opsiPackageBuilder v8.1.0 kann sich per SSH nicht verbinden

Moderator: pandel

Antworten
IvicaE
Beiträge: 136
Registriert: 13 Sep 2016, 14:10

opsiPackageBuilder v8.1.0 kann sich per SSH nicht verbinden

Beitrag von IvicaE »

Hallo Leute,

ich hätte da mal ein Problem mit dem opsiPackageBuilder v8.1.0.

Ich bekomme immer eine Fehlermeldung sobald ich auf den Button [Packen] klicke.
"Fehler beim Verbindungsaufbau. Siehe Logbuch für Details."

Ich habe das Problem bereits gepostet bevor ich überhaupt gesehen habe daß es hier auch eine seperate Sparte für den opsiPackageBuilder gibt.

Hier der Link zu den ursprünglichem Post:
viewtopic.php?f=7&t=8655

Kurz gesagt:
SSH Vebindung kann nicht hergestellt werden.

Hier die Log von der [SSH-Ausgabe]:
[2016-09-16 01:20:28 PM] - --------------------ACTION: BUILD--------------------
[2016-09-16 01:20:28 PM] - Processing action...
[2016-09-16 01:20:28 PM] - Trying to execute command: opsi-makeproductfile -vv -mz
[2016-09-16 01:20:28 PM] - Start SSH shell with full environment update / no pseudo TTY
[2016-09-16 01:20:30 PM] - ConnectionError('Error creating SSH connection --> Original error: Authentication failed.',)
[2016-09-16 01:20:30 PM] - Set return code to RET_SSHCONNERR
Hier der Log aus dem Reiter [Logging]:
16 01:20:28 PM] - oPB.core.processing.OpsiProcessing - SSH - --------------------ACTION: BUILD--------------------
[2016-09-16 01:20:30 PM] - oPB.core.processing.OpsiProcessing - ERROR - ConnectionError('Error creating SSH connection --> Original error: Authentication failed.',)
[2016-09-16 01:20:30 PM] - oPB.core.processing.OpsiProcessing - ERROR - Set return code to RET_SSHCONNERR
Und hier der Inhalt aus dem Reiter [Konsolenfenster]:
C:\Program Files (x86)\opsi PackageBuilderNG\paramiko\client.py:658: UserWarning: Unknown ssh-rsa host key for 192.1.2.5: b'0d97a6242671bc56fe34d215f5843c60'

Mit dem Putty funktioniert alles problemlos. Ich habe aber mehr Lust auf den PackageBuilder als auf die Shellbefehle um ein Packet zu erzeugen...
pandel
Beiträge: 830
Registriert: 25 Jan 2013, 16:47

Re: opsiPackageBuilder v8.1.0 kann sich per SSH nicht verbinden

Beitrag von pandel »

Hi!

Sorry, habe deinen ursprünglichen Post nicht gesehen...

Also, an der Schlüsseldatei kann es nicht liegen, denn das ist nicht die vom Server, sondern deine eigene. Du wüsstest es, wenn du eine hättest. Hast du meine Hinweise beachtet, was die Konfiguration des SSH Servers anbelangt? Das Putty funktioniert spielt leider überhaupt keine Rolle. Es kann sehr gut sein, dass Putty geht und der oPB nicht. Das hängt mit den im Hintergrund verwendeten Handshakes zusammen...

Kopiere dir extra nochmal den Hinweis aus dem ersten Posting von mir:

Bei SSH Verbindungsproblemen:
Bitte sicherstellen, dass der SSH Server auf dem opsi Server mindest wie folgt konfiguriert ist (Parameter beispielhaft aus der OpenSSH sshd_config):

Code: Alles auswählen

Ciphers aes256-ctr,aes128-ctr
# DEAKTIVIERT:
#MACs hmac-sha2-512,hmac-sha2-256,hmac-ripemd160
KexAlgorithms diffie-hellman-group-exchange-sha256,diffie-hellman-group14-sha1,diffie-hellman-group-exchange-sha1
Zusätzlich gibt es in der 8.1.0 ein Problem, wenn man einen anderen Post als 22 verwendet - das ist aber in der nächsten Version gefixt.

Wenn gar nichts hilft, dann schalte in den Einstellungen vom oPB mal die Logschreibung ein, stell die Tiefe auf DEBUG und schicke mir via PN (keinesfalls das Log hier posten!!!) das Log, dann kann ich das genauer beurteilen...

Lieber Gruß
Holger
IvicaE
Beiträge: 136
Registriert: 13 Sep 2016, 14:10

Re: opsiPackageBuilder v8.1.0 kann sich per SSH nicht verbinden

Beitrag von IvicaE »

Ich habe die sshd_config so editiert daß ich an der besagten Stelle das Zeug eingefügt habe was du mir gepostet hast (habe ich davor auch schon gemacht gehabt, aber ich wollte es sicherheitshalber nochmals machen).
Das hat leider nichts gebracht.
Natürlich habe ich den ssh-Dienst neu gestartet

Code: Alles auswählen

service ssh restart
Ob ich an dieser Stelle ein 'openssh' erwarten sollte oder nicht weiß ich nicht. Ich habe lediglich diesen ssh-Service gefunden (service --status-all -> u.a. ssh aber kein openssh)
Jedenfalls hat das nichts geholfen. Auch ein restart des Servers hat mich nicht weitergebracht.

Daher sende ich dir die Logdatei per PN jetzt einmal. Aber ich erkenne in dieser bezüglich der SSH-Verbindung auch keine weiteren Aufschlüsse...
Ich hoffe du erkennst da mehr.
IvicaE
Beiträge: 136
Registriert: 13 Sep 2016, 14:10

Re: opsiPackageBuilder v8.1.0 kann sich per SSH nicht verbinden

Beitrag von IvicaE »

Tut sich was an der Front hier? Ich frage nur weil ich nicht befürchten möchte das es vielleicht in Vergessenheit gerät weil esin Wochenende dazwischen liegt.

Ich danke ncohmals im voraus für die Hilfe und das tolle oPB.
pandel
Beiträge: 830
Registriert: 25 Jan 2013, 16:47

Re: opsiPackageBuilder v8.1.0 kann sich per SSH nicht verbinden

Beitrag von pandel »

Ja, es tut sich was, und zwar, dass ich mir das Hirn zermartere, was das bei dir da sein soll :shock: ... ich hatte ja wirklich auf's Log gehofft, aber da ist rein gar nichts zu erkennen...

Es gibt aktuell zwei Dinge, über die ich nachdenke:
1) Eine mir nicht bekannte Besonderheit in deinem SSH Passwort, d. h. irgendwelche Zeichenkombinationen, die bei der internen Übergabe Probleme machen, denn die Fehlermeldung weist eindeutig auf eine angeblich fehlerhafte User/Passwort Kombi hin. Da du gesagt hast, du hast das nochmal gegengeprüft, könnte man nur in die Richtung ermitteln.
2) In der neuen opsi VM funktioniert der SSH Logon OHNE Pseudo-TTY nicht mehr, das müsste ich aber testen (und kann ich mir auch nicht vorstellen)...

Evtl. wäre es wenigstens zu 1) möglich, dass du mal testweise ein total einfaches Passwort für den von dir verwendeten opsiadmin setzt und es nochmal versuchst. Zu 2) muss ich dann iwie Zeit finden...
IvicaE
Beiträge: 136
Registriert: 13 Sep 2016, 14:10

Re: opsiPackageBuilder v8.1.0 kann sich per SSH nicht verbinden

Beitrag von IvicaE »

Hallo,

ich habe jetzt mal die Passwörter einfacher gemacht und es ging erstmal nicht.
Dann habe ich statt des adminusers den pcpatch-user eingetragen mit ebenfalls einem einfachen Passwort. Das ging plötzlich!
Und dann habe ich das Passwort vom pcpatch wieder auf schwer gesetzt und es geht immer noch?!?

War der Fehler dann einfach das ich statt den pcpatch-User den adminuser gesetzt hatte?
Ich dachte der adminuser wäre der root-user und daß der eben alles darf?

Wie auch immer, wenn das nicht falsch ist (oder gar es richtig ist?) dann setze ich den pcpatch-User statt des adminusers ein und gut ist...

Vielen Dank für die Mühe und mir wurde erstmal geholfen.
pandel
Beiträge: 830
Registriert: 25 Jan 2013, 16:47

Re: opsiPackageBuilder v8.1.0 kann sich per SSH nicht verbinden

Beitrag von pandel »

Hi!

Toll! Es läuft! Das freut mich... dann lag's doch nicht am oPB, uff...

Es wundert mich jedoch, dass es mit deinem "opsiadmin" User nicht gelaufen ist. Da kann ich nur spekulieren: a) opsiadmin heisst auch die Gruppe, vielleicht gibt es da nen Konflikt, b) es gibt vielleicht eine weitere Gruppe, in der der User "opsiadmin" sein muss, damit er sich überhaupt via SSH ohne Pseudo-TTY verbinden darf...

Na ja, wenn es so für dich läuft, dann ist es ja trotzdem gut :D

Viel Spaß mit dem oPB!

Lieber Gruß
Holger
Benutzeravatar
n.wenselowski
Ex-uib-Team
Beiträge: 3194
Registriert: 04 Apr 2013, 12:15

Re: opsiPackageBuilder v8.1.0 kann sich per SSH nicht verbinden

Beitrag von n.wenselowski »

Hi,

ich mische mich hier mal ein ;)
IvicaE hat geschrieben:Wie auch immer, wenn das nicht falsch ist (oder gar es richtig ist?) dann setze ich den pcpatch-User statt des adminusers ein und gut ist...
Wir empfehlen nicht mit pcpatch zu arbeiten, sondern dedizierte User für die Verwendung anzulegen. pcpatch ist gedacht als technischer User, nicht als der, der zum Arbeiten verwendet wird!
Wie diese normalen User angelegt werden müssen steht im Getting Started.


Viele Grüße

Niko

Code: Alles auswählen

import OPSI
pandel
Beiträge: 830
Registriert: 25 Jan 2013, 16:47

Re: opsiPackageBuilder v8.1.0 kann sich per SSH nicht verbinden

Beitrag von pandel »

Danke für das offizielle Statement, Niko!

Ich mochte das nicht schon am Anfang als Platitüde raushauen, da ich erstmal wissen wollte, ob es irgendwie ans Laufen zu bekommen ist - wobei ich immernoch keine Ahnung habe, was da mit dem anderen User schief läuft, vor allem, weil er eure VM verwendet... irgendwas muss da bei der Benutzeranlage in die Binsen gegangen sein :shock:

Natürlich ist die Anlage eines sauberen, für diesen Zweck zu nutzenden, Users jetzt sinnvoll und notwendig.

Lg
Holger
Antworten