forum.opsi.org

Hi,

ueluekmen hat geschrieben:Der Quellcode vom opsiclientd ist ein kompliziertes Repository, wir versuchen im moment die freien Teile des Codes sauber zu extrahieren und werden dann den opsiclientd-Code genauso wie die anderen Sourcecodes in unsere automatischen Pushjobs nach github aufnehmen. Das kann aber noch etwas dauern.

Durch die Wiederverwendung von Libs findet sich auch in python-opsi ein Teil wieder. Ich denke zumindest das Nachstellen kannst du damit versuchen,

Was der opsiclientd macht zum Verbindungsaufbau ist dann sowas (Kommentare von mir bei den nicht offensichtlichen Teilen):
Gruß

Niko

Hi,

auch hier die Frage: bringt der neue opsi-client-agent Besserung?


Gruß

Niko

Gerade getestet mit opsi-client-agent_4.0.7.9-2.opsi: Das Problem besteht selbst bei komplett frischer Win7-Installation immer noch.

Für's Archiv: mit Version 4.0.7.19-1 aus testing scheint es wieder zu klappen.

zu früh gefreut: Hängt sich mit Zertifikatprüfung immer noch weg...

Wir hatten es auf deinen Hinweis mal kurz ausprobiert. Bei uns läuft das durch. Aber wir haben an den Ecken nicht wirklich was gemacht. Manchmal erholt sich das auch, weil mit jedem neuen Build auch die restlichen Libs aktualisiert werden. Wir bleiben dran und versuchen das Feature in einer der nächsten größeren Releases wieder zu reparieren.

Gibt es denn keine Idee, was da überhaupt kaputt sein könnte? Kann es an der OPSI-Serverkonfiguration liegen oder am Zertifikatformat? Ich bin da echt ratlos..

Hauptsächlich liegt es dadran, dass wir den Serverseitigen Code anpassen mussten. Die vorherige Implementation hat zu einem segfault geführt und den komplett webservice in den Abgrund gejagt. Der Clientseitige Code ist davon gleichermaßen betroffen, weil beide Teile auf der selben Basis beruhen. Durch umstieg auf der Clientseite auf eine aktuelle py2.7 ist auch der ganze SSL und Securitystack von py3 zurückportiert worden. Jetzt schmiert die Serverseite bei den Anfragen nicht mehr ab, aber der Client scheint sich auf zu hängen. Wir werden als nächstes die beiden Teile (Server und Client) isolieren und nur für sich selbst analysieren. Da sich aber auch in diesem Themenspektrum ständig was ändert (Länge der Zertifikate, Art der Zertifkate, Art der Validierung) ist es schwer direkt eine Lösung zu finden. Im Rahmen von 4.0.x werden wir das nicht mehr lösen, aber wir hoffen durch die Arbeiten, eventuell eine Lösung für einer der nächsten Versionen zu finden. Das ganze hängt natürlich auch von der Finanzierung ab. Wir hatten noch keinen zahlenden Supportkunden, der auf einen Fix bestanden hat, dementsprechend können wir das Problem auch immer nur nebenbei angehen.

Aber das heißt, dass das Problem auch anderweitig bekannt ist? Ich hatte bis jetzt den Eindruck, dass das sonst niemand reproduzieren konnte.

Das Problem ist uns bekannt und wir haben das im Posting bei der Veröffentlichung von 4.0.7 auch angekündigt und darum gebeten vor dem Upgrade das verify_server_cert ab zu schalten. Leider haben wir diesmal irgendwie verpennt, dass in die Releasenotes von 4.0.7 zu schreiben. Wir versuchen das gerade nach zu holen. Für Kunden, die in diese Falle getappt sind, haben wir mit unserer CA-Implementation eine Möglichkeit diese Clients wieder zurück zu holen. Wie gesagt, wir mussten uns entscheiden, ob wir den Serverseitigen Code anpassen (selbe Problematik wie auf der Clientseite) und uns war ein stabiler Webservice wichtiger als dieses Feature.