Open Source DMS / ECM agorum core das freie Dokumentenmanagement System und Enterprise Content Management System mit Workflow und Archivieren-Funktion.
15. Kapitel 1.
Administration
1.1. Allgemein
Die Berechtigung von Dateien, Ordnern oder anderen Objekten basiert auf ACLs
(AccessControlLists). Das heit, es werden Benutzer oder Gruppen (Sammlung
von Benutzern bzw. anderen Gruppen) in ACLs gesammelt und dort die Rechteein-
stellungen fr die jeweiligen Eintrge vorgenommen. Diese Einstellungen knnen
u a o
nur von einem Benutzer mit Administratorrechten vorgenommen werden.
1.1.1. Beispiel
Benutzer A ist Mitglied der Gruppe A. Jetzt wird die Gruppe A in das ACL
ACL A eingefgt und mit der Berechtigung WRITE versehen. Das ACL A wird
u
nun dem Ordner Ordner A zugeordnet. Das bedeutet, der Benutzer A besitzt
nun Schreibrecht auf den Ordner A. Nun knnen natrlich weitere Benutzer in
o u
die Gruppe eingefgt werden oder weitere Gruppen bzw. Benutzer in das ACL mit
u
unterschiedlichen Rechten. (siehe Abbildung 1.1)
6
16. Kapitel 1. Administration
Abbildung 1.1.: Beispiel Benutzer - Gruppen - ACL
1.2. Benutzer-Verwaltung
Uber die Benutzer-Verwaltung knnen Sie Benutzer anlegen, andern und lschen.
o o
Sie erreichen die Benutzer-Verwaltung uber das Administrationsmen.
u
1.2.1. Benutzer anlegen und bearbeiten
Im Benutzerbereich (dorthin gelangen Sie uber Administration, siehe Abbildung
1.2) lassen sich neben Benutzern auch Ordner anlegen. Diese dienen nur zur logi-
schen Gruppierung von Nutzern und dient lediglich dem Zweck der Ubersichtlich-
keit.
Wollen Sie einen neuen Benutzer anlegen, so wechseln Sie in den gewnschten
u
Ordner und rufen dort uber das Men Vorgang den Menpunkt Neuer Benutzer
u u
auf. Nun folgen einige Angaben zum Benutzer:
7
17. Kapitel 1. Administration
Abbildung 1.2.: Administrationsbereich
Reiter Benutzer
Bezeichnung Beschreibung
Benutzername Geben Sie einen Benutzernamen fr diesen Be-
u
nutzer an. Dieser muss systemweit eindeutig sein.
Er wird zur Anmeldung bentigt.
o
Aliase Einem Benutzer knnen noch weitere Anmelden-
o
amen zugeordnet werden. Diese knnen Sie hier,
o
wenn ntig, mit ';' getrennt angeben.
o
Credential Hier kann ein LDAP Credential ausgewhlt wer-
a
den. Beim Standard roi werden die Benutzer in
einer eigenen Datenbank abgelegt.
Passwort Das Passwort fr den Benutzer, wird bentigt fr
u o u
die Anmeldung.
Administrator Haken Sie dieses Kstchen an, so wird dieser Be-
a
nutzer zum Administrator und erhlt Systemweit
a
smtliche Voll-Rechte.
a
Beschreibung Hier knnen Sie eine beliebige Beschreibung fr
o u
den Benutzer angeben.
Reiter Pro
19. Kapitel 1. Administration
Bezeichnung Beschreibung
Nachname Geben Sie den Nachnamen des Benutzers an
Vorname Geben Sie den Vornamen des Benutzers an
Email-Adresse Geben Sie durch Semikolon getrennt, E-Mail-
Adressen, die diesem Benutzer zugeordnet sind,
an.
Sender Email-Adresse Geben Sie durch Semikolon getrennt, E-Mail-
Adressen, die dieser Benutzer zum Senden (nicht
zum Empfangen!) verwenden darf.
Sprache Die Sprache des Benutzers
Mandanten-Kennung Das System kann programmtechnisch an Man-
danten angepasst werden. Sollte dies zutreen, so
tragen Sie hier den Mandanten ein. Fr den Stan-
u
dard lassen Sie das Feld leer.
Reiter Rollen
Bezeichnung Beschreibung
Standard Rolle Hier kann ein anderer Benutzer eingetragen wer-
den. Das bedeutet, dass sich der aktuelle Benutzer
von den Rechten so verhlt, wie der zugeordnete.
a
Zugeordnete Rolle Hier wird ein Gruppe eingetragen, die alle Benut-
zer (Rollen) enthlt, mit denen dieser Benutzer
a
sich anmelden darf.
Rolle Wenn angehakt, dann ist der Benutzer eine Rolle
(z. Z. hat dieses Attribute keine Funktion).
Fr eine ausfhrliche Beschreibung von Rollen, siehe Kapitel Rollen. Um einen
u u
vorhandenen Benutzer zu bearbeiten, wechseln Sie in den Ordner, in dem sich der
Benutzer be
20. ndet, markieren Sie die Checkbox und whlen Sie aus dem Men Be-
a u
arbeiten den Punkt Bearbeiten. Die Maske ist analog zur Neuanlage eines Benut-
zers.
1.2.2. Referenz Benutzer
Mit dieser Funktion lassen sich sehr einfach die Gruppen- und ACL-Einstellungen
von Referenzbenutzern auf einen anderen Benutzer ubertragen. Dafr markieren
u
Sie in der Benutzerliste den Benutzer, der die Gruppen und/oder ACL Einstel-
lungen anderer Benutzer ubernehmen soll (hier: Benutzer AA) und whlen im
a
Men Vorgang - Referenz Benutzer. In der jetzt erscheinenden Maske knnen ein
u o
oder mehrere Referenzbenutzer uber eine Suchfunktion ausgewhlt werden (hier:
a
Benutzer A). (siehe Abbildung 1.3 und Abbildung 1.4)
9
21. Kapitel 1. Administration
Abbildung 1.3.: Referenz Benutzer
Abbildung 1.4.: Auswahl Referenz Benutzer
Auf der folgenden Maske (siehe Abbildung 1.5) gibt es folgende Auswahlmglich-
o
keiten: Wenn Gruppen angehakt ist, dann wird der gewhlte Benutzer (angehakte)
a
in alle Gruppen der zuvor gesuchten Benutzer eingetragen. Analog passiert dies fr
u
ACLs, wenn ACL angehakt ist. Mit der dritten Checkbox kann man bestimmen,
ob der gewhlte Benutzer aus allen Gruppen/ACLs entfernt werden soll, in denen
a
er gerade ist.
10
22. Kapitel 1. Administration
Abbildung 1.5.: Auswahl fr Gruppen und ACLs des Referenz Benutzers
u
Auf der letzten Maske knnen Sie die Gruppen/ACLs, in die der Benutzer einge-
o
tragen werden soll nochmals gezielt manipulieren. (siehe Abbildung 1.6)
11
23. Kapitel 1. Administration
Abbildung 1.6.: Erweiterte Auswahl fr Gruppen und ACLs des Referenz Benutzers
u
1.2.3. Vorinstallierte Benutzer
Name Beschreibung
roi Systemadministrator
guest Gastbenutzer
1.3. Gruppen-Verwaltung
Uber die Gruppen-Verwaltung knnen Sie Gruppen anlegen, andern und lschen.
o o
Des Weiteren knnen Sie einer Gruppe neue Mitglieder (Benutzer und andere
o
Gruppen) zuordnen. Sie erreichen die Gruppen-Verwaltung uber das Administra-
tionsmen.
u
1.3.1. Gruppen anlegen und bearbeiten
Im Gruppenbereich lassen sich neben Gruppen auch Ordner anlegen. Diese dienen
nur zur logischen Gruppierung von Gruppen und dient lediglich dem Zweck der
Ubersichtlichkeit. Wollen Sie eine neue Gruppe anlegen, so wechseln Sie in den
12
24. Kapitel 1. Administration
gewnschten Ordner und rufen dort uber das Men Vorgang den Menpunkt Neue
u u u
Gruppe auf. Nun folgen einige Angaben zur Gruppe:
Reiter Gruppe
Bezeichnung Beschreibung
Gruppenname Geben Sie einen Gruppennamen fr diese Grup-
u
pe an. Dieser muss systemweit eindeutig sein. Er
wird zur Administration bentigt.
o
Beschreibung Hier knnen Sie eine beliebige Beschreibung fr
o u
die Gruppe angeben.
1.3.2. Gruppenmitglieder hinzufgen
u
Nachdem Sie eine Gruppe angelegt haben, knnen Sie unterhalb der Gruppe neue
o
Mitglieder hinzufgen. Wechseln Sie dazu in die entsprechende Gruppe (hier:
u
Gruppe A) und whlen sie im Men Vorgang - Mitglieder hinzufgen (siehe
a u u
Abbildung 1.7). In der nun folgenden Maske Gruppenzuordnung knnen sie uber
o
eine Suchfunktion Benutzer oder andere Gruppen zu der Gruppe hinzufgen.
u
Eine andere Mglichkeit Mitglieder zu den Gruppen hinzuzufgen ist Kopieren und
o u
Einfgen aus dem Men zu verwenden. Dafr wird in der Benutzer- oder Grup-
u u u
penliste ein Benutzer bzw. eine Gruppe markiert und uber das Men Bearbeiten
u
- Kopieren in die Zwischenablage kopiert.
Unterhalb der gewnschten Zielgruppe wird dann der Benutzer/die Gruppe mit
u
Bearbeiten - Einfgen eingefgt.
u u
Abbildung 1.7.: Gruppenmitglieder hinzufgen
u
Nachdem Sie Benutzer oder Gruppen zu der Gruppe hinzugefgt haben, erscheinen
u
die Mitglieder in der Gruppenliste. (siehe Abbildung 1.8)
13
25. Kapitel 1. Administration
Abbildung 1.8.: Gruppenliste
1.3.3. Vorinstallierte Gruppen
Name Beschreibung
world Hier sind alle Benutzer automatisch Mitglied.
1.4. Rechteverwaltung
Uber die Rechteverwaltung ACL (Rechte) knnen Sie ACLs (Acess Controll Lists)
o
anlegen, andern und lschen. Des Weiteren knnen sie einem ACL neue Mitglieder
o o
(Benutzer und Gruppen) zuordnen.
Sie erreichen die Rechteverwaltung uber das Administrationsmen.
u
1.4.1. ACL anlegen und bearbeiten
Im ACL-Bereich lassen sich neben ACLs auch Ordner anlegen. Diese dienen nur
zur logischen Gruppierung von ACLs und dient lediglich dem Zweck der Ubersicht-
lichkeit. Wollen Sie ein neues ACL anlegen, so wechseln Sie in den gewnschten
u
Ordner und rufen dort uber das Men Vorgang den Menpunkt Neues ACL auf.
u u
Nun folgen einige Angaben zum ACL:
Reiter ACL
ACL-Name: Geben Sie einen Namen fr das ACL an. Dieser muss systemweit
u
eindeutig sein. Er wird zur Administration bentigt.
o
Beschreibung: Hier knnen Sie eine beliebige Beschreibung fr das ACL angeben.
o u
14
26. Kapitel 1. Administration
1.4.2. ACL-Mitglieder hinzufgen
u
Nachdem Sie ein ACL angelegt haben, knnen Sie unterhalb des ACLs neue Mit-
o
glieder (Gruppen und Benutzer) hinzufgen. Wechseln Sie dazu in das entsprechen-
u
de ACL (hier: ACL A) und whlen sie im Men Vorgang - Mitglieder hinzufgen.
a u u
In der nun folgenden Maske ACL Zuordnung knnen sie uber eine Suchfunktion
o
Benutzer oder Gruppen zu dem ACL hinzufgen.
u
Eine andere Mglichkeit Mitglieder zu den ACLs hinzuzufgen ist Kopieren und
o u
Einfgen aus dem Men zu verwenden. Dafr wird in der Benutzer- oder Grup-
u u u
penliste ein Benutzer bzw. eine Gruppe markiert und uber das Men Bearbeiten
u
- Kopieren in die Zwischenablage kopiert. Unterhalb des gewnschten ACLs wird
u
dann der Benutzer/die Gruppe mit Bearbeiten - Einfgen eingefgt.
u u
Des Weiteren knnen Sie in dieser Liste auch die Reihenfolge der Benutzer bzw.
o
Gruppen ndern. Das ist ntzlich, wenn sie einzelnen Benutzern oder Gruppen
a u
Rechte entziehen wollen. Die Berechtigung wird immer von Oben nach Unten ge-
lesen. Es gilt dann die Berechtigung, die am Ende ubrigbleibt. (siehe Abbildung
1.9)
Abbildung 1.9.: Beispiel eines ACL mit 1 Benutzer und 1 Gruppe
Beispiel: Es soll ein ACL erstellt werden, durch das Gruppe C Vollzugri
erhlt, Benutzer A (der indirekt Mitglied von Gruppe C ist) darf aber aus
a
Sicherheitsgrnden nur lesen.
u
Lsung:
o
Die Gruppe Gruppe C wird vor Benutzer A in das ACL eingefgt oder mit
u
den Pfeilen rechts vom Symbol so verschoben, dass sie vor Benutzer A steht.
Der Gruppe wird das Recht A zugeordnet und dem Benutzer A mit X und A
entzogen. Dann muss Benutzer A nochmals zum ACL hinzugefgt werden und
u
jetzt wird ihm das Recht R vergeben.
15
27. Kapitel 1. Administration
Das funktioniert aber nur, wenn das ACL von Oben nach Unten folgendermaen
aufgebaut ist:
Name Beschreibung
Gruppe C Recht A
Benutzer A Recht X und A (dies bedeutet das Recht wird
entzogen)
Benutzer A Recht R (Jetzt bekommt der Benutzer nur noch
Read zugeordnet)
1.4.3. Rechte der Mitglieder setzen
Bild Bezeichnung Beschreibung
Read Mitglieder haben Leserechte, drfen aber
u
nicht schreiben, ndern oder lschen. Der
a o
Besitzer des Objekts hat Vollzugri (auch
lschen).
o
Protected Mitglieder haben Leserechte, drfen aber
u
Objekte nicht andern oder lschen. Ist ein
o
Ordner Protected, so drfen Mitglie-
u
der darunter Objekte anlegen. Der Be-
sitzer des Objekts hat Vollzugri (auch
lschen).
o
Write Mitglieder haben Schreibrechte und
drfen ndern und neu anlegen, aber
u a
nicht lschen. Der Besitzer des Objektes
o
hat Vollzugri (auch lschen).
o
All Mitglieder haben Vollzugri, auch
lschen.
o
Man kann auch Rechte entziehen, was aber nur Sinn macht, wenn ein Benutzer
bzw. eine Gruppe vorher in demselben ACL Rechte bekommen hat. Rechte werden
entzogen, indem zustzlich das X angehakt wird:
a
16
28. Kapitel 1. Administration
Bild Bezeichnung Beschreibung
Revoke Read Leserecht entziehen. Lschen, neu anle-
o
gen und bearbeiten geht weiterhin (nicht
sinnvoll).
Revoke Protected entziehen.
Protected
Revoke Write Schreibrechte entziehen.
Revoke All Alle Rechte entziehen.
1.4.4. ACL speichern
Wenn Sie Mitglieder zu einem ACL hinzugefgt oder gelscht oder die Rechte der
u o
Mitglieder gendert haben, mssen Sie das ACL speichern! Das geht im Men der
a u u
ACL-Liste uber Vorgang - ACL speichern, bzw. Vorgang - ACL zurcksetzten
u
wenn Sie Anderungen rckgngig machen wollen.
u a
1.5. Rechte vergeben
Wenn sie ein neues Objekt (in diesem Beispiel Ordner A) angelegt haben, so hat
dieses das Standard-ACL Published. Um das ACL des Ordners zu andern, whlen
a
Sie es aus und rufen uber das Men Bearbeiten - Rechte vergeben die Maske zum
u
Andern auf. (siehe Abbildung 1.10)
Abbildung 1.10.: Ordnerliste mit Berechtigungen
17
29. Kapitel 1. Administration
Hier wird uber eine Suchfunktion nach dem gewnschten ACL gesucht (Suchwort
u
hier: ACL) und das Entsprechende aus der Ergebnisliste ausgewhlt (in diesem
a
Beispiel ACL A).(siehe Abbildung 1.11)
Abbildung 1.11.: ACL Suchen
Des Weiteren gibt es auf der Maske zwei Optionen:
ACL durch Ordnerstruktur vererben: Durch diese Option wird das ACL auch
auf eventuell vorhandene Unterobjekte angewandt (z.B. Unterordner, Datei-
en, etc. unterhalb des Ordners Ordner A).
Nur an Objekte vererben, die denselben ACL besitzen: Diese Option ist nur
in Kombination mit der vorhergehenden wirksam. Hat ein Unterobjekt ein
anderes ACL als das Ausgangsobjekt, so wird das neue ACL hier nicht ver-
erbt!
Der Ordner Ordner A hat nun das ACL ACL A bekommen. Alle Objekte (Ord-
ner, Dateien, etc.) die jetzt unterhalb dieses Ordners angelegt werden, erben das
ACL ACL A (siehe Abbildung 1.12)
18
30. Kapitel 1. Administration
Abbildung 1.12.: Ordnerliste mit gesetztem ACL
1.5.1. Vorinstallierte ACLs
Name Beschreibung
Private Nur der Besitzer des Objektes hat Vollzugri. Al-
le anderen haben keinen Zugri auf das Objekt.
Published Alle Benutzer haben Leserechte, drfen aber nicht
u
schreiben, andern oder lschen. Der Besitzer des
o
Objektes hat Vollzugri (auch lschen).
o
Protected Alle Benutzer haben Leserechte, drfen aber Ob-
u
jekte nicht andern oder lschen. Hat ein Ordner
o
das ACL Protected, so drfen Benutzer darunter
u
Objekte anlegen. Der Besitzer des Objektes hat
Vollzugri (auch lschen).
o
Public Alle Benutzer haben Vollzugri (auch lschen).
o
1.6. Rollen
Rollen sind eine Variante, sich mit anderen Rechten am System anzumelden. Durch
die Rolle, die einem Benutzer standardmig zugeordnet ist, bzw. mit der er sich
a
anmeldet, erhlt der Benutzer alle Rechte, die mit dieser Rolle verbunden sind.
a
Das verringert den Administrationsaufwand erheblich, da ein Benutzer nicht in
die verschiedenen Gruppen und ACLs eingefgt werden muss, sondern nur eine
u
Rolle zugeordnet bekommt. Rollen werden durch normale Benutzer reprsentiert,
a
mit denen sich aber niemand direkt anmelden sollte, bzw. deren Passwort auch
nicht bekannt sein sollte. Rollenbenutzer sind wie normale Benutzer auch Gruppen
und/oder ACLs zugeordnet und de
31. nieren so exemplarisch die Zugrisrechte auf
das System, bzw. stellen so eine Art Benutzervorlage dar.
Sollte der Benutzer diese Rechte nicht mehr bentigen, weil er z.B. andere Auf-
o
gaben ubernommen hat, so knnen ihm alle Rechte, die mit seiner vorherigen
o
19
32. Kapitel 1. Administration
Aufgabe verbunden waren, auf einfache Weise durch entfernen der Rolle wieder
genommen werden.
Rollen knnen auch uber die Protokolle von agorum core verwendet werden, z.
o
B. uber das SMB-Modul. Die Rollen werden auf der Benutzer-Maske im Reiter
Rollen eingestellt. Der eingetragene Benutzer in Standard Rolle legt die Rolle fest,
mit der der Benutzer standardmig angemeldet wird. Die eingetragene Gruppe in
a
Zugeordnete Rolle enthlt alle Benutzer mit denen sich dieser Benutzer anmelden
a
kann. Dafr bentigt er aber nicht das Passwort der Rollenbenutzer, sondern nur
u o
sein eigenes.
Beispiel: Es gibt die Rollenbenutzer VERTRIEB und VERWALTUNG die
in einer Gruppe ROLLEN zusammengefasst wurden. Diese Rolle wird jetzt beim
Benutzer max.mustermann auf dem Reiter Zugeordnete Rolle eingetragen. Jetzt
kann sich max.mustermann als
max.mustermann@VERTRIEB
oder als
max.mustermann@VERWALTUNG
anmelden und hat dann jeweils die Rechte des Rollenbenutzers.
1.7. Analyse und Fehlersuche
Da die Benutzer-, Gruppen- und ACL-Struktur komplex werden kann, gibt es
einige Werkzeuge zur Analyse und Fehlersuche.
1.7.1. Objekt-Info Masken
Die Objekt-Info Maske steht im ganzen System fr jedes Objekt zur Verfgung.
u u
Dazu wird das Objekt in der Listenansicht ausgewhlt(durch Klick auf die ent-
a
sprechende Zeile, ausgewhltes Objekt ist dann farblich hinterlegt) und uber das
a
Men Ansicht - Objekt Information die Maske aufgerufen. Die Maske kann sich
u
geringfgig von Objekttyp zu Objekttyp unterscheiden. Hier wird auf die Objekt-
u
Info Masken von Benutzern, Gruppen und ACLs eingegangen, speziell auf die Rei-
ter Objekt Verknpfungen (Benutzer und Gruppen), sowie ACL Verknpfungen
u u
und ACL Verknpfungen v. gelschten Objekten (ACLs).
u o
20
33. Kapitel 1. Administration
Benutzer Objekt-Info Maske
Der interessante Reiter dieser Maske heit Objekt Verknpfungen. Hier werden
u
fr den ausgewhlten Benutzer (hier: Benutzer A) in einer Baumstruktur die
u a
Gruppen und die ACLs angezeigt, in der er sich direkt oder indirekt be
34. ndet.
Hinter den ACLs stehen die Rechte der Mitglieder.
Dieses Beispiel zeigt, dass sich der Benutzer Benutzer A in der Gruppe Gruppe
A, sowie direkt im ACL ACL C be
35. ndet. Gruppe A ist Mitglied von ACL A
aber auch von Gruppe C. Die Gruppe Gruppe C be
36. ndet sich wiederum in den
beiden ACLs ACL C und ACL B.
Welche Rechte die Mitglieder der ACLs haben lsst sich hinter den ACLs ablesen:
a
Benutzer A wird das Schreib-Recht (W) in ACL C entzogen (Revoke Access).
Gruppe C dagegen bekommt im ACL ACL C alle Rechte (Grant Access: A).
(siehe Abbildung 1.13)
Abbildung 1.13.: Benutzer Objekt-Info Maske
Gruppen Objekt-Info Maske
Die Gruppen Objekt-Info Maske ist analog zur Benutzer Info-Maske aufgebaut.
Hier werden fr die ausgewhlte Gruppe (hier: Gruppe A) die Gruppen und
u a
ACLs angezeigt, in denen sie sich be
37. ndet. Hinter den ACLs stehen die Rechte der
Gruppe. (siehe Abbildung 1.14)
21
38. Kapitel 1. Administration
Abbildung 1.14.: Gruppen Objekt-Info Maske, Objektverknpfungen
u
Gruppe A ist Mitglied von ACL A und von Gruppe C, Gruppe C ist Mitglied
der ACLs ACL C und ACL B. Die Rechte kann man ebenfalls ablesen: Der
Gruppe Gruppe A wird Schreibrecht (Grand Access: W) im ACL ACL A
zugeordnet. Gruppe C (und damit auch Gruppe A, da sie Mitglied von Gruppe
C ist) bekommt im ACL ACL C alle Rechte (Grant Access: A) und im ACL
B Schreibrechte (Grand Access: W).
ACL Objekt-Info Maske
Die Info-Maske fr ACLs enthlt zwei fr die Rechte-Administration wichtige Rei-
u a u
ter: ACL Verknpfungen und ACL Verknpfungen v. gelschten Objekten
u u o
u a
Der Reiter ACL Verknpfungen enthlt einen Uberblick, welchem (Start-
)Objekten das ACL zugewiesen wurde. In diesem Beispiel ist es der Ordner Ord-
ner A und all seine Unterobjekte (weitere Ordner, Dateien, etc.), die aber der
Ubersichtlichkeit wegen nicht auf der Maske dargestellt werden.
u o a
Der Reiter ACL Verknpfungen v. gelschten Objekten enthlt einen Uberblick
aller gelschten Objekte (die sich aber noch im Mlleimer be
39. nden), denen einmal
o u
das ACL zugewiesen war. Diese Objekte knnen auf diesem Reiter auch gleich
o
vollstndig gelscht werden.
a o
Dieser Reiter ist ntzlich, wenn man ein ACL lschen will, da dann das ACL auf
u o
keinem Objekt mehr sitzen darf.(siehe Abbildung 1.15)
22
40. Kapitel 1. Administration
Abbildung 1.15.: ACL Objekt-Info Maske
1.7.2. ACL Uberwachung
Mit der ACL Uberwachung kann man sich einen Uberblick verschaen was ein
bestimmter Benutzer, bzw. eine bestimmte Gruppe fr Rechte im System hat
u
(hier: Benutzer A). Die Rechte der angezeigten Objekte werden in der Dateiliste
farbig und ubersichtlich dargestellt.(siehe Abbildung 1.16)
Abbildung 1.16.: ACL-Uberwachung in der Liste - farbige Darstellung der ACLs
Zuerst muss man aus der Benutzer- oder aus der Gruppenliste ein Benutzer/eine
Gruppe markieren und im Men Ansicht - ACL Uberwachung die Uberwachung
u
einschalten: (siehe Abbildung 1.17)
Abbildung 1.17.: ACL-Uberwachung einschalten fr einen Benutzer
u
In der Datei-Liste ist dann die Spalte mit den ACLs farbig gekennzeichnet, je
nachdem was der uberwachte Benutzer bzw. die uberwachte Gruppe fr Rechte
u
auf das jeweilige Objekt haben. Auerdem sind die Ordner des Verzeichnisbaumes
neben der Datei-Liste ebenfalls farbig, nach Rechten des jeweiligen Benutzers auf
das Verzeichnis, gekennzeichnet (siehe Abbildung 1.16).
23
42. ndet auch in den jeweiligen ACL-Rechte-,
Benutzerverwaltungs- und Gruppenverwaltungsansichten statt. (siehe Abbildun-
gen 1.18, 1.19, 1.20)
Abbildung 1.18.: Farbliche Kennzeichnung der Rechte des uberwachten Benutzers/Grup-
pe in der ACL-Ansicht
Abbildung 1.19.: Farbliche Kennzeichnung der Rechte des uberwachten Benutzers/Grup-
pe in der Benutzer-Verwaltung
24
43. Kapitel 1. Administration
Abbildung 1.20.: Farbliche Kennzeichnung der Rechte des uberwachten Benutzers/Grup-
pe in der Gruppen-Verwaltung
Die Farben
Die Bedeutung der Farben ist analog zu denen in der ACL-Liste:
Farbe Beschreibung
Kein Zugri.
Nur Leserechte.
Darf nur seine eigenen Objekte andern oder
lschen und neu anlegen.
o
Darf andern und neu anlegen, aber nicht lschen.
o
Vollzugri. Darf auch lschen.
o
1.7.3. ACL Baum
Die Maske mit einer farbigen Rechtebersicht der Baumstruktur kann uber das
u
Men Ansicht - ACL Baum aufgerufen werden, allerdings nur, wenn fr einen
u u
Benutzer/eine Gruppe die ACL Uberwachung aktiviert ist (siehe vorhergehendes
Kapitel). Die Maske zeigt dann die Baumstruktur ab dem aktuellen Ordner an. Das
Beispiel zeigt den ACL Baum fr Benutzer A, aufgerufen im Ordner Testordner.
u
(siehe Abbildung ??)
25
44. Kapitel 1. Administration
Abbildung 1.21.: ACL-Baum
1.7.4. ACL Struktur
Mit diesem Menbefehl kann der Administrator in einer beliebigen Struktur
u
prfen, ob alle Grantees (Gruppen und/oder User) dorthin gelangen, wo diese
u
auch berechtigt sind.
Die Auswertung aller ACL's und deren Mitglieder wird uber das Men Ansicht -
u
ACL Struktur in dem Ordner gestartet, ab dem geprft werden soll. Je nach Gre
u o
der Struktur unterhalb des Startordners kann die Prfung einige Zeit dauern.
u
26
45. Kapitel 1. Administration
Als Ergebnis werden alle Grantees angezeigt, die noch nicht alle notwendigen Be-
rechtigungen besitzen, um an die unterschiedlichen Orte zu gelangen.
Weiter knnen jetzt die Grantees angehakt werden, die dann in die entsprechenden
o
ACLs mit Leserechten (R) eingetragen werden.
Wenn die Liste leer ist, haben alle die in dem Pfad in irgendeinem ACL sind auf
alles Zugri (Sie knnen alle Pfade durchwandern). (siehe Abbildung 1.22)
o
Abbildung 1.22.: ACL Struktur
In dem Beispiel oben wird in der ersten Zeile angezeigt, dass die Gruppe Gruppe
B (Grantee) den Ordner /agorum/roi/
46. les/Testordner/Ordner A (org. Pfad ) mit
dem ACL ACL C (org. ACL A) nicht erreichen kann. Der Grantee Gruppe
B bleibt im Ordner agorum/roi/
47. les/Testordner/Ordner A (Pfad ) hngen, da er
a
keine Leserechte dafr besitzt und kann somit den org. Ordner nicht erreichen.
u
Links ist der ACL Baum fr Gruppe B zur Verdeutlichung dargestellt. (siehe
u
Abbildung 1.23)
27
48. Kapitel 1. Administration
Abbildung 1.23.: ACL Baum Struktur
1.7.5. Zugris-Report
Mit dem Zugris-Report (erreichbar uber das Administrationsmen) kann ein
u
u
PDF-Dokument erstellt werden, das eine ausfhrliche Ubersicht uber die Rechte-
verteilung einer Ordner- bzw. ACL-Struktur im System gibt. Die erzeugten PDF-
Dokumente sind nur einem Administrator zugnglich und be
49. nden sich in dem
a
Ordner /agorum/roi/Administration/Reports.
Angaben in der Zugris-Report Maske:
Reiter Zugris-Report
28
50. Kapitel 1. Administration
Bezeichnung Beschreibung
Startpfad Pfad (immer den Vollpfad angeben), ab welchem
die Berechtigungen angezeigt werden sollen. Es
werden daraufhin nur die Berechtigungen ange-
zeigt, die auch ab diesem Ordner-Zweig verwen-
det werden.
Gewhlte Benutzer/Grup- Hier kann der Report uber ein Suchwort und die
a
pen Suchergebnis-Liste auf die gewhlten Benutzer
a
und/oder Gruppen beschrnkt werden.
a
Keine Pfade darstellen Pfadangaben werden im Report nicht dargestellt.
Benutzer darstellen Benutzer werden im Report dargestellt.
Gruppen darstellen Gruppen werden im Report dargestellt.
29
52. gurations-
Datenbank (Meta-Datenbank). In der MetaDB werden die meisten Kon
53. guratio-
nen von agorum core und dazugehrigen agorum Modulen abgelegt.
o
Der Einstieg in die MetaDB be
54. ndet sich im Administrationsmen. (siehe Abbil-
u
dung 2.1)
Abbildung 2.1.: Einstieg in die MetaDB
30
55. Kapitel 2. MetaDB
2.2. Elemente in der MetaDB
2.2.1. Property-Bundle
Property-Bundles sind vergleichbar mit Ordnern und dienen zur Strukturierung
der Daten.
Wollen Sie ein neues Property-Bundle anlegen, so wechseln Sie in den Ordner (bzw.
Property-Bundle oder Property-Gruppe), wo das Bundle erstellt werden soll und
rufen dort uber das Men Datei - Neu den Menpunkt Property-Bundle auf.
u u
Nun folgen einige Angaben zum Property-Bundle:
Reiter MetaDb
Bezeichnung Beschreibung
Name Geben Sie einen Namen fr dieses Property-
u
Bundle an. Dieser muss innerhalb des Zielordners
eindeutig sein.
Beschreibung Geben sie hier eine optionale Beschreibung des
Bundles an.
2.2.2. Property-Gruppe
Property-Gruppen dienen nur der optischen Strukturierung und werden beim
Auslesen bzw. Abfragen eines Property-Eintrages einfach weggelassen.
Wollen Sie eine neue Property-Gruppe anlegen, so wechseln Sie in den Ordner
(Property-Bundle oder Property-Gruppe) wo die Gruppe erstellt werden soll und
rufen dort uber das Men Datei - Neu den Menpunkt Property-Gruppe auf.
u u
Nun folgen einige Angaben zur Property-Gruppe:
Reiter MetaDb
Bezeichnung Beschreibung
Name Geben Sie einen Namen fr diese Property-
u
Gruppe an. Dieser muss innerhalb des Zielordners
eindeutig sein.
Beschreibung Geben sie hier eine optionale Beschreibung der
Gruppe an.
31
56. Kapitel 2. MetaDB
2.2.3. Property-Eintrag
Property-Eintrge enthalten die eigentlichen Informationen. Es knnen
a o
Property-Eintrge mit verschieden Datentypen angelegt werden, um so verschie-
a
denste Informationen speichern zu knnen.
o
Wollen Sie einen neuen Property-Eintrag anlegen, so wechseln Sie in den Ordner
(bzw. Property-Bundle oder Property-Gruppe) wo der Eintrag erstellt werden soll
und rufen dort uber das Men Datei - Neu den Menpunkt Property-Eintrag
u u
auf. Nun folgen einige Angaben zum Property-Eintrag:
Reiter MetaDb
Bezeichnung Beschreibung
Name Geben Sie einen Namen fr diesen Property-
u
Eintrag an. Dieser muss innerhalb des Zielordners
eindeutig sein.
Datentyp Hier kann der Datentyp des Property-Eintrags
ausgewhlt werden. Die Beschreibung der mgli-
a o
chen Typen
57. nden sie weiter unten.
Wert Hier wird der eigentliche Wert des Property-
Eintrag eingegeben. Der Wert muss abhngig vom
a
Typ evtl. ein bestimmtes Format aufweisen. Die
Beschreibung, ob ein bestimmtes Format verwen-
det werden muss,
58. nden sie weiter unten bei der
Beschreibung der Typen.
Beschreibung Geben sie hier eine optionale Beschreibung des
Eintrags an.
Zeichenkette (String)
Dies ist eine ganz normale Zeichenkette. Der Wert hat kein bestimmtes Format.
Zeichenketten-Liste (String-Array)
Dies ist eine Liste mit Zeichenkette. Die einzelnen Zeichenketten werden durch
zwei Pipes (jj) voneinander getrennt.
Beispiel: Zeichenkette 1 jjZeichenkette 2 jjLetze Zeichenkette in der Liste
32
59. Kapitel 2. MetaDB
Inhalt (Content)
Wie eine Zeichenkette, nur knnen hier auch Binrdaten (z.B. Bilder, etc.) abge-
o a
speichert werden.
Verschlsselt (Encrypted)
u
Die eingegebene Zeichenkette wird beim Speichern verschlsselt und dient zum
u
Speichern von Passwrtern oder hnlichem. Folgende Punkte mssen beachtet
o a u
werden:
Die verschlsselte Zeichenkette kann
u nicht wieder ausgelesen werden!
Wird beim Bearbeiten des Property-Eintrags das Wert-Feld leer gelassen,
wird die verschlsselte Zeichenkette nicht uberschrieben!
u
2.3. Grundstruktur der MetaDB
Hier soll jetzt die Grundstruktur der MetaDB beschrieben werden, ohne aber auf
einzelne Kon
61. gurationen der einzelnen Module ist in den jeweiligen Kapiteln beschrieben.
Name Beschreibung
MAIN_ACL_MANAGEMENT Erweitere Einstellungen zu ACLs.
MAIN_COMMON_MANAGEMENT Kundenspezi
62. sche Einstellungen.
MAIN_GROUP_MANAGEMENT Erweitere Einstellungen zu Gruppen.
MAIN_MACHINE_MANAGEMENT Erweitere Einstellungen zu Clients.
MAIN_MODULE_MANAGEMENT Hier werden alle Kon
63. gurationen der
agorum Module gespeichert.
MAIN_SERVER_MANAGEMENT Hier werden andere Serverkon
64. guratio-
nen (IP, Port, Protokoll, etc.) abgelegt.
MAIN_USER_MANAGEMENT Erweitere Einstellungen zu Benutzern.
siehe Abbildung 2.2
33
65. Kapitel 2. MetaDB
Abbildung 2.2.: MetaDB
2.4. MetaDB Cache
Die MetaDB besitzt einen Cache um die Zugrie auf die MetaDB zu beschleunigen.
Allerdings kann es vorkommen, dass nach einer Kon
66. gurationsnderung in der
a
MetaDB der Cache nicht sofort aktualisiert wird. Aus diesem Grund gibt es eine
Funktion im Administrationsbereich um den Cache manuell zu leeren und neu
aufzubauen.
Diese Funktion ist im Administrationsbereich uber den Menpunkt MetaDb Cache
u
zu erreichen. Es onet sich eine Maske, in der man whlen kann, ob nach dem leeren
a
des Caches dieser sofort neu aufgebaut werden soll (Dies kann je nach Gre der
o
MetaDB einige Momente dauern). siehe Abbildung 2.3
34
67. Kapitel 2. MetaDB
Abbildung 2.3.: MetaDB Cache leeren
2.5. Einstellungen in der MetaDB fr die MetaDB
u
Unter /MAIN_MODULE_MANAGEMENT/metadb/control
68. nden sich die Einstellungen fr
u
die MetaDB:
Name Typ Beschreibung Standard
PerformMetaDbWarmup String Hier wird festgelegt, ob nach dem true
Systemstart der MetaDB Cache
sofort aufgebaut werden soll
35
69. Kapitel 3.
Administration der
Protokolleinstellungen
3.1. Allgemein
3.2. SMB / CIFS
3.2.1. Installation
Das SMB/CIFS-Protokoll stellt das DMS-Laufwerk von agorum core bereit. Das
SMB/CIFS-Protokoll verwendet zwei feste Ports (139 und 445) die im Normal-
fall nicht gendert werden drfen, da sich sonst Clients nicht mehr verbinden
a u
knnen.
o
Unter Microsoft Windows (XP, Server 2003, Vista) ist auf allen Netzwerkadaptern
immer SMB/CIFS aktiviert, so dass die Verwendung eines eigenen SMB/CIFS-
Servers verhindert wird. Es gibt vier Lsungswege:
o
Mit einer Netzwerkkarte uber die NetBIOS-Bridge
Die NetBIOS-Bridge wird bei der agorum core-Windows-Installation immer mit
installiert und integriert sich so in Windows, dass keine der oben genannten Ports
bentigt werden. Dies ist daher die einfachste Mglichkeit um Netzlaufwerke zur
o o
Verfgung zu stellen, weil kein manueller Eingri in Windows notwendig ist. Es
u
gibt allerdings ein paar Flle, in denen dieses Prinzip nicht funktioniert. Zum
a
Beispiel dann, wenn uber den NetBIOS-Namen (im Standard
agorumcore) von anderen Subnetzen aus zugegrien wird (als Alternative siehe
Uber NetBIOS-Bridge aus einem anderen Subnetz). In einzelnen Fllen kann es
a
36
70. Kapitel 3. Administration der Protokolleinstellungen
auch sein, dass bestimmte Netzwerkeinstellungen/Konstellationen es verhindern,
dass der Netbios-Name im Netzwerk bekannt wird (Standard Broadcast Funktion
von Windows). Netzlaufwerke werden uber den NetBIOS-Namen verbunden, also
z.B. nnagorumcorendms und nicht uber die IP-Adresse.
Beispiel:
Abbildung 3.1.: Netzlaufwerk verbinden
Oder sie knnen die NET USE -Befehle auf der Kommandozeile verwenden um z.
o
B. Netzlaufwerke uber ein Script beim Anmelden zu verbinden:
Beispiel:
C:NET USE G: agorumcoredms
Vorgehen:
Unter Systemsteuerung - Netzwerkverbindungen klicken Sie mit der rechten
Maustaste auf den gewnschten Adapter und whlen Eigenschaften aus.
u a
In der folgenden Maske (siehe Abbildung 3.2) die Haken der Elemente Cli-
ent fr Microsoft-Netzwerke und Datei- und Druckerfreigabe fr Microsoft-
u u
Netzwerke entfernen:
Doppelklick auf das Element Internetprotokoll (TCP/IP) und in der folgen-
den Maske auf dem Reiter Allgemein uber die Schalt
che Erweitert... den
a
erweiterten Dialog aufrufen.
In dieser Maske (siehe Abbildung 3.3) auf dem Reiter WINS die Option
NetBIOS uber TCP/IP deaktivieren:
37
71. Kapitel 3. Administration der Protokolleinstellungen
Unter Linux darf ebenfalls kein anderer SMB/CIFS-Server (z. B. Samba) die zwei
Ports 139 und 445 belegen.
Abbildung 3.2.: Eigenschaften von LAN-Verbindung
38
72. Kapitel 3. Administration der Protokolleinstellungen
Abbildung 3.3.: Erweiterte TCP/IP-Einstellung
Mit einer Netzwerkkarte uber die NetBIOS-Bridge aus einem anderen
Subnetz
Wenn sie uber den NetBIOS-Namen die Laufwerke aus anderen Subnetzen verbin-
den wollen, der Name in diesen Subnetzen aber nicht bekannt ist, ist diese Vari-
ante vielleicht eine Lsung fr sie. Sie knnen das Programm NetBiosBridge.exe
o u o
unter ...nagorumncorenscripts in ein beliebiges Verzeichnis auf einen anderen PC
in einem anderen Subnetz kopieren (Achtung: dort muss .Net 2.0 installiert sein).
Erstellen Sie dann im selben Verzeichnis Batch-Dateien zum Starten und Stoppen
der NetBIOS-Bridge. Der NetBIOS-Name (Parameter netbiosname) muss sich von
dem im ursprnglichen Netz unterscheiden!
u
Zum Starten:
1 NetBiosBridge . exe command = start netbiosname = agorumcore2
server =IP - IHRES - AGORUM - CORE - SERVERS port =1139
zum Stoppen:
1 NetBiosBridge . exe command = stop netbiosname = agorumcore2
Unter Linux darf ebenfalls kein anderer SMB/CIFS-Server (z. B. Samba) die zwei
Ports 139 und 445 belegen.
39
73. Kapitel 3. Administration der Protokolleinstellungen
Netzlaufwerke werden uber den NetBIOS-Namen verbunden und nicht uber die
IP-Adresse.
Sie knnen aus diesem Subnetz jetzt ein Netzlaufwerk mit nnagorumcore2ndms
o
verbinden:
Abbildung 3.4.: Verbinden mit dem Netzlaufwerk nnagorumcore2ndms
oder:
C:NET USE G: agorumcore2dms
Mit einer Netzwerkkarte uber die IP-Adresse
Dies ist eine empfohlene Lsung fr den Produktiveinsatz!
o u
Diese Lsung deaktiviert die Windows-Netzlaufwerke! Es sind nur noch Netz-
o
laufwerke von agorum core ansprechbar! Diese Lsung funktioniert dafr aber
o u
auch zusammen mit Windows Vista-Clients. Gehen sie folgendermaen mit
allen Netzwerkverbindungen vor:
{ Unter Systemsteuerung - Netzwerkverbindungen klicken sie mit der
rechten Maustaste auf einen Adapter und whlen Eigenschaften aus.
a
{ In der folgenden Maske die Haken der Elemente Client fr Microsoft-
u
Netzwerke und Datei- und Druckerfreigabe fr Microsoft-Netzwerke ent-
u
fernen.
40
74. Kapitel 3. Administration der Protokolleinstellungen
Abbildung 3.5.: Eigenschaften der LAN-Verbindung
{ Doppelklick auf das Element Internetprotokoll (TCP/IP) und in der
folgenden Maske (Abbildung ....) auf dem Reiter Allgemein uber die
Schalt
che Erweitert... den erweiterten Dialog aufrufen.
a
{ In dieser Maske auf dem Reiter WINS die Option NetBIOS uber
TCP/IP deaktivieren.
41
75. Kapitel 3. Administration der Protokolleinstellungen
Abbildung 3.6.: Erweiterte TCP/IP-Einstellung
Andern sie den Windows-Registry Schlssel
u
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices
NetBTParametersSMBDeviceEnabled
auf den Wert 0.
Unter Linux darf ebenfalls kein anderer SMB/CIFS-Server (z. B. Samba) die zwei
Ports 139 und 445 belegen.
Netzlaufwerke werden uber die IP-Adresse und nicht uber den NetBIOS-Namen
verbunden!
Sie knnen jetzt ein Netzlaufwerk mit nn10.0.0.50ndms verbinden:
o
42
76. Kapitel 3. Administration der Protokolleinstellungen
Abbildung 3.7.: Verbinden mit dem Netzlaufwerk nn10.0.0.50ndms
oder:
C:NET USE G: 10.0.0.50dms
Die IP-Adresse 10.0.0.50 mssen sie natrlich durch die IP-Adresse ihrer Netz-
u u
werkkarte ersetzen!
Mit zwei Netzwerkkarten uber die IP-Adresse
Dies ist die empfohlene Lsung fr den Produktiveinsatz!
o u
Diese Lsung funktioniert nicht, wenn Sie Netzlaufwerke von Windows Vista -
o
Client-PCs aus verbinden mchten (als Alternative siehe Mit einer Netzwerkkarte
o
uber IP-Adresse 3.2.1)! Diese Mglichkeit verwendet eine zweite Netzwerkkarte, auf
o
der die Windows-Freigaben deaktiviert werden und so die agorum core-Freigaben
direkt uber eine IP-Adresse angesprochen werden knnen. Damit wird zumindest
o
der Port 139 frei, der noch von PCs bis Windows XP untersttzt wird. Ab Windows
u
Vista wird jedoch der Port 445 angesprochen, welcher durch die hier beschriebene
Methode dennoch vom Windows-Server (dort wo agorum core installiert wurde)
verwendet wird und somit agorum core nicht von Vista Clients aus erreichbar
macht. Vorteil ist hierbei, dass Sie parallel Windows-Freigaben sowie agorum core-
Freigaben nutzen knnen. Nachteil: eben nicht von Vista-Clients aus.
o
43
77. Kapitel 3. Administration der Protokolleinstellungen
Unter Systemsteuerung - Netzwerkverbindungen klicken Sie mit der rech-
ten Maustaste auf den Adapter der zweiten Netzwerkkarte (diese muss als
BindAddress (siehe unten) in der MetaDb eingetragen sein) und whlen Ei-
a
genschaften aus.
In der folgenden Maske die Haken der Elemente Client fr Microsoft-
u
Netzwerke und Datei- und Druckerfreigabe fr Microsoft-Netzwerke entfer-
u
nen.
Abbildung 3.8.: Eigenschaften der LAN-Verbindung
Doppelklick auf das Element Internetprotokoll (TCP/IP) und in der folgen-
den Maske auf dem Reiter Allgemein uber die Schalt
che Erweitert... den
a
erweiterten Dialog aufrufen.
In dieser Maske auf dem Reiter WINS die Option NetBIOS uber TCP/IP
deaktivieren.
44
78. Kapitel 3. Administration der Protokolleinstellungen
Abbildung 3.9.: Windows-Dialog fr Erweiterte TCP/IP - Einstellungen
u
Wenn Sie die zweite Netzwerkkarte nachtrglich installiert haben, vergewis-
a
sern sie sich, das in der MetaDb unter
/MAIN_MODULE_MANAGEMENT/roiprotocols/smb/control/BindAddress
die IP der zweiten Netzwerkkarte eingetragen ist! Nachdem Sie diese Ein-
stellung gendert haben, starten Sie bitte agorum core neu.
a
Wenn Sie agorum core neu installieren, dann geben Sie die Adresse der zwei-
ten Netzwerkkarte in der Experten-Installation an. (Dort, wo Sie zum 2ten
mal nach der IP gefragt werden)
Unter Linux darf ebenfalls kein anderer SMB/CIFS-Server (z. B. Samba) die zwei
Ports 139 und 445 belegen.
Netzlaufwerke werden uber die IP-Adresse und nicht uber den NetBIOS-Namen
verbunden!
Sie knnen jetzt ein Netzlaufwerk mit nn10.0.0.50ndms verbinden:
o
45
79. Kapitel 3. Administration der Protokolleinstellungen
Abbildung 3.10.: Verbinden mit dem Netzlaufwerk nn10.0.0.50ndms
oder:
C:NET USE G: 10.0.0.50dms
Die IP-Adresse 10.0.0.50 mssen sie natrlich durch die IP-Adresse ihrer zweiten
u u
Netzwerkkarte ersetzen!
Windows 7 - Clients
Windows 7 besitzt eine Besonderheit in der Kommunikation mit einer NetBIOS-
Netzwerk-Brcke, so dass hier eine spezielle Kon
80. guration des Servers notwendig
u
ist. Dies gilt allerdings nur, wenn Sie einen Windows Server benutzen und dort
auch noch gleichzeitig die Windows-Freigaben nutzen mchten. Falls Sie Linux
o
als Server-Betriebssystem einsetzen oder auf die Windows-interne Freigaben des
Servers verzichten knnen (siehe Punkt 2.4), dann ist der folgende Schritt nicht
o
notwendig.
Installieren Sie eine zweite physikalische Netzwerk-Karte in Ihr Server-
System
Richten Sie diese Netzwerkkarte ein (IP-Vergabe, Anschluss ans Netzwerk)
46
81. Kapitel 3. Administration der Protokolleinstellungen
Bearbeiten Sie die Netzwerkkarte (Rechte Maustaste, Eigenschaften). In
der folgenden Maske die Haken der Elemente Client fr Microsoft-
u
Netzwerke und Datei- und Druckerfreigabe fr Microsoft-Netzwerke entfer-
u
nen (ACHTUNG: Hier auf keinen Fall NetBIOS uber TCP/IP deaktivie-
ren, so wie bei den anderen Beschreibungen!)
Abbildung 3.11.: Deaktivieren von Client fr Microsoft-Netzwerke und Datei- und
u
Druckerfreigabe fr Microsoft-Netzwerke
u
Nun mssen Sie heraus
82. nden, welche LANA die gewnschte Netzwerkkarte
u u
besitzt. Deaktivieren Sie dazu die Netzwerkkarte, bei der Sie gerade die Ein-
stellungen vorgenommen haben (Rechte Maustaste/deaktivieren) und star-
ten Sie dann folgendes Programm (ber Start/Ausfhren):
u u
c:Installationsverzeichnis-von-agorum-corescriptsNetBiosBridge.exe
command=showlanas
Beispiel:
c:programmeagorumcorescriptsNetBiosBridge.exe command=showlanas
47
83. Kapitel 3. Administration der Protokolleinstellungen
Notieren Sie sich alle gelisteten LANA-Nummern. Nun aktivieren Sie die
Netzwerkkarte(Rechte Maustaste/aktivieren) und starten dann den NetBios-
Bridge.exe Befehl erneut. Es ist nun eine neue Nummer dazu gekommen, das
ist die gesuchte LANA.
Bearbeiten Sie nun die Datei InstallDir-agorum-corenscriptsnroi.bat. Dort
gibt es eine Zeile mit dem Befehl NetBiosBridge.exe command=start ......
Fgen Sie dort, hinter port=1139 folgendes ein: lana=5 (hier muss die vorher
u
ermittelte Nummer eingetragen werden, 5 ist nur ein Beispiel). So dass die
Zeile zum Beispiel so aussieht:
c:roiscriptsSilentStarter.exe c:roiscriptsNetBiosBridge.exe
command=start netbiosname=agorumcore server=roihost port=1139 lana=5
Jetzt knnen Sie agorum core neu starten und sollten mit einem Windows-7
o
Client verbinden knnen.
o
3.2.2. Einstellungen
Die allgemeinen Einstellungen werden in der MetaDB unter /MAIN_MODULE_
MANAGEMENT/roiprotocols/smb/control vorgenommen:
Entry Beschreibung Standard
AllowedObjects Liste mit Objekten, FolderObject jj FileObject jj
die uber SMB/-
MailObject jj MailDocu-
CIFS sichtbar sind. mentObject jj NoteFileOb-
Hinweis: Dieser ject jj NoteMediaObject jj
Eintrag ist ein D4wAddressNoteFile jj
Link nach /MAIN_ D4wAddressNoteMedia jj
MODULE_MANAGEMENT/ D4wForumFile jj
roiprotocols/ D4wForumMedia jj
webdav/control/ D4wAddressMailingList
AllowedObjects!
AllowIPC true
BindAddress Adresse, auf der der roihost
SMB/CIFS-Service
horchen soll.
48
84. Kapitel 3. Administration der Protokolleinstellungen
Entry Beschreibung Standard
ConnectionTimeOut Zeit in Minuten, 720
nach der die Verbin-
dung automatisch
vom Server unter-
brochen wird, wenn
vom Client nichts
mehr kommt.
NetBiosBridgePort Port fr
u die 1139
NetBIOS-Bridge
(nur fr Windowsin-
u
stallationen).
OpLockAfterSendTimeOut Zeit in Millise- 0
kunden, die nach
dem Senden ei-
nes OplockBreaks
gewartet werden
soll. Default ist
0, d.h. nicht war-
ten. Braucht man
eigentlich nicht
setzen, hat aber in
einem bestimmten
Fall (senden von
OpLockBreaks oh-
ne TreeId) etwas
gebracht.
PassThruAuth nicht verwendet
PassThruPort nicht verwendet
PassThruServer nicht verwendet
Port1 Erster Port fr SM-
u 139
B/CIFS. Dieser Port
sollte nicht gendert
a
werden!
Port2 Zweiter Port fr u 445
SMB/CIFS. Dieser
Port sollte nicht
gendert werden!
a
SessionClass Nur Intern! agorum.roiprotocols.smb.
service.roi.RoiSmbSession
SharePointManagerClass Nur Intern! agorum.roiprotocols.
smb.service.roi.
RoiSharePointManager
49
85. Kapitel 3. Administration der Protokolleinstellungen
Entry Beschreibung Standard
TransactionWaitTime Maximale 2
Transaktion-Zeit
in Sekunden. Nach
dieser Zeit wird
auf jeden Fall ein
Commit gemacht
und dann die Trans-
aktion neu ernet.
o
Zweck ist, das bei
vielen kleinen Da-
teien nicht laufend
eine Transaktion
auf- und zuge-
macht wird, sondern
das diese in einer
Transaktion laufen.
TransactionWaitTimeNo Bei Close und 1
CommitAbleCommand Flush wird die
Transaktion sofort
geschlossen. Um
dies bei kleinen Da-
teien zu verhindern,
kann hier eingestellt
werden, nach wie
viel Sekunden dann
tatschlich ein Com-
a
mit gemacht wird.
Optimal nach Tests:
1 Sekunde
TreeClass Nur Intern! agorum.roiprotocols.smb.
service.roi.RoiSmbTree
Weitere Einstellungen be
86. nden sich unter /MetaDb/MAIN_MODULE_MANAGEMENT/
roiprotocols/smb/control/lockingsettings:
50
87. Kapitel 3. Administration der Protokolleinstellungen
Entry Beschreibung Standard
DoLockObjectNames Eine Liste mit Regular Ex- .*.doc jj .*.xls jj .*.ppt jj
pressions fr Dateinamen,
u .*.txt jj .*.dwg jj .*.vsd
die beim Bearbeiten gesperrt
werden sollen.
UseSessionLock true bedeutet, wenn eine Da- true
tei uber SMB zum Schrei-
ben genet wird, diese mit
o
einem SessionLock gesperrt
wird.
WindowsDefaultLockings Locks, die die Microsoft Pro- 2147483540,1 jj
dukte unbedingt bentigen,
o 2147483481,1 jj
um festzustellen, ob eine Da- 2147483521,1 jj
tei bereits genet ist. Diese
o 2147483539,1 jj
nennen sich OLE Semapho- 2147483559,1 jj
res. Niemand weiss so recht, 2147483599,1
was sie bedeuten, aber sie
werden bentigt! Der Auf-
o
bau ist folgender: In der Li-
ste werden Byte-Oset und
Byte-Lnge durch Komma
a
getrennt angegeben.
Die angezeigte Gre des Netzlaufwerks (z.B. im Explorer) kann unter /MAIN_
o
MODULE_MANAGEMENT/roi/control vorgenommen werden:
Entry Beschreibung Standard
TotalDbSize Die angezeigte Gre der 21474836480
o (20
Datenbank in Bytes. GByte)
3.2.3. SharePoints
SharePoints (Freigaben) werden in der MetaDb unterhalb von /MAIN_MODULE_
MANAGEMENT/roiprotocols/smb/control/SharePoints de
88. niert. Der Name des Sha-
rePoints wird durch ein Property-Bundle dargestellt (schon vorhanden sind z.B.
90. Kapitel 3. Administration der Protokolleinstellungen
Entry Beschreibung Standard
ACL hier kann ein ACL hinter- ACL RootShare
legt werden, den der Benut- (Beim root -
zer, der dieses Laufwerk ver- Share ), alle
binden mchte, sehen muss.
o anderen haben
Damit knnen fr diese Frei-
o u keinen default
gabe gezielt Benutzer be-
rechtigt werden. Ist ACL
nicht vorhanden, haben al-
le Benutzer die Berechtigung
fr diese Freigabe. ACH-
u
TUNG: Der ACL der hier
vergeben wird, muss sich
selbst als ACL besitzen. Sie
ACL RootShare.
Comment Ein Kommentar fr diesen
u
Share.
StartFolder Gibt an, wo die Freigabe hin- Z. B.: /agorum/
zeigen soll. roi/ Files
UseCache Soll der Cachingmechanis-
mus von agorum core ver-
wendet werden? Standard
sollte hier true sein. Es
macht Sinn den Mechanis-
mus auszuschalten, wenn mit
sehr groen Dateien gearbei-
tet wird und dieses Share
schneller antworten soll.
ReadOnlyUnlockedIncludeFilter Hier stellen Sie Dateinamen
Wenn der Ein-
ein, die in diesem Share zuer-
trag nicht vor-
steinmal ReadOnly sind (sie-
handen ist, gilt
he unten) die normale Be-
rechtigung
ReadOnlyUnlockedExcludeFilter Hier knnen
o beliebige -
RegExp-Muster mit jj ge-
trennt eingegeben werden.
Diese Beschreiben die Na-
men der Objekte, die aus
der ReadOnly-De
91. nition
ausgeschlossen werden.
CaseSensitive Hier kann eingestellt wer- false
den, ob die Gro- Klein-
schreibung beachtet wird
ReadOnlyUnlockedIncludeFilter: Hier knnen beliebige RegExp-Muster mit
o
52
92. Kapitel 3. Administration der Protokolleinstellungen
jj getrennt eingegeben werden. Diese Beschreiben die Dateinamen, die in diesem
Share solange ReadOnly sind, bis diese uber das Sperr
ag von einem Benutzer
gesperrt werden. Danach kann die gesperrte Datei von dem Benutzer earbeitet
werden, der die Sperre vergeben hat. Damit kann ein Share auf ReadOnly gesetzt
werden, unabhngig, welche Berechtigung einzelne Benutzer besitzen. Dieses Flag
a
gilt nur fr Dateien und nicht fr Ordner. Auch knnen neue Dateien angelegt
u u o
werden. Nach dem Anlegen knnen diese Dateien erst nach dem Sperren bearbeitet
o
werden.
3.2.4. Dynamische SharePoints
Dynamische Shares (In der Standardinstallation gibt es ein Beispiel TestDynamicS-
hare ) werden folgendermaen de
93. niert: Der Schlssel der hinter $fMetaDb: steht
u
wird in der MetaDb unter MAIN_GROUP_MANAGEMENT/[GruppenName]/SMBSHARES/
[NameDesShares]/StartFolder gesucht. Dabei werden alle Gruppen durchsucht,
in denen der jeweils angemeldete User eingetragen ist. Wird eine De
94. nition ge-
funden, so wird der Wert des Property-Eintrags StartFolder als Startordner fr u
diesen Share verwendet. Wird kein Eintrag gefunden, so wird /agorum/roi/Files
genommen.
3.3. FTP
Alle Einstellungen fr das FTP-Protokoll werden in der MetaDb unter /MAIN_
u
MODULE_MANAGEMENT/roiprotocols/ftp/control vorgenommen:
53
95. Kapitel 3. Administration der Protokolleinstellungen
Entry Beschreibung Standard
DataPortPool Hier knnen mehrere PASV
o 3001 jj3002
Data-Ports angegeben
werden, die bei einer Da-
tenbertragung verwendet
u
werden. Gibt man 0 an, so
wird irgendein freier Port
verwendet.
MakeHistory Legt fest, ob Dokumenten- true
Historien erzeugt werden sol-
len oder nicht. Wenn sehr
groe Dateien uber FTP
gendert werden (z.B. uber-
a
schreiben) kann es vorkom-
men, dass aufgrund von
Timeouts mehrere Histori-
en pro Vorgang geschrieben
werden. Dann ist es sinn-
voll diese Option auf false zu
setzten.
MaxLogins Maximale Anzahl der gleich- 20
zeitigen FTP Logins.
Port Port des FTP-Dienstes 21
SelfAddress The default host is roihost. roihost
It can be used on a multi-
homed host.
ServerAddress Behind
96. rewall, we need real roihost
inet address that from ISP
3.4. WebDAV
Alle Einstellungen fr das WebDAV-Protokoll werden in der MetaDb unter /MAIN_
u
MODULE_MANAGEMENT/roiprotocols/webdav/control vorgenommen:
54
97. Kapitel 3. Administration der Protokolleinstellungen
Entry Beschreibung Standard
AllowedObjects Liste mit Objekten, die FolderObject jj File-
uber WebDAV sichtbar
Object jj MailObject jj
sind. Hinweis: Dieser Ein- MailDocumentOb-
trag ist ein Link nach ject jj NoteFileObject jj
/MAIN_MODULE_MANAGEMENT/ NoteMediaObject jj
roiprotocols/smb/control/ D4wAddressNoteFile jj
AllowedObjects! D4wAddressNoteMedia jj
D4wForumFile jj
D4wForumMedia jj
D4wAddressMailingList
3.5. IMAP
Alle Einstellungen fr das IMAP-Protokoll werden in der MetaDb unter /MAIN_
u
MODULE_MANAGEMENT/roiprotocols/imap/control vorgenommen:
Entry Beschreibung Standard
Port Port des IMAP-Dienstes. 143
SSLPort SSL-Port des IMAP- 993
Dienstes fr eine ver-
u
schlsselte SSL-Verbindung.
u
SSLKeyStorePassword Passwort der KeyStore Datei
(Property-Eintrag vom Type
Verschlsselt ).
u
SSLKeyStorePath Pfad zur KeyStore Datei. $fHomeDirg/.keystore
3.6. SMTP
Mit dem SMTP-Dienst werden E-Mails fr die Systembenutzer empfangen.
u
Alle Einstellungen fr das SMTP-Protokoll werden in der MetaDb unter /MAIN_
u
MODULE_MANAGEMENT/roiprotocols/smtp/control vorgenommen:
Entry Beschreibung Standard
Port Port des SMPT-Dienstes. 2500
55