DNS-Domainnamen ersetzen: ''$name = ($env:COMPUTERNAME).ToLower() + ".rs-angels.haeven.edu"''. Nach dieser Anpassung müssen Sie dieses Paket allen Rechner zuweisen und die Softwareinstallation anstoßen. Erst nachdem das neue Programm auf den Clients installiert ist, sollten Sie mit der Migration vorfahren. | ||
+ | #'''Vorbereitung der vorhandenen Daten auf dem alten OSS-Server'''<br>Als erstes muss auf dem Server das Paket oss-migration-3-to-4 installiert werden. Dieses Paket liefert alle nötigen Skripte, die zur Vorbereitung der Migration nötig sind. Es ist dringend zu empfehlen ein Backup vom System durchzuführen. Die Vorbereitung zur Migration wird mit dem Skript: '''/usr/share/oss/oss-migration-3-to-4/migrate-to-4-0.sh''' gestartet. Dieses Skript muss als Benutzer root mit der vollen Pfadangabe ausgeführt werden. | ||
+ | #'''Update des Systems'''<br>Dieser Schritt muss von einem CRANIX-4 Installationsmedium durchgeführt werden. Laden Sie das aktuelle CRANIX-4 DVD-Image herunter. Bei Bedarf muss dieses auf DVD gebrannt werden. Starten Sie das System von der erstellten DVD und wählen Sie aus dem Bootmenü Upgrade. Während des Upgradeprozesses werden einige Fragen gestellt, bzw. Hinweise gegeben, welche immer im positiven Sinne beantwortet werden müssen. Eine Ausnahme besteht dann, wenn eine Warnung während der Partitionierung angezeigt wird. In den meisten Fällen handelt es sich darum, dass in der Datei /etc/fstab einige Partitionen mit ihrem Kernel-Device-Namen eingetragen sind. Dies ist nicht zu empfehlen. Bitte brechen Sie in diesem Fall die Installation ab, starten Sie das alte System, und berichtigen Sie die Partitionierung mit dem "yast2 disk" Modul (Partitionierer). | ||
+ | #'''Einspielen von Daten'''<br>Das Skript oss-prepare-migration.pl erstellt unter /home/archiv/migrate-to-4-0 einige Skripte, die zum Einspielen der Daten aus dem alten System nötig sind. Man startet das Einspielen der vorbereiteten Daten als Benutzer root mit dem Befehl '''/usr/share/oss/oss-migration-3-to-4/import-from-3-4.sh''' | ||
+ | #'''Nacharbeiten'''<br>Während der Migration bleibt das root-Passwort ungeändert. Das Administrator-Passwort muss jedoch anschließend neu gesetzt und der Printserver in die Domäne aufgenommen werden: | ||
+ | samba-tool user setpassword Administrator | ||
+ | net ADS JOIN -s /etc/samba/smb-printserver.conf -U Administrator | ||
+ | Weiterhin müssen ggf. die Apache2 Kongigurationsdateien angepasst werden. Hier geht es in erster Linie um die Zugriffskontrolle. Bitte lesen Sie dazu: [https://httpd.apache.org/docs/2.4/upgrading.html Apache-Update auf 2.4 von 2.2] Ob das erforderlich ist, sieht man daran ob apache2 gestartet werden konnte: | ||
+ | systemctl status apache2 | ||
+ | ● apache2.service - The Apache Webserver | ||
+ | Loaded: loaded (/usr/lib/systemd/system/apache2.service; enabled; vendor preset: disabled) | ||
+ | Active: failed (Result: exit-code) since Do 2018-08-30 16:46:34 CEST; 3s ago | ||
+ | Process: 13103 ExecStop=/usr/sbin/start_apache2 -DSYSTEMD -DFOREGROUND -k graceful-stop (code=exited, status=1/FAILURE) | ||
+ | Process: 13093 ExecStart=/usr/sbin/start_apache2 -DSYSTEMD -DFOREGROUND -k start (code=exited, status=1/FAILURE) | ||
+ | Main PID: 13093 (code=exited, status=1/FAILURE) | ||
+ | Aug 30 16:46:34 admin systemd[1]: Starting The Apache Webserver... | ||
+ | Aug 30 16:46:34 admin start_apache2[13093]: AH00526: Syntax error on line 5 of /etc/apache2/vhosts.d/7IF2.group: | ||
+ | Aug 30 16:46:34 admin start_apache2[13093]: Invalid command 'Order', perhaps misspelled or defined by a module not included in the server configuration | ||
+ | |||
+ | '''WICHTIG''' Bitte beachten Sie folgende Hinweise: | ||
+ | *Die Uhr des Servers muss genau eingestellt werden. Liegt die Systemzeit in der Zukunft, wird der Server nach dem Update nicht 100% betriebsfähig sein. | ||
+ | *Es gibt keinen Weg zurück: Hat man das Mirgrationsskript gestartet, wird das System so umkonfiguriert, dass das alte System nicht mehr funktionsfähig ist. | ||
+ | *'''Das Einspielen eines Backups von einem OSS 3.4.2 Systems ist NICHT möglich.''' | ||
+ | *Je nach Anzahl der Benutzerkonten und Rechner brauchen Sie ca. 100MB freien Speicherplatz unter /home/archiv/. Das Skript /usr/share/oss/oss-migration-3-to-4/oss-prepare-migration.pl überprüft, ob genug Speicherplatz zur Verfügung steht. Ansonsten wird dieses nicht gestartet. | ||
+ | *Es werden nur die, vom OpenSchoolServer-Team, per Update zur Verfügung gestellten Pakete aktualisiert. Haben Sie Pakete von Drittanbieter bezogen, werden diese höchstwahrscheinlich gelöscht. | ||
+ | *Eine Migration per "zypper dup" von einer Online-Repository ist nicht möglich. | ||
+ | *Während der Migration wird der Benutzer "admin" samt seine Daten in den Benutzer "Administrator" konvertiert. Dieser Benutzer ist nun der Domain-Hauptadministrator. Einen Benutzer "admin" gibt es im OSS 4.0 nicht. |
Version vom 28. Januar 2022, 20:37 Uhr
Inhaltsverzeichnis
- 1 CRANIX 4.4
- 2 CRANIX 4.3
- 3 Migration von OSS-3.4.2
- 4 Migration von OSS 3.4.2 auf CRANIX-4
- 5 Die Migration von OSS 3.4.2 per Neuinstallation
- 6 Die Migration von OSS 3.4.2 per Update
1 CRANIX 4.4
Diese Version wird am 31. Januar 2022 veröffentlicht. Das aktuelle ISO kann unter CRANIX-4-4 heruntergeladen werden. Die wichtigsten Neuerungen gegen über 4.3 sind:
- Basissystem: openLeap 15.3
- Sama-ad Version 4.15.2
- firewalld ersetzt nun SuSEfirewall2.
- sssd wird für Name Services (NS) und PAM verwendet.
- Der Printserver-Instanz von Samba wurde abgeschafft und die Drucker sind nun über den admin (AD) erreichbar.
- Die Zugangskontrolle wurde völlig überarbeitet.
1.1 Zu beachten
- Man kann nur von CRANIX-4-3 bzw. OSS-3.4.2 eine Migration auf CRANIX-4-4 durchführen.
1.2 Migration von der Kommandozeile starten
- Auf eine nicht grafische Konsole wechseln! <alt>+<ctl>+<F1>
- Melden Sie sich als root an!
- Bitte alle Updates einspielen!
- Die Version 4.3-lp152.52.1 oder höher von cranix-base muss installiert sein. Nur dieses Paket enthält das getestete Migrationsscript. Bitte überprüfen Sie das Paket:
# rpm -q cranix-base cranix-base-4.3-lp152.52.1.noarch
- Migration mit dem Befehl
/usr/share/cranix/tools/migrate-to-4-4.sh
starten. - Nach erfolgreichem Installation wird das System automatisch neu gestartet.
- Würde die Migration fehlschlagen, bitte den Server nicht neu starten und eine Supportanfrage an CRANIX Support senden!
2 CRANIX 4.3
Am 20. Oktober 2020 wurde die finale Version von CRANIX-4-3 ist freigegeben. Das aktuelle ISO können sie unter CRANIX-4-3 Die wichtigsten Neuerungen gegen über 4.0.1 bzw. 4.1 sind:
- Basissystem: openLeap 15.2
- Die zentrale Konfiugrationsdatei heißt nun /etc/sysconfig/cranix
- Die oss_ Befehle fangen jetzt alle mit crx_ an.
- Neue Variable in der Konfiugrationsdatei: ALLOW_WINDOWS_UPDATES ist diese Variable auf no gesetzt, wird auf dem Windows-Rechner beim Hochfahren das wuauserv gestoppt und deaktiviert.
- Python3 ist Standard. Viele unsere Helperscripten wurden auch in python umgeschreiben.
- SysVinit ist komplett entfernt.
- Die alten Befehle ipconfig und route sind ebenfalls entfernt.
- Da xfce4 auf openLeap 15.2 für "root" so gut wie unbrauchbar ist, wird KDE als Window/Displaymanager eingeführt.
- Die Administrationsoberfläche wurde mit der Verwendung von Ionic Framework und ag-Grid völlig neu geschrieben.
- Neue Hardwarekonfiguration cloneProxy für das Klonen von Tablets mit USB-Ethernet-Adapter.
- Clone-Master wurde abgeschafft. Da das Setzen von Clone-Master mehr Probleme als Vorteile bereitet hatte, wurde das Clone-Master abgeschafft. Das heißt, man kann von jedem Rechner das Image zum Verteilen ziehen.
- samba 4.11
- Die Nutzung der GPOs wurde verbessert.
- Für die Rollen werden nun OU-s erstellt und die Benutzer werden nicht in CN=Users,<LDAPBASE> sondern OU=<rolle>,<LDAPBASE> hinterlegt. Dadurch kann man verschiedene GPOs für die Rollen erstellen.
2.1 Zu beachten
- Man kann nur von folgenden Versionen auf CRANIX-4-3 eine Migration durchführen: OSS-3.4.2, OSS-4.1, CRANIX-4-2
- Die Samba-Version von OSS-4.0 (4.6.X) kann nicht auf die Samba-Version von CRANIX-4.3 (4.11.X) aktualisiert werden. CRANIX-4.0 muss man zunächst auf OSS-4.0.1 aktualisieren und anschließend mindestens 1 Tag lang laufen lassen, damit die Samba-Datenbanken umgebaut werden.
- OSS-4.0.1 muss zunächst auf OSS-4-1 migriert werden.
2.2 Migration von der Kommandozeile starten
- Auf eine nicht grafische Konsole wechseln! <alt>+<ctl>+<F1>
- Melden Sie sich als root an!
- Bitte alle Updates einspielen!
- OSS-4-1:
- Die Version >= 4.1.0-lp151.16.1 des Paketes "oss-base" muss installiert sein.
- Migration mit dem Befehl /usr/share/oss/tools/migrate-to-cranix.sh starten.
- Die Migration erfolgt in 3 Schritten.
- Zunächst wird die Systemkonfiguration an CRANIX-4-3 angepasst.
- Danach wird per at ein Job gestartet, welche die Migration in Hintergrund durchführt. Dabei werden 3 Logdateien erstellt:
- /var/log/MIGRATE-TO-CRANIX-1.log Ausgabe der von zypper ref.
- /var/log/MIGRATE-TO-CRANIX-2.log Ausgabe der Paketenmigration.
- /var/log/MIGRATE-TO-CRANIX-3.log Ausgabe der anschließenden Anpassung der Paketen.
- Anschließend werden die Datenbank vom CRANIX-Server und die von Samba auf die neue Formate migriert.
- CRANIX-4-2:
- Die Version >= 4.2-lp151.31.1 des Paketes "cranix-base" muss installiert sein.
- Migration mit dem Befehl /usr/share/cranix/tools/migrate-to-4.3.sh starten.
- Bitte beachten Sie, dass während der Migration mehr als 2000 Pakete aktualisiert werden, deshalb kann die Migration je nach Qualität des Internetzugangs 20-90 Minuten lang dauern.
- Nach erfolgreicher Migration startet der Server selbständig neu. Auf keinen Fall manuell neustarten.
- Wenn die Migration abbricht bitte Supportanfrage stellen. Um Ihnen weiter helfen zu können, brauchen wir ssh-Zugang zu Ihrem Server.
- WICHTIG Bitte Migration nicht abbrechen!
- WICHTIG Auf keinen Fall neu starten, wenn ein Fehler bei der Migration aufgetreten ist. In diesem Fall bitte Supportanfrage stellen, aber auf keinen Fall neu starten!
2.3 Bekannte Probleme
Beim Server die als 4.0.0 aufgesetzt wurden, kann es vorkommen, dass apache2 nach der Migration von 4.1 auf 4.3 nicht mehr startet. Das Problem ist, dass auf 4.0.0 "md5" als "Signature Algorithm" für die Erstellung von Zertifikaten verwendet wurde. Das wird allerdings nicht mehr als sicher genug betrachtet und Apache arbeitet damit nicht mehr. Deshalb müssen in diesem Fall die Zertifikate neu erstellt werden:
rm -r /etc/ssl/servercerts/* . /etc/sysconfig/cranix /usr/share/cranix/tools/create_server_certificates.sh -N CA /usr/share/cranix/tools/create_server_certificates.sh -N admin /usr/share/crnaix/tools/create_server_certificates.sh -N schoolserver
Ob die Zertifikate mit dem richtigen Algorithmus erstellt worden sind, kann man mit folgendem Befehl überprüfen:
openssl x509 -in /etc/ssl/servercerts/certs/admin.<Ihr Domainnamen>.cert.pem -text | grep 'Signature Algorithm' Richtig: Signature Algorithm: sha256WithRSAEncryption Falsch: Signature Algorithm: md5WithRSAEncryption
3 Migration von OSS-3.4.2
3.1 Die wichtigsten Änderungen im CRANIX-4 gegenüber OSS-3.4.2
- Basiert auf der aktuellen openLeap-Distribution und nicht mehr auf SLES.
- Der OSS-3.4.2 bot einen LDAP-Server als zentraler Authentifizierungserver an. Der CRANIX-4 ist ein Active-Directory-Server. Es gibt zwar Gemeinsamkeiten aber auch wesentliche Unterschiede: AD vs LDAP , Active-Directory
- Aus Umstellung zur Active-Directory Server Kompatibilität und der daraus resultierenden Notwendigkeit der Eindeutigkeit von Objekt-Namen ergibt sich die Besonderheit, dass bei Benutzer, Gruppen und Workstation-Accounts mit identischen Namen nicht existieren dürfen. Deshalb wurde der Benutzer "admin" abgeschafft. Statt dessen gibt es nur den Benutzer "Administrator", der der Windows-Domänen Administrator ist. Während der Migration werden die Daten von "admin" dem Benutzer "Administrator" zugewiesen.
- Bisher wurde bei der Registrierung eines Rechners ein dazugehöriger Workstation-Benutzer angelegt. Nun werden nur noch Workstation-Benutzer für Geräte angelegt, welche eine Hardwarekonfiguration vom Gerätyp FatClient haben.
- Die kombinierte Rolle "teachers,sysadmins" gibt es nicht mehr. Im OSS 3-4 konnte man einem Lehrerbenutzer Administrationsrechte geben. Dadurch hatte dieser Zugriff auf die meisten Funktionen, die ein Systemadministrator sonst hatte. Diese Art von Rechteverteilung hat sich als zu starr erwiesen, weshalb im CRANIX-4 ein auf ACLs basierendes Rechtesystem eingebaut wurde. Mehr dazu entnehmen Sie dem Kapitel Rechtekonzept.
- Raumkontrolle Im OSS-3.X war es möglich aus einem Raum mit "no_control" alle anderen kontrollierbaren Räumen zu kontrollieren. Im CRANIX-4 hat sich dieses Verhalten geändert. Räume mit "inRoom"-Kontrolle dürfen nur aus dem Raum selbst kontrolliert werden. Aus einem Raum mit "no" dürfen nur Räume mit "allTeachers" kontrolliert werden. Dadurch soll verhindert werden, dass man zum Beispiel eine Klausur stört. Klausuren sollten in Räumen mit "inRoom"-Kontrolle ausgeführt werden. Zur Kontrolle des Raumes muss ein Lehrer im "Klausurraum" angemeldet sein. Diese Änderung hat auch die Konsequenz, dass die Räume mit "inRoom" Kontrolle nicht in der Auswahl der Räume unter Pädagogik -> Unterricht erscheinen. Auch nicht für Systemadministratoren. Wollen Sie also, dass immer alle Räume zur Auswahl stehen, da es in den Räumen keinen dedizierten Lehrerrechner gibt und die Lehrer mit privaten Rechner arbeiten, müssen Sie die Kontrolle der Räumen auf "allTeachers" setzen.
Weiterhin ist es nicht mehr möglich für Räumen mit Raumkontrolle "no" Zugriffszeitplan zu erstellen oder dynamisch den Zugriff zu kontrollieren. Für Räumen mit Raumkontrolle "no" ist der Zugang zu allen Diensten des OSS immer erlaubt. Für direkten Internetzugang muss unter Firewall -> Ausgehende Verbindungen Raumregel gesetzt werden.
Neu ist auch die "sysadminsOnly"-Kontrolle. Das sind Räume in denen die dynamische Kontrolle nur für Systemadministratoren nicht jedoch den LehrerInnen erlaubt ist. Standardmäßig ist der ANON_DHCP-Bereich so ein Raum. - CUPS ist im CRANIX-4 nur direkt am Server unter https://localhost:631 verwaltbar.
- Der CRANIX-4 liefert keine eigene Portalseite wie der OSS-3 und bei der Migration per Neuinstallation wird die alte Portalseite nicht übernommen. Sie können den Inhalt von /srv/www/oss/ selbst gestalten.
4 Migration von OSS 3.4.2 auf CRANIX-4
Bitte beachten Sie folgendes für die Migration: auch wenn der Prozess sorgfältig getestet wurde, können wir keine Garantie für die Übernahme aller Daten übernehmen. Der Migrations-Prozess kann nur Daten übernehmen, die von einem richtig gepflegten und aktualisierten OSS 3 stammen. Daten einer installierten Fremdsoftware oder OSS Daten, die von einer Fremdsoftware angepasst und angereichert wurden, können ggf. nicht korrekt übernommen werden. Wenn Sie in Ihrem OSS Fremdsoftware installiert haben, dann wird diese aller Voraussicht nach deinstalliert oder sie wird nicht mehr korrekt funktionieren. Aus der Umstellung zur Active-Directory Server Kompatibilität und der daraus resultierenden Notwendigkeit der Eindeutigkeit von Objekt-Namen, ergibt sich die Besonderheit, dass bei Benutzer, Gruppen und Workstation-Accounts mit identischen Namen nur das Benutzerkonto migriert wird. Die Daten der Gruppe bleiben dann zwar erhalten, die Gruppe selbst wird jedoch nicht migriert.
Die Windows-Benutzerprofile werden NICHT übernommen. Die Benutzer selbst müssen dafür Sorge tragen, dass sie vor der Migration alle wichtige Dateien in ihren Homeverzeichnisse speichern!
Portalseite wird NICHT übernommen. Der CRANIX-4 liefert keine eigene Portalseite wie der OSS-3 und bei der Migration per Neuinstallation wird die alte Portalseite nicht übernommen.
Drucker können nur dann übernommen werden, wenn dieser sowohl über die Adminoberfläche als auch in CUPS mit völlig identischen namen angelegt wurden. Damit solche Drucker in CRANIX-4 weiter verwaltet werden können, muss für die Geräte die Gerätekonfiguration nach der Migration über die Adminoberfläche auf 'Printer' gesetzt werden. Drucker die diese Schema nicht entsprechen, müssen vor der Migration gelöscht und neu angelegt werden.
Die Übernahme von Mailaccounts bzw. Mailservereinstellungen erfolgt nicht automatisch. Dieses bieten wir als zusätzliche Dienstleistung an. Sollten Sie hierbei Unterstützung benötigen, erstellen wir Ihnen gerne ein unverbindliches Angebot. Schreiben Sie uns einfach über: support@cephalix.eu an.
Es gibt 2 Möglichkeiten für die Migration von OSS-3.4.2 auf CRANIX-4 über ein Update per DVD oder über Neuinstallation und anschließende Import der Objekten. In beiden Fällen muss der Server bzw die Klients für die Migration vorbereitet werden. Das neueste Migrationspaket, Installationsmedium und das ClientSetup Programm befinden sich auf unserem Server: [1]
5 Die Migration von OSS 3.4.2 per Neuinstallation
5.1 Installation der Migrationstools auf dem Server
Bitte laden Sie die neueste Version von oss-migration-3-to-4 von unserem Repository-Server https://repo.cephalix.eu/Downloads herunter und installieren Sie diese auf dem Server:
rpm -Uvh --noarch oss-migration-3-to-4-3.4-7.noarch.rpm
5.2 Installation des neuen Klientprogrammes auf den Rechnern.
Der CRANIX-4 verwaltet die Klientrechner mit dem SaltStack-Management-Software. Um die Umstellungsarbeiten zu erleichtern, haben wir ein Wpkg-Paket erstellt, womit man das neue Klientprogramm mit dem alten Softwarevertelungstool installiert werden kann. Laden Sie dazu das Programm Oss4UpdateClients aus der Kategorie "OSS4.0 prereq" herunter. Bevor Sie dieses Software nun allen Clients zuweisen und die Installation starten müssen Sie die Datei /srv/itool/swrepository/Oss4UpdateClients/install.ps1 anpassen und den Platzhalter "<<DOMAIN>>" durch ihren DNS-Domainnamen ersetzen: $name = ($env:COMPUTERNAME).ToLower() + ".rs-angels.haeven.edu". Nach dieser Anpassung müssen Sie dieses Paket allen Rechner zuweisen und die Softwareinstallation anstoßen. Erst nachdem das neue Programm auf den Clients installiert ist, sollten Sie mit der Migration vorfahren.
5.3 Exportieren der Objekten
Im Paket oss-migration-3-to-4 befindet sich ein Programm womit man die Objekten von OSS-3-4-2 in Dateien exportiert, die mit CRANIX-4 importiert werden können: /usr/sbin/oss_export-for-4-0.pl.
Erstellen Sie ein Verzeichnis für die Importskripten, wechseln Sie in diese Verzeichnis und führen Sie nun das Exportskrip aus:
mkdir -p /home/migration/CRANIX-4 cd /home/migration/CRANIX-4 /usr/sbin/oss_export-for-4-0.pl
Überprüfen Sie den Inhalt der Importdateien. Wichtig ist auch, dass die Importdateien auf eine Partition liegen, die bei der Installation nicht formatiert wird. Am besten ist es, wenn Sie ein Backup erstellen.
5.4 Neuinstallation von CRANIX-4
Sie können CRANIX-4 auf eine neue Hardware oder auch auf die selbe Hardware installieren. In letzterem Fall müssen Sie die manuelle Installation wählen und die Partitioniereung selber vornehmen. Dabei ist sehr wichtig, dass die Partition mit /home nicht formatiert wird.
Möchten Sie die E-Mails auch übertragen, müssen Sie von den Verzeichnissen /var/lib/imap, /var/spool/imapund /var/lib/sieve ein Backup erstellen.
Sie können während der Installation eine andere Domäne wählen, die Netzwerkkonfiguration soll jedoch erhalten bleiben, sonst können die exportierten Räumen und Geräten nicht importiert werden.
5.5 Übertragung der Dateien
Wurde der CRANIX-4 auf eine neue Hardware installiert, muss das /home/ vom alten Server auf den neuen Server übertragen werden. Verwenden Sie dazu das Tool rsync mit folgenden Parametern:
rsync -aAv --exclude profile --exclude archiv /home/ <neuer-server>:/home/
5.6 Importieren der Objekten
Die Reihenfolge wie Sie die Importdateien einlesen ist sehr wichtig. Weichen Sie davon nicht ab!
5.6.1 Importieren von Gerätekonfigurationen
Von der Kommandozeile mit folgendem Befehl:
crx_api_post_file.sh hwconfs/import hwconfs.csv
5.6.2 Importieren von Räumen
Von der Kommandozeile mit folgendem Befehl:
crx_api_upload_file.sh rooms/import rooms.csv
5.6.3 Importieren von Benutzern
Die Benutzer müssen rollen weise von der Kommandozeile mit folgenden Befehl importiert werden:
crx_import_user_list.py --role <role> --input /home/migration/CRANIX-4/<role>.csv
Wobei <role> mit den entsprechenden Rollen ersetzt werden soll. Alternativ können Sie das Import auch über die Adminoberfläche durchführen. Weiterhin muss beachtet werden, dass die so angelegten Benutzter neue Passwörter erhalten. Sie können jedoch mit Verwendung der Parameter --userpassword --mustchange dieses Verhalten beeinflussen. Alle Kommandozeilenparameter zum crx_import_user_list.py finden Sie hier. Die Importlisten befinden sich anschließend in /home/groups/SYSADMINS/userimports/.
5.6.4 Importieren von Geräten
Von der Kommandozeile mit folgendem Befehl:
crx_api_upload_file.sh devices/import devices.csv
5.6.5 Anpassen von Filesystemrechten
Dazu müssen 2 Befehle ausgeführt werden aus dem Verzeichnis aus, wo sich die Importdateien befinden.
crx_reset_home.sh -a bash chown-users.sh
5.6.6 Importieren von Gruppen
Während der Anpassung der Dateisystemrechten kann die Datei groups.csv von der Kommandozeile mit folgendem Befehl eingelesen werden:
crx_api_upload_file.sh groups/import groups.csv
6 Die Migration von OSS 3.4.2 per Update
- Installation der Migrationstools auf dem Server
Bitte laden Sie die neueste Version von oss-migration-3-to-4 von unserem Repository-Server http://repo.cephalix.eu/Downloads herunter und installieren Sie diese auf dem Server:
zypper install oss-migration-3-to-4-3.4-7.noarch.rpm - Installation des neuen Klientprogrammes auf den Rechnern.
Der CRANIX-4 verwaltet die Klientrechner mit dem SaltStack-Management-Software. Um die Umstellungsarbeiten zu erleichtern, haben wir ein Wpkg-Paket erstellt, womit man das neue Klientprogramm mit dem alten Softwarevertelungstool installiert werden kann. Laden Sie dazu das Programm Oss4UpdateClients aus der Kategorie "OSS4.0 prereq" herunter. Bevor Sie dieses Software nun allen Clients zuweisen und die Installation starten müssen Sie die Datei /srv/itool/swrepository/Oss4UpdateClients/install.ps1 anpassen und den Platzhalter "<<DOMAIN>>" durch ihren DNS-Domainnamen ersetzen: $name = ($env:COMPUTERNAME).ToLower() + ".rs-angels.haeven.edu". Nach dieser Anpassung müssen Sie dieses Paket allen Rechner zuweisen und die Softwareinstallation anstoßen. Erst nachdem das neue Programm auf den Clients installiert ist, sollten Sie mit der Migration vorfahren. - Vorbereitung der vorhandenen Daten auf dem alten OSS-Server
Als erstes muss auf dem Server das Paket oss-migration-3-to-4 installiert werden. Dieses Paket liefert alle nötigen Skripte, die zur Vorbereitung der Migration nötig sind. Es ist dringend zu empfehlen ein Backup vom System durchzuführen. Die Vorbereitung zur Migration wird mit dem Skript: /usr/share/oss/oss-migration-3-to-4/migrate-to-4-0.sh gestartet. Dieses Skript muss als Benutzer root mit der vollen Pfadangabe ausgeführt werden. - Update des Systems
Dieser Schritt muss von einem CRANIX-4 Installationsmedium durchgeführt werden. Laden Sie das aktuelle CRANIX-4 DVD-Image herunter. Bei Bedarf muss dieses auf DVD gebrannt werden. Starten Sie das System von der erstellten DVD und wählen Sie aus dem Bootmenü Upgrade. Während des Upgradeprozesses werden einige Fragen gestellt, bzw. Hinweise gegeben, welche immer im positiven Sinne beantwortet werden müssen. Eine Ausnahme besteht dann, wenn eine Warnung während der Partitionierung angezeigt wird. In den meisten Fällen handelt es sich darum, dass in der Datei /etc/fstab einige Partitionen mit ihrem Kernel-Device-Namen eingetragen sind. Dies ist nicht zu empfehlen. Bitte brechen Sie in diesem Fall die Installation ab, starten Sie das alte System, und berichtigen Sie die Partitionierung mit dem "yast2 disk" Modul (Partitionierer). - Einspielen von Daten
Das Skript oss-prepare-migration.pl erstellt unter /home/archiv/migrate-to-4-0 einige Skripte, die zum Einspielen der Daten aus dem alten System nötig sind. Man startet das Einspielen der vorbereiteten Daten als Benutzer root mit dem Befehl /usr/share/oss/oss-migration-3-to-4/import-from-3-4.sh - Nacharbeiten
Während der Migration bleibt das root-Passwort ungeändert. Das Administrator-Passwort muss jedoch anschließend neu gesetzt und der Printserver in die Domäne aufgenommen werden:
samba-tool user setpassword Administrator net ADS JOIN -s /etc/samba/smb-printserver.conf -U Administrator
Weiterhin müssen ggf. die Apache2 Kongigurationsdateien angepasst werden. Hier geht es in erster Linie um die Zugriffskontrolle. Bitte lesen Sie dazu: Apache-Update auf 2.4 von 2.2 Ob das erforderlich ist, sieht man daran ob apache2 gestartet werden konnte:
systemctl status apache2 ● apache2.service - The Apache Webserver Loaded: loaded (/usr/lib/systemd/system/apache2.service; enabled; vendor preset: disabled) Active: failed (Result: exit-code) since Do 2018-08-30 16:46:34 CEST; 3s ago Process: 13103 ExecStop=/usr/sbin/start_apache2 -DSYSTEMD -DFOREGROUND -k graceful-stop (code=exited, status=1/FAILURE) Process: 13093 ExecStart=/usr/sbin/start_apache2 -DSYSTEMD -DFOREGROUND -k start (code=exited, status=1/FAILURE) Main PID: 13093 (code=exited, status=1/FAILURE) Aug 30 16:46:34 admin systemd[1]: Starting The Apache Webserver... Aug 30 16:46:34 admin start_apache2[13093]: AH00526: Syntax error on line 5 of /etc/apache2/vhosts.d/7IF2.group: Aug 30 16:46:34 admin start_apache2[13093]: Invalid command 'Order', perhaps misspelled or defined by a module not included in the server configuration
WICHTIG Bitte beachten Sie folgende Hinweise:
- Die Uhr des Servers muss genau eingestellt werden. Liegt die Systemzeit in der Zukunft, wird der Server nach dem Update nicht 100% betriebsfähig sein.
- Es gibt keinen Weg zurück: Hat man das Mirgrationsskript gestartet, wird das System so umkonfiguriert, dass das alte System nicht mehr funktionsfähig ist.
- Das Einspielen eines Backups von einem OSS 3.4.2 Systems ist NICHT möglich.
- Je nach Anzahl der Benutzerkonten und Rechner brauchen Sie ca. 100MB freien Speicherplatz unter /home/archiv/. Das Skript /usr/share/oss/oss-migration-3-to-4/oss-prepare-migration.pl überprüft, ob genug Speicherplatz zur Verfügung steht. Ansonsten wird dieses nicht gestartet.
- Es werden nur die, vom OpenSchoolServer-Team, per Update zur Verfügung gestellten Pakete aktualisiert. Haben Sie Pakete von Drittanbieter bezogen, werden diese höchstwahrscheinlich gelöscht.
- Eine Migration per "zypper dup" von einer Online-Repository ist nicht möglich.
- Während der Migration wird der Benutzer "admin" samt seine Daten in den Benutzer "Administrator" konvertiert. Dieser Benutzer ist nun der Domain-Hauptadministrator. Einen Benutzer "admin" gibt es im OSS 4.0 nicht.