[gelöst] problem beim update auf 4.3

[r4a5a88]

Hallo Opsi Forum,

Nach dem upgrae auf OPsi 4.3 startet der Opsi PXE Configuration Service nicht mehr.
Wenn ich ihn starte bekomme ich die Fehlermeldung
ERROR: Opsi service verification error: HTTPSConnectionPool(host='localhost', port=4447): Max retries exceeded with url: /rpc (Caused by SSLError(SSLCertVerificationError(1, '[SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed: self-signed certificate in certificate chain (_ssl.c:1006)')))

Woran liegt das und wie kann man das lösen?

[j.schneider]

Hallo!

Bitte einmal den Befehl

Code: Alles auswählen

opsiconfd health-check

ausführen.

Sind dort Warnungen oder Fehler zu sehen?

Unter Umständen hilft schon ein Neustart von opsiconfd und danach opsipxeconfd.

Grüße
Jan Schneider

[r4a5a88]

Er scheint ein Problem mit dem Zertifikat zu haben

ERROR - The opsi CA certificate is expired.
OK - The opsi CA is not a intermediate CA.
OK - The opsi CA key is OK.
OK - The server certificate is OK and will expire in 362 days.
ERROR - Server CN has changed from 'ana-serv-02.dmed.local' to 'ana-serv-02.dmed.uni-heidelberg.de'

das Depot hatte ich auf dmed.local eingerichtet aber das Zertifikate habe ich auf die volle domain
was kann man da tun?
Wo genau muss man die Config anpassen das es wieder passt ? oder wäre es besser ein Cert für die .local Domain zu holen, was nicht geht.
ich habe skip-setup = [ssl] in der opsiconfd.conf aber das scheint nicht zu wirken

[j.schneider]

Die Konfiguration

Code: Alles auswählen

skip-setup = [ssl]

führt dazu, dass der opsiconfd weder die opsi CA noch die Server-Zertifikate verwaltet.
Das hat in diesem Fall zu einer abgelaufen opsi CA geführt.
Warum wurde das konfiguriert?

[r4a5a88]

ich kann mich nicht mehr errinnern warum das eingestellt wurde, schätze das es mit eigen Zertifikaten zu tun hat
ohne das verschwindet der Fehler aber
Dez 04 10:46:04 ana-serv-02 opsipxeconfd[2001540]: opsicommon.exceptions.OpsiServicePermissionError: Opsi service permission error: 403 Client

Code: Alles auswählen

Error: Forbidden for url: https://localhost:4447/rpc
Dez 04 10:46:04 ana-serv-02 opsipxeconfd[2001540]: ERROR: Opsi service permission error: 403 Client Error: Forbidden for url: https://localhost:4447/rpc
Dez 04 10:46:04 ana-serv-02 systemd[1]: opsipxeconfd.service: Control process exited, code=exited, status=1/FAILURE

kommt jetzt.
Nachdem ich dann localhost in der opsi.conf durch den DNs name ersetzt habe, bekomme ich ein connection refused

Code: Alles auswählen

ERROR: Opsi service connection error: HTTPSConnectionPool(host='ana-serv-02.dmed.uni-heidelberg.de', port=4447): Max retries exceeded with url:  /rpc (Caused by NewConnectionError('<urllib3.connection.HTTPSConnection object at 0x7fdeb5e2ca90>: Failed to establish a new connection: [Errno 111] Connection>

Dort hat er das falsche ssl Zertifikat

[r4a5a88]

Könnte man die Ca certs gegen die ssl certs tauschen und es dadurch lösen ?

[j.schneider]

Das sind jetzt unterschiedliche Probleme.
Die Zertifikate funktionieren jetzt wohl.
Das 403-Problem / Connection-Problem könnte an einem Proxy liegen oder an der opsiconfd-Konfiguration "admin-networks" oder "networks".
Vielleicht auch Namensauflösung oder Firewall.

[r4a5a88]

beides ist nicht konfiguriert.
ich hab auch kein Proxy installiert.

[j.schneider]

Nachdem ich dann localhost in der opsi.conf durch den DNs name ersetzt habe, bekomme ich ein connection refused

Code: Alles auswählen

ERROR: Opsi service connection error: HTTPSConnectionPool(host='ana-serv-02.dmed.uni-heidelberg.de', port=4447): Max retries exceeded with url:  /rpc (Caused by NewConnectionError('<urllib3.connection.HTTPSConnection object at 0x7fdeb5e2ca90>: Failed to establish a new connection: [Errno 111] Connection>

Wenn Proxy und falsche Namensauflösung ausgeschlossen werden können, dann läuft entweder der opsiconfd nicht oder eine Firewall blockiert den Zugriff.
Steht etwas in der /var/log/opsi/opsiconfd/opsiconfd.log ?

[r4a5a88]

Das Problem hat sich gelöst.

es war eine Kombination aus vielen Dingen.
1. Der hostname hat ihm nicht gepasst , da ich in der Config .local nutze und der server auch per .de erreichbar ist.
2. ich hab die eigenen Zertifikate raus genommen. Opsi und apache sollten getrennte Zertifikate haben.
3. es gab ne einstellung im samba die er setzen wollte aber die schon gesetzt war

danach konnte sich alle wieder normal starten