Handbuch FTAPI SecuTransfer Version 1.2

Handbuch
FTAPI® SecuTransfer
Version 1.2
2012
FTAPI® Software GmbH
Stefan-George-Ring 24
81929 München
Ticket-System:
E-Mail:
Telefon:
Webseite:
http://support.ftapi.com
[email protected]
+49 (0)89 230 6954-0
www.ftapi.com
1. FTAPI SecuTransfer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.1 Quick Start Guide . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.2 Installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.3 Konfiguration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.3.1 Pfade und DNS-Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.3.2 Datenablage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.3.2.1 Metadaten (Datenbank) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.3.2.2 Binärdaten (Storage) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.3.3 Account-Typen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.3.4 SMTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.3.5 Applet Konfigurationsmöglichkeiten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.3.6 HTTPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.4 Web-Interface (WebUI) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.5 LDAP und Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.6 SecuPass Aktivierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.7 SubmitBox . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.8 Customizing und WebUI anpassen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.9 Web- & E-Mail-Templates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.10 Download Disclaimer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.11 Benutzer importieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.12 Action Logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.13 FAQ (1.2) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.13.1 Apache Tomcat als Windows Dienst . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.13.2 Redirect HTTP zu HTTPS einrichten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.14 Changelog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2
2
2
4
5
6
7
10
12
12
14
18
21
27
34
37
38
40
41
41
42
43
47
48
49
FTAPI SecuTransfer
Diese Dokumentation bezieht sich auf alle FTAPI SecuTransfer Editionen 1.2 und ist vor allem für IT-Administratoren und
Integratoren des Systems bestimmt.
Falls bestimmte Bereiche nicht für alle genannten Versionen gültig sind, ist dies zu deren Beginn vermerkt!
Quick Start Guide
Dies Kurzanleitung dient der schnellen und einfachen Installation und (Grund-)Einrichtung Ihres FTAPI SecuTransfer Servers.
Eine ausführliche Anleitung finden Sie im Anschluss daran.
Installation FTAPI SecuTransfer
Versichern Sie sich vor Beginn der Installation von FTAPI SecuTransfer, dass Sie Java 1.6 installiert haben.
Laden Sie die FTAPI SecuTransfer Version herunter und entpacken Sie die Datei ftapi-professional-1.2.0.zip in ein Verzeichnis Ihrer
Wahl.
Wechseln Sie in den Ordner \ftapi-server und führen Sie dort die Datei ftapi-start.bat (Windows) aus bzw. geben in der Konsole
ftapi.sh start (Linux/Mac) ein. Warten Sie einige Sekunden bis der Server startet (je nach Umgebung 5-30 Sek).
Öffnen Sie in Ihrem Browser die URL https://localhost:443, um den FTAPI Installation-Wizard zu starten. Durchlaufen Sie nun alle
Schritte des Wizards klicken Sie bei jedem Schritt auf den "Weiter"-Knopf und füllen Sie alle restlichen Felder aus. Um die Installation und Einrichtung
abzuschließen klicken Sie beim letzten Schritt auf den "Fertig"-Knopf.
Die Lizenzdatei befindet sich im Hauptordner Ihrer Installation (\ftapi-professional-1.2.0) oder wurde Ihnen von Ihrem FTAPI Vertrieb
zugeschickt.
Bestätigen Sie die Anerkennung der angezeigten Lizenzbedingungen, um das FTAPI SecuTransfer System verwenden zu dürfen.
Melden Sie sich mit dem Passwort und Benutzernamen "admin" an (bzw. dem Passwort, welches Sie während des
Installations-Wizards vergeben haben).
Weitere Informationen zur Einrichtung und Verwendung von FTAPI SecuTransfer entnehmen Sie bitte den weiteren Seiten des Handbuchs.
Installation
Nachfolgend erfahren Sie, wie Sie in wenigen Schritten FTAPI SecuTransfer für einen ersten Testlauf installieren und konfigurieren können.
Voraussetzungen
Um den FTAPI SecuTransfer Server betreiben zu können, benötigen Sie einen entsprechend leistungsfähigen Rechner.
Unsere minimale Empfehlung liegt bei mind. 2 Ghz Prozessor, mind. 2 GB freier RAM und mind. 50 GB freier Festplattenspeicher, sowie
einer ausreichend schnellen Netzwerkanbindung.
Darüber hinaus müssen Sie sicherstellen, dass auf dem Server die Java Version 1.6 oder höher (JRE ist ausreichend) installiert haben.
Diese Information können Sie durch Eingabe des folgenden Befehls in Ihre Konsole/Terminal ermitteln:
java -version
Anschließend sollten Sie eine Ausgabe ähnlich der folgenden erhalten:
java version "1.6.0_21"
Java(TM) SE Runtime Environment (build 1.6.0_21-b07)
Java HotSpot(TM) Client VM (build 17.0-b17, mixed mode, sharing)
Sollten Sie eine Java-Version kleiner als 1.6 installiert haben oder der Befehl nicht gefunden werden, dann installieren Sie bitte eine aktuelle
Java-Version auf ihrem System. Diese können Sie kostenlos unter folgender URL beziehen:
JRE unter http://www.java.com oder http://java.sun.com/j2se
Prüfen Sie zusätzlich, ob eine entsprechende JRE_HOME Umgebungsvariable gesetzt ist.
OpenJDK
Die Java-Variante OpenJDK wird derzeit für den Betrieb von FTAPI nicht offiziell supported, ist aber grundsätzlich
verwendbar!
Proxy-Server
Der Betrieb mit einem Proxy-Server ist nicht empfohlen; richten Sie bitte für Ihre FTAPI URL eine Proxy-Ausnahme ein.
Hinterlegen Sie hierzu eine Ausnahme für ftapi.ihre-domain.com* in Ihren Gruppenrichtlinien. Details entnehmen Sie
unseren FAQs.
Schritt 1 - Entpacken und installieren
Nachdem Sie das FTAPI-Software-Paket heruntergeladen haben, entpacken Sie dieses bitte zunächst in ein Verzeichnis Ihrer Wahl.
Nun sollten Sie im entpackten FTAPI Software Paket unter anderem das Verzeichnis "ftapi-server" vorfinden.
Schritt 2 - Server starten
Wechseln Sie in das Verzeichnis "ftapi-server". In diesem Verzeichnis befindet sich eine gebündelte Version von FTAPI mit dem
Servlet-Container Apache Tomcat. Starten Sie nun direkt FTAPI, indem sie einfach das Skript ftapi-start.bat (unter Windows) bzw. ftapi.sh
start (unter Linux) ausführen.
FTAPI-Server auf Linux ausführen
Im Terminal/Konsole die Berechtigung der folgenden Ordner mit chmod +x *.sh auf "ausführbar" setzen:
/ftapi-server/ und
/ftapi-server/bin/
Eine spezielle Anleitung zum Einrichten unter Linux mittels einer grafischen Oberfläche finden Sie in unseren FAQs!
FTAPI-Server Neustart
Für einen Server-Neustart müssen Sie diesen zuvor über die Datei ftapi-stop.bat (unter Windows) bzw. ftapi.sh stop (unter
Linux/Mac) herunterfahren, oder das Tomcat-Eingabeaufforderungsfenster (unter Windows) einfach schließen. Erst
nachdem der Server vollständig gestoppt wurde, kann dieser (wie zu Beginn von Schritt 2 erläutert) neu gestartet werden.
FTAPI ohne Tomcat
FTAPI wird zwar mit dem Servlet-Container Apache Tomcat ausgeliefert, allerdings können Sie FTAPI auch in einem
anderen Servlet-Container betreiben. Kopieren Sie hierfür einfach die Datei ftapi-server/webapps/ROOT.war in Ihren
gewünschten Servlet-Container. FTAPI wurde derzeitig nur auf Apache Tomcat ausführlich getestet. Für die Lauffähigkeit
auf anderen Servlet-Containern kann keine Garantie übernommen werden.
Schritt 3 - Browser starten
Nachdem der Server erfolgreich gestartet wurde, öffnen Sie Ihren Web-Browser und geben Sie die Adresse https://localhost:443 ein und
folgen Sie den dortigen Anweisungen des Installations-Wizards.
SMTP-Sever konfigurieren
In der FTAPI Weboberfläche können im Bereich Konfiguration alle SMTP-Einträge angepasst werden:
ftapi.email.charset=ISO-8859-1
ftapi.email.from.address=notify@localhost
ftapi.email.from.name=notify@localhost
ftapi.email.smtp.host=
ftapi.email.smtp.port=25
ftapi.email.smtp.username=
ftapi.email.smtp.password=
ftapi.email.smtp.useSSL=false
ftapi.email.smtp.useTLS=false
Geben Sie hier bitte die Einstellungen zu Ihrem E-Mail-Server ein und speichern Sie anschließend ab.
Basis-URL konfigurieren (optional)
Sollte Sie FTAPI nur lokal testen wollen, so müssen Sie diese Einstellung nicht durchführen. Möchten Sie allerdings mit FTAPI SecuTransfer
auch an andere Empfänger Dateien versenden und diesen den Zugriff auf das FTAPI-System ermöglichen, so müssen Sie noch die FTAPI
Basis-URL einstellen, welche Sie ebenfalls in der Konfiguration im Bereich Basiseinstellungen finden:
ftapi.base.url=https://localhost:443
Ändern Sie diese URL auf diejenige URL ab, unter welcher Ihr FTAPI-Server "von außen" erreichbar ist. Beispiel:
https://ftapi.ihre-domain.com:443.
Wie Ihre Basis-URL lautet, hängt davon ab, wie Sie FTAPI in Ihr Netzwerk eingebunden haben. Darüber hinaus kann es
auch notwendig werden, den Port 443 entsprechend anzupassen. Diese Einstellungen können Sie in der Datei
ftapi-server/conf/server.xml vornehmen. Für tiefergehende Informationen zu dieser Konfigurationsdatei werfen Sie bitte
einen Blick in die offizielle Apache Tomcat Dokumentation: http://tomcat.apache.org/tomcat-6.0-doc/index.html
Beachten Sie, dass Sie Ihre Firewall ggfs. für einen anderen Port einstellen müssen, damit dieser von extern erreichbar ist!
Storage-Größe konfigurieren (optional)
Im Auslieferungszustand ist der FTAPI SecuTransfer Server in der Konfiguration auf 10GB maximales Speichervolumen eingestellt. Sie
können diesen Wert- je nach Ihren Gegebenheiten - beliebig anpassen oder mit "-1" auf unendlich setzen:
# The max size of all files together in this storage
Default: 10240000000 (10GB), For no quota at all set to: \-1
ftapi.storage.quota=10240000000
Merh Details hierzu erfahren Sie im Bereich der Konfiguration unter Binärdaten (Storage)!
Lizenzdatei aktivieren und -bedingungen zustimmen
Wählen Sie im Installation-Wizard die Lizenzdatei aus, welche Sie vom FTAPI Vertrieb erhalten haben und aktivieren Sie diese, indem Sie
auf den Button "Lizenzdatei laden" drücken.
Nach dem Laden Ihrer Lizenzdatei werden Sie im nächsten Schritt aufgefordert, die angezeigten Lizenzbedingungen (Disclaimer) zu
akzeptieren, um das FTAPI SecuTransfer System verwenden zu dürfen.
Schritt 4 - Erstmaliger Login
Starten Sie zum Einlesen der E-Mail Konfiguration den FTAPI Server neu (siehe Schritt 2. - Server starten)
Nach der Konfiguration Ihres SMTP-Servers und dem Aktivieren Ihrer vom FTAPI Vertrieb zugesandten Lizenzdatei, stehen Sie auf der
FTAPI Login-Seite.
Für Ihren erstmaligen Login verwenden Sie bitte die folgenden Daten:
Benutzername: admin
Passwort:
admin (bzw. das beim Installation-Wizard von Ihnen vergebene Administratorpasswort)
Konfiguration
FTAPI SecuTransfer bietet flexible und umfangreiche Konfigurationsmöglichkeiten, die sich in verschiedene Bereiche zu den einzelnen
Themengebieten (z.B. Basiseinstellungen, LDAP/AD Anbindung, usw.) unterteilen.
Durch diese Flexibilität lässt sich FTAPI optimal an Ihre Bedürfnisse und Einsatzgebiete anpassen.
Anpassen von Konfigurationswerten
Der zentrale Konfigurationspunkt von FTAPI findet man in der Weboberfläche im Reiter Konfiguration (nur als Administrator angezeigt).
Alle bestehenden Einstellungen können hier direkt im Browser geändert und gespeichert werden. Diese sind hierzu in verschiedene Bereiche
unterteilt, die je nach Bedarf auf- und zugeklappt werden können.
Bitte beachten Sie, dass bei manchen Änderungen an den Konfigurationswerten das Serversystem neu gestartet werden
muss. Dies ist bei den entsprechenden Bereichen textlich erwähnt.
Pfade und DNS-Server
Grundsätzlich sollte Ihr FTAPI-Server über eine einheitliche URL sowohl von Extern (Lieferanten und sonstige Firmen) wie auch von Intern
(Mitarbeiter und Partner im gleichen Netzwerk) erreichbar sein. Um dies zu ermöglichen, muss für die internen Clients ein spezieller Eintrag
in Ihrem DNS-Server vorgenommen werden.
Es wird empfohlen, sich für FTAPI eine eigene Subdomain, wie z.B. ftapi.ihre-domain.com, als feste URL einzurichten.
Je nachdem, über welche URL FTAPI über das Internet erreichbar ist, kann es notwendig werden, diesen Pfad in der Konfiguration
anzupassen, um sicher zu stellen, dass diese URL z.B. auch in E-Mail-Benachrichtigungen und Reports korrekt wieder gegeben wird.
Base-URL
Die Einstellungen für alle Pfadangaben finden Sie in der Weboberfläche in der Konfiguration.
ftapi.base.url
Dies ist die Basis-URL, die z.B. in E-Mail-Benachrichtigungen verwendet wird. Sie muss über das Internet erreichbar sein, falls Sie mit FTAPI
auch Daten mit Partnern und Kunden austauschen möchten und dies über das Internet geschehen soll.
Die Standardeinstellung lautet:
ftapi.base.url=https://localhost:443
Einstellungen am DNS-Server
1. Im ersten Schritt im DNS-Server eine neue Forward-Lookupzone einrichten.
FTAPI Base URL
Die Forward-Lookupzone muss genau dem Eintrag zur ftapi.base.url in der FTAPI Konfiguration entsprechen!
Wenn Ihre FTAPI URL beispielsweise http://ftapi.ihre-domain.com lautet, dann muss die Forward-Lookupzone
hierfür ftapi.ihre-domain.com lauten.
2. Im zweiten Schritt dann dort einen Host (A)-Eintrag einrichten, der auf den FTAPI-Server verweist
(in den nachfolgenden Screenshots verweist ihre-domain-ftapi.de auf den Server mit de festen IP-Adresse 192.168.89.100).
Die Einstellungen sehen dann wie folgt aus:
Diese Einstellungen führen dann zu dem gewünschten Ergebnis, dass alle Clients im internen Netz das FTAPI-System direkt auch von intern
ansprechen.
Überprüfen der Einstellungen
Die Korrektheit der Zuordnungen und Weiterleitungen kann auf einem internen Client über die Eingabeaufforderung mit den folgenden
Befehlen überprüft und validiert werden:
ping ftapi.ihre-domain.de
Diese Zieladresse sollte grundsätzlich erreichbar sein
nslookup ftapi.ihre-domain.de
Es sollte die zuvor eingestellte IP-Adresse (im obigen Beispiel 192.168.89.100) und der dazugehörige interne Servername angezeigt
werden
Testen der Erreichbarkeit
Grundsätzlich sollte die Erreichbarkeit des FTAPI-Servers von folgenden Orten aus getestet werden:
vom (FTAPI) Server direkt,
von einem internen Client und
von einem externen Client.
Es wird empfohlen, von allen Orten aus zu prüfen, ob
nach Aufruf der FTAPI URL (standardmäßig https://ftapi.ihre-domain.com:443) der FTAPI Loginscreen erscheint,
man sich erfolgreich (als Admin oder Benutzer) am FTAPI System anmelden kann,
das Java Applet ("Neue Zustellung" Button) vollständig geladen wird und
man eine Sendung erfolgreich verschicken kann.
Proxy-Server
Beim Betrieb eines Proxy-Servers ist es in der Regel notwendig, bei allen Clients (bestenfalls in Gruppenrichtlinien am Server) folgenden
Eintrag in den Proxy-Ausnahmen zu ergänzen (s. hierzu auch FAQs):
ftapi.ihre-domain.com*
Datenablage
FTAPI unterscheidet stets zwischen zwei verschiedenen Datenarten:
Metadaten
Binärdaten
Metadaten sind die beschreibenden Daten. D.h., diese beschreiben sowohl den Übertragungsprozess (z.B. welcher Versender,
Empfängeradresse, usw.) wie auch die Binärdaten selbst (z.B. Dateiname, Dateigröße, letzte Änderung, usw.). FTAPI speichert diese
Dateien in einer Datenbank.
Binärdaten sind diejenigen Daten, die vom Versender an den Empfänger übermittelt werden, wie z.B. ein Word-Dokument, Bilder oder
andere Dokumente. Diese Daten können durchaus mehrere hundert Gigabyte groß sein. FTAPI speichert diese Daten an einem separaten
Ort, dem sogenannten Storage.
FTAPI ist so konstruiert, dass standardmäßig sowohl der Storage als auch die Datenbank in das FTAPI-System "eingebettet" sind. D.h., es
ist standardmäßig keine Konfiguration dieser Speicherorte notwendig.
FTAPI verwendet von Haus aus den Ort ~/.ftapi/db für die Ablage der Metadaten und ~/.ftapi/storage für die Ablage der Binärdaten.
Allerdings ist dieser eingebettete Betrieb nicht für den Produktivbetrieb empfohlen.
Bei einem Produktivbetrieb wird dringend empfohlen, die Metadaten und die Binärdaten auf separate Systeme zu verteilen!
Dies hat drei einfache Gründe:
Sicherheit: Erst durch die Trennung von Meta- und Binärdaten kann eine höhere Sicherheit gewährleistet werden.
Datenstabilität und Backup: Die Metdaten werden durch die interne HSQLDB-Datenbank verwaltet. Diese ist jedoch nicht für hohe
Anfragelasten ausgelegt.
Zudem läuft diese Datenbank in einem sogenannten Single-User-Mode. D.h. die Daten können nur begrenzt gesichert werden.
Performance: Die Aufgaben und somit die Anfragelast werden auf verschiedene Systeme verteilt
Die eingebettete Datenbank ist nur für kleine Anfragelasten geeignet. Falls Sie eine hohe Anfragelast erwarten, wird
empfohlen, eine extrerne Datenbank, wie z.B. MySQL, Oracle oder PostgreSQL anzubinden, um nur einige Beispiele zu
nennen.
Andere Datenbank
Hier erfahren Sie, wie Sie eine alternative, externe Datenbank an FTAPI anbinden können: [Speicherung der Metadaten
(Datenbank)]
Anderer Storage
Hier erfahren Sie, wie Sie den Speicherort für den Storage ändern können: [Binärdaten (Storage)].
Metadaten (Datenbank)
Metadaten sind beschreibende Daten. D.h., mit den Metadaten von FTAPI wird z.B. beschrieben, welcher Versender welche Daten an
welchen Empfänger sendet. Mögliche konkrete Werte könnten beispielsweise die Empfänger-E-Mail, die Dateinamen oder die Dateigrößen
sein, um nur einige zu nennen. FTAPI speichert die Metadaten in einer Datenbank. Dies ermögicht es Ihnen später, umfangreiche
Auswertungen auf Basis von SQL durchzuführen.
Standardmäßig wird eine eingebettete Datenbank (HSQLDB) verwendet. Allerdings ist diese nicht für den Produktivbetrieb empfohlen.
Stattdessen sollte eine externe Datenbank, wie z.B. MySQL verwendet werden. Nachfolgend erfahren Sie, wie Sie eine alternative
Datenbank anbinden können.
Konfiguration
ftapi.jdbc.url
ftapi.jdbc.driver
ftapi.jdbc.username
ftapi.jdbc.password
ftapi.hibernate.dialect
ftapi.hibernate.hbm2ddl.auto
ftapi.hibernate.show_sql
MySQL anbinden
Schritt 1: JDBC-Treiber besorgen und installieren
Schritt 2: Datenbank und Benutzer anlegen
Schritt 3: Datenbankanbindung konfigurieren
Bitte beachten Sie, dass im massiven produktiven Betrieb von der Verwendung einer Embedded-Datenbank wie z.B. H2
oder HSQLDB abgeraten wird. Stattdessen sollten Sie z.B. MySQL verwenden.
Konfiguration
Öffnen Sie die Konfiguration im Bereich Datenbank:
:
Nachfolgend werden die wichtigsten Konfigurationsparameter genauer erläutert.
ftapi.jdbc.url
Die JDBC-URL zum verwendeten Datenbanksystem. Wie diese URL lautet, ist vom so genannten JDBC-Treiber des Datenbanksystems
abhängig und kann in dessen Dokumentation nachgelesen werden. Sehen Sie hierzu auch das Beispiel zu MySQL weiter unten. Die
Standardeinstellung jdbc:hsqldb:file:~/.ftapi/db/ftapi steht dafür, dass die interne HSQLDB-Datenbank alle Daten im Heimatverzeichnis
des Benutzers (bzw. dem Pfad, der als ftapi.home gesetzt ist) ablegt, unter dem das System aktuell betrieben wird.
ftapi.jdbc.driver
Mit diesem Wert wird der Klassenpfad des JDBC-Treibers bestimmt. Wie dieser Klassenpfad lautet, entnehmen Sie bitte der Dokumentation
des verwendeten JDBC-Datenbantreibers.
Standardmäßig wird der Treiber für die eingebettete HSQLDB-Datenbank verwendet.
ftapi.jdbc.username
Der Benutzername des Datenbank-Accounts, falls notwendig, um sich mit der Datenbank verbinden zu können.
ftapi.jdbc.password
Das Passwort des Datenbank-Accounts, falls notwendig, um sich mit der Datenbank verbinden zu können.
ftapi.hibernate.dialect
Je nachdem, welche Datenbank Sie verwenden, muss der so genannte "Dialect" ebenfalls entsprechend angepasst werden. In der
nachfolgenden Tabelle finden Sie die Zuordnung des Dialects zum verwendeten Datenbanksystem:
Datenbanksystem
Dialect
DB2
org.hibernate.dialect.DB2Dialect
DB2 AS/400
org.hibernate.dialect.DB2400Dialect
DB2 OS390
org.hibernate.dialect.DB2390Dialect
H2
org.hibernate.dialect.H2Dialect
PostgreSQL
org.hibernate.dialect.PostgreSQLDialect
MySQL
org.hibernate.dialect.MySQLDialect
MySQL with InnoDB
org.hibernate.dialect.MySQLInnoDBDialect
MySQL with MyISAM
org.hibernate.dialect.MySQLMyISAMDialect
MySQL 5
org.hibernate.dialect.MySQL5Dialect
Oracle (any version)
org.hibernate.dialect.OracleDialect
Oracle 9i
org.hibernate.dialect.Oracle9iDialect
Oracle 10g
org.hibernate.dialect.Oracle10gDialect
Sybase
org.hibernate.dialect.SybaseDialect
Sybase Anywhere
org.hibernate.dialect.SybaseAnywhereDialect
Microsoft SQL Server
org.hibernate.dialect.SQLServerDialect
SAP DB
org.hibernate.dialect.SAPDBDialect
Informix
org.hibernate.dialect.InformixDialect
HypersonicSQL
org.hibernate.dialect.HSQLDialect
Ingres
org.hibernate.dialect.IngresDialect
Progress
org.hibernate.dialect.ProgressDialect
Mckoi SQL
org.hibernate.dialect.MckoiDialect
Interbase
org.hibernate.dialect.InterbaseDialect
Pointbase
org.hibernate.dialect.PointbaseDialect
FrontBase
org.hibernate.dialect.FrontbaseDialect
Firebird
org.hibernate.dialect.FirebirdDialect
ftapi.hibernate.hbm2ddl.auto
Mit diesem Wert wird die Schemagenerierung konfiguriert. Er entspricht dem Hibernate-Property hibernate.hbm2ddl.auto.
Bitte ändern Sie diesen Wert nur, wenn Sie wirklich wissen, was Sie tun.
ftapi.hibernate.show_sql
Mit diesem Wert kann bestimmt werden, ob die SQL-Statements angezeigt werden (true) oder nicht (false).
Der Standardwert ist false und sollte auch nur in Ausnahmefällen verändert werden.
MySQL anbinden
In diesem Abschnitt wird die Anbindung einer MySQL-Datenbank schrittweise erklärt.
Schritt 1: JDBC-Treiber besorgen und installieren
Als ersten Schritt müssen Sie den JDBC-Treiber für MySQL besorgen und installieren.
Dieser ist auf folgender Website kostenlos als Download erhältlich: http://dev.mysql.com/downloads/connector/j bzw. hängt dieser Seite hier
(als Version 5.1.19.zip) an.
Laden Sie sich die Datei herunter und entpacken Sie diese. Im entpackten Verzeichnis sollten Sie eine Datei mit der Endung .jar vorfinden
(z.B. mysql-connector-java-5.1.19.jar). Kopieren Sie diese Datei anschließend nach <FTAPI-Context>/WEB-INF/lib, wobei
<FTAPI-Context> für die FTAPI-Applikation in Ihrem Servlet-Container steht. Unter Tomcat wäre dies beispielsweise /
webapps/ftapi-server.
Schritt 2: Datenbank und Benutzer anlegen
Erstellen Sie in Ihrem MySQL-System eine neue Datenbank (Kollation utf8_general_ci) mit dem Namen ftapi, sowie einen Benutzer, der
Zugriff auf diese Datenbank besitzt. Dieser Benutzer muss zudem die Erlaubnis besitzen, die Datenbankstruktur verändern zu dürfen
(DDL-Permission).
Schritt 3: Datenbankanbindung konfigurieren
Als letzten Schritt müssen Sie nur noch die Datenbank entsprechend in der Konfiguration im Bereich Datenbank konfigurieren.
Passen Sie die Parameter entsprechend den folgenden Angaben - diese sind bei der Hilfe per Fragezeichen bereits vorhanden - an:
ftapi.jdbc.url=jdbc:mysql://localhost:3306/ftapi?characterEncoding=UTF-8
ftapi.jdbc.driver=com.mysql.jdbc.Driver
ftapi.jdbc.username=<username>
ftapi.jdbc.password=<password>
ftapi.hibernate.dialect=org.hibernate.dialect.MySQL5Dialect
Natürlich müssen Sie die Parameter ftapi.jdbc.url, ftapi.jdbc.username und ftapi.jdbc.password entsprechend Ihres MySQL-Systems
anpassen.
Bitte vergessen Sie nicht, bei der Umstellung auf eine andere Datenbank die standardmäßig hinterlegten HSQLDB-Einträge vollständig
mittels einer # am Zeilenanfang auszudokumentieren!
Erfolgt eine Datenbank-Umstellung während des Betriebs, gehen alle bisherigen Informationen (in der alten Datenbank
enthaltenen Metadaten) wie z.B. bereits versendete Dateien oder hinterlegte Benutzer usw. verloren. Falls Sie eine
Umstellung planen, kontaktieren Sie bitte das FTAPI Support-Team.
Binärdaten (Storage)
Die Binärdaten, also diejenigen Daten, die mit dem FTAPI-System übertragen werden, werden im sogenannten Storage abgelegt. Ein
Storage ist ein beliebiger Ort, an dem Binärdaten abgespeichert und wieder geladen werden können. Dies kann beispielsweise eine lokale
Festplatte, ein NAS (Fileserver) in ihrem Unternehmensnetzwerk oder ein Speicherplatz im Internet (z.B. Cloud-Storage) sein.
Wo genau die Binärdaten abgelegt werden, wird durch das Storage-Modul bestimmt. Es stellt die Kommunikation zwischen dem
FTAPI-System und dem Zielort (z.B. Festplatte) sicher.
DiskStorage
ftapi.storage.home
Binärdaten verschieben
ftapi.storage.quota
Automatischer Storage-Cleanup
ftapi.storage.cleanup.enabled
ftapi.storage.cleanup.interval
ftapi.storage.cleanup.max.age
DiskStorage
Standardmäßig ist in FTAPI das DiskStorage-Modul aktiviert. Dieses Modul erlaubt die Ablage der Daten auf jedem beliebigen, lokal
verfügbaren Medium, wie z.B. eine gemountete Festplatte. Die Werkseinstellungen dieses Moduls legen fest, dass die Binärdaten im
Verzeichnis ~/.ftapi/storage abgelegt werden. Wenn dieses Verzeichnis nicht existiert, wird es angelegt.
Sie können diesen Pfad und andere Einstellungen natürlich Ihren Bedürfnissen anpassen. Öffnen Sie hierfür die zentrale FTAPI
Konfiguration in der Weboberfläche und suchen Sie den Bereich Storage:
Nachfolgend erhalten Sie eine kurze Beschreibung der wichtigsten Parameter.
ftapi.storage.home
Mit diesem Parameter können sie den Pfad zu einem beliebigen Verzeichnis auf ihrem lokalen System angeben, in welches die
Storage-Daten abgelegt werden sollen. Wenn dieses Verzeichnis nicht existiert, wird es angelegt (auch alle darüber liegenden
Verzeichnisse).
Bitte stellen Sie sicher, dass FTAPI entsprechende/ausreichende Schreibrechte im angegebenen Verzeichnis besitzt.
Um die Daten beispielsweise in ein Verzeichnis storage der Festplatte D: unter Windows abzulegen, könnten Sie folgende Konfiguration
verwenden:
ftapi.storage.home=D:/storage
Bitte beachten Sie, dass auch unter Windows "Forward-Slashes" / anstelle von "Backward-Slashes" \ für
Pfadangaben verwendet werden können.
Eine Tilde ~ zu Beginn einer Pfadangabe wird zudem als das Heimatverzeichnis des Benutzers interpretiert, unter
dem das FTAPI-System ausgeführt wird.
Binärdaten verschieben
Um die Binärdaten an einen anderen Ort zu verschieben, sollten Sie folgendermaßen vorgehen:
1.
2.
3.
4.
Den FTAPI Server herunterfahren, um keine inkonsistenten Daten zu erhalten.
Die Binärdaten an den neuen Zielort kopieren.
Den Pfad zum neuen Zielordner in der Konfiguration anpassen.
Den FTAPI Server wieder starten.
ftapi.storage.quota
Durch diesen Parameter können Sie die Maximalgröße des Storage in Bytes festlegen. FTAPI überprüft vor dem Upload die Größe des
Datenpakets und berechnet, ob bei dessen Annahme das fest gelegte Storage-Quota überschritten werden würde. In diesem Fall würde
FTAPI das Datenpaket mit einer Meldung zurückweisen. Damit können Sie sicher stellen, dass das konfigurierte Speichermedium niemals
mit Daten über die festgelegte Maximalgrenze hinaus beschrieben wird. Andernfalls könnte es unter manchen Betriebssystemen durchaus
vorkommen, dass durch einen "Überlauf" des Storage-Mediums nicht mehr genügen Speicherplatz für andere Anwendungen, wie z.B. das
Betriebssystem selbst zur Vefügung stehen und dieses im schlimmsten Fall abstürzt. Solche Szenarien kommen bei anderen Systemen, wie
z.B. FTP durchaus vor.
Um z.B. das Quota auf 10GB festzulegen, müssen Sie folgende Angabe machen:
ftapi.storage.quota=1024000000
Automatischer Storage-Cleanup
Viele Administratoren von Datentransfer-Systemen, die sich mit z.B. E-Mail oder FTP beschäftigen müssen, haben das große Problem, dass
die Dateien auch nach der erfolgreichen Zustellung an den Empfänger auf dem Übertragungssystem erhalten bleiben und damit nicht nur ein
erhöhtes Sicherheitsrisiko darstellen, sondern nach und nach das entsprechende System "zumüllen". Die Administratoren haben
beispielsweise erheblichen Aufwand, die entsprechenden Systeme "sauber" zu halten und regelmäßig aufzuräumen. Vielleicht kennen Sie ja
auch die berühmte E-Mail "Server voll, bitte jeder aufräumen" oder so ähnlich ;)
Mit FTAPI kann dies nicht passieren, da es so konfiguriert ist, dass erfolgreich und vollständig zugestellte Datenpakete automatisch vom
System entfernt werden. Dies kann den System-Administrator deutlich entlasten. Natürlich kann dieses Verhalten an die eigenen Bedürfnisse
angepasst oder komplett abgestellt werden.
Die Einstellungen hierzu finden Sie in zentralen Konfiguration auch im Bereich Storage:
#-------------------------------------------------------------------# Storage cleanup settings
#-------------------------------------------------------------------# Switch on/off the cleanup job
# Default: true
ftapi.storage.cleanup.enabled=true
# The interval then the cleanup task should run regularily.
# Default: 0 0 3 * * ? (every day at 3:00 AM)
ftapi.storage.cleanup.interval=0 0 3 * * ?
# The max age of a deliverable until its binary data will be deleted from storage.
# The format is <integer>{m|h|d}, whereas m = minutes, h = hours and d = days.
# Examples: 90d (= 90 days), 2h (= 2 hours), 30m (= 30 minutes)
ftapi.storage.cleanup.max.age=1m
Nachfolgend werden die einzelnen Parameter genauer beschrieben.
ftapi.storage.cleanup.enabled
Mit diesem Wert lässt sich die AutoClean-Funktion generell aktivieren (true) oder deaktivieren (false).
ftapi.storage.cleanup.interval
Dieser Parameter bestimmt, mit welcher Häufigkeit der Storage regelmäßig überprüft und gegebenenfalls zutreffende Dateien gelöscht
werden. Hierzu wird eine sogenannte "Cron-Expression" festgelegt, mit welcher bis auf die Sekunde genau bestimmt werden kann, in
welchen Abständen eine Überprüfung stattfinden soll. Die Cron-Expression 0 0 3 * * ? bedeutet beispielweise, dass die Überprüfung
jeden Tag um 3:00 Uhr morgens stattfinden soll, oder 0 59 * * * ? bedeutet, dass die Überprüfung jede Stunde zur 59. Minute
durchgeführt wird. Weitere Informationen zum Thema Cron-Expressions erhalten Sie z.B. hier :
http://www.quartz-scheduler.org/DOCS11/tutorials/crontrigger.html.
Je nachdem wie hoch Ihr FTAPI-System frequentiert ist, kann es sinnvoll sein, das Check-Intervall anzupassen. Da die
Überprüfung der Einträge relativ aufwändig ist, empfiehlt es sich, die Überprüfung auf ein Minimum zu reduzieren. Als guter
Wert hat sich die tägliche Überprüfung um 3:00 Uhr Morgens herausgestellt, da zu diesem Zeitpunkt erfahrungemäß nur
wenige Transfer-Aktionen stattfinden und somit das System nicht genutzte Leistung für den Check verwenden kann.
ftapi.storage.cleanup.max.age
Dieser Wert bestimmt, wie alt eine Datei sein muss, bevor sie gelöscht werden darf. Mit jeder neuen Zustellung eines Deliveries wird das
Alter (age) wieder auf 0 zurückgesetzt und beginnt von neuem hochzuzählen. Sie haben hier die Möglichkeit, die Angabe in Minuten,
Stunden oder Tagen zu machen, indem sie die Endung m, h oder d verwenden. Standardmäßig sind 90 Tage (=90d) eingestellt.
Account-Typen
FTAPI besitzt verschiedene Account-Typen mit denen die Berechtigungen in FTAPI gezielt gesetzt werden können.
Die Account-Typen können nur durch einen Benutzer mit Administrator-Rechten geändert werden.
Nachfolgend sind die verschiedenen Account-Typen, deren Bedeutung sowie deren eindeutige Bezeichnung aufgelistet und erläutert:
Mitarbeiter
Mitarbeiter können Dateien an beliebige Empfänger versenden. Sie können Dateien auch von jedem beliebigen Sender Empfangen und
besitzen jeweils einen eigenen SubmitBox. Sie können sich in die Web-Oberfläche einloggen.
(Bezeichnung GROUP_EMPLOYEE)
System-Administrator: System-Administratoren sind Mitarbeiter-Accounts, die erweiterte Rechte besitzen. Sie können die
Konfiguration ändern, dürfen Benutzer verwalten und auch die kompletten Logs einsehen.
(Bezeichnung GROUP_ADMIN)
Benutzer-Administrator: Benutzer-Administratoren sind Mitarbeiter-Accounts, die zusätzlich Benutzer anlegen, bearbeiten und
löschen dürfen. Sie dürfen jedoch keine Änderungen an den System-Einstellungen durchführen und können keine Logs einsehen.
(Bezeichnung GROUP_USER_ADMIN)
Partner
Partner haben ähnliche Rechte wie Mitarbeiter. Sie können Dateien aber nur an Mitarbeiter-Accounts versenden.
Auch können Sie nur von Mitarbeiter-Accounts Dateien empfangen und besitzen keine SubmitBox. Sie können sich in die Web-Oberfläche
einloggen.
(Bezeichnung GROUP_PARTNER)
Gast
Gäste können Dateien nur per SubmitBox und nur an Mitarbeiter-Accounts einreichen. Sie können Dateien nur von Mitarbeiter-Accounts
empfangen.
Sie können sich nicht in die Web-Oberfläche einloggen und besitzen keine SubmitBox. Dieser Account-Typ wird in der Lizenz nicht
gezählt.
(Bezeichnung GROUP_GUEST)
SMTP
FTAPI versendet in den verschiedensten Situationen E-Mail-Nachrichten. Z.B. an den Empfänger, wenn ein neues Datenpaket für Ihn
bereitgestellt wurde (das sogenannte "Download-Ticket"). Hierfür ist es notwendig, einen SMTP-Server zu konfigurieren, der als Gateway für
den E-Mail-Versand zwischen Ihrem FTAPI System und dem jeweiligen Anwender dient.
Bitte beachten Sie, dass ohne Konfiguration eines SMTP-Servers kein korrekter Betrieb von FTAPI möglich ist.
Konfigurationseinstellungen
ftapi.email.charset
ftapi.email.from.address
ftapi.email.from.name
ftapi.email.smtp.host
ftapi.email.smtp.port
ftapi.email.smtp.username
ftapi.email.smtp.password
ftapi.email.smtp.useSSL
ftapi.email.smtp.useTLS
E-Mail-Benachrichtigungen
Neues Datenpaket bzw. neue Einreichung per SubmitBox
Submit-Ticket Aktivierung
Fehlermeldungen und Verbesserungsvorschläge
SecuPass™ Aktivierung
Konfigurationseinstellungen
Die Einstellungen zum SMTP-Server werden in der Konfiguration im Abschnitt E-Mail und andere Benachrichtigungen gemacht:
Nachfolgend werden die einzelnen Werte näher erläutert. Bitte beachten Sie, dass keinerlei Leerzeichen am Ende eines Eintrags verbleiben!
ftapi.email.charset
Das Encoding, welches verwendet werden soll (z.B. ISO-8859-1 oder UTF-8).
ftapi.email.from.address
Die Absenderadresse, welche bei Systembenachrichtigungen in der E-Mail erscheinen soll.
Diese muss nicht mit dem smtp.username übereinstimmen oder überhaupt existieren.
ftapi.email.from.name
Der Name des Absenders, welcher bei Systembenachrichtigungen in der E-Mail erscheinen soll.
Dies kann ein beliebiger Name sein, der nicht mit dem smtp.username übereinstimmen muss.
ftapi.email.smtp.host
Der Hostname des SMTP-Servers.
ftapi.email.smtp.port
Der Port des SMTP-Servers.
ftapi.email.smtp.username
Der Benutzername des SMTP-Accounts, falls eine Authentifizierung erforderlich ist.
ftapi.email.smtp.password
Das Passwort des SMTP-Accounts, falls eine Authentifizierung erforderlich ist.
ftapi.email.smtp.useSSL
Gibt an, ob eine sichere Verbindung über SSL verwendet werden soll (true) oder nicht (false).
ftapi.email.smtp.useTLS
Gibt an, ob eine sichere Verbindung über TLS verwendet werden soll (true) oder nicht (false).
E-Mail-Benachrichtigungen
Nachfolgend werden kurz die jeweiligen E-Mail-Benachrichtigungen beschrieben, die FTAPI als E-Mail versendet.
Das Format einer E-Mail-Benachrichtung wird durch ein sogenanntes E-Mail-Template festgelegt.
Alle E-Mail-Templates befinden sich im Verzeichnis \ROOT\WEB-INF\notification Ihrer FTAPI-Server-Installation.
Bitte beachten Sie, dass Änderungen an den E-Mail-Templates nur durch den FTAPI Support durchgeführt werden sollten.
Falls Sie dennoch diese E-Mail-Templates selbst anpassen möchten, kann FTAPI hierfür keine Haftung übernehmen. Falls
dadurch Probleme im Betrieb von FTAPI entstehen, sind Sie hierfür selbst verantwortlich.
Neues Datenpaket bzw. neue Einreichung per SubmitBox
Nachdem ein Benutzer ein Datenpaket an einen beliebigen Empfänger versendet hat bzw. über die SubmitBox eingereicht hat, erhält dieser
eine E-Mail mit einem eingebetten Download-Link.
Diese E-Mail hat folgendes Format:
${delivery.message.body}
--Bitte klicken Sie hier, um den Download zu starten:
$config.get("ftapi.base.url")/download/${delivery.uuid}
Die Variable ${delivery.message.body} entspricht dabei dem Text, welchen der Versender eingetragen hat.
Die Variablen $\config.get("ftapi.base.url")/download/${delivery.uuid} wird durch den Download-Link ersetzt.
Weitere E-Mail-Templates sind unter anderem:
Submit-Ticket Aktivierung
Nachdem ein Benutzer über die SubmitBox seine E-Mail-Adresse eingegeben und auf "Submit-Ticket anfordern" geklickt hat, erhält er eine
Aktivierungs-E-Mail mit einem eingebetten Link, dem so genannten "Submit-Ticket". Darüber kann er das Einreichen von Dateien
durchführen.
Fehlermeldungen und Verbesserungsvorschläge
Der Benutzer hat die Möglichkeit, auf einfache Art und Weise einen Hinweis oder eine Fehlermeldung an eine bestimmte E-Mailadresse zu
versenden.
Z.B. wenn ein Fehler aufgetreten ist oder wenn Verbesserungsvorschläge kommuniziert werden sollen.
SecuPass™ Aktivierung
Der Benutzer wie auch Empfänger einer Zustellung erhält während des Aktivierungsprozesses entsprechende E-Mails zur Registrierung und
Aktivierung der SecuPass™ Verschlüsselung des Benutzeraccounts.
Applet Konfigurationsmöglichkeiten
Notwendigkeit für Empfänger-Account voreinstellen
Empfänger-Account erzwingen
Request-Parameter
FTAPI in Windows-Kontextmenü integrieren
Das FTAPI-Applet lässt sich flexibel an die eigenen Bedürfnisse anpassen.
In diesem Abschnitt erfahren Sie, welche Konfigurationsmöglichkeiten zur Verfügung stehen.
Notwendigkeit für Empfänger-Account voreinstellen
Standardmäßig kann der Versender einstellen, ob der Empfänger einen FTAPI-Account besitzen muss oder nicht. Eine Zustellung wird
hierdurch zusätzlich abgesichert, da sich jeder Empfänger vor einem Download authentifizieren muss.
In einigen Fällen kann es sinnvoll sein, dass z.B. durch den Administrator diese Einstellung unveränderbar vorgegeben ist und z.B.
ein solcher Empfänger-Account aus Sicherheitsgründen immer zwingend ist (siehe Empfänger-Account erzwingen).
Im umgekehrten Fall kann eingestellt werden, dass dieser niemals angefordert werden darf. (siehe Empfänger-Account vollständig
unterbinden)
Beide Fälle lassen sich in der FTAPI-Konfiguration entsprechend voreinstellen:
Empfänger-Account erzwingen
Hierzu muss in der FTAPI-Konfiguration unter dem Bereich Grundeinstellungen der Wert ftapi.security.level.force nach Bedarf gesetzt
werden.
Die ausgewählte Sicherheitsstufe ist aktiviert und kann durch den Benutzer nicht mehr verändert werden.
Request-Parameter
Das Applet erlaubt die Vorbelegung seiner Felder durch Request-Parameter.
Die belegbaren Felder und zugehörigen Request-Parameter lauten wie folgt:
Applet-Feld
Request-Parameter
Beschreibung
E-Mail
recipients
Eine durch Semikolons ; getrennte Liste von E-Mail-Adressen, die als Empfänger der Zustellung
eingetragen werden sollen.
Betreff
subject
Der Betreff der Nachricht.
Nachricht
message
Der Text der Nachricht.
Dateien
files
Eine durch Semikolons ; getrennte Liste aller Dateipfade und -namen, die der Zustellung hinzugefügt
werden sollen.
Request-Beispiel
Ein Aufruf der Form
https://localhost:443/upload/[email protected]&subject=Test&message=Test&files=C:\document.png
führt zu folgendem bereits vorausgefüllten Applet:
FTAPI in Windows-Kontextmenü integrieren
Mit wenigen Handgriffen ist es möglich, dass FTAPI in das Windows-Kontextmenü integriert wird. So kann mit einem rechten Mausklick auf
eine Datei diese direkt mit FTAPI verschickt werden. Und das ohne die Notwendigkeit, eine zusätzliche Software installieren zu
müssen!
Für Änderungen an der Windows-Registry und allen daraus resultierenden Folgen übernimmt FTAPI keine Haftung.
Die nachfolgend beschriebenen Einstellungen erfolgen vollständig auf eigene Gefahr hin. Darüber hinaus gibt FTAPI
hierfür keinerlei Support.
Um FTAPI in das Windows-Kontextmenü zu integrieren, gehen Sie folgendermaßen vor:
1. Geben Sie in der Windows-Eingabeaufforderung regedit ein. Es öffnet sich der Registrierungs-Editor.
2. Navigieren Sie zum Ordner HKEY_CLASSES_ROOT/*/shell
3. Klicken Sie mit der rechten Maustaste auf den Ordner shell und erstellen Sie einen neuen Schlüssel mit dem Namen Send with
FTAPI SecuTransfer
4. Klicken Sie mit der rechten Maustaste auf den soeben neu erstellten Schlüssel und erstellen Sie einen neuen, weiteren Schlüssel
mit dem Namen command
5. Markieren Sie mit der linken Maustaste den soeben neu erstellten Schlüssel
6.
6. Klicken Sie nun auf den Eintrag Standardwert rechts doppelt und geben Sie bei Wert "C:\Program Files\Internet
Explorer\iexplore.exe" https://localhost:443/upload/createDelivery.html?files=%1 ein, wobei der Pfad zu Ihrem FTAPI Server
natürlich entsprechend angepasst werden muss. Falls der Internet-Explorer in Ihrem System an einem anderen Ort installiert ist,
müssen Sie auch diesen Pfad entsprechend anpassen.
7. Fertig. Ab sofort können Sie Dateien direkt aus Ihrem Desktop heraus mit FTAPI versenden, ohne dass Sie zusätzliche Software
installieren müssen.
HTTPS
In order to secure all FTAPI transfers by using HTTPS, preconditions are a few settings and a (self) signed certificate.
The procedure is described step by step below.
Background
By default FTAPI delivers a self-signed certificate for testing and evaluation purposes.
You should get a "real" CA signed certificate if you plan on using FTAPI in a productive environment.
In order to get such a CA signed certificate just follow the next steps:
1. Creating your Keystore
2. Certificate Signing Request
2.1. Generate .CSR (Certificate Signing Request) file in console
2.2. Open .CSR file and copy the text
3. Install signed certificate to keystore
4. Enabling SSL in the Tomcat server.xml File
5. FTAPI configuration base-URL
An easy certificate for demo- and test cases can easily be ordered and dwonloaded at RapidSSL Free 30 day.
1. Creating your Keystore
First of all you need to create a Keystore and a key pair.
You will be using the keytool command to create and manage your new Keystore file.
You may need to add your (for example) c:\program files\Java\jdk1.6.0_18\bin directory to your system variable PATH before the keytool
command is recognized.
Or you execute keytool.exe in your console directly from your Java folder (e.g. C:\Program Files\Java\jdk1.6.0_18\bin ) .
When you are ready to create your keystore go to the directory where you plan to manage your Keystore and certificates - standard is folder
\.ftapisecurity.
Enter the following command:
keytool.exe -genkey -alias ftapi-server -keyalg RSA -keysize 2048 -keystore your_site_name.jks
Typing keytool.exe - help will show you all available commands.
First you will be prompted to choose a password for your keystore.
Afterwards you will then be prompted to enter your Organization information:
Abbreviation
Long term
Example
Question in console &
other
More info on the web
CN
Common
Name
ftapi.your-site-name.de
Wie lautet Ihr Vorn- und
Nachame?
What is your first and
last name?
This one MUST match
your URL (e.g.
ftapi.your-site-name.com
!)
http://www.digicert.com/csr-creation.htm
This is the Common Name (Fully Qualified Domain
Name - FQDN)
OU
Organisation
Unit
-
Wie lautet der Name
Ihrer organisatorischen
Einheit?
What is the name of
your organizational unit?
O
Organisation
Ihr Firmenname
Wie lautet der Name
Ihrer Organisation?
What is the name of
your organization?
L
Locality
Ihre Stadt
Wie lautet der Name
Ihrer Stadt oder
Gemeinde?
What is the name of
your City or Locality?
ST
State
Bundesland
Wie lautet der Name
Ihres Bundeslandes
oder Provinz?
What is the name of
your State or Province?
C
Country
DE
Wie lautet der
Landescode für diese
Einheit?
What is the two-letter
country code for this
unit?
http://www.digicert.com/ssl-certificate-country-codes.htm
Common Name
From a technical point of view the only important value is "Common Name". This one must exactly match with your DNS
hostname, which one is used for your FTAPI server.
For example does the Common Name (CN) ftapi.your-site-name.com secure the URL https://ftapi.your-site-name.com/
When it asks for first and last name, this is NOT your first and last name, but rather it is your Fully Qualified Domain Name for the site you
are securing (example: www.yourdomain.com). If you are ordering a Wildcard Certificate this must begin with the * character. (example:
*.yourdomain.com)
After you have completed the required information confirm that the information is correct by entering 'j' or 'ja' (if in english use 'y' or 'yes')
when prompted.
Next you will be asked for your password to confirm. Make sure to remember the password you choose.
With Enter you can choose to use the same password as for your keystore (which is recommended)
.JKS file
Your keystore file named your_site_name.jks is now created in your current working directory (e.g. \Java\jdk1.6.0_18\bin
OR \.ftapi\security).
Find more details at http://www.digicert.com/ssl-certificate-installation.htm.
If you do not order your certificate at www.digicert.com, the procedure can be different from the one desribed here!
2. Certificate Signing Request
The certification process consists of two steps (http://www.digicert.com/csr-creation-tomcat.htm):
2.1. Generate .CSR (Certificate Signing Request) file in console
keytool.exe -certreq -alias ftapi-server -file csr.txt -keystore your_site_name.jks
Use the keystore password that you chose earlier and hit Enter.
2.2. Open .CSR file and copy the text
Your CSR file named csr.txt is now created in your current directory.
Open the CSR with a text editor, and copy the text below (including the BEGIN and END tags).
-----BEGIN NEW CERTIFICATE REQUEST----MIIBuTCCASICAQAweTELMAkGA1UEBhMCREUxDzANBgNVBAgTBkJheWVybjERMA8GA1UEBxMITXVl
bmNoZW4xGjAYBgNVBAoTEUZUQVBJIFNvZnR3YXJlIFVHMRAwDgYDVQQLEwdVbmtub3duMRgwFgYD
VQQDEw9mdGFwaS5mdGFwaS5jb20wgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJAoGBAJtE4P4mbXhF
f8q4pzkm5AChn0E0n16rUjus+zSwSxrYKmmqE5NyJ1KnkhBhB0qNnFxFVpzAw4b9r14D/FfE/R9Y
cOZEt3U+0HZZBbdU5YNIxs/JFzxDdJmSpXBtlnNol4ga025E3OGtcduZgli6nDmZ8hZhgJYeZtur
673nPf8LAgMBAAGgADANsdfsFSDFS230BAQUFAAOBgQCNKh2zvm6sB867PKbh/LbvFsbvyHiOrlZW
sk7Q8763CAxXO2XvxF8bSXZHulTrEdvTFajQxORQKkfR7NuZ1i+m4Y9DE38Hxq0sFnD1JRv61uu\+
60OnKZr4vqDZbdk/vnZ/ZtrRqE4ejp6Ez6aC5Etqta0vLX7AIZf9iBQsUMSAEg==
-----END NEW CERTIFICATE REQUEST-----
The full text has to be send to a Certificate Authority (CA).
Be careful to save the keystore file (your_site_name.jks). Your certificates will be installed to it in the following step.
3. Install signed certificate to keystore
This step explains, how a (CA) signed certificate has to be installed into your keystore.
Download your signed SSL certificate (e.g. your-domain-name.p7b) to the directory where your keystore was saved during the CSR
creation process!
(the keystore is called your_site_name.jks - see 2.1).
Your SSL certificate must be installed to the same keystore that was used to generate your CSR. If you try to
install it to a different keystore it won't work!
In order to install your certificate into your keystore, type the following command to install the certificate file to your keystore:
keytool.exe -import -trustcacerts -alias ftapi-server -file your_domain_name.p7b -keystore your_site_name.jks
You should get a confirmation stating that the "Certificate reply was installed in keystore"
If it asks if you want to trust the certificate. Choose y or yes.
Your keystore file (your_site_name.jks) is now ready to use on your Tomcat Server and you just need to configure your server to use it.
4. Enabling SSL in the Tomcat server.xml File
In the final step you have to adjust the SSL connectors to you certificate. This is done at the Apache Tomcat Server for your FTAPI system.
Tomcat needs a configured SSL connector in order to provide secure communication and transfers:
1. Open the Tomcat server.xml file with a text editor - the file should be found in the folder ...\ftapi-server\conf\server.xml or in your
Tomcat home folder.
2. Deactivate (uncomment) the current connector by adding start and end comment lines
"<!--" before and "-->" after the following section of code - afterwards this one should look like this:
<!-<Connector port="80" protocol="HTTP/1.1"
connectionTimeout="20000"
redirectPort="443" />
-->
3. Specify the correct keystore filename and password in your connector configuration.
Activate this section of code by removing the start and end comment lines ("<!--" before and "-->" after).
When you are done your connector should look something like this:
<Connector port="443" protocol="org.apache.coyote.http11.Http11NioProtocol"
SSLEnabled="true" maxThreads="150" scheme="https"
secure="true" clientAuth="false" sslProtocol="TLS"
keystoreFile="../.ftapi/security/your_site_name.jks"
keyAlias="ftapi-server" keypass="your_keystore_password" />
4. (optional) Set the redirect port on the HTTP connector:
If a request comes in for a secure ressource on the HTTP port, a redirect will be made automatically to the HTTPS port. In order to
enable this, make sure the attribute redirectPort="443" is set at your HTTP connector (see 2. above), whereas 443 is the port
number of your HTTPS connector.
Example:
<Connector port="80" protocol="HTTP/1.1"
connectionTimeout="20000"
redirectPort="443" />
5. Save your changes to the server.xml file.
6. Restart Tomcat.
By default the FTAPI Tomcat will look for your Keystore with the file name .keystore in your home directory with the default
password "changeit".
(The home directory is generally /home/user_name/ on Unix and Linux systems, and C:\Documents and
Settings\user_name\ on Microsoft Windows systems.)
5. FTAPI configuration base-URL
In order for your FTAPI server to be accessed using https you need to change the FTAPI Base-URL in the configuration tab.
Configure the following setting with your domain or IP address
Finally restart your Tomcat server and browse to your ftapi.base.url in this example https://localhost:443
If your HTTPS connector uses port 443, you don't need to set the port at ftapi.base.url, since all browsers automatically
use this port as default, if the https:// protocol is requested. You could then set something like: https://localhost.
Web-Interface (WebUI)
Der FTAPI-Server bietet Ihnen die Möglichkeit, große und/oder sensible Daten über die nachfolgend erläuterte Weboberfläche zu
übermitteln, ohne dass Sie spezielle Software installieren müssen.
Nachfolgend werden die wichtigsten Masken und Oberflächen, sowei ein grundlegender Durchlauf kurz erläutert.
Aufruf und Log-In
Ihr FTAPI-Server ist über die URL http://<host> erreichbar, wobei <host> für den Hostnamen Ihres FTAPI-Servers steht.
Wenn Sie die FTAPI-LDAP (oder AD) Anbindung eingerichtet haben, können Sie Ihre gewohnten Zugangsdaten für den Login ins
FTAPI-System nutzen.
Falls dies bei Ihnen nicht der Fall ist, erhalten Sie Ihre speziellen FTAPI-Zugangsdaten von Ihrem Administrator.
Übersicht - Dashboard
Nach erfolgreichem Login erscheint Ihre benutzerspezifische Übersichtsseite.
Hier erfahren Sie alle wichtigen Informationen zu Ihrem Benutzer-Account wie u.a.
die Anzahl Ihrer erhaltenen und versendeten Zustellungen
die Anzahl der noch nicht abgeholten Zustellungen
das Datum Ihres letzten Logins
Ihre im System hinterlegte E-Mailadresse
die URL Ihrer persönlichen SubmitBox
Durch einen Klick auf die Spalten "Eingang/ Ausgang" können Sie direkt in den jeweiligen Bereich springen!
Nähere Informationen über die versendeten bzw. noch nicht abgeholten Zustellungen erhalten Sie durch Anklicken des
jeweiligen Bereiches.
Versenden - neue Zustellung
Über den
Button (rechts oben) öffnet sich ein neues Fenster bzw. Reiter für eine komplett neue Zustellung.
Sicherheitsstufen bei Zustellungen
Zustellungen können mit drei verschiedenen Sicherheitsstufen eingestellt werden:
1. Standard: Empfänger benötigt nur Webbrowser - Jeder kann diese Datei herunterladen. Ein Login ist nicht notwendig.
2. Vertraulich: Empfänger benötigt eigenen FTAPI Account - Nur wenn der Empfänger einen FTAPI Account besitzt kann er den
Download starten.
3. Geheim: Empfänger benötigt eigenen FTAPI Account und Java - Die Dateien bleiben durchgehend verschlüsselt.
Falls der Empfänger keinen FTAPI Account besitzt, wird dieser automatisch angelegt.
Falls der Empfänger keine Java-Runtime installiert hat, wird diese automatisch installiert.
Zertifikat akzeptieren
Bitte akzeptieren Sie beim ersten Laden der Versendeseite das Zertifikat (für das Java Applet) dauerhaft, um FTAPI SecuTransfer für Ihren
Datentransfer nutzen zu können.
Um die hohe Sicherheit des Dateitransfers mit FTAPI gewährleisten zu können, wird dieses Zertifikat benötigt. Das Akzeptieren hat keine
weiteren Auswirkungen auf Ihren Browser.
Bei der nachfolgend dargestellten Sicherheitsmeldung bitte den Haken setzen und mit Ausführen bestätigen!
Zustellung Step-by-Step
Der Zustelldialog ist wie ein gängiges E-Mailprogramm aufgebaut.
1. Geben Sie zuerst die E-Mailadresse des Empfängers Ihres Datenpakets ein.
Mehrere E-Mailempfänger können durch ein Semikolon ; ohne weitere Leerzeichen davor oder danach eingegeben
werden.
2. Füllen Sie das Feld Betreff und den anschließenden Text für den oder die Empfänger wie bei einer normalen E-Mail aus.
3. Im unteren Bereich fügen Sie die zu versendenden Daten hinzu. Dies können Sie auf verschiedene Arten tun:
Klick auf das Symbol mit dem Ordner und der Box
Drag & Drop (Browserfenster nicht maximiert oder zweiter Bildschirm)
Klick auf das Plus-Symbol (links unten)
Doppelklick auf den gesamten Bereich
Im Datei- und Ordnerauswahldialog können Sie durch das Drücken der Strg-Taste einzelne Dateien UND Ordner direkt
auswählen.
Ordnerstrukturen werden von FTAPI automatisch rekursiv (also inklusive allen Unterordnern und den darin enthaltenen
Dateien) hinzugefügt.
!
4. Starten Sie den Versand über den Upload-Knopf
rechts unten.
Dieser Knopf ist erst dann aktiv, wenn Sie mindestens eine Datei hinzugefügt haben!
Benutzereinstellungen - Mein Konto
Jeder Benutzer kann über das Zahnradsymbol
rechts oben seine persönlichen Einstellungen einsehen und bearbeiten.
Zusätzlich kann hier die eigene SubmitBox de-/aktiviert oder umbenannt sowie die SecuPass™ Aktivierung durchgeführt
werden.
Logout
Das Logout-Symbol
ist oben rechts zu finden.
Bitte loggen Sie sich für einen optimalen Schutz Ihres Benutzer-Accounts immer komplett hierüber aus.
FTAPI SecuTransfer führt zu Erhöhung der Systemsicherheit automatisch einen Logout nach einiger Zeit der Nichtaktivität durch!
Feedback an FTAPI oder IT-Verantwortlichen senden
Probleme, generell Vorschläge oder Feedback können auf jeder Seite der FTAPI Weboberfläche über den Link unten links (Problem
aufgetreten oder Vorschlag versenden?) direkt an Ihre hinterlegte Support-E-Mail-Adresse versandt werden. Bitte notieren Sie sich nach dem
Senden Ihre angezeigte Ticket-ID für Rückfragen.
LDAP und Active Directory
FTAPI besitzt eine eigene, leistungsfähige Benutzerverwaltung. In manchen Situationen ist es jedoch sinnvoll, bereits bestehende
Benutzer-Accounts aus einem LDAP- oder Active-Directory-System zu verwenden, um eine doppelte Verwaltung dieser Konten zu
vermeiden.
Nachfolgend wird erläutert, wie Sie FTAPI SecuTransfer so konfigurieren, dass es Benutzer-Konten aus einem LDAP- oder
Active-Directory-System akzeptiert.
Bevor Sie mit der Konfiguration in FTAPI beginnen, stellen Sie bitte sicher, dass Ihr LDAP-System über das Netzwerk
erreichbar ist und Sie sich erfolgreich per LDAP verbinden können. Dies können Sie beispielweise überprüfen, indem Sie
sich mit einem der zahlreichen kostenloses LDAP-Clients, wie z.B. dem LDAP Browser von Softerra auf Ihren LDAP-Server
verbinden.
Im folgenden Abschnitt wird der Begriff LDAP-Server als Synonym für ein LDAP- wie auch ein Active-Directory-System
verwendet.
Konfiguration anpassen
Beschreibung Konfigurationsparameter
ftapi.ldap.enabled
ftapi.ldap.url
ftapi.ldap.manager.dn
ftapi.ldap.manager.password
Parameter für das Attribut-Mapping
ftapi.ldap.attr.firstName
ftapi.ldap.attr.lastName
ftapi.ldap.attr.email
ftapi.ldap.attr.fingerprint
Parameter für die LDAP-Suche
ftapi.search.base
ftapi.ldap.search.filter
ftapi.ldap.search.subtree
Parameter für den Cleanup
ftapi.ldap.cleanup.enabled
ftapi.ldap.cleanup.interval
Mapping von LDAP-Gruppen zu FTAPI-Gruppen
Single Mapping
Multi Mapping
Einrichtung mehrerer LDAP-Systeme
Konfiguration anpassen
Klappen Sie im Reiter Konfiguration den Bereich LDAP und Active Directory auf:
Klicken Sie auf das gewünschte Feld, ändern Sie die Parameter entsprechend Ihren Gegebenheiten ab und speichern Sie abschließend.
Anschließend müssen Sie den FTAPI-Server neu starten, damit diese Änderungen aktiv werden.
Beschreibung Konfigurationsparameter
Die folgenden Parameter werden für die Aktivierung der Verbindung zu einem LDAP-System benötigt.
ftapi.ldap.enabled
Mit diesem Parameter können Sie LDAP generell aktivieren (Haken gesetzt) oder deaktivieren (Haken nicht gesetzt).Wird kein Wert
angegeben, so wird der Standardstatus "deaktiviert" verwendet. Wenn die LDAP-Anbindung aktiviert und funktionsfähig ist, so führt FTAPI
die Benutzerauthentifizierung stets in folgenden Schritten durch:
1. Es wird zuerst im LDAP-System nach dem entsprechenden Benutzer gesucht und bei einem Fund, dessen Login-Daten für die
Authentifizierung verwendet.
2. Konnte im LDAP-System kein Benutzer mit dem angegebenen Benutzernamen gefunden werden, so wird die FTAPI eigene
Benutzerverwaltung überprüft und falls sich hier der gewünschte Benutzer befindet, dessen Daten für die Authentifizierung
verwendet.
3. Konnten weder im LDAP-System noch in der FTAPI-Benutzerverwaltung der Benutzer gefunden werden, so wird der Login mit
einem "Login Failed" zurückgewiesen.
Wenn sich ein LDAP-Benutzer erstmalig bei FTAPI anmeldet, so werden alle notwendigen und nicht-sensiblen Daten von dessen
LDAP-Account in die FTAPI-Benutzerverwaltung übernommen. Dies ist notwendig, um weitere Einstellungen an diesem FTAPI-Account
vornehmen zu können (z.B. Gruppen zuordnen/entfernen), ohne den LDAP-Account ändern zu müssen. Einige Felder, wie z.B. das
Passwort oder der Benutzername selbst, können dann nicht über die Oberfläche der FTAPI-Benutzerverwaltung verändert werden. Dies
muss im LDAP-System selbst vorgenommen werden.
Gleichnamige Benutzer-Accounts
Bitte beachten Sie, dass es aus Sicherheitsgründen nicht erlaubt ist, dass ein manuell angelegter FTAPI-Account und ein
LDAP-Account mit demselben Benutzernamen existieren. In diesem Fall wird beim Login eine Fehlermeldung angezeigt.
Um dieses Problem zu umgehen, loggen Sie sich bitte als Administrator ein und geben Sie dem FTAPI-Account einen
anderen Benutzernamen.
ftapi.ldap.url
Dieser Parameter ist Pflicht und gibt die URL zu Ihrem LDAP-Server im Format ldap://<host>:<port> an. Über diese URL muss der
LDAP-Server vom FTAPI-System aus erreichbar sein. Ein Beispiel:
ldap://ad-server:389
ftapi.ldap.manager.dn
Mit diesem Parameter wird der sogenannte DN (Benutzername) des LDAP-Managers angegeben, über den die Verbindung zum
LDAP-System aufgebaut werden soll. Diese Angabe ist Pflicht. Ein Beispiel:
[email protected]
ftapi.ldap.manager.password
Das Passwort des LDAP-Managers. Diese Angabe ist optional, je nach dem ob der LDAP-Manager ein Passwort besitzt oder nicht.
Parameter für das Attribut-Mapping
Mit den nachfolgend beschriebenen Parametern können Sie bestimmen, welche Felder aus einem LDAP-Account verwendet werden, um
dessen Werte in den FTAPI-Account zu übernehmen.
Im Regelfall ist keine Änderung dieser Parameter notwendig.
ftapi.ldap.attr.firstName
Bestimmt den Namen des LDAP-Context-Felds, dessen Wert als Vorname in den lokalen FTAPI-Account übernommen werden soll.
ftapi.ldap.attr.lastName
Bestimmt den Namen des LDAP-Context-Felds, dessen Wert als Nachname in den lokalen FTAPI-Account übernommen werden soll.
ftapi.ldap.attr.email
Bestimmt den Namen des LDAP-Context-Felds, dessen Wert als E-Mail in den lokalen FTAPI-Account übernommen werden soll.
ftapi.ldap.attr.fingerprint
Bestimmt den Namen des LDAP-Context-Felds, dessen Wert als eindeutiger Fingerabdruck in den lokalen FTAPI-Account übernommen
werden soll. Dies ist aus Sicherheitsgründen notwendig, um sicher zu stellen, dass der LDAP-Context nicht durch einen anderen
"ausgetauscht" wird und kann jedes beliebige Feld sein, welches einen eindeutigen Wert besitzt.
Parameter für die LDAP-Suche
Nachdem mit dem LDAP-System eine Verbindung hergestellt wurde, wird in einem ganz bestimmten Bereich im "LDAP-Baum" nach dem
Login-Benutzer gesucht. Welcher Bereich dies ist und wie diese Suche durchgeführt werden soll, wird durch die nachfolgenden Parameter
bestimmt.
ftapi.search.base
Dieser Parameter bestimmt den Basis-Knoten im LDAP-Baum, ab dem mit der Suche begonnen werden soll.
Ein solcher Pfad könnte beispielsweise für einen Active-Directory-Server auf einem Microsoft Small Business Server folgendermaßen
aussehen:
ou=SBSUsers,ou=Users,ou=MyBusiness,dc=ftapi,dc=local
Im Active Directory Browser würde sich dieser Pfad dann durch folgende Baumstruktur widerspiegeln:
Weitergehende Informationen, wie LDAP-Pfade aufgebaut sein können, entnehmen Sie bitte der Dokumentation zu Ihrem
LDAP-Serversystem.
ftapi.ldap.search.filter
Mit diesem Parameter werden die Context-Typen bestimmt, die für eine Überprüfung heran gezogen werden sollen. Es stellt somit einen
Filter dar.
Unter einem Active-Directory-Server sollte diese Angabe stets folgendermaßen belassen werden:
(&(sAMAccountName={0})(objectclass=user))
ftapi.ldap.search.subtree
Dieser Parameter bestimmt, ob rekursiv gesucht werden soll (true) oder nicht (false). D.h., ob auch in den Kinderknoten nach dem
Login-Benutzer gesucht werden soll. Vor allem bei großen LDAP-Baumen ist es häufig sinnvoll, diesen Wert auf false zu setzen, um die
Systemlast zu vermindern. Allerdings muss dann der Parameter ftapi.search.base direkt auf die korrekte Ebene zeigen.
Parameter für den Cleanup
FTAPI besitzt einen Mechanismus um FTAPI Accounts, die zwar über LDAP angelegt wurden aber im LDAP System nicht mehr existieren,
auch aus der FTAPI Benutzerdatenbank wieder zu entfernen. Dies stellt vor allem bei großen Benutzerdatenbanken eine deutliche
Erleichterung für den LDAP-Administrator dar.
ftapi.ldap.cleanup.enabled
Dieser Parameter gibt an, ob die LDAP Cleanup-Funktion aktiv sein soll oder nicht. Der Standardwert ist false.
ftapi.ldap.cleanup.interval
Dieser Parameter ist ein Cron-Job, der angibt, in welchen Intervallen ein Abgleich der FTAPI Accounts mit dem LDAP-System erfolgen soll.
Im nachfolgenden Beispiel erfolgt eine solche Überprüfung täglich um 4:00 Uhr Morgens. Dies ist auch die Standardeinstellung.
ftapi.ldap.cleanup.interval=0 0 4 * * ?
Mapping von LDAP-Gruppen zu FTAPI-Gruppen
Standardmäßig kann sich jeder Benutzer, der einen gültigen Account im LDAP-System besitzt, in FTAPI einloggen.
Er erhält in diesem Fall automatisch alle Gruppen zugeordnet, die durch ftapi.ldap.default.groups spezifiziert wurden.
Vor allem in größeren Umgebungen ist es oft gewollt, dass nur eine bestimme, privilegierte Gruppe von LDAP-Benutzern Zugang zum
FTAPI-System erhält.
FTAPI bietet hierfür zwei verschiedene Möglichkeiten an, wie eine Zuordnung von LDAP zu FTAPI-Gruppen erfolgen kann.
Single Mapping &
Multi Mapping
Diese werden nachfolgend näher erklärt.
Single Mapping
Dies ist die einfachere Variante von beiden, um von LDAP zu FTAPI Gruppen zu mappen und wird deshalb vor allem dann empfohlen, falls
Sie keine feingranulare Zuordnung je Benutzer zu FTAPI-Gruppen benötigen.
Hier muss nur eine einzige Gruppe in LDAP angelegt werden (z.B. mit dem Namen FTAPI). Alle LDAP-Benutzer, die dieser Gruppe
angehören, erhalten beim Login dann automatisch die FTAPI-Gruppe zugeordnet, die durch das Property ftapi.ldap.default.groups definiert
wurden.
Im Active Directory Browser wäre hierfür beispielsweise folgende Struktur sinnvoll:
Innerhalb der Organisationseinheit SBSUsers wurde hier die Gruppe FTAPI angelegt, welcher die für FTAPI privilegierten Benutzer
hinzugefügt werden.
Um Single Mapping zu aktivieren, sind in der FTAPI Konfiguration folgende Einstellungen vorzunehmen:
Die wichtigsten Einstellungen zu den obigen Properties sind nachfolgend noch einmal zusammengefasst:
config.property.ftapi.ldap.role.mapping.enabled=true (Haken gesetzt)
aktiviert das generelle Mapping von LDAP-Gruppen zu FTAPI-Gruppen
config.property.ftapi.ldap.role.mapping.search.base
Angabe des LDAP-Pfades zum Verzeichnis, in welchem sich die LDAP-Gruppe befindet
config.property.ftapi.ldap.role.mapping.single=true (Haken gesetzt)
aktiviert das Single Mapping
config.property.ftapi.ldap.role.mapping.single.group=FTAPI
Name der LDAP-Gruppe, welcher alle LDAP-Benutzer zugeordnet sein müssen, um FTAPI verwenden zu können.
Diese Gruppe muss sich innerhalb des Pfads befinden, der durch config.property.ftapi.ldap.role.mapping.search.base
angegeben wurde
config.property.ftapi.ldap.default.groups
Stellen Sie hier all diejenigen FTAPI-Gruppen ein, die ein Benutzer der der LDAP-Gruppe FTAPI standardmäßig erhält.
Nachfolgend als Beispiel die Standard-Zuordnungen:
Multi Mapping
Im Gegensatz zum Single Mapping, bietet das Multi Mapping die Möglichkeit der 1-zu-1-Zuordnung von LDAP-Gruppen zu FTAPI-Gruppen.
Legen Sie hierfür in LDAP einfach eine Gruppe an, die denselben Namen wie die zugehörige FTAPI-Gruppe (z.B. GROUP_EMPLOYEE)
besitzt und fügen Sie dieser die entsprechenden LDAP-Benutzer hinzu. Sobald sich diese LDAP-Benutzer in FTAPI einloggen, werden sie
automatisch der gleichnamigen FTAPI-Gruppe zugeordnet. Dies können Sie für alle anderen FTAPI-Gruppen gleichermaßen durchführen.
Im Active Directory Browser ist hierfür beispielsweise folgende Struktur sinnvoll:
Innerhalb der Organisationseinheit SBSUsers wurde eine weitere Organisationseinheit FTAPIGroups erstellt, in welcher sich alle Gruppen
befinden.
Um Multi Mapping zu aktivieren, sind in der FTAPI Konfiguration folgende Einstellungen vorzunehmen:
Beim Multi Mapping ist - im Vergleich zum Single Mapping (s. oben) - lediglich das folgende Property anders einzustellen.
ftapi.ldap.role.mapping.single=false (Haken nicht gesetzt)
deaktiviert das Single Mapping und aktiviert das Multi Mapping
Zusätzlich müssen Sie sicherstellen, dass im Property ftapi.ldap.default.groups kein Wert gesetzt ist, damit keine
Zuordnung zu den Standard-FTAPI-Gruppen erfolgt (außer Sie wünschen dies explizit).
Dies erreicht man durch Drücken der STRG-Taste und anklicken der noch markierten Zeilen, um alle Zeilen als nicht
markiert speichern zu können.
Einrichtung mehrerer LDAP-Systeme
Es können bis zu drei (3) LDAP-Systeme über die FTAPI Konfiguration hinterlegt werden. Diese werden dann hintereinander bei einem
Loginversuch eines Benutzers auf dessen richtigen Login hin überprüft.
SecuPass Aktivierung
Was ist SecuPass™?
SecuPass™ als Mitarbeiter aktivieren
SecuPass™ als Empfänger aktivieren
1. Schritt:
2. Schritt:
3. Schritt:
4. Schritt:
Step-by-Step Anleitung für die Aktivierung der SecuPass™-Verschlüsselung
Was ist SecuPass™?
Die von FTAPI entwickelte SecuPass™-Verschlüsselung ermöglicht eine durchgängig (Ende-zu-Ende) verschlüsselte Übertragung beliebiger
Dateien.
Neben der höchstmöglichen Sicherheit ist das Besondere von SecuPass™, dass diese Transfers zwischen beliebigen Personen (bzw.
Endpunkten) stattfinden kann, ohne dass diese aufwändig Schlüssel- bzw. Zertifikate erstellen und installieren müssen. Bei FTAPI
funktioniert dieser Prozess vollautomatisch und ist zudem so einfach wie das Versenden einer E-Mail.
SecuPass™ als Mitarbeiter aktivieren
Um SecuPass™ (Ende-zu-Ende Verschlüsselung) für einen Mitarbeiter-Account zu aktivieren, verwenden Sie die Anzeige am
oberen Bildschirmrand oder den Link am Ende Ihrer Benutzereinstellungen.
Geben Sie anschließend Ihr Passwort ein, um die SecuPass™-Aktivierung zu starten.
Sie bekommen im Anschluß daran eine E-Mail mit einem Aktivierungslink. Klicken Sie auf den Link in der E-Mail, um die
SecuPass™-Aktivierung erfolgreich abzuschliessen.
Nachdem Sie die SecuPass™-Verschlüsselung aktiviert haben, können Sie ab sofort Zustellungen mit der Sicherheitsstufe 3
(Geheim) versenden wie auch empfangen.
SecuPass™ als Empfänger aktivieren
1. Schritt:
Ein Mitarbeiter versucht an einen neuen Empfänger eine Zustellung mit Sicherheitsstufe 3 (Geheim) zu versenden. Um dies
erfolgreich durchzuführen, muss dieser Empfänger einen Account mit aktivem SecuPass™ besitzen. Sollte das nicht der Fall, kommt
der nachfolgend dargestellte Hinweis.
Mitarbeiter (=Versender der Zustellung) sieht beim Versenden folgendes:
2. Schritt:
Der Empfänger bekommt per E-Mail einen Aktivierungslink zugeschickt. Nachdem er diesen angeklickt hat kann dieser direkt einen
neuen Account für sich anlegen.
Empfänger sieht beim Anlegen seines Accounts folgendes:
3. Schritt:
Nachdem der Empfänger die Felder für seinen Account ausgefüllt und gespeichert hat, kann dieser im nächsten Schritt seine
SecuPass™-Verschlüsselung aktivieren.
Empfänger sieht bei seiner SecuPass™-Aktivierung folgendes:
4. Schritt:
Nachdem der Empfänger seine SecuPass™-Verschlüsselung aktiviert hat, bekommt der Mitarbeiter der ursprünglichen Zustellung
eine E-Mail mit einem Link, um den gesamten Zustellprozess fertigstellen zu können.
Mitarbeiter (=Versender der Zustellung) sieht beim abschließenden Versenden folgendes:
Wenn im ersten Schritt mehrere Empfänger angelegt sind, ist es möglich im letzten Schritt alle/mehrere noch
ausstehenden Zustellungen gleichzeitig zu versenden.
Welche Zustellungen bzw. Empfänger dies betrifft wird dann in Form einer Meldung übersichtlich angezeigt.
SubmitBox
Eine SubmitBox bietet Ihren Kunden und Partnern die Möglichkeit, Ihnen große und/oder sensible Daten über eine einfache Website zu
übermitteln, ohne dass diese spezielle Software installieren oder sich Zugangsdaten merken müssen.
SubmitBox Beispiel
Nachfolgend die SubmitBox von Max Mustermann:
SubmitBox aufrufen
Jeder FTAPI-Benutzer erhält automatisch eine eigene SubmitBox. Dies ist über die URL http://<host>/submit/<username> erreichbar, wobei
<host> für den Hostnamen Ihres FTAPI-Servers und <username> für den entsprechenden Benutzernamen steht. Ein Beispiel
https://localhost/submit/MaxMustermann
Die SubmitBox-URL ist ähnlich einer E-Mail oder Telefonnummer:
Sie können diese über Ihre Website oder E-Mail-Signatur an Ihre Kunden und Partner publizieren mit dem Hinweis, dass
sie große und/oder sensible Dateien direkt über diese URL an Sie zustellen können.
Beispiel:
Um große oder sensible Daten an mich zu übermitteln,
verwenden Sie bitte folgenden Link:
https://localhost/submit/MaxMustermann
SubmitBox de-/aktivieren
Standardmäßig ist die SubmitBox eines Benutzers bei dessen Neuanlage aktiviert. In den Benutzereinstellungen des entsprechenden
Benutzers kann diese nachträglich deaktiviert werden.
Ist eine SubmitBox deaktiviert, so wird bei deren Aufruf eine entsprechende Meldung angezeigt. Externe Partner und Kunden können dann
keine Daten über diese SubmitBox einreichen.
In der Konfiguration kann zudem die Standardeinstellung definiert werden, ob die SubmitBox von neu angelegten
Benutzern aktiv oder deaktiv sein sollen.
Customizing und WebUI anpassen
WebUI anpassen
Logo Customizing
WebUI anpassen
Sie können das Erscheinungsbild der FTAPI SecuTransfer Web-Oberfläche durch folgende Schritte anpassen:
Öffnen Sie die css.jsp Datei die unter dem Pfad \ftapi-server\webapps\ROOT\webui\templates\css.jsp zu finden ist. In dieser Datei können
Sie die Werte (Values) in den Zeilen 5-31 nach Ihrem Bedarf und Coprorate Design Vorgaben anpassen.
Backup von css.jsp machen
Bevor Sie die Datei css.jsp öffnen und ändern, machen Sie bitte unbedingt eine Kopie der Original als Backup.
Nachdem Sie die gewünschte Änderungen vorgenommen haben, speichern Sie die geänderte css Datei.
Anpassungen direkt prüfen können
Sie können alle Änderungen nach dem Speichern der css.jsp Datei direkt in Ihrer FTAPI Umgebung sehen, in dem Sie den
Browser einfach aktualisieren.
Nachfolgend ein Beispiel für eine indviduell angepasste WebUI am Beispiel des Reiters "Übersicht":
Logo Customizing
Weiterhin können Sie auch Ihr eigenes Logo in der WebUI einfügen.
Die gewünschte Datei einfach als logo.png in folgendem Pfad speichern (vorher eine Kopie der vorhandenen gleichnamigen Datei als
Backup machen):
\ftapi-server\webapps\ROOT\webui\static\resources\images\logo.png
Optimale Logo-Höhe
Ihr Logo sollte nicht höher als 80px sein.
Web- & E-Mail-Templates
FTAPI verwendet eine einheitliche Weboberfläche zur Darstellung der Benutzermasken.
Eine Anpassung (Customizing) an Ihr Corporate Design und Ihr Wording ist grundsätzlich mit Kenntnissen in CSS und HTML möglich. Für
eine Funktionsgarantie lassen Sie sich bitte für Anpassungen vom FTAPI Support unterstützen.
Das Aussehen der von FTAPI ausgelieferten Web-UI ist hier dokumentiert und dargestellt.
Web-Templates
Das Aussehen der FTAPI Weboberflächen wird durch sogenannte Web-Templates festgelegt.
Alle Templates und Bilder Ihrer FTAPI SecuTransfer Installation befinden sich im Verzeichnis /ftapi-server/webapps/ROOT/webui
\static\resources &
\templates
E-Mail-Templates
In FTAPI werden für verschiedene Vorgänge automatisch generierte E-Mails versendet. Das Format dieser E-Mails wird jeweils durch ein
E-Mail-Template festgelegt.
Die E-Mail-Templates werden beim ersten Start des FTAPI-Servers in das Verzeichnis ~/.ftapi/templates/notification kopiert. Dort können Sie
grundsätzlich Anpassungen an diesen vornehmen.
Standardmäßig kommt die Template-Engine Velocity zum Einsatz. Für nähere Hinweise werfen Sie bitte einen Blick in die Dokumentation zu
dieser Template-Engine (http://velocity.apache.org/).
Innerhalb eines Templates werden häufig implizite Objekte zur Verfügung gestellt. Welche Objekte dies sind, wird ebenfalls im jeweiligen
Template beschrieben. In welchen Situationen die einzelnen Templates verwendet werden, ist im jeweiligen Template beschrieben.
Bitte beachten Sie, dass Änderungen an den Templates nur durch den FTAPI-Support durchgeführt werden sollten. Falls
Sie dennoch diese Templates selbst anpassen möchten, kann FTAPI hierfür keine Haftung übernehmen. Falls dadurch
Probleme im Betrieb von FTAPI entstehen, sind Sie hierfür selbst verantwortlich.
Download Disclaimer
In FTAPI haben Sie die Möglichkeit, sich vom Empfänger einer Zustellung zuvor eine Zustimmung zu festgelegten Bedingungen einzuholen,
bevor dieser den Download starten kann.
Erst wenn der Empfänger den angezeigten Bedingungen durch Anklicken der Checkbox "Ich stimme zu" zustimmt, kann er den Download
starten.
Hierdurch können Sie auf einfache Art und Weise eine rechtliche Sicherheit herstellen. Sowohl der Zeitpunkt der Zustimmung als auch der
Fingerprint des entsprechenden Disclaimer-Textes werden festgehalten und können für spätere Zwecke wieder geladen werden.
Aktivieren und konfigurieren
Um diese Funktion zu aktivieren, müssen Sie in der Konfiguration beim Wert ftapi.download.disclaimer.enabled einen Haken (also auf
true) setzen.
Über den Eintag ftapi.download.disclaimer.path geben Sie den Pfad zur Disclaimer Text-Datei an, welche den Disclaimer-Text beinhaltet,
der dem Empfänger vor dem Herunterladen einer Zustellung angezeigt werden soll.
Standardmäßig ist dies #{ftapi.home}/templates/download-disclaimer.txt.
Eigenen Disclaimer-Text ergänzen
In der Regel ist keine Anpassung dieses Pfades, jedoch die Ergänzung Ihres eigenen Disclaimer-Textes in der zuvor
genannten Datei, notwendig.
Präfix-Regeln
Wenn Sie beim Wert ftapi.download.disclaimer.enabled einen Haken (also auf true) setzen, wird zunächst ausnahmslos für jede
Zustellung dem Empfänger der Download-Disclaimer angezeigt. Dies ist allerdings nicht immer gewollt, da Sie z.B. nur für bestimmte
Zustellungen einen Disclaimer anfordern möchten und für andere wiederum keinen benötigen.
Hierfür können Sie den Eintrag ftapi.download.disclaimer.subject.prefixes verwenden, welcher standardmäßig zunächst leer ist. Falls Sie
hier mindestens ein sogenanntes Präfix angeben, wird mit jeder Zustellung dessen Betreff mit diesem Präfix abgeglichen und der
Download-Disclaimer nur dann angezeigt, falls der Betreff (genau) mit diesem Präfix beginnt.
Sie können auch mehrere Präfixes definieren, indem Sie diese durch ein Komma trennen. In diesem Fall wird der Disclaimer nur dann
angezeigt, wenn der Betreff mit einem dieser Präfixe beginnt.
Ein Beispiel:
Angenommen, Ihre Präfix-Einstellung lautet wie folgt:
ftapi.download.disclaimer.subject.prefixes=[RELEASE],[UPDATE]
So würden folgende Betreffzeilen dazu führen, dass beim Download der Download Disclaimer angezeigt wird:
[UPDATE] Ihr Software 1.1 Update
[RELEASE] Ihr Software 2.0 Release
Hingegen würden die folgenden Betreffzeilen dazu führen, dass beim Download der Download Disclaimer nicht angezeigt wird:
Ihr Software 1.1 Update
Ihr Software 2.0 Release
Benutzer importieren
Sie haben in FTAPI SecuTransfer die Möglichkeit, mehrere Benutzer auf einmal zu importieren.
Wechseln Sie hierfür in das Verzeichnis .ftapi/import und öffnen Sie die Datei default-users.csv.
Hierbei handelt es sich um eine sogenannte CSV-Datei, welche nachfolgend beispielhaft dargestellt ist:
# Username;
Password; Enabled; Email;
FirstName; LastName; Groups;
#
----------------------------------------------------------------------------------------------------BugsBunny;
{SHA}acbd; true;
[email protected]; Bugs;
Bunny;
GROUP_EMPLOYEE;
Jeder Benutzer, der in das System eingetragen werden soll, muss in einer eigenen Zeile definiert werden, wobei die einzelnen Spalten durch
ein Semikolon ; voneinander getrennt sein müssen.
Existiert ein Benutzer mit dem angegebenen Username bereits, so wird er nicht erneut eingetragen. Auch ein Update
dieser Benutzerdaten erfolgt nicht.
Nachdem Sie die Eintragungen durchgeführt haben, starten Sie den FTAPI SecuTransfer Server neu.
Die aufgelisteten Benutzer werden anschließend direkt in Ihr FTAPI-System importiert und sind in der Benutzerverwaltung verfügbar.
Kurze Beschreibung der einzelnen Spalten:
Username (erforderlich):
Der eindeutige Name des Benutzers. Existiert bereits ein Benutzer mit demselben Namen, wird der Import für diesen Benutzer
übersprungen.
Password (erforderlich):
Das Passwort, welches für den Login verwendet werden soll. Aus Sicherheitsgründen sollten Sie hier ausschließlich codierte
Passwörter angeben. Unterstützt werden die beiden Hash-Verfahren SHA. Welcher Hash-Algorithmus verwendet wurde, muss
durch das Präfix {SHA} vor dem Passwort angegeben werden. Wird kein solches Präfix gesetzt, so wird davon ausgegangen, dass
das Passwort im Klartext vorliegt (nicht empfohlen).
Enabled (optional):
Gibt an, ob der angegebene Benutzer aktiviert (true) oder deaktiviert (false) sein soll. Wird hier kein Wert angegeben, so wird der
Wert true angenommen.
Email (erforderlich):
Die eindeutige E-Mail-Adresse des Benutzers.
FirstName (optional):
Der Vorname des Benutzers.
LastName (optional):
Der Nachname des Benutzers.
Groups (erforderlich):
Eine Angabe der Gruppe, die dem Benutzer zugewiesen werden soll. Hier darf immer nur genau eine und höchstwertige Gruppe
angegeben werden.
Hier finden Sie eine Beschreibung aller in FTAPI verfügbaren Gruppen (Account-Typen).
Action Logs
Zahlreiche Aktionen, die in FTAPI durchgeführt werden, werden protokolliert. Somit ist es ein Leichtes, später Auswertungen durchzuführen
und z.B. verantwortliche Personen zu ermitteln.
Die letzten 1000 Aktionen können direkt über die Administrations-Oberfläche im Menüpunkt Logs -> Aktionen eingesehen werden.
Nachfolgend ein Beispiel:
Benötigen Sie hingegen alle Aktionen, so finden Sie diese in der verwendeten SQL-Datenbank in der Tabelle ActionLog.
FAQ (1.2)
Installation
Ich bekomme in der Konsole die Meldung, dass keine JAVA_HOME bzw. JRE_HOME Variable definiert ist. Was ist zu tun?
Beim FTAPI Serverstart kommt ein Meldung "socket bind excpetion". Wie kann ich dies beheben?
Ein Port wie z.B. 8080 ist bei mir bereits belegt. Wie kann ich FTAPI auf einem anderen betreiben?
Was muss man einen Mailserver für das Relaying einstellen, damit E-Mails vom FTAPI Server darüber verschickt werden?
Linux
Ich möchte den FTAPI-Server in einer grafischen Linuxumgebung starten. Was ist zu tun?
Ich kann meinen FTAPI-Server unter Linux nicht als ROOT ausführen. Welche andere Möglichkeit gibt es?
Konfiguration
Ich möchte eine externe Datenbank (z.B. MySQL) für die Metadaten anbinden. Was ist zu tun?
Ich möchte den Ort, an dem die Binärdaten abgelegt werden ändern. Was ist zu tun?
Ich möchte das alle URL-Aufrufe immer per HTTPS erfolgen bzw. dorthin weitergeleitet werden. Wie und wo stelle ich das
ein?
Ich möchte den Ort für das .ftapi Verzeichnis ändern. Was ist zu tun?
Meine Base-URL soll mit einer Erweiterung wie z.B. /ftapi-server aufhören. Wie kann ich das einstellen?
Wie finde ich die Version meines eingesetzten Apache Tomcat heraus?
Ich habe einen Proxy-Server in Betrieb. Wie kann ich FTAPI damit ausführen?
WebUI
In meinem Internet Explorer (ab Version 8) öffnen sich immer neue Fenster. Wie kann ich das auf neue Registerkarten/Tabs
umstellen?
Installation
Ich bekomme in der Konsole die Meldung, dass keine JAVA_HOME bzw. JRE_HOME
Variable definiert ist. Was ist zu tun?
Wenn Sie beim Starten von FTAPI über die Konsole die folgende Meldung bekommen, dann ist an Ihrem Server keine Java
Umgebungsvariable gesetzt.
"Neither the JAVA_HOME nor the JRE_HOME environment variable is defined.
At least one of these environment variable is needed to run this program."
Legen Sie hierzu in Ihren Systemeinstellungen eine passende Umgebungsvariable an.
Bei Einsatz von Java JRE (Runtime Environment) eine JRE_HOME (bei Verwendung des JDKs eine JAVA_HOME).
Als Variablen-Wert verwenden Sie die Pfadangabe zur jeweiligen Java-Installation. Zu Beispiel bei einem Windows-Server
JRE_HOME=C:\Programme\Java\jre6
Konsole erneut öffnen
Nach dem Anlegen einer neuen Umgebungsvariable müssen Sie die - eventuell noch offene Konsole/Eingeabeaufforderung bzw. Ihre Explorer erneut öffnen, damit die neue Umgebungsvariable geladen wird.
Beim FTAPI Serverstart kommt ein Meldung "socket bind excpetion". Wie kann ich
dies beheben?
Die Meldung "java.net.BindException: The socket name is already in use." oder "Error initializing endpoint. java.lang.Exception: Socket bind
failed" erscheint dann, wenn der im FTAPI Server hinterlegte Port (standardmäßig 443) auf dem Server bereits in Verwendung/belegt ist.
FTAPI SecuTransfer Port einfach umstellen
Für eine schnelle Umstellung auf einen anderen Port, können Sie die Datei server.xml durch die bereits mit ausgelieferte
Datei server_https_port8443.xml ersetzen. Dazu die vorhandene server.xml umbenennen (z.B. in
server_https_port443.xml) und danach die neue mit Port 8443 einfach als server.xml speichern.
Beim nächsten FTAPI Serverstart, wird dieser auf dem Port 8443 ausgeführt, welcher in der Regel nicht belegt ist.
Ein Port wie z.B. 8080 ist bei mir bereits belegt. Wie kann ich FTAPI auf einem anderen
betreiben?
Falls für den Betrieb von FTAPI ein Port bereits belegt/andersweitig verwendet wird, kann dieser auf einen beliebigen freien Port umgestellt
werden,
1. Den FTAPI-Server stoppen
2. In der FTAPI Konfiguration den Eintrag *ftapi.base.url=http://localhost:8080* suchen und entsprechend dem neuen Port anpassen
(z.B. statt 8080 den privilegierten Port 443 eintragen)
3. Damit auch der Tomcatserver den gleichen Port nutzt, muss noch die Datei /ftapi-server/conf/server.xml angepasst werden.
Darin den folgenden Eintrag mit port="8080" suchen und auf den neuen Port (z.B. 443) anpassen:
<Connector port="80" protocol="HTTP/1.1"
connectionTimeout="20000"
redirectPort= "443" />
4. Den FTAPI-Server starten
5. (Optional: Diesen neuen Port in Ihrer Firewall für Zugriffe von extern freischalten, was in der Regel bei 443 bereits der Fall sein
sollte.)
Was muss man einen Mailserver für das Relaying einstellen, damit E-Mails vom FTAPI
Server darüber verschickt werden?
Die genauen Einstellungen hängen von dem jeweils eingesetzten Mailserver und dessen Relay-Möglichkeiten ab.
Grundsätzlich muss der Mailserver so eingestellt sein, dass diesem als Relay-Server erlaubt ist, E-Mails vom FTAPI-System (als
Remoteserver mit IP-Adresse eintragen) verschicken zu dürfen.
Linux
Ich möchte den FTAPI-Server in einer grafischen Linuxumgebung starten. Was ist zu
tun?
Für die Installation und Einrichtung unter einem Linux-System werden nachfolgend die Schritte und Befehle beschrieben, die man per
Terminal und/oder Oberfläche benötigt;
diese Punkte sind als Unterschritte - speziell für Linux-Umgebungen - zum Punkt 2. bei Installation zu verstehen:
1. Terminal/Konsole öffnen und in das entpackte FTAPI Verzeichnis wechseln
2. Dort die Berechtigungen der folgenden Ordner mit chmod +x *.sh auf ausführbar setzen
/ftapi-server/ und
/ftapi-server/bin/
(Alternativ kann dies in einigen Linuxumgebungen auch über die grafische Oberfläche geschehen, indem man in den
entsprechenden Dateieigenschaften den Haken beim Zugriffsrecht "Datei als Programm ausführen" setzt!)
3. Anschließend die Datei /ftapi-server/ftapi.sh ausführen (Befehl in Konsole lautet ./ftapi.sh start)
4. Das Terminalfenster offen lassen, da der Server nochmal gestoppt und neu gestartet werden muss - dann weiter mit Schritt 3. in der
Installation
Anzeige versteckter Ordner und Dateien in grafischer Linux-Oberfläche
Um den .ftapi Ordner im Userverzeichnis angezeigt zu bekommen folgende Hinweise:
(Open) Suse KDE: Dolphin (Dateiexplorer) unter Ansicht/Versteckte Dateien anklicken
Ubuntu: Dateibrowser (bzw. File Browser) unter Bearbeiten/Einstellungen "Show hidden and backup files"
Ich kann meinen FTAPI-Server unter Linux nicht als ROOT ausführen. Welche andere
Möglichkeit gibt es?
Wenn Sie keine Möglichkeit bzw. Berechtigung haben, Ihren FTAPI-Server in einer Linuxumgebung nicht als ROOT auszuführen, muss der
Port, unter dem der FTAPI-Server betrieben wird, auf einen nicht privilegierten (<1023) umgestellt werden.
Hierfür können Sie ganz einfach die mitausgelieferte Datei server_https_Port8443.xml im Verzeichnis /ftapi-server/conf/ verwenden.
Dazu muss die vorhandene Datei server.xml durch diese Datei ersetzen. Bitte machen Sie sich hierbei immer eine Sicherheitskopie der
ursprünglichen Dateien!
Anschließend ist Ihr FTAPI Server im Browser unter https://localhost:8443 erreichbar - abschließend dann noch die FTAPI Base-URL in der
Konfiguration im Bereich Grundeinstellungen ebenfalls auf den Port 8443 anpassen und speichern.
Konfiguration
Ich möchte eine externe Datenbank (z.B. MySQL) für die Metadaten anbinden. Was ist
zu tun?
Externe MySQL Datenbank anbinden
Beachten Sie hierzu bitte die Informationen unter [Metadaten (Datenbank)]!
Ich möchte den Ort, an dem die Binärdaten abgelegt werden ändern. Was ist zu tun?
Bei Verwendung des LocalDiskStorage (Standard) werden die Binärdaten im Verzeichnis ~/.ftapi/storage abgelegt. Um diesen Speicherort
zu ändern, sind folgende Schritte notwendig:
1. Den FTAPI-Server stoppen
2. In der Konfiguration den Eintrag ftapi.storage.home=${ftapi.home}/storage suchen und entsprechend dem neuen Verzeichnis
anpassen (z.B. ftapi.storage.home=/data)
3. Den Inhalt von ${ftapi.home}/storage physisch in das neue Verzeichnis (z.B. /data) verschieben
4. Den FTAPI-Server wieder starten
Binärdaten verschieben
Beachten Sie hierzu auch die Informationen unter [Binärdaten (Storage)]!
Ich möchte das alle URL-Aufrufe immer per HTTPS erfolgen bzw. dorthin weitergeleitet
werden. Wie und wo stelle ich das ein?
Die notwendigen Einstellungen für ein Redirect von http Anfragen auf eine gesicherte https URL ist HIER erläutert.
Ich möchte den Ort für das .ftapi Verzeichnis ändern. Was ist zu tun?
Standardmäßig wird der .ftapi-Ordner direkt unterhalb Ihres ftapi-server Verzeichnisses angelegt und genutzt. Man kann diesen Pfad auch fix
an einem anderen Ort angeben.
In Windows-Umgebungen ist hierfür die folgende Zeile in der Datei /ftapi-server/ftapi-start.bat anzupassen:
set CATALINA_HOME=%cd%
set JAVA_OPTS="-Dftapi.home=%CATALINA_HOME%/../.ftapi"
in z.B.
set JAVA_OPTS="-Dftapi.home=D:/.ftapi"
Damit würde der .ftapi-Ordner unterhalb des Laufwerks D: angelegt und genutzt werden. Das gleiche ist somit auch mit Netzlaufwerken und
Freigaben möglich.
Bereits installierter Dienst/Daemon
Falls Sie den FTAPI Tomcat Server bereits als Dienst/Daemon installiert haben, müssen Sie diesen entpsrechend
anpassen und ggfs. erneut installieren - inkl. der geänderten Pfadangabe.
Meine Base-URL soll mit einer Erweiterung wie z.B. /ftapi-server aufhören. Wie kann
ich das einstellen?
Wenn Sie möchten, dass Ihre Base-URL mit einer speziellen Erweiterung wie z.B. /ftapi-server endet, können Sie die FTAPI war-Datei
entsprechend umbenennen.
1. Den FTAPI-Server stoppen
2. In der Konfiguration den Eintrag *ftapi.base.url=https://localhost:443* suchen und am Ende einfach das /ftapi-server hinzufügen
(Alternativ können Sie auch einen andere Bezeichnung einfügen - fragen Sie hierzu bitte Ihren FTAPI-Support)
3. Benennen Sie in Ihrem FTAPI-Server-Verzeichnis /ftapi-server/webapps die ausgelieferte Datei ROOT.war in ftapi-server.war um.
(Löschen Sie im gleichen Verzeichnis noch den kompletten Ordner ROOT - nur falls bereits vorhanden.)
4. Den FTAPI-Server starten
Bitte bedenken Sie, dass Sie bei Updates diese Umbenennung ebenfalls immer durchführen müssen!
Wie finde ich die Version meines eingesetzten Apache Tomcat heraus?
Öffnen Sie hierzu die Logdatei /ftapi-server/logs/catalina.DATUM.log. Hier sollten Sie eine Ziel ähnlich dem folgenden vorfinden:
INFO: Starting Servlet Engine: Apache Tomcat/6.0.29
Eine andere Möglichkeit besteht darin, die Jar-Datei ftapi-server/lib/catalina.jar mit einem üblichen Zip-Programm (z.B. WinZip, 7-zip, unzip)
zu entpacken und dort dann die darin befindliche Datei org/apache/catalina/util/ServerInfo.properties zu öffnen.
Hier sollten Sie eine Zeile ähnlich der folgenden vorfinden:
server.info=Apache Tomcat/6.0.29
Ich habe einen Proxy-Server in Betrieb. Wie kann ich FTAPI damit ausführen?
Selbstverständlich kann FTAPI mit einem Proxy-Server betrieben werden.
Falls Sie einen Proxy-Server bertreiben, empfehlen wir Ihnen, sich für Ihre FTAPI URL eine Ausnahme in Form von ftapi.ihre-domain.com* in
Ihren Proxy-Gruppenrichtlinien einzutragen.
Aufgrund der segmentierten Datenübertragung von FTAPI ist ein Proxy eher kontraproduktiv, wenn es u.a. um das Cachen von häufig
angefragten Daten geht.
Eine Authentifizierung gegenüber Proxy-Servern wird aus diesem Grund von FTAPI derzeit nicht unterstützt.
Grundsätzlich ist FTAPI auch mit dazwischengeschaltetem Proxy voll einsatzfähig, jedoch ist die Performance teilweise beinträchtigt.
Dies hängt primär auch vom Zugriffsort (Server direkt, Intranet oder Internet) auf den FTAPI Server ab.
WebUI
In meinem Internet Explorer (ab Version 8) öffnen sich immer neue Fenster. Wie kann
ich das auf neue Registerkarten/Tabs umstellen?
Damit bei Links auf der FTAPI-Weboberfläche neue Registerkarten anstelle von neuen Fenstern aufgehen, müssen Sie hierzu eine
Standard-Einstellung im IE8 verändern.
Im IE-Menü den Punkt Extras - Internetoptionen öffnen;
dort dann im Bereich Registerkarten die Einstellungen öffnen und den Radiobutton "beim Auftreten von Popups" auf "Internet Explorer
entscheiden lassen ..." setzen.
Apache Tomcat als Windows Dienst
Apache Tomcat als Windows Dienst betreiben
Die wichtigsten Vorteile von Tomcat als Windows Dienst sind
Reduziertes Risiko eines Versehentlichen Schließens der FTAPI Tomcat Instanz;
wenn Sie Tomcat manuell starten, öffnet sich ein Konsolenfenster welches dauerhaft offen bleibt. Das Risiko, dass jemand dieses
Fenster und damit FTAPI komplett aus Versehen schließt, ist hierbei recht hoch.
Automatisiertes Hochfahren (Recovery) des Tomcat FTAPI Dienstes nach einem Serverneustart.
Verbesserte Problembehandlung aufgrund von zusätzlichen Logausgaben des Servers in Dateiformat.
ApacheTomcat als Windows-Dienst für FTAPI einrichten
Um den Apache Tomcat6 Dienst zu installieren, werden folgende zwei Dateien auf Ihrem FTAPI System benötigt:
ftapi-service-install.bat
ftapi-service-uninstall.bat
ftapi-service-start.bat
ftapi-service-stop.bat
Alle Dateien befinden sich im Verzeichnis \ftapi-server;
falls diese bei Ihnen nicht vorhanden sein sollten, wenden Sie sich bitte an den FTAPI Support.
Führen Sie über die Eingabeaufforderung (muss mit Administratorrechten geöffnet sein) im ftapi-server Verzeichnis die folgende Datei aus:
ftapi-service-install.bat
Es sollten in der Eingabeaufforderung folgende Zeilen (mit Ihren entsprechenden Pfadangaben) erscheinen:
Installing the service 'Tomcat6' ...
Using CATALINA_HOME: "C:\FTAPI\ftapi-server"
Using CATALINA_BASE: "C:\FTAPI\ftapi-server"
Using JAVA_HOME: "C:\Program Files\Java\jdk1.6.0_18"
Using JVM: "C:\Program Files\Java\jdk1.6.0_18\jre\bin\server\jvm.dll"
The service 'Tomcat6' has been installed.
Weitere Info http://tomcat.apache.org/tomcat-6.0-doc/windows-service-howto.html#Installing_services
In LINUX-Umgebungen als Hintergrundprozess einrichten:
http://tomcat.apache.org/tomcat-6.0-doc/setup.html#Unix_daemon
Apache Tomcat Windows-Dienst deinstallieren
Nachfolgend wird kurz erläutert, wie Sie den Apache Tomcat6 Dienst deinstallieren.
Es wird hierbei NUR der Windows-Dienst entfernt - keine sonstigen Dateien!
Führen Sie in der Eingabeaufforderung (muss mit Administratorrechten geöffnet sein!) aus Ihrem ftapi-server Verzeichnis heraus folgenden
Aufruf aus:
ftapi-service-uninstall.bat
Der Apache Tomcat6 Dienst wird zuvor automatisch gestoppt und dann vollständig deinstalliert.
Bei erfolgreicher Deinstallation des Dienstes wird in der Eingabeaufforderung folgende Zeile ausgegeben:
The service 'Tomcat6' has been removed.
Apache Tomcat Windows-Dienst Einstellungen ändern
Wenn Sie an Ihrem ApacheTomcat6 Dienst Änderungen vornehmen möchten (z.B. unter einem anderen Benutzer ausführen, Pfade
anpassen, o.ä.), gehen Sie wie folgt vor:
Änderung des Dienst-Starttyps: In den Dienst-Eigenschaften (mit Admin-Rechten) kann der Starttyp (manuell, automatisch, usw.) jederzeit
angepasst und geändert werden.
Änderung des Anmelde-Kontos: Direkt in den Windows-Diensten (Aufruf über services.msc) den Apache Tomcat6 Dienst bearbeiten und die
Anmeldeinformationen eines bestimmten Benutzers, unter dem dieser Dienst für FTAPI ausgeführt werden soll (i.d.R. Administrator),
eintragen.
Pfadangabe des Tomcat-Verzeichnisses ändern: Der Pfad kann nicht direkt im Dienst angepasst werden - es wird empfohlen, den Dienst
zuvor komplett zu deinstallieren und beim Neueinrichten die CATALINA_HOME Variable in der Datei ftapi-service-install.bat entsprechend
dem neuen/geänderten Pfad anzugeben.
Standardmäßig ist der Pfad zum Tomcat BIN-Verzeichnis so gesetzt, dass dieser sich direkt unterhalb von \ftapi-server\
befindet.
Der Standardpfad lautet set CATALINA_HOME=%cd% - dies setzt CATALINA_HOME auf den Beispielordner
C:\FTAPI\ftapi-server\
Pfadangabe des .ftapi-Verzeichnisses ändern: Der Pfad kann nicht direkt im Dienst angepasst werden - es wird empfohlen, den Dienst zuvor
komplett zu deinstallieren und beim Neueinrichten die FTAPI_HOME Variable in der Datei ftapi-service-install.bat entsprechend dem
neuen/geänderten Pfad anzugeben.
Standardmäßig ist der Pfad zum .ftapi-Verzeichnis so gesetzt, dass der Order \.ftapi\ auf der gleichen (Hierarchie-)Ebene
wie auch \ftapi-server\ angesiedelt ist.
Der Standardpfad lautet set FTAPI_HOME=%CATALINA_HOME%/../.ftapi - dies setzt FTAPI_HOME auf den
Beispielordner C:\FTAPI\.ftapi
Redirect HTTP zu HTTPS einrichten
Folgende Einstellungen sind notwendig, damit alle URL-Aufrufe - sowohl HTTP wie auch HTTPS - immer über die SSL gesicherte FTAPI
Base-URL aufgerufen werden.
Im folgenden Beispiel erfolgt die gesicherte Kommunikation immer über den Port 443, da dieser ein Standard-Port ist, der auch in einer URL
nicht explizit angegeben werden muss.
Es müssen insgesamt die drei folgenden Dateien angepasst werden, damit der Tomcat-Redirect von ungesicherten http Aufrufen auf https
funktioniert.
server.xml
web.xml
Überprüfung FTAPI Base-URL in Konfiguration
server.xml
In der Datei server.xml - befindet sich im Ordner /ftapi-server/conf/ - muss folgendes stehen:
<Connector port="80" protocol="HTTP/1.1"
connectionTimeout="20000"
redirectPort="443" />
UND
<Connector port="443" protocol="HTTP/1.1" SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS"
keystoreFile="../.ftapi/security/ftapi.com.jks"
keyAlias="ftapi-server" keypass="changeit" />
Dies bewirkt, dass alle Webanwendungen unter %CATALINA_HOME%\webapps nur noch verschlüsselt erreicht werden können!
(ein Aufruf auf http://localhost:80 oder http://localhost wird automatisch immer zu https://localhost:443 weitergeleitet)
web.xml
In der Datei web.xml - ebenfalls im Ordner /ftapi-server/conf/ - ist der folgende Text ab und inklusive der Zeile <security-constraint> nach den
zuvor hier genannten Einträgen zu ergänzen:
<web-app xmlns="http://java.sun.com/xml/ns/javaee"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://java.sun.com/xml/ns/javaee
http:/java.sun.com/xml/ns/javaee/web-app_2_5.xsd"
version="2.5">
<security-constraint>
<web-resource-collection>
<web-resource-name>Secure Apps</web-resource-name>
<url-pattern>/*</url-pattern>
</web-resource-collection>
<user-data-constraint>
<transport-guarantee>CONFIDENTIAL</transport-guarantee>
</user-data-constraint>
</security-constraint>
Im FTAPI Server Verzeichnis befinden sich insgesamt zwei web.xml Dateien!
Die oben genannten Anpassungen sind alle in der Datei /ftapi-server/conf/web.xml durchzuführen bzw. werden bereits so
ausgeliefert.
Die zweite und NICHT zu ändernde Datei befindet sich unter /ftapi-server/webapps/ROOT/WEB-INF/web.xml
Überprüfung FTAPI Base-URL in Konfiguration
Abschließend noch in der Konfiguration überprüfen bzw. einstellen, dass die FTAPI-Base-URL ebenfalls als HTTPS und mit dem gleichen
Port (hier 443) angegeben ist:
Nachdem der FTAPI SecuTransfer Server neugestartet wurde, findet nun selbst beim Aufruf von http://localhost:80 automatisch eine
Weiterleitung direkt zu https://localhost:443 statt.
Changelog
Details zum Changelog (Verbesserungen, Neuerungen und Überarbeitungen) zur FTAPI Version 1.2 ist unter http://support.ftapi.com zu
finden.
Wir freuen uns über Ihr Feedback!