opsi-Server-Grundinstallation

VMware

Sofern Sie bereits über einen Gastrechner verfügen, auf dem die VMware-Vollversion oder ein VMware-Player installiert ist, erledigen Sie die Grundinstallation des 'opsi-Servers' mit wenigen Mausklicks:

ESXi-Server

Virtualbox

Allgemein

Den VMware-Player können Sie für alle gängigen Betriebssysteme kostenfrei bei vmware.com beziehen. Er lässt sich in der Regel problemlos installieren, sofern die Ausstattung des Wirtsrechners, insbesondere mit Speicher, den Bedarf mehrerer parallel laufender Betriebssysteme abdeckt.

Nach dem Start des Systems müssen Sie die gewünschte Sprache auswählen:

Zur Arbeit mit dem opsi-Server ist es von sehr großem Vorteil, wenn dieser direkt mit dem Internet verbunden ist. Zur Netzwerkkonfiguration wird beim ersten Start der Appliance automatisch das Skript 1stboot.py aufgerufen.
Wenn Sie das System anders aufgesetzt haben oder einen neuen Anlauf nehmen wollen, können sie 1stboot.py bzw. /usr/local/bin/1stboot.py auch auf der Kommandozeile aufrufen.

Die Logdatei von 1stboot.py ist /var/lib/1stboot/1stboot.log.

Sie werden dann zur Eingabe von Informationen zur Konfiguration des Netzwerkes aufgefordert. Beantworten Sie die Fragen.

Im Folgenden werden Sie gefragt nach:

Nach Abschluss des Programms 1stboot.py wird die virtuelle Maschine, sofern Sie automatisch gestartet war, auch automatisch neu gebootet.

Nach dem Neustart bzw. nach Fertigstellen der Netzwerkkonfiguration melden Sie sich als Benutzer adminuser mit dem von Ihnen vergebenen Passwort an.

Sie befinden sich direkt auf der graphischen Oberfläche des 'opsi-Servers' (für diese wird ein Ressourcen schonender Windowsmanager verwendet). Zur Begrüßung erscheint ein „Firefox“-Browser-Fenster mit dem Verweis auf das vorliegende Handbuch und weiteren Hinweisen.

Wenn die Meldung erscheint, dass keine Netzwerkverbindung verfügbar ist, kann dies mit der speziellen Start-Konfiguration der virtuellen Appliance zusammenhängen. Vor einer weiteren Fehlersuche sollten Sie zunächst probieren, den Server nochmals zu rebooten (z.B. mit dem Ausschaltknopf in der Bedienleiste unten auf der graphischen Oberfläche).

Sobald die Netzwerkkonfiguration funktioniert, können Sie auch remote auf den opsi-Server zugreifen:

Im Folgenden müssen einige Befehle auf der Kommandozeile eingegeben werden. Die Verwendung der Kommandozeile ist möglicherweise der einfachste Weg, um diese Anweisungen durchzuarbeiten.

Ein Fenster zur Text-Eingabe von Befehlen, d.h. ein Terminalfenster, erhält man auf verschiedenen Wegen:

Besonders vorteilhaft ist es, Befehle aus den Anleitungen, z.B. diesem Handbuch, direkt per Kopieren & Einfügen in ein Terminalfenster zu übertragen, soweit die entsprechende Anwendungsumgebung dies unterstützt.

Beispiele aus Konfigurationsdateien sind in den Dokumentationen wie folgt formatiert:

Befehle sind folgendermaßen hervorgehoben:

In '<spitzen Klammern>' werden Namen dargestellt, die durch ihre Bedeutung ersetzt werden müssen.
Beispiel: Der Fileshare, auf dem die opsi Softwarepakete liegen, wird '<opsi-depot-share>' genannt und liegt auf einem realen Server in der Regel in '/var/lib/opsi/depot'.
Das Softwarepaket: <opsi-depot-share>/ooffice liegt dann tatsächlich unter /var/lib/opsi/depot/ooffice.

Wenn die Netzwerkkonfiguration korrekt ist und der Rechner Anbindung an das Internet hat, können Sie mit dem Browser im Startfenster bereits auf eine beliebige Adresse im Internet zugreifen.

Sofern nicht alles funktioniert, öffnen Sie am besten ein Terminalfenster (möglicherweise geht es dann noch nicht remote, sondern nur auf der Server-Oberfläche), und prüfen die Netzwerkanbindung mit den üblichen, hier nicht zu erklärenden Checks.

Sie können im Terminalfenster auch das Kommando aufrufen und die Netzwerkkonfiguration neu eingeben:

Ein Systemneustart wird dann durch den Befehl erzwungen:

Wenn die Netzwerkanbindung funktioniert, setzen Sie die Konfiguration des opsi-Servers fort, um dann mit ersten Installationstest beginnen zu können.

Bringen Sie den opsi-Server auf den aktuellen Stand, indem Sie das Icon 'Update OS' auf dem Desktop doppelt klicken. Geben Sie das Passwort für den adminuser ein und bestätigen gegebenfalls mit 'Y' falls erforderlich.

Sofern für Ihren Internet-Zugang erforderlich, passen Sie die Datei /etc/apt/apt.conf an Ihre Netzwerkgegebenheiten an (richtigen Proxy eintragen oder Zeile auskommentieren / löschen). Diese Datei können Sie mit einem beliebigen Texteditor editieren, bspw. mit 'midnight commander':

Installieren Sie die Standard opsi-Produkte durch Doppelklick auf das Icon 'First package installation'. Bitte geben Sie das Passwort für den adminuser ein. Hierdurch werden automatisiert die aktuellen opsi-Pakete, incl. Templates für Betriebssysteminstallationen, aus den opsi-Repositories geholt und auf dem Server installiert.

Für weitere Informationen siehe auch Einspielen der minimalen opsi-Produkte.

Die Management-Oberfläche können Sie durch einen Doppelklick auf das Icon 'opsi Management GUI' aufrufen. Zur Beschreibung der Management-Oberfläche gehen Sie zu Installation der Management-Oberfläche opsi-configed

Damit ist die grundlegende Server-Konfiguration beendet.

Sie können nun fortfahren mit:

Stellen Sie sicher, dass der opsi-Server einen gültigen DNS-Hostnamen hat. Dazu betrachten Sie entweder die Einträge der Datei /etc/hosts oder geben den folgenden Befehl ein:

Das Ergebnis sollte beispielsweise so aussehen:

In der Ausgabe auf Ihrem System sollten Sie im ersten Feld die IP-Adresse des Servers sehen, zu dem sich die opsi-Clients später verbinden. Danach folgt der dazugehörige Hostname. Im dritten Feld steht ein optionaler Alias (hier: server), unter dem der Rechner ebenfalls erreichbar ist.

Sieht die Datei bei Ihnen anders aus und enthält etwa nur Angaben zu 127.0.0.1 oder localhost, dann bearbeiten Sie die Datei /etc/hosts im Texteditor Ihrer Wahl. Tragen Sie für den opsi-Server mindestens die IP-Adresse und den vollständigen Hostnamen, optional ein Alias ein.

opsi-QuickInstall finden Sie auf unseren Servern unter dem folgenden Link: https://download.uib.de/opsi4.2/stable/quickinstall/

Laden Sie die Zip-Datei herunter und entpacken sie, z. B. mit diesem Kommando:

Alternativ entpacken Sie das Archiv über den Dateimanager Ihrer grafischen Desktopumgebung (Rechtsklick / Hier entpacken). opsi-QuickInstall können Sie mit einer grafischen Oberfläche oder über die Kommandozeile installieren. Die nächsten beiden Abschnitte beschreiben beide Varianten.

Die Installation kann einige Minuten dauern. Am Ende zeigt Ihnen opsi-QuickInstall an, ob sie erfolgreich war. Erhalten Sie die Meldung success, dann ist Ihr opsi-Server betriebsbereit und fertig konfiguriert. Sie können nun mit dem Einspielen von opsi-Produkten beginnen.

Erhalten Sie stattdessen eine Fehlermeldung wie in Falls die Installation fehlschlägt, finden Sie in den Logdateien mögliche Fehlerursachen., geben die Logdateien Hinweise auf mögliche Fehler. Die Protokolle finden Sie in den beiden Dateien /var/log/opsi-quick-install-l-opsi-server.log und /tmp/opsi_quickinstall.log.

Im Verzeichnis nogui finden Sie das Programm opsi_quick_install_project, das die folgenden Parameter kennt:

opsi-QuickInstall funktioniert unter den folgenden Distributionen (Namen entsprechen der Ausgabe von lsb_release bzw. der Datei os-release, da QuickInstall selbst diese Bezeichnungen nutzt):

Um mysql_native_password bei dem Benutzer root zu aktivieren sind folgende Schritte notwendig:

Notwendige Vorbereitungen:

Die Installation von opsi ist möglich auf den Rollen 'Master', 'Backup', 'Slave' und 'Member'. Für die Installation auf einem 'Member' beachten Sie unbedingt Hinweise zur opsi-Installation auf einem UCS-Server in der Rolle 'Member'!

Die folgende Dokumentation geht von einer Installation auf der Rolle 'Master' mit Samba 4 aus.

Die klassischen Installationsvariante mit dem Benutzer: 'pcpatch' mit der primären Gruppe 'pcpatch' kann unter UCS nicht eingehalten werden. Da Samba4 den grundlegenden Restriktionen von Active-Directory unterliegt, sind Gruppen mit der gleichen Bezeichnung wie User (wie in Unix/Linux üblich) nicht mehr erlaubt. Aus diesem Grund wurde für UCS 3 die neue Konfigurationsdatei /etc/opsi/opsi.conf eingeführt, über welche gesteuert wird, wie die Gruppe für den Samba-Zugriff auf die Freigaben bestimmt wird. Seit UCS 3 wird über diese Datei der Gruppenname 'pcpatch' umbenannt und heißt von nun an: 'opsifileadmins'. Das bedeutet, dass die User, die Zugriffsrechte für die Freigaben von opsi erhalten müssen (opsi-Paketierer) nicht Mitglied der Gruppe 'pcpatch', sondern Mitglied der Gruppe 'opsifileadmins' sein müssen. Diese Besonderheit gilt nur für UCS und unterscheidet sich von den anderen Distributionen und in weiterführenden Kapiteln der opsi-Dokumentationen. Unter UCS wird der User 'pcpatch' als vollwertiger Domänenbenutzer angelegt. Nähere Informationen über diese neue Konfigurationsdatei können Sie dem Handbuch entnehmen.

Univention UCS 4.4:

Univention UCS 5.0:

Für die Installation führen Sie nun folgende Befehle aus:

Single-Server-Setup:

Manuelles Setup:

Ist die Rolle des Zielsystems eine andere als 'Master' oder 'Backup', muss nun noch das opsi4ucs Join-Skript ausgeführt werden:

Unter der URL https://<servername>:4447 finden Sie nun einen Link zur opsi Management Oberfläche.

Um den opsi-Konfigurations-Editor verwenden zu können, muss ein Benutzer Mitglied der Gruppe opsiadmin-Gruppe sein. Die Gruppenzugehörigkeit eines Users kann über Univention-Admin bearbeitet werden. Der Benutzer Administrator wird während der Installation automatisch in diese Gruppe aufgenommen.

Abschliessend muss noch im UDM unter dem Punkt Freigaben für die 'opsi_depot' -Freigabe unter Erweiterte Einstellungen → Erweiterte Samba-Einstellungen: Die Option: 'follow symlinks' auf 'yes' gesetzt werden. Das gleiche sollte man am besten auch für die 'opsi_depot_rw' -Freigabe erledigen, damit später die Treiberintegration keine Probleme verursacht. Sollte sich das /var/lib/opsi/depot -Verzeichnis auf einer extra Partition oder Festplatte befinden, muss man noch zusätzlich für diese Freigaben die Option wide links auf 'yes' setzen.

Um sicher zu stellen, dass alle Einstellungen von opsi nun korrekt übernommen wurden, sollte man noch folgende Befehle ausführen:

Bei samba4 handelt es sich um einen zentralen Dienst, daher wird dieser nicht automatisch vom Paket neugestartet, sondern muss nachträglich manuell durchgeführt werden. Nach dem Neustart von samba kann es zu einer kleinen Verzögerung beim Zugriff auf die neuen Freigaben kommen, wir bitten dies zu berücksichtigen.

Da es keinen direkten Kontakt zwischen Univention-LDAP und dem opsi-Backend gibt, müssen alle Clients erst im LDAP über udm angelegt werden und danach nochmal mit opsi im opsi-System mit allen Informationen (insbesondere der MAC-Addresse) angelegt werden. Das Löschen des Clients im Univention-LDAP sorgt nicht dafür, dass der Client unter opsi auch gelöscht wird. Dieses Problem wird in LDAP-Daten nach opsi überführen genauer beleuchtet.

Da Sie opsi auf einer existierenden Maschine eingespielt haben, gehen wir davon aus, dass Ihre Netzwerkkonfiguration korrekt ist.
Machen Sie daher mit dem Punkt [opsi-getting-started-installation-config] weiter.

Die Installation von opsi auf einem Server in der Rolle 'Member' ist möglich.

Nach einer Installation muss sicher gestellt werden, dass der für den Depotzugriff verwendete Benutzer mitsamt Domäne aufgeführt ist. Dazu muss der Hostparameter clientconfig.depot.user kontrolliert werden. Ist die Domäne backstage, so muss der Wert backstage\pcpatch lauten. Lautet er memberserver\pcpatch, so muss der Wert korrigiert werden.

Das Setzen des Kennworts für den Benutzer pcpatch über opsi-admin scheitert auf Grund der fehlenden AD-Schreibberechtigungen eines 'Member'-Servers. Daher muss die Änderung des Kennworts des technischen Benutzers pcpatch zusätzlich auf einem Server mit Schreibrechten im AD vorgenommen werden - ein 'Master', 'Backup' oder 'Slave'.

Wenn der PXE-Boot für die Betriebssysteminstallation eingesetzt werden soll, muss der DHCP-Dienst auf dem entsprechenden UCS-System umkonfiguriert werden. Hier gibt es zwei Besonderheiten, die UCS von den anderen unterstützten Distributionen unterscheidet.

Um die oben genannte Konfigurationen um zu setzen, muss im UCS-System eine Richtlinie erstellt werden. Diese Einstellung ist abhängig von den schon vorhandenen Richtlinien und müssen entsprechend umgesetzt werden. Wenn opsi auf einem UCS-Testsystem installiert wurde und keine Richtlinien entsprechend existieren, sollte erst geprüft werden ob der DHCP-Dienst installiert ist, wenn nicht muss das noch nachgeholt werden. Wenn der DHCP-Dienst schon installiert wurde, ist der einfachste Weg die Richtlinie in der UMC-Webschnittstelle (Univention Management Console) vom UCS-Server zu erstellen. Dazu wählt man den die Kategorie "Domäne" und darunter das Modul DHCP-Server. Als nächstes muss man den Service wählen (Bei einem Testsystem gibt es in der Regel nur einen Eintrag). In der folgenden Detailansicht wählt man den Menüpunkt Richtlinien. Die Richtlinie, die hier benötigt wird ist eine DHCP-Boot Richtlinie. Bei der Richtlinienkonfiguration wählt man nun den Defaulteintrag cn=default-settings (sollte der einzige Eintrag sein) und wählt bearbeiten. Unter Grundeinstellungen - DHCP Boot für die Option Bootserver die IP vom opsi-Server ein und bei Boot-Dateiname muss pxelinux.0 eingetragen werden.

Optional lassen sich diese Einstellungen auch auf der Konsole mit dem udm-Kommando erledigen. Nähere Informationen dazu entnehmen Sie bitte der entsprechenden UCS-Dokumentation.

In einer opsi4ucs-Installation müssen die Windows-Clients erst im UDM angelegt werden und können erst im folgenden Schritt im opsi-configed erstellt werden. Änderungen von Clients im UDM werden nicht an opsi weitergegeben. Wenn ein Client zum Beispiel im LDAP eine neue Mac-Addresse bekommt, wird dies im opsi-System nicht bemerkt. Wenn man nun versucht ein Netboot-Produkt für diesen Client auf setup zu setzen, würde opsi die Bootkonfiguration mit der falschen Mac-Addresse im Bootsystem hinterlegen.

Die Lösung hierzu ist die Erweiterung 'opsi-directory-connector'. Weitere Informationen hierzu enthält das Handbuch.