opsi 4.3 August-Release

[j.schneider]

Liebe opsi-Community,

wir freuen uns, heute die offizielle Freigabe des neuesten opsi-Releases bekanntzugeben.


Neues Bootimage

Das opsi-linux-bootimage wurde grundlegend überarbeitet und auf den neuesten Stand gebracht.
Es basiert nun auf dem aktuellen Linux-Kernel 6.16 und bietet zahlreiche Verbesserungen in Bezug auf Stabilität, Flexibilität und Konfigurierbarkeit.

Ein zentrales Element der Modernisierung betrifft die Netzwerkkonfiguration.
Diese erfolgt jetzt über systemd-networkd.
Alle kabelgebundenen Netzwerkschnittstellen werden automatisch per DHCP eingerichtet.
Das Bootimage wartet dabei so lange, bis mindestens ein Gerät den Zustand routable erreicht.
Für Diagnose und Verwaltung steht das Kommando `networkctl` bereit, mit dem sich der Status einzelner Netzwerkgeräte abfragen und anpassen lässt.

Auch die opsi-spezifischen Abläufe des Bootprozesses wurden vereinfacht.
Es gibt nun nur noch einen zentralen opsi-Dienst (`opsi.service`), der beim Systemstart automatisch aktiviert wird.
Dieser Dienst startet zunächst das Skript opsimain.sh (vormals master.sh), das vorbereitende Aufgaben übernimmt und anschließend das Python-Skript opsimain (früher master) aufruft.
Letzteres stellt die Verbindung zum opsi-Service her und verarbeitet das Netboot-Produkt.

Die Darstellung auf den virtuellen Terminals ist nun klar getrennt:
Auf TTY 1 erscheinen die Kernel- und systemd-Meldungen oder wahlweise ein Splash-Screen.
Das opsimain-Skript läuft auf TTY 2.
Die TTYs 3 bis 6 stehen mit gettys für eine direkte Anmeldung am System zur Verfügung.
Wie gewohnt kann per <Ctrl>+<Alt>+<F1–F6> zwischen den Terminals gewechselt werden.

Auch beim Bootloader gibt es Neuerungen: Das Bootimage setzt nun auf GRUB 2.12-52.1.
Die Konfigurationen wurden grundlegend überarbeitet und deutlich vereinfacht.
Das mitgelieferte ISO-Image, das für Bootvorgänge per CD/DVD oder USB-Stick – sowohl im EFI- als auch im Legacy-BIOS-Modus – genutzt werden kann, verwendet nun ebenfalls vollständig GRUB.


Die opsi-spezifischen Kernel-Parameter wurden grundlegend überarbeitet und klarer strukturiert. Damit stehen nun vielfältige Möglichkeiten zur Verfügung, um das Bootimage flexibel an unterschiedliche Umgebungen und Anforderungen anzupassen. Die folgenden Parameter können genutzt werden:

• `hn`: Legt den Hostnamen des Systems fest.
• `dn`: Bestimmt den Domainnamen des Systems.
• `service`: Gibt die Adresse des opsi-Dienstes an, mit dem sich das Bootimage verbinden soll.
• `pckey`: Der für die Authentifizierung zu verwendende opsi-Hostschlüssel.
• `otp`: Ein einmalig gültiges Passwort (One-Time Password) zur Authentifizierung; kann alternativ zum `pckey` eingesetzt werden.
• `opsi_ui`: Wählt die Benutzeroberfläche von opsi aus. Unterstützt werden `splash` (grafischer Startbildschirm) und `tui` (textbasiert). Standardmäßig wird `tui` genutzt.
• `lang`: Definiert die Systemsprache und das Locale. Mögliche Formate sind `<language>[territory][.codeset]`, beispielsweise `en`, `enUS` oder `en_US.UTF8`.
• `tz`: Setzt die Systemzeitzone. Ein typisches Beispiel ist `Europe/Berlin`. Standardmäßig ist `UTC` eingestellt.
• `pwh`: Ermöglicht das Setzen eines Passworts oder eines Passwort-Hashes für den Benutzer `root`. Unterstützt wird das Hash-Format `$<hash-type>$<salt>$<hash>`.
• `macaddress`: Weist einem Netzwerkgerät eine benutzerdefinierte MAC-Adresse zu.
• `nodhcp`: Schaltet die automatische Konfiguration über DHCP für Netzwerkschnittstellen aus.
• `splash`/`nosplash`: Aktiviert oder deaktiviert den grafischen Splash-Screen beim Systemstart.
• `tcpdump`: Startet die Netzwerkpaketaufzeichnung in der Datei `/tmp/tcpdump.pcap`. Zusätzlich können hier Parameter übergeben werden, die direkt als Optionen an `tcpdump` weitergereicht werden.
• `opsi_loglevel`: Definiert das Log-Level (0-9) für opsi.
• `product`: Gibt die Produkt-ID an, die vom Bootimage verarbeitet werden soll.
• `ask_conf`: Veranlasst das System, bestimmte Konfigurationswerte interaktiv abzufragen bzw. vom Benutzer bestätigen zu lassen.

Mit diesen Neuerungen ist das Bootimage nun moderner und flexibler geworden.
Die Arbeiten an der Weiterentwicklung gehen weiter: In einem der kommenden Releases wird die Modernisierung fortgeführt und das Bootimage erhält Unterstützung für die arm64-Architektur.

opsi-cli

Der Funktionsumfang von opsi-cli wurde erweitert und Fehler behoben.

Neu ist die Befehlsgruppe `opsi-cli package meta-edit`, mit der sich Metadaten in opsi-Quellpaketen automatisiert bearbeiten lassen.
Aktuell stehen die Befehle `add-product-dependency` und `remove-product-dependency` zur Verfügung, die das Erstellen und Entfernen von Paketabhängigkeiten ermöglichen.
Im folgenden Beispiel wird eine Abhängigkeit für die Aktion `setup` zum Produkt `firefox` hinzugefügt und anschließend wieder entfernt:

Code: Alles auswählen

opsi-cli package meta-edit add-product-dependency --product-action setup --required-product-id firefox --required-action setup
opsi-cli package meta-edit remove-product-dependency --product-action setup --required-product-id firefox

Die neue Option `--include-netboot` des Befehls `client-action set-action-request` ermöglicht nun das Setzen von Aktionen für Netboot-Produkte.

Mit `client-action reboot` steht ein neuer Befehl zur Verfügung, um Clients direkt über die Befehlszeile neu zu starten.

Schließlich wurde ein Fehler in der Verarbeitung von Netzwerkadressen innerhalb der Befehlsgruppe `client-action` behoben.

opsiconfd

Der Schwerpunkt beim neuen opsiconfd liegt auf der Verbesserung der Stabilität.
Neben einigen neuen Funktionen wurden vor allem bestehende Funktionen überarbeitet und kleinere Probleme behoben.

Der Health-Check und die Diagnosedaten erhielten kleine Korrekturen und Verbesserungen.
Darüber hinaus ist es jetzt möglich, die Konfigurationsdateien auch auf Dateisystemen abzulegen, die lediglich lockf- und nicht flock-Support bereitstellen, etwa bei der Nutzung von NFS.

Eine weitere Neuerung betrifft die Konfigurationsparameter `networks` und `admin-networks`.
Diese akzeptieren ab sofort auch Hostnamen.
Dadurch wird die Konfiguration flexibler und besser an unterschiedliche Umgebungen anpassbar.

Verschlüsselte Root-Partition für Debian und Mint

Für die Netboot-Produkte debian und mint steht nun der neue Modus partition_method "crypto" bereit.
Damit lassen sich Installationen mit verschlüsselter Root-Partition durchführen.

opsi-client-agents

In den opsi-client-agents wurde ein Fehler im Umgang mit WAN-Konfigurationen behoben.

Debian 13

Die Unterstützung für Debian 13 wurde erweitert.
Serverseitige Pakete stehen nun zur Verfügung, ebenso ein eigenes Netboot-Paket.
Zusätzlich bietet das allgemeine Debian-Netboot-Paket jetzt die Option trixie.
Das Tool l-debuntu-upgrade kann außerdem genutzt werden, um Systeme auf Debian 13 oder Mint 22-1 zu aktualisieren.

opsi-configed

Das Administrationswerkzeug opsi-configed wurde optisch überarbeitet und durch kleinere Korrekturen verbessert.
Die Warnmeldungen zu überschrittenen opsi-Modulen richten sich nun gezielt an aktive Clients.
Im Kontextmenü sind die sichtbaren Spalten in der gleichen Reihenfolge sortiert wie in den Tabellen.
Zudem lassen sich Product-Propertys und Konfigurationseinträge in mehrzeiligen Editoren anzeigen und bearbeiten, was insbesondere über das Kontextmenü komfortabel möglich ist.


Pakete für opsi 4.3 stable:

== OPSI_PACKAGE ==

• debian11 4.3.0.3-3
• debian12 4.3.0.3-3
• debian13 4.3.0.3-3
• l-debuntu-upgrade 4.3.0.2-1
• l-opsi-server 4.3.0.9-4
• mint21 4.3.0.2-3
• mint21-1 4.3.0.2-3
• mint21-2 4.3.0.2-3
• mint21-3 4.3.0.2-3
• mint22 4.3.0.2-3
• mint22-1 4.3.0.2-3
• opsi-cli 4.3.27.1-1
• opsi-client-agent 4.3.13.8-1
• opsi-configed 4.3.13.2-1
• opsi-linux-client-agent 4.3.13.8-1
• opsi-local-image-win10 4.3.0.2-13
• opsi-local-image-win10-capture 4.3.0.2-13
• opsi-local-image-win10-x64 4.3.0.2-13
• opsi-local-image-win10-x64-capture 4.3.0.2-13
• opsi-local-image-win11-x64 4.3.0.2-13
• opsi-local-image-win11-x64-capture 4.3.0.2-13
• opsi-mac-client-agent 4.3.13.8-1
• opsi-vhd-win10-x64 4.3.0.2-13
• opsi-vhd-win11-x64 4.3.0.2-13
• sles15-1 4.3.0.0-1
• sles15-2 4.3.0.0-1
• sles15-3 4.3.0.0-1
• sles15-4 4.3.0.0-1
• sles15-5 4.3.0.0-1
• sles15-6 4.3.0.0-1
• sles15-7 4.3.0.0-1
• ubuntu 4.3.0.3-3
• ubuntu22-04 4.3.0.2-7
• ubuntu24-04 4.3.0.2-7
• win10 4.3.0.2-13
• win10-captured 4.3.0.2-13
• win10-x64 4.3.0.2-13
• win10-x64-captured 4.3.0.2-13
• win11-x64 4.3.0.2-13
• win11-x64-captured 4.3.0.2-13
• win2012-r2 4.3.0.2-13
• win2016 4.3.0.2-13
• win2019 4.3.0.2-13
• win2022 4.3.0.2-13
• win2025 4.3.0.2-13

== TOOL ==

• opsi-cli 4.3.27.1
• opsi-client-agent-msi 4.3.13.8
• opsi-configed-portable 4.3.13.2
• opsi-linux-bootimage.iso 20250825
• opsi-logviewer-portable 4.3.13.2

== SERVER_PACKAGE ==

• opsi-directory-connector 51.1
• opsi-linux-bootimage 20250825
• opsi-tftp-hpa 5.2.9-4
• opsi-utils 4.3.17.0
• opsiconfd 4.3.37.7

Ihr uib-Team

[feltel]

Update auf Debian Trixie samt OPSI-Depot läuft so erstmal sauber durch und Clients connecten sich und können installieren. Allerdings scheint es ein Problemchen mit dem Package-Updater zu geben. Wir aktualisieren (seit Aeonen) die abgesetzten Depos über ein im Internet stehendes Apache-"Verzeichnis", das über HTTPS und Username/Password gesichert ist. Lief jahrelang störungsfrei. Jetzt stoppt der Updater an einem HTTP-403-Error, sprich Auth, was er vom Apachen bekommt. Dann müsste er es eigentlich nochmal mit Username/Password versuchen, was aber wohl nicht passiert.

Code: Alles auswählen

[6] [2025-08-27 09:52:45.695] [               ] Getting package infos from repository 'nova' (https://ein_apache_im_internet.de)   (Updater.py:1187)
[6] [2025-08-27 09:52:45.695] [               ] Opening session for repository 'nova' (https://ein_apache_im_internet.de)   (Updater.py:1362)
[6] [2025-08-27 09:52:45.695] [               ] Using proxy settings: http_proxy=None, https_proxy=None, no_proxy='*'   (__init__.py:272)
[7] [2025-08-27 09:52:45.695] [               ] Initiating session with verify=False   (Updater.py:1384)
[7] [2025-08-27 09:52:45.696] [               ] Starting new HTTPS connection (1): ein_apache_im_internet.de:443   (connectionpool.py:1049)
[7] [2025-08-27 09:52:45.785] [               ] https://ein_apache_im_internet.de:443 "HEAD / HTTP/1.1" 403 0   (connectionpool.py:544)
[3] [2025-08-27 09:52:45.786] [               ] Failed to connect to repository nova: 403 -    (Updater.py:1387)
[7] [2025-08-27 09:52:45.793] [               ] https://localhost:4447 "POST /session/logout HTTP/1.1" 200 17   (connectionpool.py:544)
[3] [2025-08-27 09:52:45.795] [               ] Failed to connect to repository 'nova': 403 -    (opsipackageupdater.py:457)

Die auf dem abgesetzten Depo angelegte Update-Repo-Configdatei ist seit Jahren die gleiche.

[feltel]

Nachtrag: Der selbe Fehler tritt auch auf Debian 12 auf, das nur die neuesten OPSI-Debian-Pakete eingespielt bekommen hat. Der Fehler hat also nicht zwingend etwas mit dem Upgrade auf Debian 13 zu tun.

[feltel]

Gibt es hier schon Neuigkeiten in Sachen Updater-Bug bei kennwortgeschützten HTTP-Repos? ist schon ziemlich hinderlich, weil keine neuen Pakete mehr an den abgesetzten Depots ankommen. Wie es scheint wurde die HTTP-Bibliothek geändert, die der Updater nutzt. Der User-Agent-String ist jetzt ein anderer.

[j.schneider]

Liebe opsi-Community,

wir haben soeben ein Hotfix-Release freigegeben.

opsi-linux-bootimage

Das neue opsi-linux-bootimage basiert nun auf Ubuntu 25.04 und bringt dadurch eine aktuellere systemd-Version mit.
Es behebt außerdem ein Problem, bei dem bei Verwendung von Microsoft-DHCP-Servern verschiedenen Geräten fälschlicherweise dieselbe IP-Adresse zugewiesen wurde.
Zusätzlich wird jetzt der Domain-Name des Geräts automatisch aus der vom DHCP-Server übermittelten Domain Search List übernommen, sofern er nicht auf anderem Weg gesetzt wurde.

debian

Die neuen Versionen von debian 11, 12 und 13 beheben ein Problem, welches bei der Installation auf Depots aufgetreten ist, die vorher kein debian-Paket installiert hatten.



Pakete für opsi 4.3 stable:

== OPSI_PACKAGE ==

• debian11 4.3.0.3-4
• debian12 4.3.0.3-4
• debian13 4.3.0.3-4

== SERVER_PACKAGE ==

• opsi-linux-bootimage 20250902

== TOOL ==

• opsi-linux-bootimage.iso 20250902

Ihr uib-Team

[j.schneider]

Liebe opsi-Community,

wir haben soeben ein Hotfix-Release freigegeben.

Das aktuelle opsi-linux-bootimage enthält mehrere Verbesserungen und Fehlerbehebungen:

• Es kann nun festgelegt werden, welcher DHCPv4-Client-Identifier verwendet wird: entweder die MAC-Adresse (`mac`) oder eine DUID (`duid`). Standardmäßig wird `mac` genutzt, um Kompatibilitätsprobleme mit bestimmten DHCP-Servern zu vermeiden.
• Bei der manuellen Netzwerkeinrichtung in der opsi-UI wird die Netzwerkmaske jetzt korrekt angezeigt.
• Über den neuen Kernel-Parameter `ssh` lässt sich der SSH-Dienst beim Systemstart aktivieren. Ohne diesen Parameter wird der SSH-Server nicht gestartet.
• GRUB wurde auf Version 2.12-59.1 aktualisiert. Zudem wurde ein Darstellungsproblem im GRUB-Menü durch die Integration einer neuen Schriftart behoben.

Pakete für opsi 4.3 stable:

== SERVER_PACKAGE ==

• opsi-linux-bootimage 20250905

== TOOL ==

• opsi-linux-bootimage.iso 20250905

Ihr uib-Team