2.6. Der Task-Server

2.6. Der Task-Server
ZurÃ¼ck	Kapitel 2. Installation und Grundkonfiguration	Weiter

Der Task-Server ist ein Prozess, der im Hintergrund lÃ¤uft, in - regelmÃ¤Ãigen AbstÃ¤nden nach abzuarbeitenden Aufgaben sucht und diese zu - festgelegten Zeitpunkten abarbeitet (Ã¤hnlich wie Cron). Dieser Prozess - wird bisher nur fÃ¼r die Erzeugung der wiederkehrenden Rechnungen - benutzt, wird aber in Zukunft deutlich mehr Aufgaben Ã¼bertragen - bekommen.

2.6.1. VerfÃ¼gbare und notwendige Konfigurationsoptionen

Die Konfiguration erfolgt Ã¼ber den Abschnitt - [task_server] in der Datei - config/kivitendo.conf. Die dort verfÃ¼gbaren - Optionen sind:

- login -: gÃ¼ltiger kivitendo-Benutzername, der benutzt wird, um die - zu verwendende Datenbankverbindung auszulesen. Der Benutzer muss - in der Administration angelegt werden. Diese Option muss - angegeben werden.
- run_as -: Wird der Server vom Systembenutzer root - gestartet, so wechselt er auf den mit run_as - angegebenen Systembenutzer. Der Systembenutzer muss dieselben - Lese- und Schreibrechte haben, wie auch der Webserverbenutzer - (siehe see Manuelle Installation des Programmpaketes). Daher - ist es sinnvoll, hier denselben Systembenutzer einzutragen, - unter dem auch der Webserver lÃ¤uft.
- debug -: Schaltet Debug-Informationen an und aus.

2.6.2. Automatisches Starten des Task-Servers beim Booten

Der Task-Server verhÃ¤lt sich von seinen Optionen her wie ein - regulÃ¤res SystemV-kompatibles Boot-Script. AuÃerdem wechselt er beim - Starten automatisch in das kivitendo-Installationsverzeichnis.

Deshalb ist es mÃ¶glich, ihn durch Setzen eines symbolischen - Links aus einem der Runlevel-Verzeichnisse heraus in den Boot-Prozess - einzubinden. Da das bei neueren Linux-Distributionen aber nicht - zwangslÃ¤ufig funktioniert, werden auch Start-Scripte mitgeliefert, die - anstelle eines symbolischen Links verwendet werden kÃ¶nnen.

2.6.2.1. SystemV-basierende Systeme (z.B. Debian, OpenSuSE, Fedora - Core)

Kopieren Sie die Datei - scripts/boot/system-v/kivitendo-server - nach /etc/init.d/kivitendo-server. Passen - Sie in der kopierten Datei den Pfad zum Task-Server an (Zeile - DAEMON=....). Binden Sie das Script in den - Boot-Prozess ein. Dies ist distributionsabhÃ¤ngig:

Debian-basierende Systeme:

update-rc.d kivitendo-task-server defaults
-# Nur bei Debian Squeeze und neuer:
-insserv kivitendo-task-server

OpenSuSE und Fedora Core:
```
chkconfig --add kivitendo-task-server
```

Danach kann der Task-Server mit dem folgenden Befehl gestartet - werden: /etc/init.d/kivitendo-task-server - start -

2.6.2.2. Upstart-basierende Systeme (z.B. Ubuntu)

Kopieren Sie die Datei - scripts/boot/upstart/kivitendo-task-server.conf - nach /etc/init/kivitendo-task-server.conf. - Passen Sie in der kopierten Datei den Pfad zum Task-Server an (Zeile - exec ....).

Danach kann der Task-Server mit dem folgenden Befehl gestartet - werden: service kivitendo-task-server - start -

2.6.3. Wie der Task-Server gestartet und beendet wird

Der Task-Server wird wie folgt kontrolliert:

./scripts/task_server.pl Befehl

- Befehl ist dabei eine der folgenden - Optionen:

- start startet eine neue Instanz des - Task-Servers. Die Prozess-ID wird innerhalb des - users-Verzeichnisses abgelegt.
- stop beendet einen laufenden - Task-Server.
- restart beendet und startet ihn - neu.
- status berichtet, ob der Task-Server - lÃ¤uft.

Der Task-Server wechselt beim Starten automatisch in das - kivitendo-Installationsverzeichnis.

Dieselben Optionen kÃ¶nnen auch fÃ¼r die SystemV-basierenden - Runlevel-Scripte benutzt werden (siehe oben).

2.6.4. Task-Server mit mehreren Mandanten

Beim Task-Server wird der Login-Name des Benutzers, unter dem der - Task-Server laufen soll, in die Konfigurationsdatei geschrieben. Hat - man mehrere Mandanten muÃ man auch mehrere Konfigurationsdateien - anlegen.

Die Konfigurationsdatei ist eine Kopie der Datei kivitendo.conf, - wo in der Kategorie [task_server] der gewÃ¼nschte "login" steht.

Der alternative Task-Server wird dann mit folgendem Befehl - gestartet:

./scripts/task_server.pl -c config/DATEINAME.conf

2.6. Webserver-Konfiguration
ZurÃ¼ck	Kapitel 2. Installation und Grundkonfiguration	Weiter

2.6. Webserver-Konfiguration

2.6.1. Grundkonfiguration mittels CGI

	Anmerkung
	FÃ¼r einen deutlichen Performanceschub sorgt die AusfÃ¼hrung + mittels FastCGI/FCGI. Die Einrichtung wird ausfÃ¼hrlich im Abschnitt + Konfiguration fÃ¼r FastCGI/FCGI beschrieben.

Der Zugriff auf das Programmverzeichnis muss in der Apache + Webserverkonfigurationsdatei httpd.conf eingestellt + werden. FÃ¼gen Sie den folgenden Abschnitt dieser Datei oder einer + anderen Datei hinzu, die beim Starten des Webservers eingelesen + wird:

AliasMatch ^/kivitendo-erp/[^/]+\.pl /var/www/kivitendo-erp/dispatcher.pl
+Alias /kivitendo-erp/ /var/www/kivitendo-erp/
+
+<Directory /var/www/kivitendo-erp>
+ AddHandler cgi-script .pl
+ Options ExecCGI Includes FollowSymlinks
+</Directory>
+
+<Directory /var/www/kivitendo-erp/users>
+ Require all granted
+</Directory>

Ersetzen Sie dabei die Pfade durch diejenigen, in die Sie vorher + das kivitendo-Archiv entpacket haben.

Anmerkung

Vor den einzelnen Optionen muss bei einigen Distributionen ein + Plus â+â gesetzt werden.

Bei einigen Distribution (Ubuntu ab 14.04, Debian ab 8.2) muss + noch explizit das cgi-Modul mittels

a2enmod cgi

+ aktiviert werden.

Auf einigen Webservern werden manchmal die Grafiken und + Style-Sheets nicht ausgeliefert. In solchen FÃ¤llen hat es oft + geholfen, die folgende Option in die Konfiguration aufzunehmen:

EnableSendfile Off

2.6.2. Konfiguration fÃ¼r FastCGI/FCGI

2.6.2.1. Was ist FastCGI?

Direkt aus Wikipedia + kopiert:

+ [ FastCGI ist ein Standard fÃ¼r die Einbindung + externer Software zur Generierung dynamischer Webseiten in einem + Webserver. FastCGI ist vergleichbar zum Common Gateway Interface + (CGI), wurde jedoch entwickelt, um dessen Performance-Probleme zu + umgehen. ] +

2.6.2.2. Warum FastCGI?

Perl Programme (wie kivitendo eines ist) werden nicht statisch + kompiliert. Stattdessen werden die Quelldateien bei jedem Start + Ã¼bersetzt, was bei kurzen Laufzeiten einen GroÃteil der Laufzeit + ausmacht. WÃ¤hrend SQL Ledger einen GroÃteil der FunktionalitÃ¤t in + einzelne Module kapselt, um immer nur einen kleinen Teil laden zu + mÃ¼ssen, ist die FunktionalitÃ¤t von kivitendo soweit gewachsen, dass + immer mehr Module auf den Rest des Programms zugreifen. ZusÃ¤tzlich + benutzen wir umfangreiche Bibliotheken um FunktionaltÃ¤t nicht selber + entwickeln zu mÃ¼ssen, die zusÃ¤tzliche Ladezeit kosten. All dies + fÃ¼hrt dazu dass ein kivitendo Aufruf der Kernmasken mittlerweile + deutlich lÃ¤nger dauert als frÃ¼her, und dass davon 90% fÃ¼r das Laden + der Module verwendet wird.

Mit FastCGI werden nun die Module einmal geladen, und danach + wird nur die eigentliche Programmlogik ausgefÃ¼hrt.

2.6.2.3. Getestete Kombinationen aus Webservern und Plugin

Folgende Kombinationen sind getestet:

Apache 2.4.7 (Ubuntu 14.04.2 LTS) und mod_fcgid.
Apache 2.4.18 (Ubuntu 16.04 LTS) und mod_fcgid
Apache 2.4.29 (Ubuntu 18.04 LTS) und mod_fcgid
Apache 2.4.41 (Ubuntu 20.04 LTS) und mod_fcgid

Als Perl Backend wird das Modul FCGI.pm + verwendet.

	Warnung
FCGI-Versionen ab 0.69 und bis zu 0.71 inklusive sind extrem + strict in der Behandlung von Unicode, und verweigern bestimmte + Eingaben von kivitendo. Falls es Probleme mit Umlauten in Ihrer + Installation gibt, muss zwingend Version 0.68 oder aber Version + 0.72 und neuer eingesetzt werden. Mit CPAN lÃ¤sst sie + sich die VorgÃ¤ngerversion wie folgt installieren: force install M/MS/MSTROUT/FCGI-0.68.tar.gz

Warnung

FCGI-Versionen ab 0.69 und bis zu 0.71 inklusive sind extrem + strict in der Behandlung von Unicode, und verweigern bestimmte + Eingaben von kivitendo. Falls es Probleme mit Umlauten in Ihrer + Installation gibt, muss zwingend Version 0.68 oder aber Version + 0.72 und neuer eingesetzt werden.

Mit CPAN lÃ¤sst sie + sich die VorgÃ¤ngerversion wie folgt installieren:

force install M/MS/MSTROUT/FCGI-0.68.tar.gz

2.6.2.4. Konfiguration des Webservers

Bevor Sie versuchen, eine kivitendo Installation unter FCGI + laufen zu lassen, empfiehlt es sich die Installation ersteinmal + unter CGI aufzusetzen. FCGI macht es nicht einfach Fehler zu + debuggen die beim ersten aufsetzen auftreten kÃ¶nnen. Sollte die + Installation schon funktionieren, lesen Sie weiter.

Zuerst muss das FastCGI-Modul aktiviert werden. Dies kann + unter Debian/Ubuntu z.B. mit folgendem Befehl geschehen:

a2enmod fcgid

Die Konfiguration fÃ¼r die Verwendung von kivitendo mit FastCGI + erfolgt durch Anpassung der vorhandenen Alias- + und Directory-Direktiven. Dabei wird zwischen + dem Installationspfad von kivitendo im Dateisystem + ("/path/to/kivitendo-erp") und der URL + unterschieden, unter der kivitendo im Webbrowser erreichbar ist + ("/url/for/kivitendo-erp").

Folgender Konfigurationsschnipsel funktioniert mit + mod_fastcgi:

AliasMatch ^/url/for/kivitendo-erp/[^/]+\.pl /path/to/kivitendo-erp/dispatcher.fcgi
+Alias       /url/for/kivitendo-erp/          /path/to/kivitendo-erp/
+
+<Directory /path/to/kivitendo-erp>
+  AllowOverride All
+  Options ExecCGI Includes FollowSymlinks
+  Require all granted
+</Directory>
+
+<DirectoryMatch /path/to/kivitendo-erp/users>
+Require all denied
+</DirectoryMatch>

	Warnung
Wer einen Ã¤lteren Apache als Version 2.4 im Einsatz hat, + muss entsprechend die Syntax der Directorydirektiven verÃ¤ndert. + Statt Require all granted muÃ man Folgendes einstellen: + Order Allow,Deny + Allow from All und statt Require all denied muss stehen: + Order Deny,Allow + Deny from All

Warnung

Wer einen Ã¤lteren Apache als Version 2.4 im Einsatz hat, + muss entsprechend die Syntax der Directorydirektiven verÃ¤ndert. + Statt

Require all granted

muÃ man Folgendes einstellen:

+  Order Allow,Deny
+  Allow from All

und statt

Require all denied

muss stehen:

+  Order Deny,Allow
+  Deny from All

Seit mod_fcgid-Version 2.3.6 gelten sehr kleine Grenzen fÃ¼r + die maximale GrÃ¶Ãe eines Requests. Diese sollte wie folgt + hochgesetzt werden:

FcgidMaxRequestLen 10485760

Das Ganze sollte dann so aussehen:

AddHandler fcgid-script .fpl
+AliasMatch ^/url/for/kivitendo-erp/[^/]+\.pl /path/to/kivitendo-erp/dispatcher.fpl
+Alias       /url/for/kivitendo-erp/          /path/to/kivitendo-erp/
+FcgidMaxRequestLen 10485760
+
+<Directory /path/to/kivitendo-erp>
+  AllowOverride All
+  Options ExecCGI Includes FollowSymlinks
+  Require all granted
+</Directory>
+
+<DirectoryMatch /path/to/kivitendo-erp/users>
+Require all denied
+</DirectoryMatch>

Hierdurch wird nur ein zentraler Dispatcher gestartet. Alle + Zugriffe auf die einzelnen Scripte werden auf diesen umgeleitet. + Dadurch, dass zur Laufzeit Ã¶fter mal Scripte neu geladen werden, + gibt es hier kleine Performance-EinbuÃen.

Es ist mÃ¶glich, die gleiche kivitendo Version parallel unter + CGI und FastCGI zu betreiben. DafÃ¼r bleiben die Directorydirektiven + wie oben beschrieben, die URLs werden aber umgeleitet:

# Zugriff Ã¼ber CGI
+Alias       /url/for/kivitendo-erp                /path/to/kivitendo-erp
+
+# Zugriff mit mod_fcgid:
+AliasMatch ^/url/for/kivitendo-erp-fcgid/[^/]+\.pl /path/to/kivitendo-erp/dispatcher.fpl
+Alias       /url/for/kivitendo-erp-fcgid/          /path/to/kivitendo-erp/

Dann ist unter /url/for/kivitendo-erp/ + die normale Version erreichbar, und unter + /url/for/kivitendo-erp-fcgid/ die + FastCGI-Version.

2.6.3. Authentifizierung mittels HTTP Basic Authentication

+ Kivitendo unterstÃ¼tzt, dass Benutzerauthentifizierung Ã¼ber den Webserver mittels des Â»BasicÂ«-HTTP-Authentifizierungs-Schema erfolgt + (siehe RFC 7617). Dazu ist es aber nÃ¶tig, dass der dabei vom Client + mitgeschickte Header Authorization vom Webserver an Kivitendo Ã¼ber die Umgebungsvariable + HTTP_AUTHORIZATION weitergegeben wird, was standardmÃ¤Ãig nicht der Fall ist. FÃ¼r Apache kann dies Ã¼ber die + folgende Konfigurationsoption aktiviert werden: +

SetEnvIf Authorization "(.*)" HTTP_AUTHORIZATION=$1

2.6.4. Aktivierung von mod_rewrite/directory_match fÃ¼r git basierte Installationen

+ Aufgrund von aktuellen (Mitte 2020) Sicherheitswarnungen fÃ¼r git basierte Webanwendungen ist die mitausgelieferte .htaccess + restriktiver geworden und verhindert somit das Auslesen von git basierten Daten. + FÃ¼r debian/ubuntu muss das Modul mod_rewrite einmalig so aktiviert werden: +

a2enmod rewrite

+ Alternativ und fÃ¼r Installationen ohne Apache ist folgender Artikel interessant: + git-lÃ¼cke. + Anstelle des dort beschriebenen DirectoryMatch fÃ¼r Apache2 wÃ¼rden wir etwas weitergehend auch noch das Verzeichnis config miteinbeziehen + sowie ferner auch die MÃ¶glichkeit nicht ausschlieÃen, dass es in Unterverzeichnissen auch noch .git Repositories geben kann. + Die Empfehlung fÃ¼r Apache 2.4 wÃ¤re damit: +

+        <DirectoryMatch "/(\.git|config)/">
+          Require all denied
+        </DirectoryMatch>

+ +

2.6.5. Weitergehende Konfiguration

FÃ¼r einen deutlichen Sicherheitsmehrwert sorgt die AusfÃ¼hrung + von kivitendo nur Ã¼ber https-verschlÃ¼sselten Verbindungen, sowie + weiteren Zusatzmassnahmen, wie beispielsweise Basic Authenticate. Die + KonfigurationsmÃ¶glichkeiten sprengen allerdings den Rahmen dieser + Anleitung, hier ein Hinweis auf einen entsprechenden Foreneintrag + (Stand Sept. 2015) und einen aktuellen (Stand Mai 2017) + SSL-Konfigurations-Generator.

2.6.6. Aktivierung von Apache2 modsecurity

Aufgrund des OpenSource Charakters ist kivitendo nicht "out of the box" sicher. + Organisatorisch empfehlen wir hier die enge Zusammenarbeit mit einem kivitendo Partner der auch in der +Lage ist weiterfÃ¼hrende Fragen in Bezug auf Datenschutz und Datensicherheit zu beantworten. +UnabhÃ¤ngig davon empfehlen wir im Webserver Bereich die Aktivierung und Konfiguration des Moduls modsecurity fÃ¼r den Apache2, damit +XSS und SQL-Injections verhindert werden.

Als Idee hierfÃ¼r sei dieser Blog-Eintrag genannt: + + Test Apache2 modsecurity for SQL Injection.

ZurÃ¼ck	Nach oben	Weiter
2.5. Webserver-Konfiguration	Zum Anfang	2.7. Benutzerauthentifizierung und Administratorpasswort

ZurÃ¼ck	Nach oben	Weiter
2.5. Anpassung der PostgreSQL-Konfiguration	Zum Anfang	2.7. Der Task-Server