[gelöst] OPSI/UCS - Installation über opsi-package-manager schlägt fehl wegen Datei-/Verzeichnisrechten
Verfasst: 06 Jan 2017, 23:39
Hallo,
ich habe opsi (4.07.17) auf einer aktuellen UCS Installation (4.1-4) laufen. Um die Systemplatte zu schonen habe ich das opsi-Verzeichnis mit fuse.bindfs auf eine zweite Partition "ausgelagert" (Auszug /etc/fstab):
Der Umweg über fuse.bindfs war nötig, da bei einem regulären mount über die fstab der Besitzer/die Gruppe des opsi-Verzeichnisses nicht mehr gepasst hätten (root:root statt pcpatch:opsifileadmins).
Nach einer erfolgreichen netboot-installation von Win10 auf einem Test-PC wollte ich nun Zusatzsoftware über OPSI ausrollen - konkret Firefox. Ich konnte mit Hilfe des opsi-setup-detectors und des opsi-package-builders auch ein entsprechendes opsi-Paket schnüren und auf meinen UCS/OPSI-Server in die opsi-workbench verschieben.
Alle Versuche, das Paket über den opsi-package-builder bzw. direkt auf dem Server über den opsi-package-manager zu installieren schlugen jedoch fehl, unabhängig davon mit welchem Benutzer ich die Installation starte (getestet habe ich pcpatch, opsiconfd, root).
Die erste Fehlermeldung lautet:
Grund sind die Rechte der Datei, die zu eng gesetzt werden:
Darüber komme ich mit einem opsi-set-rights noch hinweg, da bei einem erneuten Start von opsi-package-manager die Datei ja nicht nochmal hochgeladen wird und die angepassten Rechte den Zugriff erlauben.
Ich weiteren Verlauf tritt ein vergleichbarer Fehler auf:
Auch hier sind die Rechte auf das Verzeichnis /var/lib/opsi/depot/mozilla-firefox--de-falsch gesetzt:
Wenn ich mit den o.g. Benutzern eine Datei im Repository bzw. ein Verzeichnis im Depot anlege, stimmen die Rechte:
Auch der Einsatz von ACLs mit Default-Rechten für die User/Gruppe hat nichts gebracht, opsi-package-manager schafft es die ACL-Maske auf --- zu setzen und damit wieder der Gruppe den Zugriff zu entziehen...
Hat hier vielleicht noch jemand eine Idee, woran es liegen könnte? Als workaround kopiere ich derzeit die Dateien über den Samba-Depot-Share ins passende Verzeichnis (nach dem opsi-set-rights) und kann so Firefox ausrollen, aber auf Dauer ist das ja keine Lösung...
Vielen Dank schonmal für die Hilfe, wenn ihr weitere Informationen braucht kann ich diese gerne posten!
Stefan
ich habe opsi (4.07.17) auf einer aktuellen UCS Installation (4.1-4) laufen. Um die Systemplatte zu schonen habe ich das opsi-Verzeichnis mit fuse.bindfs auf eine zweite Partition "ausgelagert" (Auszug /etc/fstab):
Code: Alles auswählen
/srv/daten-opsi /var/lib/opsi fuse.bindfs nonempty,owner=pcpatch,group=opsifileadmins 0 2Nach einer erfolgreichen netboot-installation von Win10 auf einem Test-PC wollte ich nun Zusatzsoftware über OPSI ausrollen - konkret Firefox. Ich konnte mit Hilfe des opsi-setup-detectors und des opsi-package-builders auch ein entsprechendes opsi-Paket schnüren und auf meinen UCS/OPSI-Server in die opsi-workbench verschieben.
Alle Versuche, das Paket über den opsi-package-builder bzw. direkt auf dem Server über den opsi-package-manager zu installieren schlugen jedoch fehl, unabhängig davon mit welchem Benutzer ich die Installation starte (getestet habe ich pcpatch, opsiconfd, root).
Die erste Fehlermeldung lautet:
Code: Alles auswählen
Backend I/O error: Failed to get md5sum: [Errno 13] Permission denied: u'/var/lib/opsi/repository/mozilla-firefox--de-_45.6.0.0-1.opsi'Code: Alles auswählen
-rw-------+ 1 pcpatch opsifileadmins 46269440 Jan 6 23:26 mozilla-firefox--de-_45.6.0.0-1.opsiIch weiteren Verlauf tritt ein vergleichbarer Fehler auf:
Code: Alles auswählen
Backend error: Failed to install package '/var/lib/opsi/repository/mozilla-firefox--de-_45.6.0.0-1.opsi' on depot 'XXX': [Errno 13] Permission denied: '/var/lib/opsi/depot/mozilla-firefox--de-'Code: Alles auswählen
rwx--S--- 2 pcpatch opsifileadmins 4096 Jan 6 22:55 mozilla-firefox--de-Code: Alles auswählen
drwxrws--- 2 pcpatch opsifileadmins 4096 Jan 6 23:17 testHat hier vielleicht noch jemand eine Idee, woran es liegen könnte? Als workaround kopiere ich derzeit die Dateien über den Samba-Depot-Share ins passende Verzeichnis (nach dem opsi-set-rights) und kann so Firefox ausrollen, aber auf Dauer ist das ja keine Lösung...
Vielen Dank schonmal für die Hilfe, wenn ihr weitere Informationen braucht kann ich diese gerne posten!
Stefan
