1                     Themenübersicht

Im Mittelpunkt dieses Dokuments steht der „Knowledge Store“ des Systems. Vorab werden in einer kurzen Einführung zunächst die wesentlichen Eigenschaften und typischen Verwendungen des Knowledge Stores präsentiert. Den Abschluss bilden zusätzliche Kapitel mit Hilfestellungen bei Problemen bzw. der Fehlerdiagnose und Fehlerbeseitigung.

2                     Zielgruppe

• System-Administratoren
• Technische Berater

3                     Einführung

Der Knowledge Store ist ein Subsystem des ERP-Systems welches, vergleichbar mit einem Dateisystem, die Speicherung von Dateien in frei definierbaren Ordnerstrukturen erlaubt. Im Vergleich zu einem „normalen“ Dateisystem besitzt der Knowledge Store folgende zusätzliche Eigenschaften:

• Die physikalische Speicherung der Dateien und Ordner kann wahlweise direkt in einer OLTP- bzw. Repository-Datenbank des ERP-Systems, in einem normalen Dateisystem oder auf einem anderen (entfernten) ERP-Enterprise-System erfolgen.
• Der integrierte Web-Server ermöglicht den direkten, netzwerkweiten Zugriff auf die Dateien und Ordner per HTTPS/WebDAV-Protokoll[1].

Aus diesen Eigenschaften ergeben sich beispielsweise folgende Vorteile bei der Nutzung:

• Zusammengehörige Daten und Dateien (z. B. Anhänge, archivierte Dokumente) können in einer (OLTP-)Datenbank gespeichert werden.
• Client-Anwendungen mit WebDAV-Unterstützung, wie zum Beispiel die Microsoft-Office-Produkte oder die „Webordner“, können direkt auf die Dateien und Ordner zugreifen.
• Der Austausch von Dokumenten mit anderen Anwendungen ist über einen gemeinsam nutzbaren Ordner möglich.

3.1               Arbeitsbereiche

Der Knowledge Store ist in Arbeitsbereiche aufgeteilt. Die Arbeitsbereiche erlauben die Trennung der Ordner sowohl nach organisatorischen als auch nach technischen Gesichtspunkten.

Das System stellt automatisch für die Repository-Datenbank sowie für jede OLTP-Datenbank jeweils einen Standard-Arbeitsbereich bereit. Die in diesen Arbeitsbereichen erstellten Ordner und Dateien werden grundsätzlich in der zugehörigen Datenbank gespeichert.

Zusätzlich können über die Anwendung „Systemcockpit“ weitere Arbeitsbereiche für das System erzeugt werden. Für diese („nicht-Standard“-)Arbeits­bereiche kann der physikalische Speicherort (Datenbank, Dateisystem bzw. entfernter Server) individuell festgelegt werden (siehe 5.1).

3.2               Berechtigungen

Ein Zugriff auf die Ordner und Dateien eines Arbeitsbereichs ist für einen Benutzer nur möglich, wenn er dafür autorisiert ist. Mithilfe der Anwendung „Berechtigungsrollen“ können Zugriffsrechte differenziert für einzelne Dateien oder auch für ganze Verzeichnisbäume vergeben bzw. entzogen werden. Für alle Arbeitsbereiche, die ihre Dateien und Ordner in einer OLTP-Datenbank speichern, muss der Benutzer zudem für die jeweilige OLTP-Datenbank zugelassen sein.

Bei entfernten Arbeitsbereichen kommen zwei Prüfungen zum Tragen:

• Das lokale System prüft den Zugriff des jeweiligen Benutzers anhand der lokal definierten Berechtigungsrollen (siehe oben)
• Der entfernte Server prüft den Zugriff des lokalen Systems[2], z. B. anhand der dort definierten Berechtigungsrollen.

Hinweis:

Beim Kopieren, Verschieben und Löschen von ganzen Ordnern in einem entfernten Arbeitsbereich prüft das lokale System nur die Berechtigung auf den Ordner selbst. Wenn diese Prüfung erfolgreich war, dann wird die eigentliche Operation durch den entfernten Server durchgeführt. Falls im lokalen System für die im Ordner enthaltenen Dateien bzw. Unterordner restriktivere Berechtigungen definiert sind, so wird dies nicht berücksichtigt. Dies kann dazu führen, dass Dateien und Ordner durch nicht berechtigte Benutzer eingesehen oder sogar gelöscht werden können. Bei entfernten Arbeitsbereichen sollten deshalb die lokalen Berechtigungsrollen immer so organisiert werden, dass für die Unterelemente eines Ordners nie restriktivere Einschränkungen definiert sind als für den Ordner selbst. Bei Bedarf können die Unterordner eines entfernten Servers auch durch mehrere (entfernte) Arbeitsbereiche abgebildet werden.

3.3               Nutzung im System

Verschiedene andere Subsysteme bzw. Frameworks nutzen den Knowledge Store, um dort ihre Daten/Dokumente zu speichern, diese von dort zu lesen oder zu importieren. Dies gilt insbesondere für das Dokumenten-Management und die Business Integration Services (BIS). Vom ERP-System-Output-Management erzeugte Dokumente können auch im Knowledge Store abgelegt werden. In Verbindung mit dem Dokumenten-Management können zudem Archivkopien der ausgegebenen Belegdokumente gespeichert werden, welche mit den entsprechenden Belegen (Business Entitys) verknüpft sind.

Weitere Anwendungsfälle sind:

• Bilder zu Artikeln und Partnern
• Speicherung von Anhängen (z. B. Entwicklungsaufträge)
• Redaktionscockpit

Darüber hinaus verfügt der Knowledge Store über eine Programmier-Schnitt­stelle (Package com.cisag.pgm.kstore), die Anwendungen erlaubt, den Knowledge Store für ihre speziellen Zwecke zu nutzen.

3.4               WebDAV

WebDAV („Web Distributed Authoring and Versioning“ oder kurz DAV) ist die Bezeichnung für einen Internet-Standard (RFC 2518). Dieser Standard definiert eine Erweiterung des HTTP-Protokolls (RFC 2616) mit dem Ziel, die Erstellung und Bearbeitung von Dokumenten über das Internet zu ermöglichen.

Es gibt inzwischen eine umfangreiche Anzahl von Clients und Servern, die das WebDAV-Protokoll unterstützen, beispielsweise die Microsoft^®-Office-Produkte oder die „Webordner“ von Microsoft^® Windows^® selbst.

Der Knowledge Store unterstützt WebDAV sowohl als Server als auch als Client. Ersteres wird unterstützt, damit Clients auf die im Knowledge Store gespeicherten Ordner und Dateien direkt zugreifen können; letzteres, um selbst auf die in anderen Servern (Systemen) gespeicherten Ordner und Dateien zugreifen zu können.

3.5               URIs

Die Identifikation von Dateien und Ordnern im Knowledge Store erfolgt grundsätzlich über URIs, wobei zwischen einer internen und einer externen Repräsentation unterschieden wird. Die externe Repräsentation ist immer dann nötig, wenn von außen, d. h. über den integrierten Web-Server eines bestimmten ERP-System-Application-Server (SAS) auf den Knowledge Store zugegriffen wird. In allen anderen Fällen wird hingegen die interne Repräsentation verwendet.

Die internen URIs haben folgenden Aufbau:

kstore://Arbeitsbereich/Pfad

Durch „kstore://“ wird gekennzeichnet, dass es sich um eine interne URI handelt[3]. Für „Arbeitsbereich“ ist der Name eines Arbeitsbereiches anzugeben, für „/Pfad“ der komplette Pfad der Datei bzw. des Ordners.

Die externen URIs haben folgenden Aufbau:

https://hostname[:port]/kstore/Arbeitsbereich/Pfad

Durch „https://“ wird gekennzeichnet, dass es sich um eine externe URI handelt. Als hostname ist der Hostname des SAS anzugeben, auf den zugegriffen werden soll. Der Wert für „port“ ist nur anzugeben, wenn es sich nicht um den Standardanschluss (443) handelt. Der Basispfad ist immer „/kstore/“. Für „Arbeitsbereich“ ist der Name eines Arbeitsbereiches anzugeben, für „/Pfad“ der komplette Pfad der Datei bzw. des Ordners.

4                     Client

Es gibt eine Reihe von Anwendungen, die das WebDAV-Protokoll direkt unterstützen, d. h. Dateien auf/von einem WebDAV kompatiblen Server auswählen, öffnen bzw. speichern können. Hierzu zählen beispielsweise die Microsoft-Office-Produkte.

Darüber hinaus gibt es Werkzeuge bzw. Betriebssystemerweiterungen, die den Zugriff auf einen WebDAV-Server für alle Anwendungen verfügbar machen. Hierzu zählt beispielsweise die „Webordner“-Implementierung von Microsoft.

Hinweis:

Die WebDAV-Implementierung des Knowledge Store orientiert sich an den Standards RFC 2518 und RFC 2616. Zusätzlich wurde auf Interoperabilität mit den Microsoft-Produkten geachtet, eine generelle Interoperabilität zu allen WebDAV-Clients kann jedoch nicht garantiert werden (siehe auch „Bekannte Probleme“).

Es besteht zudem die Möglichkeit, direkt mit einem Browser (Internet Explorer) auf den Knowledge Store zuzugreifen, d. h. man kann die externe URI eines Arbeitsbereiches, eines Ordners oder einer Datei als Adresse in die Adressleiste des Internet Explorers eingeben. Bei Ordnern zeigt der Browser eine Liste mit dem Inhalt des Ordners (als Hyperlinks), bei Dateien erfolgt in der Regel das Herunterladen der betreffenden Datei (ggf. erst nach einer Bestätigung).

4.1               Browser

Für den Zugriff auf den Knowledge Store sind keine speziellen Einstellungen notwendig, d. h. es sind dieselben Einstellungen zu verwenden, wie für den normalen Client-Zugriff auf das ERP-System.

Hinweis:

Im Internet Explorer sollte im Menü „Ansicht/Codierung“ der Eintrag „Unicode (UTF-8)“ ausgewählt sein, sonst kann es bei der Interpretation von Textdateien zu Problemen kommen.

Bearbeiten von Microsoft-Office-Dokumenten

Wenn im Internet Explorer ein Microsoft-Office-Dokument über einen Link geöffnet wird, gibt es (mit den Standardeinstellungen) folgende Einschränkung:

Ein direktes Speichern ist nicht möglich, da der Anwendung nicht die URI der Originaldatei, sondern der Pfad auf eine Kopie im temporären Verzeichnis des Internet Explorers übergeben wurde.

Direktes Speichern ermöglichen

Die Microsoft-Office-Anwendungen können geänderte Dateien nur dann zurückspeichern, wenn sie die betreffende Datei zuvor selbst geöffnet haben bzw. wenn ihnen die URI dieser Datei bekannt ist. Wenn der Internet Explorer aber das Öffnen selbst übernimmt und den Anwendungen nur eine Kopie (temporärer Ordner) übergibt, ist ein direktes Speichern aus den Anwendungen nicht möglich.

Aus ERP-System-Anwendungen können bestimmte Office-Anwendungen (Word, Excel und PowerPoint) direkt und mit den richtigen URIs gestartet werden. Auf diese Weise lässt sich verhindern, dass der Internet Explorer die Anwendungen mit einer Kopie der Datei startet. Voraussetzung für das direkte Starten der Anwendung durch das ERP-System ist allerdings, dass das zur Anwendung gehörende ActiveX-Steuerelement gestartet werden kann. Diese ActiveX- Steuerelemente gehören zu den entsprechenden Anwendungen und werden mit diesen zusammen installiert. Die Sicherheitseinstellungen des Internet Explorers verbieten aber üblicherweise die Ausführung dieser als „unsicher“ eingestuften ActiveX- Steuerelemente. Um die Office-Anwendungen direkt aus dem ERP-System starten zu können, müssen diese „unsicheren“ ActiveX- Steuerelemente ausdrücklich zugelassen werden (ggf. nur per Eingabeaufforderung).

Hinweis:

Prüfen Sie zunächst, welcher „Webinhaltszone“ (Sicherheitszone) die ERP-System-Anwendungen (Server) zugeordnet sind. Es sollte sich um das „Lokale Intranet“ oder um die „Vertrauenswürdigen Sites“ handeln. Das Erlauben von ActiveX-Steuerelementen (sicher oder unsicher) in den anderen Zonen, ist nicht zu empfehlen.

1. Wählen Sie im Menü des Internet Explorers den Punkt „Extras/Internet­optionen…“

• Es öffnet sich das Dialog-Fenster „Internetoptionen“.

2. Wählen Sie im Dialog-Fenster den Karteireiter „Sicherheit“ aus.
3. Wählen Sie die „Webinhaltszone“ (Sicherheitszone) aus, die dem benutzten ERP-System-Application-Server (SAS) zugeordnet ist (ggf. vorher hinzufügen).
4. Drücken Sie dann den Button „Stufe anpassen…“

Dialog-Fenster „Internetoptionen“, Karteireiter „Sicherheit“

• Es öffnet sich das Dialog-Fenster „Sicherheitseinstellungen“.

5. Suchen Sie die Einstellung für „ActiveX-Steuerelemente initialisieren und ausführen, die nicht sicher sind“ und ändern Sie diese auf „Aktivieren“ oder „Eingabeaufforderung“.

Dialog-Fenster „Sicherheitseinstellungen“

4.2               Webordner

4.2.1          Eigenschaften von Webordnern

Grundsätzlich erfolgt die Organisation von Dateien und Unterordern in einem Webordner wie in „normalen“ Ordnern, d. h. man kann durch Ordner „browsen“, Dateien und Ordner kopieren, umbenennen, verschieben und löschen.

Ein paar Einschränkungen gibt es aber dennoch:

• Die Eigenschaften der Dateien (siehe Eigenschaftsdialog) fallen etwas „sparsamer“ aus.
• Das Kontextmenü ist (stark) reduziert.
• Bei Doppelklick auf eine Datei wird in der Regel nicht sofort die zugehörige Standardanwendung gestartet, sondern erst der Internet Explorer. Abhängig von den Einstellungen für den Dateityp erfolgt zunächst eine Sicherheitsabfrage („Soll die Datei geöffnet oder auf dem Computer gespeichert werden?“). Wenn Sie „Öffnen“ wählen, wird die Datei vom Internet Explorer in ein temporäres Verzeichnis abgelegt und dann die Standardanwendung gestartet. Die Standardanwendung arbeitet dann allerdings mit der Kopie in dem temporären Verzeichnis – ein direktes Zurückspeichern ist deshalb nicht möglich. Eine Ausnahme stellen die Anwendungen dar, die selbst über WebDAV-Unterstützung verfügen (z. B. Microsoft Office).

4.2.2          Webordner erstellen

1. Zum Erstellen eines neuen „Webordners“ öffnen Sie zunächst den Ordner „Netzwerkumgebung“ (entweder über den Datei-Explorer oder über die Verknüpfung auf dem Desktop):

Dialog-Fenster „Netzwerkumgebung“

2. Durch Doppelklick auf den Link „Netzwerkressource hinzufügen“ wird der „Assistent zum Hinzufügen von Netzwerkressourcen“ gestartet.
3. Tragen Sie als „Pfad zur Netzwerkressource“ die externe URI des gewünschten Knowledge-Store-Ordners ein:

Dialog-Fenster „Assistent zum Hinzufügen von Netzwerkressourcen“

Hinweis:

Der Zugriff auf den Knowledge Store funktioniert nur mit „https“.

Hinweis:

Verwenden Sie statt „hostname“ den vollständigen Hostnamen Ihres ERP-System-Application-Servers (SAS).

Hinweis:

Der Ordner „/kstore/“ ist allen Arbeitsbereichen übergeordnet (Verzeichnis der verfügbaren Arbeitsbereiche). Sie können stattdessen auch den Pfad (URI) eines bestimmten Arbeitsbereichs oder Ordners angeben.

5                     System/Server

5.1               Arbeitsbereiche

Für die Repository- und für jede OLTP-Datenbank werden automatisch Standardarbeitsbereiche bereitgestellt. Auf diese Arbeitsbereiche kann ohne weitere Konfiguration[4] direkt aus den Anwendungen und über WebDAV zugegriffen werden.

Über die Anwendung „Systemcockpit“ können zusätzliche („nicht-Standard“-) Arbeitsbereiche erzeugt werden.

Hinweis:

Änderungen an den Arbeitsbereichen wirken sich grundsätzlich erst nach einem Neustart des Application-Servers aus.

Bei der Anlage eines neuen Arbeitsbereiches müssen Sie sich für ein „Speichermedium“ entscheiden. Zur Auswahl stehen „Datenbank“, „Dateisystem“ und „Entfernter Server“. Wobei die Speicherung im Dateisystem wahlweise „offen“ oder „versteckt“ erfolgen kann. Welche Auswahl die „Richtige“ ist, hängt insbesondere von der geplanten Verwendung ab.

Datenbank

Die Speicherung in der Datenbank bietet die beste Sicherheit in Bezug auf Integrität und Zugriffsschutz, da alle Zugriffe der direkten Kontrolle des ERP-Systems unterliegen. Auch die gemeinsame Datenhaltung zusammen mit den übrigen Daten der OLTP-Datenbank bietet Vorteile, beispielsweise beim Backup. Wegen diesen Eigenschaften ist die Speicherung in der Datenbank immer dann zu empfehlen, wenn die gespeicherten Daten mit anderen Daten im ERP-System verknüpft sind. Ein wichtiges Beispiel dafür ist das Dokumenten-Management des ERP-Systems.

Dateisystem

Für Anwendungsfälle, in denen der Knowledge Store nur zur Speicherung von temporären Dateien und/oder für den Datenaustausch mit anderen Anwendungen benötigt wird, würde die Speicherung die Datenbank nur unnötig belasten. Daher sollten Arbeitsbereiche für diese Anwendungsfälle besser im Dateisystem abgelegt werden. Die Speicherung im Dateisystem ist in zwei unterschiedlichen Varianten möglich. In der ersten Variante lagert ERP-System nur die Inhalte der Dateien in einen versteckten Ordner aus, alle übrigen Informationen über die Dateien und die Ordnerstruktur verwaltet das ERP-System weiterhin in der Datenbank. Diese Variante entlastet die Datenbank bereits deutlich, bietet dabei aber fast alle Vorteile in Bezug auf Integrität und Zugriffsschutz wie die vollständige Speicherung in der Datenbank. In der zweiten Variante erfolgt die Verwaltung der Dateien und Ordner über einen „öffentlichen“ (gemeinsam nutzbaren) Ordner[5]. Andere Anwendungen können auf die Dateien und Unterordner in diesem Ordner direkt zugreifen (lesend unter schreibend). Diese Offenheit vereinfacht den Datenaustausch mit anderen Anwendungen, insbesondere mit solchen, die nicht per WebDAV auf das ERP-System zugreifen können. Allerdings unterliegen die Daten damit nicht mehr dem Schutz durch das ERP-System. Alle Zugriffe, die am ERP-System „vorbeigehen“ umgehen damit auch den Zugriffsschutz und die Integritätsprüfungen des ERP-Systems. Zu beachten ist weiterhin, dass der gemeinsame Ordner für alle Application-Server des Systems zugänglich sein muss – auch falls es sich um eine gemischte Umgebung mit unterschiedlichen Betriebssystemen handeln sollte. Einige Dateiattribute bzw. Zusatzinformationen, die sonst für den Knowledge Store verfügbar sind, können in dieser Variante nicht bereitgestellt oder modifiziert werden, weil sie nicht von dem unterliegenden API bzw. dem Java-API unterstützt werden. Dazu zählen beispielsweise der Inhaltstyp und das Erzeugungsdatum.

Entfernter Server

Die Speicherung der Dateien auf einem „Entfernten Server“ kommt immer dann in Frage, wenn die Daten bereits auf einem WebDAV fähigem System liegen (z.B. IIS, Apache oder ein anderes ERP-Enterprise-System). Im Vergleich zu der Speicherung in einem öffentlichen (gemeinsam nutzbaren) Ordner, lässt sich diese Speicherung auch leicht in heterogenen Umgebungen und über Netzwerkgrenzen hinweg einsetzen.

5.1.1          Arbeitsbereich anlegen (Datenbank)

1. Starten Sie die Anwendung „Systemcockpit“.
2. Wählen Sie im Identifikationsbereich der Anwendung als „Typ“ den Wert „Arbeitsbereich“.
3. Drücken Sie in der Standard-Symbolleiste auf den Button „Neu“.
4. Tragen Sie im Feld „Name“ eine eindeutige Identifikation für den gewünschten Arbeitsbereich ein. Beachten Sie, dass die Identifikation aus zwei Teilen besteht: dem Namen des Systems, zu dem der Arbeitsbereich gehört, und (getrennt durch einen Punkt) dem Namen für den Arbeitsbereich.
5. Tragen Sie im Feld „Bezeichnung“ eine Bezeichnung für den Arbeitsbereich ein.
6. Wählen Sie im Feld „Speichermedium“ den Wert „Datenbank“ aus.

Ausschnitt aus der Anwendung „Systemcockpit“: Arbeitsbereich anlegen (Datenbank)

7. Klicken Sie in der Standard-Symbolleiste auf den Button „Speichern“.
8. Starten Sie das System durch, damit der Arbeitsbereich genutzt werden kann.
9. Legen Sie über die Anwendung „Berechtigungsrollen“ fest, welche Benutzer bzw. Benutzergruppen auf diesen Arbeitsbereich zugreifen dürfen.

5.1.2          Arbeitsbereich anlegen (Dateisystem)

Die Anlage erfolgt wie unter Arbeitsbereich anlegen (Datenbank) beschrieben, nur das im Feld „Speichermedium“ der Wert „Dateisystem“ auszuwählen ist. Der Inhalt des Feldes „Dateiserver-Pfad“ entscheidet darüber, ob nur die Dateiinhalte in einen internen (verstecken) Ordner ausgelagert oder die gesamte Ordnerstruktur in einem auch von anderen Anwendungen nutzbaren Ordner verwaltet werden soll. Im ersten Fall muss das Feld leer bleiben und im zweiten Fall muss dort der Pfad des gemeinsam nutzbaren Ordners eingetragen werden.

Hinweis:

Wenn ein Pfad angegeben wird, dann muss dieser Pfad für alle Application-Server des Systems denselben Zielordner identifizieren, als eine Windows-Freigabe (UNC-Pfad) oder Unix Mount-Point. Statt einem absoluten Pfad kann alternativ auch ein relativer Pfad angegeben werden. In diesem Fall ergibt sich der effektive Speicherort aus dem „Dateiserver-Pfad“ des jeweiligen Application-Servers erweitert um den hier angegebenen relativen Pfad.

Warnung:
Der Zugriff auf Netzwerkfreigaben ist unter Java sehr langsam. Insbesondere bei der Abfrage/Auflistung von umfangreichen Verzeichnissen kann es deshalb zu besonders langen Antwortzeiten kommen. Aus diesem Grund sollten Netzwerkfreigaben nur dann als Arbeitsbereich eingebunden werden, wenn darin nur eine geringe Anzahl von Dokumenten gespeichert wird (< 1000).

Ausschnitt aus der Anwendung „Systemcockpit“: Arbeitsbereich anlegen (Dateisystem)

5.1.3          Arbeitsbereich anlegen (entfernter Server)

Die Kommunikation zwischen lokalem System und entferntem Server basiert auf dem WebDAV-Protokoll. Das lokale System stellt dabei den WebDAV-Client dar und der entfernte Server den WebDAV-Server. Die folgenden Ausführungen gehen davon aus, dass es sich bei dem entfernten Server um einen ERP-System-Application-Server handelt[6].

Das Anlegen erfolgt ähnlich wie unter Arbeitsbereich anlegen (Datenbank) beschrieben. Im Feld „Speichermedium“ ist jedoch der Wert „Entfernter Server“ auszuwählen und im Feld URI die externe URI[7] eines Arbeitsbereiches oder eines Ordners auf dem entfernten Server.

Abhängig davon, welche Art von Identifizierung der entfernte Server fordert, ist im Feld „Identifikation“ entweder der Wert „Zertifikat“ oder der Wert „Kennwort“ auszuwählen.

Ausschnitt aus der Anwendung „Systemcockpit“: Arbeitsbereich anlegen (entfernter Server)

Identifikation durch Zertifikat

Wenn als Identifikation der Wert „Zertifikat“ gewählt wurde, muss bei dem Arbeitsbereich ein entsprechendes Zertifikat hinterlegt werden. Wählen Sie hierzu die entsprechende Aktion in der Standard-Symbolleiste aus:

Aktion für das Erzeugen oder Importieren eines Zertifikats

Sie können entweder ein vorhandenes Zertifikat importieren oder sich selbst ein neues Zertifikat erzeugen (eine detaillierte Beschreibung hierzu ist im Dokument Zertifikate erzeugen zu finden).

Hinweis:

Selbst erzeugte Zertifikate werden im Allgemeinen nicht als vertrauenswürdig eingestuft. Der Betreiber des entfernten Servers muss manuell entscheiden, ob er Ihrem Zertifikat bzw. dessen Aussteller (Zertifizierungsstelle) vertraut.

Hinweis:

Als Alternative kann Ihnen der Betreiber des entfernten Servers ein Zertifikat ausstellen (unterschrieben), welches Sie dann einfach importieren können. In diesem Fall müssen Sie darauf achten oder darauf vertrauen, dass Sie der Einzige sind, der über den privaten Schlüssel verfügt.

Hinweis:

Wenn Sie ein Zertifikat importieren, beachten Sie, dass die hier verlangten Zertifikate den privaten Schlüssel enthalten müssen.

Hinweis:

Wenn Sie ein Zertifikat benutzen, das nicht von dem Betreiber des entfernten Servers bereitgestellt bzw. unterschrieben wurde, müssen Sie Ihr Zertifikat (ohne privaten Schlüssel) exportieren und ihm zukommen lassen, damit er es Ihrem Benutzerkonto zuordnen kann.

Identifikation durch Benutzername/Kennwort

Wenn als Identifikation der Wert „Kennwort“ gewählt wurde, müssen die Felder „Entfernter-Benutzername“ und „Entfernter-Benutzer-Kennwort“ ausgefüllt werden. Das Kennwort ist zudem im Feld „Kennwortbestätigung“ zu wiederholen.

Hinweis:

Benutzername und Kennwort werden durch den Betreiber des entfernten Servers vergeben. Eine Änderung des Kennworts ist in der Regel nicht möglich. Wenn das Benutzerkonto jedoch so konfiguriert ist, dass auch interaktive Anmeldungen möglich sind, ist eine Änderung des Kennwortes über den ERP-System-Client möglich.

5.1.4          Zusätzliche Hinweise für entfernte Arbeitsbereiche

Netzwerkverbindung

Das lokale System muss zu dem entfernten Server eine HTTP(S)-Verbindung aufbauen können. Wenn sich der entfernte Server nicht im selben LAN wie das lokale System befindet, muss entweder ein Router oder ein Proxy zur Verfügung stehen. Wird ein Proxy verwendet, muss dieser HTTPS-Verbindungen (CONNECT) unterstützen. Die Adresse (Hostname) und der Anschluss (Port) des Proxys müssen zudem dem WebDAV-Client des ERP-Systems bekannt gemacht werden. Hierzu müssen die folgenden System-Properties entsprechend definiert werden:

com.cisag.pgm.kstore.KnowledgeStore.proxyHost=

com.cisag.pgm.kstore.KnowledgeStore.proxyPort=

Zertifikate

• Das lokale System muss das Server-Zertifikat des entfernten Servers für authentisch halten, damit eine HTTPS-Verbindung zustande kommt. Hierzu ist es notwendig, dass mindestens ein Zertifikat aus dem zugehörigen Zertifizierungspfad von dem lokalen System als vertrauenswürdig eingestuft wird. Dies ist wiederum nur der Fall, wenn bei dem lokalen System eine Zertifizierungsstelle mit einem dieser Zertifikate erfasst wurde. Weiter ist es notwendig, dass bei dieser Zertifizierungsstelle die Einstellung „Anmeldung erlaubt“ gewählt sein muss.
• Für das lokale System muss auf dem entfernten Server ein Benutzerkonto eingerichtet sein.
• Wenn bei dem entfernten System die Authentifizierung durch Client-Zertifikat erfolgen muss oder soll, muss dort der öffentliche Schlüssel des Benutzer-Zertifikats (Identifikation des lokalen Systems) dem Benutzerkonto zugeordnet werden.
• Da der entfernte Server das Benutzer-Zertifikat des lokalen Systems ebenfalls auf Vertrauenswürdigkeit testet, gelten bezüglich des Zertifizierungspfades und der Zertifizierungsstellen dieselben Anforderungen.

Speichern von Eigenschaften (DAV Properties)

Die aktuelle Implementierung speichert auf dem entfernten Server nur den Namen und den Inhalt von Dateien. Zusätzliche Dateieigenschaften, beispielsweise „read-only“ oder der Inhaltstyp (MIME-Type), gehen verloren oder werden auf dem Zielsystem durch entsprechende Standardwerte ersetzt.

5.1.5          Arbeitsbereich löschen

Über die Anwendung „Systemcockpit“ können auch Arbeitsbereiche gelöscht werden. Das Löschen bezieht sich dabei nur auf den entsprechenden Eintrag in der Konfigurations-Datenbank. Die Inhalte bleiben dabei erhalten, sie sind nur nicht mehr zugänglich[8].

Um einen Arbeitsbereich inklusive seiner Inhalte zu löschen muss im Anschluss das Tool „Arbeitsbereichsinhalte löschen (dltwspcnt)“ aufgerufen werden.

Hinweis:

Bei Arbeitsbereichen, die mit entfernten Servern verbunden sind, ist ein Löschen der Inhalte nicht immer erwünscht, da sie in der Regel nicht exklusiv für das lokale System bereitgestellt werden.

5.2               Berechtigungen

In der Anwendung „Berechtigungsrollen“ können Zugriffsrechte für Ordner und Dateien festgelegt werden. Die Rechte werden dabei über die Ordnerhierarchie vererbt, können aber auf den unteren Ebenen verändert werden. So kann beispielsweise auf dem Hauptverzeichnis eines Arbeitsbereiches der Schreib-/ Lesezugriff für alle Benutzer erlaubt werden, der Zugriff auf einen bestimmten Unterordner aber nur für ausgewählte Benutzer zugelassen werden. Ebenso lässt sich auch der umgekehrte Fall über die Berechtigungsrollen einstellen.

Hinweis:

Wenn für einen Arbeitsbereich überhaupt keine Zugriffsrechte festgelegt werden, können nur Mitglieder aus der Benutzergruppe „Administratoren“ darauf zugreifen. Es ist daher in der Regel notwendig, nach dem Anlegen eines neuen Arbeitsbereichs auch entsprechende Zugriffsrechte – zumindest für den Hauptordner – zu vergeben.

Hinweis:

Die Mitglieder aus der Benutzergruppe „Administratoren“ haben immer „Vollzugriff“ auf alle Arbeitsbereiche, d. h. die festgelegten Zugriffsrechte haben keine Wirkung.

Hinweis:

Beim Kopieren, Verschieben und Löschen von ganzen Ordnern in einem entfernten Arbeitsbereich prüft das lokale System nur die Berechtigung auf den Ordner selbst. Wenn diese Prüfung erfolgreich war, dann wird die eigentliche Operation durch den entfernten Server durchgeführt. Falls im lokalen System für die im Ordner enthaltenen Dateien bzw. Unterordner restriktivere Berechtigungen definiert sind, so wird dies nicht berücksichtigt. Dies kann dazu führen, dass Dateien und Ordner durch nicht berechtigte Benutzer eingesehen oder sogar gelöscht werden können. Bei entfernten Arbeitsbereichen sollten deshalb die lokalen Berechtigungsrollen immer so organisiert werden, dass für die Unterelemente eines Ordners nie restriktivere Einschränkungen definiert sind als für den Ordner selbst. Gegebenfalls können die Unterordner eines entfernten Servers auch durch mehrere (entfernte) Arbeitsbereiche abgebildet werden.

Hinweis:
Über eine System-Property kann die Berechtigungsprüfung für alle Benutzer abgeschaltet werden:

com.cisag.pgm.kstore.KnowledgeStore.checkPermission=none

Private Ordner

Auf einen privaten Ordner können nur der Besitzer und die Administratoren des Ordners zugreifen. Ein privater Ordner hat den gleichen Namen wie Benutzername des Besitzers. Sie können mit der folgenden System-Property com.cisag.sys.kstore.log.KnowledgeStoreUserFolder die Ordner angeben, unter denen sich private Ordner befinden. Wenn ein Ordner private Ordner enthält, dann kann ein Benutzer nur auf den Unterordner zugreifen, der den Namen des entspricht.

Beispiel:

Der Ordner „tmp“ enthält private Ordner. Der Benutzer XYZ kann aus diesem Grund auf die Dateien wie folgt zugreifen. Für die folgenden Beispiele existiert ein Benutzer mit dem Namen „ABC“ aber kein Benutzer mit dem Namen „myDocs“.

Zugriff erlaubt:

/tmp/abc.pdf

/tmp/XYZ/def.pdf

/tmp/XYZ/test/ghj.xls

/tmp/myDocs/test/ghj.xls

Zugriff nicht erlaubt:

/tmp/ABC/def.pdf

/tmp/ABC/test/ghj.xls

5.3               Tools

Für Arbeitsbereiche stehen folgende Tools und ihre Dokumentationen zur Verfügung:

• Arbeitsbereich anlegen (Toolname: crtwsp)
• Arbeitsbereich ändern (Toolname: chgwsp)
• Arbeitsbereich löschen (Toolname: dltwsp)
• Arbeitsbereichsinhalte anzeigen (Toolname: dspwspcnt)
• Ordner eines Arbeitsbereichs kopieren (Toolname: cpywspfld)
• Arbeitsbereichsinhalte reorganisieren (Toolname: rgzwspcnt)
• Arbeitsbereichsinhalte löschen (Toolname: dltwspcnt)

6                     Bekannte Probleme

Groß-/Kleinschreibung

Der Knowledge Store unterscheidet bei Datei- und Ordnernamen zwischen Groß- und Kleinschreibung. Einige Versionen der „Webordner“-Implementie­rung von Microsoft haben jedoch Probleme, wenn sich die Namen zweier Dateien/Ordner nur in der Groß-/Kleinschreibung unterscheiden.

Leerzeichen oder Umlaute

Verwenden Sie bei der Ablage von Dokumenten in Dateisystem und Knowledge Store keine Leerzeichen oder Umlaute in Verzeichnis- und Dateinamen. Der Zugriff auf solche Objekte von z. B. einer Installation auf einem englischen Betriebssystem oder mit einer englischen Office-Installation kann dann nicht möglich sein. Vergeben Sie im Dokumenten-Management und in den Belegdokument-Vorlagen daher nur Verzeichnisnamen und Dateinamen ohne Sonderzeichen.

Windows Explorer hält Anmeldeinformationen

Die Anmeldeinformationen (Zertifikatsauswahl bzw. Benutzername/Kennwort) werden pro (Windows-)Prozess nur einmal abgefragt. Für die Webordner bzw. den Windows Explorer bedeutet dies, dass man sich unter Windows komplett abmelden muss, um eine neue Abfrage der Anmeldeinformationen zu erzwingen. Es reicht nicht, alle Fenster des Windows-Explorers zu schließen und ein neues Fenster zu öffnen, da der Prozess, zu dem alle Fenster gehören, im Hintergrund weiterläuft.

7                     Fehlerdiagnose

Wenn das Erstellen eines Webordners fehlschlägt, sollte als erstes geprüft werden, ob eine Verbindung mit dem Internet Explorer möglich ist. Geben Sie dazu die externe URI des Arbeitsbereiches direkt in die Adressleiste des Internet Explorers ein. Falls eine Verbindung mit dem Internet Explorer möglich ist, liegt vermutlich ein Problem mit der Installation der Webordner vor (siehe „Bekannte Probleme“).

[1] Wie bei dem Zugang über den Internet Explorer erfolgt die Kommunikation über HTTPS und die Authentifizierung über Client-Zertifikate bzw. Benutzername/Kennwort.

[2] Das lokale System muss sich in der Regel bei dem entfernten Server authentifizieren, d. h. es wird dort einem „Benutzerkonto“ zugeordnet und unterliegt den dort definierten Berechtigungen.

[3] Außerhalb eines ERP-Enterprise-Systems ist diese Form von URIs ungültig bzw. wird als Fehler erkannt.

[4] Entsprechende Berechtigungsrollen müssen definiert bzw. angepasst werden.

[5] Nur die Berechtigungen werden weiterhin in der Datenbank abgelegt.

[6] Die Kommunikation mit anderen WebDAV-kompatiblen Servern ist prinzipiell möglich und wurde beispielhaft mit einem Microsoft IIS 6.0 geprüft, jedoch wird dafür keinerlei Unterstützung geboten.

[7] Die externe URI definiert dabei das Kommunikationsprotokoll (HTTPS), den Hostnamen und den Anschluss des Servers sowie den Pfad des Ordners, auf den zugegriffen werden soll.

[8] Wenn ein Arbeitsbereich versehentlich gelöscht wurde, dann können die Inhalte mithilfe des Tools „rgzwspcnt“ (Dokumentation Arbeitsbereichsinhalte reorganisieren wieder zugänglich gemacht werden.