java security: vorerst DRINGEND configed lokal installieren

Neuigkeiten und Ankündigungen
Benutzeravatar
r.roeder
uib-Team
Beiträge: 540
Registriert: 02 Jul 2008, 10:08

java security: vorerst DRINGEND configed lokal installieren

Beitrag von r.roeder »

Sehr geehrte opsi-Anwender,

ACHTUNG: Mit dem bereits für morgen (14.1.2014) angekündigten Oracle-Java-Update kann eine Webstart-Anwendung oder ein Applet nur noch gestartet werden, wenn der Code gültig signiert ist und von einem zertifizierten Server geladen wird. Daher kann der configed ohne eine entsprechende Zertifizierung nicht mehr aufgerufen werden.

Bis dahin muss mit einem lokal auf dem Admin-PC installierten configed gearbeitet werden (der völlig identisch mit dem über Webstart geladenen ist). Wir empfehlen daher DRINGEND, lokal einen configed zu installieren.

Möglicherweise verfügen Sie bereits über einen lokal installierten configed, sofern Sie die opsi-adminutils installiert haben. Damit Sie andernfalls nicht die kompletten opsi-adminutils installieren müssen, haben wir zusätzlich ein Paket opsi-configed erstellt, das Sie unter http://download.uib.de/opsi4.0/products/localboot/ finden. Bitten laden Sie es herunter, installieren es auf Ihrem Server mit dem opsi-packagemanager und setzen es auf Ihrem Admin-PC auf setup. Dann können Sie auch nach dem Java-Update wie gewohnt mit dem configed arbeiten, sofern Sie ihn über das lokale Startmenü aufrufen.

Was können Sie machen, wenn sich das Java-Update bereits eingespielt hat, Sie daher den configed nicht mehr per Webstart/Applet aufrufen können und Sie bis dahin weder das Produkt opsi-adminutils noch das neue Produkt opsi-configed installiert haben?

Möglichkeit 1: opsi-configed-Paket von http://download.uib.de/opsi4.0/products/localboot/ holen und per opsi-admin-Aufruf auf setup setzen, der Aufruf auf der Server-Kommandozeile lautet

opsi-admin -d method setProductState "opsi-configed" "FQDN_DES_CLIENTS" unknown setup

Möglichkeit 2: Den Share \\OPSISERVER\opsi_depot im Windows-Explorer verbinden und das Verzeichnis files.configed aus dem Produktverzeichnis von opsi-configed oder von opsi-adminutils einfach auf den lokalen Desktop kopieren und den Configeditor durch Doppelklick auf configed.jar starten.

Zur Erläuterung: Die Maßnahme von Oracle dient dazu, die Ausführung von schädlichem Java-Code, der von Webseiten untergeschoben wird, zu verhindern. Im opsi-Kontext, wo der Webserver im lokalen Netz steht, ist das eigentlich ein ganz unwahrscheinliches Szenario. Der kommende stable-configed wird entsprechend signiert sein, so dass, wenn die begleitende Anleitung zur Zertifikatserzeugung beachtet wird, auch Webstart und Applet wieder funktionieren werden.

Grüße
R. Röder
opsi support - uib gmbh
For productive opsi installations we recommend maintainance + support contracts which are the base of opsi development.


Wondering who's using opsi? Have a look at the opsi map: http://opsi.org/opsi-map/.
Benutzeravatar
tobias
Beiträge: 1291
Registriert: 20 Aug 2008, 12:36
Wohnort: Braunschweig
Kontaktdaten:

Re: java security: vorerst DRINGEND configed lokal installie

Beitrag von tobias »

Betrifft das auch MacOS? Wenn ja wie kann ich da den Configed ohne das JNLP starten?
Benutzeravatar
r.roeder
uib-Team
Beiträge: 540
Registriert: 02 Jul 2008, 10:08

Re: java security: vorerst DRINGEND configed lokal installie

Beitrag von r.roeder »

tobias hat geschrieben:Betrifft das auch MacOS? Wenn ja wie kann ich da den Configed ohne das JNLP starten?
Da ich schon lange nicht mehr mit MacOS gearbeitet habe, kann ich nur vermuten, dass man, wenn man die Dateien aus files.configed vom opsi_depot-Share des Servers auf den MacOS-Rechner kopiert, den configed auch durch (Doppel-) Klick auf configed.jar starten kann. Schlimmstenfalls benötigt man einen Start-Kommando/Skript, das bestimmt wie auf Linux funktioniert: java -jar configed.jar

Leider sind wir wegen der vielen anderen anstehenden Arbeiten erst in letzter Minute tätig geworden.

Grüße
R. Röder
opsi support - uib gmbh
For productive opsi installations we recommend maintainance + support contracts which are the base of opsi development.


Wondering who's using opsi? Have a look at the opsi map: http://opsi.org/opsi-map/.
Benutzeravatar
tobias
Beiträge: 1291
Registriert: 20 Aug 2008, 12:36
Wohnort: Braunschweig
Kontaktdaten:

Re: java security: vorerst DRINGEND configed lokal installie

Beitrag von tobias »

ich werds morgen testen - und hier berichten.

Gruß
Tobias
mensch90
Beiträge: 130
Registriert: 27 Jul 2013, 16:52

Re: java security: vorerst DRINGEND configed lokal installie

Beitrag von mensch90 »

So der Javarelease 7u51 ist draußen und ich finde, alles ist halb so wild:

Es reicht aus, eine Exception im JavaControlcenter einzutragen, danach konnte ich auch direkt die JNLP starten:

http://picload.org/image/lgpidca/exception.png

PS: @boardadmin: erhalte die Meldung das das Uploadkontingent erschöpft ist...
Benutzeravatar
tobias
Beiträge: 1291
Registriert: 20 Aug 2008, 12:36
Wohnort: Braunschweig
Kontaktdaten:

Re: java security: vorerst DRINGEND configed lokal installie

Beitrag von tobias »

konnte auf MacOS noch nicht feststellen das ich das jnlp nicht ausführen kann habe das Update heute installiert.
Im Gegenteil - ich habe den subjektiven Eindruck das Java Anwendungen nun viel schneller starten und auch schneller laufen und davon profitiert vor allem der Configed extrem !
f.Scharpff
Beiträge: 5
Registriert: 18 Jul 2013, 18:53

Re: java security: vorerst DRINGEND configed lokal installie

Beitrag von f.Scharpff »

Hallo zusammen,

mal eine Frage zum Configed generell:
Gibt es eigentlich Pläne die aktuelle Java-Version durch eine HTML-Version zu ersetetzen?

Da ich auf unseren Rechnern mittlerweile Java wegen der Sicherheitsbedenken komplett deinstaliert habe, und wir auch keine anderen Java-Anwendungen mehr betreiben, ist OPSI der einzige Grund noch Java zu installieren.

Solange das auf allen Rechnern drauf war, fand ich es extrem praktisch mich einfach an einen Rechner setzten zu können, und "mal eben" den Configed zu starten.

Also mich würde eine HTML-Variante sehr freuen (gerne erst mal auch ohne Mobile Unterstützung :) )

Danke für Info's.
Benutzeravatar
r.roeder
uib-Team
Beiträge: 540
Registriert: 02 Jul 2008, 10:08

Re: java security: vorerst DRINGEND configed lokal installie

Beitrag von r.roeder »

Hallo Community,
f.Scharpff hat geschrieben: Gibt es eigentlich Pläne die aktuelle Java-Version durch eine HTML-Version zu ersetetzen?

Da ich auf unseren Rechnern mittlerweile Java wegen der Sicherheitsbedenken komplett deinstaliert habe, und wir auch keine anderen Java-Anwendungen mehr betreiben, ist OPSI der einzige Grund noch Java zu installieren.

Solange das auf allen Rechnern drauf war, fand ich es extrem praktisch mich einfach an einen Rechner setzten zu können, und "mal eben" den Configed zu starten.
wir sehen es ähnlich: Es war ein entscheidender Grund, den configed in Java zu implementieren, dass man ihn wahlweise als lokale Anwendung betreiben oder im Browser nutzen konnte. Die jahrelange Vernachlässigung des Security-Themas durch Oracle hat Java im Browser gründlich verleidet (auch wenn das nicht ganz fair ist, weil ähnliche Sicherheitsprobleme auch Flash, PDF, Imaging-Libraires, ..., ja sogar Javascript haben und ohne diese Komponenten das Web praktisch undenkbar ist).

Wir haben auch schon mehrfach mit HTML+Javascript-Modellen experimentiert. Die Komplexität dieser Ansätze war allerdings enorm (Java neigt im Detail zu einer gewissen Umständlichkeit :( , bietet jedoch rationelle Möglichkeiten zu einer Programmierung im Großen). Auch das Laufzeitverhalten hätte sich deutlich verschlechtert (weiter verschlechtert...)

Daher überlegen wir im Moment, vorerst den configed als komplexe, lokal laufende (für den, der es noch mag, auch über den Browser abrufbare) Anwendung anzubieten, aber zusätzlich für häufig genutzte Funktionen eine webbasierte Alternative zu entwickeln. Das ist allerdings aufwändig, wir müssen uns über die Finanzierung :( Gedanken machen.

Für Diskussionsbeiträge und Anregungen sind wir sehr dankbar.

R. Röder
opsi support - uib gmbh
For productive opsi installations we recommend maintainance + support contracts which are the base of opsi development.


Wondering who's using opsi? Have a look at the opsi map: http://opsi.org/opsi-map/.
Benutzeravatar
tobias
Beiträge: 1291
Registriert: 20 Aug 2008, 12:36
Wohnort: Braunschweig
Kontaktdaten:

Re: java security: vorerst DRINGEND configed lokal installie

Beitrag von tobias »

r.roeder hat geschrieben: Das ist allerdings aufwändig, wir müssen uns über die Finanzierung :( Gedanken machen.
Ich denke das wäre doch etwas für eine Kofinanzierung, da würden sicher einige für Geld locker machen ;) !
Ich hab ja auch schon häufig betont das ich Java für ein gruseliges Stück Software halte - welche lieber gestern als Morgen verschwinden sollte :mrgreen:

Der Wechsel von einem Interface zu einem anderen ist nie etwas was von heute auf morgen machen kann (VMware schleift z.B. seit Jahren 2 Clients mit sich rum)
Für eine gewisse Zeit müssten beide noch zur Verfügung stellen auch das kostet natürlich viel Zeit - auch wenn auch das alte Interface mit "Feature Freeze " für einige Zeit weitergepflegt werden würde.

Aber wenn tatsächlich ein neues Interface gebaut wird !!! bitte kein Flash !!! und es sollte natürlich weiterhin Plattform unabhängig bleiben.
HTML5 wäre super, da es nahezu plattformunabhängig ist.

Es gab ja mal Ansätze von Community Projekten, die wurden leider ja nicht weiterverfolgt :(
dkoch
Beiträge: 309
Registriert: 25 Nov 2011, 14:03

Re: java security: vorerst DRINGEND configed lokal installie

Beitrag von dkoch »

Wie wäre es mit PyQt ? Der rest ist auch Python warum also nicht der configed? Ich finde man muss nicht zwingend den configed im Browser laufen haben. Eine eingeständige Applikation würde auch viel mehr Möglichkeiten bieten von der Performance ganz zu schweigen.
Sogar eine Applikation die man installieren muss ist verkraftbar. Ist ja nicht so, dass wir keine flexible Softwareverteilung hätten ;).
Antworten