install_opsi_ca_into_os_store vermeintlich false

[feltel]

Ich habe hier heute einen interessanten Fall auf dem Tisch. Ein relativ neu installiertes Win11-Notebook, das ich vor der Auslieferung nur nochmal auf aktuellen Stand bringen wollte. Installiert ist Win11 24H2 und der OCA 4.3.4.1-1. Damit kann nicht mehr über WebDAV installiert werden. Es kommt die Meldung das der User nicht autorisiert sei. Im Zertifikatsspeicher findet sich kein "OPSI CA" Cert. Alle unsere Depots haben

Code: Alles auswählen

opsiclientd.global.install_opsi_ca_into_os_store = true

gesetzt. Die Maschine hat keinen davon abweichenden Host-Parameter. Dennoch meint OPSI

Code: Alles auswählen

[7] [2024-09-06 11:50:37.096] [opsi-client-agent]             [6] [2024-09-06 11:50:31.337] [                                        ] JSONRPC request to https://unser-opsi-config-server.domain.tld:4447: id='14afbdad-7312-4414-9271-2417337c4bec', method=configState_getValues, Content-Type=application/msgpack, Content-Encoding=lz4, timeout=300.0   (opsiservice.py:1268)
[7] [2024-09-06 11:50:37.096] [opsi-client-agent]             [6] [2024-09-06 11:50:31.367] [                                        ] Got response status=200, id='14afbdad-7312-4414-9271-2417337c4bec', method=configState_getValues, Content-Type=application/msgpack, Content-Encoding=, duration=0.031s   (opsiservice.py:1291)
...
[7] [2024-09-06 11:50:37.097] [opsi-client-agent]             [6] [2024-09-06 11:50:31.412] [                                        ] Got config state from service: 'opsiclientd.global.install_opsi_ca_into_os_store'=[False]   (Config.py:932)

Die Maschine war ursprünglich mit dem OCA 4.3.3 oder so installiert worden. Da trat dieser Effekt nicht auf. Erst nachdem ich heute den OCA auf die aktuelle Version aktualisiert habe. Ich habe den OCA jetzt mal komplett deinstalliert und den Eintrag der Maschine aus dem Configed gelöscht. Dann den OCA neu installiert, es entsteht ein neues Maschinenobjekt. Dort ist die Setting auch auf true (weil das ja von den Depotproperties geerbt wird). Aber in der opsiclientd.conf kommt wieder false an.

Seltsamerweise (oder glücklicherweise?) ist das auch nur die eine Maschine.

[m.radtke]

Hi,

nicht direkt auf dein Problem bezogen, aber wie hast fu 24h2 installiert? Welches WinPE und ISO hast du verwendet?

Gruß
Mathias

[feltel]

Per USB-Stick, so wie wir das intern auch schon "immer" mit Win10 gemacht haben. Also nicht per OPSI. Wir haben dazu eine angepasste autounattend.xml und einen $oem$-Ordner, wo dann noch sequenziert Scripte abgearbeitet werden. Das Ergebnis ist dann entweder ein Domain-joined PC mit installiertem OCA oder einer der Azure-joined ist.

[feltel]

Ich habe jetzt nochmal ein bisschen mit dem Rechner rumgespielt. WAN-Mode aus, an und wieder aus. Das scheint irgendwie geholfen zu haben, denn jetzt kommt auch ein true in der opsiclientd.conf an. Keine Ahnung, was spezifisch da an der Config "kaputt" war.

[feltel]

Das scheint ggf. doch kein isolierter Effekt gewesen zu sein. Eben eine Maschine neu mit Win11 24H2 installiert, darauf dann der OCA 4.3.4.1-1 und wieder kommt trotz anderslautender Einstellung ein false in der opsiclientd.conf an. Nachfolgend geht dann natürlich kein WebDAV. Ich mache hierzu mal sicherheitshalber einen Bugreport auf.

[wolfbardo]

Ich mache hierzu mal sicherheitshalber einen Bugreport auf.

Vorab Entschuldigung, sollte ich im Ton daneben liegen.

Bitte erstmal genauer beschreiben, was wann wie gemacht wird, bevor Bug gerufen wird.

Wenn der Client in opsi bereits existiert und schon auf WEBDAV gestellt ist und dann der OCA erstmals installiert wird, dann sollte er direkt die richtige Config ziehen.

Falls in den Server/Depot Defaults CIFS steht und der Client noch nicht in opsi ist und dann der OCA installiert wird, dann steht der Client erstmal auf CIFS.

Die Funktionsweise des opsi-client-agent ist detailliert beschrieben in
https://docs.opsi.org/opsi-docs-de/4.3/ ... anual.html

Einen Einblick gewinnt man auch in unseren Schulungen.

Gruss
Bardo Wolf

[feltel]

Hallo Herr Bardo, kein Ding.

Ich beobachte im Moment zwei Effekte. Eine Maschine mit Win11 24H2 und OCA 4.3.3 lief problemlos mit WebDAV und (damit bedingend) install_opsi_ca_into_os_store=true. Diese Maschine habe ich auf den aktuellen OCA 4.3.4-1 aktualisiert. Damit wird (trotz anderslautender und nicht geänderter/angefasster Einstellung auf dem Configed) die install_opsi_ca_into_os_store Einstellung auf dem Client in der opsiclientd.conf auf false gesetzt. Das lässt sich auch prima in der opsiclientd.log nachvollziehen. Damit geht dann WebDAV nicht mehr. Der Grund für dieses Verhalten ist unklar. Vermeintlich durch mehrfaches aktivieren/deaktivieren des WAN-Mode habe ich es dann hinbekommen, das das Verhalten wieder so ist, wie beim OCA 4.3.3, sprich die Einstellungen auf dem Client wieder true ist und damit WebDAV wieder geht.

Jetzt habe ich eine (neue) Maschine frisch installiert und den gleichen Effekt. Damit ist das kein isolierter Effekt mehr und ich bin dann mit meinen Diagnosefähigkeiten auch irgendwann am Ende, weil ich ja nicht weiß, was kommunikationstechnisch im Hintergrund passiert. Parsed der Client die Einstellungen die er vom Service bekommt erstmal, ehe er sie in die Config übernimmt oder was auch immer.

[feltel]

Der Vollständigkeit halber geht es hier weiter: viewtopic.php?t=14225 und das Problem lässt sich mit einem opsiconfd-Paket >=4.3.21.9-1 beheben.