forum.opsi.org

Liebe opsi-Community,

wir freuen uns, das neueste Testing Release von opsi vorzustellen! Über zwei Jahre lang haben wir daran gearbeitet, opsi zu modernisieren, sicherer und zuverlässiger denn je zu machen. opsi 4.3 bringt zahlreiche Verbesserungen und Neuerungen – hier sind einige der Highlights dieses Releases:

• MySQL-Backend und UEFI-Support frei: Das kostenpflichtige MySQL-Backend ist jetzt frei und leistungsfähiger. Auch UEFI-Support ist jetzt lizenzkostenfrei.

• Neues Design: Alle opsi-Komponenten erstrahlen in einem modernen, frischen Design und neuen Farben; auch unser Logo ist neu.

• opsi-configed: Überarbeitete Benutzeroberfläche und beeindruckende Performance-Steigerungen; Light- und Dark-Mode verfügbar.

• opsi-Messagebus: Zuverlässige Kommunikation zwischen Server und Clients, flüssiges Arbeiten in Remote-Terminal-Sitzungen.

• Zwei-Faktor-Authentifizierung für opsi-Administratoren.

• Health-Check: Zustand Ihrer opsi-Infrastruktur prüfen und Upgrade-Checks vor Aktualisierungen durchführen.

Mit diesem Release präsentieren wir außerdem stolz die neue opsi-WebGUI, die wir mit opsi 4.3 offiziell als stabile Version veröffentlichen.
Die opsi-WebGUI bietet die einfache Verwaltung von opsi-Features im Browser und unterstützt Mobilgeräte, sodass Sie Ihre opsi-Umgebung bequem von Ihrem Smartphone oder Tablet aus steuern können – egal, wo Sie sind.

Endecken Sie alle Neuerungen und Details in den Release-Notes in unserem neusten Blogpost auf blog.opsi.org.

Wenn Sie von opsi 4.2 auf 4.3 wechseln möchten, finden Sie eine detaillierte Upgrade-Anleitung in unserer Dokumentation auf docs.opsi.org. Sicherheitsrelevante Updates für opsi 4.2 stellen wir noch sechs Monate bereit.

Wir sind stolz auf opsi 4.3 und hoffen, dass Sie von den zahlreichen Verbesserungen profitieren werden.
Vielen Dank für Ihre Unterstützung und Ihr Vertrauen in opsi!

Ihr uib-Team

Hi,

herzlichen Glückwunsch zum Release!

Kann man schon irgendwo nachlesen, wie die Zwei-Faktor-Authentifizierung genau funktioniert und man diese einrichtet?

Viele Grüße,
Stefan

Einfach das WebIf von deinem OPSI Server aufrufen (https://<opsi-server>:4447) und dort unter "User" kannst du das TOTP aktivieren.
Beim Congifed das OTP einfach hinter das PW schreiben. Es gibt kein eigenes Feld dafür.

Gruß
Tobias

Möglichkeit nur einen Teil mehrerer gesetzter Produkt-Aktionen on_demand ausführen

VIEEEELEN DANK FÜR DIESES FEATURE !!!!

tobias hat geschrieben: ↑12 Okt 2023, 15:21 Einfach das WebIf von deinem OPSI Server aufrufen (https://<opsi-server>:4447) und dort unter "User" kannst du das TOTP aktivieren.

Im Admin-Interface sehe ich unter Users nur eine Tabelle mit drei Spalten:

In der opsiconfd.conf auf dem OPSI server folgendes eintragen:

multi-factor-auth = totp_optional

Gruß
Tobias

Ich würde OPSI 4.3 an einem unserer Standorte gerne mal ausprobieren. Wie kritisch ist die Aktualität der jeweiligen Client-Agents? Ich frage, weil wir da ziemlich viele Notebooks laufen haben, und die bekomme ich eigentlich nie alle gleichzeitig auf einen einheitlichen Stand. Die am wenigsten aktuellen Clients haben iirc den OCA 4.2.0.44. Würde das passen, damit der OCA dann mit einem OPSI 4.3-Server arbeiten kann.

Die erforderliche opsi-client-agent Version für sicheren Betrieb mit einem opsi4.3 server ist 4.2.0.57-2 (vom 22.05.23)

Ältere opsi-client-agents können schon noch mit dem server kommunizieren, aber ich rate davon ab, das produktiv so einzusetzen. Durch das Wegfallen von backend_setOptions, können Abfragen nach Configs und ProductProperties, die sich auf die alte Mechanik verlassen, unerwartete Ergebnisse bekommen. Dabei werden dann möglicherweise Client-spezifische Werte erhalten, wo vorher Server-spezifische zurückgegeben wurden. Diese können auch leer sein. Installiert man beispielsweise einen opsi-client-agent < 4.2.0.57-1 auf einem client, der an einem 4.3er opsi-server hängt, kann der service-url Wert leer sein, sodass direkt nach der installation der client abgehängt ist, weil er keine Service-Verbindung mehr aufbauen kann.
Um sowas zu vermeiden, sollten alle opsi-client-agents auf Stand 4.2.0.57-2 oder neuer gehalten werden. Hat man nicht alle clients zum Zeitpunkt des upgrades auf 4.3 (halbwegs) aktuell, sollte man die (hoffentlich wenigen) veralteten Clients genau im Auge behalten.

Danke, dann schaue ich mal, welche Clients das betrifft. Die werden dann schon Stück für Stück aktualisiert, aber es kann bei uns schon mal sein, das ein Client einen Monat oder länger einfach nicht in Benutzung ist. Bei per WLAN angebundenen Notebooks fällt das bequeme WOL-anknipsen und machen lassen, ja leider weg.

In diesem Zusammenhang fände ich es hilfreich, wenn opsiconfd health-check --upgrade-check auch nur die Version 4.2.0.57-2 als unteren Schwellenwert verwenden würde. Ich habe gerade zahlreiche Clients mit "Installed version '4.2.0.68-1' < recommended version '4.2.0.69-1'" als Error gelistet bekommen.