opsi erreicht Clients nicht mehr - Zertifikatsproblem?

[brainy84]

Hi zusammen,

wir nutzen opsi 4.2.0 und seit kurzem (nach einem Update des OS vermutlich) sprechen die Clients nicht mehr mit dem Server. Auch ein Snapshot revert brachte kein Erfolg:

Health-Check bringt folgendes:

Code: Alles auswählen

Depotserver check: ERROR
   ➔ 1 upgrade issues

   ERROR - The local workbench path is no longer configurable in version 4.3 and is set to '/home/opsiproducts' on depot

dpkg -l | grep opsi-

Code: Alles auswählen

rc  opsi-atftpd                            0.7.dfsg-9                              amd64        advanced TFTP server - opsi version with pcre, fifo and max-blksize patches
ii  opsi-configed                          4.0.7.6.34-2                            all          OPSI config editor
ii  opsi-linux-bootimage                   20231013-1                              all          opsi bootimage for netboot tasks.
ii  opsi-linux-support                     4.2.0.0-1                               all          Configure system to be able to deploy Linux with opsi.
rc  opsi-server                            4.1.1.8-1                               all          opsi server configuration package
ii  opsi-server-full                       4.2.0.73-1                              all          opsi server
ii  opsi-tftpd-hpa                         5.2.8-78                                amd64        HPA's tftp server
ii  opsi-utils                             4.2.0.211-1                             amd64        Utilities for working with opsi
ii  opsi-windows-support                   4.2.0.3-1                               all          Install utilities useful for

wenn ich vom Client aus software on demand starten will kommt:

Fehler bei der Initialisierung der opsi-Verbindung.

Laut Wireshark scheint es ein Problem mit dem Zertifikat zugeben. Ich habe leider keine anständige Anleitung gefunden wo überall das Zertifikat abgefragt wird bzw. hinterlegt ist. Ich würde gern ein externes Wildcard-Zertifikat nutzen.

Wenn ich dieses unter opsiconfd hinterlege komme ich nicht mehr in opsi-configed mit der Meldung:

𝗪𝗮𝗿𝗻𝘂𝗻𝗴
𝗠𝗼̈𝗴𝗹𝗶𝗰𝗵𝗲𝘀 𝗦𝗶𝗰𝗵𝗲𝗿𝗵𝗲𝗶𝘁𝘀𝗿𝗶𝘀𝗶𝗸𝗼 𝗲𝗿𝗸𝗮𝗻𝗻𝘁:

Das Server-Zertifikat konnte nicht überpüft werden!
opsi CA lokal nicht vorhanden, Prüfung nicht möglich.

𝗦𝘁𝗲𝗹𝗹𝗲𝗻 𝗦𝗶𝗲 𝘀𝗶𝗰𝗵𝗲𝗿, 𝗱𝗮𝘀𝘀 𝗦𝗶𝗲 𝘀𝗶𝗰𝗵 𝗺𝗶𝘁 𝗱𝗲𝗺 𝗸𝗼𝗿𝗿𝗲𝗸𝘁𝗲𝗻 𝗦𝗲𝗿𝘃𝗲𝗿 𝘃𝗲𝗿𝗯𝗶𝗻𝗱𝗲𝗻 𝘂𝗻𝗱 𝗲𝗻𝘁𝘀𝗰𝗵𝗲𝗶𝗱𝗲𝗻 𝗲𝗻𝘁𝘀𝗽𝗿𝗲𝗰𝗵𝗲𝗻𝗱, 𝗼𝗯 𝗦𝗶𝗲 𝗱𝗲𝗺 𝗭𝗲𝗿𝘁𝗶𝗳𝗶𝗸𝗮𝘁 𝘃𝗲𝗿𝘁𝗿𝗮𝘂𝗲𝗻 𝘄𝗼𝗹𝗹𝗲𝗻.

Zusatz: Dort kann ich "abbrechen" "EInmal verbinden" "immer verbinden", aber bei den zwei letzteren Optionen tut sich nichts.
Danke vorab!

Grüße
brainy84

[brainy84]

Hat jemand eine Idee, der Health-Check, sagt mir, dass

Code: Alles auswählen

ERROR - The local workbench path is no longer configurable in version 4.3 and is set to '/home/opsiproducts' on depot <Servername>

wie kann ich diesen Pfad in opsi ändern? Unter Host-Parameter hab ich es bereits geändert.

[n.doerrer]

Moin,

hier gehen verschiedene Dinge durcheinandern.

1. zu der Meldung zum local workbench path im health check: Das sollte vor einem upgrade auf 4.3 auf alle Fälle behoben werden (workbench sollte an dem Pfad var/lib/opsi/workbench liegen (mindestens als symlink/mount) und die Depot-Konfiguration sollte entsprechend angepasst werden (z.B. im opsi-configed - Depot-Konfiguration für die jeweiligen Depots)). Unter 4.2 ist das allerdings erstmal egal und hat nichts mit den anderen Problemen zu tun.

2. Fehler beim configed-Start. Hier besteht die Möglichkeit, ein server-ca-Zertifikat lokal zu hinterlegen, um Verifikation des servers möglich zu machen. Ich bin mir nicht ganz sicher, was mit "tut sich nichts" gemeint ist, aber wenn eine valide opsi-CA im Einsatz ist und der configed auf aktuellem Stand, sollte dann die gewohnte opsi-configed Oberfläche erscheinen (und im Fall von "immer verbinden" wird das Zertifikat lokal abgelegt um bei der nächsten Verbindung dagegen zu prüfen). Sollte dem nicht so sein, gibt vielleicht das logfile des opsi-configed Aufschluss.

3. Wenn die Clients sich bei events nicht mehr mit dem server verbinden können, wäre ein opsiclientd.log dazu interessant. Wenn "opsiclientd.global.verify_server_cert" auf True steht, wird bei jeder initialen Verbindungsaufnahme eines Clients mit dem server versucht, anhand einer lokalen Kopie der opsi CA den server zu verifizieren. Die aktuell genutzte opsi CA, sowie das server-Zertifikat welches damit ausgestellt wurde, finden sich auf der admin-seite des opsi-servers. Bei (windows-)Clients wird es unter C:\opsi.org\tls\ abgelegt und dort auch regelmäßig geupdated.
Je nach Umständen sind hier ein paar übliche Problemlösungs-Ansätze: https://docs.opsi.org/opsi-docs-de/4.3/ ... em-solving

[brainy84]

danke hab alle Dinge behoben.

1 war die depotkonfig nicht angepasst.
2 hatte ich das opsi Zert eingespielt.
3 waren nachdem ich per Powershell die service_url aktualisiert habe, alle Sektionen doppelt vorhanden.
Wenn ich die doppelten entferne ist die Konfiguration wieder korrekt, die Frage ist wie kann ich automatisiert die doppelten sektionen entfernen? jemand noch eine Idee?