24.10 -> 25.4 (business): OPNcentral funktioniert nicht mehr (API Token Problem)

Started by Drohne, April 14, 2025, 08:12:21 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
April 14, 2025, 08:12:21 PM
Wir betreiben mehrere OPNsense Firewallsysteme, die via OPNcentral verwaltet werden. Benutzer werden über LDAP eingebunden, die einzelnen FW Systeme haben einen Token, der im OPNcentral hinterlegt ist.
Mit Version 24.10 ist/war alles in Ordnung. Wir haben heute auf OPNsense 25.4 aufgerüstet - über den Zwischenschritt eines letzten 24.10 Update (Endung _8). Das Update ist vial Konsole erfolgt und verlief problemlos. Nach dem erfolgreichen Update aller Systeme - inklusive OPNcentral - schien alles in Ordnung und in gewohnter Manier. Nach einer Weile ließen sich allerdings der Firmwarestand, die Resourcen und die Provisionierungen nicht mehr auf OPNcentral abrufen - aus dem gelben Zahnradsymbol wird ein schwarzer Punkt. Schwebt man über diesem, wird eine cURL Fehlermeldung sichtbar (die ich hier nicht wiedergeben kann, da kein Zugriff), allerdings sticht core/api und 401 als Fehlercode hervor. Das automatische Einloggen via Click in der OPNcentral funktioniert nicht mehr.

In den Migrationshinweisen steht etwas von einer Änderung der Benutzerverwaltung und API Token Generierung. OPNcentral propagiert Autorisierung/Authentifizierung und LDAP Server/Benutzer via CRON auf die angebundenen FW Systeme. Ich habe sämtliche API Token auf den OPNsense FW mit dem neuen Interface neu generiert und auf die OPNcentral Konfiguration übertragen.
Und hier erlebe ich jetzt mein blaues Wunder (obwohl nicht in Dresden wohnend). Die Token sind scheinbar nur für eine kurze Weile auf den OPNsens FW verfügbar und "verschwinden". Oder es wird ein alter Token propagiert - und ich weiß nicht, wo dieser herkommen soll, auf der OPNcentral sind die Token gelöscht, es wird entweder root oder ein spezieller User für die OPNcentral Provisionierung verwendet. Eigentlich sollte das Prinziep geradlinig sein - API Token auf Zielsystem generieren, zur entsprechenden Konfiguration desselbigen auf der OPNcentral transferieren.

Was geht hier schief? Was habe ich überlesen?
Ex nihilo nihil fit!
April 14, 2025, 08:23:36 PM #1
Es gibt einen Hotfix. Einfach nochmal per UI auf Updates überprüfen.

os-OPNcentral (installed)   1.11_1
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
Print
Go Up Pages1
User actions