java security: vorerst DRINGEND configed lokal installieren

[SisterOfMercy]

Aber wenn tatsächlich ein neues Interface gebaut wird !!! bitte kein Flash !!! und es sollte natürlich weiterhin Plattform unabhängig bleiben.
HTML5 wäre super, da es nahezu plattformunabhängig ist.

Yes, that'd be rather stupid, replacing java with flash.
I think the java configed is fine as it is. It isn't very quick, but it works. Java can be very slow and can produce a ton of errors, but ever since Java EE exists we finally get what was promised at the end of the '90s; true platform independent programs. It still has it problems, and obstacle is molesting everything Sun stood for.

But still, to develop a new client.. It seems like a lot of effort for a little gain. I have been using MariaDB instead of MySQL, perhaps this can be mentioned in the docs, it works? Or use the psycopg2 python package to implement PostgreSQL support. You don't want to reinvent the wheel.

And perhaps think about more price differentation; I have about 20 people to support. We have three laptops that are outside of the HQ some time of the week. I can't spend 1000 euro per laptop for the WAN extension. Neither do I have any budget to support OPSI right now (it's a bloody shame!), but try to give a little bit back by contributing here.

[Schweizer]

Sehr geehrte opsi-Anwender,

ACHTUNG: Mit dem bereits für morgen (14.1.2014) angekündigten Oracle-Java-Update kann eine Webstart-Anwendung oder ein Applet nur noch gestartet werden, wenn der Code gültig signiert ist und von einem zertifizierten Server geladen wird. Daher kann der configed ohne eine entsprechende Zertifizierung nicht mehr aufgerufen werden.

Bis dahin muss mit einem lokal auf dem Admin-PC installierten configed gearbeitet werden (der völlig identisch mit dem über Webstart geladenen ist). Wir empfehlen daher DRINGEND, lokal einen configed zu installieren.

Möglicherweise verfügen Sie bereits über einen lokal installierten configed, sofern Sie die opsi-adminutils installiert haben. Damit Sie andernfalls nicht die kompletten opsi-adminutils installieren müssen, haben wir zusätzlich ein Paket opsi-configed erstellt, das Sie unter http://download.uib.de/opsi4.0/products/localboot/ finden. Bitten laden Sie es herunter, installieren es auf Ihrem Server mit dem opsi-packagemanager und setzen es auf Ihrem Admin-PC auf setup. Dann können Sie auch nach dem Java-Update wie gewohnt mit dem configed arbeiten, sofern Sie ihn über das lokale Startmenü aufrufen.

Was können Sie machen, wenn sich das Java-Update bereits eingespielt hat, Sie daher den configed nicht mehr per Webstart/Applet aufrufen können und Sie bis dahin weder das Produkt opsi-adminutils noch das neue Produkt opsi-configed installiert haben?

Möglichkeit 1: opsi-configed-Paket von http://download.uib.de/opsi4.0/products/localboot/ holen und per opsi-admin-Aufruf auf setup setzen, der Aufruf auf der Server-Kommandozeile lautet

opsi-admin -d method setProductState "opsi-configed" "FQDN_DES_CLIENTS" unknown setup

Möglichkeit 2: Den Share \\OPSISERVER\opsi_depot im Windows-Explorer verbinden und das Verzeichnis files.configed aus dem Produktverzeichnis von opsi-configed oder von opsi-adminutils einfach auf den lokalen Desktop kopieren und den Configeditor durch Doppelklick auf configed.jar starten.

Zur Erläuterung: Die Maßnahme von Oracle dient dazu, die Ausführung von schädlichem Java-Code, der von Webseiten untergeschoben wird, zu verhindern. Im opsi-Kontext, wo der Webserver im lokalen Netz steht, ist das eigentlich ein ganz unwahrscheinliches Szenario. Der kommende stable-configed wird entsprechend signiert sein, so dass, wenn die begleitende Anleitung zur Zertifikatserzeugung beachtet wird, auch Webstart und Applet wieder funktionieren werden.

Grüße
R. Röder

Hallo,
ist die aktuelle Version 4.0.4 nun bereits entsprechend signiert?

Vielen Dank für eine kurze Info.

[ueluekmen]

Hallo Schweizer,

ja, der configed von 4.0.4 ist mit einem echten Zertifikat signiert.

[Schweizer]

Ich habe das Paket opsi-configed auf einem Test-Rechner installiert.

- "opsi-Configed Local" funktioniert.
- Beim Starten von "opsi-Configed web-start" erhalte ich jedoch folgende Zertifikats-Meldung:

Die Verbindung zu dieser Website ist nicht vertrauenswürdig.
Website https://192.168.100.210:4447
Das Zertifikat ist nicht gültig und kann nicht zur Prüfung der Identität dieser Website verwendet werden.

Mehr Informationen:
Das Zertifikat zur Identifizierung der Website ist nicht vertrauenswürdig. Die Gründe werden unten aufgeführt. Fahren Sie auf eigenes Risiko fort.

Die Zertifizierungsstelle, die dieses Zertifikat ausgegeben hat, ist nicht vertrauenswürdig.

Die Anwendung wird von einer andren Site als der vom Sicherheitszertifikat angegebenen heruntergeladen.
Herunterladen von "192.168.100.210"
Erwartet wird "opsi.*****.int"

Wenn ich opsi über die nachfolgende Adresse direkt im Browser aufrufe, funktioniert dies allerdings.
https://opsi:4447/configed/


Bei den Java-Ausnahmen habe ich folgendes eingetragen (JRE 7 Update 51, 32-bit):
https://192.168.100.210:4447
https://opsi:4447


Stimmt mit meinem Zertifikat etwas nicht oder muss ich zu den Ausnahmen noch einen Eintrag hinzufügen?
Danke für eine kurze Rückmeldung.


PS: Beim Versuch einen Dateianhang hochzuladen, kommt "Kontigent für Dateianhänge ist bereits vollständig ausgenutzt"

[ueluekmen]

Hi,

die configed-Applikation ist nun mit einem echten Zertifikat signiert. Diese Meldung kommt von deinem Server, der nutzt natürlich (wenn du es nicht anders gebaut hast) ein selbstsigniertes Zertifikat. Dieser muss in die Ausnahmeliste eingefügt werden, es sei denn du hast ein echtes Zertifikat für deinen Server.

Beim Versuch einen Dateianhang hochzuladen, kommt "Kontigent für Dateianhänge ist bereits vollständig ausgenutzt"

Das haben wir bewusst so gemacht, da ansonsten das Forum überlaufen würde und wir uns das aufräumen ersparen wollten.

[Schweizer]

Wenn ich opsi über die nachfolgende Adresse direkt im Browser aufrufe, funktioniert dies allerdings.
https://opsi:4447/configed/


Bei den Java-Ausnahmen habe ich folgendes eingetragen (JRE 7 Update 51, 32-bit):
https://192.168.100.210:4447
https://opsi:4447

Der opsi-Servername lautet "opsi.domain.int" (hat die IP 192.168.100.210) und ist ja bereits in den Ausnahmen eingetragen.
Deshalb die Frage, ob mit dem opsi-Zertifikat etwas nicht stimmt.

Seltsam ist, dass es direkt über den Browser funktioniert: https://opsi:4447/configed/

[SisterOfMercy]

Der opsi-Servername lautet "opsi.domain.int" (hat die IP 192.168.100.210) und ist ja bereits in den Ausnahmen eingetragen.
Deshalb die Frage, ob mit dem opsi-Zertifikat etwas nicht stimmt.

Don't forget you have two places to import your own certificate: your browser and java. That is not the same as 'ignore this certificate', for java at least.
I get my certificates from cacert.org. I import their root and class3 certificates this way in java:

Code: Alles auswählen

"%ProgramFiles32Dir%\Java\jre7\bin\keytool.exe" -noprompt -import -alias cacert-root -keystore "%ProgramFiles32Dir%\Java\jre7\lib\security\cacerts" -trustcacerts -file "%ScriptPath%\files\root.der" -storepass "changeit"
"%ProgramFiles32Dir%\Java\jre7\bin\keytool.exe" -noprompt -import -alias cacert-class3 -keystore "%ProgramFiles32Dir%\Java\jre7\lib\security\cacerts" -trustcacerts -file "%ScriptPath%\files\class3.der" -storepass "changeit"

Or for the 64-bit version:

Code: Alles auswählen

"%ProgramFiles64Dir%\Java\jre7\bin\keytool.exe" -noprompt -import -alias cacert-root -keystore "%ProgramFiles64Dir%\Java\jre7\lib\security\cacerts" -trustcacerts -file "%ScriptPath%\files\root.der" -storepass "changeit"
"%ProgramFiles64Dir%\Java\jre7\bin\keytool.exe" -noprompt -import -alias cacert-class3 -keystore "%ProgramFiles64Dir%\Java\jre7\lib\security\cacerts" -trustcacerts -file "%ScriptPath%\files\class3.der" -storepass "changeit"

[Schweizer]

Was ist denn der Unterschied von "opsi-Configed web-start" zu https://opsi:4447/configed ?

Oder ist beides dasselbe?


Wie bereits erwähnt, kann ich nur "opsi-Configed web-start" nicht aufrufen.
Deshalb die Frage.

Vielen Dank für eine kurze Info.

[ueluekmen]

Hallo Schweizer,

der Unterschied ist der, dass wenn du direkt configed über die url aufrufst wird der configed als applet (innerhalb des Browsers) gestartet. Wenn du Webstart ausführst, wird der configed übertragen und lokal als eigenständige Applikation gestartet.

Der Vorteil bei Webstart ist, dass es angenehmer läuft, da es nicht im Browser läuft. Das selbe erreicht man im übrigen, wenn man den opsi-configed über das opsi-Paket direkt auf dem Adminpc installiert.

[Schweizer]

Super, so was in der Art dachte ich mir schon.
Vielen Dank für die Info.

opsi-configed habe ich natürlich schon lokal installiert.