MT940: Multi-Line-Varianten von Tag 86 unterstützen
[kivitendo-erp.git] / doc / html / ch02s08.html
1 <html><head>
2       <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
3    <title>2.8. Benutzerauthentifizierung und Administratorpasswort</title><link rel="stylesheet" type="text/css" href="style.css"><meta name="generator" content="DocBook XSL Stylesheets V1.76.1-RC2"><link rel="home" href="index.html" title="kivitendo 3.5.6.1: Installation, Konfiguration, Entwicklung"><link rel="up" href="ch02.html" title="Kapitel 2. Installation und Grundkonfiguration"><link rel="prev" href="ch02s07.html" title="2.7. Der Task-Server"><link rel="next" href="ch02s09.html" title="2.9. Mandanten-, Benutzer- und Gruppenverwaltung"></head><body bgcolor="white" text="black" link="#0000FF" vlink="#840084" alink="#0000FF"><div class="navheader"><table width="100%" summary="Navigation header"><tr><th colspan="3" align="center">2.8. Benutzerauthentifizierung und Administratorpasswort</th></tr><tr><td width="20%" align="left"><a accesskey="p" href="ch02s07.html">Zurück</a>&nbsp;</td><th width="60%" align="center">Kapitel 2. Installation und Grundkonfiguration</th><td width="20%" align="right">&nbsp;<a accesskey="n" href="ch02s09.html">Weiter</a></td></tr></table><hr></div><div class="sect1" title="2.8. Benutzerauthentifizierung und Administratorpasswort"><div class="titlepage"><div><div><h2 class="title" style="clear: both"><a name="Benutzerauthentifizierung-und-Administratorpasswort"></a>2.8. Benutzerauthentifizierung und Administratorpasswort</h2></div></div></div><p>Informationen über die Einrichtung der Benutzerauthentifizierung,
4       über die Verwaltung von Gruppen und weitere Einstellungen</p><div class="sect2" title="2.8.1. Grundlagen zur Benutzerauthentifizierung"><div class="titlepage"><div><div><h3 class="title"><a name="Grundlagen-zur-Benutzerauthentifizierung"></a>2.8.1. Grundlagen zur Benutzerauthentifizierung</h3></div></div></div><p>kivitendo verwaltet die Benutzerinformationen in einer
5         Datenbank, die im folgenden “Authentifizierungsdatenbank” genannt
6         wird. Für jeden Benutzer kann dort eine eigene Datenbank für die
7         eigentlichen Finanzdaten hinterlegt sein. Diese beiden Datenbanken
8         können, müssen aber nicht unterschiedlich sein.</p><p>Im einfachsten Fall gibt es für kivitendo nur eine einzige
9         Datenbank, in der sowohl die Benutzerinformationen als auch die Daten
10         abgelegt werden.</p><p>Zusätzlich ermöglicht es kivitendo, dass die Benutzerpasswörter gegen die Authentifizierungsdatenbank oder gegen einen oder
11         mehrere LDAP-Server überprüft werden.</p><p>Welche Art der Passwortüberprüfung kivitendo benutzt und wie
12         kivitendo die Authentifizierungsdatenbank erreichen kann, wird in der
13         Konfigurationsdatei <code class="filename">config/kivitendo.conf</code>
14         festgelegt. Diese muss bei der Installation und bei einem Upgrade von
15         einer Version vor v2.6.0 angelegt werden. Eine
16         Beispielkonfigurationsdatei
17         <code class="filename">config/kivitendo.conf.default</code> existiert, die als
18         Vorlage benutzt werden kann.</p></div><div class="sect2" title="2.8.2. Administratorpasswort"><div class="titlepage"><div><div><h3 class="title"><a name="Administratorpasswort"></a>2.8.2. Administratorpasswort</h3></div></div></div><p>Das Passwort, das zum Zugriff auf das Administrationsinterface
19         von kivitendo benutzt wird, wird ebenfalls in dieser Datei
20         gespeichert. Es kann auch nur dort und nicht mehr im
21         Administrationsinterface selber geändert werden. Der Parameter dazu
22         heißt <code class="varname">admin_password</code> im Abschnitt
23         <code class="varname">[authentication]</code>.</p></div><div class="sect2" title="2.8.3. Authentifizierungsdatenbank"><div class="titlepage"><div><div><h3 class="title"><a name="Authentifizierungsdatenbank"></a>2.8.3. Authentifizierungsdatenbank</h3></div></div></div><p>Die Verbindung zur Authentifizierungsdatenbank wird mit den
24         Parametern in <code class="varname">[authentication/database]</code>
25         konfiguriert. Hier sind die folgenden Parameter anzugeben:</p><div class="variablelist"><dl><dt><span class="term">
26                      <code class="literal">host</code>
27                   </span></dt><dd><p>Der Rechnername oder die IP-Adresse des
28               Datenbankservers</p></dd><dt><span class="term">
29                      <code class="literal">port</code>
30                   </span></dt><dd><p>Die Portnummer des Datenbankservers, meist 5432</p></dd><dt><span class="term">
31                      <code class="literal">db</code>
32                   </span></dt><dd><p>Der Name der Authentifizierungsdatenbank</p></dd><dt><span class="term">
33                      <code class="literal">user</code>
34                   </span></dt><dd><p>Der Benutzername, mit dem sich kivitendo beim
35               Datenbankserver anmeldet (z.B.
36               "<code class="literal">postgres</code>")</p></dd><dt><span class="term">
37                      <code class="literal">password</code>
38                   </span></dt><dd><p>Das Passwort für den Datenbankbenutzer</p></dd></dl></div><p>Die Datenbank muss noch nicht existieren. kivitendo kann sie
39         automatisch anlegen (mehr dazu siehe unten).</p></div><div class="sect2" title="2.8.4. Passwortüberprüfung"><div class="titlepage"><div><div><h3 class="title"><a name="Passwort%C3%BCberpr%C3%BCfung"></a>2.8.4. Passwortüberprüfung</h3></div></div></div><p>kivitendo unterstützt Passwortüberprüfung auf zwei Arten: gegen
40         die Authentifizierungsdatenbank und gegen externe LDAP- oder
41         Active-Directory-Server. Welche davon benutzt wird, regelt der
42         Parameter <code class="varname">module</code> im Abschnitt
43         <code class="varname">[authentication]</code>.</p><p>Dieser Parameter listet die zu verwendenden Authentifizierungsmodule auf. Es muss mindestens ein Modul angegeben werden, es
44         können aber auch mehrere angegeben werden. Weiterhin ist es möglich, das LDAP-Modul mehrfach zu verwenden und für jede Verwendung
45         eine unterschiedliche Konfiguration zu nutzen, z.B. um einen Fallback-Server anzugeben, der benutzt wird, sofern der Hauptserver
46         nicht erreichbar ist.</p><p>Sollen die Benutzerpasswörter in der Authentifizierungsdatenbank geprüft werden, so muss der Parameter
47         <code class="varname">module</code> das Modul <code class="literal">DB</code> enthalten. Sofern das Modul in der Liste enthalten ist, egal an welcher
48         Position, können sowohl der Administrator als auch die Benutzer selber ihre Passwörter in kivitendo ändern.</p><p>Wenn Passwörter gegen einen oder mehrere externe LDAP- oder Active-Directory-Server geprüft werden, so muss der Parameter
49         <code class="varname">module</code> den Wert <code class="literal">LDAP</code> enthalten. In diesem Fall müssen zusätzliche Informationen über den
50         LDAP-Server im Abschnitt <code class="literal">[authentication/ldap]</code> angegeben werden. Das Modul kann auch mehrfach angegeben werden,
51         wobei jedes Modul eine eigene Konfiguration bekommen sollte. Der Name der Konfiguration wird dabei mit einem Doppelpunkt getrennt an
52         den Modulnamen angehängt (<code class="literal">LDAP:Name-der-Konfiguration</code>). Der entsprechende Abschnitt in der Konfigurationsdatei
53         lautet dann <code class="literal">[authentication/Name-der-Konfiguration]</code>.</p><p>Die verfügbaren Parameter für die LDAP-Konfiguration lauten:</p><div class="variablelist"><dl><dt><span class="term">
54                      <code class="literal">host</code>
55                   </span></dt><dd><p>Der Rechnername oder die IP-Adresse des LDAP- oder
56               Active-Directory-Servers. Diese Angabe ist zwingend
57               erforderlich.</p></dd><dt><span class="term">
58                      <code class="literal">port</code>
59                   </span></dt><dd><p>Die Portnummer des LDAP-Servers; meist 389.</p></dd><dt><span class="term">
60                      <code class="literal">tls</code>
61                   </span></dt><dd><p>Wenn Verbindungsverschlüsselung gewünscht ist, so diesen
62               Wert auf ‘<code class="literal">1</code>’ setzen, andernfalls auf
63               ‘<code class="literal">0</code>’ belassen</p></dd><dt><span class="term">
64                      <code class="literal">verify</code>
65                   </span></dt><dd><p>Wenn Verbindungsverschlüsselung gewünscht und der Parameter <em class="parameter"><code>tls</code></em> gesetzt ist, so gibt dieser
66               Parameter an, ob das Serverzertifikat auf Gültigkeit geprüft wird. Mögliche Werte sind <code class="literal">require</code> (Zertifikat
67               wird überprüft und muss gültig sei; dies ist der Standard) und <code class="literal">none</code> (Zertifikat wird nicht
68               überpfüft).</p></dd><dt><span class="term">
69                      <code class="literal">attribute</code>
70                   </span></dt><dd><p>Das LDAP-Attribut, in dem der Benutzername steht, den der
71               Benutzer eingegeben hat. Für Active-Directory-Server ist dies
72               meist ‘<code class="literal">sAMAccountName</code>’, für andere
73               LDAP-Server hingegen ‘<code class="literal">uid</code>’. Diese Angabe ist
74               zwingend erforderlich.</p></dd><dt><span class="term">
75                      <code class="literal">base_dn</code>
76                   </span></dt><dd><p>Der Abschnitt des LDAP-Baumes, der durchsucht werden soll.
77               Diese Angabe ist zwingend erforderlich.</p></dd><dt><span class="term">
78                      <code class="literal">filter</code>
79                   </span></dt><dd><p>Ein optionaler LDAP-Filter. Enthält dieser Filter das Wort
80               <code class="literal">&lt;%login%&gt;</code>, so wird dieses durch den vom
81               Benutzer eingegebenen Benutzernamen ersetzt. Andernfalls wird
82               der LDAP-Baum nach einem Element durchsucht, bei dem das oben
83               angegebene Attribut mit dem Benutzernamen identisch ist.</p></dd><dt><span class="term">
84                      <code class="literal">bind_dn</code> und
85             <code class="literal">bind_password</code>
86                   </span></dt><dd><p>Wenn der LDAP-Server eine Anmeldung erfordert, bevor er
87               durchsucht werden kann (z.B. ist dies bei
88               Active-Directory-Servern der Fall), so kann diese hier angegeben
89               werden. Für Active-Directory-Server kann als
90               ‘<code class="literal">bind_dn</code>’ entweder eine komplette LDAP-DN wie
91               z.B. ‘<code class="literal">cn=Martin
92               Mustermann,cn=Users,dc=firmendomain</code>’ auch nur der
93               volle Name des Benutzers eingegeben werden; in diesem Beispiel
94               also ‘<code class="literal">Martin Mustermann</code>’.</p></dd><dt><span class="term">
95                      <code class="literal">timeout</code>
96                   </span></dt><dd><p>Timeout beim Verbindungsversuch, bevor der Server als nicht erreichbar gilt; Standardwert: 10</p></dd></dl></div></div><div class="sect2" title="2.8.5. Name des Session-Cookies"><div class="titlepage"><div><div><h3 class="title"><a name="Name-des-Session-Cookies"></a>2.8.5. Name des Session-Cookies</h3></div></div></div><p>Sollen auf einem Server mehrere kivitendo-Installationen
97         aufgesetzt werden, so müssen die Namen der Session-Cookies für alle
98         Installationen unterschiedlich sein. Der Name des Cookies wird mit dem
99         Parameter <code class="varname">cookie_name</code> im Abschnitt
100         <code class="varname">[authentication]</code>gesetzt.</p><p>Diese Angabe ist optional, wenn nur eine Installation auf dem
101         Server existiert.</p></div><div class="sect2" title="2.8.6. Anlegen der Authentifizierungsdatenbank"><div class="titlepage"><div><div><h3 class="title"><a name="Anlegen-der-Authentifizierungsdatenbank"></a>2.8.6. Anlegen der Authentifizierungsdatenbank</h3></div></div></div><p>Nachdem alle Einstellungen in
102         <code class="filename">config/kivitendo.conf</code> vorgenommen wurden, muss
103         kivitendo die Authentifizierungsdatenbank anlegen. Dieses geschieht
104         automatisch, wenn Sie sich im Administrationsmodul anmelden, das unter
105         der folgenden URL erreichbar sein sollte:</p><p>
106                <a class="ulink" href="http://localhost/kivitendo-erp/controller.pl?action=Admin/login" target="_top">http://localhost/kivitendo-erp/controller.pl?action=Admin/login</a>
107             </p></div></div><div class="navfooter"><hr><table width="100%" summary="Navigation footer"><tr><td width="40%" align="left"><a accesskey="p" href="ch02s07.html">Zurück</a>&nbsp;</td><td width="20%" align="center"><a accesskey="u" href="ch02.html">Nach oben</a></td><td width="40%" align="right">&nbsp;<a accesskey="n" href="ch02s09.html">Weiter</a></td></tr><tr><td width="40%" align="left" valign="top">2.7. Der Task-Server&nbsp;</td><td width="20%" align="center"><a accesskey="h" href="index.html">Zum Anfang</a></td><td width="40%" align="right" valign="top">&nbsp;2.9. Mandanten-, Benutzer- und Gruppenverwaltung</td></tr></table></div></body></html>