[Gelöst] Problem mit 'opsi-netboot.efi'

Antworten
thomas.besser
Beiträge: 455
Registriert: 09 Sep 2009, 09:40

[Gelöst] Problem mit 'opsi-netboot.efi'

Beitrag von thomas.besser »

Hallo,

habe hier von HP einmal ein "HP EliteDesk 800 G8 Desktop Mini" bei dem die Installation via PXE und SecureBoot ohne Probleme funkioniert...

Code: Alles auswählen

Jan 18 15:44:33 opsi in.tftpd[41847]: RRQ from x.x.x.x filename linux/pxelinux.cfg/shimx64.efi.signed
Jan 18 15:44:33 opsi in.tftpd[41847]: tftp: client does not accept options
Jan 18 15:44:33 opsi in.tftpd[41848]: RRQ from x.x.x.x filename linux/pxelinux.cfg/shimx64.efi.signed
Jan 18 15:44:34 opsi in.tftpd[41849]: RRQ from x.x.x.x filename linux/pxelinux.cfg/opsi-netboot.efi
[...]
Der Nachfolger, ein "HP Elite Mini 800 G9" lädt zwar die 'shimx64.efi.signed', dann stimmt aber was mit der 'opsi-netboot.efi' wohl nicht...

Code: Alles auswählen

Jan 18 15:39:09 opsi in.tftpd[41780]: RRQ from x.x.x.x filename linux/pxelinux.cfg/shimx64.efi.signed
Jan 18 15:39:09 opsi in.tftpd[41780]: tftp: client does not accept options
Jan 18 15:39:09 opsi in.tftpd[41781]: RRQ from x.x.x.x filename linux/pxelinux.cfg/shimx64.efi.signed
Hier bleibt TFTP stehen. Der Client meldet "Secure boot - Selected boot image did not authenticate. Please press enter to attempt boot to next device."

Ich möchte ungern Secure Boot ausschalten... Irgendwelche Ideen?

Danke und Gruß
Thomas
Zuletzt geändert von thomas.besser am 19 Jan 2023, 12:01, insgesamt 1-mal geändert.
skoloschin
Beiträge: 42
Registriert: 25 Nov 2009, 09:35

Re: Problem mit 'opsi-netboot.efi'

Beitrag von skoloschin »

Moin,

hast Du das neueste opsi-linux-bootimage? Wenn die efi-Signatur veraltet ist, klappt es nicht mit neuen Geräten.
z.B. viewtopic.php?p=57055&hilit=shimx64.efi#p57055
Gruß
Sigi
thomas.besser
Beiträge: 455
Registriert: 09 Sep 2009, 09:40

Re: Problem mit 'opsi-netboot.efi'

Beitrag von thomas.besser »

Danke für den Hinweis... Habe alle aktuellsten Paket aus 'stable'...

Code: Alles auswählen

dpkg -l opsi-linux-bootimage | grep ii
ii  opsi-linux-bootimage 20221128-2   all          opsi bootimage for netboot tasks.
thomas.besser
Beiträge: 455
Registriert: 09 Sep 2009, 09:40

Re: Problem mit 'opsi-netboot.efi'

Beitrag von thomas.besser »

Auch mit 'opsi-linux-bootimage' aus 'experimental' bleibt das Problem bestehen...

Code: Alles auswählen

dpkg -l opsi-linux-bootimage | grep ii
ii  opsi-linux-bootimage 20230116-1   all          opsi bootimage for netboot tasks.

Code: Alles auswählen

ls -l /tftpboot/linux/pxelinux.cfg/shimx64.efi.signed
-rw-rw-r-- 1 opsiconfd arch-opsifileadmins 956304 16. Jan 14:16 /tftpboot/linux/pxelinux.cfg/shimx64.efi.signed
Benutzeravatar
m.radtke
uib-Team
Beiträge: 1517
Registriert: 10 Jun 2015, 12:19

Re: Problem mit 'opsi-netboot.efi'

Beitrag von m.radtke »

Moin,

ich habe mir mal das aktuelle DBX Update von der UEFI Seite gezogen. Das Update ist vom 7.9.2022.
Habs auf einer Secureboot VM installiert, nur um auszuschliessen das MIcrosoft wieder Updates verteilt und neue SHIMs notwendig sind.

Das kann ich aber ausschliessen, auch nach dem Update funktioniert der Netboot mir Secureboot mit dieser Maschine und dem Bootimage aus stable.

In Welchem Modus läuft denn die Gen9 Kiste im Secureboot?
Gibt, je nach Hersteller, Deploy, Setup, Custom etc..

Man kann zudem auch den Zertifikatsspeicher löschen und neu befüllen lassen, im Secureboot Reiter des UEFI. Interessant wäre zu sehen welche Zertifikate drin sind. Denn wenn das Microsoft Zertifikat, mit dem unsere Shim signiert ist, nicht im Zertifikatsspeicher ist, funktioniert Secureboot auch nicht.

Gruß
Mathias
Kein Support per DM!
_________________________
opsi support - http://www.uib.de/
For productive opsi installations we recommend support contracts.
thomas.besser
Beiträge: 455
Registriert: 09 Sep 2009, 09:40

Re: Problem mit 'opsi-netboot.efi'

Beitrag von thomas.besser »

Ich habe es gelöst...

Im BIOS unter 'Secure Boot Configuration' musste die Option 'Enable MS UEFI CA key' aktiviert werden. Jetzt bootet opsi-linux-bootimage aus stable. Interessant: da ist ein vorinstalliertes Win11 drauf, das ohne Probleme booten kann...

Danke an allen für die Anregungen/Tipps!
Benutzeravatar
ThomasT
uib-Team
Beiträge: 529
Registriert: 26 Jun 2013, 12:26

Re: [Gelöst] Problem mit 'opsi-netboot.efi'

Beitrag von ThomasT »

Das Phänomen hat man auch direkt bei Microsoft.
Wenn man z.B. beim HyperV eine VM Gen2 erstellt, dann muss man um das Ding mit Secureboot und OPSI booten zu können zwischendurch den Key wechseln...
Kein Support per DM!
_________________________
opsi support - https://www.uib.de/
For productive opsi installations we recommend support contracts.
Antworten