opsi 4.1: opsi-configed startet nicht über javaws

Antworten
dassit-steffens
Beiträge: 15
Registriert: 24 Feb 2010, 11:53

opsi 4.1: opsi-configed startet nicht über javaws

Beitrag von dassit-steffens »

Hallo,

nach dem Update auf opsi 4.1 kann der opsi-configed nicht mehr mittels Java Web Start (javaws) aufgerufen werden. Stattdessen startet javaws, der Progressbar läuft bis 69% und dann hängt das ganze.

Server: Ubuntu 16.04
Client: Linux (Mate) und Windows

Der OPSI Server selbst läuft ohne Probleme. opsi-admin funktioniert, opsi-configed lokal auf dem OPSI Server gestartet funktioniert auch.

Javaws Cache Verzeichnis löschen führt zu keiner Veränderung.

Aufruf mittels "javaws -verbose https://opsi-server:4447/configed.jnlp" zeigt, dass opsi-configed gar nicht gestartet wird (ohne Verbose kommen auch gar keine Ausgaben), sondern er versucht, commons-io.jar und configed.jar zu aktualisieren.

Die gekürzte Ausgabe sieht so aus:

Code: Alles auswählen

...
Connecting https://opsi-server:4447/configed/swingx.jar
Adding sun.net.www.protocol.https.DelegateHttpsURLConnection:https://opsi-server:4447/configed/swingx.jar
done https://opsi-server:4447/configed/swingx.jar
isCached: remote:193816 cached:193816
isCurrent:isCached true
isCurrent:lastModified cache:1516974000000 actual:1516974000000
isCurrent: https://opsi-server:4447/configed/commons-io.jar = true
Disconnecting sun.net.www.protocol.https.DelegateHttpsURLConnection:https://opsi-server:4447/configed/commons-io.jar
Removed sun.net.www.protocol.https.DelegateHttpsURLConnection:https://opsi-server:4447/configed/commons-io.jar
isCached: remote:4896559 cached:3535360
isCurrent:isCached false
isCurrent: https://opsi-server:4447/configed/configed.jar = false
isCached: remote:4896559 cached:3535360
Disconnecting sun.net.www.protocol.https.DelegateHttpsURLConnection:https://opsi-server:4447/configed/configed.jar
Removed sun.net.www.protocol.https.DelegateHttpsURLConnection:https://opsi-server:4447/configed/configed.jar
Connecting https://opsi-server:4447/configed/configed.jar
Adding sun.net.www.protocol.https.DelegateHttpsURLConnection:https://opsi-server:4447/configed/configed.jar
done https://opsi-server:4447/configed/configed.jar
Selecting proxy for: https://opsi-server:4447/configed/configed.jar
Selected proxies: [DIRECT]
isCached: remote:1393958 cached:794624
isCurrent:isCached false
isCurrent: https://opsi-server:4447/configed/swingx.jar = false
isCached: remote:1393958 cached:794624
Disconnecting sun.net.www.protocol.https.DelegateHttpsURLConnection:https://opsi-server:4447/configed/swingx.jar
Removed sun.net.www.protocol.https.DelegateHttpsURLConnection:https://opsi-server:4447/configed/swingx.jar
Connecting https://opsi-server:4447/configed/swingx.jar
Adding sun.net.www.protocol.https.DelegateHttpsURLConnection:https://opsi-server:4447/configed/swingx.jar
done https://opsi-server:4447/configed/swingx.jar
Selecting proxy for: https://opsi-server:4447/configed/swingx.jar
Selected proxies: [DIRECT]
Downloading https://opsi-server:4447/configed/configed.jar using https://opsi-server:4447/configed/configed.jar (encoding : null)
Downloading file: https://opsi-server:4447/configed/configed.jar into: /home1/user/.cache/icedtea-web/cache/2/https/opsi-server/configed/configed.jar
isCached: remote:4896559 cached:3535360
isCurrent:isCached false
Downloading https://opsi-server:4447/configed/swingx.jar using https://opsi-server:4447/configed/swingx.jar (encoding : null)
Downloading file: https://opsi-server:4447/configed/swingx.jar into: /home1/user/.cache/icedtea-web/cache/4/https/opsi-server/configed/swingx.jar
isCached: remote:1393958 cached:794624
isCurrent:isCached false
Hier endet die Ausgabe, und es passiert nichts mehr.

Auf einen anderen (frisch installierten) Testsystem (in einem anderen Netz) funktioniert es. Dort geht es danach wie folgt weiter:

Code: Alles auswählen

 ...
Jar found at /var/tmp/user/.cache/icedtea-web/cache/2/https/opsi-test-server/configed/configed.jarhas been verified as SIGNED_OK
Jar found at /var/tmp/user/.cache/icedtea-web/cache/4/https/opsi-test-server/configed/swingx.jarhas been verified as SIGNED_OK
Jar found at /var/tmp/user/.cache/icedtea-web/cache/3/https/opsi-test-server/configed/commons-io.jarhas been verified as SIGNED_OK
CN=uib gmbh,O=uib gmbh,STREET=Bonifaziusplatz 1B,L=Mainz,ST=Rheinland-Pfalz,C=DE,1.3.6.1.4.1.311.60.2.1.1=#13054d61696e7a,1.3.6.1.4.1.311.60.2.1.2=#130f526865696e6c616e642d5066616c7a,1.3.6.1.4.1.311.60.2.1.3=#13024445,2.5.4.5=#13084852422036393432,2.5.4.15=#0c1450726976617465204f7267616e697a6174696f6e in cacerts gefunden (/home/user/.config/icedtea-web/security/trusted.certs)
CN=GlobalSign,O=GlobalSign,OU=GlobalSign Root CA - R3 in cacerts gefunden (/usr/lib/jvm/java-8-openjdk-amd64/jre/lib/security/cacerts)
App already has trusted publisher: true
App already has trusted publisher: true
Ending check for signed JNLP file...
App already has trusted publisher: true
App already has trusted publisher: true
Trusted Only manifest attribute not found. Continuing.
Die Codebasis stimmt mit der Codebasis im Manifest überein und die Anwendung ist signiert. Fahre fort. Um Einzelheiten zu erfahren siehe: http://docs.oracle.com/javase/7/docs/technotes/guides/jweb/security/no_redeploy.html.
Found alaca URLs to be verified
 - https://opsi-test-server:4447/configed
 - https://opsi-test-server:4447
...
Workaround für das Produktiv-System: man kopiert sich Dateien commons-io.jar und configed.jar in sein lokales javaws Cache Verzeichnis. Danach funktioniert es.

Meine Frage:
* gibt es Leute, die ein ähnliches Problem hatten, speziell nach dem Update auf opsi 4.1?

gruss,
Jörg Steffens
Benutzeravatar
n.wenselowski
Ex-uib-Team
Beiträge: 3194
Registriert: 04 Apr 2013, 12:15

Re: opsi 4.1: opsi-configed startet nicht über javaws

Beitrag von n.wenselowski »

Hallo Jörg,

ich würde bei dem was du beschreibst auf das Problem mit TLS tippen, was einige User haben. In dem Thread sind Möglichkeiten zum Umgang beschrieben - helfen die dir weiter?

Falls ihr den Configed dauerhaft auf den Rechnern nutzt, dann empfehlen wir die Verwendung einer lokalen Installation - einfach per opsi anstoßen oder installer.


Viele Grüße

Niko

PS: Toller Talk auf der opsiconf!

Code: Alles auswählen

import OPSI
dassit-steffens
Beiträge: 15
Registriert: 24 Feb 2010, 11:53

Re: opsi 4.1: opsi-configed startet nicht über javaws

Beitrag von dassit-steffens »

Vielen Dank für die gute und schnelle Antwort!
Die Einstellung
accepted ciphers = AES128-GCM-SHA256
in der "service" Sektion in /etc/opsi/opsiconfd.conf hat das Problem tatsächlich behoben.
Man kann es jetzt zwar nicht mehr mit Firefox aufrufen, aber direkt mit javaws funktioniert es wie es soll!
Falls ihr den Configed dauerhaft auf den Rechnern nutzt, dann empfehlen wir die Verwendung einer lokalen Installation
Ich bin mir bewusst, dass man das machen kann, aber ist es auch besser? Ja, man vermeidet javaws Probleme, hat aber den Vorteil das man immer automatisch die aktuelle Version verwendet.
PS: Toller Talk auf der opsiconf!
Besten Dank. Jederzeit gerne wieder.
Benutzeravatar
ueluekmen
uib-Team
Beiträge: 1939
Registriert: 28 Mai 2008, 10:53

Re: opsi 4.1: opsi-configed startet nicht über javaws

Beitrag von ueluekmen »

Hallo Jörg,

eine weitere Möglichkeit ist auch, den Webstart nicht über den opsiwebservice direkt, sondern über apache zum Beispiel zu machen. Ich habe das mal Probeweise gemacht und funktioniert gut. Wollte mal eine kleine Anleitung schreiben, aber kennst du ja ;)

In der Zwischenzeit sind wir etwas schlauer, das Problem liegt tief in python2 Vergraben. Ich könnte das jetzt genau erklären, aber ich erspare jetzt mal den Lesern einiges ;).

Die Accepted Ciphers sind gut, aber damit legt man das ganze Fest auf eine Cipher und umgeht die Ciphersuite. Wir haben hier und da Nebenwirkungen festgestellt, also bei sowas sollte man die Augen offen halten.

Wir hoffen durch den Umstieg auf python3 das Problem an der Wurzel zu packen, aber da ist noch etwas Weg bis dahin.

Du hast es ja erst mal gelöst, aber zur Vollständigkeit wollte ich das noch anmerken. ;)
opsi support - uib gmbh
For productive opsi installations we recommend support contracts.
http://www.uib.de
Antworten