X-Git-Url: http://wagnertech.de/git?a=blobdiff_plain;f=doc%2Fhtml%2Fch02s08.html;h=9c7606feb74d8833fd45c9a7ea813012b08d435f;hb=60727b511c462893759c148dc0058ba90f4905ea;hp=459eae15585de4187034bd08d5b8fa69e86eafb5;hpb=a71821962da6b8b6b16cdd44c6d446c7112fe03e;p=kivitendo-erp.git diff --git a/doc/html/ch02s08.html b/doc/html/ch02s08.html index 459eae155..9c7606feb 100644 --- a/doc/html/ch02s08.html +++ b/doc/html/ch02s08.html @@ -1,78 +1,107 @@
-Nach der Installation müssen Benutzer, Gruppen und Datenbanken - angelegt werden. Dieses geschieht im Administrationsmenü, das Sie unter - folgender URL finden:
- http://localhost/lx-erp/admin.pl -
Verwenden Sie zur Anmeldung das Password, dass Sie in der Datei
- config/lx_office.conf
eingetragen haben.
Lx-Office verwendet eine Datenbank zum Speichern all seiner - Informationen wie Kundendaten, Artikel, Angebote, Rechnungen etc. Um - mit Lx-Office arbeiten zu können, muss eine Person einen - Benutzeraccount haben. Jedem Benutzeraccount wiederum wird genau eine - Datenbank zugewiesen, mit der dieser Benutzer arbeiten kann. Es ist - möglich und normal, dass mehreren Benutzern die selbe Datenbank - zugewiesen wird, sodass sie alle mit den selben Daten arbeiten - können.
Die Basisdaten der Benutzer, die in der Administration - eingegeben werden können, werden in einer zweiten Datenbank - gespeichert, der bereits erwähnten Authentifizierungsdatenbank. Diese - ist also den Produktivdaten enthaltenden Datenbanken vorgeschaltet. - Pro Lx-Office-Installation gibt es nur eine - Authentifizierungsdatenbank, aber beliebig viele Datenbanken mit - Firmendaten.
Lx-Office kann seinen Benutzern Zugriff auf bestimmte - Funktionsbereiche erlauben oder verbieten. Wird der Zugriff nicht - gestattet, so werden der entsprechenden Menüpunkte auch nicht - angezeigt. Diese Rechte werden ebenfalls in der - Authentifizierungsdatenbank gespeichert.
Um Rechte verteilen zu können, verwendet Lx-Office ein - Gruppen-Prinzip. Einer Gruppe kann der Zugriff auf bestimmte Bereiche - erlaubt werden. Ein Benutzer wiederum kann Mitglied in einer oder - mehrerer Gruppen sein. Der Benutzer hat Zugriff auf alle diejenigen - Funktionen, die mindestens einer Gruppe erlaubt sind, in der der - Benutzer Mitglied ist.
Die allgemeine Reihenfolge, in der Datenbanken, Gruppen und - Benutzer angelegt werden sollten, lautet:
Datenbank anlegen
Gruppen anlegen
Benutzer anlegen
Benutzer den Gruppen zuordnen
Zuerst muss eine Datenbank angelegt werden. Verwenden Sie für
- den Datenbankzugriff den vorhin angelegten Benutzer (in unseren
- Beispielen ist dies âlxoffice
â).
Wenn Sie für die Lx-Office-Installation nicht den europäischen
- Schriftsatz ISO-8859-15 sondern UTF-8 (Unicode) benutzen wollen, so
- müssen Sie vor dem Anlegen der Datenbank in der Datei
- config/lx_office.conf
die Variable
- dbcharset
im Abschnitt system
- auf den Wert âUTF-8
â setzen. Zusätzlich muss beim
- Anlegen der Datenbank âUTF-8 Unicode
â als
- Schriftsatz ausgewählt werden.
Bitte beachten Sie, dass alle Datenbanken den selben Zeichensatz - verwenden müssen, da diese Einstellungen momentan global in Lx-Office - vorgenommen wird und nicht nach Datenbank unterschieden werden kann. - Auch die Authentifizierungsdatenbank muss mit diesem Zeichensatz - angelegt worden sein.
Eine Gruppe wird in der Gruppenverwaltung angelegt. Ihr muss ein - Name gegeben werden, eine Beschreibung ist hingegen optional. Nach dem - Anlegen können Sie die verschiedenen Bereiche wählen, auf die - Mitglieder dieser Gruppe Zugriff haben sollen.
Benutzergruppen sind unabhängig von Datenbanken, da sie in der - Authentifizierungsdatenbank gespeichert werden. Sie gelten für alle - Datenbanken, die in dieser Installation verwaltet werden.
Beim Anlegen von Benutzern werden für viele Parameter - Standardeinstellungen vorgenommen, die den Gepflogenheiten des - deutschen Raumes entsprechen.
Zwingend anzugeben sind der Loginname sowie die komplette - Datenbankkonfiguration. Wenn die Passwortauthentifizierung über die - Datenbank eingestellt ist, so kann hier auch das Benutzerpasswort - gesetzt bzw. geändert werden. Ist hingegen die LDAP-Authentifizierung - aktiv, so ist das Passwort-Feld deaktiviert.
In der Datenbankkonfiguration müssen die Zugriffsdaten einer der - eben angelegten Datenbanken eingetragen werden.
Nach dem Anlegen von Benutzern und Gruppen müssen Benutzer den - Gruppen zugewiesen werden. Dazu gibt es zwei Möglichkeiten:
In der Gruppenverwaltung wählt man eine Gruppe aus. Im - folgenden Dialog kann man dann einzeln die Benutzer der Gruppe - hinzufügen.
In der Gruppenverwaltung wählt man das Tool zur Verwaltung - der Gruppenmitgliedschaft. Hier wird eine Matrix angezeigt, die - alle im System angelegten Gruppen und Benutzer enthält. Durch - Setzen der Häkchen wird der Benutzer in der ausgewählten Zeile der - Gruppe in der ausgewählten Spalte hinzugefügt.
Wenn Lx-Office 2.6.3 über eine ältere Version installiert wird,
- in der die Benutzerdaten noch im Dateisystem im Verzeichnis
- users
verwaltet wurden, so bietet Lx-Office die
- Möglichkeit, diese Benutzerdaten automatisch in die
- Authentifizierungsdatenbank zu übernehmen. Dies geschieht, wenn man
- sich nach dem Update der Installation das erste Mal im
- Administrationsbereich anmeldet. Findet Lx-Office die Datei
- users/members
, so wird der Migrationsprozess
- gestartet.
Der Migrationsprozess ist nahezu vollautomatisch. Alle - Benutzerdaten können übernommen werden. Nach den Benutzerdaten bietet - Lx-Office noch die Möglichkeit an, dass automatisch eine - Benutzergruppe angelegt wird. Dieser Gruppe wird Zugriff auf alle - Funktionen von Lx-Office gewährt. Alle migrierten Benutzern werden - Mitglied in dieser Gruppe. Damit wird das Verhalten von Lx-Office bis - Version 2.4.3 inklusive wiederhergestellt, und die Benutzer können - sich sofort wieder anmelden und mit dem System arbeiten.
Informationen über die Einrichtung der Benutzerauthentifizierung, + über die Verwaltung von Gruppen und weitere Einstellungen
kivitendo verwaltet die Benutzerinformationen in einer + Datenbank, die im folgenden âAuthentifizierungsdatenbankâ genannt + wird. Für jeden Benutzer kann dort eine eigene Datenbank für die + eigentlichen Finanzdaten hinterlegt sein. Diese beiden Datenbanken + können, müssen aber nicht unterschiedlich sein.
Im einfachsten Fall gibt es für kivitendo nur eine einzige + Datenbank, in der sowohl die Benutzerinformationen als auch die Daten + abgelegt werden.
Zusätzlich ermöglicht es kivitendo, dass die Benutzerpasswörter gegen die Authentifizierungsdatenbank oder gegen einen oder + mehrere LDAP-Server überprüft werden.
Welche Art der Passwortüberprüfung kivitendo benutzt und wie
+ kivitendo die Authentifizierungsdatenbank erreichen kann, wird in der
+ Konfigurationsdatei config/kivitendo.conf
+ festgelegt. Diese muss bei der Installation und bei einem Upgrade von
+ einer Version vor v2.6.0 angelegt werden. Eine
+ Beispielkonfigurationsdatei
+ config/kivitendo.conf.default
existiert, die als
+ Vorlage benutzt werden kann.
Das Passwort, das zum Zugriff auf das Administrationsinterface
+ von kivitendo benutzt wird, wird ebenfalls in dieser Datei
+ gespeichert. Es kann auch nur dort und nicht mehr im
+ Administrationsinterface selber geändert werden. Der Parameter dazu
+ heiÃt admin_password
im Abschnitt
+ [authentication]
.
Die Verbindung zur Authentifizierungsdatenbank wird mit den
+ Parametern in [authentication/database]
+ konfiguriert. Hier sind die folgenden Parameter anzugeben:
host
+ Der Rechnername oder die IP-Adresse des + Datenbankservers
port
+ Die Portnummer des Datenbankservers, meist 5432
db
+ Der Name der Authentifizierungsdatenbank
user
+ Der Benutzername, mit dem sich kivitendo beim
+ Datenbankserver anmeldet (z.B.
+ "postgres
")
password
+ Das Passwort für den Datenbankbenutzer
Die Datenbank muss noch nicht existieren. kivitendo kann sie + automatisch anlegen (mehr dazu siehe unten).
kivitendo unterstützt Passwortüberprüfung auf zwei Arten: gegen
+ die Authentifizierungsdatenbank und gegen externe LDAP- oder
+ Active-Directory-Server. Welche davon benutzt wird, regelt der
+ Parameter module
im Abschnitt
+ [authentication]
.
Dieser Parameter listet die zu verwendenden Authentifizierungsmodule auf. Es muss mindestens ein Modul angegeben werden, es + können aber auch mehrere angegeben werden. Weiterhin ist es möglich, das LDAP-Modul mehrfach zu verwenden und für jede Verwendung + eine unterschiedliche Konfiguration zu nutzen, z.B. um einen Fallback-Server anzugeben, der benutzt wird, sofern der Hauptserver + nicht erreichbar ist.
Sollen die Benutzerpasswörter in der Authentifizierungsdatenbank geprüft werden, so muss der Parameter
+ module
das Modul DB
enthalten. Sofern das Modul in der Liste enthalten ist, egal an welcher
+ Position, können sowohl der Administrator als auch die Benutzer selber ihre Passwörter in kivitendo ändern.
Wenn Passwörter gegen einen oder mehrere externe LDAP- oder Active-Directory-Server geprüft werden, so muss der Parameter
+ module
den Wert LDAP
enthalten. In diesem Fall müssen zusätzliche Informationen über den
+ LDAP-Server im Abschnitt [authentication/ldap]
angegeben werden. Das Modul kann auch mehrfach angegeben werden,
+ wobei jedes Modul eine eigene Konfiguration bekommen sollte. Der Name der Konfiguration wird dabei mit einem Doppelpunkt getrennt an
+ den Modulnamen angehängt (LDAP:Name-der-Konfiguration
). Der entsprechende Abschnitt in der Konfigurationsdatei
+ lautet dann [authentication/Name-der-Konfiguration]
.
Die verfügbaren Parameter für die LDAP-Konfiguration lauten:
host
+ Der Rechnername oder die IP-Adresse des LDAP- oder + Active-Directory-Servers. Diese Angabe ist zwingend + erforderlich.
port
+ Die Portnummer des LDAP-Servers; meist 389.
tls
+ Wenn Verbindungsverschlüsselung gewünscht ist, so diesen
+ Wert auf â1
â setzen, andernfalls auf
+ â0
â belassen
verify
+ Wenn Verbindungsverschlüsselung gewünscht und der Parameter tls
gesetzt ist, so gibt dieser
+ Parameter an, ob das Serverzertifikat auf Gültigkeit geprüft wird. Mögliche Werte sind require
(Zertifikat
+ wird überprüft und muss gültig sei; dies ist der Standard) und none
(Zertifikat wird nicht
+ überpfüft).
attribute
+ Das LDAP-Attribut, in dem der Benutzername steht, den der
+ Benutzer eingegeben hat. Für Active-Directory-Server ist dies
+ meist âsAMAccountName
â, für andere
+ LDAP-Server hingegen âuid
â. Diese Angabe ist
+ zwingend erforderlich.
base_dn
+ Der Abschnitt des LDAP-Baumes, der durchsucht werden soll. + Diese Angabe ist zwingend erforderlich.
filter
+ Ein optionaler LDAP-Filter. Enthält dieser Filter das Wort
+ <%login%>
, so wird dieses durch den vom
+ Benutzer eingegebenen Benutzernamen ersetzt. Andernfalls wird
+ der LDAP-Baum nach einem Element durchsucht, bei dem das oben
+ angegebene Attribut mit dem Benutzernamen identisch ist.
bind_dn
und
+ bind_password
+ Wenn der LDAP-Server eine Anmeldung erfordert, bevor er
+ durchsucht werden kann (z.B. ist dies bei
+ Active-Directory-Servern der Fall), so kann diese hier angegeben
+ werden. Für Active-Directory-Server kann als
+ âbind_dn
â entweder eine komplette LDAP-DN wie
+ z.B. âcn=Martin
+ Mustermann,cn=Users,dc=firmendomain
â auch nur der
+ volle Name des Benutzers eingegeben werden; in diesem Beispiel
+ also âMartin Mustermann
â.
timeout
+ Timeout beim Verbindungsversuch, bevor der Server als nicht erreichbar gilt; Standardwert: 10
Sollen auf einem Server mehrere kivitendo-Installationen
+ aufgesetzt werden, so müssen die Namen der Session-Cookies für alle
+ Installationen unterschiedlich sein. Der Name des Cookies wird mit dem
+ Parameter cookie_name
im Abschnitt
+ [authentication]
gesetzt.
Diese Angabe ist optional, wenn nur eine Installation auf dem + Server existiert.
Nachdem alle Einstellungen in
+ config/kivitendo.conf
vorgenommen wurden, muss
+ kivitendo die Authentifizierungsdatenbank anlegen. Dieses geschieht
+ automatisch, wenn Sie sich im Administrationsmodul anmelden, das unter
+ der folgenden URL erreichbar sein sollte:
+ http://localhost/kivitendo-erp/controller.pl?action=Admin/login +