forum.opsi.org

Hallo zusammen,

ich habe eine spezielle Problemstellung:
Wir haben eine außenstelle, deren Netz wir grundsätzlich nicht vertrauen
(Schüler arbeiten dort und können prinzipiell eigene Geräte an das Netz hängen, da unbeaufsichtigt und ohne NAC)

Wir haben aus diesem Grund nur einen vollen Zugriff für Verbindungen, die von uns aus initiiert werden.
Ansonsten kann ich aus Sicherheitsgründen lediglich eine SSH-Verbindung (von uns aus initiiert) mit Tunneln zum OPSI-Außenstellenserver realisieren.
Leider liegt die Policy nicht in meiner Hand und es hieß entweder bekommst dus so hin oder gar nicht.

Meine Frage ist jetzt: Gibt es hierfür eine Lösung? Kann ich einen Depotserver so installieren, dass die Konfig zwar zentral am Server bei uns gemacht wird, die Clients aber ausschließlich mit dem Depot lokal kommunizieren?
Die Kommunikation zwischen beiden Depots könnte man ja mittels SSH-Tunnel realisieren.
Der zentrale Server kann technisch gesehen die Clients erreichen, nur die Clients nicht den zentralen Server...

Hallo Alex

dark alex hat geschrieben: Kann ich einen Depotserver so installieren, dass die Konfig zwar zentral am Server bei uns gemacht wird, die Clients aber ausschließlich mit dem Depot lokal kommunizieren?

nein, das geht so nicht, da bei der Standardmultidepotumgebung die Clients stets beim zentralen opsi-server nachfragen bzw. auch an diesen Ihre Stände zurückmelden.

Von daher würde ich einen opsi-server standalone in diese Aussenstelle aufsetzen.

Die opsi-Pakete lassen sich ja austauschen (z.B. über rsync/ssh),

Gruss
Bardo Wolf

alles klar, danke!