[gelöst] Clients melden "authentication error"

Antworten
reduef
Beiträge: 17
Registriert: 10 Nov 2017, 20:15

[gelöst] Clients melden "authentication error"

Beitrag von reduef »

Hallo,
seit der Aktualisierung unseres Opsi-Servers auf 4.0.7.28 verweigern alle Clients eine Verbindung mit folgender Fehlermeldung:
"Opsi authentication error: Forbidden: Backend authentication error: OpsiHostKey not found for host XXX"
Der Versuch, einen Client per Netboot am Opsi-Server anzumelden, wird mit folgendem Fehler quittiert:
"Opsi authentication error: Application 'opsi linux bootimage 20170508' on client XXX did neither supply session id nor password (error on server)"

Der Opsi-Server läuft als VM, ein Login ist problemlos möglich. Der opsi config editor ist verfügbar und verbindet sich ohne Fehler mit dem Depot.

An welcher Stelle kann ich suchen, um den Fehler zu finden. Leider kenne ich mich mit Ubuntu noch nicht wirklich gut aus, sodass eine ausführliche Antwort hilfreich wäre.

Vielen Dank!
Zuletzt geändert von reduef am 22 Nov 2017, 20:52, insgesamt 1-mal geändert.
reduef
Beiträge: 17
Registriert: 10 Nov 2017, 20:15

Ergänzung ...

Beitrag von reduef »

Nach einigem Suchen habe ich heute gelesen, dass ich die Datei "etc/opsi/pckeys" prüfen sollte. Hier müssten wohl eigentlich alle Clients inklusive Schlüssel aufgeführt sein. Leider ist diese Datei bei mir leer ...
thomas.besser
Beiträge: 455
Registriert: 09 Sep 2009, 09:40

Re: Clients melden "authentication error"

Beitrag von thomas.besser »

Hi,

ich habe leider keine Ahnung, wie du diesen Zustand deines OPSI-Servers erreicht haben könntest. Auch deine Versionsnummer des "OPSI-Servers" kann ich nicht nachvollziehen. Wo nimmst du die 4.0.7.28 denn her?

Hier mal die Paketversionen des hiesigen OPSI-Servers (Testing-Zweig!):

Code: Alles auswählen

dpkg -l "opsi*" | grep ii
ii  opsi-atftpd             0.7.dfsg-7   amd64        advanced TFTP server - opsi version with pcre, fifo and max-blksize patches
ii  opsi-configed           4.0.7.5.22-2 all          OPSI config editor
ii  opsi-depotserver        4.0.7.3-2    all          opsi depotserver configuration package
ii  opsi-linux-bootimage    20171012-1   amd64        opsi bootimage for netboot tasks.
ii  opsi-utils              4.0.7.18-7   all          utilites for working with opsi.
ii  opsiconfd               4.0.7.14-1   all          opsi configuration service
ii  opsipxeconfd            4.0.7.9-1    all          opsi pxe configuration daemon
Du hast ein 'opsi-backup' (siehe https://download.uib.de/opsi4.0/doc/htm ... ual-backup)? Dann findest du darin die Datei "/etc/opsi/pckeys".

Gruß
Thomas
reduef
Beiträge: 17
Registriert: 10 Nov 2017, 20:15

Re: Clients melden "authentication error"

Beitrag von reduef »

Hallo Thomas,
auf die von dir genutzte Weise erhalte ich ähnliche Versionsnummern (die 4.0.7.28 findet sich im opsi config editor bzw. in /etc/opsi/version).
Leider existiert kein nutzbares Backup, sodass ich die pckeys nicht rückspielen kann.

Der Status ist dadurch entstanden, dass bei einem Update die virtuelle Festplatte "vollgelaufen" ist. Offenbar wurden daher Dateien nicht geändert / geschrieben.

Problematisch erscheint mir, dass ich von einem Client aus nicht einmal bis zu hwinvent o.ä. komme und somit auf diese Weise auch keine Clients neu registrieren kann.

Viele Grüße,
Uwe
thomas.besser
Beiträge: 455
Registriert: 09 Sep 2009, 09:40

Re: Clients melden "authentication error"

Beitrag von thomas.besser »

reduef hat geschrieben: auf die von dir genutzte Weise erhalte ich ähnliche Versionsnummern (die 4.0.7.28 findet sich im opsi config editor bzw. in /etc/opsi/version).
Ok, aktueller 'stable' Zweig ist hier 4.0.7.45.
Leider existiert kein nutzbares Backup, sodass ich die pckeys nicht rückspielen kann.
Das ist schlecht.
Der Status ist dadurch entstanden, dass bei einem Update die virtuelle Festplatte "vollgelaufen" ist. Offenbar wurden daher Dateien nicht geändert / geschrieben.
Ups, das ist noch schlechter. Und du hast dir von der virtuellen Festplatte _vor_ dem Update keine Kopie oder darin einen Snapshot angelegt?
Problematisch erscheint mir, dass ich von einem Client aus nicht einmal bis zu hwinvent o.ä. komme und somit auf diese Weise auch keine Clients neu registrieren kann.
[/quote]

Der OPSI-Server selbst hat in /etc/opsi/pckeys auch einen Schlüssel für sich selbst hinterlegt. Der ist bei dir dann auch futsch und könnte die Probleme erklären.

Gruß
Thomas
reduef
Beiträge: 17
Registriert: 10 Nov 2017, 20:15

Re: Clients melden "authentication error"

Beitrag von reduef »

Ich hatte einen Snapshot angefertigt, diesen dann aber vorschnell wieder entfernt, nachdem komischerweise beim ersten Neubooten des Opsi soweit alles in Ordnung schien (das Update eines Clients hatte da ohne Fehlermeldung funktioniert) ...

Ok, also wenn ich zusammenfasse, müsste ich
a) den Opsi dazu bringen, einen Key für sich selbst in der pckeys anzulegen,
b) den Clients beibringen, diesen Key zu akzeptieren,
c) jeden Client neu inventarisieren, damit er inkl. individuellem Key in die pckeys eingetragen wird.

Bleibt die Frage, wie ich das bewerkstellige bzw. wo ich dazu Dokumentationen finde ...
Benutzeravatar
n.wenselowski
Ex-uib-Team
Beiträge: 3194
Registriert: 04 Apr 2013, 12:15

Re: Clients melden "authentication error"

Beitrag von n.wenselowski »

Hi,
reduef hat geschrieben:Ich hatte einen Snapshot angefertigt, diesen dann aber vorschnell wieder entfernt, nachdem komischerweise beim ersten Neubooten des Opsi soweit alles in Ordnung schien (das Update eines Clients hatte da ohne Fehlermeldung funktioniert) ...
Mit opsi-backup gibt es ein Tool für Backups von opsi-Servern. Diese sind in der Regel winzig und ich kann jedem nur empfehlen das zu verwenden!

Ok, also wenn ich zusammenfasse, müsste ich
a) den Opsi dazu bringen, einen Key für sich selbst in der pckeys anzulegen,
b) den Clients beibringen, diesen Key zu akzeptieren,
c) jeden Client neu inventarisieren, damit er inkl. individuellem Key in die pckeys eingetragen wird.

Bleibt die Frage, wie ich das bewerkstellige bzw. wo ich dazu Dokumentationen finde ...[/quote]
a) opsi-setup --init-current-config
b & c) Jeder Client sollte seinen eigenen Key verwenden und nicht die Credentials des opsi-Servers.
Ein einfacher Weg ist den Agent neu auf die Rechner deployen.
Je nach Anzahl der Rechner willst kannst du auch die Keys von den Clients ansammeln und diese Informationen wieder in opsi eintragen.
Zu beidem findest du Infos im Getting Started, u.a. Deployment Agent, Anlage Clients per CLI. Den Speicherort des Keys auf den Clients gibt es im Handbuch.


Gruß

Niko


PS: Wir können zwar im Support keine fehlenden Backups herzaubern, aber zielgerichtete Hilfestellung anbieten.

Code: Alles auswählen

import OPSI
reduef
Beiträge: 17
Registriert: 10 Nov 2017, 20:15

Re: Clients melden "authentication error"

Beitrag von reduef »

Hallo und vielen Dank für die Tipps!

Das Anlegen eines neuen Keys für den Opsi-Server hat prima geklappt - es tauchte dann auch sofort ein Eintrag in der pckeys auf. Danach ging es erst einmal nicht weiter, bis ich daraufgekommen bin, dass es wohl zusätzlich ein Problem mit den Rechten der Datei pckeys gab. Nach dem Anpassen der Rechte konnte ich dann hostname und key eines Clients in die pckeys schreiben und damit war der Client auch wieder fehlerfrei eingebunden.

Was allerdings nicht geklappt hatte, war das Deployen des Agents auf den Client. Zwar lief die Installation fehlerfrei durch, nach dem Reboot kam aber dennoch keine Verbindung zustande. Grund hierfür war, dass beim Deploy kein Eintrag in die pckeys vorgenommen wurde. Anscheinend funktioniert hier etwas nicht so, wie es sollte ...?!

Auf jeden Fall kann ich nun - in entsprechender Kleinarbeit - alle Clients wieder an den Opsi bringen ...

Viele Grüße,
Uwe
reduef
Beiträge: 17
Registriert: 10 Nov 2017, 20:15

Re: [gelöst] Clients melden "authentication error"

Beitrag von reduef »

Habe mir nun ein Skript gebastelt und damit die Namen und Keys aller Clients ausgelesen. Nach dem Übertragen in die pckeys und dem nochmaligen Setzen der Rechte funktioniert nun wieder alles wie vorher. Vielen Dank für die Hilfe! :D
Antworten