java security: vorerst DRINGEND configed lokal installieren
java security: vorerst DRINGEND configed lokal installieren
Sehr geehrte opsi-Anwender,
ACHTUNG: Mit dem bereits für morgen (14.1.2014) angekündigten Oracle-Java-Update kann eine Webstart-Anwendung oder ein Applet nur noch gestartet werden, wenn der Code gültig signiert ist und von einem zertifizierten Server geladen wird. Daher kann der configed ohne eine entsprechende Zertifizierung nicht mehr aufgerufen werden.
Bis dahin muss mit einem lokal auf dem Admin-PC installierten configed gearbeitet werden (der völlig identisch mit dem über Webstart geladenen ist). Wir empfehlen daher DRINGEND, lokal einen configed zu installieren.
Möglicherweise verfügen Sie bereits über einen lokal installierten configed, sofern Sie die opsi-adminutils installiert haben. Damit Sie andernfalls nicht die kompletten opsi-adminutils installieren müssen, haben wir zusätzlich ein Paket opsi-configed erstellt, das Sie unter http://download.uib.de/opsi4.0/products/localboot/ finden. Bitten laden Sie es herunter, installieren es auf Ihrem Server mit dem opsi-packagemanager und setzen es auf Ihrem Admin-PC auf setup. Dann können Sie auch nach dem Java-Update wie gewohnt mit dem configed arbeiten, sofern Sie ihn über das lokale Startmenü aufrufen.
Was können Sie machen, wenn sich das Java-Update bereits eingespielt hat, Sie daher den configed nicht mehr per Webstart/Applet aufrufen können und Sie bis dahin weder das Produkt opsi-adminutils noch das neue Produkt opsi-configed installiert haben?
Möglichkeit 1: opsi-configed-Paket von http://download.uib.de/opsi4.0/products/localboot/ holen und per opsi-admin-Aufruf auf setup setzen, der Aufruf auf der Server-Kommandozeile lautet
opsi-admin -d method setProductState "opsi-configed" "FQDN_DES_CLIENTS" unknown setup
Möglichkeit 2: Den Share \\OPSISERVER\opsi_depot im Windows-Explorer verbinden und das Verzeichnis files.configed aus dem Produktverzeichnis von opsi-configed oder von opsi-adminutils einfach auf den lokalen Desktop kopieren und den Configeditor durch Doppelklick auf configed.jar starten.
Zur Erläuterung: Die Maßnahme von Oracle dient dazu, die Ausführung von schädlichem Java-Code, der von Webseiten untergeschoben wird, zu verhindern. Im opsi-Kontext, wo der Webserver im lokalen Netz steht, ist das eigentlich ein ganz unwahrscheinliches Szenario. Der kommende stable-configed wird entsprechend signiert sein, so dass, wenn die begleitende Anleitung zur Zertifikatserzeugung beachtet wird, auch Webstart und Applet wieder funktionieren werden.
Grüße
R. Röder
ACHTUNG: Mit dem bereits für morgen (14.1.2014) angekündigten Oracle-Java-Update kann eine Webstart-Anwendung oder ein Applet nur noch gestartet werden, wenn der Code gültig signiert ist und von einem zertifizierten Server geladen wird. Daher kann der configed ohne eine entsprechende Zertifizierung nicht mehr aufgerufen werden.
Bis dahin muss mit einem lokal auf dem Admin-PC installierten configed gearbeitet werden (der völlig identisch mit dem über Webstart geladenen ist). Wir empfehlen daher DRINGEND, lokal einen configed zu installieren.
Möglicherweise verfügen Sie bereits über einen lokal installierten configed, sofern Sie die opsi-adminutils installiert haben. Damit Sie andernfalls nicht die kompletten opsi-adminutils installieren müssen, haben wir zusätzlich ein Paket opsi-configed erstellt, das Sie unter http://download.uib.de/opsi4.0/products/localboot/ finden. Bitten laden Sie es herunter, installieren es auf Ihrem Server mit dem opsi-packagemanager und setzen es auf Ihrem Admin-PC auf setup. Dann können Sie auch nach dem Java-Update wie gewohnt mit dem configed arbeiten, sofern Sie ihn über das lokale Startmenü aufrufen.
Was können Sie machen, wenn sich das Java-Update bereits eingespielt hat, Sie daher den configed nicht mehr per Webstart/Applet aufrufen können und Sie bis dahin weder das Produkt opsi-adminutils noch das neue Produkt opsi-configed installiert haben?
Möglichkeit 1: opsi-configed-Paket von http://download.uib.de/opsi4.0/products/localboot/ holen und per opsi-admin-Aufruf auf setup setzen, der Aufruf auf der Server-Kommandozeile lautet
opsi-admin -d method setProductState "opsi-configed" "FQDN_DES_CLIENTS" unknown setup
Möglichkeit 2: Den Share \\OPSISERVER\opsi_depot im Windows-Explorer verbinden und das Verzeichnis files.configed aus dem Produktverzeichnis von opsi-configed oder von opsi-adminutils einfach auf den lokalen Desktop kopieren und den Configeditor durch Doppelklick auf configed.jar starten.
Zur Erläuterung: Die Maßnahme von Oracle dient dazu, die Ausführung von schädlichem Java-Code, der von Webseiten untergeschoben wird, zu verhindern. Im opsi-Kontext, wo der Webserver im lokalen Netz steht, ist das eigentlich ein ganz unwahrscheinliches Szenario. Der kommende stable-configed wird entsprechend signiert sein, so dass, wenn die begleitende Anleitung zur Zertifikatserzeugung beachtet wird, auch Webstart und Applet wieder funktionieren werden.
Grüße
R. Röder
opsi support - uib gmbh
For productive opsi installations we recommend maintainance + support contracts which are the base of opsi development.
Wondering who's using opsi? Have a look at the opsi map: http://opsi.org/opsi-map/.
For productive opsi installations we recommend maintainance + support contracts which are the base of opsi development.
Wondering who's using opsi? Have a look at the opsi map: http://opsi.org/opsi-map/.
Re: java security: vorerst DRINGEND configed lokal installie
Betrifft das auch MacOS? Wenn ja wie kann ich da den Configed ohne das JNLP starten?
Re: java security: vorerst DRINGEND configed lokal installie
Da ich schon lange nicht mehr mit MacOS gearbeitet habe, kann ich nur vermuten, dass man, wenn man die Dateien aus files.configed vom opsi_depot-Share des Servers auf den MacOS-Rechner kopiert, den configed auch durch (Doppel-) Klick auf configed.jar starten kann. Schlimmstenfalls benötigt man einen Start-Kommando/Skript, das bestimmt wie auf Linux funktioniert: java -jar configed.jartobias hat geschrieben:Betrifft das auch MacOS? Wenn ja wie kann ich da den Configed ohne das JNLP starten?
Leider sind wir wegen der vielen anderen anstehenden Arbeiten erst in letzter Minute tätig geworden.
Grüße
R. Röder
opsi support - uib gmbh
For productive opsi installations we recommend maintainance + support contracts which are the base of opsi development.
Wondering who's using opsi? Have a look at the opsi map: http://opsi.org/opsi-map/.
For productive opsi installations we recommend maintainance + support contracts which are the base of opsi development.
Wondering who's using opsi? Have a look at the opsi map: http://opsi.org/opsi-map/.
Re: java security: vorerst DRINGEND configed lokal installie
ich werds morgen testen - und hier berichten.
Gruß
Tobias
Gruß
Tobias
Re: java security: vorerst DRINGEND configed lokal installie
So der Javarelease 7u51 ist draußen und ich finde, alles ist halb so wild:
Es reicht aus, eine Exception im JavaControlcenter einzutragen, danach konnte ich auch direkt die JNLP starten:
http://picload.org/image/lgpidca/exception.png
PS: @boardadmin: erhalte die Meldung das das Uploadkontingent erschöpft ist...
Es reicht aus, eine Exception im JavaControlcenter einzutragen, danach konnte ich auch direkt die JNLP starten:
http://picload.org/image/lgpidca/exception.png
PS: @boardadmin: erhalte die Meldung das das Uploadkontingent erschöpft ist...
Re: java security: vorerst DRINGEND configed lokal installie
konnte auf MacOS noch nicht feststellen das ich das jnlp nicht ausführen kann habe das Update heute installiert.
Im Gegenteil - ich habe den subjektiven Eindruck das Java Anwendungen nun viel schneller starten und auch schneller laufen und davon profitiert vor allem der Configed extrem !
Im Gegenteil - ich habe den subjektiven Eindruck das Java Anwendungen nun viel schneller starten und auch schneller laufen und davon profitiert vor allem der Configed extrem !
-
- Beiträge: 5
- Registriert: 18 Jul 2013, 18:53
Re: java security: vorerst DRINGEND configed lokal installie
Hallo zusammen,
mal eine Frage zum Configed generell:
Gibt es eigentlich Pläne die aktuelle Java-Version durch eine HTML-Version zu ersetetzen?
Da ich auf unseren Rechnern mittlerweile Java wegen der Sicherheitsbedenken komplett deinstaliert habe, und wir auch keine anderen Java-Anwendungen mehr betreiben, ist OPSI der einzige Grund noch Java zu installieren.
Solange das auf allen Rechnern drauf war, fand ich es extrem praktisch mich einfach an einen Rechner setzten zu können, und "mal eben" den Configed zu starten.
Also mich würde eine HTML-Variante sehr freuen (gerne erst mal auch ohne Mobile Unterstützung )
Danke für Info's.
mal eine Frage zum Configed generell:
Gibt es eigentlich Pläne die aktuelle Java-Version durch eine HTML-Version zu ersetetzen?
Da ich auf unseren Rechnern mittlerweile Java wegen der Sicherheitsbedenken komplett deinstaliert habe, und wir auch keine anderen Java-Anwendungen mehr betreiben, ist OPSI der einzige Grund noch Java zu installieren.
Solange das auf allen Rechnern drauf war, fand ich es extrem praktisch mich einfach an einen Rechner setzten zu können, und "mal eben" den Configed zu starten.
Also mich würde eine HTML-Variante sehr freuen (gerne erst mal auch ohne Mobile Unterstützung )
Danke für Info's.
Re: java security: vorerst DRINGEND configed lokal installie
Hallo Community,
Wir haben auch schon mehrfach mit HTML+Javascript-Modellen experimentiert. Die Komplexität dieser Ansätze war allerdings enorm (Java neigt im Detail zu einer gewissen Umständlichkeit , bietet jedoch rationelle Möglichkeiten zu einer Programmierung im Großen). Auch das Laufzeitverhalten hätte sich deutlich verschlechtert (weiter verschlechtert...)
Daher überlegen wir im Moment, vorerst den configed als komplexe, lokal laufende (für den, der es noch mag, auch über den Browser abrufbare) Anwendung anzubieten, aber zusätzlich für häufig genutzte Funktionen eine webbasierte Alternative zu entwickeln. Das ist allerdings aufwändig, wir müssen uns über die Finanzierung Gedanken machen.
Für Diskussionsbeiträge und Anregungen sind wir sehr dankbar.
R. Röder
wir sehen es ähnlich: Es war ein entscheidender Grund, den configed in Java zu implementieren, dass man ihn wahlweise als lokale Anwendung betreiben oder im Browser nutzen konnte. Die jahrelange Vernachlässigung des Security-Themas durch Oracle hat Java im Browser gründlich verleidet (auch wenn das nicht ganz fair ist, weil ähnliche Sicherheitsprobleme auch Flash, PDF, Imaging-Libraires, ..., ja sogar Javascript haben und ohne diese Komponenten das Web praktisch undenkbar ist).f.Scharpff hat geschrieben: Gibt es eigentlich Pläne die aktuelle Java-Version durch eine HTML-Version zu ersetetzen?
Da ich auf unseren Rechnern mittlerweile Java wegen der Sicherheitsbedenken komplett deinstaliert habe, und wir auch keine anderen Java-Anwendungen mehr betreiben, ist OPSI der einzige Grund noch Java zu installieren.
Solange das auf allen Rechnern drauf war, fand ich es extrem praktisch mich einfach an einen Rechner setzten zu können, und "mal eben" den Configed zu starten.
Wir haben auch schon mehrfach mit HTML+Javascript-Modellen experimentiert. Die Komplexität dieser Ansätze war allerdings enorm (Java neigt im Detail zu einer gewissen Umständlichkeit , bietet jedoch rationelle Möglichkeiten zu einer Programmierung im Großen). Auch das Laufzeitverhalten hätte sich deutlich verschlechtert (weiter verschlechtert...)
Daher überlegen wir im Moment, vorerst den configed als komplexe, lokal laufende (für den, der es noch mag, auch über den Browser abrufbare) Anwendung anzubieten, aber zusätzlich für häufig genutzte Funktionen eine webbasierte Alternative zu entwickeln. Das ist allerdings aufwändig, wir müssen uns über die Finanzierung Gedanken machen.
Für Diskussionsbeiträge und Anregungen sind wir sehr dankbar.
R. Röder
opsi support - uib gmbh
For productive opsi installations we recommend maintainance + support contracts which are the base of opsi development.
Wondering who's using opsi? Have a look at the opsi map: http://opsi.org/opsi-map/.
For productive opsi installations we recommend maintainance + support contracts which are the base of opsi development.
Wondering who's using opsi? Have a look at the opsi map: http://opsi.org/opsi-map/.
Re: java security: vorerst DRINGEND configed lokal installie
Ich denke das wäre doch etwas für eine Kofinanzierung, da würden sicher einige für Geld locker machen !r.roeder hat geschrieben: Das ist allerdings aufwändig, wir müssen uns über die Finanzierung Gedanken machen.
Ich hab ja auch schon häufig betont das ich Java für ein gruseliges Stück Software halte - welche lieber gestern als Morgen verschwinden sollte
Der Wechsel von einem Interface zu einem anderen ist nie etwas was von heute auf morgen machen kann (VMware schleift z.B. seit Jahren 2 Clients mit sich rum)
Für eine gewisse Zeit müssten beide noch zur Verfügung stellen auch das kostet natürlich viel Zeit - auch wenn auch das alte Interface mit "Feature Freeze " für einige Zeit weitergepflegt werden würde.
Aber wenn tatsächlich ein neues Interface gebaut wird !!! bitte kein Flash !!! und es sollte natürlich weiterhin Plattform unabhängig bleiben.
HTML5 wäre super, da es nahezu plattformunabhängig ist.
Es gab ja mal Ansätze von Community Projekten, die wurden leider ja nicht weiterverfolgt
Re: java security: vorerst DRINGEND configed lokal installie
Wie wäre es mit PyQt ? Der rest ist auch Python warum also nicht der configed? Ich finde man muss nicht zwingend den configed im Browser laufen haben. Eine eingeständige Applikation würde auch viel mehr Möglichkeiten bieten von der Performance ganz zu schweigen.
Sogar eine Applikation die man installieren muss ist verkraftbar. Ist ja nicht so, dass wir keine flexible Softwareverteilung hätten .
Sogar eine Applikation die man installieren muss ist verkraftbar. Ist ja nicht so, dass wir keine flexible Softwareverteilung hätten .