Zum Ende der Metadaten springen
Zum Anfang der Metadaten

Sie zeigen eine alte Version dieser Seite an. Zeigen Sie die aktuelle Version an.

Unterschiede anzeigen Seitenhistorie anzeigen

« Vorherige Version anzeigen Version 12 Nächste Version anzeigen »

In diesem Kapitel erfahren Sie, wie Sie einen Mandanten der PICTURE-Prozessplattform wie in den vorigen Kapiteln eingerichteten Infrastruktur, installieren.

Benötigte Ressourcen herunterladen

Laden Sie zunächst die benötigten Ressourcen zur Installation der PICTURE-Prozessplattform von der Website https://download.prozessplattform.de/ppp  herunter. Sie finden dort für die aktuelle Version sowie für einige Vorgängerversionen jeweils eine ZIP-Datei, welche die Webanwendung selbst sowie ergänzende Hilfsprogramme, einen Snapshot des Datenbank-Backends im Auslieferungszustand sowie der Vorlagen für die Konfigurationsdateien enthält. Die ZIP-Datei der aktuellsten verfügbaren Version finden Sie unter der URL https://download.prozessplattform.de/ppp/current.zip

Der Zugriff auf die o.g. Website ist passwortgeschützt. Ihre Zugangsdaten haben Sie bei der Bestellung Ihrer Prozessplattform-Lizenz von uns erhalten. Sollten Sie zwar über eine Lizenz sowie einen gültigen Wartungsvertrag verfügen, jedoch nicht im Besitz von Zugangsdaten sein, kontaktieren Sie bitte unseren Support.

Laden Sie die ZIP-Datei von der o.g. Adresse herunter und entpacken Sie sie in ein lokalen Verzeichnis.

cd ~
wget --user BENUTZERNAME --password PASSWORT https://download.prozessplattform.de/ppp/current.zip 
unzip current.zip

Nach dem Entpacken befinden sich im Verzeichnis "ppp_[Version]" (z.B. "ppp_3-23-1") Unterverzeichnisse mit den folgenden Inhalten:

  • program_files: WAR-Datei der PPP-Webanwendung, JAR-Datei des Datenbank-Migrationstools

  • db_template: Snapshot des Datenbank-Backends im Auslieferungszustand (mysqldump-Format)

  • config_templates: Vorlagen für Konfigurationsdateien

Vorlage für das initiale Datenbankschema einspielen

Richten Sie nun das Datenbank-Backend für den zu installierenden Mandanten ein. Verwenden Sie hierzu den MySQL-Kommandozeilenclient. Der Login erfolgt mit den Daten des MySQL-Administrator-Benutzerkontos, die Sie bei der Installation des MariaDB-Servers in Kapitel 2 festgelegt haben. Führen Sie zum Starten des Kommandozeilenclients den folgende Konsolen-Befehl ein:

mysql -u root

Legen Sie ein leeres Datenbankschema an und erstellen Sie ein Benutzerkonto, welches über Vollzugriff auf das Datenbankschema verfügt (verwenden Sie aus Sicherheitsgründen für jeden PPP-Mandanten ein eigenes MySQL-Benutzerkonto, welches nur Zugriff auf die Datenbank des PPP-Mandanten hat):

CREATE DATABASE ppp;
GRANT ALL PRIVILEGES ON ppp.* TO 'ppp'@'localhost' IDENTIFIED BY 'StrengGeheim';

Durch den o.g. Befehl wird der MySQL-Benutzer "ppp" mit dem Passwort "StrengGeheim" angelegt. Dieser kann sich nur von dem System, auf dem auch der MySQL-Server betrieben wird, mit dem MySQL-Server verbinden.

Nachdem das (leere) Datenbankschema und das MySQL-Benutzerkonto angelegt sind, verlassen Sie den interaktiven Modus des MySQL-Kommandozeilenclients durch Eingabe des folgenden Befehls:

exit;

Spielen Sie nun den Snapshot des Datenbank-Backends im Auslieferungszustand, der in der heruntergeladenen ZIP-Datei enthalten war, in das soeben vorbereitete Datenbankschema ein. Geben Sie dazu den folgenden Konsolen-Befehl ein:

mysql -uppp -p ppp < ~/ppp_[Version]/db_template/factorydefault.sql

Geben Sie bei der Passwort-Abfrage das Passwort des zuvor erstellten MySQL-Benutzers ein.

Konfigurations- und Lizenzdateien einspielen

Jeder PPP-Mandant benötigt die folgenden Konfigurations- und Lizenzdateien:

  • config.xml: Konfigurationsdatei der PPP-Webanwendung (für manuelle Anpassungen durch den Betreiber; Änderungen werden erst nach einem Neustart der Webanwendung aktiv)

  • logback.xml: Konfigurationsdatei für das von der PPP-Webanwendung verwendete Logging-Framework

  • license.properties: Lizenzdatei (verschlüsselt)

  • settings.json: Konfigurationsdatei für interne Einstellungen der PPP-Webanwendung, welche zur Laufzeit über die grafische Benutzeroberfläche der PPP verändert werden können

Die o.g. Dateien müssen sich zur Laufzeit in einem Unterverzeichnis des PPP-Konfigurationsverzeichnisses befinden, welches bei der Konfiguration des Tomcat-Servers über die JAVA_OPTS-Variable "ppp.config_directory" angegeben wurde. Der Name des Unterverzeichnisses entspricht der Endung der URL, unter welcher der PPP-Mandant erreichbar sein soll. Beispiel:

  • URL des Mandanten: http://www.ihre-domain.de/ppp

  • ppp.config_directory: /etc/picture

  • Pfad des Verzeichnisses mit den o.g. Konfigurationsdateien: /etc/picture/ppp.

Vorlagen für die Dateien "config.xml" sowie "logback.xml" befinden sich in der heruntergeladenen ZIP-Datei. Legen Sie das o.g. Konfigurationsverzeichnis an und kopieren Sie die Vorlagen dorthin:

mkdir -p /etc/picture/ppp
cd /etc/picture/ppp
cp ~/ppp_[Version]/config_templates/config.xml .
cp ~/ppp_[Version]/config_templates/logback.xml .
cp ~/ppp_[Version]/config_templates/settings.json .

Ihre Lizenzdatei haben Sie nach der Bestellung per E-Mail erhalten. Legen Sie die Datei unter den Namen "license.properties" im Konfigurationsverzeichnis ab. Sollten Sie zwar über eine gültige Lizenz verfügen, jedoch nicht im Besitz der o.g. Datei sein, kontaktieren Sie bitte unseren Support (E-Mail an support@picture-gmbh.de).

Abschließend müssen Sie die Berechtigungen für den tomcat Nutzer setzen:

chown -R tomcat:tomcat /etc/picture
chmod -R 700 /etc/picture/ppp

Konfigurationsdateien anpassen

Datei "config.xml"

Neuerungen in der Version 3.23

In der Version 3.23 der PICTURE-Prozessplattform wurde eine automatische Verschlüsselung für sensible Informationen in der der Konfigurations-Datei “config.xml” eingeführt. Dieser Mechanismus verschlüsselt die Geheimnisse in der o.g. Datei falls sie zum Zeitpunkt des Hochfahrens der PPP-Webanwendung noch unverschlüsselt sind.
Alle Zugangsdaten, wie zum Beispiel das Passwort für MariaDB, den Content Broker sowie den E-Mail-Server, sollten Sie aus diesem Grund in einem geeigneten Passwort-Manager hinterlegen, da Ihnen diese Informationen nach dem ersten Start der Anwendung in der Konfigurationsdatei nicht mehr im Klartext zugänglich sind. Sie können jederzeit die Geheimnisse in der Datei anpassen und im Klartext neu hinterlegen. Die Verschlüsselung wird dann beim Neustart der Anwendung durchgeführt. Auf diese Weise können Sie geänderte Passwörter leicht aktualisieren ohne diese aufwendig, manuell zu verschlüsseln. Sie erkennen die verschlüsselten Geheimnisse an dem Schlüsselwort ENCRYPTED().

 Beispiel einer config.xml-Datei mit verschlüsselten Geheimnissen
<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<applicationSettings>
    <contentBrokers/>
    <databaseSettings>
        <driver>org.mariadb.jdbc.Driver</driver>
        <sqlDialect>org.hibernate.dialect.MariaDBDialect</sqlDialect>
        <debugMode>false</debugMode>
        <connectionUrl>jdbc:mariadb://localhost/ppp</connectionUrl>
        <username>ppp</username>
        <password>ENCRYPTED(uwPMEIU00QuEwisXevlMFRb2xRT7pIUSt1oOvIfUIwOYP3+CxS9Sz6VPLjQ=)</password>
    </databaseSettings>
    <directorySettings>
        <fontDirectory>/usr/local/share/fonts</fontDirectory>
		<officialUrl>http://www.mydomain.com/ppp</officialUrl>
		<tempDirectory>/srv/picture/ppp/temp</tempDirectory>
		<uploadDirectory>/srv/picture/ppp/documents</uploadDirectory>
    </directorySettings>
    <mailConfig>
		<mailSenderAccounts>
			<mailSenderAccount id="default">
				<secureTransport>true</secureTransport>
				<senderAddress>
					<address>no-reply@prozessplattform.de</address>
					<personal>[PPP mandant@hostname]</personal>
				</senderAddress>
				<smtpHost>mail.prozessplattform.de</smtpHost>
				<smtpPassword>ENCRYPTED(NdhKA60P8PDT7scZdHTj0qBIRehw8TRxIl2rb5ZjOHfPWrArqNA=)</smtpPassword>
				<smtpPort>25</smtpPort>
				<smtpUsername>email_user</smtpUsername>
			</mailSenderAccount>
		</mailSenderAccounts>
		<queueProcessingIntervalMillis>1000</queueProcessingIntervalMillis>
	</mailConfig>    
    <contextRepositories>
        <contextRepository>
            <id>ozg</id>
            <name>OZG-Umsetzungskatalog</name>
            <prefix>OZG.</prefix>
            <url>https://templates.prozessplattform.de/ozg/current</url>
            <username>download-account-der-organisation</username>
            <password>ENCRYPTED(CcmG3f3U13D80IujbsG88I2R2LdJ95GvzzyGyobJarNiu73kNiPWIQ==)</password>
            <type>Product</type>
        </contextRepository>
        <contextRepository>
            <id>leika</id>
            <name>LeiKa (FIM)</name>
            <prefix>leika.</prefix>
            <url>https://templates.prozessplattform.de/leika/current</url>
            <username>download-account-der-organisation</username>
            <password>ENCRYPTED(CNWBB1TY+oEtEl/TqqIcyo1rbjMU69Nqgc7SD2aXyFcMO5GkAyXL8w==)</password>
            <type>Product</type>
        </contextRepository>
    </contextRepositories>
</applicationSettings>

Passen Sie nun die Einstellungen in der Datei config.xml an die Gegebenheiten auf Ihrem System an. Im Folgenden finden Sie eine Beispiel-Datei sowie eine Erklärung der einzelnen Einstellungen:

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<applicationSettings>
	<!-- Der folgende Abschnitt "Content Broker" ist nur relevant, wenn Sie für Ihren Mandanten die Zusatzoption "Prozessnetzwerk improve" gebucht haben. Ist dies nicht der Fall, kann dieser Abschnitt ersatzlos entfallen.
    <contentBrokers>
        <contentBroker>
			<id>contentbroker</id>
			<endPointName>improve (PICTURE GmbH)</endPointName>contentbroker
			<endPointUri>https://contentbroker.prozessplattform.de/contentbroker/rest</endPointUri>
			<username>cb-account-der-organisation</username>
			<password>cb-passwort-der-organisation</password>
		</contentBroker>
    </contentBrokers>
-->
	<databaseSettings>
		<connectionUrl>jdbc:mariadb://localhost/ppp</connectionUrl>
		<sqlDialect>org.hibernate.dialect.MariaDBDialect</sqlDialect>
		<debugMode>false</debugMode>
		<driver>org.mariadb.jdbc.Driver</driver>
		<username>ppp</username>
		<password>StrengGeheim</password>
	</databaseSettings>
	<directorySettings>
		<fontDirectory>/usr/local/share/fonts</fontDirectory>
		<officialUrl>http://www.mydomain.com/ppp</officialUrl>
		<tempDirectory>/srv/picture/ppp/temp</tempDirectory>
		<uploadDirectory>/srv/picture/ppp/documents</uploadDirectory>
	</directorySettings>
	<mailConfig>
		<mailSenderAccounts>
			<mailSenderAccount id="default">
				<secureTransport>true</secureTransport>
				<senderAddress>
					<address>no-reply@prozessplattform.de</address>
					<personal>[PPP mandant@hostname]</personal>
				</senderAddress>
				<smtpHost>mail.prozessplattform.de</smtpHost>
				<smtpPassword>email_password</smtpPassword>
				<smtpPort>25</smtpPort>
				<smtpUsername>email_user</smtpUsername>
			</mailSenderAccount>
		</mailSenderAccounts>
		<queueProcessingIntervalMillis>1000</queueProcessingIntervalMillis>
	</mailConfig>
	<contextRepositories>
		<contextRepository>
			<id>ozg</id>
			<name>OZG-Umsetzungskatalog</name>
			<url>https://templates.prozessplattform.de/ozg/current</url>
			<prefix>OZG.</prefix>
			<type>Product</type>
			<username>download-account-der-organisation</username>
			<password>download-passwort-der-organisation</password>
		</contextRepository>
		<contextRepository>
			<id>leika</id>
			<name>LeiKa (FIM)</name>
			<url>https://templates.prozessplattform.de/leika/current</url>
			<prefix>leika.</prefix>
			<type>Product</type>
			<username>download-account-der-organisation</username>
			<password>download-passwort-der-organisation</password>
		</contextRepository>
	</contextRepositories>
	<!-- Der folgende Abschnitt "Proxy-Settings" ist nur relevant, wenn Sie das "Prozessnetzwerk improve" gebucht haben und über einen Proxy-Server darauf zugreifen möchten. Ist dies nicht der Fall, kann dieser Abschnitt ersatzlos entfallen
    <proxySettings>
		<hostname>proxy.mydomain.com</hostname>
		<port>3128</port>
		<scheme>http</scheme>
		<username>proxy_user</username>
		<password>proxy_password</password>
	</proxySettings>
-->
	<!-- Der folgende Abschnitt "LDAP-Settings" ist nur relevant, wenn Sie die LDAP-Schnittstelle verwenden wollen. Ist dies nicht der Fall, kann dieser Abschnitt ersatzlos entfallen.
	<ldapSettings>
        <ldapConfiguration>
            <ldapHost>
                <hostname>mydomain.com</hostname>
                <port>389</port>
                <bindUserDistinguishedName>uid=admin,ou=system</bindUserDistinguishedName>
                <bindUserPassword>bind_user_password</bindUserPassword>
                <baseUserContainerDistinguishedName>ou=PICTURE,dc=beispiel,dc=DE</baseUserContainerDistinguishedName>
				<searchScope>SUBTREE_SCOPE</searchScope>
            </ldapHost>
            <ldapUserMapping>
				<title>salutation</title>
                <firstName>givenName</firstName>
                <lastName>sn</lastName>
                <email>mail</email>
				<academicTitle>academicTitle</academicTitle>
                <department>department</department>
                <userIdentifierAttribute>sAMAccountName</userIdentifierAttribute>
                <userGroupIdentifierAttribute>memberOf</userGroupIdentifierAttribute>
            </ldapUserMapping>
            <ldapSyncedUserPresets>
				<caseSensitiveLdapUserNameSupported>false</caseSensitiveLdapUserNameSupported>
				<defaultPppUserType>Betrachter</defaultPppUserType>
				<defaultPppGroup>Mitarbeiter</defaultPppGroup>
				<ipWhiteList>myIntranet</ipWhiteList>
				<ldapGroupPresets>
					<ldapGroupPreset>
						<ldapGroup>cn=Organisatoren,dc=beispiel,dc=DE</ldapGroup>
						<pppGroups>
							<pppGroup>Mitarbeiter</pppGroup>
							<pppGroup>Organisationshandbuch-Redakteure</pppGroup>
							<pppGroup>Qualitätssicherung</pppGroup>
						</pppGroups>
						<pppUserType>Modellierer</pppUserType>
					</ldapGroupPreset>
					<ldapGroupPreset>
						<ldapGroup>cn=IT-Betrieb,dc=beispiel,dc=DE</ldapGroup>
						<pppGroups>
							<pppGroup>Mitarbeiter</pppGroup>
							<pppGroup>Betreiber</pppGroup>
						</pppGroups>
						<pppUserType>Administrator</pppUserType>
					</ldapGroupPreset>
				</ldapGroupPresets>			
				<ldapOrgUnitPresets>
					<ldapOrgUnitPreset>
						<ldapOrgUnit>ou=Entwicklung,ou=ORG,ou=PICTURE,dc=beispiel,dc=DE</ldapOrgUnit>
						<pppGroups>
                            <pppGroup>Konfiguratoren</pppGroup>
                        </pppGroups>
                        <pppUserType>Administrator</pppUserType>
					</ldapOrgUnitPreset>
					<ldapOrgUnitPreset>
						<ldapOrgUnit>ou=Beratung,ou=ORG,ou=PICTURE,dc=beispiel,dc=DE</ldapOrgUnit>
						<pppGroups>
                            <pppGroup>Content-Redakteure</pppGroup>
                            <pppGroup>Demo-Nutzer</pppGroup>
                        </pppGroups>
                        <pppUserType>Modellierer</pppUserType>
					</ldapOrgUnitPreset>
				</ldapOrgUnitPresets>
            </ldapSyncedUserPresets>
        </ldapConfiguration>
    </ldapSettings>
-->
</applicationSettings>


Abschnitt

Unter-Abschnitt

Einstellung

XML-Tag / -Attribut

Beschreibung

Beispiel-Wert

applicationSettings

contentBrokers ->

contentBroker



In diesem Abschnitt sind die Verbindungen für den Zugriff auf den/die Content-Broker-Server konfiguriert.

Dieser Abschnitt ist nur relevant, wenn Sie für Ihren Prozessplattform-Mandanten die Zusatz-Option "Prozessnetzwerk improve" gebucht haben. Die nötigen Zugangsdaten (URL, Benutzername, Passwort) werden Ihnen in diesem Fall beim Beitritt in das Prozessnetzwerk vom PICTURE-Support mitgeteilt. Wenden Sie sich bei Fragen dazu gerne per E-Mail an support@picture-gmbh.de. 




endPointName

Tag

Angezeigter Name des Netzwerkes

Improve (PICTURE GmbH)



endPointUri

Tag

Adresse des Content-Brokers

https://contentbroker.prozessplattform.de/contentbroker/rest



username

Tag

Benutzername, der zum Zugriff auf das hinterlegte Netzwerk (konkret: des Content-Broker-Server des Netzwerks) verwendet werden soll

ContentBroker_user



password

Tag

Passwort des unter "username" angegebenen Content-Broker-Benutzerkontos

Hinweis: Ein hier angegebenes Klartext-Passwort wird beim nächsten Start der Webanwendung automatisch verschlüsselt. Verschlüsselte Werte sind daran zu erkennen, das sie vom Schlüsselwort “ENCRYPTED()“ umschlossen sind.

StrengGeheim

databaseSettings


In diesem Abschnitt wird die Verbindung zum Datenbank-Backend des PPP-Mandanten konfiguriert.



connectionUrl

Tag

JDBC-URL des Datenbank-Backend, welches für diesen PPP-Mandanten verwendet werden soll

jdbc:mariadb://localhost/ppp



sqlDialect

Tag

Konfigurationseinstellung für Hibernate (objektrelationaler Mapper, der von der PPP intern verwendet wird). Legt fest, welcher SQL-Dialekt für die automatische Generierung von SQL-Statements verwendet werden soll.

Verwenden Sie hier bitte ausschließlich die unter "Beispiel-Wert" angegebene Einstellung.


org.hibernate.dialect.MariaDBDialect



debugMode

Tag

Legt fest, ob das Debug-Logging für den Datenbank-Zugriff mittels Hibernate aktiviert sein soll oder nicht (mögliche Werte: "true" / "false").

Im Produktivbetrieb sollte der Debug-Modus aus Gründen der Performanz sowie des benötigten Speicherbedarf für die Logfiles unbedingt abgeschaltet sein (Einstellung "false").


false



driver

Tag

Voll qualifizierender Java-Klassenname des zu verwendenden JDBC-Treibers.

Verwenden Sie hier bitte ausschließlich die unter "Beispiel-Wert" angegebene Einstellung.


org.mariadb.jdbc.Driver



username

Tag

Benutzername des MariaDB-Benutzerkontos, das zum Zugriff auf das Datenbank-Backend verwendet werden soll.

ppp



password

Tag

Passwort des unter "username" angegebenen MariaDB-Benutzerkontos

Hinweis: Ein hier angegebenes Klartext-Passwort wird beim nächsten Start der Webanwendung automatisch verschlüsselt. Verschlüsselte Werte sind daran zu erkennen, das sie vom Schlüsselwort “ENCRYPTED()“ umschlossen sind.

StrengGeheim


directorySettings


In diesem Abschnitt werden Dateisysteme-Pfade und URLs konfiguriert, aus denen bzw. in die zur Laufzeit vom PPP-Mandanten gelesen / geschrieben wird (z.B. persistente Ablage von Nutzer-Daten, Caching).



officialUrl

Tag

Vollständige URL, unter welcher der PPP-Mandant im Internet bzw. Intranet erreichbar sein soll. Wird z.B. in den Textbausteinen der automatisch von der PPP generierten E-Mails verwendet um den "Absender-Mandanten" zu identifizieren.

http://www.mydomain.com/ppp



uploadDirectory

Tag

Absoluter Pfad zum Verzeichnis, unterhalb dessen dauerhaft Nutzerdaten gespeichert werden, die aus Performanzgründen nicht im Datenbank-Backend persistiert werden (z.B. Dateianhänge zu Prozess-Steckbriefen und Prozess-Bausteinen).

  • Das "vorletzte" Verzeichnis im angegebenen Pfad muss dabei genauso heißen wie die WAR-Datei dieses PPP-Mandanten. Beispiel: Die WAR-Datei heißt "meinePPP.war". => Der anzugebene Pfad heißt "/srv/picture/meinePPP/documents".

  • Der Linux-Account, unter welchem die Tomcat-Instanz betrieben wird, benötigt im Dateisystem Schreibrechte auf dieses Verzeichnis.

  • Dieser Pfad muss bei der routinemäßigen Anfertigung von Backups berücksichtigt werden, um diese Daten ggf. wiederherstellen zu können. Die Anfertigung von Backups des Datenbank-Backends allein reicht NICHT aus, um vor dem Verlust dieser Art von Nutzerdaten zu schützen. Der o.g. Pfad muss ZUSÄTZLICH gesichert werden.


/srv/picture/ppp/documents



tempDirectory

Tag

Absoluter Pfad zum Verzeichnis, unterhalb dessen zur Laufzeit der PPP-Webanwendung temporäre Daten gespeichert werden.

  • Das "vorletzte" Verzeichnis im angegebenen Pfad muss dabei genauso heißen wie die WAR-Datei dieses PPP-Mandanten. Beispiel: Die WAR-Datei heißt "meinePPP.war". => Der anzugebene Pfad heißt "/srv/picture/meinePPP/temp".

  • Der Linux-Account, unter welchem die Tomcat-Instanz betrieben wird, benötigt im Dateisystem Schreibrechte auf dieses Verzeichnis.


/srv/picture/ppp/temp



fontDirectory

Tag

Absoluter Pfad zum Verzeichnis, in welchem zur Laufzeit die für den PDF-Export benötigte Schriftartendateien "ARIALUNI.TTF" zu finden ist.

/usr/local/share/fonts


mailConfig ->
mailSenderAccounts ->
mailSenderAccount


In diesem Abschnitt wird der E-Mail-Server konfiguriert, der zur Laufzeit für den automatischen Versand von E-Mails aus dem PPP-Mandanten heraus genutzt wird.



id

Attribute

Id für die eindeutige Identifizierung eines MailSenderAccounts

default



secureTransport

Tag

Versenden der E-Mails über eine sichere Verbindung (entspricht den Einstellungen "SMTP Auth: enabled", STARTTLS: enabled", "Protocols: SSLv3, TLSv1")?

true



senderAddress ->
address

Tag

E-Mail-Adresse, welche als Absender von E-Mails angezeigt wird, die automatisch von der PPP-Webanwendung versendet werden

support@picture-gmbh.de



senderAddress ->
personal

Tag

Absender (Klarname), der als Absender von E-Mails angezeigt wird, die automatisch von der PPP-Webanwendung versendet werden

[PPP mandant@hostname]



smtpHost

Tag

Hostname des Mailservers, welcher für den automatischen Versand von E-Mails verwendet werden soll.

mail.prozessplattform.de



smtpPort

Tag

Port, auf welchem der o.g. Mailserver auf dem o.g. Host erreichbar ist.

25



smtpUsername

Tag

Benutzername eines SMTP-Accounts auf dem o.g. Mailserver, welcher beim automatischen E-Mail-Versand zur Authentifizierung genutzt werden soll. Muss entfernt werden, sofern der Mailserver keine Authentifizierung erfordert.

email_user



smtpPassword

Tag

Passwort des o.g. SMTP-Accounts. Muss entfernt werden, sofern der Mailserver keine Authentifizierung erfordert.

Hinweis: Ein hier angegebenes Klartext-Passwort wird beim nächsten Start der Webanwendung automatisch verschlüsselt. Verschlüsselte Werte sind daran zu erkennen, das sie vom Schlüsselwort “ENCRYPTED()“ umschlossen sind.

email_password


mailConfig

queueProcessingIntervalMillis

Tag

Intervall für die Abarbeitung des Warteschlange zum Versand der automatisch von der PPP-Webanwendung erzeugten Mails (erzeugte Mails werden in eine Warteschlange einsortiert, die alle x Millisekunden abgearbeitet wird)

1000



debugRecipient ->
address

Tag

E-Mail-Adresse, welche alle von diesem PPP-Mandanten automatisch verschickten E-Mails anstelle des regulären Empfängers geschickt werden soll.

Durch die Verwendung dieses Tags ("debugRecipient") wird der Debug-Modus aktiviert. Wird das Tag komplett weggelassen (=> empfohlene Einstellung für Produktiv-Zwecke), so werden die E-Mails an die regulären Empfänger ausgeliefert.

support@picture-gmbh.de

contextRepositories

contextRepository

In diesem Abschnitt werden die Produkt- und Leistungskataloge für die öffentliche Verwaltung konfiguriert, die Sie in Ihre Prozessplattform importieren können

id

Tag

Id für die eindeutige Identifizierung eines contextRepository

ozg

name

Tag

Name der in Import-Menu der PICTURE-Prozessplattform angezeigt wird

OZG-Umsetzungskatalog

url

Tag

Url unter der der Katalog bei auf den Servern der PICTURE GmbH gehostet wird

https://templates.prozessplattform.de/ozg/current

prefix

Tag

Namespace-Prefix der bei wiederholtem Import die Zuordnung des Katalogs sicherstellt

OZG.

type

Tag

Prozesskontext-Typ (derzeit nur Leistungen)

Product

username

Tag

Benutzername für den Downloadbereich

Download_user

password

Tag

Passwort für den Downloadbereich

Hinweis: Ein hier angegebenes Klartext-Passwort wird beim nächsten Start der Webanwendung automatisch verschlüsselt. Verschlüsselte Werte sind daran zu erkennen, das sie vom Schlüsselwort “ENCRYPTED()“ umschlossen sind.

StrengGeheim


proxySettings

hostname

Tag

Hostname des HTTP(S)-Proxy-Servers, über den der von der PPP-Webanwendung ausgehende HTTP(S)-Traffic geleitet werden soll (z.B. für den Aufruf externer Schnittstellen wie dem Content-Broker-Server für das Prozessnetzwerk PICTURE improve).

Die Verwendung eines Proxy-Servers ist optional. Er wird nur benötigt, wenn alle u.g. Bedingungen zutreffen: 

  • Ihre PPP-Installation nutzt Schnittstellen, auf welche sie per HTTP- bzw. HTTPS-Protokoll zugreift. (Die einzige derzeit unterstützte Schnittstelle dieser Art ist die zum Prozessnetzwerk "PICTURE improve", vgl. die Hinweise zum o.g. Abschnitt "contentBrokerSettings").

  • Der Server, auf welchem Ihre PPP-Installation betrieben wird, darf innerhalb Ihres Netzwerks nicht direkt auf den Ziel-Server der Schnittstelle zugreifen.

proxy.mydomain.com



port

Tag

Port auf dem o.g. Host, unter welchem der Proxy-Server erreichbar ist

3128



scheme

Tag

Protokoll-Schema für den Zugriff auf den o.g. Proxy-Server (unterstützte Werte: "http", "https")

http



username

Tag

Benutzername für die Authentifizierung am o.g. Proxy-Server.

Dies ist eine optionale Angabe. Unterstützt der Proxy-Server den unauthentifizierten Zugriff, so muss dieses XML-Tag weggelassen werden.

proxy_user



password

Tag

Passwort für das o.g. Benutzerkonto zur Authentifizierung am o.g. Proxy-Server.

Dies ist eine optionale Angabe. Unterstützt der Proxy-Server den unauthentifizierten Zugriff, so muss dieses XML-Tag weggelassen werden.

Hinweis: Ein hier angegebenes Klartext-Passwort wird beim nächsten Start der Webanwendung automatisch verschlüsselt. Verschlüsselte Werte sind daran zu erkennen, das sie vom Schlüsselwort “ENCRYPTED()“ umschlossen sind.

proxy_password


ldapSettings



In diesem Abschnitt wird die LDAP-Schnittstelle konfiguriert. Diese kann für den Login von Nutzern verwendet werden.



ldapConfigurations

ldapConfiguration



In diesem Abschnitt werden alle Einstellungen für eine LDAP-Anbindung* konfiguriert.

Es können 1 - n LDAP-Anbindungen pro PPP-Mandant konfiguriert werden



ldapHost



(Pflicht-Abschnitt für eine LDAP-Konfiguration)
In diesem Abschnitt werden die "Koordinaten" konfiguriert, unter denen der zu verwendende LDAP-Server (z.B. Active-Directory-Server) zu erreichen ist.




hostname

Tag

Adresse (Hostname) unter welcher der LDAP-Server zu erreichen ist

mydomain.com



port

Tag

Port des LDAP-Dienstes auf dem o.g. Server

389



bindUserDistinguishedName

Tag

Name des LDAP-Benutzers (in "LDAP distinguished name"-Syntax), unter dessen Identität sich die  PPP-Webanwendung mit dem LDAP-Server verbinden soll um Anfragen an den LDAP-Server zu stellen (z.B. für Nutzersuche, oder zum Auslesen der Attribute eines LDAP-Objekts) .

uid=admin,ou=system



bindUserPassword

Tag

Passwort des LDAP-Nutzers (bindUserDistinguishedName).

Hinweis: Ein hier angegebenes Klartext-Passwort wird beim nächsten Start der Webanwendung automatisch verschlüsselt. Verschlüsselte Werte sind daran zu erkennen, das sie vom Schlüsselwort “ENCRYPTED()“ umschlossen sind.

my*Secret!Bind*User*Password



baseUserContainerDistinguishedName

Tag

LDAP Einstiegspunkt (in "LDAP distinguished name"-Syntax), unterhalb dessen die LDAP-Benutzerobjekte abgelegt sind, die zur Authentifizierung verwendet werden sollen.

ou=people,o=myCompany



searchScope

Tag

(Optional, Default "ONELEVEL_SCOPE") Suchbereich in dem relativ zum Einstiegspunkt gesucht wird.

Mögliche Ausprägungen:

  • "ONELEVEL_SCOPE" -> es wird nur auf der Einstiegsebene ("baseUserContainerDistinguishedName" s.o.) nach Nutzern gesucht.

  • "SUBTREE_SCOPE -> es wird der komplette Teilbaum ausgehend vom Einstiegspunkt nach Nutzern durchsucht.

ONELEVEL_SCOPE oder SUBTREE_SCOPE


ldapUserMapping



(Pflicht-Abschnitt für eine LDAP-Konfiguration)

In diesem Abschnitt wird definiert, welche (PPP-)Attribute von PPP-Benutzerkonten durch die LDAP-Schnittstelle automatisch auf Basis von (LDAP-)Attributen von LDAP-Benutzerkonten befüllt werden sollen.




userIdentifierAttribute

Tag

Name des LDAP-Attributs, anhand dessen ein LDAP-Nutzer eindeutig identifiziert wird. Die Ausprägung dieses Attributs für einen konkreten Nutzer wird von der LDAP-Schnittstelle verwendet um den Benutzernamen des zugehörigen LDAP-Synchronisierten PPP-Benutzerkontos zu bestimmen (bzw. bei Ersterstellung festzulegen).

sAMAccountName
userPrincipalName



userGroupIdentifierAttribute

Tag

Name des LDAP-Attributs, in welchem die LDAP-Gruppenzugehörigkeiten des LDAP-Benutzerkontos gespeichert sind.

memberOf



title

Tag

(Optional) Name des LDAP-Attributs anhand dessen das Feld "Anrede" eines LDAP-synchronisierten PPP-Benutzerkontos gefüllt werden soll

salutation



firstName

Tag

(Optional) Name des LDAP-Attributs anhand dessen das Feld "Vorname" eines LDAP-synchronisierten PPP-Benutzerkontos gefüllt werden soll

givenname



lastName

Tag

(Optional) Name des LDAP-Attributs anhand dessen das Feld "Nachname" eines LDAP-synchronisierten PPP-Benutzerkontos gefüllt werden soll

sn



email

Tag

(Optional) Name des LDAP-Attributs anhand dessen das Feld "E-Mail-Adresse" eines LDAP-synchronisierten PPP-Benutzerkontos gefüllt werden soll

mail



academicTitle

Tag

(Optional) Name des LDAP-Attributs anhand dessen das Feld "Akademischer Titel" eines LDAP-synchronisierten PPP-Benutzerkontos gefüllt werden soll

academicTitle



department

Tag

(Optional) Name des LDAP-Attributs anhand dessen das Feld "Abteilung" eines LDAP-synchronisierten PPP-Benutzerkontos gefüllt werden soll

department


ldapSyncedUserPresets



(Pflicht-Abschnitt für eine LDAP-Konfiguration)

In diesem Abschnitt wird konfiguriert, welche Einstellungen bzgl. der Zugriffsberechtigungen von neuen PPP-Benutzerkonten vorgenommen werden sollen, welche nach dem ersten erfolgreichen Login mit diesem Benutzernamen über die LDAP-Schnittstelle in der PPP (durch die LDAP-Schnittstelle) automatisch angelegt werden. Dies betrifft z.B. den Lizenz-Typ des neuen Nutzerkontos sowie dessen Gruppenmitgliedschaften.

Hierbei handelt es sich um Voreinstellungen, die später durch einen Administrator für ein konkretes Benutzerkonto mittels der regulären Funktionen der PPP-Nutzerverwaltung übersteuert werden können. Die Voreinstellungen dienen lediglich dazu, dass die automatisch angelegten Benutzerkonten ohne weitere Eingriffe eines Administrators sofort einsetzbar sind. Nimmt ein Administrator für ein bestimmtes Benutzerkonto Änderungen ggü. den automatisch angelegten Einstellungen vor, bleiben diese Anpassungen in der PPP erhalten und werden bei weiteren LDAP-Logins nicht mit den hier konfigurierten Voreinstellungen überschrieben.





caseSensitiveLdapUserNameSupported

Tag

(Optional - standardmäßig "true")

Gibt an, ob der verwendete LDAP-Server bei der Authentifizierung von Nutzern Groß- und Kleinschreibung im Nutzernamen berücksichtigt ("true") oder nicht ("false").

Beispiel: Wenn der LDAP-Server Groß- und Kleinschreibung nicht berücksichtigt, dann wird mit den Nutzernamen "Nutzer" und "NuTzEr" aus Sicht des LDAP-Servers dasselbe Nutzerkonto identifiziert. Solange der Nutzer das passende Passwort angibt, könnte er sich mit beiden Schreibweisen erfolgreich einloggen.

Wenn Sie an dieser Stelle nun den Wert "true" angeben (obwohl der LDAP-Server keine Groß- und Kleinschreibung berücksichtigt), würde für jede Schreibweise des Nutzernamens jeweils ein neues PPP-Nutzerkonto für den Nutzer angelegt werden (z.B. ein Nutzer mit dem Namen "Nutzer" und ein zweiter Nutzer mit dem Namen "NuTzEr").

Falls Sie dies verhindern möchten, sollten Sie an dieser Stelle "false" angeben. Dann wird unabhängig der Schreibweise nur ein PPP-Nutzerkonto angelegt. Dieses wird unabhängig von der Eingabe im Login-Fenster mit komplett kleingeschriebenen Namen angelegt (z.B. "nutzer").

false



defaultPppUserType

Tag

(Optional, solange in einem "ldapGroupPreset" oder einem "ldapOrgUnitPreset" s.u. mindestens ein gültiger Nutzertyp angegeben wurde)
Der Default-PPP-Nutzertyp wird dem neu angelegten PPP-Benutzerkonto dann zugewiesen, wenn anhand der Gruppen-Mitgliedschaften des zugehörigen LDAP-Benutzerkontos über die "ldapGroupPresets" kein Nutzertyp ermittelt werden kann (entweder weil der Nutzer kein Mitglied in einer der LDAP-Gruppen ist oder weil in den "ldapGroupPresets" kein gruppenspezifischer Nutzertyp angegeben ist).

Ist kein Default-PPP-Nutzertyp definiert und es wird kein Treffer bei den "ldapSyncedUserPreset" für eine LDAP-Gruppe des Nutzers gefunden, schlägt der Login fehl.

Ist der "defaultPppUserType" vorhanden, dann muss auch die "defaultPppGroup" vorhanden sein.

Mögliche Ausprägungen:

  • Administrator

  • Modellierer

  • Betrachter

Betrachter



defaultPppGroup

Tag

(Optional) Die Mitgliedschaft für die Default-PPP-Gruppe wird immer dann zugewiesen, wenn der "defaultPppUserType" verwendet wird.

Demo-Nutzer



ipWhiteList

Tag

(Optional) Hier kann der Name einer IP-Adressrange für die Vergabe von IP-Zugriffsbeschränkungen (wie im Modul "Verwaltung", Abschnitt "IP-Zugriffsbeschränkungen" definiert) eingetragen werden.

Falls hier von dieser Einstellung Gebrauch gemacht wird, so wird für alle von der LDAP-Schnittstelle automatisch neu angelegten PPP-Benutzerkonten diese IP-Zugriffsbeschränkung aktiviert (d.h. Logins sind mit diesen Benutzerkonten nur möglich, wenn die Login-Anfrage aus dem im Verwaltungsmodul für diese IP-Adresse definierten Adressbereich kommt).

myIntranet


   ldapGroupPresets

       ldapGroupPreset



In einem "ldapGroupPreset"-Abschitt kann jeweils eine Regel festgelegt werden, welche PPP-Einstellungen aus der Mitgliedschaft in einer bestimmten LDAP-Gruppe abgeleitet werden sollen. 




ldapGroup

Tag

Name der LDAP-Gruppe in der ein LDAP-Benutzer Mitglied sein muss, damit beim Anlegen des zugehörigen PPP-Benutzerkontos die in diesem Abschnitt codierten Einstellungen angewendet werden sollen.

Der Name der LDAP-Gruppe ist hierbei in der gleichen Schreibweise anzugeben, wie er in den LDAP-User-Objekten im dortigen Attribut, welches als "userGroupIdentifierAttribute" s. oben) gemappt ist, gespeichert ist.

cn=IT-Betrieb,dc=beispiel,dc=DE



pppGroups

   pppGroup

Tag

(Optional) Hier können die Namen von 0 - n PPP-Gruppen angegeben werden, denen das LDAP-synchronisierte PPP-Benutzerkonto beim Anlegen automatisch zugewiesen werden soll, sofern das LDAP-Benutzerkonto Mitglied der unter "ldapGroup" angegebenen LDAP-Gruppe ist.

Mitarbeiter
Betreiber



pppUserType

Tag

Der Nutzertyp wird allen neuen PPP-Benutzerkonten zugewiesen, wenn der entsprechende LDAP-Benutzer Mitglied in der unter "ldapGroup" angegebenen LDAP-Gruppe ist.

(Ist ein LDAP-Nutzer Mitglied in mehreren LDAP-Gruppen, für die hier "ldapGroupPresets" definiert sind, so wird dem zugehörigen PPP-Benutzerkonto der hier von "mächtigste" in Frage kommende Nutzertyp zugewiesen.)

Mögliche Ausprägungen:

  • Administrator

  • Modellierer

  • Betrachter

Administrator


   ldapOrgUnitPresets

      ldapOrgUnitPreset



In einem "ldapOrgUnitPreset"-Abschitt kann jeweils eine Regel festgelegt werden, welche PPP-Einstellungen aus der Zugehörigkeit einer bestimmten LDAP-Org-Unit abgeleitet werden sollen.




ldapOrgUnit

Tag

Name der LDAP-Organisatonseinheit in welcher der LDAP-Benutzer eingegliedert sein muss, damit beim Anlegen des zugehörigen PPP-Benutzerkontos die in diesem Abschnitt codierten Einstellungen angewendet werden sollen.

ou=Beratung,ou=ORG,ou=PICTURE,dc=beispiel,dc=DE



pppGroups

   pppGroup

Tag

(Optional) Hier können die Namen von 0 - n PPP-Gruppen angegeben werden, denen das LDAP-synchronisierte PPP-Benutzerkonto beim Anlegen automatisch zugewiesen werden soll, sofern das LDAP-Benutzerkonto Mitglied der unter "ldapOrgUnit" angegebenen LDAP-Organisatonseinheit eingegliedert ist.

Content-Redakteure
Demo-Nutzer



pppUserType

Tag

Der Nutzertyp wird allen neuen PPP-Benutzerkonten zugewiesen, wenn der entsprechende LDAP-Benutzer Mitglied in der unter "ldapOrgUnit" angegebenen LDAP-Organisationseinheit ist.

(Treffen mehrere LDAP-OrgUnitPresets für ein LDAP-Nutzer Mitglied zu, so wird dem zugehörigen PPP-Benutzerkonto der hier von "mächtigste" in Frage kommende Nutzertyp zugewiesen.)

Mögliche Ausprägungen:

  • Administrator

  • Modellierer

  • Betrachter

Modellierer

Datei "logback.xml"

Bei der Datei logback.xml handelt es sich um eine Standard-Konfigurationsdatei (in XML-Notation) für das Logging-Framework „Logback“. Dort sind die von der PPP verwendeten Logger-Ziele definiert. Die Pfade zur Speicherung der einzelnen Log-Dateien können Sie ggf. nach Ihren Bedürfnissen anpassen. Die mit der PPP ausgelieferte Version enthält jedoch sinnvolle Vorgaben, sodass dieser Schritt i.d.R. nicht nötig sein sollte.

(Basis-)Verzeichnis zur Speicherung der Nutzdaten anlegen

Bestimmte Nutzdaten eines Prozessplattform-Mandanten (z.B. Dateianhänge, Benutzerprofilbilder) werden direkt im Dateisystem gespeichert. Das entsprechende Verzeichnis ist vor dem ersten Deployment der Webanwendung anzulegen und die Dateisystemzugriffsberechtigungen für den Tomcat-Dienst sind einzurichten. Anzulegen sind die Verzeichnisse, welche in der Datei "config.xml" in den Abschnitten "applicationSettings -> directorySettings -> uploadDirectory" und "applicationSettings -> directorySettings -> tempDirectory" angegeben sind. Falls diese einen mandantenspezifischen gemeinsamen Basis-Pfad haben (d.h. nur die letzte Ebene der Verzeichnis-Hierarchie unterscheidet sich), reicht es, diesen Basis-Pfad anzulegen (vgl. folgendes Beispiel).

# Nutzdatenverzeichnis für den Mandanten "ppp" anlegen
mkdir -p /srv/picture/ppp

# Zugriffsberechtigungen für den Tomcat-Dienst einrichten
chown -R tomcat:tomcat /srv/picture

Schreibzugriff für den Tomcat-Dienst einrichten

Da der Tomcat-Dienst auf einem Debian-System in einem geschützten Bereich ausgeführt wird, ist es notwendig, die PICTURE-spezifische Verzeichnisse gesondert freizugeben. Bitte führen Sie dazu die folgenden Schritte aus:

# Für die Schreibberechtigungen vom Tomcat muss eine Override-Konfiguration für systemd angelegt werden
systemctl edit tomcat10

# Dadurch wird die unter /etc/systemd/system/tomcat10.service.d bereits existierende Datei override.conf geöffnet, die Sie wie folgt editieren und speichern
# bereits vorhandene Einträge (=> Wert anpassen)
[Service]
Environment="JAVA_HOME=/usr/lib/jvm/temurin-11-jre-amd64"

# zu ergänzende Einträge
ReadWritePaths=/etc/picture
ReadWritePaths=/srv/picture 


Nun muss noch der System- und Sitzungs-Manager “systemd” veranlasst werden, die soeben geschrieben Konfigurationsdatei zu laden, sowie der Tomcat-Dienst neu gestartet werden:

# Konfigurationsdateien des systemd neu laden
systemctl daemon-reload

# Tomcat-Dienst neu starten
systemctl restart tomcat10

Webanwendung deployen

Nun kann abschließend das Deployment der PPP-Webanwendung erfolgen. Hierzu wird die Datei ppp.war bei laufendem Tomcat-Server in das Webapps-Verzeichnis des Tomcat-Servers kopiert. Bei der Referenzinstallation handelt es sich um das Verzeichnis /var/lib/tomcat10/webapps.

# Webanwendung deployen
cp ~/ppp_[Version]/program_files/ppp.war /var/lib/tomcat10/webapps/

Wenige Sekunden nach dem Kopieren der Datei in das o. g. Verzeichnis führt der Tomcat-Server das Deployment automatisch aus. Nach dem Abschluss des Deployments (dies dauert i. d. R. ca. 10 – 30 Sekunden) steht die PPP zum externen Zugriff bereit. Ist das Zielsystem beispielsweise unter dem Hostnamen www.mydomain.com erreichbar, so kann die PPP in einem Webbrowser durch Aufruf der URL http://www.mydomain.com/ppp geöffnet werden.

Ersten Login vornehmen und Admin-Passwort ändern

Loggen Sie sich nun mit dem Administrator-Benutzerkonto in die PPP-Webanwendung ein. Verwenden Sie hierzu folgende Zugangsdaten:

  • Benutzername: admin

  • Passwort: <86>xIh74;X*

Ändern Sie nach dem ersten Login unbedingt das Passwort auf einen selbst gewählten Wert. Die Änderungen können Sie in den Profil-Einstellungen des Benutzerkontos vornehmen (erreichbar über Startseite => Bereich "Mein Profil" => Button "bearbeiten").

"Smoke-Test" durchführen

Ca. 10 - 30 Sekunden nach dem Start des Tomcat-Servers sollte der Tomcat-Server das Deployment der PPP-Webanwendung abgeschlossen haben und beim Aufruf der URL der Webanwendung im Webbrowser sollte der Login-Bildschirm zur Verfügung stehen.

Falls bereits das Deployment der Webanwendung fehlschlagen sollte, sodass der Login-Bildschirm gar nicht erst aufgerufen werden kann, finden Sie in den Log-Dateien der PPP-Webanwendung bzw. des Tomcat-Servers möglicherweise erste Ansätze zur Fehlersuche (vgl. https://picture.atlassian.net/wiki/spaces/PPPHosting/pages/3541369016/5+-+Betriebs-+und+Wartungsaufgaben+v3.x+-+Debian+12.x#%C3%9Cberwachung-bzw.-Analyse-von-Log-Dateien ).

Erscheint erwartungsgemäß der Login-Bildschirm, dann loggen Sie sich in die PPP ein und prüfen Sie deren prinzipielle Funktionsfähigkeit, in dem Sie zentrale Features stichprobenartig testen. Nutzen Sie hierzu die Testanleitung unter 6 - Smoke-Test-Szenario für die erfolgreiche Installation der PPP-Webanwendung (v3.x) - Debian 12.x .


_________________

* LDAP-Anbindung = Unter einer LDAP-Anbindung verstehen wir eine konfigurierte Verbindung zu einen LDAP-Server und die notwendigen Mappings und Voreinstellungen


  • Keine Stichwörter