


Dies ist AqMoney-TNG, die naechste Generation von AqMoney.
Es wurde komplett neu geschrieben und benoetigt OpenHBCI-TNG.
AqMoney-TNG steht unter der "GNU Public Licence" (siehe Datei COPYING, bitte
beachten Sie auch die in der Datei angegebene Lizenz-Ausnahme).


Sie benoetigen die folgenden Bibliotheken:
- OpenHBCI-TNG          : unbedingt, http://www.openhbci.de
- KtoBlzCheck 0.4       : optional, http://ktoblzcheck.sf.net
                          Diese Bibliothek sollten Sie in jedem Fall
                          installieren, da sie das vorherige Ueberpruefen von
                          Kontonummer und Bankleitzahl des Partners bei
			  Ueberweiungen erlaubt


Features:
- Neuanlegen eines Benutzers
- Importieren eines Benutzer von einem Sicherheitsmedium (Karte, Datei)
- unterstuetzt alle Sicherheitsmedien von OpenHBCI-TNG
- Abrufen der Kontenliste von der Bank
- manuelles Hinzufuegen eines Kontos (fuer Banken, die keine Kontenliste
  uebertragen)
- exportieren der folgenden Daten (jeweils auswaehlbar nach positivem
  oder negativem Betrag, Name des Transaktionspartners, Gegenkonto und
  eigenem Konto, bei Umsaetzen auch nach Zeitraum)
   - Umsaetze (ausgewaehlt nach Datum, Betrag, Gegen-Konto)
   - in Auftrag gegebene Ueberweisungen
   - noch offene terminierte Ueberweisungen
   - vorgemerkte Umsaetze
   - Dauerauftraege
  Dabei kann in die folgenden Formate exportiert werden:
   - neues Konfigurationsdatei-Format
   - DTAUS Datei
   - CSV Datei, praezise konfigurierbar durch eine Konfigurationsdatei
- Spezifikation von Ueberweisungen/Lastschriften/Dauerauftraegen direkt ueber
  die Kommandozeile oder durch Angabe von Dateien in den folgenden Formaten:
   - altes Konfigurationsdateiformat (zur leichteren Migration vom alten
     AqMoney zu AqMoney-TNG)
   - neues Konfigurationsdateiformat
   - DTAUS-Datei
   - SWIFT-MT94x-Datei
- konvertieren von Dateien aus jedem lesbaren in jedes schreibbare Format
  Lesbar sind derzeit:
   - altes Konfigurationsdateiformat (zur leichteren Migration vom alten
     AqMoney zu AqMoney-TNG)
   - neues Konfigurationsdateiformat
   - DTAUS-Datei
   - SWIFT-MT94x-Datei
  Schreibbar sind momentan:
   - neues Konfigurationsdatei-Format
   - DTAUS Datei
   - CSV Datei, praezise konfigurierbar durch eine Konfigurationsdatei

AqMoney-TNG unterstuetzt bisher die folgenden Geschaeftsvorfaelle:
- Saldenabfrage
- Umsatzabfrage
- Einzelueberweisung
- Bestand an terminierten Einzelueberweisungen abrufen
- terminierte Einzelueberweisung
- loeschen einer wartenden terminierte Einzelueberweisung
- Einzellastschrift
- Sammelueberweisung
- Sammellastschrift
- Dauerauftragsbestand abrufen
- Dauerauftrag einrichten
- Dauerauftrag loeschen


Diese Version von AqMoney-TNG verwendet keine Konfigurationsdateien aelterer
Versionen, daher muessen Sie auch bei einem Upgrade einen neuen Benutzer
anlegen.

Das ist allerdings einfach, da AqMoney-TNG einfach Benutzer von existierenden
Sicherheitsmedien (Schluesseldatei, Chipkarte) importieren kann.

Sie koennen AqMoney-TNG parallel zum alten AqMoney verwenden.

Allerdings sollten Sie zu Ihrer eigenen Sicherheit Backups Ihrer Schluessel-
dateien anlegen !



Migration vom alten AqMoney zu AqMoney-TNG
==========================================

Sie muessen die Benutzer des alten AqMoney neu anlegen. Allerdings koennen
Sie diese einfach aus den Sicherheitsmedien (Schluesseldatei, Chipkarte)
importieren.

============================== WICHTIG =======================================
||Bitte erzeugen Sie keine neuen Schluessel auf dem alten Sicherheitsmedium!||
||Sie koennen die alten Schluessel auch mit dem neuen AqMoney-TNG weiterver-||
||wenden !!                                                                 ||
============================== WICHTIG =======================================

Sie muessen allerdings bei Schluesseldateien eine neue System-Id abrufen.
Die komplette Migration laeuft also folgendermassen:

1) Benutzer anlegen
-------------------
1a) Bei Verwendung einer Schluesseldatei:
"aqmoney2 createuser -i -s SERVER-ADDRESSE -t file -m PFAD_ZUR_DATEI"

1b) Bei Verwendung einer Chipkarte:
"aqmoney2 createuser -i -s SERVER-ADDRESSE -t card"

Den Server (-s) koennen sie bei Chipkarten auch weglassen, denn auf diesen
ist meist die Adresse des Servers gespeichert.

2) System-Id abrufen
--------------------
Als naechstes muessen Sie bei Verwendung von Schluesseldateien eine neue
System-Id abrufen:
"aqmoney2 getsysid -b BLZ -C KUNDEN-ID"

Falls Sie fuer alle Benutzer die System-Id abrufen wollen (oder nur einen
Benutzer angelegt haben), koennen Sie die Optionen -b und -C auch weglassen.

3) Konten anlegen
-----------------
Als naechstes koennen Sie nun die Kontenliste abrufen:
"aqmoney2 acclist -b BLZ -C KUNDEN-ID"

Ueberpruefen Sie nun, ob Sie eine Kontenliste haben:
"aqmoney2 dump"

Werden keine Konten angezeigt ?
Dann muessen Sie das Konto von Hand anlegen, mit
"aqmoney2 accadd -b BLZ -C KUNDEN-ID -a KONTONUMMER -n IHR_VOLLER_NAME"

Nun sollten Ihre Konten auch mit dem neuen AqMoney-TNG verwendbar sein.

Bitte beachten Sie, dass beide AqMoney-Versionen voneinander unabhaengig
sind. Das bedeutet, wenn Sie mit dem alten AqMoney die Kontoauszuege abrufen,
sind diese nicht automatisch auch im neuen AqMoney-TNG !



Tips zur Sicherheit
===================

Insbesondere, wenn Sie mit einer PIN-Datei arbeiten wollen, sollten Sie diesen
Abschnitt aufmerksam lesen.


Der sicherste Weg AqMoney zu verwenden ist der folgende:
- eine neue Gruppe "aqmoney" anlegen
- einen neuen Benutzer "aqmoney" anlegen, zur Gruppe "aqmoney" gehoerend,
  mit der shell "/bin/false". Das verhindert, dass sich irgendjemand als
  Benutzer "aqmoney" einloggen kann
- die ausfuehrbare Datei "aqmoney2" folgendermassen bearbeiten:
  - chown aqmoney:aqmoney aqmoney2
  - chmod o-rwx aqmoney2
  - chmod g+rx aqmoney2
  - chmod o+s aqmoney2
  Der letzte Schritt sorgt dafuer, dass AqMoney immer als Benutzer "aqmoney"
  ausgefuehrt wird, die Schritte davor sorgen dafuer, dass nur DIE Benutzer
  AqMoney ausfuehren duerfen, die Mitglieder der Gruppe "aqmoney" sind
- Verzeichnis "/home/aqmoney" anlegen, nur les- und schreibbar fuer den
  Benutzer "aqmoney"
- den Benutzer, der mit AqMoney arbeitet will, zur Gruppe "aqmoney"
  hinzufuegen

Alle Dateien (und insbesondere die PIN-Datei!) sollten im Heimat-Verzeichnis
des Benutzers "aqmoney" liegen, und vor allem nur les- und schreibbar fuer
diesen Benutzer sein !

Dieser Anleitung folgend kann nicht einmal der ausfuehrende Benutzer die 
PIN-Datei lesen oder gar veraendern, AqMoney aber kann diese Datei lesen.

Ohne diese Vorkehrungen - also wenn sie als normaler Benutzer ohne SUID
starten - kann jeder Prozess, den sie als normaler Benutzer starten, die
PIN-Datei lesen. Bedenken Sie dabei, dass auch die Internet-Browser etc
mit Ihrer Benutzerkennung laufen und folglich diese Datei lesen koennten !

Ein protentieller Angreifer muesste also nicht einmal root sein, um Ihre PINs
auszuspionieren !

Bedenken Sie bitte, dass wenn AqMoney irgendwelche Dateien erzeugen soll,
es diese Dateien nicht im Heimatverzeichnis des aufrufenden Benutzers ablegen
kann, da es im Normalfall dazu keine Berechtigung hat.

Alternativ koennen Sie im Heimat-Verzeichnis des Benutzers "aqmoney" ein
Verzeichnis einrichten, dass auch von den Mitgliedern der Gruppe "aqmoney"
bearbeitet werden darf.



PIN-Datei
=========

Sie koennen AqMoney eine leere PIN-Datei erzeugen lassen:
aqmoney2 mkpinfile -o PIN-DATEI

Diese muessen Sie dann mit den PINs fuellen und anschliessend in das 
Heimat-Verzeichnis des Benutzers "aqmoney" verschieben.


-----------------------------------------
Martin Preuss, Hamburg/D, 5.November 2003
