Revision c8a19933
Von Moritz Bunkus vor etwa 12 Jahren hinzugefügt
doc/html/ch02s07.html | ||
---|---|---|
1 | 1 |
<html><head> |
2 | 2 |
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8"> |
3 |
<title>2.7. Benutzerauthentifizierung und Administratorpasswort</title><link rel="stylesheet" type="text/css" href="style.css"><meta name="generator" content="DocBook XSL Stylesheets V1.76.1-RC2"><link rel="home" href="index.html" title="kivitendo: Installation, Konfiguration, Entwicklung"><link rel="up" href="ch02.html" title="Kapitel 2. Installation und Grundkonfiguration"><link rel="prev" href="ch02s06.html" title="2.6. Der Task-Server"><link rel="next" href="ch02s08.html" title="2.8. Benutzer- und Gruppenverwaltung"></head><body bgcolor="white" text="black" link="#0000FF" vlink="#840084" alink="#0000FF"><div class="navheader"><table width="100%" summary="Navigation header"><tr><th colspan="3" align="center">2.7. Benutzerauthentifizierung und Administratorpasswort</th></tr><tr><td width="20%" align="left"><a accesskey="p" href="ch02s06.html">Zurück</a> </td><th width="60%" align="center">Kapitel 2. Installation und Grundkonfiguration</th><td width="20%" align="right"> <a accesskey="n" href="ch02s08.html">Weiter</a></td></tr></table><hr></div><div class="sect1" title="2.7. Benutzerauthentifizierung und Administratorpasswort"><div class="titlepage"><div><div><h2 class="title" style="clear: both"><a name="Benutzerauthentifizierung-und-Administratorpasswort"></a>2.7. Benutzerauthentifizierung und Administratorpasswort</h2></div></div></div><p>Informationen über die Einrichtung der Benutzerauthentifizierung, |
|
4 |
über die Verwaltung von Gruppen und weitere Einstellungen</p><div class="sect2" title="2.7.1. Grundlagen zur Benutzerauthentifizierung"><div class="titlepage"><div><div><h3 class="title"><a name="Grundlagen-zur-Benutzerauthentifizierung"></a>2.7.1. Grundlagen zur Benutzerauthentifizierung</h3></div></div></div><p>kivitendo verwaltet die Benutzerinformationen in einer |
|
5 |
Datenbank, die im folgenden “Authentifizierungsdatenbank” genannt |
|
6 |
wird. Für jeden Benutzer kann dort eine eigene Datenbank für die |
|
7 |
eigentlichen Finanzdaten hinterlegt sein. Diese beiden Datenbanken |
|
8 |
können, müssen aber nicht unterschiedlich sein.</p><p>Im einfachsten Fall gibt es für kivitendo nur eine einzige |
|
9 |
Datenbank, in der sowohl die Benutzerinformationen als auch die Daten |
|
10 |
abgelegt werden.</p><p>Zusätzlich ermöglicht es kivitendo, dass die Benutzerpasswörter |
|
11 |
entweder gegen die Authentifizierungsdatenbank oder gegen einen |
|
12 |
LDAP-Server überprüft werden.</p><p>Welche Art der Passwortüberprüfung kivitendo benutzt und wie |
|
13 |
kivitendo die Authentifizierungsdatenbank erreichen kann, wird in der |
|
14 |
Konfigurationsdatei <code class="filename">config/kivitendo.conf</code> |
|
15 |
festgelegt. Diese muss bei der Installation und bei einem Upgrade von |
|
16 |
einer Version vor v2.6.0 angelegt werden. Eine |
|
17 |
Beispielkonfigurationsdatei |
|
18 |
<code class="filename">config/kivitendo.conf.default</code> existiert, die als |
|
19 |
Vorlage benutzt werden kann.</p></div><div class="sect2" title="2.7.2. Administratorpasswort"><div class="titlepage"><div><div><h3 class="title"><a name="Administratorpasswort"></a>2.7.2. Administratorpasswort</h3></div></div></div><p>Das Passwort, das zum Zugriff auf das Aministrationsinterface |
|
20 |
benutzt wird, wird ebenfalls in dieser Datei gespeichert. Es kann auch |
|
21 |
nur dort und nicht mehr im Administrationsinterface selber geändert |
|
22 |
werden. Der Parameter dazu heißt <code class="varname">admin_password</code> im |
|
23 |
Abschnitt <code class="varname">[authentication]</code>.</p></div><div class="sect2" title="2.7.3. Authentifizierungsdatenbank"><div class="titlepage"><div><div><h3 class="title"><a name="Authentifizierungsdatenbank"></a>2.7.3. Authentifizierungsdatenbank</h3></div></div></div><p>Die Verbindung zur Authentifizierungsdatenbank wird mit den |
|
24 |
Parametern in <code class="varname">[authentication/database]</code> |
|
25 |
konfiguriert. Hier sind die folgenden Parameter anzugeben:</p><div class="variablelist"><dl><dt><span class="term"> |
|
26 |
<code class="literal">host</code> |
|
27 |
</span></dt><dd><p>Der Rechnername oder die IP-Adresse des |
|
28 |
Datenbankservers</p></dd><dt><span class="term"> |
|
29 |
<code class="literal">port</code> |
|
30 |
</span></dt><dd><p>Die Portnummer des Datenbankservers, meist 5432</p></dd><dt><span class="term"> |
|
31 |
<code class="literal">db</code> |
|
32 |
</span></dt><dd><p>Der Name der Authentifizierungsdatenbank</p></dd><dt><span class="term"> |
|
33 |
<code class="literal">user</code> |
|
34 |
</span></dt><dd><p>Der Benutzername, mit dem sich kivitendo beim |
|
35 |
Datenbankserver anmeldet (z.B. |
|
36 |
"<code class="literal">postgres</code>")</p></dd><dt><span class="term"> |
|
37 |
<code class="literal">password</code> |
|
38 |
</span></dt><dd><p>Das Passwort für den Datenbankbenutzer</p></dd></dl></div><p>Die Datenbank muss noch nicht existieren. kivitendo kann sie |
|
39 |
automatisch anlegen (mehr dazu siehe unten).</p></div><div class="sect2" title="2.7.4. Passwortüberprüfung"><div class="titlepage"><div><div><h3 class="title"><a name="Passwort%C3%BCberpr%C3%BCfung"></a>2.7.4. Passwortüberprüfung</h3></div></div></div><p>kivitendo unterstützt Passwortüberprüfung auf zwei Arten: gegen |
|
40 |
die Authentifizierungsdatenbank und gegen einen externen LDAP- oder |
|
41 |
Active-Directory-Server. Welche davon benutzt wird, regelt der |
|
42 |
Parameter <code class="varname">module</code> im Abschnitt |
|
43 |
<code class="varname">[authentication]</code>.</p><p>Sollen die Benutzerpasswörter in der Authentifizierungsdatenbank |
|
44 |
gespeichert werden, so muss der Parameter <code class="varname">module</code> |
|
45 |
den Wert <code class="literal">DB</code> enthalten. In diesem Fall können sowohl |
|
46 |
der Administrator als auch die Benutzer selber ihre Psaswörter in |
|
47 |
kivitendo ändern.</p><p>Soll hingegen ein externer LDAP- oder Active-Directory-Server |
|
48 |
benutzt werden, so muss der Parameter <code class="varname">module</code> auf |
|
49 |
<code class="literal">LDAP</code> gesetzt werden. In diesem Fall müssen |
|
50 |
zusätzliche Informationen über den LDAP-Server im Abschnitt |
|
51 |
<code class="literal">[authentication/ldap]</code> angegeben werden:</p><div class="variablelist"><dl><dt><span class="term"> |
|
52 |
<code class="literal">host</code> |
|
53 |
</span></dt><dd><p>Der Rechnername oder die IP-Adresse des LDAP- oder |
|
54 |
Active-Directory-Servers. Diese Angabe ist zwingend |
|
55 |
erforderlich.</p></dd><dt><span class="term"> |
|
56 |
<code class="literal">port</code> |
|
57 |
</span></dt><dd><p>Die Portnummer des LDAP-Servers; meist 389.</p></dd><dt><span class="term"> |
|
58 |
<code class="literal">tls</code> |
|
59 |
</span></dt><dd><p>Wenn Verbindungsverschlüsselung gewünscht ist, so diesen |
|
60 |
Wert auf ‘<code class="literal">1</code>’ setzen, andernfalls auf |
|
61 |
‘<code class="literal">0</code>’ belassen</p></dd><dt><span class="term"> |
|
62 |
<code class="literal">attribute</code> |
|
63 |
</span></dt><dd><p>Das LDAP-Attribut, in dem der Benutzername steht, den der |
|
64 |
Benutzer eingegeben hat. Für Active-Directory-Server ist dies |
|
65 |
meist ‘<code class="literal">sAMAccountName</code>’, für andere |
|
66 |
LDAP-Server hingegen ‘<code class="literal">uid</code>’. Diese Angabe ist |
|
67 |
zwingend erforderlich.</p></dd><dt><span class="term"> |
|
68 |
<code class="literal">base_dn</code> |
|
69 |
</span></dt><dd><p>Der Abschnitt des LDAP-Baumes, der durchsucht werden soll. |
|
70 |
Diese Angabe ist zwingend erforderlich.</p></dd><dt><span class="term"> |
|
71 |
<code class="literal">filter</code> |
|
72 |
</span></dt><dd><p>Ein optionaler LDAP-Filter. Enthält dieser Filter das Wort |
|
73 |
<code class="literal"><%login%></code>, so wird dieses durch den vom |
|
74 |
Benutzer eingegebenen Benutzernamen ersetzt. Andernfalls wird |
|
75 |
der LDAP-Baum nach einem Element durchsucht, bei dem das oben |
|
76 |
angegebene Attribut mit dem Benutzernamen identisch ist.</p></dd><dt><span class="term"> |
|
77 |
<code class="literal">bind_dn</code> und |
|
78 |
<code class="literal">bind_password</code> |
|
79 |
</span></dt><dd><p>Wenn der LDAP-Server eine Anmeldung erfordert, bevor er |
|
80 |
durchsucht werden kann (z.B. ist dies bei |
|
81 |
Active-Directory-Servern der Fall), so kann diese hier angegeben |
|
82 |
werden. Für Active-Directory-Server kann als |
|
83 |
‘<code class="literal">bind_dn</code>’ entweder eine komplette LDAP-DN wie |
|
84 |
z.B. ‘<code class="literal">cn=Martin |
|
85 |
Mustermann,cn=Users,dc=firmendomain</code>’ auch nur der |
|
86 |
volle Name des Benutzers eingegeben werden; in diesem Beispiel |
|
87 |
also ‘<code class="literal">Martin Mustermann</code>’.</p></dd></dl></div></div><div class="sect2" title="2.7.5. Name des Session-Cookies"><div class="titlepage"><div><div><h3 class="title"><a name="Name-des-Session-Cookies"></a>2.7.5. Name des Session-Cookies</h3></div></div></div><p>Sollen auf einem Server mehrere kivitendo-Installationen |
|
88 |
aufgesetzt werden, so müssen die Namen der Session-Cookies für alle |
|
89 |
Installationen unterschiedlich sein. Der Name des Cookies wird mit dem |
|
90 |
Parameter <code class="varname">cookie_name</code> im Abschnitt |
|
91 |
<code class="varname">[authentication]</code>gesetzt.</p><p>Diese Angabe ist optional, wenn nur eine Installation auf dem |
|
92 |
Server existiert.</p></div><div class="sect2" title="2.7.6. Anlegen der Authentifizierungsdatenbank"><div class="titlepage"><div><div><h3 class="title"><a name="Anlegen-der-Authentifizierungsdatenbank"></a>2.7.6. Anlegen der Authentifizierungsdatenbank</h3></div></div></div><p>Nachdem alle Einstellungen in |
|
93 |
<code class="filename">config/kivitendo.conf</code> vorgenommen wurden, muss |
|
94 |
kivitendo die Authentifizierungsdatenbank anlegen. Dieses geschieht |
|
95 |
automatisch, wenn Sie sich im Administrationsmodul anmelden, das unter |
|
96 |
der folgenden URL erreichbar sein sollte:</p><p> |
|
97 |
<a class="ulink" href="http://localhost/kivitendo-erp/admin.pl" target="_top">http://localhost/kivitendo-erp/admin.pl</a> |
|
98 |
</p></div></div><div class="navfooter"><hr><table width="100%" summary="Navigation footer"><tr><td width="40%" align="left"><a accesskey="p" href="ch02s06.html">Zurück</a> </td><td width="20%" align="center"><a accesskey="u" href="ch02.html">Nach oben</a></td><td width="40%" align="right"> <a accesskey="n" href="ch02s08.html">Weiter</a></td></tr><tr><td width="40%" align="left" valign="top">2.6. Der Task-Server </td><td width="20%" align="center"><a accesskey="h" href="index.html">Zum Anfang</a></td><td width="40%" align="right" valign="top"> 2.8. Benutzer- und Gruppenverwaltung</td></tr></table></div></body></html> |
|
3 |
<title>2.7. Der Task-Server</title><link rel="stylesheet" type="text/css" href="style.css"><meta name="generator" content="DocBook XSL Stylesheets V1.76.1-RC2"><link rel="home" href="index.html" title="kivitendo: Installation, Konfiguration, Entwicklung"><link rel="up" href="ch02.html" title="Kapitel 2. Installation und Grundkonfiguration"><link rel="prev" href="ch02s06.html" title="2.6. Webserver-Konfiguration"><link rel="next" href="ch02s08.html" title="2.8. Benutzerauthentifizierung und Administratorpasswort"></head><body bgcolor="white" text="black" link="#0000FF" vlink="#840084" alink="#0000FF"><div class="navheader"><table width="100%" summary="Navigation header"><tr><th colspan="3" align="center">2.7. Der Task-Server</th></tr><tr><td width="20%" align="left"><a accesskey="p" href="ch02s06.html">Zurück</a> </td><th width="60%" align="center">Kapitel 2. Installation und Grundkonfiguration</th><td width="20%" align="right"> <a accesskey="n" href="ch02s08.html">Weiter</a></td></tr></table><hr></div><div class="sect1" title="2.7. Der Task-Server"><div class="titlepage"><div><div><h2 class="title" style="clear: both"><a name="config.task-server"></a>2.7. Der Task-Server</h2></div></div></div><p>Der Task-Server ist ein Prozess, der im Hintergrund läuft, in |
|
4 |
regelmäßigen Abständen nach abzuarbeitenden Aufgaben sucht und diese zu |
|
5 |
festgelegten Zeitpunkten abarbeitet (ähnlich wie Cron). Dieser Prozess |
|
6 |
wird bisher nur für die Erzeugung der wiederkehrenden Rechnungen |
|
7 |
benutzt, wird aber in Zukunft deutlich mehr Aufgaben übertragen |
|
8 |
bekommen.</p><div class="sect2" title="2.7.1. Verfügbare und notwendige Konfigurationsoptionen"><div class="titlepage"><div><div><h3 class="title"><a name="Konfiguration-des-Task-Servers"></a>2.7.1. Verfügbare und notwendige Konfigurationsoptionen</h3></div></div></div><p>Die Konfiguration erfolgt über den Abschnitt |
|
9 |
<code class="literal">[task_server]</code> in der Datei |
|
10 |
<code class="filename">config/kivitendo.conf</code>. Die dort verfügbaren |
|
11 |
Optionen sind:</p><div class="variablelist"><dl><dt><span class="term"> |
|
12 |
<code class="varname">login</code> |
|
13 |
</span></dt><dd><p>gültiger kivitendo-Benutzername, der benutzt wird, um die |
|
14 |
zu verwendende Datenbankverbindung auszulesen. Der Benutzer muss |
|
15 |
in der Administration angelegt werden. Diese Option muss |
|
16 |
angegeben werden.</p></dd><dt><span class="term"> |
|
17 |
<code class="varname">run_as</code> |
|
18 |
</span></dt><dd><p>Wird der Server vom Systembenutzer <code class="literal">root</code> |
|
19 |
gestartet, so wechselt er auf den mit <code class="literal">run_as</code> |
|
20 |
angegebenen Systembenutzer. Der Systembenutzer muss dieselben |
|
21 |
Lese- und Schreibrechte haben, wie auch der Webserverbenutzer |
|
22 |
(siehe see <a class="xref" href="ch02s03.html" title="2.3. Manuelle Installation des Programmpaketes">Manuelle Installation des Programmpaketes</a>). Daher |
|
23 |
ist es sinnvoll, hier denselben Systembenutzer einzutragen, |
|
24 |
unter dem auch der Webserver läuft.</p></dd><dt><span class="term"> |
|
25 |
<code class="varname">debug</code> |
|
26 |
</span></dt><dd><p>Schaltet Debug-Informationen an und aus.</p></dd></dl></div></div><div class="sect2" title="2.7.2. Automatisches Starten des Task-Servers beim Booten"><div class="titlepage"><div><div><h3 class="title"><a name="Einbinden-in-den-Boot-Prozess"></a>2.7.2. Automatisches Starten des Task-Servers beim Booten</h3></div></div></div><p>Der Task-Server verhält sich von seinen Optionen her wie ein |
|
27 |
reguläres SystemV-kompatibles Boot-Script. Außerdem wechselt er beim |
|
28 |
Starten automatisch in das kivitendo-Installationsverzeichnis.</p><p>Deshalb ist es möglich, ihn durch Setzen eines symbolischen |
|
29 |
Links aus einem der Runlevel-Verzeichnisse heraus in den Boot-Prozess |
|
30 |
einzubinden. Da das bei neueren Linux-Distributionen aber nicht |
|
31 |
zwangsläufig funktioniert, werden auch Start-Scripte mitgeliefert, die |
|
32 |
anstelle eines symbolischen Links verwendet werden können.</p><div class="sect3" title="2.7.2.1. SystemV-basierende Systeme (z.B. Debian, OpenSuSE, Fedora Core)"><div class="titlepage"><div><div><h4 class="title"><a name="d0e839"></a>2.7.2.1. SystemV-basierende Systeme (z.B. Debian, OpenSuSE, Fedora |
|
33 |
Core)</h4></div></div></div><p>Kopieren Sie die Datei |
|
34 |
<code class="filename">scripts/boot/system-v/kivitendo-server</code> |
|
35 |
nach <code class="filename">/etc/init.d/kivitendo-server</code>. Passen |
|
36 |
Sie in der kopierten Datei den Pfad zum Task-Server an (Zeile |
|
37 |
<code class="literal">DAEMON=....</code>). Binden Sie das Script in den |
|
38 |
Boot-Prozess ein. Dies ist distributionsabhängig:</p><div class="itemizedlist"><ul class="itemizedlist" type="disc"><li class="listitem"><p>Debian-basierende Systeme:</p><pre class="programlisting">update-rc.d kivitendo-task-server defaults |
|
39 |
# Nur bei Debian Squeeze und neuer: |
|
40 |
insserv kivitendo-task-server</pre></li><li class="listitem"><p>OpenSuSE und Fedora Core:</p><pre class="programlisting">chkconfig --add kivitendo-task-server</pre></li></ul></div><p>Danach kann der Task-Server mit dem folgenden Befehl gestartet |
|
41 |
werden: <span class="command"><strong>/etc/init.d/kivitendo-task-server |
|
42 |
start</strong></span> |
|
43 |
</p></div><div class="sect3" title="2.7.2.2. Upstart-basierende Systeme (z.B. Ubuntu)"><div class="titlepage"><div><div><h4 class="title"><a name="d0e869"></a>2.7.2.2. Upstart-basierende Systeme (z.B. Ubuntu)</h4></div></div></div><p>Kopieren Sie die Datei |
|
44 |
<code class="filename">scripts/boot/upstart/kivitendo-task-server.conf</code> |
|
45 |
nach <code class="filename">/etc/init/kivitendo-task-server.conf</code>. |
|
46 |
Passen Sie in der kopierten Datei den Pfad zum Task-Server an (Zeile |
|
47 |
<code class="literal">exec ....</code>).</p><p>Danach kann der Task-Server mit dem folgenden Befehl gestartet |
|
48 |
werden: <span class="command"><strong>service kivitendo-task-server |
|
49 |
start</strong></span> |
|
50 |
</p></div></div><div class="sect2" title="2.7.3. Wie der Task-Server gestartet und beendet wird"><div class="titlepage"><div><div><h3 class="title"><a name="Prozesskontrolle"></a>2.7.3. Wie der Task-Server gestartet und beendet wird</h3></div></div></div><p>Der Task-Server wird wie folgt kontrolliert:</p><pre class="programlisting">./scripts/task_server.pl Befehl</pre><p> |
|
51 |
<code class="literal">Befehl</code> ist dabei eine der folgenden |
|
52 |
Optionen:</p><div class="itemizedlist"><ul class="itemizedlist" type="disc"><li class="listitem"><p> |
|
53 |
<code class="literal">start</code> startet eine neue Instanz des |
|
54 |
Task-Servers. Die Prozess-ID wird innerhalb des |
|
55 |
<code class="filename">users</code>-Verzeichnisses abgelegt.</p></li><li class="listitem"><p> |
|
56 |
<code class="literal">stop</code> beendet einen laufenden |
|
57 |
Task-Server.</p></li><li class="listitem"><p> |
|
58 |
<code class="literal">restart</code> beendet und startet ihn |
|
59 |
neu.</p></li><li class="listitem"><p> |
|
60 |
<code class="literal">status</code> berichtet, ob der Task-Server |
|
61 |
läuft.</p></li></ul></div><p>Der Task-Server wechselt beim Starten automatisch in das |
|
62 |
kivitendo-Installationsverzeichnis.</p><p>Dieselben Optionen können auch für die SystemV-basierenden |
|
63 |
Runlevel-Scripte benutzt werden (siehe oben).</p></div><div class="sect2" title="2.7.4. Task-Server mit mehreren Mandanten"><div class="titlepage"><div><div><h3 class="title"><a name="Prozesskontrolle2"></a>2.7.4. Task-Server mit mehreren Mandanten</h3></div></div></div><p>Beim Task-Server wird der Login-Name des Benutzers, unter dem der |
|
64 |
Task-Server laufen soll, in die Konfigurationsdatei geschrieben. Hat |
|
65 |
man mehrere Mandanten muß man auch mehrere Konfigurationsdateien |
|
66 |
anlegen.</p><p>Die Konfigurationsdatei ist eine Kopie der Datei kivitendo.conf, |
|
67 |
wo in der Kategorie [task_server] der gewünschte "login" steht.</p><p>Der alternative Task-Server wird dann mit folgendem Befehl |
|
68 |
gestartet:</p><pre class="programlisting">./scripts/task_server.pl -c config/DATEINAME.conf</pre></div></div><div class="navfooter"><hr><table width="100%" summary="Navigation footer"><tr><td width="40%" align="left"><a accesskey="p" href="ch02s06.html">Zurück</a> </td><td width="20%" align="center"><a accesskey="u" href="ch02.html">Nach oben</a></td><td width="40%" align="right"> <a accesskey="n" href="ch02s08.html">Weiter</a></td></tr><tr><td width="40%" align="left" valign="top">2.6. Webserver-Konfiguration </td><td width="20%" align="center"><a accesskey="h" href="index.html">Zum Anfang</a></td><td width="40%" align="right" valign="top"> 2.8. Benutzerauthentifizierung und Administratorpasswort</td></tr></table></div></body></html> |
Auch abrufbar als: Unified diff
Kapitel zur Installations-Übersicht ergänzt