Fragen zum opsi-linux-client-agent

[uniquare]

Hallo

wir testen gerade den linux-Support und haben dafür einen neuen opsi-server (opsi4.0.4-servervm.zip + updates) ins Netz gehängt

Code: Alles auswählen

# dpkg -l | grep opsi
ii  opsi-atftpd                            0.7.dfsg-4                              advanced TFTP server - opsi version with pcre, fifo and max-blksize patches
ii  opsi-configed                          4.0.5.1.8-1                             OPSI config editor
ii  opsi-depotserver                       4.0.5.11-1                              opsi depotserver configuration package
ii  opsi-linux-bootimage                   20140919-2                              opsi linux bootimage
ii  opsi-nagios-plugins                    4.0.2.1-1                               opsi nagios plugins
ii  opsi-utils                             4.0.5.6-2                               opsi utils
ii  opsiconfd                              4.0.5.2-1                               opsi configuration service
ii  opsipxeconfd                           4.0.5.3-6                               opsi pxe configuration daemon
ii  python-opsi                            4.0.5.15-1                              opsi python library

#/etc/lsb-release
DISTRIB_ID=Ubuntu
DISTRIB_RELEASE=12.04
DISTRIB_CODENAME=precise
DISTRIB_DESCRIPTION="Ubuntu 12.04.5 LTS"

Weiters haben wir 2 VMs zum Testen als Clients inklusive aller - soweit wir das beurteilen können - relevanten Pakete.
opsitest1 .. Red Hat Enterprise Linux Server release 7.0 (Maipo) ist aber in Wirklichkeit ein Oracle Enterprise Linux 7.0
opsitest2 .. Ubuntu 14.04.1 LTS
Beide laufen ohne X, schicken aber bei Bedarf ihren grafischen Output an einen Windows-PC mit Xming.

Bei der Installation des opsi-linux-client-agents gemäß der Anleitung (/tmp/opsi-linux-client-agent/files/opsi/opsi-script/64/opsi-script -batch /tmp/opsi-linux-client-agent/files/opsi/setup.ins /var/log/opsi-client-agent/opsi-script/opsi-client-agent.log -PARAMETER INSTALL:CREATE_CLIENT:NOREBOOT) wird ein login-prompt für den Opsi-Server angezeigt. Bis zu diesem Fenster tauchen am Server im Logfile einträge in der Art

Code: Alles auswählen

[3] [Dec 17 13:31:20] 32 authentication failures from '10.10.209.1' in a row, waiting 60 seconds to prevent flooding (workers.py|85)
[5] [Dec 18 05:30:05] Application 'opsi-script 4.11.4.6' on client '10.10.209.1' did not send cookie (workers.py|166)
[5] [Dec 18 05:30:05] New session created (session.py|75)
[5] [Dec 18 05:30:05] Authorization request from adminuser@10.10.209.1 (application: opsi-script 4.11.4.6) (workers.py|193)
[5] [Dec 18 05:30:07] Session 'AWWRhsWHkmLwnQy77ym5QBuAde7aEPl7' from ip '10.10.209.1', application 'opsi-script 4.11.4.6' deleted (Session.py|211)
[2] [Dec 18 05:30:07] Traceback: (Logger.py|767)
[2] [Dec 18 05:30:07]      line 287 in '_errback' in file '/usr/lib/python2.7/dist-packages/OPSI/Service/Worker.py' (Logger.py|767)
[2] [Dec 18 05:30:07]      line 545 in '_runCallbacks' in file '/usr/lib/python2.7/dist-packages/twisted/internet/defer.py' (Logger.py|767)
[2] [Dec 18 05:30:07]      line 258 in '_authenticate' in file '/usr/lib/pymodules/python2.7/opsiconfd/workers.py' (Logger.py|767)
[2] [Dec 18 05:30:07]      ==>>> Opsi authentication error: Forbidden: Backend authentication error: Backend authentication error: PAM authentication failed for user 'adminuser': ('Authentication failure', 7) (Worker.py|289)

und

Code: Alles auswählen

[3] [Dec 18 05:30:07] 33 authentication failures from '10.10.209.1' in a row, waiting 60 seconds to prevent flooding (workers.py|85)
[5] [Dec 18 05:31:07] Application 'opsi-script 4.11.4.6' on client '10.10.209.1' did not send cookie (workers.py|166)
[5] [Dec 18 05:31:07] New session created (session.py|75)
[5] [Dec 18 05:31:07] Authorization request from adminuser@10.10.209.1 (application: opsi-script 4.11.4.6) (workers.py|193)
[5] [Dec 18 05:31:10] Session 'AVZXy3GuCWVJyJb22Ozkx6Vocr6epWHP' from ip '10.10.209.1', application 'opsi-script 4.11.4.6' deleted (Session.py|211)
[2] [Dec 18 05:31:10] Traceback: (Logger.py|767)
[2] [Dec 18 05:31:10]      line 287 in '_errback' in file '/usr/lib/python2.7/dist-packages/OPSI/Service/Worker.py' (Logger.py|767)
[2] [Dec 18 05:31:10]      line 545 in '_runCallbacks' in file '/usr/lib/python2.7/dist-packages/twisted/internet/defer.py' (Logger.py|767)
[2] [Dec 18 05:31:10]      line 258 in '_authenticate' in file '/usr/lib/pymodules/python2.7/opsiconfd/workers.py' (Logger.py|767)
[2] [Dec 18 05:31:10]      ==>>>  Opsi authentication error: Forbidden: Backend authentication error: Backend authentication error: PAM authentication failed for user 'adminuser': ('Authentication failure', 7) (Worker.py|289)

auf.

Anmeldung am Server ist dann sowohl als "adminuser" wie auch als "pcpatch" erfolgreich und die Installation des opsi-linux-client-agent wird ergfolgreich abgeschlossen.
Die Logindaten für pcpatch sind aber bereits im setup.ins vom Paket opsi-linux-client-agent hinterlegt, eigentlich hätten wir erwartet, daß opsitest[1,2] ohne weiteres Login hinzugefügt würden.
Frage1 : Ist dieses Verhalten (händische Authentifizierung) so gewollt? Wenn ja, gibt es eine möglichkeit auch fürs opsi-script-nogui einen Authentifizierungsdialog anzubieten um gänzlich auf X11-Komponenten verzichten zu können?

Auf opsitest2 (Ubuntu) gibt es im gegensatz zu opsitest1 (OEL / rpm-basierend) das script /usr/bin/opsiscriptstarterd nicht und es wird auch kein service angelegt.
Für beide clients lassen sich keine Aktionen vom Server aus starten ("on-demand")

Code: Alles auswählen

configed-Fehlermeldung "opsitest1.uniquare.com:	 Opsi timeout error: Timed out after 15 seconds ([Errno 103] Software caused connection abort)"
Server-Logfile : [3] [Dec 18 07:04:21] Rpc to host opsitest1.uniquare.com failed, error: Opsi timeout error: Timed out after 15 seconds ([Errno 103] Software caused connection abort) (HostControl.py|217)

Anmerkung: Ein start des services auf opsitest1 ist erfolgreicher - scheitert aber vorerst daran das Share zu mounten (nach Installation der cifs-utils hauts hin).
Auch das händische starten auf opsitest2 mit "opsiscriptstarter --nogui" verläuft erfolgreich.
Frage2 : Ist ein laufendes Service wie für Windows-Clients angedacht, um über das configed-Frontend Aktionen zu starten, oder ist der vorgesehene Ablauf die Paket-Aktionen im configed zu setzen und dann vom Zielsystem aus opsiscriptstarter[d] auszuführen?

Anmerkung: Die bestimmung der IP-Addr mittels ifconfig ist zumindest für opsitest1 (OEL) nicht ohne weiteres möglich, da bei der Basisinstallation die net-tools fehlen und außerdem kein eth0 device vorhanden ist.

[d.oertel]

Hi,

zunächstmal Danke für das geduldig forschende Interesse am opsi-linux Projekt.

Der service opsiclientd ist gerade in der Portierung von Windows nach Linux.
Er wird sobald als möglich Bestandteil des opsi-linux-client-agent werden (und den opsiscriptstarter ersetzen).
Wahrscheinlich passiert dies im ersten Schritt für die NoGUI installation.
Bis dahin funktioniert der 'on_demand' Aufruf noch nicht.
Was geht: per ssh 'opsiscriptstarter --nogui' bzw X restart (z.B. durch aus loggen).

Die Installation des opsi-linux-client-agent auf vorhandenen Maschinen im NoGUI Mode wird in den nächsten Wochen gefixed.

Die Installationsmimik ist derzeit weitgehend von der Windows Version übernommen Bei dieser Mimik wird immer Versucht zunächst mit einem in der config.ini hinterlegten User/Passwort den Login zu bekommen. Wenn dies nicht klappt wird ein interaktiver Login aufgerufen. Dieser funktioniert daher derzeit nur im GUI Mode.

Das Projekt wird noch eine Weile in heftiger Weiterentwicklung sein ....

gruß
d.oertel