Installation unter UCS

Unter Univention Corporate Server (UCS) gibt es zwei Möglichkeiten, den opsi-Server zu installieren:

Beide Varianten führen zu einem funktionierenden opsi-Server, sollten aber nicht zusammen auf einem Server laufen. Entscheiden Sie im Vorfeld, welche Installation zu Ihrer Umgebung passt. Wenn Sie opsi über das Univention App Center beziehen, dann kann es sein, dass Sie länger auf Aktualisierungen warten müssen. Der Wechsel auf eine neue UCS-Version (etwa von 4.4 auf 5.0) ist erst dann möglich, wenn alle installierten Apps unter der neuen UCS-Version zur Verfügung stehen. Entscheiden Sie sich für die Installation über die uib-Repositorys, erhalten Sie zeitnah Updates.

Installation über das App Center

Im Univention App Center Katalog finden Sie opsi für die UCS-Version 5.0. Bei der Installation spielt der Paketmanager automatisch weitere Pakete ein: opsi-tftpd-hpa und univention-mariadb.

Der erste opsi-Server einer UCS-Umgebung konfiguriert einen vorhandenen MariaDB-Server als Backend. Alle weiteren opsi-Configserver registriert opsi als opsi-Depotserver. Gibt es bei der Installation bereits einen opsi-Configserver in der UCS-Umgebung, so wird das Tool opsi-package-updater so konfiguriert, dass es die Pakete von diesem Server bezieht.

Manuelle Installation

Bevor Sie den opsi-Server unter Univention Corporate Server von Hand installieren, treffen Sie ein paar Vorbereitungen.

Vorbereitungen

  • Samba muss installiert und konfiguriert sein. Ist der UCS-Server Mitglied einer AD-Domäne, installieren Sie univention-samba, das Samba als Mitgliedsserver ohne Domänen-Controller-Funktionalität einrichtet und konfiguriert. Das Paket univention-samba4 hingegen richtet Samba als AD-Domänen-Controller ein.

  • Ein MariaDB-Server muss installiert und konfiguriert sein. Installieren Sie dazu univention-mariadb; das Paket univention-mysql ist seit UCS 4.3 ein Metapaket, das den MariaDB-Server installiert.

  • Soll der UCS-Rechner auch als DHCP-Server dienen, konfigurieren Sie vor der opsi-Installation den DHCP-Daemon und starten ihn.

Grundsätzlich ist die Installation auf Servern mit den UCS-Rollen Primary Directory Node, Backup Directory Node, Replica Directory Node und Managed Node möglich.

Wenn Sie den opsi-Server nicht auf einem Primary Directory Node, sondern auf einem Rechner mit einer anderen UCS-Systemrolle installieren, muss der UCS-Server vorher der Domäne beitreten.

Die Konfigurationsdatei /etc/opsi/opsi.conf definiert die Gruppe für den Samba-Zugriff auf die Freigaben; der Name ist opsifileadmins. Alle Anwender, die Zugriffsrechte für die Freigaben von opsi erhalten sollen (opsi-Paketierer), müssen dementsprechend Mitglied der Gruppe opsifileadmins sein.

Repositorys konfigurieren

Stellen Sie sicher, dass das Verzeichnis /usr/local/share/keyrings existiert:

sudo mkdir -p /usr/local/share/keyrings

Fügen Sie das Grafana-Repository hinzu:

REPO_URL=https://apt.grafana.com
REPO_KEY=/usr/local/share/keyrings/grafana.gpg
curl -fsSL ${REPO_URL}/gpg.key | gpg --dearmor | sudo tee ${REPO_KEY} > /dev/null
sudo echo "deb [signed-by=${REPO_KEY}] ${REPO_URL} stable main" | sudo tee /etc/apt/sources.list.d/grafana.list

Fügen Sie das zu Ihrer Distribution passende opsi-Repository hinzu:

Univention UCS 5.0:

REPO_URL=https://download.opensuse.org/repositories/home:/uibmz:/opsi:/4.3:/stable/Univention_5.0/
REPO_KEY=/usr/local/share/keyrings/opsi-obs.gpg
sudo echo "deb [signed-by=$REPO_KEY] $REPO_URL/ /" | sudo tee /etc/apt/sources.list.d/opsi.list
curl -fsSL $REPO_URL/Release.key | gpg --dearmor | sudo tee $REPO_KEY > /dev/null

Prüfen Sie, ob der Import des GnuPG-Schlüssels erfolgreich war:

gpg --show-keys /usr/local/share/keyrings/opsi-obs.gpg 2>/dev/null

In der Ausgabe sollten unter anderem folgende Zeilen auftauchen:

pub   rsa2048 2017-09-30 [SC] [expires: 2025-11-19]
      2E98F7B5A5B2C8FE7F609705D1F933E6D8361F81
uid           home:uibmz:opsi OBS Project <home:uibmz:opsi@build.opensuse.org>

Pakete installieren

Installieren Sie das Paket opsi-server-full:

sudo univention-install opsi-server-full

Wenn der opsi-Server auf einer anderen UCS-Systemrolle als Primary Directory Node laufen soll, führen Sie zusätzlich den Befehl univention-run-join-scripts aus.

Benutzer müssen Mitglied der Gruppe opsiadmin sein, um die Management-Oberfläche opsi-configed verwenden zu können. Während der Installation wird der Benutzer Administrator automatisch zu dieser Gruppe hinzugefügt. Andere Accounts fügen Sie über das UMC-Modul Benutzerverwaltung, Reiter Gruppen hinzu.

Anstelle des Paketes opsi-server-full können Sie auch opsi-server oder opsi-server-expert installieren. Die Pakete haben andere Abhängigkeiten und sind für den Fall gedacht, dass Sie MySQL, Redis oder Grafana auf einem anderen Server betreiben wollen. opsi-server und opsi-server-expert bieten mehr Fexibilität, sollten jedoch nur von erfahrenen Linux-Administratoren verwendet werden.
Stellen Sie sicher, dass Ihre Firewall und die SELinux-Konfiguration Verbindungen zu den Ports 69/UDP (TFTP) sowie 4447/TCP und 4441/TCP (opsi) zulassen. Weitere Hinweise zu SELinux finden Sie unter SELinux.

Der opsi-Server ist jetzt bereit für die nächsten Schritte.