2.1. Installationsmethoden#
Dieser Abschnitt behandelt die verschiedenen Methoden zur Installation von Nubus für Univention Corporate Server (UCS) in verschiedenen Infrastrukturumgebungen. Ob auf physischen Servern, virtuellen Maschinen, Cloud-Plattformen oder Systemen mit spezifischen Konfigurationen bereitgestellt, die folgenden Abschnitte enthalten Schritt-für-Schritt-Anweisungen für jede Installationsmethode.
Wählen Sie die Methode, die am besten zu Ihrer Installationsumgebung passt:
- Installation auf physischen und virtuellen Maschinen
Die standardmäßige interaktive Installation von DVD für traditionelle physische Hardware und Hypervisor-Umgebungen.
- Installation im Textmodus
Ein alternativer Installer für Systeme mit Problemen mit der grafischen Version des Installers.
- Cloud Installation
Amazon EC2-basierte Installation mit vorkonfigurierten Machine Images, geeignet für Cloud-native Installationen.
- VMware-spezifische Überlegungen
Plattformspezifische Konfiguration und Treiberanforderungen für VMware-Umgebungen.
- Secure Boot
Voraussetzungen für die Installation und den Betrieb von Nubus für UCS auf Systemen mit aktiviertem UEFI Secure Boot.
Jede Methode führt Sie durch die gleichen grundlegenden Konfigurationsschritte: Netzwerkeinrichtung, Partitionierung der Festplatte, Benennung der Rechnernamen und Domäne sowie die Konfiguration der Domäne. Die Installation ist interaktiv und erfragt alle notwendigen Systemeinstellungen.
2.1.1. Download des Installations-Images#
Laden Sie das Nubus für UCS Installations-Image von der Univention Website herunter. Die Download-Seite bietet ISO- und virtuelle Maschinen-Images für das neueste Patch-Level Release an.
Wenn Sie ein System zu einer bestehenden Domäne hinzufügen, muss das Image dem Patch-Level Ihres UCS Primary Directory Node entsprechen. Wenn der Primary bereits auf dem neuesten Patch-Level ist, laden Sie das Image direkt von der Download-Seite herunter.
Wenn Sie den Primary noch nicht aktualisieren können, navigieren Sie nach dem Akzeptieren der Nutzungsbedingungen und der Datenschutzerklärung auf der Download-Seite zum übergeordneten Verzeichnis des Download-Links. Das übergeordnete Verzeichnis enthält Images für alle verfügbaren Patch-Level Releases. Wählen Sie das Image aus, das dem Patch-Level Ihres Primary entspricht.
Weitere Informationen zur Patch-Level-Anforderung finden Sie unter Modus: Einer bestehenden UCS-Domäne beitreten.
2.1.2. Installation auf physischen und virtuellen Maschinen#
Diese Seite beschreibt, wie Sie Nubus für Univention Corporate Server (UCS) von DVD auf physischer Hardware oder von einem DVD-Image für virtuelle Maschinen installieren. Die Installation ist interaktiv und erfragt alle notwendigen Systemeinstellungen in einer grafischen Oberfläche.
Die Installations-DVD ist für die Computerarchitektur amd64, 64-Bit, verfügbar. Zusätzlich zur Unterstützung für die weit verbreiteten BIOS-Systeme enthält die DVD auch Unterstützung für den Unified Extensible Firmware Interface (UEFI) Standard. Die UEFI-Unterstützung auf der DVD ist auch in der Lage, Systeme mit aktiviertem Secure Boot zu starten und Nubus für UCS dort zu installieren. Voraussetzungen und bekannte Einschränkungen finden Sie unter Secure Boot.
Wichtig
Univention unterstützt nicht den gleichzeitigen Betrieb von UCS und Debian auf einem UEFI-System.
Der Grund dafür ist der GRUB-Bootloader von Nubus für UCS, der teilweise dieselben Konfigurationsdateien wie Debian verwendet.
Ein bereits installiertes Debian führt dazu, dass die Hardware Nubus für UCS nach der Installation von oder einem Update auf UCS 5.2 nicht mehr booten kann. Eine nachträgliche Installation von Debian führt ebenfalls dazu, dass Nubus für UCS 5.2 nicht mehr booten kann.
Neben dem Betrieb von Nubus für UCS auf Hardware oder in einer Virtualisierungslösung können Sie es auch in der Amazon EC2 Cloud mit einem AMI-Image installieren. Weitere Informationen finden Sie unter Cloud Installation.
Sie können die Installationsoberflächen mit Tastatur und Maus bedienen.
Verwenden Sie die Tab-Taste, um zum nächsten Feld zu springen.
Verwenden Sie die Tasten Shift+Tab, um zum vorherigen Feld zurück zu springen.
Verwenden Sie die Enter-Taste, um Werte dem Eingabefeld zuzuweisen und Schaltflächen zu bestätigen.
Verwenden Sie die Pfeiltasten innerhalb einer Liste oder Tabelle zur Navigation zwischen Einträgen.
Verwenden Sie Abbrechen, um den aktuellen Konfigurationsschritt abzubrechen. Sie können einen vorherigen Konfigurationsschritt erneut im Menü auswählen, das der Installer anschließend anzeigt. Unter bestimmten Umständen können Sie nachfolgende Konfigurationsschritte nicht direkt auswählen, wenn Sie vorherige Schritte nicht abgeschlossen haben.
Um die Installation fortzusetzen, folgen Sie den Schritten in Initiale Systemkonfiguration.
2.1.3. Installation im Textmodus#
Auf Systemen, die Probleme mit dem grafischen Univention Installer zeigen, können Sie die Installation im Textmodus starten. Für den Textmodus wählen Sie Start in text mode im Boot-Menü für die Installation.
Während der Installation im Textmodus zeigt der Installer dieselben Informationen an und fragt nach denselben Einstellungen, siehe Initiale Systemkonfiguration. Nach der Festplattenpartitionierung ist das System bereit für den ersten Start und der Installer startet das System neu.
Nach dem Neustart können Sie die Konfiguration mit der Systemeinrichtung in einem Webbrowser fortsetzen. Öffnen Sie die URL https://SERVER-IP-ADDRESS in Ihrem Webbrowser. Die Systemeinrichtung erfordert eine Authentifizierung mit dem Benutzer root. Sie fragt dann nach Standort- und Netzwerkeinstellungen. Sie fahren mit den gleichen Schritten wie beim grafischen Installer fort, siehe Einrichtung der Domäne.
2.1.4. Cloud Installation#
Univention stellt ein Amazon Machine Image (AMI) für die Amazon EC2 Cloud für Nubus für UCS bereit. Sie können dieses generische Image für alle Nubus für UCS Systemrollen verwenden, um eine individuelle Instanz daraus zu erstellen, die Sie über Management-Module hinsichtlich Themen wie Domänenname und Softwareauswahl konfigurieren können.
Für Informationen zum Einrichtungsprozess einer Nubus für UCS Instanz basierend auf Amazon EC2, siehe Univention Help 21833 - „Amazon EC2 Quickstart“.
2.1.5. VMware-spezifische Überlegungen#
Wenn Sie Nubus für UCS als Gast in VMware installieren, wählen Sie die Option als Gastbetriebssystem, da Nubus für UCS auf Debian GNU/Linux basiert.
Der Linux-Kernel in Nubus für UCS enthält alle für den Betrieb in VMware notwendigen Support-Treiber, wie vmw_balloon, vmw_pvsci, vmw_vmci, vmwgfx und vmxnet3.
Nubus für UCS liefert die Open VM Tools. Sie können sie über das Paket open-vm-tools installieren. Das Paket ist optional, aber notwendig für Funktionen wie automatische Zeitsynchronisation zwischen dem Virtualisierungsserver und dem Gastsystem.
2.1.6. Secure Boot#
Nubus für UCS unterstützt UEFI Secure Boot. Sie müssen Secure Boot vor der Installation von der DVD nicht deaktivieren.
Secure Boot basiert auf einer Vertrauenskette, bei der die System-Firmware jede Komponente vor dem Laden überprüft. Bei Nubus für UCS funktioniert diese Kette wie folgt:
Die UEFI-Firmware lädt shim, einen von Microsoft signierten First-Stage-Bootloader. Die Firmware überprüft shim anhand der Zertifikate im Zertifikatsspeicher der Firmware.
shim lädt den von Debian signierten GRUB Bootloader. shim überprüft GRUB mit dem bei der Kompilierung eingebetteten Debian-Schlüssel und prüft den Secure Boot Advanced Targeting (SBAT) Revocation Level.
GRUB lädt den Linux-Kernel, ebenfalls signiert von Debian.
Da Nubus für UCS auf Debian GNU/Linux aufbaut, verwendet es die signierten Boot-Komponenten von Debian. Die folgenden Bedingungen in der aktuellen Debian Secure Boot Toolchain können einen erfolgreichen Start auf bestimmter Hardware verhindern.
2.1.6.1. SBAT Revocation Level#
Der Secure Boot Advanced Targeting (SBAT) Revocation Level legt fest, welche Bootloader Versionen die Firmware akzeptiert.
Der GRUB-Bootloader auf dem Nubus für UCS Installationsmedium deklariert die SBAT-Generation grub,4. Einige Systeme haben einen höheren SBAT Revocation Level in der Firmware gespeichert, wodurch sie diese GRUB-Version ablehnen.
Ein System kann aus folgenden Gründen einen erhöhten SBAT-Level haben:
Eine frühere Microsoft Windows-Installation hat den SBAT-Level über ein Windows-Update-Firmware-Update auf
grub,5angehoben.Eine frühere Linux-Distribution mit einer neueren GRUB-Version hat den SBAT-Level angehoben.
Der SBAT Revocation Level bleibt im UEFI-Firmware-Speicher (NVRAM) erhalten. Das Entfernen des vorherigen Betriebssystems löscht ihn nicht.
Systeme, deren SBAT-Level nie angehoben wurde, sind nicht betroffen.
Wenn das System den Bootloader mit einem Security Violation-Fehler ablehnt, deaktivieren Sie Secure Boot im Firmware-Setup vor der Installation.
Bemerkung
Tools wie Rufus Version 4.6 und neuer prüfen die SBAT-Generation proaktiv und zeigen eine Warnung revoked UEFI bootloader an. Diese Warnung weist auf eine mögliche Inkompatibilität hin, nicht auf ein Sicherheitsproblem mit dem Nubus für UCS Installationsmedium.
2.1.6.2. Anforderungen an Firmware-Zertifikate#
Der shim Bootloader auf dem Nubus für UCS Installationsmedium ist mit dem Zertifikat Microsoft Corporation UEFI CA 2011 signiert. Die Firmware muss dieses Zertifikat in ihrem Zertifikatsspeicher enthalten, um shim vor dem Laden zu überprüfen.
Die meisten Systeme werden mit diesem Zertifikat vorinstalliert ausgeliefert. Einige Hardware, die ab 2024 veröffentlicht wurde, enthält jedoch nur das neuere Zertifikat Microsoft UEFI CA 2023 und nicht das 2011-Zertifikat.
Auf diesen Systemen erkennt die Firmware shim nicht und verweigert den Start vom Installationsmedium.
Um Nubus für UCS auf betroffener Hardware zu installieren, verwenden Sie einen der folgenden Ansätze:
Registrieren Sie das Zertifikat Microsoft Corporation UEFI CA 2011 im Firmware-Setup.
Deaktivieren Sie Secure Boot im Firmware-Setup vor der Installation.
Diese Einschränkung betrifft das gesamte Debian-Ökosystem. Debian behebt sie, wenn es eine shim-Version ausliefert, die mit dem Zertifikat Microsoft UEFI CA 2023 signiert ist.