Dieser Artikel beschreibt, welche Daten eines UCS-Systems gesichert werden müssen. Im zweiten Teil ist die Wiederherstellung eines UCS-Systems dokumentiert.
Sicherung eines UCS-Systems
UCS folgt wie Debian dem Filesystem Hierarchy Standard, einer Richtlinie, die die Aufteilung der Daten in der Unix-Dateisystemhierarchie beschreibt. Dies erlaubt eine effiziente Trennung zwischen lokal erzeugten Dateien und Daten, die im Rahmen der Installation erstellt werden.
Sicherung der LDAP-Daten
Die Sicherung des LDAP-Datenbestands muss nur auf dem DC Master erfolgen. DC Slave/Backup-Systeme werden bei einem Join des Systems automatisch auf den aktuellen LDAP-Datenbestand synchronisiert.
Mit dem Befehl
slapcat > LDAP-Daten.ldif
werden die LDAP-Daten in eine Text-Datei gesichert.
Sicherung der lokalen Konfigurationsdateien
Die lokalen Konfigurationsdateien werden auf UCS-Systemen unter /etc gespeichert. In einer Standard-Installation ohne weitere Anpassungen des Administrators werden alle Konfigurationsdateien durch Univention Configuration Registry-Templates abgebildet. Wenn keine lokalen Anpassungen an Konfigurationsdateien oder Templates vorgenommen wurden, reicht es aus, für eine minimale Sicherung die Dateien /etc/univention/base*.conf zu sichern.
Die Dateien /etc/ldap.secret (DC Master/DC Backup) und /etc/machine.secret (alle Systemrollen) müssen ebenfalls in die Sicherung einfließen.
Wenn Anpassungen an Konfigurationsdateien oder Templates vorgenommen wurden, muss das komplette /etc Verzeichnis gesichert werden. /etc umfasst in aller Regel unter 50 MB und sollte daher nach Möglichkeit immer komplett gesichert werden.
Sicherung der Benutzerdaten
Das Heimatverzeichnis des root-Benutzers wird lokal auf jedem System gespeichert. Um es zu sichern, sollte das root-Verzeichnis gesichert werden.
Wenn die Heimatverzeichnisse der weiteren Benutzer nicht auf einer Freigabe sondern lokal gespeichert werden, muss auch das /home Verzeichnis in die Sicherung aufgenommen werden.
Sicherung der installierten Pakete
Die auf dem System installierten Pakete können mit dem Befehl
dpkg --get-selections > paketliste.txt
gesichert werden.
Sicherung der Laufzeitdaten
Die Laufzeitdaten von System-Programmen (z.B. der Mailspool des Cyrus-IMAPD) und die Logdateien werden unterhalb von /var gespeichert. Auch wenn hier einzelne Daten nicht notwendigerweise gesichert werden müssten (/var/cache und /var/run enthalten beispielsweise Daten, die nur für die Laufzeit eines Systems bis zum Reboot relevant sind), ist es empfehlenswert das komplette /var-Verzeichnis zu sichern. Außerdem sollte das /srv-Verzeichnis gesichert werden.
Es ist zu beachten, dass einige Applikationen eventuell eine gesonderte Sicherung benötigen. Bei SQL-Datenbanken ist es beispielsweise sinnvoll einen dezidierten SQL-Dump zu erzeugen.
Sicherung von Software, die nicht im UCS-Standard-Umfang enthalten ist
Wenn Software installiert wurde, die nicht im UCS-Standardpaketumfang enthalten ist, müssen zwei Fälle unterschieden werden:
Bei Software, die auch im DEB-Format vorliegt, reicht es diese Pakete in die Sicherung aufzunehmen.
Externe Software, die nicht im DEB-Format vorliegt, wird in der Regel nach /opt oder /usr/local installiert. Diese Verzeichnisse müssen dann ebenfalls gesichert werden.
Wiederherstellung eines UCS-Systems
Die folgende Anleitung führt das generelle Vorgehen bei der Wiederherstellung eines UCS-Systems auf. Die Wiederherstellung erfordert Erfahrung im Umgang mit UCS und sollte nach Möglichkeit in einer Testumgebung vor Eintreten des “Ernstfalls” simuliert werden.
Die Wiederherstellung eines DC Masters und der weiteren Systemrollen unterscheidet sich. Die weiteren Systemrollen können zum Großteil durch einen Neujoin weitgehend neu initialisiert werden.
Neuinstallation des Systems und Abgleich des Softwarebestandes (alle Systemrollen)
Das wiederherzustellende System sollte neu installiert werden. Das System, auf dem die LDAP-Daten zurückgespielt werden, muss mit den gleichen Basis-Einstellungen (Rechner- und Domänenname, Name der LDAP-Basis) installiert werden wie das alte System.
Die Installationsparameter können anhand der Datei /etc/univention/installation_profile gesetzt werden. Es ist aber zu beachten, dass diese Datei bei der initialen Installation erzeugt wurde und sich einige Parameter oder Paketnamen geändert haben können.
Wiederherstellung der lokalen Konfigurationsdateien (alle Systemrollen)
Die /etc/univention/base*.conf-Dateien sollten zurückgesichert werden. Wurde das komplette /etc-Verzeichnis gesichert, sollte das komplette /etc-Verzeichnis zurückgespielt werden.
Anschließend sollte
ucr commit
aufgerufen werden. Es löst einen kompletten Rebuild aller Univention Configuration Registry-Templates aus.
Stoppen der Serverdienste
Alle Server-Dienste auf dem System sollten durch einen Wechsel in den Single-User-Modus angehalten werden:
init 1
Wiederherstellung des Software-Paketbestands (alle Systemrollen)
Die vorher installierten UCS-Pakete sollten anhand der gesicherten Paketliste wieder installiert werden.
Dazu muss im ersten Schritt die gesicherte Paketliste wieder eingespielt werden:
dpkg --set-selections < liste.txt
Anschließend kann mit apt-get der Paketbestand wieder hergestellt werden (dazu müssen die Repository-Einstellungen wie auf dem alten System sein):
apt-get -u dselect-upgrade
Abschließend sollte die Liste der danach installierten Pakete (ermittelbar mit dem Befehl dpkg --list abgeglichen werden und ggf. fehlende Pakete mit univention-install nachinstalliert werden.
Wenn Nicht-UCS-Software installiert war, muss diese ebenfalls zurückgesichert werden.
Wiederherstellung der Laufzeitdaten (alle Systemrollen)
Das /var-Verzeichnis muss zurückgesichert werden. Das Verzeichnis /var/run sollte dabei übersprungen werden.
Wiederherstellen der LDAP-Daten/Listener-Notifier-Replikation (DC Master)
Es sind folgende Schritte nötig, um die LDAP-Daten zurückzusichern:
Die bei der Installation des System erzeugten initialen LDAP-Daten müssen entfernt werden. Dazu müssen im Verzeichnis
/var/lib/univention-ldap/ldap alle Dateien mit Ausnahme von DB_CONFIG entfernt oder verschoben werden.
Anschließend können die Daten aus dem LDIF wieder eingespielt werden:
mv /var/lib/univention-ldap/ldap /var/lib/univention-ldap/ldap.old
mkdir /var/lib/univention-ldap/ldap
ucr commit /var/lib/univention-ldap/ldap/DB_CONFIG
slapadd -l ldap_backupname.ldif
Außerdem sollte der Univention Directory Listener zurückgesetzt werden:
rm -rf /var/lib/univention-directory-listener
mkdir -p /var/lib/univention-directory-listener/
chown listener: /var/lib/univention-directory-listener/
Anschließend sollten folgende Dienste neu gestartet werden:
/etc/init.d/slapd start
/etc/init.d/univention-directory-notifier start
/etc/init.d/univention-directory-listener start
Wiederherstellen der LDAP-Daten/Listener-Notifier-Replikation (andere Systemrollen)
Auf einem DC Slave/Backup ist es nicht notwendig die LDAP-Daten manuell zurückzusichern. Solange der DC Master noch aktiv ist, reicht es das System mit univention-join neu der Domäne beitreten zu lassen. Der lokale LDAP-Datenbestand wird dann wiederhergestellt.
Rücksicherung der Maschinen-Passwörter
Die Dateien /etc/ldap.secret (DC Master/DC Backup) und /etc/machine.secret (alle Systemrollen) müssen zurückgesichert werden.
Neustart des Systems
Die UCR-Autostart-Einstellungen sollten zurückgesetzt werden.
Um alle Dienst sauber zu initialisieren, sollte das System neu gestartet werden.