Seite 1 von 1

opsi-client-agent (config.ini) / Verbesserungen

Verfasst: 09 Nov 2017, 20:45
von tb-killa
Wir rollen den opsi-client-agent aufgrund der fehlenden Möglichkeit, dass der OPSI Server kein ICMP Ping zu den Client-Netzen darf nicht per "Verteilung opsi-client-agent" sondern gebaut als msi aus (per GPO + wmi Filter) mit entsprechend vorher angepasster config.ini (files\opsi\cfg\config.ini) im Bereich "service_hidden_password".

Unserer Meinung nach sollte dies Standard sein, da Klartextpasswörter immer ein Sicherheitsrisiko darstellen (auch nicht solange es nicht die Möglichkeit gibt einen dedizierten Admin-Client-Rollout-Admin anzulegen (viewtopic.php?f=7&t=9620)).
Desweiteren finden wir, sollte es Standardmäßig per opsi-admin SSH Context die Möglichkeit geben, dieses Passwort entsprechend zu setzen und somit die config.ini direkt anzupassen.
Ob es hier Sinn macht, diese Option auch im der configed Gui (java) einzubauen muss abgewägt werden, wir sehen eher entweder Verschlüsselt als Standard und / oder (eher UND) den dedizierten Admin-Client-Rollout-Admin (ebenfalls Verschlüsseltes Passwort).

PS: Zur Zeit arbeiten wir an der msi Generierung per WIX , vorher hatte wir makemsi , vielleicht hat ja jemand hier bereits Erfahrung mit WIX und könnte uns Unterstützen ;) ??

Re: opsi-client-agent (config.ini) / Verbesserungen

Verfasst: 09 Nov 2017, 21:06
von d.oertel
Hi,
dass der OPSI Server kein ICMP Ping zu den Client-Netzen
darf stellt an sich kein Hindernis für opsi-deploy-client-agent da.

Ansonsten sind viele Wünsche möglich wenn sie (z.B. im Rahmen eines Support und Wartungsvertrags) bezahlt werden ;-)

gruß
d.oertel

Re: opsi-client-agent (config.ini) / Verbesserungen

Verfasst: 09 Nov 2017, 21:19
von tb-killa
d.oertel hat geschrieben:Hi,
dass der OPSI Server kein ICMP Ping zu den Client-Netzen
darf stellt an sich kein Hindernis für opsi-deploy-client-agent da.

Ansonsten sind viele Wünsche möglich wenn sie (z.B. im Rahmen eines Support und Wartungsvertrags) bezahlt werden ;-)

gruß
d.oertel
Das Script prüft am Anfang die Erreichbarkeit des Clients per PING und bricht dann ab!
Wir haben aber aufgrund anderer Themen den oben genannten Schritt letztendlich gewählt =)

Wir sehen hier in erster Linie allgemeine Themen welche unserer Meinung nach offen aufgezeigt und diskutiert werden müssen (Sicherheit), genauso sehen wir natürlich dass uib durch die Support und Serviceverträge die Einnahmen braucht, jedoch werden wahrscheinlich genug kleinere Unternehmen, aber auch andere kommerziell genutzte Zusammenhänge (Selbständige / "Administratoren") hier OPSI aufgrund der "Opensource" Deklarierung nutzen, womöglich ausschließlich das Internet als Grundlage nutzen und sich nach einiger Zeit fragen, warum plötzlich Sicherheitsprobleme auftauchen.
Wir sind nicht abgeneigt für bestimmte Themen zukünftig auf einen Support-Vertrag einzugehen, möchten wir erstmalig Diskussion anregen um zu sehen inwieweit andere Nutzer von OPSI dieses entsprechend sehen ;)

Re: opsi-client-agent (config.ini) / Verbesserungen

Verfasst: 09 Nov 2017, 21:37
von d.oertel
Hi,
Das Script prüft am Anfang die Erreichbarkeit des Clients per PING und bricht dann ab!
RTFM

https://download.uib.de/opsi_stable/doc ... psi-deploy

Code: Alles auswählen

--ignore-failed-ping, -x
                        try installation even if ping fails
Schulung und Third-Level Support sind auch eine gute Idee, wenn man sowas beim Kunden einsetzen will.

Jede Entwicklung an opsi auch Sicherheit muß irgendwie und irgendwann mal von einem Kunden bezahlt werden.
Wir freuen uns immer über Anregungen. Im konkreten Fall der config.ini gibt es ja das hiden Feature.
Und zum ausrollen empfehlen wir nunmal opsi-deploy-client-agent.

gruß
d.oertel

Re: opsi-client-agent (config.ini) / Verbesserungen

Verfasst: 09 Nov 2017, 21:53
von tb-killa
d.oertel hat geschrieben:Hi,
Das Script prüft am Anfang die Erreichbarkeit des Clients per PING und bricht dann ab!
RTFM

https://download.uib.de/opsi_stable/doc ... psi-deploy

Code: Alles auswählen

--ignore-failed-ping, -x
                        try installation even if ping fails
Schulung und Third-Level Support sind auch eine gute Idee, wenn man sowas beim Kunden einsetzen will.

Jede Entwicklung an opsi auch Sicherheit muß irgendwie und irgendwann mal von einem Kunden bezahlt werden.
Wir freuen uns immer über Anregungen. Im konkreten Fall der config.ini gibt es ja das hiden Feature.
Und zum ausrollen empfehlen wir nunmal opsi-deploy-client-agent.

gruß
d.oertel
Ups da haben wir tatsächlich etwas übersehen , vielen Dank dafür ;)

Das verstehen wir natürlich, es gibt immer die zwei Seiten dieses Themas: Technisch (Wir) und Kaufmännisch (Universen drüber ;) )
Aber um letztendlich nicht das eigentliche Hauptthema zu verlieren, hier geht es um die Rubrik "Kritik, Anregungen und Wünsche".