Handbuch FTAPI® SecuTransfer Version 1.2 2012 FTAPI® Software GmbH Stefan-George-Ring 24 81929 München Ticket-System: E-Mail: Telefon: Webseite: http://support.ftapi.com [email protected] +49 (0)89 230 6954-0 www.ftapi.com 1. FTAPI SecuTransfer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.1 Quick Start Guide . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.2 Installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.3 Konfiguration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.3.1 Pfade und DNS-Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.3.2 Datenablage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.3.2.1 Metadaten (Datenbank) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.3.2.2 Binärdaten (Storage) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.3.3 Account-Typen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.3.4 SMTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.3.5 Applet Konfigurationsmöglichkeiten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.3.6 HTTPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.4 Web-Interface (WebUI) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.5 LDAP und Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.6 SecuPass Aktivierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.7 SubmitBox . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.8 Customizing und WebUI anpassen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.9 Web- & E-Mail-Templates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.10 Download Disclaimer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.11 Benutzer importieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.12 Action Logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.13 FAQ (1.2) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.13.1 Apache Tomcat als Windows Dienst . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.13.2 Redirect HTTP zu HTTPS einrichten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.14 Changelog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 2 2 4 5 6 7 10 12 12 14 18 21 27 34 37 38 40 41 41 42 43 47 48 49 FTAPI SecuTransfer Diese Dokumentation bezieht sich auf alle FTAPI SecuTransfer Editionen 1.2 und ist vor allem für IT-Administratoren und Integratoren des Systems bestimmt. Falls bestimmte Bereiche nicht für alle genannten Versionen gültig sind, ist dies zu deren Beginn vermerkt! Quick Start Guide Dies Kurzanleitung dient der schnellen und einfachen Installation und (Grund-)Einrichtung Ihres FTAPI SecuTransfer Servers. Eine ausführliche Anleitung finden Sie im Anschluss daran. Installation FTAPI SecuTransfer Versichern Sie sich vor Beginn der Installation von FTAPI SecuTransfer, dass Sie Java 1.6 installiert haben. Laden Sie die FTAPI SecuTransfer Version herunter und entpacken Sie die Datei ftapi-professional-1.2.0.zip in ein Verzeichnis Ihrer Wahl. Wechseln Sie in den Ordner \ftapi-server und führen Sie dort die Datei ftapi-start.bat (Windows) aus bzw. geben in der Konsole ftapi.sh start (Linux/Mac) ein. Warten Sie einige Sekunden bis der Server startet (je nach Umgebung 5-30 Sek). Öffnen Sie in Ihrem Browser die URL https://localhost:443, um den FTAPI Installation-Wizard zu starten. Durchlaufen Sie nun alle Schritte des Wizards klicken Sie bei jedem Schritt auf den "Weiter"-Knopf und füllen Sie alle restlichen Felder aus. Um die Installation und Einrichtung abzuschließen klicken Sie beim letzten Schritt auf den "Fertig"-Knopf. Die Lizenzdatei befindet sich im Hauptordner Ihrer Installation (\ftapi-professional-1.2.0) oder wurde Ihnen von Ihrem FTAPI Vertrieb zugeschickt. Bestätigen Sie die Anerkennung der angezeigten Lizenzbedingungen, um das FTAPI SecuTransfer System verwenden zu dürfen. Melden Sie sich mit dem Passwort und Benutzernamen "admin" an (bzw. dem Passwort, welches Sie während des Installations-Wizards vergeben haben). Weitere Informationen zur Einrichtung und Verwendung von FTAPI SecuTransfer entnehmen Sie bitte den weiteren Seiten des Handbuchs. Installation Nachfolgend erfahren Sie, wie Sie in wenigen Schritten FTAPI SecuTransfer für einen ersten Testlauf installieren und konfigurieren können. Voraussetzungen Um den FTAPI SecuTransfer Server betreiben zu können, benötigen Sie einen entsprechend leistungsfähigen Rechner. Unsere minimale Empfehlung liegt bei mind. 2 Ghz Prozessor, mind. 2 GB freier RAM und mind. 50 GB freier Festplattenspeicher, sowie einer ausreichend schnellen Netzwerkanbindung. Darüber hinaus müssen Sie sicherstellen, dass auf dem Server die Java Version 1.6 oder höher (JRE ist ausreichend) installiert haben. Diese Information können Sie durch Eingabe des folgenden Befehls in Ihre Konsole/Terminal ermitteln: java -version Anschließend sollten Sie eine Ausgabe ähnlich der folgenden erhalten: java version "1.6.0_21" Java(TM) SE Runtime Environment (build 1.6.0_21-b07) Java HotSpot(TM) Client VM (build 17.0-b17, mixed mode, sharing) Sollten Sie eine Java-Version kleiner als 1.6 installiert haben oder der Befehl nicht gefunden werden, dann installieren Sie bitte eine aktuelle Java-Version auf ihrem System. Diese können Sie kostenlos unter folgender URL beziehen: JRE unter http://www.java.com oder http://java.sun.com/j2se Prüfen Sie zusätzlich, ob eine entsprechende JRE_HOME Umgebungsvariable gesetzt ist. OpenJDK Die Java-Variante OpenJDK wird derzeit für den Betrieb von FTAPI nicht offiziell supported, ist aber grundsätzlich verwendbar! Proxy-Server Der Betrieb mit einem Proxy-Server ist nicht empfohlen; richten Sie bitte für Ihre FTAPI URL eine Proxy-Ausnahme ein. Hinterlegen Sie hierzu eine Ausnahme für ftapi.ihre-domain.com* in Ihren Gruppenrichtlinien. Details entnehmen Sie unseren FAQs. Schritt 1 - Entpacken und installieren Nachdem Sie das FTAPI-Software-Paket heruntergeladen haben, entpacken Sie dieses bitte zunächst in ein Verzeichnis Ihrer Wahl. Nun sollten Sie im entpackten FTAPI Software Paket unter anderem das Verzeichnis "ftapi-server" vorfinden. Schritt 2 - Server starten Wechseln Sie in das Verzeichnis "ftapi-server". In diesem Verzeichnis befindet sich eine gebündelte Version von FTAPI mit dem Servlet-Container Apache Tomcat. Starten Sie nun direkt FTAPI, indem sie einfach das Skript ftapi-start.bat (unter Windows) bzw. ftapi.sh start (unter Linux) ausführen. FTAPI-Server auf Linux ausführen Im Terminal/Konsole die Berechtigung der folgenden Ordner mit chmod +x *.sh auf "ausführbar" setzen: /ftapi-server/ und /ftapi-server/bin/ Eine spezielle Anleitung zum Einrichten unter Linux mittels einer grafischen Oberfläche finden Sie in unseren FAQs! FTAPI-Server Neustart Für einen Server-Neustart müssen Sie diesen zuvor über die Datei ftapi-stop.bat (unter Windows) bzw. ftapi.sh stop (unter Linux/Mac) herunterfahren, oder das Tomcat-Eingabeaufforderungsfenster (unter Windows) einfach schließen. Erst nachdem der Server vollständig gestoppt wurde, kann dieser (wie zu Beginn von Schritt 2 erläutert) neu gestartet werden. FTAPI ohne Tomcat FTAPI wird zwar mit dem Servlet-Container Apache Tomcat ausgeliefert, allerdings können Sie FTAPI auch in einem anderen Servlet-Container betreiben. Kopieren Sie hierfür einfach die Datei ftapi-server/webapps/ROOT.war in Ihren gewünschten Servlet-Container. FTAPI wurde derzeitig nur auf Apache Tomcat ausführlich getestet. Für die Lauffähigkeit auf anderen Servlet-Containern kann keine Garantie übernommen werden. Schritt 3 - Browser starten Nachdem der Server erfolgreich gestartet wurde, öffnen Sie Ihren Web-Browser und geben Sie die Adresse https://localhost:443 ein und folgen Sie den dortigen Anweisungen des Installations-Wizards. SMTP-Sever konfigurieren In der FTAPI Weboberfläche können im Bereich Konfiguration alle SMTP-Einträge angepasst werden: ftapi.email.charset=ISO-8859-1 ftapi.email.from.address=notify@localhost ftapi.email.from.name=notify@localhost ftapi.email.smtp.host= ftapi.email.smtp.port=25 ftapi.email.smtp.username= ftapi.email.smtp.password= ftapi.email.smtp.useSSL=false ftapi.email.smtp.useTLS=false Geben Sie hier bitte die Einstellungen zu Ihrem E-Mail-Server ein und speichern Sie anschließend ab. Basis-URL konfigurieren (optional) Sollte Sie FTAPI nur lokal testen wollen, so müssen Sie diese Einstellung nicht durchführen. Möchten Sie allerdings mit FTAPI SecuTransfer auch an andere Empfänger Dateien versenden und diesen den Zugriff auf das FTAPI-System ermöglichen, so müssen Sie noch die FTAPI Basis-URL einstellen, welche Sie ebenfalls in der Konfiguration im Bereich Basiseinstellungen finden: ftapi.base.url=https://localhost:443 Ändern Sie diese URL auf diejenige URL ab, unter welcher Ihr FTAPI-Server "von außen" erreichbar ist. Beispiel: https://ftapi.ihre-domain.com:443. Wie Ihre Basis-URL lautet, hängt davon ab, wie Sie FTAPI in Ihr Netzwerk eingebunden haben. Darüber hinaus kann es auch notwendig werden, den Port 443 entsprechend anzupassen. Diese Einstellungen können Sie in der Datei ftapi-server/conf/server.xml vornehmen. Für tiefergehende Informationen zu dieser Konfigurationsdatei werfen Sie bitte einen Blick in die offizielle Apache Tomcat Dokumentation: http://tomcat.apache.org/tomcat-6.0-doc/index.html Beachten Sie, dass Sie Ihre Firewall ggfs. für einen anderen Port einstellen müssen, damit dieser von extern erreichbar ist! Storage-Größe konfigurieren (optional) Im Auslieferungszustand ist der FTAPI SecuTransfer Server in der Konfiguration auf 10GB maximales Speichervolumen eingestellt. Sie können diesen Wert- je nach Ihren Gegebenheiten - beliebig anpassen oder mit "-1" auf unendlich setzen: # The max size of all files together in this storage Default: 10240000000 (10GB), For no quota at all set to: \-1 ftapi.storage.quota=10240000000 Merh Details hierzu erfahren Sie im Bereich der Konfiguration unter Binärdaten (Storage)! Lizenzdatei aktivieren und -bedingungen zustimmen Wählen Sie im Installation-Wizard die Lizenzdatei aus, welche Sie vom FTAPI Vertrieb erhalten haben und aktivieren Sie diese, indem Sie auf den Button "Lizenzdatei laden" drücken. Nach dem Laden Ihrer Lizenzdatei werden Sie im nächsten Schritt aufgefordert, die angezeigten Lizenzbedingungen (Disclaimer) zu akzeptieren, um das FTAPI SecuTransfer System verwenden zu dürfen. Schritt 4 - Erstmaliger Login Starten Sie zum Einlesen der E-Mail Konfiguration den FTAPI Server neu (siehe Schritt 2. - Server starten) Nach der Konfiguration Ihres SMTP-Servers und dem Aktivieren Ihrer vom FTAPI Vertrieb zugesandten Lizenzdatei, stehen Sie auf der FTAPI Login-Seite. Für Ihren erstmaligen Login verwenden Sie bitte die folgenden Daten: Benutzername: admin Passwort: admin (bzw. das beim Installation-Wizard von Ihnen vergebene Administratorpasswort) Konfiguration FTAPI SecuTransfer bietet flexible und umfangreiche Konfigurationsmöglichkeiten, die sich in verschiedene Bereiche zu den einzelnen Themengebieten (z.B. Basiseinstellungen, LDAP/AD Anbindung, usw.) unterteilen. Durch diese Flexibilität lässt sich FTAPI optimal an Ihre Bedürfnisse und Einsatzgebiete anpassen. Anpassen von Konfigurationswerten Der zentrale Konfigurationspunkt von FTAPI findet man in der Weboberfläche im Reiter Konfiguration (nur als Administrator angezeigt). Alle bestehenden Einstellungen können hier direkt im Browser geändert und gespeichert werden. Diese sind hierzu in verschiedene Bereiche unterteilt, die je nach Bedarf auf- und zugeklappt werden können. Bitte beachten Sie, dass bei manchen Änderungen an den Konfigurationswerten das Serversystem neu gestartet werden muss. Dies ist bei den entsprechenden Bereichen textlich erwähnt. Pfade und DNS-Server Grundsätzlich sollte Ihr FTAPI-Server über eine einheitliche URL sowohl von Extern (Lieferanten und sonstige Firmen) wie auch von Intern (Mitarbeiter und Partner im gleichen Netzwerk) erreichbar sein. Um dies zu ermöglichen, muss für die internen Clients ein spezieller Eintrag in Ihrem DNS-Server vorgenommen werden. Es wird empfohlen, sich für FTAPI eine eigene Subdomain, wie z.B. ftapi.ihre-domain.com, als feste URL einzurichten. Je nachdem, über welche URL FTAPI über das Internet erreichbar ist, kann es notwendig werden, diesen Pfad in der Konfiguration anzupassen, um sicher zu stellen, dass diese URL z.B. auch in E-Mail-Benachrichtigungen und Reports korrekt wieder gegeben wird. Base-URL Die Einstellungen für alle Pfadangaben finden Sie in der Weboberfläche in der Konfiguration. ftapi.base.url Dies ist die Basis-URL, die z.B. in E-Mail-Benachrichtigungen verwendet wird. Sie muss über das Internet erreichbar sein, falls Sie mit FTAPI auch Daten mit Partnern und Kunden austauschen möchten und dies über das Internet geschehen soll. Die Standardeinstellung lautet: ftapi.base.url=https://localhost:443 Einstellungen am DNS-Server 1. Im ersten Schritt im DNS-Server eine neue Forward-Lookupzone einrichten. FTAPI Base URL Die Forward-Lookupzone muss genau dem Eintrag zur ftapi.base.url in der FTAPI Konfiguration entsprechen! Wenn Ihre FTAPI URL beispielsweise http://ftapi.ihre-domain.com lautet, dann muss die Forward-Lookupzone hierfür ftapi.ihre-domain.com lauten. 2. Im zweiten Schritt dann dort einen Host (A)-Eintrag einrichten, der auf den FTAPI-Server verweist (in den nachfolgenden Screenshots verweist ihre-domain-ftapi.de auf den Server mit de festen IP-Adresse 192.168.89.100). Die Einstellungen sehen dann wie folgt aus: Diese Einstellungen führen dann zu dem gewünschten Ergebnis, dass alle Clients im internen Netz das FTAPI-System direkt auch von intern ansprechen. Überprüfen der Einstellungen Die Korrektheit der Zuordnungen und Weiterleitungen kann auf einem internen Client über die Eingabeaufforderung mit den folgenden Befehlen überprüft und validiert werden: ping ftapi.ihre-domain.de Diese Zieladresse sollte grundsätzlich erreichbar sein nslookup ftapi.ihre-domain.de Es sollte die zuvor eingestellte IP-Adresse (im obigen Beispiel 192.168.89.100) und der dazugehörige interne Servername angezeigt werden Testen der Erreichbarkeit Grundsätzlich sollte die Erreichbarkeit des FTAPI-Servers von folgenden Orten aus getestet werden: vom (FTAPI) Server direkt, von einem internen Client und von einem externen Client. Es wird empfohlen, von allen Orten aus zu prüfen, ob nach Aufruf der FTAPI URL (standardmäßig https://ftapi.ihre-domain.com:443) der FTAPI Loginscreen erscheint, man sich erfolgreich (als Admin oder Benutzer) am FTAPI System anmelden kann, das Java Applet ("Neue Zustellung" Button) vollständig geladen wird und man eine Sendung erfolgreich verschicken kann. Proxy-Server Beim Betrieb eines Proxy-Servers ist es in der Regel notwendig, bei allen Clients (bestenfalls in Gruppenrichtlinien am Server) folgenden Eintrag in den Proxy-Ausnahmen zu ergänzen (s. hierzu auch FAQs): ftapi.ihre-domain.com* Datenablage FTAPI unterscheidet stets zwischen zwei verschiedenen Datenarten: Metadaten Binärdaten Metadaten sind die beschreibenden Daten. D.h., diese beschreiben sowohl den Übertragungsprozess (z.B. welcher Versender, Empfängeradresse, usw.) wie auch die Binärdaten selbst (z.B. Dateiname, Dateigröße, letzte Änderung, usw.). FTAPI speichert diese Dateien in einer Datenbank. Binärdaten sind diejenigen Daten, die vom Versender an den Empfänger übermittelt werden, wie z.B. ein Word-Dokument, Bilder oder andere Dokumente. Diese Daten können durchaus mehrere hundert Gigabyte groß sein. FTAPI speichert diese Daten an einem separaten Ort, dem sogenannten Storage. FTAPI ist so konstruiert, dass standardmäßig sowohl der Storage als auch die Datenbank in das FTAPI-System "eingebettet" sind. D.h., es ist standardmäßig keine Konfiguration dieser Speicherorte notwendig. FTAPI verwendet von Haus aus den Ort ~/.ftapi/db für die Ablage der Metadaten und ~/.ftapi/storage für die Ablage der Binärdaten. Allerdings ist dieser eingebettete Betrieb nicht für den Produktivbetrieb empfohlen. Bei einem Produktivbetrieb wird dringend empfohlen, die Metadaten und die Binärdaten auf separate Systeme zu verteilen! Dies hat drei einfache Gründe: Sicherheit: Erst durch die Trennung von Meta- und Binärdaten kann eine höhere Sicherheit gewährleistet werden. Datenstabilität und Backup: Die Metdaten werden durch die interne HSQLDB-Datenbank verwaltet. Diese ist jedoch nicht für hohe Anfragelasten ausgelegt. Zudem läuft diese Datenbank in einem sogenannten Single-User-Mode. D.h. die Daten können nur begrenzt gesichert werden. Performance: Die Aufgaben und somit die Anfragelast werden auf verschiedene Systeme verteilt Die eingebettete Datenbank ist nur für kleine Anfragelasten geeignet. Falls Sie eine hohe Anfragelast erwarten, wird empfohlen, eine extrerne Datenbank, wie z.B. MySQL, Oracle oder PostgreSQL anzubinden, um nur einige Beispiele zu nennen. Andere Datenbank Hier erfahren Sie, wie Sie eine alternative, externe Datenbank an FTAPI anbinden können: [Speicherung der Metadaten (Datenbank)] Anderer Storage Hier erfahren Sie, wie Sie den Speicherort für den Storage ändern können: [Binärdaten (Storage)]. Metadaten (Datenbank) Metadaten sind beschreibende Daten. D.h., mit den Metadaten von FTAPI wird z.B. beschrieben, welcher Versender welche Daten an welchen Empfänger sendet. Mögliche konkrete Werte könnten beispielsweise die Empfänger-E-Mail, die Dateinamen oder die Dateigrößen sein, um nur einige zu nennen. FTAPI speichert die Metadaten in einer Datenbank. Dies ermögicht es Ihnen später, umfangreiche Auswertungen auf Basis von SQL durchzuführen. Standardmäßig wird eine eingebettete Datenbank (HSQLDB) verwendet. Allerdings ist diese nicht für den Produktivbetrieb empfohlen. Stattdessen sollte eine externe Datenbank, wie z.B. MySQL verwendet werden. Nachfolgend erfahren Sie, wie Sie eine alternative Datenbank anbinden können. Konfiguration ftapi.jdbc.url ftapi.jdbc.driver ftapi.jdbc.username ftapi.jdbc.password ftapi.hibernate.dialect ftapi.hibernate.hbm2ddl.auto ftapi.hibernate.show_sql MySQL anbinden Schritt 1: JDBC-Treiber besorgen und installieren Schritt 2: Datenbank und Benutzer anlegen Schritt 3: Datenbankanbindung konfigurieren Bitte beachten Sie, dass im massiven produktiven Betrieb von der Verwendung einer Embedded-Datenbank wie z.B. H2 oder HSQLDB abgeraten wird. Stattdessen sollten Sie z.B. MySQL verwenden. Konfiguration Öffnen Sie die Konfiguration im Bereich Datenbank: : Nachfolgend werden die wichtigsten Konfigurationsparameter genauer erläutert. ftapi.jdbc.url Die JDBC-URL zum verwendeten Datenbanksystem. Wie diese URL lautet, ist vom so genannten JDBC-Treiber des Datenbanksystems abhängig und kann in dessen Dokumentation nachgelesen werden. Sehen Sie hierzu auch das Beispiel zu MySQL weiter unten. Die Standardeinstellung jdbc:hsqldb:file:~/.ftapi/db/ftapi steht dafür, dass die interne HSQLDB-Datenbank alle Daten im Heimatverzeichnis des Benutzers (bzw. dem Pfad, der als ftapi.home gesetzt ist) ablegt, unter dem das System aktuell betrieben wird. ftapi.jdbc.driver Mit diesem Wert wird der Klassenpfad des JDBC-Treibers bestimmt. Wie dieser Klassenpfad lautet, entnehmen Sie bitte der Dokumentation des verwendeten JDBC-Datenbantreibers. Standardmäßig wird der Treiber für die eingebettete HSQLDB-Datenbank verwendet. ftapi.jdbc.username Der Benutzername des Datenbank-Accounts, falls notwendig, um sich mit der Datenbank verbinden zu können. ftapi.jdbc.password Das Passwort des Datenbank-Accounts, falls notwendig, um sich mit der Datenbank verbinden zu können. ftapi.hibernate.dialect Je nachdem, welche Datenbank Sie verwenden, muss der so genannte "Dialect" ebenfalls entsprechend angepasst werden. In der nachfolgenden Tabelle finden Sie die Zuordnung des Dialects zum verwendeten Datenbanksystem: Datenbanksystem Dialect DB2 org.hibernate.dialect.DB2Dialect DB2 AS/400 org.hibernate.dialect.DB2400Dialect DB2 OS390 org.hibernate.dialect.DB2390Dialect H2 org.hibernate.dialect.H2Dialect PostgreSQL org.hibernate.dialect.PostgreSQLDialect MySQL org.hibernate.dialect.MySQLDialect MySQL with InnoDB org.hibernate.dialect.MySQLInnoDBDialect MySQL with MyISAM org.hibernate.dialect.MySQLMyISAMDialect MySQL 5 org.hibernate.dialect.MySQL5Dialect Oracle (any version) org.hibernate.dialect.OracleDialect Oracle 9i org.hibernate.dialect.Oracle9iDialect Oracle 10g org.hibernate.dialect.Oracle10gDialect Sybase org.hibernate.dialect.SybaseDialect Sybase Anywhere org.hibernate.dialect.SybaseAnywhereDialect Microsoft SQL Server org.hibernate.dialect.SQLServerDialect SAP DB org.hibernate.dialect.SAPDBDialect Informix org.hibernate.dialect.InformixDialect HypersonicSQL org.hibernate.dialect.HSQLDialect Ingres org.hibernate.dialect.IngresDialect Progress org.hibernate.dialect.ProgressDialect Mckoi SQL org.hibernate.dialect.MckoiDialect Interbase org.hibernate.dialect.InterbaseDialect Pointbase org.hibernate.dialect.PointbaseDialect FrontBase org.hibernate.dialect.FrontbaseDialect Firebird org.hibernate.dialect.FirebirdDialect ftapi.hibernate.hbm2ddl.auto Mit diesem Wert wird die Schemagenerierung konfiguriert. Er entspricht dem Hibernate-Property hibernate.hbm2ddl.auto. Bitte ändern Sie diesen Wert nur, wenn Sie wirklich wissen, was Sie tun. ftapi.hibernate.show_sql Mit diesem Wert kann bestimmt werden, ob die SQL-Statements angezeigt werden (true) oder nicht (false). Der Standardwert ist false und sollte auch nur in Ausnahmefällen verändert werden. MySQL anbinden In diesem Abschnitt wird die Anbindung einer MySQL-Datenbank schrittweise erklärt. Schritt 1: JDBC-Treiber besorgen und installieren Als ersten Schritt müssen Sie den JDBC-Treiber für MySQL besorgen und installieren. Dieser ist auf folgender Website kostenlos als Download erhältlich: http://dev.mysql.com/downloads/connector/j bzw. hängt dieser Seite hier (als Version 5.1.19.zip) an. Laden Sie sich die Datei herunter und entpacken Sie diese. Im entpackten Verzeichnis sollten Sie eine Datei mit der Endung .jar vorfinden (z.B. mysql-connector-java-5.1.19.jar). Kopieren Sie diese Datei anschließend nach <FTAPI-Context>/WEB-INF/lib, wobei <FTAPI-Context> für die FTAPI-Applikation in Ihrem Servlet-Container steht. Unter Tomcat wäre dies beispielsweise / webapps/ftapi-server. Schritt 2: Datenbank und Benutzer anlegen Erstellen Sie in Ihrem MySQL-System eine neue Datenbank (Kollation utf8_general_ci) mit dem Namen ftapi, sowie einen Benutzer, der Zugriff auf diese Datenbank besitzt. Dieser Benutzer muss zudem die Erlaubnis besitzen, die Datenbankstruktur verändern zu dürfen (DDL-Permission). Schritt 3: Datenbankanbindung konfigurieren Als letzten Schritt müssen Sie nur noch die Datenbank entsprechend in der Konfiguration im Bereich Datenbank konfigurieren. Passen Sie die Parameter entsprechend den folgenden Angaben - diese sind bei der Hilfe per Fragezeichen bereits vorhanden - an: ftapi.jdbc.url=jdbc:mysql://localhost:3306/ftapi?characterEncoding=UTF-8 ftapi.jdbc.driver=com.mysql.jdbc.Driver ftapi.jdbc.username=<username> ftapi.jdbc.password=<password> ftapi.hibernate.dialect=org.hibernate.dialect.MySQL5Dialect Natürlich müssen Sie die Parameter ftapi.jdbc.url, ftapi.jdbc.username und ftapi.jdbc.password entsprechend Ihres MySQL-Systems anpassen. Bitte vergessen Sie nicht, bei der Umstellung auf eine andere Datenbank die standardmäßig hinterlegten HSQLDB-Einträge vollständig mittels einer # am Zeilenanfang auszudokumentieren! Erfolgt eine Datenbank-Umstellung während des Betriebs, gehen alle bisherigen Informationen (in der alten Datenbank enthaltenen Metadaten) wie z.B. bereits versendete Dateien oder hinterlegte Benutzer usw. verloren. Falls Sie eine Umstellung planen, kontaktieren Sie bitte das FTAPI Support-Team. Binärdaten (Storage) Die Binärdaten, also diejenigen Daten, die mit dem FTAPI-System übertragen werden, werden im sogenannten Storage abgelegt. Ein Storage ist ein beliebiger Ort, an dem Binärdaten abgespeichert und wieder geladen werden können. Dies kann beispielsweise eine lokale Festplatte, ein NAS (Fileserver) in ihrem Unternehmensnetzwerk oder ein Speicherplatz im Internet (z.B. Cloud-Storage) sein. Wo genau die Binärdaten abgelegt werden, wird durch das Storage-Modul bestimmt. Es stellt die Kommunikation zwischen dem FTAPI-System und dem Zielort (z.B. Festplatte) sicher. DiskStorage ftapi.storage.home Binärdaten verschieben ftapi.storage.quota Automatischer Storage-Cleanup ftapi.storage.cleanup.enabled ftapi.storage.cleanup.interval ftapi.storage.cleanup.max.age DiskStorage Standardmäßig ist in FTAPI das DiskStorage-Modul aktiviert. Dieses Modul erlaubt die Ablage der Daten auf jedem beliebigen, lokal verfügbaren Medium, wie z.B. eine gemountete Festplatte. Die Werkseinstellungen dieses Moduls legen fest, dass die Binärdaten im Verzeichnis ~/.ftapi/storage abgelegt werden. Wenn dieses Verzeichnis nicht existiert, wird es angelegt. Sie können diesen Pfad und andere Einstellungen natürlich Ihren Bedürfnissen anpassen. Öffnen Sie hierfür die zentrale FTAPI Konfiguration in der Weboberfläche und suchen Sie den Bereich Storage: Nachfolgend erhalten Sie eine kurze Beschreibung der wichtigsten Parameter. ftapi.storage.home Mit diesem Parameter können sie den Pfad zu einem beliebigen Verzeichnis auf ihrem lokalen System angeben, in welches die Storage-Daten abgelegt werden sollen. Wenn dieses Verzeichnis nicht existiert, wird es angelegt (auch alle darüber liegenden Verzeichnisse). Bitte stellen Sie sicher, dass FTAPI entsprechende/ausreichende Schreibrechte im angegebenen Verzeichnis besitzt. Um die Daten beispielsweise in ein Verzeichnis storage der Festplatte D: unter Windows abzulegen, könnten Sie folgende Konfiguration verwenden: ftapi.storage.home=D:/storage Bitte beachten Sie, dass auch unter Windows "Forward-Slashes" / anstelle von "Backward-Slashes" \ für Pfadangaben verwendet werden können. Eine Tilde ~ zu Beginn einer Pfadangabe wird zudem als das Heimatverzeichnis des Benutzers interpretiert, unter dem das FTAPI-System ausgeführt wird. Binärdaten verschieben Um die Binärdaten an einen anderen Ort zu verschieben, sollten Sie folgendermaßen vorgehen: 1. 2. 3. 4. Den FTAPI Server herunterfahren, um keine inkonsistenten Daten zu erhalten. Die Binärdaten an den neuen Zielort kopieren. Den Pfad zum neuen Zielordner in der Konfiguration anpassen. Den FTAPI Server wieder starten. ftapi.storage.quota Durch diesen Parameter können Sie die Maximalgröße des Storage in Bytes festlegen. FTAPI überprüft vor dem Upload die Größe des Datenpakets und berechnet, ob bei dessen Annahme das fest gelegte Storage-Quota überschritten werden würde. In diesem Fall würde FTAPI das Datenpaket mit einer Meldung zurückweisen. Damit können Sie sicher stellen, dass das konfigurierte Speichermedium niemals mit Daten über die festgelegte Maximalgrenze hinaus beschrieben wird. Andernfalls könnte es unter manchen Betriebssystemen durchaus vorkommen, dass durch einen "Überlauf" des Storage-Mediums nicht mehr genügen Speicherplatz für andere Anwendungen, wie z.B. das Betriebssystem selbst zur Vefügung stehen und dieses im schlimmsten Fall abstürzt. Solche Szenarien kommen bei anderen Systemen, wie z.B. FTP durchaus vor. Um z.B. das Quota auf 10GB festzulegen, müssen Sie folgende Angabe machen: ftapi.storage.quota=1024000000 Automatischer Storage-Cleanup Viele Administratoren von Datentransfer-Systemen, die sich mit z.B. E-Mail oder FTP beschäftigen müssen, haben das große Problem, dass die Dateien auch nach der erfolgreichen Zustellung an den Empfänger auf dem Übertragungssystem erhalten bleiben und damit nicht nur ein erhöhtes Sicherheitsrisiko darstellen, sondern nach und nach das entsprechende System "zumüllen". Die Administratoren haben beispielsweise erheblichen Aufwand, die entsprechenden Systeme "sauber" zu halten und regelmäßig aufzuräumen. Vielleicht kennen Sie ja auch die berühmte E-Mail "Server voll, bitte jeder aufräumen" oder so ähnlich ;) Mit FTAPI kann dies nicht passieren, da es so konfiguriert ist, dass erfolgreich und vollständig zugestellte Datenpakete automatisch vom System entfernt werden. Dies kann den System-Administrator deutlich entlasten. Natürlich kann dieses Verhalten an die eigenen Bedürfnisse angepasst oder komplett abgestellt werden. Die Einstellungen hierzu finden Sie in zentralen Konfiguration auch im Bereich Storage: #-------------------------------------------------------------------# Storage cleanup settings #-------------------------------------------------------------------# Switch on/off the cleanup job # Default: true ftapi.storage.cleanup.enabled=true # The interval then the cleanup task should run regularily. # Default: 0 0 3 * * ? (every day at 3:00 AM) ftapi.storage.cleanup.interval=0 0 3 * * ? # The max age of a deliverable until its binary data will be deleted from storage. # The format is <integer>{m|h|d}, whereas m = minutes, h = hours and d = days. # Examples: 90d (= 90 days), 2h (= 2 hours), 30m (= 30 minutes) ftapi.storage.cleanup.max.age=1m Nachfolgend werden die einzelnen Parameter genauer beschrieben. ftapi.storage.cleanup.enabled Mit diesem Wert lässt sich die AutoClean-Funktion generell aktivieren (true) oder deaktivieren (false). ftapi.storage.cleanup.interval Dieser Parameter bestimmt, mit welcher Häufigkeit der Storage regelmäßig überprüft und gegebenenfalls zutreffende Dateien gelöscht werden. Hierzu wird eine sogenannte "Cron-Expression" festgelegt, mit welcher bis auf die Sekunde genau bestimmt werden kann, in welchen Abständen eine Überprüfung stattfinden soll. Die Cron-Expression 0 0 3 * * ? bedeutet beispielweise, dass die Überprüfung jeden Tag um 3:00 Uhr morgens stattfinden soll, oder 0 59 * * * ? bedeutet, dass die Überprüfung jede Stunde zur 59. Minute durchgeführt wird. Weitere Informationen zum Thema Cron-Expressions erhalten Sie z.B. hier : http://www.quartz-scheduler.org/DOCS11/tutorials/crontrigger.html. Je nachdem wie hoch Ihr FTAPI-System frequentiert ist, kann es sinnvoll sein, das Check-Intervall anzupassen. Da die Überprüfung der Einträge relativ aufwändig ist, empfiehlt es sich, die Überprüfung auf ein Minimum zu reduzieren. Als guter Wert hat sich die tägliche Überprüfung um 3:00 Uhr Morgens herausgestellt, da zu diesem Zeitpunkt erfahrungemäß nur wenige Transfer-Aktionen stattfinden und somit das System nicht genutzte Leistung für den Check verwenden kann. ftapi.storage.cleanup.max.age Dieser Wert bestimmt, wie alt eine Datei sein muss, bevor sie gelöscht werden darf. Mit jeder neuen Zustellung eines Deliveries wird das Alter (age) wieder auf 0 zurückgesetzt und beginnt von neuem hochzuzählen. Sie haben hier die Möglichkeit, die Angabe in Minuten, Stunden oder Tagen zu machen, indem sie die Endung m, h oder d verwenden. Standardmäßig sind 90 Tage (=90d) eingestellt. Account-Typen FTAPI besitzt verschiedene Account-Typen mit denen die Berechtigungen in FTAPI gezielt gesetzt werden können. Die Account-Typen können nur durch einen Benutzer mit Administrator-Rechten geändert werden. Nachfolgend sind die verschiedenen Account-Typen, deren Bedeutung sowie deren eindeutige Bezeichnung aufgelistet und erläutert: Mitarbeiter Mitarbeiter können Dateien an beliebige Empfänger versenden. Sie können Dateien auch von jedem beliebigen Sender Empfangen und besitzen jeweils einen eigenen SubmitBox. Sie können sich in die Web-Oberfläche einloggen. (Bezeichnung GROUP_EMPLOYEE) System-Administrator: System-Administratoren sind Mitarbeiter-Accounts, die erweiterte Rechte besitzen. Sie können die Konfiguration ändern, dürfen Benutzer verwalten und auch die kompletten Logs einsehen. (Bezeichnung GROUP_ADMIN) Benutzer-Administrator: Benutzer-Administratoren sind Mitarbeiter-Accounts, die zusätzlich Benutzer anlegen, bearbeiten und löschen dürfen. Sie dürfen jedoch keine Änderungen an den System-Einstellungen durchführen und können keine Logs einsehen. (Bezeichnung GROUP_USER_ADMIN) Partner Partner haben ähnliche Rechte wie Mitarbeiter. Sie können Dateien aber nur an Mitarbeiter-Accounts versenden. Auch können Sie nur von Mitarbeiter-Accounts Dateien empfangen und besitzen keine SubmitBox. Sie können sich in die Web-Oberfläche einloggen. (Bezeichnung GROUP_PARTNER) Gast Gäste können Dateien nur per SubmitBox und nur an Mitarbeiter-Accounts einreichen. Sie können Dateien nur von Mitarbeiter-Accounts empfangen. Sie können sich nicht in die Web-Oberfläche einloggen und besitzen keine SubmitBox. Dieser Account-Typ wird in der Lizenz nicht gezählt. (Bezeichnung GROUP_GUEST) SMTP FTAPI versendet in den verschiedensten Situationen E-Mail-Nachrichten. Z.B. an den Empfänger, wenn ein neues Datenpaket für Ihn bereitgestellt wurde (das sogenannte "Download-Ticket"). Hierfür ist es notwendig, einen SMTP-Server zu konfigurieren, der als Gateway für den E-Mail-Versand zwischen Ihrem FTAPI System und dem jeweiligen Anwender dient. Bitte beachten Sie, dass ohne Konfiguration eines SMTP-Servers kein korrekter Betrieb von FTAPI möglich ist. Konfigurationseinstellungen ftapi.email.charset ftapi.email.from.address ftapi.email.from.name ftapi.email.smtp.host ftapi.email.smtp.port ftapi.email.smtp.username ftapi.email.smtp.password ftapi.email.smtp.useSSL ftapi.email.smtp.useTLS E-Mail-Benachrichtigungen Neues Datenpaket bzw. neue Einreichung per SubmitBox Submit-Ticket Aktivierung Fehlermeldungen und Verbesserungsvorschläge SecuPass™ Aktivierung Konfigurationseinstellungen Die Einstellungen zum SMTP-Server werden in der Konfiguration im Abschnitt E-Mail und andere Benachrichtigungen gemacht: Nachfolgend werden die einzelnen Werte näher erläutert. Bitte beachten Sie, dass keinerlei Leerzeichen am Ende eines Eintrags verbleiben! ftapi.email.charset Das Encoding, welches verwendet werden soll (z.B. ISO-8859-1 oder UTF-8). ftapi.email.from.address Die Absenderadresse, welche bei Systembenachrichtigungen in der E-Mail erscheinen soll. Diese muss nicht mit dem smtp.username übereinstimmen oder überhaupt existieren. ftapi.email.from.name Der Name des Absenders, welcher bei Systembenachrichtigungen in der E-Mail erscheinen soll. Dies kann ein beliebiger Name sein, der nicht mit dem smtp.username übereinstimmen muss. ftapi.email.smtp.host Der Hostname des SMTP-Servers. ftapi.email.smtp.port Der Port des SMTP-Servers. ftapi.email.smtp.username Der Benutzername des SMTP-Accounts, falls eine Authentifizierung erforderlich ist. ftapi.email.smtp.password Das Passwort des SMTP-Accounts, falls eine Authentifizierung erforderlich ist. ftapi.email.smtp.useSSL Gibt an, ob eine sichere Verbindung über SSL verwendet werden soll (true) oder nicht (false). ftapi.email.smtp.useTLS Gibt an, ob eine sichere Verbindung über TLS verwendet werden soll (true) oder nicht (false). E-Mail-Benachrichtigungen Nachfolgend werden kurz die jeweiligen E-Mail-Benachrichtigungen beschrieben, die FTAPI als E-Mail versendet. Das Format einer E-Mail-Benachrichtung wird durch ein sogenanntes E-Mail-Template festgelegt. Alle E-Mail-Templates befinden sich im Verzeichnis \ROOT\WEB-INF\notification Ihrer FTAPI-Server-Installation. Bitte beachten Sie, dass Änderungen an den E-Mail-Templates nur durch den FTAPI Support durchgeführt werden sollten. Falls Sie dennoch diese E-Mail-Templates selbst anpassen möchten, kann FTAPI hierfür keine Haftung übernehmen. Falls dadurch Probleme im Betrieb von FTAPI entstehen, sind Sie hierfür selbst verantwortlich. Neues Datenpaket bzw. neue Einreichung per SubmitBox Nachdem ein Benutzer ein Datenpaket an einen beliebigen Empfänger versendet hat bzw. über die SubmitBox eingereicht hat, erhält dieser eine E-Mail mit einem eingebetten Download-Link. Diese E-Mail hat folgendes Format: ${delivery.message.body} --Bitte klicken Sie hier, um den Download zu starten: $config.get("ftapi.base.url")/download/${delivery.uuid} Die Variable ${delivery.message.body} entspricht dabei dem Text, welchen der Versender eingetragen hat. Die Variablen $\config.get("ftapi.base.url")/download/${delivery.uuid} wird durch den Download-Link ersetzt. Weitere E-Mail-Templates sind unter anderem: Submit-Ticket Aktivierung Nachdem ein Benutzer über die SubmitBox seine E-Mail-Adresse eingegeben und auf "Submit-Ticket anfordern" geklickt hat, erhält er eine Aktivierungs-E-Mail mit einem eingebetten Link, dem so genannten "Submit-Ticket". Darüber kann er das Einreichen von Dateien durchführen. Fehlermeldungen und Verbesserungsvorschläge Der Benutzer hat die Möglichkeit, auf einfache Art und Weise einen Hinweis oder eine Fehlermeldung an eine bestimmte E-Mailadresse zu versenden. Z.B. wenn ein Fehler aufgetreten ist oder wenn Verbesserungsvorschläge kommuniziert werden sollen. SecuPass™ Aktivierung Der Benutzer wie auch Empfänger einer Zustellung erhält während des Aktivierungsprozesses entsprechende E-Mails zur Registrierung und Aktivierung der SecuPass™ Verschlüsselung des Benutzeraccounts. Applet Konfigurationsmöglichkeiten Notwendigkeit für Empfänger-Account voreinstellen Empfänger-Account erzwingen Request-Parameter FTAPI in Windows-Kontextmenü integrieren Das FTAPI-Applet lässt sich flexibel an die eigenen Bedürfnisse anpassen. In diesem Abschnitt erfahren Sie, welche Konfigurationsmöglichkeiten zur Verfügung stehen. Notwendigkeit für Empfänger-Account voreinstellen Standardmäßig kann der Versender einstellen, ob der Empfänger einen FTAPI-Account besitzen muss oder nicht. Eine Zustellung wird hierdurch zusätzlich abgesichert, da sich jeder Empfänger vor einem Download authentifizieren muss. In einigen Fällen kann es sinnvoll sein, dass z.B. durch den Administrator diese Einstellung unveränderbar vorgegeben ist und z.B. ein solcher Empfänger-Account aus Sicherheitsgründen immer zwingend ist (siehe Empfänger-Account erzwingen). Im umgekehrten Fall kann eingestellt werden, dass dieser niemals angefordert werden darf. (siehe Empfänger-Account vollständig unterbinden) Beide Fälle lassen sich in der FTAPI-Konfiguration entsprechend voreinstellen: Empfänger-Account erzwingen Hierzu muss in der FTAPI-Konfiguration unter dem Bereich Grundeinstellungen der Wert ftapi.security.level.force nach Bedarf gesetzt werden. Die ausgewählte Sicherheitsstufe ist aktiviert und kann durch den Benutzer nicht mehr verändert werden. Request-Parameter Das Applet erlaubt die Vorbelegung seiner Felder durch Request-Parameter. Die belegbaren Felder und zugehörigen Request-Parameter lauten wie folgt: Applet-Feld Request-Parameter Beschreibung E-Mail recipients Eine durch Semikolons ; getrennte Liste von E-Mail-Adressen, die als Empfänger der Zustellung eingetragen werden sollen. Betreff subject Der Betreff der Nachricht. Nachricht message Der Text der Nachricht. Dateien files Eine durch Semikolons ; getrennte Liste aller Dateipfade und -namen, die der Zustellung hinzugefügt werden sollen. Request-Beispiel Ein Aufruf der Form https://localhost:443/upload/[email protected]&subject=Test&message=Test&files=C:\document.png führt zu folgendem bereits vorausgefüllten Applet: FTAPI in Windows-Kontextmenü integrieren Mit wenigen Handgriffen ist es möglich, dass FTAPI in das Windows-Kontextmenü integriert wird. So kann mit einem rechten Mausklick auf eine Datei diese direkt mit FTAPI verschickt werden. Und das ohne die Notwendigkeit, eine zusätzliche Software installieren zu müssen! Für Änderungen an der Windows-Registry und allen daraus resultierenden Folgen übernimmt FTAPI keine Haftung. Die nachfolgend beschriebenen Einstellungen erfolgen vollständig auf eigene Gefahr hin. Darüber hinaus gibt FTAPI hierfür keinerlei Support. Um FTAPI in das Windows-Kontextmenü zu integrieren, gehen Sie folgendermaßen vor: 1. Geben Sie in der Windows-Eingabeaufforderung regedit ein. Es öffnet sich der Registrierungs-Editor. 2. Navigieren Sie zum Ordner HKEY_CLASSES_ROOT/*/shell 3. Klicken Sie mit der rechten Maustaste auf den Ordner shell und erstellen Sie einen neuen Schlüssel mit dem Namen Send with FTAPI SecuTransfer 4. Klicken Sie mit der rechten Maustaste auf den soeben neu erstellten Schlüssel und erstellen Sie einen neuen, weiteren Schlüssel mit dem Namen command 5. Markieren Sie mit der linken Maustaste den soeben neu erstellten Schlüssel 6. 6. Klicken Sie nun auf den Eintrag Standardwert rechts doppelt und geben Sie bei Wert "C:\Program Files\Internet Explorer\iexplore.exe" https://localhost:443/upload/createDelivery.html?files=%1 ein, wobei der Pfad zu Ihrem FTAPI Server natürlich entsprechend angepasst werden muss. Falls der Internet-Explorer in Ihrem System an einem anderen Ort installiert ist, müssen Sie auch diesen Pfad entsprechend anpassen. 7. Fertig. Ab sofort können Sie Dateien direkt aus Ihrem Desktop heraus mit FTAPI versenden, ohne dass Sie zusätzliche Software installieren müssen. HTTPS In order to secure all FTAPI transfers by using HTTPS, preconditions are a few settings and a (self) signed certificate. The procedure is described step by step below. Background By default FTAPI delivers a self-signed certificate for testing and evaluation purposes. You should get a "real" CA signed certificate if you plan on using FTAPI in a productive environment. In order to get such a CA signed certificate just follow the next steps: 1. Creating your Keystore 2. Certificate Signing Request 2.1. Generate .CSR (Certificate Signing Request) file in console 2.2. Open .CSR file and copy the text 3. Install signed certificate to keystore 4. Enabling SSL in the Tomcat server.xml File 5. FTAPI configuration base-URL An easy certificate for demo- and test cases can easily be ordered and dwonloaded at RapidSSL Free 30 day. 1. Creating your Keystore First of all you need to create a Keystore and a key pair. You will be using the keytool command to create and manage your new Keystore file. You may need to add your (for example) c:\program files\Java\jdk1.6.0_18\bin directory to your system variable PATH before the keytool command is recognized. Or you execute keytool.exe in your console directly from your Java folder (e.g. C:\Program Files\Java\jdk1.6.0_18\bin ) . When you are ready to create your keystore go to the directory where you plan to manage your Keystore and certificates - standard is folder \.ftapisecurity. Enter the following command: keytool.exe -genkey -alias ftapi-server -keyalg RSA -keysize 2048 -keystore your_site_name.jks Typing keytool.exe - help will show you all available commands. First you will be prompted to choose a password for your keystore. Afterwards you will then be prompted to enter your Organization information: Abbreviation Long term Example Question in console & other More info on the web CN Common Name ftapi.your-site-name.de Wie lautet Ihr Vorn- und Nachame? What is your first and last name? This one MUST match your URL (e.g. ftapi.your-site-name.com !) http://www.digicert.com/csr-creation.htm This is the Common Name (Fully Qualified Domain Name - FQDN) OU Organisation Unit - Wie lautet der Name Ihrer organisatorischen Einheit? What is the name of your organizational unit? O Organisation Ihr Firmenname Wie lautet der Name Ihrer Organisation? What is the name of your organization? L Locality Ihre Stadt Wie lautet der Name Ihrer Stadt oder Gemeinde? What is the name of your City or Locality? ST State Bundesland Wie lautet der Name Ihres Bundeslandes oder Provinz? What is the name of your State or Province? C Country DE Wie lautet der Landescode für diese Einheit? What is the two-letter country code for this unit? http://www.digicert.com/ssl-certificate-country-codes.htm Common Name From a technical point of view the only important value is "Common Name". This one must exactly match with your DNS hostname, which one is used for your FTAPI server. For example does the Common Name (CN) ftapi.your-site-name.com secure the URL https://ftapi.your-site-name.com/ When it asks for first and last name, this is NOT your first and last name, but rather it is your Fully Qualified Domain Name for the site you are securing (example: www.yourdomain.com). If you are ordering a Wildcard Certificate this must begin with the * character. (example: *.yourdomain.com) After you have completed the required information confirm that the information is correct by entering 'j' or 'ja' (if in english use 'y' or 'yes') when prompted. Next you will be asked for your password to confirm. Make sure to remember the password you choose. With Enter you can choose to use the same password as for your keystore (which is recommended) .JKS file Your keystore file named your_site_name.jks is now created in your current working directory (e.g. \Java\jdk1.6.0_18\bin OR \.ftapi\security). Find more details at http://www.digicert.com/ssl-certificate-installation.htm. If you do not order your certificate at www.digicert.com, the procedure can be different from the one desribed here! 2. Certificate Signing Request The certification process consists of two steps (http://www.digicert.com/csr-creation-tomcat.htm): 2.1. Generate .CSR (Certificate Signing Request) file in console keytool.exe -certreq -alias ftapi-server -file csr.txt -keystore your_site_name.jks Use the keystore password that you chose earlier and hit Enter. 2.2. Open .CSR file and copy the text Your CSR file named csr.txt is now created in your current directory. Open the CSR with a text editor, and copy the text below (including the BEGIN and END tags). -----BEGIN NEW CERTIFICATE REQUEST----MIIBuTCCASICAQAweTELMAkGA1UEBhMCREUxDzANBgNVBAgTBkJheWVybjERMA8GA1UEBxMITXVl bmNoZW4xGjAYBgNVBAoTEUZUQVBJIFNvZnR3YXJlIFVHMRAwDgYDVQQLEwdVbmtub3duMRgwFgYD VQQDEw9mdGFwaS5mdGFwaS5jb20wgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJAoGBAJtE4P4mbXhF f8q4pzkm5AChn0E0n16rUjus+zSwSxrYKmmqE5NyJ1KnkhBhB0qNnFxFVpzAw4b9r14D/FfE/R9Y cOZEt3U+0HZZBbdU5YNIxs/JFzxDdJmSpXBtlnNol4ga025E3OGtcduZgli6nDmZ8hZhgJYeZtur 673nPf8LAgMBAAGgADANsdfsFSDFS230BAQUFAAOBgQCNKh2zvm6sB867PKbh/LbvFsbvyHiOrlZW sk7Q8763CAxXO2XvxF8bSXZHulTrEdvTFajQxORQKkfR7NuZ1i+m4Y9DE38Hxq0sFnD1JRv61uu\+ 60OnKZr4vqDZbdk/vnZ/ZtrRqE4ejp6Ez6aC5Etqta0vLX7AIZf9iBQsUMSAEg== -----END NEW CERTIFICATE REQUEST----- The full text has to be send to a Certificate Authority (CA). Be careful to save the keystore file (your_site_name.jks). Your certificates will be installed to it in the following step. 3. Install signed certificate to keystore This step explains, how a (CA) signed certificate has to be installed into your keystore. Download your signed SSL certificate (e.g. your-domain-name.p7b) to the directory where your keystore was saved during the CSR creation process! (the keystore is called your_site_name.jks - see 2.1). Your SSL certificate must be installed to the same keystore that was used to generate your CSR. If you try to install it to a different keystore it won't work! In order to install your certificate into your keystore, type the following command to install the certificate file to your keystore: keytool.exe -import -trustcacerts -alias ftapi-server -file your_domain_name.p7b -keystore your_site_name.jks You should get a confirmation stating that the "Certificate reply was installed in keystore" If it asks if you want to trust the certificate. Choose y or yes. Your keystore file (your_site_name.jks) is now ready to use on your Tomcat Server and you just need to configure your server to use it. 4. Enabling SSL in the Tomcat server.xml File In the final step you have to adjust the SSL connectors to you certificate. This is done at the Apache Tomcat Server for your FTAPI system. Tomcat needs a configured SSL connector in order to provide secure communication and transfers: 1. Open the Tomcat server.xml file with a text editor - the file should be found in the folder ...\ftapi-server\conf\server.xml or in your Tomcat home folder. 2. Deactivate (uncomment) the current connector by adding start and end comment lines "<!--" before and "-->" after the following section of code - afterwards this one should look like this: <!-<Connector port="80" protocol="HTTP/1.1" connectionTimeout="20000" redirectPort="443" /> --> 3. Specify the correct keystore filename and password in your connector configuration. Activate this section of code by removing the start and end comment lines ("<!--" before and "-->" after). When you are done your connector should look something like this: <Connector port="443" protocol="org.apache.coyote.http11.Http11NioProtocol" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" keystoreFile="../.ftapi/security/your_site_name.jks" keyAlias="ftapi-server" keypass="your_keystore_password" /> 4. (optional) Set the redirect port on the HTTP connector: If a request comes in for a secure ressource on the HTTP port, a redirect will be made automatically to the HTTPS port. In order to enable this, make sure the attribute redirectPort="443" is set at your HTTP connector (see 2. above), whereas 443 is the port number of your HTTPS connector. Example: <Connector port="80" protocol="HTTP/1.1" connectionTimeout="20000" redirectPort="443" /> 5. Save your changes to the server.xml file. 6. Restart Tomcat. By default the FTAPI Tomcat will look for your Keystore with the file name .keystore in your home directory with the default password "changeit". (The home directory is generally /home/user_name/ on Unix and Linux systems, and C:\Documents and Settings\user_name\ on Microsoft Windows systems.) 5. FTAPI configuration base-URL In order for your FTAPI server to be accessed using https you need to change the FTAPI Base-URL in the configuration tab. Configure the following setting with your domain or IP address Finally restart your Tomcat server and browse to your ftapi.base.url in this example https://localhost:443 If your HTTPS connector uses port 443, you don't need to set the port at ftapi.base.url, since all browsers automatically use this port as default, if the https:// protocol is requested. You could then set something like: https://localhost. Web-Interface (WebUI) Der FTAPI-Server bietet Ihnen die Möglichkeit, große und/oder sensible Daten über die nachfolgend erläuterte Weboberfläche zu übermitteln, ohne dass Sie spezielle Software installieren müssen. Nachfolgend werden die wichtigsten Masken und Oberflächen, sowei ein grundlegender Durchlauf kurz erläutert. Aufruf und Log-In Ihr FTAPI-Server ist über die URL http://<host> erreichbar, wobei <host> für den Hostnamen Ihres FTAPI-Servers steht. Wenn Sie die FTAPI-LDAP (oder AD) Anbindung eingerichtet haben, können Sie Ihre gewohnten Zugangsdaten für den Login ins FTAPI-System nutzen. Falls dies bei Ihnen nicht der Fall ist, erhalten Sie Ihre speziellen FTAPI-Zugangsdaten von Ihrem Administrator. Übersicht - Dashboard Nach erfolgreichem Login erscheint Ihre benutzerspezifische Übersichtsseite. Hier erfahren Sie alle wichtigen Informationen zu Ihrem Benutzer-Account wie u.a. die Anzahl Ihrer erhaltenen und versendeten Zustellungen die Anzahl der noch nicht abgeholten Zustellungen das Datum Ihres letzten Logins Ihre im System hinterlegte E-Mailadresse die URL Ihrer persönlichen SubmitBox Durch einen Klick auf die Spalten "Eingang/ Ausgang" können Sie direkt in den jeweiligen Bereich springen! Nähere Informationen über die versendeten bzw. noch nicht abgeholten Zustellungen erhalten Sie durch Anklicken des jeweiligen Bereiches. Versenden - neue Zustellung Über den Button (rechts oben) öffnet sich ein neues Fenster bzw. Reiter für eine komplett neue Zustellung. Sicherheitsstufen bei Zustellungen Zustellungen können mit drei verschiedenen Sicherheitsstufen eingestellt werden: 1. Standard: Empfänger benötigt nur Webbrowser - Jeder kann diese Datei herunterladen. Ein Login ist nicht notwendig. 2. Vertraulich: Empfänger benötigt eigenen FTAPI Account - Nur wenn der Empfänger einen FTAPI Account besitzt kann er den Download starten. 3. Geheim: Empfänger benötigt eigenen FTAPI Account und Java - Die Dateien bleiben durchgehend verschlüsselt. Falls der Empfänger keinen FTAPI Account besitzt, wird dieser automatisch angelegt. Falls der Empfänger keine Java-Runtime installiert hat, wird diese automatisch installiert. Zertifikat akzeptieren Bitte akzeptieren Sie beim ersten Laden der Versendeseite das Zertifikat (für das Java Applet) dauerhaft, um FTAPI SecuTransfer für Ihren Datentransfer nutzen zu können. Um die hohe Sicherheit des Dateitransfers mit FTAPI gewährleisten zu können, wird dieses Zertifikat benötigt. Das Akzeptieren hat keine weiteren Auswirkungen auf Ihren Browser. Bei der nachfolgend dargestellten Sicherheitsmeldung bitte den Haken setzen und mit Ausführen bestätigen! Zustellung Step-by-Step Der Zustelldialog ist wie ein gängiges E-Mailprogramm aufgebaut. 1. Geben Sie zuerst die E-Mailadresse des Empfängers Ihres Datenpakets ein. Mehrere E-Mailempfänger können durch ein Semikolon ; ohne weitere Leerzeichen davor oder danach eingegeben werden. 2. Füllen Sie das Feld Betreff und den anschließenden Text für den oder die Empfänger wie bei einer normalen E-Mail aus. 3. Im unteren Bereich fügen Sie die zu versendenden Daten hinzu. Dies können Sie auf verschiedene Arten tun: Klick auf das Symbol mit dem Ordner und der Box Drag & Drop (Browserfenster nicht maximiert oder zweiter Bildschirm) Klick auf das Plus-Symbol (links unten) Doppelklick auf den gesamten Bereich Im Datei- und Ordnerauswahldialog können Sie durch das Drücken der Strg-Taste einzelne Dateien UND Ordner direkt auswählen. Ordnerstrukturen werden von FTAPI automatisch rekursiv (also inklusive allen Unterordnern und den darin enthaltenen Dateien) hinzugefügt. ! 4. Starten Sie den Versand über den Upload-Knopf rechts unten. Dieser Knopf ist erst dann aktiv, wenn Sie mindestens eine Datei hinzugefügt haben! Benutzereinstellungen - Mein Konto Jeder Benutzer kann über das Zahnradsymbol rechts oben seine persönlichen Einstellungen einsehen und bearbeiten. Zusätzlich kann hier die eigene SubmitBox de-/aktiviert oder umbenannt sowie die SecuPass™ Aktivierung durchgeführt werden. Logout Das Logout-Symbol ist oben rechts zu finden. Bitte loggen Sie sich für einen optimalen Schutz Ihres Benutzer-Accounts immer komplett hierüber aus. FTAPI SecuTransfer führt zu Erhöhung der Systemsicherheit automatisch einen Logout nach einiger Zeit der Nichtaktivität durch! Feedback an FTAPI oder IT-Verantwortlichen senden Probleme, generell Vorschläge oder Feedback können auf jeder Seite der FTAPI Weboberfläche über den Link unten links (Problem aufgetreten oder Vorschlag versenden?) direkt an Ihre hinterlegte Support-E-Mail-Adresse versandt werden. Bitte notieren Sie sich nach dem Senden Ihre angezeigte Ticket-ID für Rückfragen. LDAP und Active Directory FTAPI besitzt eine eigene, leistungsfähige Benutzerverwaltung. In manchen Situationen ist es jedoch sinnvoll, bereits bestehende Benutzer-Accounts aus einem LDAP- oder Active-Directory-System zu verwenden, um eine doppelte Verwaltung dieser Konten zu vermeiden. Nachfolgend wird erläutert, wie Sie FTAPI SecuTransfer so konfigurieren, dass es Benutzer-Konten aus einem LDAP- oder Active-Directory-System akzeptiert. Bevor Sie mit der Konfiguration in FTAPI beginnen, stellen Sie bitte sicher, dass Ihr LDAP-System über das Netzwerk erreichbar ist und Sie sich erfolgreich per LDAP verbinden können. Dies können Sie beispielweise überprüfen, indem Sie sich mit einem der zahlreichen kostenloses LDAP-Clients, wie z.B. dem LDAP Browser von Softerra auf Ihren LDAP-Server verbinden. Im folgenden Abschnitt wird der Begriff LDAP-Server als Synonym für ein LDAP- wie auch ein Active-Directory-System verwendet. Konfiguration anpassen Beschreibung Konfigurationsparameter ftapi.ldap.enabled ftapi.ldap.url ftapi.ldap.manager.dn ftapi.ldap.manager.password Parameter für das Attribut-Mapping ftapi.ldap.attr.firstName ftapi.ldap.attr.lastName ftapi.ldap.attr.email ftapi.ldap.attr.fingerprint Parameter für die LDAP-Suche ftapi.search.base ftapi.ldap.search.filter ftapi.ldap.search.subtree Parameter für den Cleanup ftapi.ldap.cleanup.enabled ftapi.ldap.cleanup.interval Mapping von LDAP-Gruppen zu FTAPI-Gruppen Single Mapping Multi Mapping Einrichtung mehrerer LDAP-Systeme Konfiguration anpassen Klappen Sie im Reiter Konfiguration den Bereich LDAP und Active Directory auf: Klicken Sie auf das gewünschte Feld, ändern Sie die Parameter entsprechend Ihren Gegebenheiten ab und speichern Sie abschließend. Anschließend müssen Sie den FTAPI-Server neu starten, damit diese Änderungen aktiv werden. Beschreibung Konfigurationsparameter Die folgenden Parameter werden für die Aktivierung der Verbindung zu einem LDAP-System benötigt. ftapi.ldap.enabled Mit diesem Parameter können Sie LDAP generell aktivieren (Haken gesetzt) oder deaktivieren (Haken nicht gesetzt).Wird kein Wert angegeben, so wird der Standardstatus "deaktiviert" verwendet. Wenn die LDAP-Anbindung aktiviert und funktionsfähig ist, so führt FTAPI die Benutzerauthentifizierung stets in folgenden Schritten durch: 1. Es wird zuerst im LDAP-System nach dem entsprechenden Benutzer gesucht und bei einem Fund, dessen Login-Daten für die Authentifizierung verwendet. 2. Konnte im LDAP-System kein Benutzer mit dem angegebenen Benutzernamen gefunden werden, so wird die FTAPI eigene Benutzerverwaltung überprüft und falls sich hier der gewünschte Benutzer befindet, dessen Daten für die Authentifizierung verwendet. 3. Konnten weder im LDAP-System noch in der FTAPI-Benutzerverwaltung der Benutzer gefunden werden, so wird der Login mit einem "Login Failed" zurückgewiesen. Wenn sich ein LDAP-Benutzer erstmalig bei FTAPI anmeldet, so werden alle notwendigen und nicht-sensiblen Daten von dessen LDAP-Account in die FTAPI-Benutzerverwaltung übernommen. Dies ist notwendig, um weitere Einstellungen an diesem FTAPI-Account vornehmen zu können (z.B. Gruppen zuordnen/entfernen), ohne den LDAP-Account ändern zu müssen. Einige Felder, wie z.B. das Passwort oder der Benutzername selbst, können dann nicht über die Oberfläche der FTAPI-Benutzerverwaltung verändert werden. Dies muss im LDAP-System selbst vorgenommen werden. Gleichnamige Benutzer-Accounts Bitte beachten Sie, dass es aus Sicherheitsgründen nicht erlaubt ist, dass ein manuell angelegter FTAPI-Account und ein LDAP-Account mit demselben Benutzernamen existieren. In diesem Fall wird beim Login eine Fehlermeldung angezeigt. Um dieses Problem zu umgehen, loggen Sie sich bitte als Administrator ein und geben Sie dem FTAPI-Account einen anderen Benutzernamen. ftapi.ldap.url Dieser Parameter ist Pflicht und gibt die URL zu Ihrem LDAP-Server im Format ldap://<host>:<port> an. Über diese URL muss der LDAP-Server vom FTAPI-System aus erreichbar sein. Ein Beispiel: ldap://ad-server:389 ftapi.ldap.manager.dn Mit diesem Parameter wird der sogenannte DN (Benutzername) des LDAP-Managers angegeben, über den die Verbindung zum LDAP-System aufgebaut werden soll. Diese Angabe ist Pflicht. Ein Beispiel: [email protected] ftapi.ldap.manager.password Das Passwort des LDAP-Managers. Diese Angabe ist optional, je nach dem ob der LDAP-Manager ein Passwort besitzt oder nicht. Parameter für das Attribut-Mapping Mit den nachfolgend beschriebenen Parametern können Sie bestimmen, welche Felder aus einem LDAP-Account verwendet werden, um dessen Werte in den FTAPI-Account zu übernehmen. Im Regelfall ist keine Änderung dieser Parameter notwendig. ftapi.ldap.attr.firstName Bestimmt den Namen des LDAP-Context-Felds, dessen Wert als Vorname in den lokalen FTAPI-Account übernommen werden soll. ftapi.ldap.attr.lastName Bestimmt den Namen des LDAP-Context-Felds, dessen Wert als Nachname in den lokalen FTAPI-Account übernommen werden soll. ftapi.ldap.attr.email Bestimmt den Namen des LDAP-Context-Felds, dessen Wert als E-Mail in den lokalen FTAPI-Account übernommen werden soll. ftapi.ldap.attr.fingerprint Bestimmt den Namen des LDAP-Context-Felds, dessen Wert als eindeutiger Fingerabdruck in den lokalen FTAPI-Account übernommen werden soll. Dies ist aus Sicherheitsgründen notwendig, um sicher zu stellen, dass der LDAP-Context nicht durch einen anderen "ausgetauscht" wird und kann jedes beliebige Feld sein, welches einen eindeutigen Wert besitzt. Parameter für die LDAP-Suche Nachdem mit dem LDAP-System eine Verbindung hergestellt wurde, wird in einem ganz bestimmten Bereich im "LDAP-Baum" nach dem Login-Benutzer gesucht. Welcher Bereich dies ist und wie diese Suche durchgeführt werden soll, wird durch die nachfolgenden Parameter bestimmt. ftapi.search.base Dieser Parameter bestimmt den Basis-Knoten im LDAP-Baum, ab dem mit der Suche begonnen werden soll. Ein solcher Pfad könnte beispielsweise für einen Active-Directory-Server auf einem Microsoft Small Business Server folgendermaßen aussehen: ou=SBSUsers,ou=Users,ou=MyBusiness,dc=ftapi,dc=local Im Active Directory Browser würde sich dieser Pfad dann durch folgende Baumstruktur widerspiegeln: Weitergehende Informationen, wie LDAP-Pfade aufgebaut sein können, entnehmen Sie bitte der Dokumentation zu Ihrem LDAP-Serversystem. ftapi.ldap.search.filter Mit diesem Parameter werden die Context-Typen bestimmt, die für eine Überprüfung heran gezogen werden sollen. Es stellt somit einen Filter dar. Unter einem Active-Directory-Server sollte diese Angabe stets folgendermaßen belassen werden: (&(sAMAccountName={0})(objectclass=user)) ftapi.ldap.search.subtree Dieser Parameter bestimmt, ob rekursiv gesucht werden soll (true) oder nicht (false). D.h., ob auch in den Kinderknoten nach dem Login-Benutzer gesucht werden soll. Vor allem bei großen LDAP-Baumen ist es häufig sinnvoll, diesen Wert auf false zu setzen, um die Systemlast zu vermindern. Allerdings muss dann der Parameter ftapi.search.base direkt auf die korrekte Ebene zeigen. Parameter für den Cleanup FTAPI besitzt einen Mechanismus um FTAPI Accounts, die zwar über LDAP angelegt wurden aber im LDAP System nicht mehr existieren, auch aus der FTAPI Benutzerdatenbank wieder zu entfernen. Dies stellt vor allem bei großen Benutzerdatenbanken eine deutliche Erleichterung für den LDAP-Administrator dar. ftapi.ldap.cleanup.enabled Dieser Parameter gibt an, ob die LDAP Cleanup-Funktion aktiv sein soll oder nicht. Der Standardwert ist false. ftapi.ldap.cleanup.interval Dieser Parameter ist ein Cron-Job, der angibt, in welchen Intervallen ein Abgleich der FTAPI Accounts mit dem LDAP-System erfolgen soll. Im nachfolgenden Beispiel erfolgt eine solche Überprüfung täglich um 4:00 Uhr Morgens. Dies ist auch die Standardeinstellung. ftapi.ldap.cleanup.interval=0 0 4 * * ? Mapping von LDAP-Gruppen zu FTAPI-Gruppen Standardmäßig kann sich jeder Benutzer, der einen gültigen Account im LDAP-System besitzt, in FTAPI einloggen. Er erhält in diesem Fall automatisch alle Gruppen zugeordnet, die durch ftapi.ldap.default.groups spezifiziert wurden. Vor allem in größeren Umgebungen ist es oft gewollt, dass nur eine bestimme, privilegierte Gruppe von LDAP-Benutzern Zugang zum FTAPI-System erhält. FTAPI bietet hierfür zwei verschiedene Möglichkeiten an, wie eine Zuordnung von LDAP zu FTAPI-Gruppen erfolgen kann. Single Mapping & Multi Mapping Diese werden nachfolgend näher erklärt. Single Mapping Dies ist die einfachere Variante von beiden, um von LDAP zu FTAPI Gruppen zu mappen und wird deshalb vor allem dann empfohlen, falls Sie keine feingranulare Zuordnung je Benutzer zu FTAPI-Gruppen benötigen. Hier muss nur eine einzige Gruppe in LDAP angelegt werden (z.B. mit dem Namen FTAPI). Alle LDAP-Benutzer, die dieser Gruppe angehören, erhalten beim Login dann automatisch die FTAPI-Gruppe zugeordnet, die durch das Property ftapi.ldap.default.groups definiert wurden. Im Active Directory Browser wäre hierfür beispielsweise folgende Struktur sinnvoll: Innerhalb der Organisationseinheit SBSUsers wurde hier die Gruppe FTAPI angelegt, welcher die für FTAPI privilegierten Benutzer hinzugefügt werden. Um Single Mapping zu aktivieren, sind in der FTAPI Konfiguration folgende Einstellungen vorzunehmen: Die wichtigsten Einstellungen zu den obigen Properties sind nachfolgend noch einmal zusammengefasst: config.property.ftapi.ldap.role.mapping.enabled=true (Haken gesetzt) aktiviert das generelle Mapping von LDAP-Gruppen zu FTAPI-Gruppen config.property.ftapi.ldap.role.mapping.search.base Angabe des LDAP-Pfades zum Verzeichnis, in welchem sich die LDAP-Gruppe befindet config.property.ftapi.ldap.role.mapping.single=true (Haken gesetzt) aktiviert das Single Mapping config.property.ftapi.ldap.role.mapping.single.group=FTAPI Name der LDAP-Gruppe, welcher alle LDAP-Benutzer zugeordnet sein müssen, um FTAPI verwenden zu können. Diese Gruppe muss sich innerhalb des Pfads befinden, der durch config.property.ftapi.ldap.role.mapping.search.base angegeben wurde config.property.ftapi.ldap.default.groups Stellen Sie hier all diejenigen FTAPI-Gruppen ein, die ein Benutzer der der LDAP-Gruppe FTAPI standardmäßig erhält. Nachfolgend als Beispiel die Standard-Zuordnungen: Multi Mapping Im Gegensatz zum Single Mapping, bietet das Multi Mapping die Möglichkeit der 1-zu-1-Zuordnung von LDAP-Gruppen zu FTAPI-Gruppen. Legen Sie hierfür in LDAP einfach eine Gruppe an, die denselben Namen wie die zugehörige FTAPI-Gruppe (z.B. GROUP_EMPLOYEE) besitzt und fügen Sie dieser die entsprechenden LDAP-Benutzer hinzu. Sobald sich diese LDAP-Benutzer in FTAPI einloggen, werden sie automatisch der gleichnamigen FTAPI-Gruppe zugeordnet. Dies können Sie für alle anderen FTAPI-Gruppen gleichermaßen durchführen. Im Active Directory Browser ist hierfür beispielsweise folgende Struktur sinnvoll: Innerhalb der Organisationseinheit SBSUsers wurde eine weitere Organisationseinheit FTAPIGroups erstellt, in welcher sich alle Gruppen befinden. Um Multi Mapping zu aktivieren, sind in der FTAPI Konfiguration folgende Einstellungen vorzunehmen: Beim Multi Mapping ist - im Vergleich zum Single Mapping (s. oben) - lediglich das folgende Property anders einzustellen. ftapi.ldap.role.mapping.single=false (Haken nicht gesetzt) deaktiviert das Single Mapping und aktiviert das Multi Mapping Zusätzlich müssen Sie sicherstellen, dass im Property ftapi.ldap.default.groups kein Wert gesetzt ist, damit keine Zuordnung zu den Standard-FTAPI-Gruppen erfolgt (außer Sie wünschen dies explizit). Dies erreicht man durch Drücken der STRG-Taste und anklicken der noch markierten Zeilen, um alle Zeilen als nicht markiert speichern zu können. Einrichtung mehrerer LDAP-Systeme Es können bis zu drei (3) LDAP-Systeme über die FTAPI Konfiguration hinterlegt werden. Diese werden dann hintereinander bei einem Loginversuch eines Benutzers auf dessen richtigen Login hin überprüft. SecuPass Aktivierung Was ist SecuPass™? SecuPass™ als Mitarbeiter aktivieren SecuPass™ als Empfänger aktivieren 1. Schritt: 2. Schritt: 3. Schritt: 4. Schritt: Step-by-Step Anleitung für die Aktivierung der SecuPass™-Verschlüsselung Was ist SecuPass™? Die von FTAPI entwickelte SecuPass™-Verschlüsselung ermöglicht eine durchgängig (Ende-zu-Ende) verschlüsselte Übertragung beliebiger Dateien. Neben der höchstmöglichen Sicherheit ist das Besondere von SecuPass™, dass diese Transfers zwischen beliebigen Personen (bzw. Endpunkten) stattfinden kann, ohne dass diese aufwändig Schlüssel- bzw. Zertifikate erstellen und installieren müssen. Bei FTAPI funktioniert dieser Prozess vollautomatisch und ist zudem so einfach wie das Versenden einer E-Mail. SecuPass™ als Mitarbeiter aktivieren Um SecuPass™ (Ende-zu-Ende Verschlüsselung) für einen Mitarbeiter-Account zu aktivieren, verwenden Sie die Anzeige am oberen Bildschirmrand oder den Link am Ende Ihrer Benutzereinstellungen. Geben Sie anschließend Ihr Passwort ein, um die SecuPass™-Aktivierung zu starten. Sie bekommen im Anschluß daran eine E-Mail mit einem Aktivierungslink. Klicken Sie auf den Link in der E-Mail, um die SecuPass™-Aktivierung erfolgreich abzuschliessen. Nachdem Sie die SecuPass™-Verschlüsselung aktiviert haben, können Sie ab sofort Zustellungen mit der Sicherheitsstufe 3 (Geheim) versenden wie auch empfangen. SecuPass™ als Empfänger aktivieren 1. Schritt: Ein Mitarbeiter versucht an einen neuen Empfänger eine Zustellung mit Sicherheitsstufe 3 (Geheim) zu versenden. Um dies erfolgreich durchzuführen, muss dieser Empfänger einen Account mit aktivem SecuPass™ besitzen. Sollte das nicht der Fall, kommt der nachfolgend dargestellte Hinweis. Mitarbeiter (=Versender der Zustellung) sieht beim Versenden folgendes: 2. Schritt: Der Empfänger bekommt per E-Mail einen Aktivierungslink zugeschickt. Nachdem er diesen angeklickt hat kann dieser direkt einen neuen Account für sich anlegen. Empfänger sieht beim Anlegen seines Accounts folgendes: 3. Schritt: Nachdem der Empfänger die Felder für seinen Account ausgefüllt und gespeichert hat, kann dieser im nächsten Schritt seine SecuPass™-Verschlüsselung aktivieren. Empfänger sieht bei seiner SecuPass™-Aktivierung folgendes: 4. Schritt: Nachdem der Empfänger seine SecuPass™-Verschlüsselung aktiviert hat, bekommt der Mitarbeiter der ursprünglichen Zustellung eine E-Mail mit einem Link, um den gesamten Zustellprozess fertigstellen zu können. Mitarbeiter (=Versender der Zustellung) sieht beim abschließenden Versenden folgendes: Wenn im ersten Schritt mehrere Empfänger angelegt sind, ist es möglich im letzten Schritt alle/mehrere noch ausstehenden Zustellungen gleichzeitig zu versenden. Welche Zustellungen bzw. Empfänger dies betrifft wird dann in Form einer Meldung übersichtlich angezeigt. SubmitBox Eine SubmitBox bietet Ihren Kunden und Partnern die Möglichkeit, Ihnen große und/oder sensible Daten über eine einfache Website zu übermitteln, ohne dass diese spezielle Software installieren oder sich Zugangsdaten merken müssen. SubmitBox Beispiel Nachfolgend die SubmitBox von Max Mustermann: SubmitBox aufrufen Jeder FTAPI-Benutzer erhält automatisch eine eigene SubmitBox. Dies ist über die URL http://<host>/submit/<username> erreichbar, wobei <host> für den Hostnamen Ihres FTAPI-Servers und <username> für den entsprechenden Benutzernamen steht. Ein Beispiel https://localhost/submit/MaxMustermann Die SubmitBox-URL ist ähnlich einer E-Mail oder Telefonnummer: Sie können diese über Ihre Website oder E-Mail-Signatur an Ihre Kunden und Partner publizieren mit dem Hinweis, dass sie große und/oder sensible Dateien direkt über diese URL an Sie zustellen können. Beispiel: Um große oder sensible Daten an mich zu übermitteln, verwenden Sie bitte folgenden Link: https://localhost/submit/MaxMustermann SubmitBox de-/aktivieren Standardmäßig ist die SubmitBox eines Benutzers bei dessen Neuanlage aktiviert. In den Benutzereinstellungen des entsprechenden Benutzers kann diese nachträglich deaktiviert werden. Ist eine SubmitBox deaktiviert, so wird bei deren Aufruf eine entsprechende Meldung angezeigt. Externe Partner und Kunden können dann keine Daten über diese SubmitBox einreichen. In der Konfiguration kann zudem die Standardeinstellung definiert werden, ob die SubmitBox von neu angelegten Benutzern aktiv oder deaktiv sein sollen. Customizing und WebUI anpassen WebUI anpassen Logo Customizing WebUI anpassen Sie können das Erscheinungsbild der FTAPI SecuTransfer Web-Oberfläche durch folgende Schritte anpassen: Öffnen Sie die css.jsp Datei die unter dem Pfad \ftapi-server\webapps\ROOT\webui\templates\css.jsp zu finden ist. In dieser Datei können Sie die Werte (Values) in den Zeilen 5-31 nach Ihrem Bedarf und Coprorate Design Vorgaben anpassen. Backup von css.jsp machen Bevor Sie die Datei css.jsp öffnen und ändern, machen Sie bitte unbedingt eine Kopie der Original als Backup. Nachdem Sie die gewünschte Änderungen vorgenommen haben, speichern Sie die geänderte css Datei. Anpassungen direkt prüfen können Sie können alle Änderungen nach dem Speichern der css.jsp Datei direkt in Ihrer FTAPI Umgebung sehen, in dem Sie den Browser einfach aktualisieren. Nachfolgend ein Beispiel für eine indviduell angepasste WebUI am Beispiel des Reiters "Übersicht": Logo Customizing Weiterhin können Sie auch Ihr eigenes Logo in der WebUI einfügen. Die gewünschte Datei einfach als logo.png in folgendem Pfad speichern (vorher eine Kopie der vorhandenen gleichnamigen Datei als Backup machen): \ftapi-server\webapps\ROOT\webui\static\resources\images\logo.png Optimale Logo-Höhe Ihr Logo sollte nicht höher als 80px sein. Web- & E-Mail-Templates FTAPI verwendet eine einheitliche Weboberfläche zur Darstellung der Benutzermasken. Eine Anpassung (Customizing) an Ihr Corporate Design und Ihr Wording ist grundsätzlich mit Kenntnissen in CSS und HTML möglich. Für eine Funktionsgarantie lassen Sie sich bitte für Anpassungen vom FTAPI Support unterstützen. Das Aussehen der von FTAPI ausgelieferten Web-UI ist hier dokumentiert und dargestellt. Web-Templates Das Aussehen der FTAPI Weboberflächen wird durch sogenannte Web-Templates festgelegt. Alle Templates und Bilder Ihrer FTAPI SecuTransfer Installation befinden sich im Verzeichnis /ftapi-server/webapps/ROOT/webui \static\resources & \templates E-Mail-Templates In FTAPI werden für verschiedene Vorgänge automatisch generierte E-Mails versendet. Das Format dieser E-Mails wird jeweils durch ein E-Mail-Template festgelegt. Die E-Mail-Templates werden beim ersten Start des FTAPI-Servers in das Verzeichnis ~/.ftapi/templates/notification kopiert. Dort können Sie grundsätzlich Anpassungen an diesen vornehmen. Standardmäßig kommt die Template-Engine Velocity zum Einsatz. Für nähere Hinweise werfen Sie bitte einen Blick in die Dokumentation zu dieser Template-Engine (http://velocity.apache.org/). Innerhalb eines Templates werden häufig implizite Objekte zur Verfügung gestellt. Welche Objekte dies sind, wird ebenfalls im jeweiligen Template beschrieben. In welchen Situationen die einzelnen Templates verwendet werden, ist im jeweiligen Template beschrieben. Bitte beachten Sie, dass Änderungen an den Templates nur durch den FTAPI-Support durchgeführt werden sollten. Falls Sie dennoch diese Templates selbst anpassen möchten, kann FTAPI hierfür keine Haftung übernehmen. Falls dadurch Probleme im Betrieb von FTAPI entstehen, sind Sie hierfür selbst verantwortlich. Download Disclaimer In FTAPI haben Sie die Möglichkeit, sich vom Empfänger einer Zustellung zuvor eine Zustimmung zu festgelegten Bedingungen einzuholen, bevor dieser den Download starten kann. Erst wenn der Empfänger den angezeigten Bedingungen durch Anklicken der Checkbox "Ich stimme zu" zustimmt, kann er den Download starten. Hierdurch können Sie auf einfache Art und Weise eine rechtliche Sicherheit herstellen. Sowohl der Zeitpunkt der Zustimmung als auch der Fingerprint des entsprechenden Disclaimer-Textes werden festgehalten und können für spätere Zwecke wieder geladen werden. Aktivieren und konfigurieren Um diese Funktion zu aktivieren, müssen Sie in der Konfiguration beim Wert ftapi.download.disclaimer.enabled einen Haken (also auf true) setzen. Über den Eintag ftapi.download.disclaimer.path geben Sie den Pfad zur Disclaimer Text-Datei an, welche den Disclaimer-Text beinhaltet, der dem Empfänger vor dem Herunterladen einer Zustellung angezeigt werden soll. Standardmäßig ist dies #{ftapi.home}/templates/download-disclaimer.txt. Eigenen Disclaimer-Text ergänzen In der Regel ist keine Anpassung dieses Pfades, jedoch die Ergänzung Ihres eigenen Disclaimer-Textes in der zuvor genannten Datei, notwendig. Präfix-Regeln Wenn Sie beim Wert ftapi.download.disclaimer.enabled einen Haken (also auf true) setzen, wird zunächst ausnahmslos für jede Zustellung dem Empfänger der Download-Disclaimer angezeigt. Dies ist allerdings nicht immer gewollt, da Sie z.B. nur für bestimmte Zustellungen einen Disclaimer anfordern möchten und für andere wiederum keinen benötigen. Hierfür können Sie den Eintrag ftapi.download.disclaimer.subject.prefixes verwenden, welcher standardmäßig zunächst leer ist. Falls Sie hier mindestens ein sogenanntes Präfix angeben, wird mit jeder Zustellung dessen Betreff mit diesem Präfix abgeglichen und der Download-Disclaimer nur dann angezeigt, falls der Betreff (genau) mit diesem Präfix beginnt. Sie können auch mehrere Präfixes definieren, indem Sie diese durch ein Komma trennen. In diesem Fall wird der Disclaimer nur dann angezeigt, wenn der Betreff mit einem dieser Präfixe beginnt. Ein Beispiel: Angenommen, Ihre Präfix-Einstellung lautet wie folgt: ftapi.download.disclaimer.subject.prefixes=[RELEASE],[UPDATE] So würden folgende Betreffzeilen dazu führen, dass beim Download der Download Disclaimer angezeigt wird: [UPDATE] Ihr Software 1.1 Update [RELEASE] Ihr Software 2.0 Release Hingegen würden die folgenden Betreffzeilen dazu führen, dass beim Download der Download Disclaimer nicht angezeigt wird: Ihr Software 1.1 Update Ihr Software 2.0 Release Benutzer importieren Sie haben in FTAPI SecuTransfer die Möglichkeit, mehrere Benutzer auf einmal zu importieren. Wechseln Sie hierfür in das Verzeichnis .ftapi/import und öffnen Sie die Datei default-users.csv. Hierbei handelt es sich um eine sogenannte CSV-Datei, welche nachfolgend beispielhaft dargestellt ist: # Username; Password; Enabled; Email; FirstName; LastName; Groups; # ----------------------------------------------------------------------------------------------------BugsBunny; {SHA}acbd; true; [email protected]; Bugs; Bunny; GROUP_EMPLOYEE; Jeder Benutzer, der in das System eingetragen werden soll, muss in einer eigenen Zeile definiert werden, wobei die einzelnen Spalten durch ein Semikolon ; voneinander getrennt sein müssen. Existiert ein Benutzer mit dem angegebenen Username bereits, so wird er nicht erneut eingetragen. Auch ein Update dieser Benutzerdaten erfolgt nicht. Nachdem Sie die Eintragungen durchgeführt haben, starten Sie den FTAPI SecuTransfer Server neu. Die aufgelisteten Benutzer werden anschließend direkt in Ihr FTAPI-System importiert und sind in der Benutzerverwaltung verfügbar. Kurze Beschreibung der einzelnen Spalten: Username (erforderlich): Der eindeutige Name des Benutzers. Existiert bereits ein Benutzer mit demselben Namen, wird der Import für diesen Benutzer übersprungen. Password (erforderlich): Das Passwort, welches für den Login verwendet werden soll. Aus Sicherheitsgründen sollten Sie hier ausschließlich codierte Passwörter angeben. Unterstützt werden die beiden Hash-Verfahren SHA. Welcher Hash-Algorithmus verwendet wurde, muss durch das Präfix {SHA} vor dem Passwort angegeben werden. Wird kein solches Präfix gesetzt, so wird davon ausgegangen, dass das Passwort im Klartext vorliegt (nicht empfohlen). Enabled (optional): Gibt an, ob der angegebene Benutzer aktiviert (true) oder deaktiviert (false) sein soll. Wird hier kein Wert angegeben, so wird der Wert true angenommen. Email (erforderlich): Die eindeutige E-Mail-Adresse des Benutzers. FirstName (optional): Der Vorname des Benutzers. LastName (optional): Der Nachname des Benutzers. Groups (erforderlich): Eine Angabe der Gruppe, die dem Benutzer zugewiesen werden soll. Hier darf immer nur genau eine und höchstwertige Gruppe angegeben werden. Hier finden Sie eine Beschreibung aller in FTAPI verfügbaren Gruppen (Account-Typen). Action Logs Zahlreiche Aktionen, die in FTAPI durchgeführt werden, werden protokolliert. Somit ist es ein Leichtes, später Auswertungen durchzuführen und z.B. verantwortliche Personen zu ermitteln. Die letzten 1000 Aktionen können direkt über die Administrations-Oberfläche im Menüpunkt Logs -> Aktionen eingesehen werden. Nachfolgend ein Beispiel: Benötigen Sie hingegen alle Aktionen, so finden Sie diese in der verwendeten SQL-Datenbank in der Tabelle ActionLog. FAQ (1.2) Installation Ich bekomme in der Konsole die Meldung, dass keine JAVA_HOME bzw. JRE_HOME Variable definiert ist. Was ist zu tun? Beim FTAPI Serverstart kommt ein Meldung "socket bind excpetion". Wie kann ich dies beheben? Ein Port wie z.B. 8080 ist bei mir bereits belegt. Wie kann ich FTAPI auf einem anderen betreiben? Was muss man einen Mailserver für das Relaying einstellen, damit E-Mails vom FTAPI Server darüber verschickt werden? Linux Ich möchte den FTAPI-Server in einer grafischen Linuxumgebung starten. Was ist zu tun? Ich kann meinen FTAPI-Server unter Linux nicht als ROOT ausführen. Welche andere Möglichkeit gibt es? Konfiguration Ich möchte eine externe Datenbank (z.B. MySQL) für die Metadaten anbinden. Was ist zu tun? Ich möchte den Ort, an dem die Binärdaten abgelegt werden ändern. Was ist zu tun? Ich möchte das alle URL-Aufrufe immer per HTTPS erfolgen bzw. dorthin weitergeleitet werden. Wie und wo stelle ich das ein? Ich möchte den Ort für das .ftapi Verzeichnis ändern. Was ist zu tun? Meine Base-URL soll mit einer Erweiterung wie z.B. /ftapi-server aufhören. Wie kann ich das einstellen? Wie finde ich die Version meines eingesetzten Apache Tomcat heraus? Ich habe einen Proxy-Server in Betrieb. Wie kann ich FTAPI damit ausführen? WebUI In meinem Internet Explorer (ab Version 8) öffnen sich immer neue Fenster. Wie kann ich das auf neue Registerkarten/Tabs umstellen? Installation Ich bekomme in der Konsole die Meldung, dass keine JAVA_HOME bzw. JRE_HOME Variable definiert ist. Was ist zu tun? Wenn Sie beim Starten von FTAPI über die Konsole die folgende Meldung bekommen, dann ist an Ihrem Server keine Java Umgebungsvariable gesetzt. "Neither the JAVA_HOME nor the JRE_HOME environment variable is defined. At least one of these environment variable is needed to run this program." Legen Sie hierzu in Ihren Systemeinstellungen eine passende Umgebungsvariable an. Bei Einsatz von Java JRE (Runtime Environment) eine JRE_HOME (bei Verwendung des JDKs eine JAVA_HOME). Als Variablen-Wert verwenden Sie die Pfadangabe zur jeweiligen Java-Installation. Zu Beispiel bei einem Windows-Server JRE_HOME=C:\Programme\Java\jre6 Konsole erneut öffnen Nach dem Anlegen einer neuen Umgebungsvariable müssen Sie die - eventuell noch offene Konsole/Eingeabeaufforderung bzw. Ihre Explorer erneut öffnen, damit die neue Umgebungsvariable geladen wird. Beim FTAPI Serverstart kommt ein Meldung "socket bind excpetion". Wie kann ich dies beheben? Die Meldung "java.net.BindException: The socket name is already in use." oder "Error initializing endpoint. java.lang.Exception: Socket bind failed" erscheint dann, wenn der im FTAPI Server hinterlegte Port (standardmäßig 443) auf dem Server bereits in Verwendung/belegt ist. FTAPI SecuTransfer Port einfach umstellen Für eine schnelle Umstellung auf einen anderen Port, können Sie die Datei server.xml durch die bereits mit ausgelieferte Datei server_https_port8443.xml ersetzen. Dazu die vorhandene server.xml umbenennen (z.B. in server_https_port443.xml) und danach die neue mit Port 8443 einfach als server.xml speichern. Beim nächsten FTAPI Serverstart, wird dieser auf dem Port 8443 ausgeführt, welcher in der Regel nicht belegt ist. Ein Port wie z.B. 8080 ist bei mir bereits belegt. Wie kann ich FTAPI auf einem anderen betreiben? Falls für den Betrieb von FTAPI ein Port bereits belegt/andersweitig verwendet wird, kann dieser auf einen beliebigen freien Port umgestellt werden, 1. Den FTAPI-Server stoppen 2. In der FTAPI Konfiguration den Eintrag *ftapi.base.url=http://localhost:8080* suchen und entsprechend dem neuen Port anpassen (z.B. statt 8080 den privilegierten Port 443 eintragen) 3. Damit auch der Tomcatserver den gleichen Port nutzt, muss noch die Datei /ftapi-server/conf/server.xml angepasst werden. Darin den folgenden Eintrag mit port="8080" suchen und auf den neuen Port (z.B. 443) anpassen: <Connector port="80" protocol="HTTP/1.1" connectionTimeout="20000" redirectPort= "443" /> 4. Den FTAPI-Server starten 5. (Optional: Diesen neuen Port in Ihrer Firewall für Zugriffe von extern freischalten, was in der Regel bei 443 bereits der Fall sein sollte.) Was muss man einen Mailserver für das Relaying einstellen, damit E-Mails vom FTAPI Server darüber verschickt werden? Die genauen Einstellungen hängen von dem jeweils eingesetzten Mailserver und dessen Relay-Möglichkeiten ab. Grundsätzlich muss der Mailserver so eingestellt sein, dass diesem als Relay-Server erlaubt ist, E-Mails vom FTAPI-System (als Remoteserver mit IP-Adresse eintragen) verschicken zu dürfen. Linux Ich möchte den FTAPI-Server in einer grafischen Linuxumgebung starten. Was ist zu tun? Für die Installation und Einrichtung unter einem Linux-System werden nachfolgend die Schritte und Befehle beschrieben, die man per Terminal und/oder Oberfläche benötigt; diese Punkte sind als Unterschritte - speziell für Linux-Umgebungen - zum Punkt 2. bei Installation zu verstehen: 1. Terminal/Konsole öffnen und in das entpackte FTAPI Verzeichnis wechseln 2. Dort die Berechtigungen der folgenden Ordner mit chmod +x *.sh auf ausführbar setzen /ftapi-server/ und /ftapi-server/bin/ (Alternativ kann dies in einigen Linuxumgebungen auch über die grafische Oberfläche geschehen, indem man in den entsprechenden Dateieigenschaften den Haken beim Zugriffsrecht "Datei als Programm ausführen" setzt!) 3. Anschließend die Datei /ftapi-server/ftapi.sh ausführen (Befehl in Konsole lautet ./ftapi.sh start) 4. Das Terminalfenster offen lassen, da der Server nochmal gestoppt und neu gestartet werden muss - dann weiter mit Schritt 3. in der Installation Anzeige versteckter Ordner und Dateien in grafischer Linux-Oberfläche Um den .ftapi Ordner im Userverzeichnis angezeigt zu bekommen folgende Hinweise: (Open) Suse KDE: Dolphin (Dateiexplorer) unter Ansicht/Versteckte Dateien anklicken Ubuntu: Dateibrowser (bzw. File Browser) unter Bearbeiten/Einstellungen "Show hidden and backup files" Ich kann meinen FTAPI-Server unter Linux nicht als ROOT ausführen. Welche andere Möglichkeit gibt es? Wenn Sie keine Möglichkeit bzw. Berechtigung haben, Ihren FTAPI-Server in einer Linuxumgebung nicht als ROOT auszuführen, muss der Port, unter dem der FTAPI-Server betrieben wird, auf einen nicht privilegierten (<1023) umgestellt werden. Hierfür können Sie ganz einfach die mitausgelieferte Datei server_https_Port8443.xml im Verzeichnis /ftapi-server/conf/ verwenden. Dazu muss die vorhandene Datei server.xml durch diese Datei ersetzen. Bitte machen Sie sich hierbei immer eine Sicherheitskopie der ursprünglichen Dateien! Anschließend ist Ihr FTAPI Server im Browser unter https://localhost:8443 erreichbar - abschließend dann noch die FTAPI Base-URL in der Konfiguration im Bereich Grundeinstellungen ebenfalls auf den Port 8443 anpassen und speichern. Konfiguration Ich möchte eine externe Datenbank (z.B. MySQL) für die Metadaten anbinden. Was ist zu tun? Externe MySQL Datenbank anbinden Beachten Sie hierzu bitte die Informationen unter [Metadaten (Datenbank)]! Ich möchte den Ort, an dem die Binärdaten abgelegt werden ändern. Was ist zu tun? Bei Verwendung des LocalDiskStorage (Standard) werden die Binärdaten im Verzeichnis ~/.ftapi/storage abgelegt. Um diesen Speicherort zu ändern, sind folgende Schritte notwendig: 1. Den FTAPI-Server stoppen 2. In der Konfiguration den Eintrag ftapi.storage.home=${ftapi.home}/storage suchen und entsprechend dem neuen Verzeichnis anpassen (z.B. ftapi.storage.home=/data) 3. Den Inhalt von ${ftapi.home}/storage physisch in das neue Verzeichnis (z.B. /data) verschieben 4. Den FTAPI-Server wieder starten Binärdaten verschieben Beachten Sie hierzu auch die Informationen unter [Binärdaten (Storage)]! Ich möchte das alle URL-Aufrufe immer per HTTPS erfolgen bzw. dorthin weitergeleitet werden. Wie und wo stelle ich das ein? Die notwendigen Einstellungen für ein Redirect von http Anfragen auf eine gesicherte https URL ist HIER erläutert. Ich möchte den Ort für das .ftapi Verzeichnis ändern. Was ist zu tun? Standardmäßig wird der .ftapi-Ordner direkt unterhalb Ihres ftapi-server Verzeichnisses angelegt und genutzt. Man kann diesen Pfad auch fix an einem anderen Ort angeben. In Windows-Umgebungen ist hierfür die folgende Zeile in der Datei /ftapi-server/ftapi-start.bat anzupassen: set CATALINA_HOME=%cd% set JAVA_OPTS="-Dftapi.home=%CATALINA_HOME%/../.ftapi" in z.B. set JAVA_OPTS="-Dftapi.home=D:/.ftapi" Damit würde der .ftapi-Ordner unterhalb des Laufwerks D: angelegt und genutzt werden. Das gleiche ist somit auch mit Netzlaufwerken und Freigaben möglich. Bereits installierter Dienst/Daemon Falls Sie den FTAPI Tomcat Server bereits als Dienst/Daemon installiert haben, müssen Sie diesen entpsrechend anpassen und ggfs. erneut installieren - inkl. der geänderten Pfadangabe. Meine Base-URL soll mit einer Erweiterung wie z.B. /ftapi-server aufhören. Wie kann ich das einstellen? Wenn Sie möchten, dass Ihre Base-URL mit einer speziellen Erweiterung wie z.B. /ftapi-server endet, können Sie die FTAPI war-Datei entsprechend umbenennen. 1. Den FTAPI-Server stoppen 2. In der Konfiguration den Eintrag *ftapi.base.url=https://localhost:443* suchen und am Ende einfach das /ftapi-server hinzufügen (Alternativ können Sie auch einen andere Bezeichnung einfügen - fragen Sie hierzu bitte Ihren FTAPI-Support) 3. Benennen Sie in Ihrem FTAPI-Server-Verzeichnis /ftapi-server/webapps die ausgelieferte Datei ROOT.war in ftapi-server.war um. (Löschen Sie im gleichen Verzeichnis noch den kompletten Ordner ROOT - nur falls bereits vorhanden.) 4. Den FTAPI-Server starten Bitte bedenken Sie, dass Sie bei Updates diese Umbenennung ebenfalls immer durchführen müssen! Wie finde ich die Version meines eingesetzten Apache Tomcat heraus? Öffnen Sie hierzu die Logdatei /ftapi-server/logs/catalina.DATUM.log. Hier sollten Sie eine Ziel ähnlich dem folgenden vorfinden: INFO: Starting Servlet Engine: Apache Tomcat/6.0.29 Eine andere Möglichkeit besteht darin, die Jar-Datei ftapi-server/lib/catalina.jar mit einem üblichen Zip-Programm (z.B. WinZip, 7-zip, unzip) zu entpacken und dort dann die darin befindliche Datei org/apache/catalina/util/ServerInfo.properties zu öffnen. Hier sollten Sie eine Zeile ähnlich der folgenden vorfinden: server.info=Apache Tomcat/6.0.29 Ich habe einen Proxy-Server in Betrieb. Wie kann ich FTAPI damit ausführen? Selbstverständlich kann FTAPI mit einem Proxy-Server betrieben werden. Falls Sie einen Proxy-Server bertreiben, empfehlen wir Ihnen, sich für Ihre FTAPI URL eine Ausnahme in Form von ftapi.ihre-domain.com* in Ihren Proxy-Gruppenrichtlinien einzutragen. Aufgrund der segmentierten Datenübertragung von FTAPI ist ein Proxy eher kontraproduktiv, wenn es u.a. um das Cachen von häufig angefragten Daten geht. Eine Authentifizierung gegenüber Proxy-Servern wird aus diesem Grund von FTAPI derzeit nicht unterstützt. Grundsätzlich ist FTAPI auch mit dazwischengeschaltetem Proxy voll einsatzfähig, jedoch ist die Performance teilweise beinträchtigt. Dies hängt primär auch vom Zugriffsort (Server direkt, Intranet oder Internet) auf den FTAPI Server ab. WebUI In meinem Internet Explorer (ab Version 8) öffnen sich immer neue Fenster. Wie kann ich das auf neue Registerkarten/Tabs umstellen? Damit bei Links auf der FTAPI-Weboberfläche neue Registerkarten anstelle von neuen Fenstern aufgehen, müssen Sie hierzu eine Standard-Einstellung im IE8 verändern. Im IE-Menü den Punkt Extras - Internetoptionen öffnen; dort dann im Bereich Registerkarten die Einstellungen öffnen und den Radiobutton "beim Auftreten von Popups" auf "Internet Explorer entscheiden lassen ..." setzen. Apache Tomcat als Windows Dienst Apache Tomcat als Windows Dienst betreiben Die wichtigsten Vorteile von Tomcat als Windows Dienst sind Reduziertes Risiko eines Versehentlichen Schließens der FTAPI Tomcat Instanz; wenn Sie Tomcat manuell starten, öffnet sich ein Konsolenfenster welches dauerhaft offen bleibt. Das Risiko, dass jemand dieses Fenster und damit FTAPI komplett aus Versehen schließt, ist hierbei recht hoch. Automatisiertes Hochfahren (Recovery) des Tomcat FTAPI Dienstes nach einem Serverneustart. Verbesserte Problembehandlung aufgrund von zusätzlichen Logausgaben des Servers in Dateiformat. ApacheTomcat als Windows-Dienst für FTAPI einrichten Um den Apache Tomcat6 Dienst zu installieren, werden folgende zwei Dateien auf Ihrem FTAPI System benötigt: ftapi-service-install.bat ftapi-service-uninstall.bat ftapi-service-start.bat ftapi-service-stop.bat Alle Dateien befinden sich im Verzeichnis \ftapi-server; falls diese bei Ihnen nicht vorhanden sein sollten, wenden Sie sich bitte an den FTAPI Support. Führen Sie über die Eingabeaufforderung (muss mit Administratorrechten geöffnet sein) im ftapi-server Verzeichnis die folgende Datei aus: ftapi-service-install.bat Es sollten in der Eingabeaufforderung folgende Zeilen (mit Ihren entsprechenden Pfadangaben) erscheinen: Installing the service 'Tomcat6' ... Using CATALINA_HOME: "C:\FTAPI\ftapi-server" Using CATALINA_BASE: "C:\FTAPI\ftapi-server" Using JAVA_HOME: "C:\Program Files\Java\jdk1.6.0_18" Using JVM: "C:\Program Files\Java\jdk1.6.0_18\jre\bin\server\jvm.dll" The service 'Tomcat6' has been installed. Weitere Info http://tomcat.apache.org/tomcat-6.0-doc/windows-service-howto.html#Installing_services In LINUX-Umgebungen als Hintergrundprozess einrichten: http://tomcat.apache.org/tomcat-6.0-doc/setup.html#Unix_daemon Apache Tomcat Windows-Dienst deinstallieren Nachfolgend wird kurz erläutert, wie Sie den Apache Tomcat6 Dienst deinstallieren. Es wird hierbei NUR der Windows-Dienst entfernt - keine sonstigen Dateien! Führen Sie in der Eingabeaufforderung (muss mit Administratorrechten geöffnet sein!) aus Ihrem ftapi-server Verzeichnis heraus folgenden Aufruf aus: ftapi-service-uninstall.bat Der Apache Tomcat6 Dienst wird zuvor automatisch gestoppt und dann vollständig deinstalliert. Bei erfolgreicher Deinstallation des Dienstes wird in der Eingabeaufforderung folgende Zeile ausgegeben: The service 'Tomcat6' has been removed. Apache Tomcat Windows-Dienst Einstellungen ändern Wenn Sie an Ihrem ApacheTomcat6 Dienst Änderungen vornehmen möchten (z.B. unter einem anderen Benutzer ausführen, Pfade anpassen, o.ä.), gehen Sie wie folgt vor: Änderung des Dienst-Starttyps: In den Dienst-Eigenschaften (mit Admin-Rechten) kann der Starttyp (manuell, automatisch, usw.) jederzeit angepasst und geändert werden. Änderung des Anmelde-Kontos: Direkt in den Windows-Diensten (Aufruf über services.msc) den Apache Tomcat6 Dienst bearbeiten und die Anmeldeinformationen eines bestimmten Benutzers, unter dem dieser Dienst für FTAPI ausgeführt werden soll (i.d.R. Administrator), eintragen. Pfadangabe des Tomcat-Verzeichnisses ändern: Der Pfad kann nicht direkt im Dienst angepasst werden - es wird empfohlen, den Dienst zuvor komplett zu deinstallieren und beim Neueinrichten die CATALINA_HOME Variable in der Datei ftapi-service-install.bat entsprechend dem neuen/geänderten Pfad anzugeben. Standardmäßig ist der Pfad zum Tomcat BIN-Verzeichnis so gesetzt, dass dieser sich direkt unterhalb von \ftapi-server\ befindet. Der Standardpfad lautet set CATALINA_HOME=%cd% - dies setzt CATALINA_HOME auf den Beispielordner C:\FTAPI\ftapi-server\ Pfadangabe des .ftapi-Verzeichnisses ändern: Der Pfad kann nicht direkt im Dienst angepasst werden - es wird empfohlen, den Dienst zuvor komplett zu deinstallieren und beim Neueinrichten die FTAPI_HOME Variable in der Datei ftapi-service-install.bat entsprechend dem neuen/geänderten Pfad anzugeben. Standardmäßig ist der Pfad zum .ftapi-Verzeichnis so gesetzt, dass der Order \.ftapi\ auf der gleichen (Hierarchie-)Ebene wie auch \ftapi-server\ angesiedelt ist. Der Standardpfad lautet set FTAPI_HOME=%CATALINA_HOME%/../.ftapi - dies setzt FTAPI_HOME auf den Beispielordner C:\FTAPI\.ftapi Redirect HTTP zu HTTPS einrichten Folgende Einstellungen sind notwendig, damit alle URL-Aufrufe - sowohl HTTP wie auch HTTPS - immer über die SSL gesicherte FTAPI Base-URL aufgerufen werden. Im folgenden Beispiel erfolgt die gesicherte Kommunikation immer über den Port 443, da dieser ein Standard-Port ist, der auch in einer URL nicht explizit angegeben werden muss. Es müssen insgesamt die drei folgenden Dateien angepasst werden, damit der Tomcat-Redirect von ungesicherten http Aufrufen auf https funktioniert. server.xml web.xml Überprüfung FTAPI Base-URL in Konfiguration server.xml In der Datei server.xml - befindet sich im Ordner /ftapi-server/conf/ - muss folgendes stehen: <Connector port="80" protocol="HTTP/1.1" connectionTimeout="20000" redirectPort="443" /> UND <Connector port="443" protocol="HTTP/1.1" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" keystoreFile="../.ftapi/security/ftapi.com.jks" keyAlias="ftapi-server" keypass="changeit" /> Dies bewirkt, dass alle Webanwendungen unter %CATALINA_HOME%\webapps nur noch verschlüsselt erreicht werden können! (ein Aufruf auf http://localhost:80 oder http://localhost wird automatisch immer zu https://localhost:443 weitergeleitet) web.xml In der Datei web.xml - ebenfalls im Ordner /ftapi-server/conf/ - ist der folgende Text ab und inklusive der Zeile <security-constraint> nach den zuvor hier genannten Einträgen zu ergänzen: <web-app xmlns="http://java.sun.com/xml/ns/javaee" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http:/java.sun.com/xml/ns/javaee/web-app_2_5.xsd" version="2.5"> <security-constraint> <web-resource-collection> <web-resource-name>Secure Apps</web-resource-name> <url-pattern>/*</url-pattern> </web-resource-collection> <user-data-constraint> <transport-guarantee>CONFIDENTIAL</transport-guarantee> </user-data-constraint> </security-constraint> Im FTAPI Server Verzeichnis befinden sich insgesamt zwei web.xml Dateien! Die oben genannten Anpassungen sind alle in der Datei /ftapi-server/conf/web.xml durchzuführen bzw. werden bereits so ausgeliefert. Die zweite und NICHT zu ändernde Datei befindet sich unter /ftapi-server/webapps/ROOT/WEB-INF/web.xml Überprüfung FTAPI Base-URL in Konfiguration Abschließend noch in der Konfiguration überprüfen bzw. einstellen, dass die FTAPI-Base-URL ebenfalls als HTTPS und mit dem gleichen Port (hier 443) angegeben ist: Nachdem der FTAPI SecuTransfer Server neugestartet wurde, findet nun selbst beim Aufruf von http://localhost:80 automatisch eine Weiterleitung direkt zu https://localhost:443 statt. Changelog Details zum Changelog (Verbesserungen, Neuerungen und Überarbeitungen) zur FTAPI Version 1.2 ist unter http://support.ftapi.com zu finden. Wir freuen uns über Ihr Feedback!