Vor den einzelnen Optionen muss bei einigen Distributionen ein
Plus â+ â gesetzt werden. Bei einigen Distribution (Ubuntu ab 14.04, Debian ab 8.2) muss
@@ -42,9 +41,7 @@ Alias /kivitendo-erp/ /var/www/kivitendo-erp/
führt dazu dass ein kivitendo Aufruf der Kernmasken mittlerweile
deutlich länger dauert als früher, und dass davon 90% für das Laden
der Module verwendet wird. Mit FastCGI werden nun die Module einmal geladen, und danach
- wird nur die eigentliche Programmlogik ausgeführt. 2.6.2.3. Getestete Kombinationen aus Webservern und PluginFolgende Kombinationen sind getestet: Apache 2.2.11 (Ubuntu) und mod_fcgid. Apache 2.2.11 / 2.2.22 (Ubuntu) und mod_fastcgi. Apache 2.4.7 (Ubuntu 14.04.2 LTS) und mod_fcgid.
Dabei wird mod_fcgid empfohlen, weil mod_fastcgi seit geraumer
- Zeit nicht mehr weiter entwickelt wird. Im Folgenden wird auf
- mod_fastcgi nicht mehr explizit eingegangen. Als Perl Backend wird das Modul FCGI.pm
+ wird nur die eigentliche Programmlogik ausgeführt. 2.6.2.3. Getestete Kombinationen aus Webservern und PluginFolgende Kombinationen sind getestet: Apache 2.4.7 (Ubuntu 14.04.2 LTS) und mod_fcgid. Apache 2.4.18 (Ubuntu 16.04 LTS) und mod_fcgid Apache 2.4.29 (Ubuntu 18.04 LTS) und mod_fcgid
Als Perl Backend wird das Modul FCGI.pm
verwendet. ![[Warnung]](system/docbook-xsl/images/warning.png) | Warnung |
---|
FCGI-Versionen ab 0.69 und bis zu 0.71 inklusive sind extrem
strict in der Behandlung von Unicode, und verweigern bestimmte
Eingaben von kivitendo. Falls es Probleme mit Umlauten in Ihrer
@@ -72,12 +69,14 @@ Alias /url/for/kivitendo-erp/ /path/to/kivitendo-erp/
</Directory>
<DirectoryMatch /path/to/kivitendo-erp/users>
-Require all granted
+Require all denied
</DirectoryMatch> ![[Warnung]](system/docbook-xsl/images/warning.png) | Warnung |
---|
Wer einen älteren Apache als Version 2.4 im Einsatz hat,
muss entsprechend die Syntax der Directorydirektiven verändert.
Statt Require all granted muà man Folgendes einstellen:
Order Allow,Deny
- Allow from All |
Seit mod_fcgid-Version 2.3.6 gelten sehr kleine Grenzen für
+ Allow from All und statt Require all denied muss stehen:
+ Order Deny,Allow
+ Deny from All |
Seit mod_fcgid-Version 2.3.6 gelten sehr kleine Grenzen für
die maximale GröÃe eines Requests. Diese sollte wie folgt
hochgesetzt werden: FcgidMaxRequestLen 10485760 Das Ganze sollte dann so aussehen: AddHandler fcgid-script .fpl
AliasMatch ^/url/for/kivitendo-erp/[^/]+\.pl /path/to/kivitendo-erp/dispatcher.fpl
@@ -87,13 +86,11 @@ FcgidMaxRequestLen 10485760
<Directory /path/to/kivitendo-erp>
AllowOverride All
Options ExecCGI Includes FollowSymlinks
- Order Allow,Deny
- Allow from All
+ Require all granted
</Directory>
<DirectoryMatch /path/to/kivitendo-erp/users>
- Order Deny,Allow
- Deny from All
+Require all denied
</DirectoryMatch> Hierdurch wird nur ein zentraler Dispatcher gestartet. Alle
Zugriffe auf die einzelnen Scripte werden auf diesen umgeleitet.
Dadurch, dass zur Laufzeit öfter mal Scripte neu geladen werden,
@@ -107,10 +104,16 @@ AliasMatch ^/url/for/kivitendo-erp-fcgid/[^/]+\.pl /path/to/kivitendo-erp/dispat
Alias /url/for/kivitendo-erp-fcgid/ /path/to/kivitendo-erp/ Dann ist unter /url/for/kivitendo-erp/
die normale Version erreichbar, und unter
/url/for/kivitendo-erp-fcgid/ die
- FastCGI-Version. 2.6.3. Weitergehende KonfigurationFür einen deutlichen Sicherheitsmehrwert sorgt die Ausführung
+ FastCGI-Version. 2.6.3. Authentifizierung mittels HTTP Basic Authentication
+ Kivitendo unterstützt, dass Benutzerauthentifizierung über den Webserver mittels des »Basic«-HTTP-Authentifizierungs-Schema erfolgt
+ (siehe RFC 7617). Dazu ist es aber nötig, dass der dabei vom Client
+ mitgeschickte Header Authorization vom Webserver an Kivitendo über die Umgebungsvariable
+ HTTP_AUTHORIZATION weitergegeben wird, was standardmäÃig nicht der Fall ist. Für Apache kann dies über die
+ folgende Konfigurationsoption aktiviert werden:
+ SetEnvIf Authorization "(.*)" HTTP_AUTHORIZATION=$1 2.6.4. Weitergehende KonfigurationFür einen deutlichen Sicherheitsmehrwert sorgt die Ausführung
von kivitendo nur über https-verschlüsselten Verbindungen, sowie
weiteren Zusatzmassnahmen, wie beispielsweise Basic Authenticate. Die
Konfigurationsmöglichkeiten sprengen allerdings den Rahmen dieser
Anleitung, hier ein Hinweis auf einen entsprechenden Foreneintrag
- (Stand Sept. 2015)
-
\ No newline at end of file
+ (Stand Sept. 2015) und einen aktuellen (Stand Mai 2017)
+ SSL-Konfigurations-Generator. |