Java Plattform installieren

Prüfung IST Zustand

1. Öffnen Sie bitte im Windows Explorer  den Installationspfad der ForumSuite

2. Bearbeiten Sie bitte die Datei start_suite.cmd

   

   Abbildung: Edit start_suite.cmd

3. Prüfen Sie bitte nun den Pfad für den Aufruf der Laufzeitumgebung

   

   Abbildung 1: in ForumSuite Ordner eingebettete Java Runtime

   

   Abbildung 2: Java Runtime des Betriebssystems

   In diesem Fall fragen Sie die eingesetzte Version bitte über die Eingabeaufforderung mittels des Befehls java -version  ab.

   

   Abbildung 2.1: Abfrage Version der installierten Java Runtime

Sollten Sie mit einer installierten Java Runtime arbeiten (Abbildung 2), prüfen Sie bitte, ob noch andere Anwendungen diese Runtime nutzen/voraussetzen.
Falls ja, erfragen Sie bitte beim Hersteller, ob die Anwendung mit einer Java Runtime 17*  betrieben werden kann.

Update Java Runtime - Abbildung 1 (eingebettete Java Runtime)

1. Laden Sie die portable Version 17 der Java Runtime von ADOPTIUM herunter (

   

   )
2. Entpacken Sie den Inhalt des Archivs
3. Kopieren Sie den Ordner jdk-17*-jre in den Ordner der ForumSuite
4. Stoppen Sie den Dienst der ForumSuite

5. Bearbeiten Sie bitte die Datei start_suite.cmd

   

   Abbildung: Edit start_suite.cmd

6. start_suite.cmd - vorher

   BASH

   FOR %%f IN (FORUM_Suite_*.jar) DO .\jdk-11.0.17+8-jre\bin\java -Djavax.net.ssl.trustStoreType=WINDOWS-ROOT -Xmx8G -jar %%f

   start_suite.cmd - nachher (Beispiel)

   BASH

   #Bitte den String jdk-17... entsprechend anpassen
   FOR %%f IN (FORUM_Suite_*.jar) DO .\jdk-17.N.N.N+N-jre\bin\java -Djavax.net.ssl.trustStoreType=WINDOWS-ROOT -Xmx8G -jar %%f

7. Speichern und schließen Sie die Datei start_suite.cmd 
8. Starten Sie den Dienst der ForumSuite

Update Java Runtime - Abbildung 2 (Java Runtime des Betriebssystems)

1. Laden Sie die installierbare Version 17 der Java Runtime von ADOPTIUM herunter (

   

   )
2. Stoppen Sie den Dienst der ForumSuite
3. Deinstallieren Sie die Java 11 Runtime via Systemsteuerung\Alle Systemsteuerungselemente\Programme und Features 

4. Installieren Sie das Paket inkl. der Optionen JAVA_HOME  und JavaSoft (Oracle) 

   

   Abbildung: Installationsparamter
5. Prüfung der Version über die Eingabeaufforderung mittels des Befehls java -version .
   Ergebnis sollte nun Version 17* sein.
6. Starten Sie den Dienst der ForumSuite

Nachfolgend wir die Aktualisierung unter Linux (hier: Debian Bullseye ) beschrieben.
Es wird davon ausgegangen, das die ForumSuite im systemd eingebunden ist

1. ForumSuite stoppen

   BASH

   systemctl stop forumsuite.service

2. Java 11 deinstallieren

   BASH

   apt remove openjdk-11-jre
   apt update;apt upgrade;apt autoremove;apt autoclean

3. Java 17 installieren

   BASH

   apt install openjdk-17-jre

4. ForumSuite starten

   BASH

   systemctl start forumsuite.service

Sofern Sie die Installationsdateien als ZIP-Archiv erhalten haben, entpacken Sie das Archiv in das Verzeichnis auf Ihrem Server, aus welchem der Betrieb erfolgen soll.

Das Verzeichnis sollte sich nicht in einem geschützten Windows-Ordner oder unterhalb eines Systemverzeichnisses, wie etwa C:\Windows , D:\ProgramFiles , D:\Programme, /bin, /sbin, /lib  o.ä. befinden.

Entpacken Sie die Dateien bitte in einem vom Betriebssystem nicht beanspruchtem Verzeichnis des jeweiligen Laufwerkes, wie z.B. C:\Apps\ForumSuite , D:\Daten\ForumSuite bzw. /opt/forum .

Dieses Verzeichnis ist frei von Ihnen wählbar und wird im weiteren als Installationsverzeichnis bezeichnet.

Alle für den Betrieb benötigten Softwarekomponenten sind im Installationspaket enthalten. In der Standardinstallation werden sowohl die Datenbank als auch sämtliche Anhänge unterhalb Installationsverzeichnisses abgelegt.

Achten Sie auf ausreichend verfügbaren Platz auf dem Datenträger, auf welchem sich das Installationsverzeichnis befindet.

Der Platzbedarf ist dabei hauptsächlich von Anzahl und Umfang der von den Nutzern in den einzelnen Anwendungen hochgeladenen Dateianhänge abhängig.

Dieser Artikel betrifft ausschließlich die Java Plattform.

Um die ForumSuite auf Basis der Java Plattform unter einem Windows Betriebssystem als Dienst (Service) zu starten, empfehlen wir den Einsatz eines Wrappers.

Unter https://github.com/kohsuke/winsw/releases können Sie sich – in Abhängigkeit des auf Ihrem Server installierten .NET-Frameworks – das entsprechende Hilfsprogramm in der aktuellsten Version herunterladen.

• Kopieren Sie die im Archiv enthaltene WinSW.NET2.exe oder WinSW.NET4.exe in das Installationsverzeichnis Ihrer ForumSuite
• Kopieren Sie die im Archiv enthaltene Datei sample-minimal.xml  ebenfalls in das Installationsverzeichnis Ihrer ForumSuite und benennen Sie die Datei um in WinSW.NET2.xml oder WinSW.NET4.xml

• Passen Sie die Datei WinSW.NET2.xml oder WinSW.NET4.xml  entsprechend Ihren Bedürfnissen an

  Beispiel Konfiguration

  XML

  <configuration>
    
    <!-- ID of the service. It should be unique across the Windows system-->
    <id>ForumSuite</id>
    <!-- Display name of the service -->
    <name>ForumSuite Service (powered by WinSW)</name>
    <!-- Service description -->
    <description>This service is a service created from a minimal configuration for ForumSuite</description>
    
    <!-- Path to the executable, which should be started -->
    <executable>C:\<VERZEICHNIS>\start_suite.cmd</executable>
  
  </configuration>

• Öffnen Sie die Eingabeaufforderung als Administrator

• begeben Sie sich innerhalb des Eingabefensters in den Installationsordner der ForumSuite

• Starten Sie die Datei WinSW.NET2.exe oder WinSW.NET4.exe mit dem Zusatzparameter install

  Beispiel Eingabeaufforderung

  POWERSHELL

  C:\WINDOWS\system32>cd C:\APPS\FORUMSuite
  
  C:\APPS\FORUMSuite>WinSW.NET4.exe install
  2019-10-17 16:47:18,717 INFO  - Installing the service with id 'ForumSuite'
  
  C:\APPS\FORUMSuite>WinSW.NET4.exe start
  2019-10-17 16:49:49,261 INFO  - Starting the service with id 'ForumSuite'

Für den reibungslosen Betrieb der ForumSuite ist ein ausreichend dimensionierter verfügbarer Hauptspeicher für die Java Runtime Umgebung (der sog. Java Heap-Speicher) erforderlich.
Dieser muss für Java-Anwendungen im Vorfeld konfiguriert werden, da keine dynamische Zuweisung erfolgt.

Standardmäßig wird die Anwendung mit einem verfügbaren Heap-Speicher von 4 GB gestartet. 
Sofern Ihr Server über 8 GB Hauptspeicher verfügt, ist keine Anpassung erforderlich.

Stehen dem Betriebssystem 12 GB RAM oder mehr zur Verfügung, können Sie den verfügbaren Heap-Speicher erhöhen.
Dies ist insbesondere dann empfehlenswert, wenn Sie mehrere Anwendungen der ForumSuite nutzen oder umfangreiche PDF-Dokumente erzeugen möchten.

Vorgehensweise

Gehen Sie zur Anpassung des Java Heap-Speichers wie folgt vor:

Bearbeiten Sie die Datei start_suite.cmd und ändern Sie den hinter dem Parameter -Xmx hinterlegten Wert.

Beispiel für die Erhöhung auf 8 GB Heap-Speicher:

java -Xmx8G -jar FORUM_Suite_X.Y.Z.jar

Bitte beachten Sie, dass auch dem Betriebssystem nach der Erhöhung des maximal verfügbaren Java Heap-Speichers noch ausreichend Speicher zur Verfügung steht (Empfehlung: mindestens 2 GB).

Für einen Server mit 16 GB RAM sollte die Java Heap Size entsprechend höchstens 14 GB (Empfehlung: 12 GB) betragen.

# Konfiguration Active Directory:
application.ad.enabled=true oder false -- Pflichtangabe
application.ad.domain=Domainname -- Pflichtangabe
application.ad.url=Adresse des AD-Servers, z.B. ldap://ad-server.lan/ -- Pflichtangabe
application.ad.user.searchbase=Basis für Suche der Nutzer im AD, z.B. O=FIRMA (optional)
application.ad.user.searchfilter=Suchfilter für Nutzer, z.B. (&(objectClass=user)(sAMAccountName={1})) (optional, siehe Hinweis im Text)

Beim Active Directory (AD) handelt es sich um einen Verzeichnisdienst von Microsoft für Windows-Netzwerke. Das Active Directory ermöglicht es, die Struktur einer Organisation nachzubilden. Der erste Wert gibt ab, ob ein AD verbunden werden soll. Der Zweite definiert den Domainnamen und zum Schluss wird die Adresse des AD-Servers benötigt. 

 Sofern Sie eine eigene Angabe für den Suchfilter (application.ad.user.searchfilter) vornehmen, wird der Platzhalter {0} durch den Nutzernamen mit AD-Domain (nutzter@domain) ersetzt, der Platzhalter {1} durch den reinen Nutzernamen, wie er in der Anmeldemaske eingegeben wird.

Anpassen der Import Mappings

Zur Vereinfachung der Arbeit mit der ForumSuite empfehlen wir den Import von Mitarbeiter-Daten aus dem Active Directory. Der Import wird über eine Datei gesteuert.

Im Installationsverzeichnis befindet sich der Ordner „config“. Öffnen Sie diesen und benennen Sie die Datei import_mapping_ad.json5.sample in import_mapping_ad.json5 um.

Bearbeiten Sie die Datei anschließend mit einem normalen Text-Editor.

Anpassung der Datei start_suite

Anpassung der Datei start_suite.cmd im Programmverzeichnis der ForumSuite durch hinzufügen des Parameters -Djavax.net.ssl.trustStoreType=WINDOWS-ROOT 

FOR %%f IN (FORUM_Suite_*.jar) DO java -Djavax.net.ssl.trustStoreType=WINDOWS-ROOT -Xmx4G -jar %%f

Anpassung der Datei application.properties

Anpassung der Datei application.properties im Verzeichnis conf des Programmverzeichnisses der ForumSuite durch Anpassung der Parameters application.ad.url.

application.ad.url=ldaps://<server>.<domain>.<tld>:<port>

Die Angabe des Ports (Standard: 636) ist optional.

Nach der Anpassung der Werte ist der Neustart des ForumSuite Dienstes erforderlich.

Die Anbindung eines Lightweight Directory Access Protocol (LDAP) Dienstes stellt eine Alternative zur AD-Anbindung dar.

# Konfiguration LDAP:
application.ldap.enabled=true oder false -- Pflichtangabe
application.ldap.url=Adresse des LDAP-Servers, z.B. ldap://ldap-server.lan/ -- Pflichtangabe
application.ldap.username=Nutzername für LDAP-Zugriff (optional, nur wenn für den LDAP-Zugriff notwendig)
application.ldap.password=Kennwort für LDAP-Zugriff (optional, nur wenn für den LDAP-Zugriff notwendig)
application.ldap.user.searchbase=Basis für LDAP-Suche, z.B. O=FIRMA -- Pflichtangabe
application.ldap.user.searchfilter=Suchfilter für Nutzer, z.B. (|(cn={0})(mail={0})(displayName={0})) -- Pflichtangabe

Die Einträge searchbase und searchfilter sind abhängig von der Struktur Ihres LDAP-Verzeichnisses. Innerhalb des Eintrags searchfilter wird der Platzhalter {0} durch den Anmeldenamen ersetzt.

Werden beide Anbindungen (AD und LDAP) aktiviert, erfolgt für die Prüfung der Authentifizierung zuerst über das Active Directory und anschließend – sofern die Anmeldung per AD nicht erfolgreich war – über LDAP.

Falls Sie eine detailliertere Steuerung der Reihenfolge oder die Anbindung zusätzlicher AD/LDAP-Verzeichnisse benötigen, nutzen Sie bitte die im folgenden beschriebene erweiterte Konfiguration für die Verzeichnisdienste.

Sofern erforderlich, können weitere Authentifizierung-Server können über die Konfigurationsdatei extra_auth_servers.json5 hinzugefügt werden.

Eine Authentifizierung der Benutzer wird dann in der Reihenfolge der Einträge in der Datei versucht.

1. Umbenennen der Datei ./config/extra_auth_servers.json5.sample nach ./config/extra_auth_servers.json5 
2. Anpassung des Inhaltes der Datei ./config/extra_auth_servers.json5 

Aufgrund der sequentiellen Abarbeitung der Anmeldungsserver können Log-Meldungen zu fehlgeschlagenen Anmeldeversuchen auftreten, die in diesem Fall normal sind.

Dieser Artikel betrifft ausschließlich die Java Plattform.

Der Einsatz der in die ForumSuite integrierten Benutzerverwaltung zur Authentifizierung von Nutzern wird nicht für den produktiven Betrieb empfohlen. Nutzen Sie nach Möglichkeit die Anbindung an ein Active Directory oder LDAP-Verzeichnis.

Eine weitere Möglichkeit für die Einrichtung von Benutzern außerhalb des zentralen Verzeichnisdienstes ist die Anlage und Passwortvergabe innerhalb der ForumSuite. Die Passworte werden in diesem Fall verschlüsselt in der Datenbank der ForumSuite abgelegt.

1. Anpassung der Datei conf\application.propierties durch Modifikation/Hinzufügen des Parameters application.auth.user.suite.enabled.
   
   

   conf\application.properties

   BASH

   application.auth.user.suite.enabled=true

   

   Neustart des ForumSuite Dienstes nach Anpassung erforderlich.

2. Deaktivierung des AD/LDAP Importes
   
   

   

   Abbildung: Deaktivierung AD/LDAP Sync

3. Anlegen eines Mitarbeiters in der Mitarbeiterverwaltung.
   
   

   

   Abbildung: Weg zur Mitarbeiterverwlatung

   

   Abbildung: neu angelegter Mitarbeiter

   Mit den im Feld Login-Kennung hinterlegten Daten meldet sich der Benutzer dann an.

4. Initiales Vergabe eines Passwortes durch den Administrator in der Benutzerverwaltung.
   
   

   

   Abbildung:; Aufruf Nutzer in der Benutzerverwaltung

   

   Abbildung: Eingabemöglichkeit Initialkennwort
   

   Nach speichern des Nutzerdokumentes kann sich der manuell angelegte Mitarbeiter mit der Login-Kennung und dem Passwort anmelden und über den oben beschriebenen Weg ein eigenes Kennwort vergeben.

5. Falls der AD/LDAP Import vor der Anlage aktiv war, muss nun die Schnittstelle wieder aktiviert werden.
   
   

   

Einleitung

Zur Aktivierung des SingleSignOn (SSO) über Kerberos muss die Funktionalität im Active Directory (AD) des Unternehmens aktiviert und konfiguriert werden.
Darüber hinaus müssen Anpassungen in den Einstellungen der ForumSuite sowie ggf. für den auf dem Windows Desktop des Anwenders verwendeten Browsers vorgenommen werden.

Anpassung am Active Directory

Sämtliche nachfolgende Angaben zu Benutzern, Passworten, Servern und Domains müssen auf die für ihr Unternehmen gültigen Werte angepasst werden.

#Am AD Server auszuführen. 
#In der Befehlszeile den Server auf welchem die ForumSuite gehostet wird hinterlegen. 
#Die Angabe des Ports ist optional (falls abweichend von Standard HTTP Port). Notation: HTTP/server.domain.lan:<Port>

PS C:\>setspn -A HTTP/server.domain.lan Benutzer

PS C:\>ktpass /out c:\fsuite.keytab /mapuser Benutzer@domain.lan /princ HTTP/server.domain.lan@DOMAIN.LAN /pass 'Password' /ptype KRB5_NT_PRINCIPAL /crypto All

Die erzeugte Datei im Ordner config der ForumSuite ablegen und den Pfad im Parameter application.kerberos.keytab-location hinterlegen (siehe nächster Abschnitt).

Notwendige Parameter in der Datei application.properties der ForumSuite

Anpassung Browser

Zur Nutzung von Kerberos SSO müssen – sofern noch nicht erfolgt – Anpassungen der auf den Windows Desktop des Anwenders genutzten Browser vorgenommen werden.

Firefox Browser

Die nachfolgende Einstellung existiert nur für Windows! Unter MacOS und Linux ist die Einstellungsmöglichkeit für SSPI nicht vorhanden.

Abbildung: Trusted URL's

Chrome, Internet Explorer

Fügen Sie die Domäne zum lokalen Intranet hinzu.

Abbildung: Einstellungen für IE und Chrome