Wir rollen den opsi-client-agent aufgrund der fehlenden Möglichkeit, dass der OPSI Server kein ICMP Ping zu den Client-Netzen darf nicht per "Verteilung opsi-client-agent" sondern gebaut als msi aus (per GPO + wmi Filter) mit entsprechend vorher angepasster config.ini (files\opsi\cfg\config.ini) im Bereich "service_hidden_password".
Unserer Meinung nach sollte dies Standard sein, da Klartextpasswörter immer ein Sicherheitsrisiko darstellen (auch nicht solange es nicht die Möglichkeit gibt einen dedizierten Admin-Client-Rollout-Admin anzulegen (viewtopic.php?f=7&t=9620)).
Desweiteren finden wir, sollte es Standardmäßig per opsi-admin SSH Context die Möglichkeit geben, dieses Passwort entsprechend zu setzen und somit die config.ini direkt anzupassen.
Ob es hier Sinn macht, diese Option auch im der configed Gui (java) einzubauen muss abgewägt werden, wir sehen eher entweder Verschlüsselt als Standard und / oder (eher UND) den dedizierten Admin-Client-Rollout-Admin (ebenfalls Verschlüsseltes Passwort).
PS: Zur Zeit arbeiten wir an der msi Generierung per WIX , vorher hatte wir makemsi , vielleicht hat ja jemand hier bereits Erfahrung mit WIX und könnte uns Unterstützen ??
opsi-client-agent (config.ini) / Verbesserungen
Re: opsi-client-agent (config.ini) / Verbesserungen
Hi,
Ansonsten sind viele Wünsche möglich wenn sie (z.B. im Rahmen eines Support und Wartungsvertrags) bezahlt werden
gruß
d.oertel
darf stellt an sich kein Hindernis für opsi-deploy-client-agent da.dass der OPSI Server kein ICMP Ping zu den Client-Netzen
Ansonsten sind viele Wünsche möglich wenn sie (z.B. im Rahmen eines Support und Wartungsvertrags) bezahlt werden
gruß
d.oertel
opsi support - uib gmbh
For productive opsi installations we recommend support contracts.
http://www.uib.de
http://www.opsi.org
For productive opsi installations we recommend support contracts.
http://www.uib.de
http://www.opsi.org
Re: opsi-client-agent (config.ini) / Verbesserungen
Das Script prüft am Anfang die Erreichbarkeit des Clients per PING und bricht dann ab!d.oertel hat geschrieben:Hi,
darf stellt an sich kein Hindernis für opsi-deploy-client-agent da.dass der OPSI Server kein ICMP Ping zu den Client-Netzen
Ansonsten sind viele Wünsche möglich wenn sie (z.B. im Rahmen eines Support und Wartungsvertrags) bezahlt werden
gruß
d.oertel
Wir haben aber aufgrund anderer Themen den oben genannten Schritt letztendlich gewählt =)
Wir sehen hier in erster Linie allgemeine Themen welche unserer Meinung nach offen aufgezeigt und diskutiert werden müssen (Sicherheit), genauso sehen wir natürlich dass uib durch die Support und Serviceverträge die Einnahmen braucht, jedoch werden wahrscheinlich genug kleinere Unternehmen, aber auch andere kommerziell genutzte Zusammenhänge (Selbständige / "Administratoren") hier OPSI aufgrund der "Opensource" Deklarierung nutzen, womöglich ausschließlich das Internet als Grundlage nutzen und sich nach einiger Zeit fragen, warum plötzlich Sicherheitsprobleme auftauchen.
Wir sind nicht abgeneigt für bestimmte Themen zukünftig auf einen Support-Vertrag einzugehen, möchten wir erstmalig Diskussion anregen um zu sehen inwieweit andere Nutzer von OPSI dieses entsprechend sehen
Re: opsi-client-agent (config.ini) / Verbesserungen
Hi,
https://download.uib.de/opsi_stable/doc ... psi-deploy
Schulung und Third-Level Support sind auch eine gute Idee, wenn man sowas beim Kunden einsetzen will.
Jede Entwicklung an opsi auch Sicherheit muß irgendwie und irgendwann mal von einem Kunden bezahlt werden.
Wir freuen uns immer über Anregungen. Im konkreten Fall der config.ini gibt es ja das hiden Feature.
Und zum ausrollen empfehlen wir nunmal opsi-deploy-client-agent.
gruß
d.oertel
RTFMDas Script prüft am Anfang die Erreichbarkeit des Clients per PING und bricht dann ab!
https://download.uib.de/opsi_stable/doc ... psi-deploy
Code: Alles auswählen
--ignore-failed-ping, -x
try installation even if ping fails
Jede Entwicklung an opsi auch Sicherheit muß irgendwie und irgendwann mal von einem Kunden bezahlt werden.
Wir freuen uns immer über Anregungen. Im konkreten Fall der config.ini gibt es ja das hiden Feature.
Und zum ausrollen empfehlen wir nunmal opsi-deploy-client-agent.
gruß
d.oertel
opsi support - uib gmbh
For productive opsi installations we recommend support contracts.
http://www.uib.de
http://www.opsi.org
For productive opsi installations we recommend support contracts.
http://www.uib.de
http://www.opsi.org
Re: opsi-client-agent (config.ini) / Verbesserungen
Ups da haben wir tatsächlich etwas übersehen , vielen Dank dafürd.oertel hat geschrieben:Hi,RTFMDas Script prüft am Anfang die Erreichbarkeit des Clients per PING und bricht dann ab!
https://download.uib.de/opsi_stable/doc ... psi-deploy
Schulung und Third-Level Support sind auch eine gute Idee, wenn man sowas beim Kunden einsetzen will.Code: Alles auswählen
--ignore-failed-ping, -x try installation even if ping fails
Jede Entwicklung an opsi auch Sicherheit muß irgendwie und irgendwann mal von einem Kunden bezahlt werden.
Wir freuen uns immer über Anregungen. Im konkreten Fall der config.ini gibt es ja das hiden Feature.
Und zum ausrollen empfehlen wir nunmal opsi-deploy-client-agent.
gruß
d.oertel
Das verstehen wir natürlich, es gibt immer die zwei Seiten dieses Themas: Technisch (Wir) und Kaufmännisch (Universen drüber )
Aber um letztendlich nicht das eigentliche Hauptthema zu verlieren, hier geht es um die Rubrik "Kritik, Anregungen und Wünsche".