PXE Installation via Depotserver -> Unauthorized

[Dirk Uebe]

Hallo zusammen,

da wir bisher wunderbar mit OPSI klargekommen sind wollten wir nun für unsere Standorte Depotserver aufsetzen.

Sowohl die Installation als auch Konfiguration hat wunderbar funktioniert. Auch die Kommunikation zwischen Config- und Depotserver scheint zu funktionieren.

Leider kann ich jedoch keine Clients via PXE am Depotserver installieren.
Nach dem Starten erscheint folgende Fehlermeldung, sowohl am Client (blauer Hintergrund) als auch in den Log-Files des Configservers:

"Connection to service 'https://FQDNopsiconfigserver:4447/rpc' failed: Opsi service authentication error: 401 Client Error: Unauthorized for url: https://FQDNopsiconfigserver:4447/rpc"

Im opsiconfd-log am Configserver steht unter der IP-Log-Depotserver folgende Fehlermeldung:
"Opsi service authentication error: Authentication of host 'FQDN-Client' failed (session.py:264)"

Der Client wurde über den Befehl "opsi-admin -d method host_createOpsiClient FQDN "null" HOSTNAME "" MAC IP" am Depotserver hinzugefügt und ist auch sofort im Config ersichtlich. Danach wurde der Client in das Depot verschoben. Von hier aus sollte er installiert werden.
Netzwerkverbindung steht soweit, sowohl Namensauflösung und Ping etc geht, Firewall ist alles ok.

In den client-Host-Parameter steht auch als "clientconfig.configserver.url" der Configserver drin, bei "clientconfig.depot.id" der Depotserver.
Das PXE an sich funktioniert ja einwandfrei, aber irgendwie kann sich der Client nicht an dem Configserver anmelden

Noch der aktuelle Stand:
Sowohl Config-server als auch Depotserver sind auf dem aktuellsten 4.3 Stand.
Config-Server als fertige VM
Depot-Server als Debian12 mit installiertem Opsi über Quickinstall

Vielen Dank für Ideen und/oder Ratschläge!

Liebe Grüße aus Nürnberg
Dirk

[j.schneider]

Hallo!

Bitte einmal im opsi-configed prüfen, ob an dem Client ein gültiger opsi-host-key hinterlegt ist.

Grüße
Jan Schneider

[Dirk Uebe]

Hey,

Vielen Dank für deine Antwort.

Im Configed ist ein Host-Key eingetragen. Allerdings, wie kann ich herausfinden, ob der valide ist?

Irgendwie sieht es für mich so aus, als würde nach dem TFTP der Zugriff auf den Share nicht gehen.
Dabei sind die User auf dem Configserver und dem Depot identisch, auch die Passwörter.
Ebenso habe ich schonmal das PW vom pcpatch geändert über den opsi-befehl, leider ohne Besserung.

Schöne Grüße
Dirk

[j.schneider]

Hallo,

laut Fehlermeldung scheitert die Authentifizierung am Configserver (rpc).
Wenn Du für den Client ein Netboot-Produkt auf "setup" stellst, wird auf dem Depot unter:
/tftpboot/opsi/opsi-linux-bootimage/cfg/01-<mac-addresse>
eine Boot-Konfiguration geschrieben.
Die Datei einfach mal per cat auslesen.
In der Datei findest Du Werte für dn, hn und pckey.
Bitte einmal prüfen, ob hn + dn die ClientID ergeben und der pckey dem Host-Key entspricht, der im opsi-configed angezeigt wird.

Habt ihr in der ospiconfd.conf auf dem Configserver "networks" konfiguriert?

Grüße
Jan Schneider

[Dirk Uebe]

Guten Morgen Jan,

in der cfg unter /tftpboot/... steht als hn der Hostname und dn die Domain, soweit richtig.
Der pckey ist auch der selbe wie im opsi-configed angegeben bzw automatisch angelegt wurde. Das passt als meiner Meinung nach auch.
Auch die MAC ist hier richtig sowie als "service" der Configserver angegeben.

In opsiconfd.conf ist "networks" auskommentiert, also nicht aktiv.

[j.schneider]

Da bräuchte ich mal die komplette Bootimage-Log-Datei.
Diese liegt auf dem Client in /tmp/log und kann per SSH kopiert werden.

[Dirk Uebe]

Da bräuchte ich mal die komplette Bootimage-Log-Datei.
Diese liegt auf dem Client in /tmp/log und kann per SSH kopiert werden.

Mit welchem User komm ich denn auf den Client? Weder root noch die adminusers funktionieren, welche im Opsi hinterlegt sind, noch der pcpatch user. In welchem Kontext startet denn das bootimage?

[j.schneider]

Soweit nicht anders konfiguriert root mit Passwort linux123.

[Dirk Uebe]

Super, danke für die Hilfe.
Hier ist mal die log Datei von dem Client.

[j.schneider]

Okay, in dem Log ist auch nicht viel mehr zu erkennen.
Was genau steht in den Server-Logs unter /var/log/opsi/opsiconfd/opsiconfd.log bzw. /var/log/opsi/opsiconfd/<client-ip>.log ?

Grüße
Jan Schneider