====== OPSI Installation ======

Zunächst installiert man Ubuntu 10.04 LTS. Dabei sollte mindestens 20 GB Speicher zur Verfügung stehen.

  * Keine Automatischen Updates installieren!
  * Keine Software installieren

===== VMtools auf Linux installieren =====

  - Zunächst sollte das System auf den neusten Stand gebracht werden. <code>sudo apt-get update
sudo apt-get upgrade
sudo apt-get dist-upgrade</code>
  - Dannach sollte das System neugestartet werden. <code>sudo init 6</code>
  - Als nächstes müssen die Build- und Header-Files geladen werden, damit die VMWare-Tools den Kernel anpassen können. <code>sudo apt-get install build-essential
sudo apt-get install linux-headers-`uname -r</code>
  - Nun braucht man ein Verzeichnis, um dannach das CDrom dem System zu präsentieren bzw. mounten  <code>sudo mkdir /media/cdrom</code>
  - CD mit VMwareTools einlegen oder "VMtools installieren" drücken
  - Nun mountet man das Physische CDrom Device in das Verzeichnis /media/cdrom <code>sudo mount /dev/cdrom /media/cdrom</code>
    * Evtl. kommt eine Meldung, dass der Ordner nur gelesen werden kann. Das ist normal.
  - Vom CDrom kopiert man nun das aktuelle VMWare-Tools File ins /tmp Verzeichniss<code>cp /media/cdrom/VMWare-Tools-3.5.0-64607.tar.gz /tmp</code>
  - Ist das ohne Meldung durch, wechselt man ins /temp Verzeichnis<code>cd /tmp</code>
  - Das CDrom kann nach diesem Befehl wieder entfernt werden.<code>sudo umount /media/cdrom</code>
  - Jetzt wechselt man ins /tmp Verzeichniss und entpackt dort das VMWare-Tools File.<code>cd /tmp
tar -xvzf VMWare-Tools-3.5.0-64607.tar.gz</code>
    * Dies kann eine weile dauern..
  - Sobald fertig entpackt worden ist, kommt nun die eigentliche Installation. Gestartet wird mit: <code>sudo ./cmware-tools-distrib/vmware-install.pl</code>
    * Falls man Änderungen an den Installationspfaden oder sonstigen Einstellungen vornehmen möchte ist jetzt der Zeitpunkt da. Ansonsten kann man mit "ENTER" einfach durch die Installation drücken.
  - Zum Schluss das Linux nochmals Neustarten und kontrollieren ob die VMWare-Tools Statusanzeige "OK" anzeigt. FERTIG

===== SSH Dienste installieren =====
Damit ein Linux Server auch praktisch administriert werden kann, installiert man am besten SSH:<code>sudo apt-get install ssh</code>

===== Server an ActiveDirectory anbinden =====
  - Damit die Anbindung ans Active Directory auch wirklich funktioniert muss wie immer ein Softwarepacket installiert werden. <code>sudo apt-get install likewise-open likewise-gui</code>
  - Nun muss sichergestellt werden, dass der Name Service Switch richtig konfiguriert ist. So sollte es in etwa aussehen ///etc/nsswitch.conf//<code>passwd:         compat
group:          compat
shadow:         compat

hosts:          files mdns4_minimal [NOTFOUND=return] dns mdns4
networks:       files

protocols:      db files
services:       db files
ethers:         db files
rpc:            db files</code>
    * Wichtig: "files" muss vor "dns" stehen.
  - Stellen Sie sicher, dass der Server auf dem Active Directory läuft auf der unten stehenden Portliste zu erreichen ist.
  - Falls die Netzwerkeinstellungen und die Firewallregeln alle richtig gesetzt sind, kann man nun einen Domain join versuchen. Dabei wird automatisch ein Computerkonto angelegt. <code>sudo domainjoin-cli join viinet.ch Administrator</code>
  - Hat der Domain join funktioniert und es wurde ein Computerkonto eröffnet, muss noch in der ///etc/sudoers// einen Eintrag hinzugefügt werden:<code>%VIINET\\vii-slnx002-admin ALL=(ALL) ALL</code>
  - Sobald der Server neugestartet worden ist können sich alle mit dem AD Konto an dem Linux Server anmelden und diejenigen die in der Gruppe "vii-slnx002-admin" sind, können auch "root" Rechte erlangen. Fertig

== Portliste ==

^Port  ^Protokoll  ^Service  ^
|  53  |  TCP/UDP  | DNS  |
|  88  |  TCP/UDP  | Kerberos  |
|  123  |  UDP  | NTP  |
|  137  |  UDP  | NetBios Name Service  |
|  139  |  TCP  | NetBios Session (SMB)  |
|  389  |  TCP/UDP  | LDAP  |
|  445  |  TCP  | SMB over TCP  |
|  464  |  TCP/UDP  | Machine Password Changes  |
|  3268  |  TCP  | Global Catalog search  |


===== OPSI Installation =====
==== Notwendige Komponenten installieren ====


  - Folgende Komponenten sind für die OPSI Installation notwendig. <code>aptitude  install  wget  lsof  host  python-mechanize  p7zip-full  cabextract  openbsd-inetd
aptitude  install  samba  samba-common  smbclient  smbfs  samba-doc
aptitude  install  mysql-server</code>
  - Ist die Installtion erfolgreich durch, muss Netzwerkeinstellung überprüft werden.<code>getent  hosts  $(hostname  -f)</code>
    * Das Ergebniss sollte so aussehen: //192.168.1.1 server.domain.tld server//
    * Ansonsten muss die /etc/hosts und die /etc/network/interfaces korrigiert werden.
  - Damit OPSI Installiert werden kann, muss man im /etc/apt/sources.list ein paar Eintrage anpassen bzw. hinzufühgen werden:
    * Bitte hinzufühgen **%%deb  http://download.opensuse.org/repositories/home:/uibmz:/opsi:/opsi40/xUbuntu_10.04  ./%%**
    * Dieser "Freischalten": **%%deb http://archive.canonical.com/ubuntu lucid partner%%**
    * Dieser "Freischalten": **%%deb-src http://archive.canonical.com/ubuntu lucid partner%%**
  - Nun muss die neue Packetquelle noch Authorisiert werden. Dazu läd man den entsprechenden Key runter und importiert ihn:<code>wget  -O  -  http://download.opensuse.org/repositories/home:/uibmz:/opsi:/opsi40/xUbuntu_10.04/Release.key  |  apt-key  add  -</code>
    * Mit <code>sudo apt-key list</code> kann man überprüfen ob der Key erfolgreich importiert wurde.
  - Nun aktualisert man das Packetrepository und installiert die folgenden Komponenten:<code>sudo aptitude  update
sudo aptitude  remove  tftpd
sudo update-inetd  --remove  tftpd
sudo aptitude install opsi-atftpd
sudo aptitude install opsi-depotserver
sudo aptitude install opsi-configed
sudo aptitude install sun-java6-jre
sudo aptitude install sun-java6-plugin</code>
    * Bei der Installation des Tftpd werden Sie evtl nach dem Tftp-Basisverzeichnis gefragt. Beantworten Sie diese Frage mit /tftpboot. Die Fragen nach Multicast Support können Sie mit Nein beantworten.
    * Bei der Installation des Paketes opsi-confd werden Sie nach Angaben zur Erstellung eines SSL-Zertifikates gefragt.
    * Bei der Installation des opsi-Servers werden Sie gefragt, ob die dhcpd.conf und die smb.conf gepatcht werden darf. Beantworten Sie die Fragen mit Ja. Weiterhin werden Sie nach einem Passwort für den User pcpatch gefragt. 
    * Kontrollieren Sie ob eine aktuelle Java Version installiert wurde.(Mindestens v1.6.0)<code>java -version</code>

==== User einrichten ====

Die Administration von opsi ist nur Benutzern gestattet, die Mitglied der Unix-Gruppe opsiadmin sind.In der vorkonfigurierten VMware-Maschine ist nur root Mitglied dieser Gruppe.Im folgenden wird als Beispiel der neue Benutzer adminuser so eingerichtet, wie Sie sich einrichten sollten.
  - Zunächst wird der user erstellt: <code>useradd  -m  -s  /bin/bash  adminuser</code>
  - Wir vergeben nun Passwörter für unix: <code>passwd  adminuser</code> und für samba <code>smbpasswd  -a  adminuser</code>
  - Nun wird die Gruppenmitgliedschaft eingerichtet und getestet mit der Befehlsfolge:<code>adduser adminuser opsiadmin
getent group opsiadmin</code>
    * Der getent-Befehl sollte dann so etwas ausgeben wie: //opsiadmin:!:1001:opsiconfd,adminuser//
    * Wenn root nicht Mitglied von opsiadmin, kann er auch nicht die opsi-Administrationskommandos ausführen!
    * Alle User, die Produkte packen (opsi-makeproductfile), installieren (opsi-package-manager) oder Konfigurationsdateien manuell bearbeiten wollen, müssen zusätzlich in der Gruppe pcpatch sein:<code>adduser adminuser pcpatch</code>
  - Der Test zeigt ob die Gruppenmitgliedschaften stimmen:<code>grep  pcpatch  /etc/group</code>ergibt  //pcpatch:x:992:adminuser//
    * root darf dies alles ohnehin und muss daher nicht explizit in die Gruppe aufgenommen werden.

==== DHCP-Konfiguration ====
Eine korrekt funktionierende Namensauflösung und DHCP ist für das Funktionieren von opsi essentiell. Um die Installation zu vereinfachen ist die von uib bereitgestellte VM schon mit einem DHCP-Server ausgestattet. Auf der anderen Seite ist im Produktivbetrieb in der Regel ein DHCP-Server schon vorhanden, der weiter genutzt werden soll.

  - Da der DHCP-Server keine IP-Nummern an unbekannte Rechner vergibt, ist er nicht direkt störend. Trotzdem empfiehlt es sich, ihn zu deaktivieren. Dazu führen Sie folgende Befehle aus: <code>/etc/init.d/dhcp3-server  stop
update-rc.d  -f  dhcp3-server  remove
update-rc.d  dhcp3-server  stop  20  2  3  4  5  .</code>
  - Nun müssen Sie den externen DHCP-Server so konfigurieren, dass er ein PXE-Boot über den opsi-Server ermöglicht. Bei einem Windows-Server sind die entsprechenden Einträge Startserver (Option 66 ) und Startfile (pxelinux.0) (Option 67). Wenn Sie im opsi-configed einen Client erzeugen müssen Sie die MAC-Adresse angeben aber keine IP-Nummer.