opsiconfd 4.2 & PermissionError SSL-Key

Antworten
thomas.besser
Beiträge: 455
Registriert: 09 Sep 2009, 09:40

opsiconfd 4.2 & PermissionError SSL-Key

Beitrag von thomas.besser »

Hallo,

unser Paketentwicklungsserver läuft aktuell unter Debian 10 und OPSI 4.2 (stable).

Code: Alles auswählen

dpkg -l "*opsi*" | grep ii
ii  opsi-linux-bootimage    20210618-1   all          opsi bootimage for netboot tasks.
ii  opsi-linux-support      4.2.0.0-1    all          Configure system to be able to deploy Linux with opsi.
ii  opsi-server-full        4.2.0.54-1   all          opsi server
ii  opsi-tftpd-hpa          5.2.8-72     amd64        HPA's tftp server
ii  opsi-utils              4.2.0.105-1  amd64        Utilities for working with opsi
ii  opsi-windows-support    4.2.0.0-1    all          Install utilities useful for deploying Windows with opsi.
ii  opsiconfd               4.2.0.180-1  amd64        opsi configuration service
ii  opsipxeconfd            4.2.0.18-1   amd64        opsi pxe configuration service
Ich benutze DFN-Serverzertifikate (inkl. ClientAuth für zertifikatsbasiere Authentifizierung bei o4i) für den opsiconfd. Außerdem pflege ich die Zertifikate mittels ca-certificates im System. Deshalb enthält die "/etc/opsi/opsiconfd.conf":

Code: Alles auswählen

skip-setup = [ssl,file_permissions]
ssl-ca-cert = /etc/ssl/certs/kit-ca-chain.pem
ssl-server-cert = /etc/ssl/certs/opsi-test.arch.kit.edu.pem
ssl-server-key = /etc/ssl/private/opsi-test.arch.kit.edu.key
Eigentlich funktioniert (fast) alles. Anmeldung von einem Linux-Client mit dem "config editor" und via pam_ldap schlägt jeden Morgen die ersten paar Male fehl und funktioniert dann ohne weiteres zutun. Beim Nachgehen dieses Problems ist folgender Logeintrag in "/var/log/opsi/opsiconfd/opsiconfd.log" aufgefallen:

Code: Alles auswählen

PermissionError: [Errno 13] Permission denied: '/etc/ssl/private/opsi-test.arch.kit.edu.key'
[3] [2021-07-26 07:53:14.743] [               ] [Errno 13] Permission denied: '/etc/ssl/private/opsi-test.arch.kit.edu.key'   (manager.py:139)
Traceback (most recent call last):
  File "opsiconfd/manager.py", line 135, in async_main
  File "opsiconfd/manager.py", line 104, in check_server_cert
  File "opsiconfd/ssl.py", line 373, in setup_server_cert
  File "opsiconfd/ssl.py", line 165, in store_local_server_key
  File "opsiconfd/ssl.py", line 89, in store_key
PermissionError: [Errno 13] Permission denied: '/etc/ssl/private/opsi-test.arch.kit.edu.key'
Nachvollziehen kann ich das nicht, denn...

Code: Alles auswählen

ls -l /etc/ssl/private/opsi-test.arch.kit.edu.key
-rw-r----- 1 root ssl-cert 3272 Apr 21  2020 /etc/ssl/private/opsi-test.arch.kit.edu.key

Code: Alles auswählen

ls -ld /etc/ssl/private/
drwx--x--- 1 root ssl-cert 94 Apr 21  2020 /etc/ssl/private/

Code: Alles auswählen

getent group ssl-cert
ssl-cert:x:115:opsiconfd
Auch kann die URL https://opsi-test.arch.kit.edu:4447/admin/ aufgerufen werden und das richtige Zertifikat wird angezeigt.

Was löst den Fehler aus? Ein Bug?

Danke und Gruß
Thomas
Antworten