OPSI-CA wird nicht auf den Clients installiert

[feltel]

Ich habe in viewtopic.php?t=14212 einen Effekt dokumentiert, bei dem nach/mit dem Update auf den OCA 4.3.4.1-1 die Einstellung install_opsi_ca_into_os_store in der opsiclientd.conf auf false gesetzt wird, trotz das im ConfigEd sowohl Depotweit die Einstellung auf true steht und auch das Hostproperty auf true steht. Ich habe eben eine Maschine neu mit Win11 24H2 installiert und dort den OCA installiert. Nichts weiter ist bisher mit der Maschine passiert und diese war vorher auch nicht an dem OPSI-Configserver bekannt. Es können demnach mMn auch keine Datenleichen dafür verantwortlich sein.

Im Install-Log sieht das dann so aus:

Code: Alles auswählen

[6] [2024-09-12 13:52:33.847] [event processing gui_startup            ] JSONRPC request to https://opsi-config-server:4447: id='4410ca4c-ff51-449f-bb38-3fd612b0f754', method=configState_getValues, Content-Type=application/msgpack, Content-Encoding=lz4, timeout=300.0   (opsiservice.py:1268)
[6] [2024-09-12 13:52:33.879] [event processing gui_startup            ] Got response status=200, id='4410ca4c-ff51-449f-bb38-3fd612b0f754', method=configState_getValues, Content-Type=application/msgpack, Content-Encoding=, duration=0.032s   (opsiservice.py:1291)
...
[6] [2024-09-12 13:52:33.895] [event processing gui_startup            ] Got config state from service: 'opsiclientd.global.install_opsi_ca_into_os_store'=[False]   (Config.py:932)
[6] [2024-09-12 13:52:33.895] [event processing gui_startup            ] Setting config global.install_opsi_ca_into_os_store to False   (Config.py:538)

Das blöde an diesem Fehler ist, das dann WebDAV nicht geht und dann natürlich auch keine Paketinstallation. Umstellen des Clients auf SMB überbrückt das, kann aber nicht die Variante sein. Wenn wir verify_server_cert nutzen würden, dann wäre der Client wahrscheinlich komplett abgekoppelt.

Der Fehler tritt erst mit dem aktuellen OCA auf.

[j.schneider]

Hallo!

bitte einmal auf dem opsi-Server den folgenden Befehl ausführen:

Code: Alles auswählen

opsi-cli jsonrpc execute configState_getValues opsiclientd.global.install_opsi_ca_into_os_store '["<client-id>"]' true

Welche opsiconfd-Version ist auf dem Server installiert?

Grüße
Jan Schneider

[feltel]

Code: Alles auswählen

feltel@nova:~$ opsi-cli jsonrpc execute configState_getValues opsiclientd.global.install_opsi_ca_into_os_store '["wn-foobar.verw.lpz.docemus.net"]' true
{
  "wn-foobar.verw.lpz.docemus.net": {
    "opsiclientd.global.install_opsi_ca_into_os_store": [
      true
    ]
  }
}
}

Das install_opsi_ca_into_os_store ist wie gesagt global auf true.

opsiconfd:

Code: Alles auswählen

feltel@nova:~$ dpkg -l opsiconfd
Desired=Unknown/Install/Remove/Purge/Hold
| Status=Not/Inst/Conf-files/Unpacked/halF-conf/Half-inst/trig-aWait/Trig-pend
|/ Err?=(none)/Reinst-required (Status,Err: uppercase=bad)
||/ Name           Version      Architecture Description
+++-==============-============-============-=================================
ii  opsiconfd      4.3.19.6-1   amd64        opsi configuration service

[j.schneider]

Läuft der Client zufällig im WAN/VPN-Mode mit Config-Caching?

[feltel]

Nein, mindestens mal der heute frisch installierte Rechner nicht.

[feltel]

Ich habe noch ein bisschen mehr Input. Ich habe eine schon ewig laufende Maschine von Win10 auf Win11 24H2 aktualisiert und eine andere Maschine neu installiert.

Win10 22H2: scheint nicht betroffen
Win11 24H2 von Win10 aktualisiert: scheint nicht betroffen
Win11 24H2 frisch installiert: betroffen

Ich würde eher meinen, das das ein Client (Agent)-Problem ist und das er die Rückgaben des Config-Servers warum auch immer und scheinbar spezifisch bei der einen Config-Option nicht sauber verarbeitet. Ich kann gerne das Logfile eines solchen Clients bereitstellen.

[j.schneider]

Hallo,

wir haben das Problem gefunden.
Dem Client fehlen Berechtigungen für den Zugriff auf die Configs des Depots.
Der Fix dazu ist in opsiconfd 4.3.21.9:

https://software.opensuse.org//download ... =opsiconfd

Grüße
Jan Schneider

[feltel]

Okay, ich habe mir mal das opsiconfd-Paket 4.3.21.9-1 gezogen und auf unserem Configserver installiert. Dann die zuletzt frisch installierte Maschine gestartet, on-demand angestoßen und dann kam in der opsiconfd.conf auch das true bei install_opsi_ca_into_os_store an. So solls sein.

Dann war der Bug also nicht, wie ich vermutete Client-OS-bezogen, sondern wäre auch bei einer komplett frisch installierten Win10-Maschine aufgetreten. Dann gibt es also Permissions auf bestimmte Properties per Maschine und der Fehler wurde bei neu hinzugefügten Maschinen getriggert. Richtig?

[j.schneider]

Der Fehler existiert seit Einführung der Vererbung von Depot-Host-Parametern an die Clients.
Eigentlich müsste das Problem der falschen Configs daher auf jeden Client auftreten.
Die alten Clients haben das Zertifikat wahrscheinlich bereits im Store und daher ist das nicht aufgefallen.