Management-Oberfläche opsi-configed

Das Programm opsi-configed ist ein grafisches Interface, das per HTTPS mit dem opsi-Server kommuniziert und daher auf jedem Rechner läuft, der über dieses Protokoll Verbindung zum Server aufnehmen kann.

Dieses Kapitel erklärt die Installation und die Inbetriebnahme, Startparameter und Anmeldung sowie die verschiedenen Funktionen des Programms: Client-Verwaltung, Depot- und Server-Konfiguration. Es stellt außerdem die integrierte Server-Konsole und den Validierungsstatus der opsi-Module vor.

Installation

Das Programm steht unter https://opsipackages.43.opsi.org/ in der jeweils aktuellsten Version als opsi-Paket zur lokalen Installation für Windows, Linux und macOS zur Verfügung. Dieses setzt voraus, dass auf dem Rechner bereits der Client-Agent installiert ist, damit Sie dort das Localboot-Produkt opsi-configed einspielen können.

Alternativ gibt es für alle drei Betriebssysteme unter https://tools.43.opsi.org/stable/ eine portable Anwendung, die ohne Installation läuft. Laden Sie den opsi-configed für Ihr Betriebssystem herunter: opsi-configed-windows.exe für Windows, opsi-configed-linux.run für Linux und opsi-configed-macos für macOS.

Sie können die zum Betriebssystem passende Version auch über den Webbrowser herunterladen: Geben Sie die Adresse https://<opsidepotserver>:4447/ ein, wechseln Sie zum Reiter Links und klicken auf den Download-Link.

Voraussetzungen

Die Management-Oberfläche opsi-configed benötigt opsiconfd 4.3 oder neuer (siehe Abschnitt Der Dienst opsiconfd). Sollten Sie noch eine ältere Version von opsi verwenden, können Sie sich den alten opsi-configed unter https://download.uib.de/4.2/stable/misc/ herunterladen.

Wenn Sie eine virtuelle Maschine verwenden, achten Sie auf eine ausreichende Auflösung des virtuellen Bildschirms. opsi-configed benötigt mindestens eine Bildschirmauflösung von 1024 x 768 Pixeln. Für eine bessere Grafik und Bildschirmauflösung bzw. Maus- und Tastaturintegration installieren Sie am besten die VMware Tools oder die VirtualBox Gast-Erweiterungen.

Start

Wenn Sie opsi-configed als Localboot-Produkt installiert haben, starten Sie die Management-Oberfläche über die Verknüpfung in Ihrem Startmenü. Unter macOS finden Sie das Werkzeug im Ordner Programme über den Finder.

Nutzen Sie hingegen die portable Java-Anwendung, machen Sie die heruntergeladene Datei unter Linux und macOS zunächst ausführbar. Dazu öffnen Sie ein Terminalfenster und geben den folgenden Befehl ein:

chmod +x opsi-configed-linux.run
chmod +x opsi-configed-macos

Unter Windows starten Sie die portable Anwendung über einen Doppelklick auf opsi-configed-windows.exe. Unter Linux und macOS starten Sie das Programm aus dem Terminal heraus über dieses Kommando:

./opsi-configed-linux.run
./opsi-configed-macos

Startparameter

Über verschiedene Parameter beeinflussen Sie das Verhalten des opsi-configed schon beim Start aus dem Terminal heraus. So können Sie beispielsweise Benutzernamen und Passwort für die Anmeldung angeben, die Zertifikat-Validierung zu deaktivieren oder den Logviewer zu öffnen. Eine Liste aller verfügbaren Parameter erhalten Sie über --help:

opsi-configed: Parameter für den Start

user@computer:~/Downloads$ ./opsi-configed-linux.run --help
Starting opsi-configed, please wait...
[1] [2025-02-18 18:10:33.974] [main           ] configed version 4.3.6.3  ( 2025-02-18 )
usage: configed [OPTIONS] , where an OPTION may be
    --collect_queries_until_no <arg>     Collect the first N queries; N = -1 (DEFAULT).  -1 meaning 'no collect'. 0 meaning 'infinite'
 -d,--directory <arg>                    Directory for log files. DEFAULT: an opsi log directory
                                         dependent on system and user privileges, see /help/logfile
    --disable-certificate-verification   Disable opsi-certificate verification with server, by DEFAULT enabled
 -f,--filename <arg>                     filename for the log file
 -ff,--feature-flags <arg>               A list of features to activate on start. Available features are: MESSAGE_OF_THE_DAY
 -h,--host <arg>                         Configuration server HOST to connect to. DEFAULT: choose interactive
    --help                               Give this help
    --initUserRoles                      On command line, perform  the complete initialization of user roles if something was changed
 -l,--locale <arg>                       Set locale LOC (format: <language>_<country>). DEFAULT: System.locale
    --localizationfile <arg>             For translation work, use  EXTRA_LOCALIZATION_FILENAME as localization file, the file name format has to be:
    --localizationstrings                For translation work, show internal labels together with the strings of selected localization
    --loglevel <arg>                     Set logging level N, N is a number >= 0, <= 9 . DEFAULT: 4
 -lv,--logviewer                         Use this option to start logviewer instead of configed
 -otp,--one-time-password <arg>          One time password for authentication. DEFAULT: give interactive
                                         OTP is a paid feature. Should be used when license is available and OTP is enabled for a user
 -p,--password <arg>                     Password for authentication. DEFAULT: give interactive
 -qg,--definegroupbysearch <arg>         On command line: populate existing group GROUP_NAME with clients resulting from search SAVEDSEARCH_NAME
 -qs,--querysavedsearch <arg>            On command line: tell saved host searches list resp. the search result for [SAVEDSEARCH_NAME])
 -s,--savedstates <arg>                  Directory for the files which keep states specific for a server connection. DEFAULT: Similar to log directory
 -sso,--single-sign-on                   Try to connect automatically via single-sign-on (host have to be given). DEFAULT: disabled

    --swaudit-csv <arg>                  export csv swaudit reports for given clients
    --swaudit-pdf <arg>                  export pdf swaudit reports for given clients
 -u,--user <arg>                         User for authentication. DEFAULT: give interactive
 -v,--version                            Tell configed version

Loglevel einstellen

In der Voreinstellung protokolliert opsi-configed im Level 4 (warning). Sie können den Loglevel auch niedriger oder höher setzen, beispielsweise auf Loglevel 6 (info) oder Level 7 (debug). Insgesamt unterscheidet opsi 10 verschiedene Loglevel:

0 - none: Logging komplett deaktiviert
1 - essential: sehr wichtige Meldungen
2 - critical: kritische Fehler
3 - error: Fehler
4 - warning: Warnungen
5 - notice: wichtige Hinweise
6 - info: weitere Informationen
7 - debug: Meldungen zur Fehlersuche
8 - trace: sehr viele Details, z. B. Mitschnitt der Kommunikation
9 - secret: vertrauliche Informationen

Um den Loglevel beim Programmstart zu setzen, verwenden Sie den Parameter --loglevel <zahl>; es sind Werte zwischen 0 und 9 erlaubt.

Level 7 und höher sollten Sie nur aktivieren, wenn bereits der Programmstart Probleme verursacht. Die Logdatei wird in diesem Fall sehr umfangreich.

Läuft opsi-configed bereits, können Sie den Loglevel über das Menü Hilfe einstellen.

Abbildung 1. opsi-configed: Loglevel über das Menü einstellen

Verzeichnis für Logdateien

Unter Linux und macOS liegen die Logdateien in der Voreinstellung im versteckten Ordner .configed im Home-Verzeichnis des Benutzers. Unter Windows finden Sie die Protokolle unter C:\Users\<Benutzername>\AppData\Roaming\opsi.org\log. Die jeweils aktuelle Logdatei heißt configed.log, ältere Protokolle tragen einen Unterstrich und eine Ziffer, z. B. configed_0.log, configed_1.log usw.

Beim opsi-configed-Start können Sie über den Parameter -d (Langform: --directory) ein anderes Verzeichnis für die Logdateien angeben:

./opsi-configed-linux.run -d ~/.logs/opsi/

Welche Logdatei aktuell verwendet wird, erfahren Sie, wenn Sie im Menü Hilfe den Eintrag Aktuelle Logdatei anklicken. Im sich öffnenden Dialogfenster können Sie den Pfad in die Zwischenablage kopieren oder im Standard-Texteditor öffnen.

Abbildung 2. opsi-configed: Aktuelles Logfile öffnen (Linux)

Sprache auswählen

In der Voreinstellung verwendet opsi-configed die Spracheinstellung des Betriebssystems. Gibt es eine entsprechende Lokalisierung nicht, erscheint die Benutzeroberfläche in englischer Sprache. Wenn ein Begriff in der Datei mit den übersetzten Begriffen fehlt, dann zeigt das Interface diesen ebenfalls in Englisch an.

Sie können die Sprache der Oberfläche beim Programmstart über den Parameter -l (Langform: --locale) angeben:

./opsi-configed-linux.run -l en_US

Anstelle des Formates <sprache>_<region> (en_US, de_DE usw.) reicht es aus, die Sprache anzugeben (en, de oder fr), die vorhandene Lokalisierungs-Dateien für alle Sprachvarianten verwendet werden.

Im laufenden Programm ändern Sie die Sprache über den Menüpunkt Datei / Sprache wählen. Anschließend findet eine Reinitialisierung des Programms statt mit einem Neuaufbau (fast) aller Komponenten in der neuen Sprache statt.

Über den Parameter --localizationfile können Sie eine eigene Datei zur Lokalisierung angeben. Zusätzlich sorgt --localizationstrings dafür, dass opsi-configed alle Begriffe anzeigt, die in der Lokalisierungs-Datei stehen und übersetzt werden sollen.

Die letzten beiden Parameter eignen sich gut dazu, eine eigene Lokalisierungs-Datei zu testen.

Nach dem Start öffnet sich das Login-Fenster. Tragen Sie den vollen Hostnamen (FQDN) des opsi-Servers oder dessen IP-Adresse, den Benutzernamen und das Passwort ein:

Abbildung 3. opsi-configed: Login-Fenster

Der Benutzer muss Mitglied der Gruppe opsiadmin sein (siehe Kapitel Berechtigungen).

Beim Login versucht opsi-configed, sich per HTTPS mit dem opsiconfd des eingetragenen Servers/Ports zu verbinden. Wenn der opsiconfd den Standardport 4447 verwendet, brauchen Sie diesen nicht explizit anzugeben.

Bevor opsi-configed sich zu einem Server verbindet, verifiziert das Programm das opsi-CA-Zertifikat. Beim ersten Verbindungsaufbau erscheint ein Dialog, in dem Sie bestätigen müssen, dass Sie dem Zertifikat des Servers vertrauen. Es gibt drei Optionen:

Abbrechen: Bricht den Verbindungsaufbau ab und beendet opsi-configed.
Immer vertrauen: Das Zertifikat wird auf dem lokalen Rechner abgespeichert und auch für zukünftige Verbindungen benutzt. Die Warnung sehen Sie nur dann wieder, wenn sich das Server-Zertifikat geändert hat oder jemand mit einem gefälschten Zertifikat versucht, die Login-Daten abzugreifen.
Diesmal vertrauen: Akzeptiert das Zertifikat für die Dauer der aktuellen Sitzung. Beim nächsten Programmstart sehen Sie die Warnung wieder.

Abbildung 4. opsi-configed: opsi-CA-Zertifikat verifizieren

Das Programm speichert im lokalen Benutzerprofil einige Informationen über die laufenden Sessions, um nach einer erneuten Anmeldung die Arbeitsumgebung wiederherzustellen. Das betrifft vor allem ausgewählte Client-Gruppen. Außerdem nutzt opsi-configed die Session-Informationen auch, um eine Auswahlliste der zuletzt verbundenen opsi-Server (z. B. Produktiv- und Test-Server) zu erzeugen. An oberster Stelle steht der zuletzt genutzte Server.