Aktualisierte Pakete in stable und testing

Neuigkeiten und Ankündigungen
Antworten
Benutzeravatar
n.wenselowski
Ex-uib-Team
Beiträge: 3194
Registriert: 04 Apr 2013, 12:15

Aktualisierte Pakete in stable und testing

Beitrag von n.wenselowski »

Sehr geehrte opsi-Anwenderinnen und Anwender,

wir haben eine Reihe von Aktualisierungen für opsi in den Bereichen stable und testing veröffentlicht.

Diese Aktualisierungen addressieren Probleme, die sich nach dem Service Release 4.0.7 bemerkbar gemacht haben.

In einigen Umgebungen schlägt die SSL-Kommunikation zwischen dem opsi-configed und einem opsi-Server fehl. Das Laden der Daten startet zunächst mit einigen erfolgreichen Aufrufen, aber später stoppt es und der configed hängt. Wir vermuten, dass diesem Phänomen dasselbe Probleme zugrundeliegt, wenn, wie gelegentlich gemeldet, das Holen der configed.jar für den Webstart-Service scheitert

Das Problem scheint dadurch ausgelöst zu sein, dass Java 8 auf der Client-Seite und Ubuntu 16.04 oder UCS 4.1 auf Serverseite läuft und beide annehmen, dass die SSL-Version TLSv1.2 verwendet wird, aber dies nicht funktioniert. Die älteren öffentlich verfügbaren Versionen von Java 7 sowie die Pre-Releases von Java 9 scheinen von dem Problem nicht betroffen. Daher kann das Problem umgangen werden, indem eine von diesen Javaversionen verwendet wird. We liefern deshalb im Paket die Javaversion 1.7_079 mit. Setzen des neuen Property 'java_static' auf true bewirkt, dass dieses Java-Binary im configed-Verzeichnis installiert wird und der configed mit der javaw.exe aus ihm startet. Für das Kommunikationsproblem beim Java Webstart empfehlen wir ebenfalls den Wechsel zu einer älteren oder neueren Java-Version.

Außer dem Wechsel der verwendeten Java-Version kann auch für Java 1.8 ein Downgrade der SSL-Version auf TLS v1 herbeigeführt werden. Es genügt, dafür die Java Systemeigenschaft 'https.protocols' auf "TLSv1" zu setzen. Das Localboot-Poduct opsi-configed hat deshalb das neue Property 'fallback_tlsv1'. Wenn es auf true gesetzt wird, erzeugt das Setup-Skript einen Startmenü-Eintrag der die benötigte Systemeigenschaft setzt.

Offenkundig können allerdings Property-Werte auf dem normalen Weg nicht neu gesetzt werden bzw. die erforderliche Neuinstallation des Produktes nicht angestoßen werden, wenn der opsi-configed gar nicht startet.

Stattdessen kann dann
* entweder manuell der Startmenüeintrag des lokalen opsi-configed bearbeitet werden, so dass er dann lautet
javaw.exe -Dhttps.protocols="TLSv1" -jar configed.jar ...

* oder das Property 'fallback_tlsv1' kann mit mit einem opsi-admin-Call bearbeitet und das Produkt auf setup gesetzt werden, z.B. mit
opsi-admin -d method setProductProperty "opsi-configed" "fallback_tlsv1" true "FQDN-OF-CLIENT"
opsi-admin -d method setProductActionRequest "opsi-configed" "FQDN-OF-CLIENT" "setup"


Die neuen Versionen von swaudit und opsi-winst (aka. opsi-script) beheben Probleme beim Senden von Software-Audit-Daten zum opsi-Server.
Diese Version von swaudit beinhaltet eine Re-Implementierung unter Verwendung der neuen JSON-Funktionen, welche in den neuen Versionen von opsi-script kamen.


Beim Servicerelease 4.0.7 wurde der komplette Unterbau vom opsi-client-agent (Windows) umgestellt. Dies war notwendig, da der frühere Unterbau ein Update der SSL-Komponenten vom opsi-client-agent unmöglich gemacht haben.
Leider scheint dieses Update die Möglichkeit Server-Zertifikate zu verifizieren kaputt gemacht zu haben und kann zu abstürzenden opsi-client-agent führen.
Wir arbeiten an der permanenten Behebung dieses Problems.

Als temporäre Zwischenlösung, um ein problemloses Update auf 4.0.7 zu ermöglichen, schlagen wir vor verify_server_cert for der Aktualisierung zu deaktivieren.
Um sicher zu stellen, dass alle Clients das neue Setting erhalten haben, stellen wir das Produkt opsi-disable-verifyservercert, welches im Contribute-Bereich unter http://download.uib.de/opsi4.0/products ... l-package/ gefunden werden kann, zur Verfügung.
Dieses Paket deaktiviert das Setting lokal und entfernt zwischengespeicherte Zertifikate. Unsere Empfehlung ist das Setting auf der Server-Seite zu deaktivieren und dann das Produkt bei Clients mit aktivem Settting auf 'once' oder 'setup' zu setzen. Nachdem alle betroffenen Clients den Status 'installed' for dieses Paket zeigen, kann ein Update durchgeführt werden.


Nach stable wurden die folgenden Versionen veröffentlicht:

Server-seitige Pakete:
* opsi-linux-bootimage 20160921-1
* opsi-utils 4.0.7.7-1
* python-opsi 4.0.7.26-1


Client-seitige Pakete:

* opsi-configed 4.0.7.3.5-1
* opsi-client-agent 4.0.7.9-2
* opsi-winst 4.11.6.5-1
* opsi-winst-test 4.11.6.4-1
* swaudit 4.0.7.2-1
* jedit 5.3.0-2


Nach testing wurden die folgenden Versionen veröffentlicht:

Client-seitige Pakete:
* opsi-client-agent 4.0.7.10-1
* opsi-winst 4.11.6.8-1
* opsi-wim-capture 4.0.7.1-2


Mit freundlichen Grüßen

Niko Wenselowski


PS: Changelogs

Das Changelog für python-opsi kann unter folgender Adresse gefunden werden: https://github.com/opsi-org/python-opsi ... /changelog
Das Changelog für opsi-utils kann unter folgender Adresse gefunden werden: https://github.com/opsi-org/opsi-utils/ ... /changelog


opsi-linux-bootimage (20160921-1) testing; urgency=medium

* added support for enx<MACADDRESS> named network devices
* updated internal python-opsi-version
* /etc/init.d/opsi doesn't fail when network device is not connected
* dhclient timeout is now set to 30 seconds

-- Mathias Radtke <m.radtke@uib.de> Tue, 20 Sep 2016 15:59:41 +0200

----------------------------------------------------------

opsi-client-agent (4.0.7.10-1) stable; urgency=low

* setup.opsicript: [sub_restore_productOnClient]:
if found first rename productOnClients.json
then start process content (this way is more failsafe against errors)
* opsi-script 4.11.6.6

-- Detlef Oertel <d.oertel@uib.de> Tue, 20 Oct 2016:15:00:00 +0200

opsi-client-agent (4.0.7.9-2) stable; urgency=low

* opsiclientd 4.0.90

-- Erol Ueluekmen <e.ueluekmen@uib.de> Tue, 05 Oct 2016:22:06:00 +0200

opsi-client-agent (4.0.7.9-1) stable; urgency=low

* update to openSSL 1.0.2j
* replacing opsiclientd_shutdown_starter by opsiclientd_event_starter
* opsiclientd_event_starter 4.0.7.0
* changes for installation

-- Detlef Oertel <d.oertel@uib.de> Tue, 04 Oct 2016:15:00:00 +0200

opsi-client-agent (4.0.7.8-2) stable; urgency=low

* Fallback for non-supported Win Vista and Win2008 to opsiclientd 4.0.83

-- Bardo Wolf <b.wolf@uib.de> Fri, 23 Sep 2016 12:08:01 +0200

opsi-client-agent (4.0.7.8-1) stable; urgency=low

* opsiclientd 4.0.89

-- Erol Ueluekmen <e.ueluekmen@uib.de> Wed, 21 Sep 2016 15:01:01 +0200

----------------------------------------------------------

opsi-winst/opsi-script (4.11.6.8) stable; urgency=low

* osconf: global bool variable readconfig_done which is set by readconfig to true
* osparser: CreateAndProcessScript: do not call readconfig if readconfig_done
* should fix: uib#2016101810000104

-- Detlef Oertel <d.oertel@uib.de> Fri, 28 Oct 2016:15:00:00 +0200

opsi-winst/opsi-script (4.11.6.7) stable; urgency=low

* new unit oskeyboard
* linkfolder knows now parameter shortcut for key like Shift-Alt-O

-- Detlef Oertel <d.oertel@uib.de> Fri, 21 Oct 2016:15:00:00 +0200

opsi-winst/opsi-script (4.11.6.6) stable; urgency=low

* osmain: GetParameter: log error if readconfig failed
* osparser: CreateAndProcessScript: log error if readconfig failed
* osparser: CreateAndProcessScript: backup depot path and restor if rad config failed
* osparser: CreateAndProcessScript: backup depot path and restor if rad config failed
* osparser: evaluateBoolean: Fileexists* calling execShellCall architecture dependent
* osparser: produceStinglist: getFileInfoMap32, getFileInfoMap64, getFileInfoMapSysnative

-- Detlef Oertel <d.oertel@uib.de> Thu, 20 Oct 2016:15:00:00 +0200

opsi-winst/opsi-script (4.11.6.5) stable; urgency=low

* osjson: fix at jsonAsObjectGetKeyList
* osparser: fix at jsonAsObjectDeleteByKey
* osencoding: new overloaded version of reencode with destEncoding
* osfunc: fix TXStringlist.savetofile (use new reencode verion)
* osparser: fix reencodestr (use new reencode verion)

-- Detlef Oertel <d.oertel@uib.de> Mon, 10 Oct 2016:15:00:00 +0200

opsi-winst/opsi-script (4.11.6.4) stable; urgency=low

* osjson: jsonAsObjectGetKeyList: also true on empty keylist
* osjson: new functions: jsonAsObjectDeleteByKey, jsonAsArrayDeleteObjectByIndex
* osparser: new functions: jsonAsObjectDeleteByKey, jsonAsArrayDeleteObjectByIndex
* osencoding: : trim of found encoding ; fixes #2411 ; viewtopic.php?p=38236#p38236
* oswebservice: sendlog: no more reencoding to uft8 ; Perhaps Fehler #2408
* osparser: getMSVersionMap: Do not try to read ReleaseID if below win10; fixes #2316
* osparser / osmain: use LLCritical in fatal situations; fixes #2263
* osparser: CompareDotSeparatedNumbers (str/bool): better wrong parameter handling fixes #2045 #2369
* osparser: new boolean command savetextfilewithencoding(<list>,<filename>,<endoding>)
* osregistry: readentry: trdString, trdExpandString: expicit use empty value if 0 bytes

-- Detlef Oertel <d.oertel@uib.de> Wed, 05 Oct 2016:15:00:00 +0200

opsi-winst/opsi-script (4.11.6.3-2) stable; urgency=low

* update to openSSL 1.0.2j

-- Detlef Oertel <d.oertel@uib.de> Tue, 04 Oct 2016:15:00:00 +0200

opsi-winst/opsi-script (4.11.6.3) stable; urgency=low

* osfunc: new functions: isValidUtf8String(str:string) : boolean;
getFixedUtf8String(str:string) : string;
* osparser : new opsiscript functions:
isValidUtf8String(str:string) : boolean;
getFixedUtf8String(str:string) : string;

-- Detlef Oertel <d.oertel@uib.de> Thu, 08 Sep 2016:15:00:00 +0200

----------------------------------------------------------

opsi-winst-test (4.11.6.4-1) stable; urgency=low

* json: new test for jsonAsObjectDeleteByKey, jsonAsArrayDeleteObjectByIndex
* new test savetextfilewithencoding(<list>,<filename>,<endoding>)

-- detlef oertel <d.oertel@uib.de> Fri, 07 Oct 2016 15:00:00 +0200

----------------------------------------------------------

jedit_5.3.0-2 stable; urgency=low

* opsi-script.xml for opsi-script 4.11.6.4

-- d.oertel <d.oertel@uib.de> Tue, 11 Oct 2016 15:00:00 + 0100

----------------------------------------------------------

opsi-wim-capture (4.0.7.1-2) stable; urgency=low

* new property: verify_clonezilla_images :
* set in clonezilla runcommand --skip-check-restorable to avoid verify or not

-- detlef oertel <d.oertel@uib.de> Thu, 27 Oct 2016 15:00:00 +0000

----------------------------------------------------------

swaudit (4.0.7.2-1) stable; urgency=low

* fix for readfromfile
* mask single quotes by double single quotes before sending

-- detlef oertel <d.oertel@uib.de> Wed, 12 Oct 2016 15:00:00 +0100

swaudit (4.0.7.1-1) stable; urgency=low

* code cleanup
* complete redesign of webservice connection
* requires opsi-scrip 4.11.6
* removed opsi3 support
* cleanup removed property extended_search
* removed win2k support
* usekeyfinder now has default off
* new property debug_send: Send data using one serviceall per object

-- detlef oertel <d.oertel@uib.de> Wed, 05 Oct 2016 15:00:00 +0100

----------------------------------------------------------

opsi-configed (4.0.7.3.5-1) STABLE; urgency=medium

* for Java 1.7 use TLSv1 by default

-- roeder <roeder@uib.de> Fri, 28 Oct 2016 13:46:02 +0100

opsi-configed (4.0.7.3.4-1)

* additional request property "connection close"
* logging of SSL protocol
* in package additional property fallback_tlsv1

opsi-configed (4.0.7.3.3-1) STABLE; urgency=medium

* fixed missing call for WoL in scheduler
* fixed missing identification of configserver connection if its hostname differs from its opsi id
* fixed line endings of logfiles when exported as archive
* host_read method reimplemented for mysql present

opsi-configed (4.0.7.3.2-2) STABLE; urgency=medium

* new property: java1.7 static in product folder

opsi-configed (4.0.7.3.1-1) stable; urgency=low

* Bugfix: WakeOnLan is again working

-- Rupert Roeder <r.roeder@uib.de> Tue, 11 Oct 2016 16:30:00 + 0100

Code: Alles auswählen

import OPSI
RMuenz
Beiträge: 43
Registriert: 09 Sep 2016, 12:17

Re: Aktualisierte Pakete in stable und testing

Beitrag von RMuenz »

Hallo,
ich habe Probleme mit Download / Installation der Pakete:

root@ddopsi1:/home/opsiadmin# opsi-product-updater -vv -p opsi-configed
Zsync command found: /usr/bin/zsync
Modules file signature verified (customer: opsi community)
Reading config file '/etc/opsi/opsi-product-updater.conf'
Getting installed products
Getting info for local packages in '/var/lib/opsi/repository'
Getting package infos from repository 'http://download.uib.de'
Getting package infos from repository 'http://download.uib.de'
opsi-configed_4.0.7.3.5-1.opsi - installation required: a more recent version of product 'opsi-configed' was found (installed: 4.0.7.1.3-3, available: 4.0.7.3.5-1) and auto update is set for repository 'http://download.uib.de'
opsi-configed_4.0.7.3.5-1.opsi - download of package is required: found local package opsi-configed_4.0.7.1.3-3.opsi which differs from available
Zsyncing http://download.uib.de/opsi4.0/products ... 3.5-1.opsi to /var/lib/opsi/repository/opsi-configed_4.0.7.3.5-1.opsi
Zsync of 'http://download.uib.de/opsi4.0/products ... 3.5-1.opsi' completed
Setting rights on directory u'/var/lib/opsi/repository'
Modules file signature verified (customer: opsi community)
zsynced Download has failed, try once to load full package
Traceback:
File "/usr/bin/opsi-product-updater", line 1188, in <module>
main()

File "/usr/bin/opsi-product-updater", line 1181, in main
opu.processUpdates()

File "/usr/bin/opsi-product-updater", line 587, in processUpdates
self.downloadPackage(availablePackage, notifier=notifier)

File "/usr/bin/opsi-product-updater", line 842, in downloadPackage
con = opener.open(req)

File "/usr/lib/python2.7/urllib2.py", line 431, in open
response = self._open(req, data)

File "/usr/lib/python2.7/urllib2.py", line 449, in _open
'_open', req)

File "/usr/lib/python2.7/urllib2.py", line 409, in _call_chain
result = func(*args)

File "/usr/lib/python2.7/urllib2.py", line 1227, in http_open
return self.do_open(httplib.HTTPConnection, req)

File "/usr/lib/python2.7/urllib2.py", line 1200, in do_open
r = h.getresponse(buffering=True)

File "/usr/lib/python2.7/httplib.py", line 1111, in getresponse
response.begin()

File "/usr/lib/python2.7/httplib.py", line 444, in begin
version, status, reason = self._read_status()

File "/usr/lib/python2.7/httplib.py", line 400, in _read_status
line = self.fp.readline(_MAXLINE + 1)

File "/usr/lib/python2.7/socket.py", line 476, in readline
data = self._sock.recv(self._rbufsize)

==>>> timed out
ERROR: timed out

Ebenso mit opsi-client-agent,

opsi-winst funktioniert, swaudit, jedit auch



Viele Grüße
R. Münz
Benutzeravatar
n.wenselowski
Ex-uib-Team
Beiträge: 3194
Registriert: 04 Apr 2013, 12:15

Re: Aktualisierte Pakete in stable und testing

Beitrag von n.wenselowski »

Hi,

ich würde mal vermuten, dass du ein Problem damit hast auf das Internet zuzugreifen.
Klappt denn der Abruf beliebiger Webseiten vom Server?
Häufig hängt ein Proxy zwischen dem System und dem Internet, der erst eine Authentifizierung braucht. Im Getting Started ist beschrieben, wie sowas eingerichtet werden kann.


Gruß

Niko

Code: Alles auswählen

import OPSI
RMuenz
Beiträge: 43
Registriert: 09 Sep 2016, 12:17

Re: Aktualisierte Pakete in stable und testing

Beitrag von RMuenz »

Hallo Nico,
das kann ich ausschließen. Es gibt zwar einen Proxy, aber der lässt den opsi ohne Authentifizierung und transparent raus. Bisher gab es ja auch keinerlei Probleme, und die anderen Pakete werden sauber geholt. Nur diese 2 nicht (opsi-configed und opsi-client-Agent).
Ich kann auch die Logs des Proxy sehen - alles bestens, keinerlei Blockaden.
Viele Grüße, Ralf
Benutzeravatar
n.wenselowski
Ex-uib-Team
Beiträge: 3194
Registriert: 04 Apr 2013, 12:15

Re: Aktualisierte Pakete in stable und testing

Beitrag von n.wenselowski »

Hallo Ralf,

sehr merkwürdig.
Ich habe gerade mal als Test das Paket http://download.uib.de/opsi4.0/products ... 3.5-1.opsi mit wget geholt, das klappt bei mir ohne Probleme.
Zur Sicherheit habe ich die Rechte auf dem Server noch mal kontrolliert, die sind für alle Pakete gleich.

Klappt es bei dir das Paket per wget nach /var/lib/opsi/repository zu laden?


Gruß

Niko

Code: Alles auswählen

import OPSI
RMuenz
Beiträge: 43
Registriert: 09 Sep 2016, 12:17

Re: Aktualisierte Pakete in stable und testing

Beitrag von RMuenz »

Hallo Niko,

das klappt auch nicht: HTTP-Anforderung gesendet, warte auf Antwort...

Interessant ist auch: Ich kann auch mit dem Webbrowser diese 2 Files nicht herunterladen! Bei allen anderen könnte ich die sofort speichern oder öffnen.

Ich versuche es später mal mit dem Notebook am Proxy vorbei, um den wirklich auszuschließen.

Viele Grüße, Ralf
RMuenz
Beiträge: 43
Registriert: 09 Sep 2016, 12:17

Re: Aktualisierte Pakete in stable und testing

Beitrag von RMuenz »

Hallo Niko,

ok, der Proxy ist es doch - allerdings eben nur bei diesen beiden Paketen. Dort funktioniert es nicht mit aktivierter "transparentem Proxy" - es muss Old School der Proxy direkt angesprochen werden.
Ich habe den Proxy also in der opsi-product-updater.conf eingetragen, für den OPSI-Server "Standard Modus" ohne Authentifizierung am Proxy eingestellt und schon ging es. Aber seltsam ist das schon.
Im Gegenzug kommt Debian nun nicht mit dem Proxy klar, obwohl ich den Proxy auch dort nun eingetragen habe. Hier komme ich nur im transparenten Modus richtig klar, sonst aktualisiert aptitude die Listen nicht etc.
Falls es auch jemand anders trifft: Wir haben eine SOPHOS UTM als Firewall / Webproxy etc.

Viele Grüße, Ralf
Benutzeravatar
n.wenselowski
Ex-uib-Team
Beiträge: 3194
Registriert: 04 Apr 2013, 12:15

Re: Aktualisierte Pakete in stable und testing

Beitrag von n.wenselowski »

Hallo Ralf,

freut mich, dass nun alles klappt!


Viele Grüße

Niko

Code: Alles auswählen

import OPSI
whoopsi-daisy
Beiträge: 1
Registriert: 15 Aug 2018, 15:40

Re: Aktualisierte Pakete in stable und testing

Beitrag von whoopsi-daisy »

RMuenz hat geschrieben:Hallo Niko,

ok, der Proxy ist es doch - allerdings eben nur bei diesen beiden Paketen. Dort funktioniert es nicht mit aktivierter "transparentem Proxy" - es muss Old School der Proxy direkt angesprochen werden.
Ich habe den Proxy also in der opsi-product-updater.conf eingetragen, für den OPSI-Server "Standard Modus" ohne Authentifizierung am Proxy eingestellt und schon ging es. Aber seltsam ist das schon.
Im Gegenzug kommt Debian nun nicht mit dem Proxy klar, obwohl ich den Proxy auch dort nun eingetragen habe. Hier komme ich nur im transparenten Modus richtig klar, sonst aktualisiert aptitude die Listen nicht etc.
Falls es auch jemand anders trifft: Wir haben eine SOPHOS UTM als Firewall / Webproxy etc.

Viele Grüße, Ralf
Hallo,

etwas "verzögert" aber ich stehe glaub von dem selben Problem (transparenter Proxy über Sophos UTM). Was für eine Adresse gibt man bei einem transparenten Proxy ein?

Grüße
Michael
RMuenz
Beiträge: 43
Registriert: 09 Sep 2016, 12:17

Re: Aktualisierte Pakete in stable und testing

Beitrag von RMuenz »

Hallo,
wenn der Proxy im transparenten Modus eingestellt ist, brauchst Du den gar nicht angeben. Er fängt alles ab was mit http(s) daherkommt.
Grüße, Ralf
Antworten