Guten Morgen,
wie kann man im neuen opsi-client-agent das service_password verschlüsseln?
Die bisherige Methode, die ich hier im Forum gefunden hatte (viewtopic.php?f=7&t=1219&p=6081&hilit=v ... seln#p6081) scheint ja abgekündigt zu sein.
Im Handbuch und hier im Forum habe ich leider auch nichts dazu finden können.
Ich gehe mal davon aus dass es über den Eintrag service_hidden_password = in der config.ini geschieht, aber wie denn genau?
MfG
service_password verschlüsseln
Re: service_password verschlüsseln
Hey,
meinst du, bei der Abfrage des Benutzers und des Passwortes (service_setup.cmd)
bei mir wird es mit Sternchen angezeigt.
Leider kann ich heute nicht mehr schauen, welche Parameter gesetzt sind.
Gruß Kerstin
meinst du, bei der Abfrage des Benutzers und des Passwortes (service_setup.cmd)
bei mir wird es mit Sternchen angezeigt.
Leider kann ich heute nicht mehr schauen, welche Parameter gesetzt sind.
Gruß Kerstin
Re: service_password verschlüsseln
Hi,
ja - ich bin noch nicht dazugekommen das zu dokumentieren.
Wenn in service_hidden_password etwas steht wird service_password ignoriert und der Eintrag von service_hidden_password base64 decodiert und als password verwendet.
Der aktuelle winst hat entsprechende Funktionen für base64 de/encode. Die kann man z.B. nutzen um das Passwort zu kodieren.
Das ist zwar jetzt keine echte Verschlüsselung aber besser als ein Klartextpasswort.
gruss
d.oertel
ja - ich bin noch nicht dazugekommen das zu dokumentieren.
Wenn in service_hidden_password etwas steht wird service_password ignoriert und der Eintrag von service_hidden_password base64 decodiert und als password verwendet.
Der aktuelle winst hat entsprechende Funktionen für base64 de/encode. Die kann man z.B. nutzen um das Passwort zu kodieren.
Das ist zwar jetzt keine echte Verschlüsselung aber besser als ein Klartextpasswort.
gruss
d.oertel
opsi support - uib gmbh
For productive opsi installations we recommend support contracts.
http://www.uib.de
http://www.opsi.org
For productive opsi installations we recommend support contracts.
http://www.uib.de
http://www.opsi.org
Re: service_password verschlüsseln
Hallo Herr Örtel,
vielen Dank für die Info.
Ich habe es eben getestet und ein base64 encodiertes Passwort in die Zeile service_hidden_password eingetragen.
Bei der Installation des opsi-client-agents bin ich jedoch auf folgenden Fehlermeldung gestoßen:
Sektion sub_read_configuration
;
Remaining char(s) not allowed here
Das ist die bemängelte Zeile aus der Setup.ins:
Set $INST_Service_Password$ = base64DecodeStr($INST_service_hidden_password$);
Nach dem Löschen des Semikolon am Zeilenende lief eine neuer Testlauf fehlerfrei durch.
Mir ist aufgefallen dass sich auf allen Clients in %SYSTEMDRIVE%\tmp\eine Kopie des cfg Ordners mit der darin enthaltenen config.ini befindet. Wird dieser Ordner nach der Installation des opsi-client-agents eigentlich noch benötigt? Er ist nämlich der eigentliche Grund warum ich das Passwort in der config.ini verschlüsseln möchte. Der tmp Ordner ist ja für alle einsehbar und eine config Datei die ein Passwort enthält (wenn auch Base64 encodiert) sollte meiner Meinung nach nicht einfach dort herum liegen, vor allem nicht wenn sie nur ein Überbleibsel einer Installation ist, und nicht weiter verwendet wird.
MfG
vielen Dank für die Info.
Ich habe es eben getestet und ein base64 encodiertes Passwort in die Zeile service_hidden_password eingetragen.
Bei der Installation des opsi-client-agents bin ich jedoch auf folgenden Fehlermeldung gestoßen:
Sektion sub_read_configuration
;
Remaining char(s) not allowed here
Das ist die bemängelte Zeile aus der Setup.ins:
Set $INST_Service_Password$ = base64DecodeStr($INST_service_hidden_password$);
Nach dem Löschen des Semikolon am Zeilenende lief eine neuer Testlauf fehlerfrei durch.
Mir ist aufgefallen dass sich auf allen Clients in %SYSTEMDRIVE%\tmp\eine Kopie des cfg Ordners mit der darin enthaltenen config.ini befindet. Wird dieser Ordner nach der Installation des opsi-client-agents eigentlich noch benötigt? Er ist nämlich der eigentliche Grund warum ich das Passwort in der config.ini verschlüsseln möchte. Der tmp Ordner ist ja für alle einsehbar und eine config Datei die ein Passwort enthält (wenn auch Base64 encodiert) sollte meiner Meinung nach nicht einfach dort herum liegen, vor allem nicht wenn sie nur ein Überbleibsel einer Installation ist, und nicht weiter verwendet wird.
MfG
Re: service_password verschlüsseln
Hi,
danke für den Bug-Hinweis (mit dem ';' )- wird umgehend gefixed.
Im Moment (Beta/RC) steht im setup.ins noch (ganz oben)
Für den Produktivbetrieb sollte man das auf 'off' stellen. Dann finden sich diese Dateien auch nicht unter c:\tmp\cfg.
Das nächste opsi-client-agent paket wird entsprechend mit der Schalterstellung 'off' ausgeliefert.
gruss
d.oertel
danke für den Bug-Hinweis (mit dem ';' )- wird umgehend gefixed.
Im Moment (Beta/RC) steht im setup.ins noch (ganz oben)
Code: Alles auswählen
Set $INST_Debug$ = "on"Das nächste opsi-client-agent paket wird entsprechend mit der Schalterstellung 'off' ausgeliefert.
gruss
d.oertel
opsi support - uib gmbh
For productive opsi installations we recommend support contracts.
http://www.uib.de
http://www.opsi.org
For productive opsi installations we recommend support contracts.
http://www.uib.de
http://www.opsi.org