forum.opsi.org

opsi support forum
https://forum.opsi.org/

HTTP-Auth beim opsi-product-updater broken

https://forum.opsi.org/viewtopic.php?t=14767

Seite 1 von 1

HTTP-Auth beim opsi-product-updater broken

Verfasst: 08 Sep 2025, 12:37
von feltel
Ich will das hier nochmal "offiziell" als Bugreport einstellen, weil es wohl bei den Release-Ankündigungen etwas untergegangen ist. Mit dem August-Release von OPSI ist ein Bug eingeführt worden, der es verhindert, das der Product-Updater Pakete von HTTP-Passwort-geschützten Verzeichnissen updaten kann. Der Product-Updater bekommt beim ersten Versuch auf so ein Repo zuzugreifen richtigerweise vom Webserver ein HTTP/403 und müsste eigentlich den Zugriff nochmal mit Username+Password probieren, aber genau das erfolgt nicht. Das Ergebnis ist, das der Product-Updater dann abbricht und keine neuen Pakete herunterlädt.

Die Fehlermeldung sieht so aus:

Code: Alles auswählen

[6] [2025-08-27 09:52:45.695] [               ] Getting package infos from repository 'nova' (https://ein_apache_im_internet.de)   (Updater.py:1187)
[6] [2025-08-27 09:52:45.695] [               ] Opening session for repository 'nova' (https://ein_apache_im_internet.de)   (Updater.py:1362)
[6] [2025-08-27 09:52:45.695] [               ] Using proxy settings: http_proxy=None, https_proxy=None, no_proxy='*'   (__init__.py:272)
[7] [2025-08-27 09:52:45.695] [               ] Initiating session with verify=False   (Updater.py:1384)
[7] [2025-08-27 09:52:45.696] [               ] Starting new HTTPS connection (1): ein_apache_im_internet.de:443   (connectionpool.py:1049)
[7] [2025-08-27 09:52:45.785] [               ] https://ein_apache_im_internet.de:443 "HEAD / HTTP/1.1" 403 0   (connectionpool.py:544)
[3] [2025-08-27 09:52:45.786] [               ] Failed to connect to repository nova: 403 -    (Updater.py:1387)
[7] [2025-08-27 09:52:45.793] [               ] https://localhost:4447 "POST /session/logout HTTP/1.1" 200 17   (connectionpool.py:544)
[3] [2025-08-27 09:52:45.795] [               ] Failed to connect to repository 'nova': 403 -    (opsipackageupdater.py:457)
Das ganze tritt sowohl mit Debian 12 als auch mit 13 auf. Die OPSI-Pakete sind auf ff. Releasestand:

Code: Alles auswählen

feltel@nebula:~$ dpkg -l|grep opsi
rc  opsi-atftpd                     0.7.dfsg-7                           amd64        advanced TFTP server - opsi version with pcre, fifo and max-blksize patches
ii  opsi-configed                   4.0.7.6.34-2                         all          OPSI config editor
ii  opsi-linux-bootimage            20250902-1                           all          opsi bootimage for netboot tasks.
ii  opsi-server                     4.3.5.1-1                            all          opsi server
ii  opsi-tftpd-hpa                  5.2.9-4                              amd64        HPA's tftp server
ii  opsi-utils                      4.3.17.0-1                           amd64        Utilities for working with opsi
ii  opsiconfd                       4.3.37.7-1                           amd64        opsi configuration service
ii  opsipxeconfd                    4.3.8.1-1                            amd64        opsi pxe configuration service
rc  python-opsi                     4.1.1.101-1                          all          opsi python library
Das Setup lief so seit der OPSI-Einführung vor mehr als zehn Jahren und über mehrere OPSI- und Debian-Generationen hinweg problemlos.

Re: HTTP-Auth beim opsi-product-updater broken

Verfasst: 08 Sep 2025, 14:29
von SirTux
Das Problem kann ich für uns mit dem o4i-Repository unter Ubuntu 24.04 nicht bestätigen. Vielleicht gibt es ein Problem mit eurer Config

Re: HTTP-Auth beim opsi-product-updater broken

Verfasst: 08 Sep 2025, 14:41
von feltel
Die hat sich aber dummerweise nicht geändert. Das einzig neue waren die August OPSI-Pakete.

Re: HTTP-Auth beim opsi-product-updater broken

Verfasst: 08 Sep 2025, 14:54
von SirTux
Das mag ja sein. Aber da es bei uns geht scheint das Feature nicht grundsätzlich kaputt zu sein. Insofern besteht die Möglichkeit, daß eure Config Fehlerhaft ist und es eher ein Bug war, daß es vorher funktioniert hat. Auf jeden Fall gibt es ohne weitere Informationen potentielle Schwierigkeiten den Fehler zu reproduzieren.

UIB wird dieses Feature höchstwahrscheinlich auch für ihre Abos nutzen. Insofern sollte es denen schon aufgefallen sein, wenn dort was grundsätzlich kaputt wäre.

Re: HTTP-Auth beim opsi-product-updater broken

Verfasst: 08 Sep 2025, 15:02
von feltel
Ich habe einen Ansatz. Die Updates sind bei uns in einem Unterverzeichnis, was dem Configserver entspricht. Hier "nova". Für das Verzeichnis ist auch Directory-Listing per Apache-Config zulässig. Für das übergeordnete Verzeichnis, also /, nicht. Das habe ich jetzt testweise mal dort angeknipst und schon geht der Updater wieder. Insofern ist das eine Änderung in der Funktionsweise des Updaters, die mit dem August-Update eingeführt wurde. Keine Ahnung, warum er auch im übergeordneten Verzeichnis schauen will. Hängt vielleicht mit der Änderung der HTTP-Lib zusammen. OPSI scheint hierfür jetzt python-requests/2.32.3 zu nutzen. Das ist jetzt kein Beinbruch und ich will da auch keine große Sache draus machen.
Alle Zeiten sind UTC+02:00
Seite 1 von 1

Powered by phpBB® Forum Software © phpBB Limited

Deutsche Übersetzung durch phpBB.de