Руководство пользователя SNC | Инициатор (SAP …mprusov.narod.ru/sap/snc/sncuserguide-ru.pdf · О документе Данный документ

Руководство пользователя SNC

Михаил Прусов, [email protected]

11 марта 2004 г.

О документе

Данный документ является изложением моего понимания техники SNCдля SAP-систем компании SAP AG. Он основан на руководстве «SNC User’sGuide» версии 1.2 компании SAP AG, хотя не является точным переводомпоследнего — добавлены некоторые сведения о возможностях, которые появи-лись после выхода этого руководства.

Документ никоим образом не пытается нарушить права компании SAP AG.Документ подготовлен для информационной поддержки проекта по созда-

нию SNC-библиотеки, основанной на российских криптографических алгорит-мах («MSNC-адаптер»). Текущий статус проекта, а также последнюю версиюэтого документа, вы можете найти по адресу http://mprusov.narod.ru/sap/snc/index.html.

Свои замечания и пожелания вы можете направлять по адресу mailto:[email protected].

http://mprusov.narod.ru/sap/snc/index.html

http://mprusov.narod.ru/sap/snc/index.html

mailto:[email protected]

mailto:[email protected]

Оглавление

1 Введение 91.1 Что такое SNC? . . . . . . . . . . . . . . . . . . . . . . . . . . . 91.2 Что выполняет SNC? . . . . . . . . . . . . . . . . . . . . . . . . . 10

1.2.1 Простая аутентификация . . . . . . . . . . . . . . . . . . 101.2.2 Обеспечение целостности . . . . . . . . . . . . . . . . . . 101.2.3 Обеспечение конфиденциальности . . . . . . . . . . . . . 10

2 SNC в архитектуре систем SAP 132.1 Терминология . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132.2 SNC в системах SAP . . . . . . . . . . . . . . . . . . . . . . . . 15

2.2.1 Факторы, повлиявшие на проектирование SNC . . . . . 152.2.2 Интеграция SNC и внешнего продукта в архитектуре

SAP-систем . . . . . . . . . . . . . . . . . . . . . . . . . . 162.3 Внешние продукты обеспечения безопасности . . . . . . . . . . 17

2.3.1 Требования . . . . . . . . . . . . . . . . . . . . . . . . . . 172.3.2 Именование . . . . . . . . . . . . . . . . . . . . . . . . . . 18

2.4 Каналы взаимодействия в SAP-системах . . . . . . . . . . . . . 192.5 Общие замечания относительно параметризации SNC . . . . . 192.6 Рекомендации . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22

3 Активация SNC на сервере приложений SAP 253.1 Предпосылки . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 253.2 Установка параметров профайла сервера приложений . . . . . . 26

3.2.1 snc/enable . . . . . . . . . . . . . . . . . . . . . . . . . . . 263.2.2 snc/user_maint . . . . . . . . . . . . . . . . . . . . . . . . 283.2.3 snc/gssapi_lib . . . . . . . . . . . . . . . . . . . . . . . . . 283.2.4 snc/identity/as . . . . . . . . . . . . . . . . . . . . . . . . 293.2.5 snc/data_protection/max . . . . . . . . . . . . . . . . . . . 293.2.6 snc/data_protection/min . . . . . . . . . . . . . . . . . . . 303.2.7 snc/data_protection/use . . . . . . . . . . . . . . . . . . . 31

4 ОГЛАВЛЕНИЕ

3.2.8 snc/r3int_rfc_secure . . . . . . . . . . . . . . . . . . . . . 313.2.9 snc/r3int_rfc_qop . . . . . . . . . . . . . . . . . . . . . . . 323.2.10 snc/permit_insecure_comm . . . . . . . . . . . . . . . . . 323.2.11 snc/accept_insecure_cpic . . . . . . . . . . . . . . . . . . . 333.2.12 snc/permit_insecure_gui . . . . . . . . . . . . . . . . . . . 343.2.13 snc/accept_insecure_gui . . . . . . . . . . . . . . . . . . . 343.2.14 snc/accept_insecure_r3int_rfc . . . . . . . . . . . . . . . . 353.2.15 snc/accept_insecure_rfc . . . . . . . . . . . . . . . . . . . 353.2.16 snc/permit_insecure_start . . . . . . . . . . . . . . . . . . 363.2.17 snc/force_login_screen . . . . . . . . . . . . . . . . . . . . 363.2.18 rdisp/maximum_snc_hold_time . . . . . . . . . . . . . . . 373.2.19 login/disable_password_logon . . . . . . . . . . . . . . . . 373.2.20 login/password_logon_usergroup . . . . . . . . . . . . . . 38

3.3 Установка параметров профайла шлюза . . . . . . . . . . . . . . 383.3.1 snc/enable . . . . . . . . . . . . . . . . . . . . . . . . . . . 393.3.2 snc/gssapi_lib . . . . . . . . . . . . . . . . . . . . . . . . . 393.3.3 snc/permit_insecure_start . . . . . . . . . . . . . . . . . . 403.3.4 gw/rem_start . . . . . . . . . . . . . . . . . . . . . . . . . 40

3.4 Настройки в SAP-системе . . . . . . . . . . . . . . . . . . . . . . 403.4.1 Списки контроля доступа (ACL) . . . . . . . . . . . . . . 41

3.4.1.1 Пользовательский список контроля доступа . . 413.4.1.2 Системный список контроля доступа . . . . . . 42

3.4.2 Взаимодействия . . . . . . . . . . . . . . . . . . . . . . . 423.4.2.1 Печать с помощью SAPlpd . . . . . . . . . . . . 423.4.2.2 RFC . . . . . . . . . . . . . . . . . . . . . . . . . 423.4.2.3 CPIC . . . . . . . . . . . . . . . . . . . . . . . . 433.4.2.4 Поддержка внешней системы безопасности . . 43

3.5 Перенос настроек . . . . . . . . . . . . . . . . . . . . . . . . . . 433.5.1 Списки контроля доступа . . . . . . . . . . . . . . . . . . 44

3.5.1.1 Пользовательский список контроля доступа . . 443.5.1.2 Системный список контроля доступа . . . . . . 44

3.5.2 Взаимодействия . . . . . . . . . . . . . . . . . . . . . . . 453.5.2.1 Печать с помощью SAPlpd . . . . . . . . . . . . 453.5.2.2 RFC . . . . . . . . . . . . . . . . . . . . . . . . . 453.5.2.3 CPIC . . . . . . . . . . . . . . . . . . . . . . . . 45

3.6 Ведение пользователей в SAP-системе . . . . . . . . . . . . . . 453.6.1 SNC-информация диалоговых пользователей . . . . . . . 453.6.2 SNC-информация специальных пользователей . . . . . . 48

3.7 Экран регистрации в SAP-системе . . . . . . . . . . . . . . . . . 49

ОГЛАВЛЕНИЕ 5

4 Настройка партнеров взаимодействия для SNC 514.1 Настройка SNC: SAPgui → SAP-система . . . . . . . . . . . . . 51

4.1.1 Инициатор SAPgui (sapgui.exe) . . . . . . . . . . . . . . 524.1.1.1 SNC_PARTNERNAME . . . . . . . . . . . . . . 524.1.1.2 SNC_LIB . . . . . . . . . . . . . . . . . . . . . . 524.1.1.3 SNC_MODE . . . . . . . . . . . . . . . . . . . . 534.1.1.4 SNC_QOP . . . . . . . . . . . . . . . . . . . . . 53

4.1.2 Инициатор SAPgui (SAP Logon) . . . . . . . . . . . . . . 534.1.2.1 Ручной ввод параметров . . . . . . . . . . . . . 544.1.2.2 Выбор сервера приложений . . . . . . . . . . . 554.1.2.3 Выбор группы входа . . . . . . . . . . . . . . . 55

4.1.3 Инициатор SAPgui (SAP Shortcuts) . . . . . . . . . . . . 554.1.3.1 SNC_NAME . . . . . . . . . . . . . . . . . . . . 56

4.1.4 Акцептор (SAP-система) . . . . . . . . . . . . . . . . . . 564.2 Настройка SNC: внешняя RFC-программа → SAP-система . . . 56

4.2.1 Инициатор (внешняя программа) . . . . . . . . . . . . . 574.2.1.1 SNC_PARTNERNAME . . . . . . . . . . . . . . 574.2.1.2 SNC_LIB . . . . . . . . . . . . . . . . . . . . . . 584.2.1.3 SNC_MODE . . . . . . . . . . . . . . . . . . . . 584.2.1.4 SNC_QOP . . . . . . . . . . . . . . . . . . . . . 584.2.1.5 SNC_MYNAME . . . . . . . . . . . . . . . . . . 59

4.2.2 Акцептор (SAP-система) . . . . . . . . . . . . . . . . . . 594.2.3 Аутентификация пользователя . . . . . . . . . . . . . . . 59

4.3 Настройка SNC: внешняя CPIC-программа → SAP-система . . 604.3.1 Инициатор (внешняя программа) . . . . . . . . . . . . . 60

4.3.1.1 SNC_PARTNERNAME . . . . . . . . . . . . . . 614.3.1.2 SNC_LIB . . . . . . . . . . . . . . . . . . . . . . 614.3.1.3 SNC_MODE . . . . . . . . . . . . . . . . . . . . 614.3.1.4 SNC_QOP . . . . . . . . . . . . . . . . . . . . . 624.3.1.5 SNC_MYNAME . . . . . . . . . . . . . . . . . . 624.3.1.6 GWSERV . . . . . . . . . . . . . . . . . . . . . . 62

4.3.2 Акцептор (SAP-система) . . . . . . . . . . . . . . . . . . 634.3.3 Аутентификация пользователя . . . . . . . . . . . . . . . 63

4.4 Настройка SNC: исходящее RFC-соединение SAP-системы . . . 644.4.1 Ведение RFC-адресатов и SNC-опций с помощью SM59 644.4.2 SAP-система → R/2 . . . . . . . . . . . . . . . . . . . . . 674.4.3 SAP-система → SAP-система . . . . . . . . . . . . . . . . 67

4.4.3.1 Инициатор (SAP-система) . . . . . . . . . . . . 684.4.3.2 Акцептор (SAP-система) . . . . . . . . . . . . . 684.4.3.3 Аутентификация системы и пользователя . . . 69


4.4.4 Внутренние адресаты . . . . . . . . . . . . . . . . . . . . 704.4.5 Логические адресаты . . . . . . . . . . . . . . . . . . . . 714.4.6 TCP/IP — запуск внешней программы на сервере прило-

жений . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 714.4.6.1 Инициатор (SAP-система) . . . . . . . . . . . . 714.4.6.2 Акцептор (внешняя программа) . . . . . . . . . 71

4.4.7 TCP/IP — запуск внешней программы на заданном хосте 724.4.7.1 Инициатор (SAP-система) . . . . . . . . . . . . 724.4.7.2 Акцептор (внешняя программа) . . . . . . . . . 724.4.7.3 Действия шлюза . . . . . . . . . . . . . . . . . . 73

4.4.8 TCP/IP — запуск внешней программы с помощью SAPgui 744.4.8.1 Инициатор (SAP-система) . . . . . . . . . . . . 744.4.8.2 Акцептор (внешняя программа) . . . . . . . . . 74

4.4.9 TCP/IP — зарегистрированная программа . . . . . . . . 754.4.9.1 Инициатор (SAP-система) . . . . . . . . . . . . 754.4.9.2 Акцептор (зарегистрированная программа) . . . 754.4.9.3 SNC с зарегистрированными программами . . . 754.4.9.4 Действия шлюза . . . . . . . . . . . . . . . . . . 75

4.4.10 Удаленная регистрация с помощью SM51 . . . . . . . . . 754.4.11 Удаленная регистрация с помощью SM59 . . . . . . . . 754.4.12 Специальные адресаты . . . . . . . . . . . . . . . . . . . 75

4.4.12.1 Адресат BACK . . . . . . . . . . . . . . . . . . . 754.4.12.2 Адресат NONE . . . . . . . . . . . . . . . . . . 76

4.4.13 Адресаты без RFCDES-записи . . . . . . . . . . . . . . . 764.4.14 RFC-группы . . . . . . . . . . . . . . . . . . . . . . . . . 76

4.5 Настройка SNC: исходящее CPIC-соединение SAP-системы . . 774.6 Настройка SNC: печать . . . . . . . . . . . . . . . . . . . . . . . 78

4.6.1 Инициатор (SAP-система) . . . . . . . . . . . . . . . . . 784.6.2 Акцептор (программа SAPlpd) . . . . . . . . . . . . . . . 78

4.6.2.1 gssapi_lib . . . . . . . . . . . . . . . . . . . . . . 784.6.2.2 enable . . . . . . . . . . . . . . . . . . . . . . . . 804.6.2.3 identity/lpd . . . . . . . . . . . . . . . . . . . . . 81

4.6.3 Дополнительные SNC-опции SAPlpd . . . . . . . . . . . 814.7 Настройка SNC: SAProuter → SAProuter . . . . . . . . . . . . . 84

4.7.1 Настройка SNC-окружения . . . . . . . . . . . . . . . . . 854.7.2 Настройка таблицы разрешений маршрутов . . . . . . . 85

4.7.2.1 KT-запись . . . . . . . . . . . . . . . . . . . . . 854.7.2.2 KP-, KD- и KS-записи . . . . . . . . . . . . . . 86

4.7.3 Уровень защиты . . . . . . . . . . . . . . . . . . . . . . . 864.7.4 Пример конфигурации с SNC . . . . . . . . . . . . . . . 86

ОГЛАВЛЕНИЕ 7

4.8 Настройка SNC: ITS → SAP-система . . . . . . . . . . . . . . . 884.8.1 Инициатор (ITS WGate) . . . . . . . . . . . . . . . . . . 88

4.8.1.1 SNC_LIB . . . . . . . . . . . . . . . . . . . . . . 894.8.1.2 Type . . . . . . . . . . . . . . . . . . . . . . . . . 894.8.1.3 SncNameAGate . . . . . . . . . . . . . . . . . . 894.8.1.4 SncNameWGate . . . . . . . . . . . . . . . . . . 90

4.8.2 Акцептор (ITS AGate) . . . . . . . . . . . . . . . . . . . . 904.8.2.1 SNC_LIB . . . . . . . . . . . . . . . . . . . . . . 904.8.2.2 Type . . . . . . . . . . . . . . . . . . . . . . . . . 914.8.2.3 SncNameAGate . . . . . . . . . . . . . . . . . . 914.8.2.4 SncNameWGate . . . . . . . . . . . . . . . . . . 91

4.8.3 Инициатор (ITS AGate) . . . . . . . . . . . . . . . . . . . 914.8.3.1 ˜sncNameAGate . . . . . . . . . . . . . . . . . . 924.8.3.2 ˜sncNameR3 . . . . . . . . . . . . . . . . . . . . 924.8.3.3 ˜sncQoPR3 . . . . . . . . . . . . . . . . . . . . . 92

4.8.4 Акцептор (SAP-система) . . . . . . . . . . . . . . . . . . 934.9 Прикладной программный интерфейс для языка C . . . . . . . . 94

4.9.1 Прикладной программный интерфейс CPIC . . . . . . . . 944.9.2 Прикладной программный интерфейс RFC . . . . . . . . 94

A SNC-таблицы 95

B SNC-отчеты 97

C Замечания к версиям 3.1G/H и 4.0A 99C.1 Параметр профайла snc/data_protection/max . . . . . . . . . . . 99C.2 Допустимые значения . . . . . . . . . . . . . . . . . . . . . . . . 99


Глава 1

Введение

В этой главе дается определение технологии SNC (Secure Network Com-munications — Безопасные Сетевые Взаимодействия), ее краткое описание,достоинства и средства защиты, которые она предоставляет.

1.1 Что такое SNC?

SNC — это программная возможность в архитектуре SAP-системы, позво-ляющая системе взаимодействовать с внешним продуктом обеспечения без-опасности.

SAP-система поставляется с базовыми возможностями обеспечения без-опасности, которые включают концепцию полномочий SAP и аутентификациюпользователей на основе идентификатора и пароля. С помощью SNC вы може-те расширить эти базовые возможности и подключить службы безопасности,реализованные во внешних продуктах. Ниже перечислены достоинства, при-сущие SNC:

• SNC предоставляет услуги безопасности на прикладном уровне. SNCобеспечивает безопасность всех взаимодействий между двумя программ-ными компонентами, защищенными с помощью SNC (например, междуSAPgui и сервером приложений SAP).

• Вы имеете возможность реализовать дополнительные механизмы обес-печения безопасности, которые не предусмотрены в SAP-системе (напри-мер, сценарий однократной регистрации или использование смарт-карти подобных им устройств для аутентификации).

10 Глава 1. Введение

• Вы получаете индивидуальный подход. Вы можете выбрать интересую-щий вас продукт обеспечения безопасности и алгоритмы, которые необ-ходимы именно вам.

• Вы можете сменить продукт обеспечения безопасности в любое времябез изменения бизнес-приложений SAP-системы.

1.2 Что выполняет SNC?

SNC обеспечивает защиту каналов связи между различными программны-ми компонентами SAP-системы. К SAP-системе применимы многие хорошоизвестные криптографические алгоритмы, которые были реализованы в раз-личных внешних продуктах обеспечения безопасности. Благодаря SNC име-ется возможность использовать эти алгоритмы для повышения защищенностиданных в SAP-системе.

Доступны три уровня защиты:

• Простая аутентификация

• Обеспечение целостности

• Обеспечение конфиденциальности

1.2.1 Простая аутентификация

Простая аутентификация — минимальная степень защиты, при которойвыполняется только идентификация партнеров по взаимодействию. Защитаданных на этом уровне не предусматривается. Это минимальный уровень за-щищенности, предоставляемый SNC.

1.2.2 Обеспечение целостности

Обеспечение целостности дает возможность системе обнаружить измене-ние данных, которые могут возникнуть при их прохождении по каналу связи.Обеспечение целостности предполагает выполнение аутентификации.

1.2.3 Обеспечение конфиденциальности

При использовании конфиденциальности система выполняет шифрованиесообщений, делая неэффективным пассивное прослушивание канала связи.

1.2. Что выполняет SNC? 11

Использование конфиденциальности предполагает выполнение аутентифика-ции и гарантию целостности передаваемых сообщений. Это максимальныйуровень защищенности, предоставляемый SNC.

12 Глава 1. Введение

Глава 2

SNC в архитектуре систем SAP

В этой главе дается обзор SNC применительно к архитектуре SAP-систе-мы.

2.1 Терминология

При описании SNC часто используются специфичные термины. Ниже данытолкования наиболее важным из них.

• Интерфейс GSS-API V2 — стандартный интерфейс к функциям обеспе-чения безопасности, разработанный международной организацией IETF(Internet Engineering Task Force). SNC использует GSS-API V2 в каче-стве стандартного интерфейса для вызова функций внешних продуктовобеспечения безопасности.

• Библиотека внешнего продукта безопасности, внешняя библиотека, биб-лиотека gssapi, SNC_LIB — эти термины указывают на библиотеку, ко-торая содержит функции, поставляемые внешним продуктом обеспече-ния безопасности. Если требуется указать имя файла внешней библиоте-ки, то рекомендуется всегда использовать полную форму имени (полныйпуть, имя файла и расширение).

• Мандат безопасности (credentails) — информация пользователя или про-граммной компоненты, дающая этому пользователю или программнойкомпоненте доступ к их защищенным данным. Мандат может распо-лагаться, к примеру, в защищенном файле операционной системы. Какправило, мандат имеет ограниченное время жизни. Например, мандат

14 Глава 2. SNC в архитектуре систем SAP

пользователя может быть создан после его регистрации в продукте обес-печения безопасности и удален после того как пользователь завершитработу.

• Внешнее имя — это обозначение, которое пользователь или программ-ная компонента (например, сервер приложений SAP-системы) имеет вовнешней системе обеспечения безопасности. Внешний продукт присваи-вает и поддерживает внешние пользовательские имена. Примеры внеш-них имен пользователей даны в разделе 2.3.2: Именование.

• SNC-имя — это расширенная версия внешнего имени с которым работа-ет SAP-система. SNC-имя создается из внешнего имени путем добавле-ния префикса, который указывает на тип имени. Начиная с версий 3.1Iи 4.0A появилась возможность использовать в префиксе имени опцио-нальный идентификатор продукта безопасности. SNC-имя имеет один изследующих форматов:

– <тип имени>:<внешнее имя>

– <тип имени>/<продукт>:<внешнее имя>

где:

– <тип имени> — идентификатор типа имени, может принимать од-но из следующих значений:

∗ p — форма имени, определенная продуктом безопасности;∗ s — форма имени для именования сервиса/службы;∗ u — имя пользователя.

– <продукт> — идентификатор продукта обеспечения безопасности.

– <внешнее имя> — внешнее имя пользователя или программнойкомпоненты, известное продукту обеспечения безопасности (см.определение внешнего имени).

Ссылаясь или определяя SNC-имя не забывайте указывать префикс стипом имени.

Примеры SNC-имен:

p:C=RU, O=Mecomp, OU=IT, CN=mprusovs:sap03@h502

2.2. SNC в системах SAP 15

p/cpro:C=RU, O=Mecomp, OU=IT, CN=mprusovs/cpro:sap03@h502

• Каноническое имя — в силу того, что внешнее имя может иметь раз-личные эквивалентные формы записи, SAP-система преобразует имя кстандартному представлению, называемому каноническим. Преобразова-ние выполняется с помощью специальной функции GSS-API V21.

• Уровень защиты, качество защиты, QoP — это термин, определяющийзащиту, которая должна быть применена к взаимодействию (простаяаутентификация, обеспечение целостности, обеспечение конфиденциаль-ности).

• SNC-защищенное взаимодействие — взаимодействие между двумя ком-понентами SAP-системы при котором, все пересылаемые данные защи-щены с помощью функций SNC.

2.2 SNC в системах SAP

В этом разделе описываются факторы, которые повлияли на разработкуSNC и то, каким образом SNC и внешний продукт обеспечения безопасностиинтегрируется в SAP-систему.

2.2.1 Факторы, повлиявшие на проектирование SNC

Следующие факторы учитывались при проектировании SNC для SAP-си-стемы:

• Имеющиеся ограничения

– Правила импорта и экспорта — многие государства ограничиваютимпорт и/или экспорт программного обеспечения, которое исполь-зует криптографические алгоритмы.

– Правила использования — государства могут также ограничить об-ласть использования некоторых алгоритмов.

– Патенты — некоторые алгоритмы запатентованы и поэтому защи-щены от свободного распространения или использования (как ми-нимум на определенный период времени).

1 Функция gss_canonicalize_name.


• Ограничения заказчика

Каждый заказчик имеет свои индивидуальные требования к «безопас-ной» среде. Вот некоторые из возможных требований:

– Использование единой системы обеспечения безопасности защитыкак SAP-систем, так и других приложений.

– Использование смарт-карт и подобных устройств для аутентифика-ции.

– Использование сценариев однократной регистрации (Single Sign-On).

Цель разработки SNC заключалась в том, чтобы каждый заказчик былв состоянии выбрать свою схему защиты в условиях сильно различающих-ся политик и интересов, а также мог использовать тот продукт обеспечениябезопасности, который необходим именно ему.

Указанная цель привела к тому, что для интеграции функций обеспечениябезопасности с SAP-системой был применен стандартный интерфейс GSS-API V2 определенный международной группой IETF.

2.2.2 Интеграция SNC и внешнего продукта в архитектуреSAP-систем

Функции SNC интегрируются в программные компоненты (сервер прило-жений, SAPgui, RFC-библиотека и др.) SAP-системы c помощью программ-ного слоя, расположенного между ядром компоненты и внешним продуктомобеспечения безопасности (рисунок 2.1).

При инициализации SNC, система динамически загружает необходимыефункции внешней библиотеки. При взаимодействии двух компонент с исполь-зованием SNC, слой SNC обрабатывает посылаемое сообщение и только затемсообщение посылается с помощью сетевого интерфейса SAP-NI. Обработкасообщения выполняется с помощью соответствующих функций внешней биб-лиотеки (например, функции зашифровывания сообщения). Для вызова этихфункций слой SNC использует интерфейс GSS-API V2.

Все программные компоненты SAP-системы должны использовать однуреализацию внешней библиотеки, в противном случае могут возникнуть про-блемы совместимости разных реализаций.

2.3. Внешние продукты обеспечения безопасности 17

Рис. 2.1. Интеграция SNC и внешнего продукта безопасности в SAP-системах.

2.3 Внешние продукты обеспечениябезопасности

В этом разделе указаны требования, которые предъявляются внешним про-дуктам обеспечения безопасности и рассматриваются соглашения об имено-вании.

2.3.1 Требования

Внешний продукт, для успешного использования с SAP-системой, долженудовлетворять следующим требованиям:

• Продукт должен реализовать заданное подмножество функций, опреде-ленных в интерфейсе GSS-API V2.


• Функции должны быть динамически загружаемыми.

• Продукт должен быть доступен на всех платформах, поддерживаемыхSAP-системой.

• Продукт должен быть сертифицирован центром интеграции и сертифи-кации (ICC) компании SAP AG. Указанный центр тестирует продуктытретьих фирм для использования совместно с SAP-системой. Для бо-лее подробной информации смотрите разделы сайта компании SAP AG,посвященные ICC[1] и «ноту» 66687[6].

2.3.2 Именование

Каждый продукт обеспечения безопасности имеет свои собственные согла-шения о присвоении обозначений пользователям. Эти внешние имена обычносоздаются независимо от пользовательских идентификаторов в SAP-системе.Дополнительно, для SNC-взаимодействий, серверам приложений SAPс̄истемыи другими SAP-службами также необходимо присвоить обозначения во внеш-нем продукте.

Для выполнения аутентификации SAP-система должна уметь распознаватьтакие имена.

Далее рассматриваются рекомендации, которые применимы для имен, сов-местимых со спецификацией X.500.

Для пользователей SAP-системы, старайтесь использовать внешние имена,которые состоят из переменной части, равной идентификатору пользователяв SAP-системе и постоянной части, одинаковой для всех пользователей. На-пример, в именах X.500, вы можете использовать значение идентификаторапользователя в SAP-системе для задания атрибута CN, а в остальных атри-бутах (OU, O, C) использовать одинаковые значения для всех пользователей.К примеру, внешнее имя для пользователя solarmic SAP-системы могло быбыть следующим:

C=RU, O=HOME, OU=IT, CN=solarmic

Эта же рекомендация применима для именования SAP-служб, таких каксервер приложений SAP-системы. Переменная часть внешнего имени, в этомслучае, состоит из описателя службы. Рекомендуется использовать следую-щий синтаксис для задания описателя сервера приложений:

sap<номер системы>.<имя хоста>

2.4. Каналы взаимодействия в SAP-системах 19

Например, для сервера приложения с номером 01, расположенном на хостеmysapcom, внешнее имя могло бы быть следующим:

C=RU, O=HOME, OU=IT, CN=sap01.mysapcom

В случае, если вы сможете выполнить приведенные рекомендации, отчетRSUSR300 автоматически сгенерирует SNC-имена для пользователей и службвашей SAP-системы.

2.4 Каналы взаимодействия в SAP-системах

Следующие компоненты SAP-систем могут участвовать в сетевом взаимо-действии:

• Сервер приложений SAP (SAP WAS)

• SAPgui

• SAPlpd

• Внешние RFC-программы

• Внешние CPIC-программы

• SAProuter

• SAP ITS

Возможные сценарии SNC-взаимодействий этих компонент приведены втаблице 2.1.

Информация о том, каким образом установить защищенное, с помощьюSNC, соединение, приведена в главе 4: Настройка партнеров взаимодействиядля SNC.

2.5 Общие замечания относительно параметриза-ции SNC

SNC защищает логическое соединение оконечных точек взаимодействия.Соединение инициируется одной из сторон, далее — инициатор и принимаетсядругой стороной, далее — акцептор. Например, когда SAPgui начинает диалог


Инициатор Акцептор Средство Поддержка SNC Раздел

SAPgui → SAP WAS 3.1G 4.1

Внеш.прогр. → SAP WAS RFC 4.0A 4.2

Внеш.прогр. → SAP WAS CPIC 4.0A 4.3

SAP WAS → SAP WAS RFC 4.0A 4.4.3

SAP WAS → SAP WAS CPIC 4.0A 4.5

SAP WAS → Внеш.прогр. RFC 4.0A 4.4.6–4.4.8

SAP WAS → Внеш.прогр. CPIC 4.0A 4.5

SAP WAS → SAPlpd 3.1G 4.6

SAProuter → SAProuter 4.0A 4.7

SAP ITS → SAP WAS 4.5A 4.8

Таблица 2.1. Возможные каналы SNC-взаимодействий компонент SAP-систем.

с сервером приложений SAP-системы, SAPgui выступает в роли инициаторавзаимодействия, а сервер приложений — в роли акцептора.

Партнеры по взаимодействию должны знать SNC-параметры соединения.Инициатор должен знать:

• Должно ли соединение использовать защиту SNC

• SNC-имя партнера по взаимодействию (целевое имя)

• Местонахождение внешней библиотеки

• Требуемую степень защиты данных

Акцептор должен знать:

• Должно ли соединение использовать защиту SNC

• Собственное SNC-имя

• Местонахождение внешней библиотеки

• Поддерживаемую степень защиты данных

Таким образом, имеются следующие ключевые параметры, описывающиеSNC-взаимодействие:

2.5. Общие замечания относительно параметризации SNC 21

• SNC_MODE

Индикатор использования SNC. Возможные значения — «0»: SNC неиспользуется; «1»: SNC не используется.

• SNC_MYNAME

SNC-имя инициатора соединения. Возможные значения — строка. Мак-симальная длина — 255 символов2.

• SNC_PARTNERNAME

SNC-имя акцептора соединения. Возможные значения — строка. Мак-симальная длина — 255 символов.

• SNC_QOP

Уровень защиты (качество защиты). Возможные значения — «1»: про-стая аутентификация; «2»: обеспечение целостности; «3»: обеспечениеконфиденциальности; «8»: уровень защищенности «по-умолчанию»; «9»:максимально возможный уровень защищенности.

Некоторые внешние продукты обеспечения безопасности поддерживаютне все возможные степени защиты. Если запрошенная степень защи-ты не доступна для данного продукта, то система будет использоватьмаксимально возможный для этого продукта уровень.

• SNC_LIB

Путь, имя и расширение внешней библиотеки. Возможные значения —строка. Максимальная длина — 255 символов.

В зависимости от вида компоненты и типа взаимодействия, которые требу-ется настроить, необходимо сделать различные настройки в среде SAP-систе-мы. Конфигурирование может выполняться с помощью установки параметровпрофайла системы и/или инстанции, формирования файлов инициализации,вызова определенных транзакций.

В последующих главах будут определены шаги, которые необходимо вы-полнить для настройки SNC в различных компонентах.

2 Указанная максимальная длина в 255 символов — теоретический предел. Реальный мак-симальный размер SNC-имени зависит от продукта безопасности, компоненты SAP-системыи ее версии. Некоторые сведения приведены в «ноте» 184277[8].


2.6 Рекомендации

Рекомендуется рассмотреть следующие моменты перед построением SNC-сценариев:

• С помощью SNC нельзя защитить канал связи между сервером прило-жений и базой данных SAP-системы.

При взаимодействии с базой данных, конечная точка взаимодействиянаходится в модуле БД и не относится к программному обеспечениюSAP. Поэтому невозможно использовать SNC для защиты такого каналасвязи. Рекомендуется выполнить изоляцию сервера базы данных SAP-системы на сетевом уровне с помощью сетевого экрана (рисунок 2.2).

• Из соображений производительности, защищайте вызовы удаленныхфункций к внутренним RFC-адресатам с помощью сетевой инфраструк-туры.

Между серверами приложений одной SAP-системы часто возникаюткритические, с точки зрения скорости выполнения, взаимодействия (на-пример, RFC). Из соображений производительности (построение SNC-соединения является ресурсоемкой операцией), рекомендуется изолиро-вать сервера приложений SAP-системы в выделенной подсети. В преде-лах этой подсети безопасность взаимодействий обеспечивается сетевымисредствами без привлечения SNC-защиты (рисунок 2.2). Подробностисмотрите в описании параметра snc/r3int_rfc_secure.

• Необходимо разрешить конечным пользователям доступ к подсети с сер-верами приложений SAP-системы.

Соединения пользователей к серверам приложений должны проходитьчерез сетевой экран. Необходимо либо открыть доступ к порту диспет-чера (sapdp<nn>) серверов приложений непосредственно на сетевомэкране, либо направлять запросы от пользователей к серверам приложе-ний через SAProuter. Стандартный порт SAProuter’а — 3299.

Имеется возможность настроить SAP-систему таким образом, чтобы онапринимала только защищенные, с помощью SNC, соединения. Такая на-стройка может быть выполнена на уровне всей системы, сервера прило-жений системы, либо отдельного пользователя. Подробности смотрите вописании параметра snc/accept_insecure_gui.

2.6. Рекомендации 23

Рис. 2.2. Пример построения сети, защищенной с помощью SNC.

• Используйте «защищенный» порт шлюза (sapgw<nn>s) для разрешениятолько защищенных, с помощью SNC, соединений между SAP-системойи внешними серверными RFC-программами.

Соединение к SAP-системе должно быть доступно из внешних сервер-ных RFC-программ. При использовании SNC рекомендуется разрешитьтолько защищенные, с помощью SNC, соединения между серверами при-ложений и внешними серверными RFC-программами. Настройте сетевойэкран таким образом, чтобы он пропускал только такие соединения сошлюзом сервера приложения. Откройте доступ к порту sapgw<nn>s изакройте доступ к порту sapgw<nn> серверов приложений SAP-систе-мы. Стандартными защищенными портами для шлюза являются портыиз диапазона 4800–4899.

В качестве альтернативы, вы можете использовать SAProuter. В этомслучае, необходимо настроить сетевой экран так, чтобы он пропускалсоединения только к порту SAProuter’а и выполнить настройку таблицыразрешений маршрутов SAProuter’а.


Глава 3

Активация SNC на сервереприложений SAP

В этой главе описывается каким образом активировать SNC на сервереприложений SAP-системы.

3.1 Предпосылки

Вы должны установить внешний продукт обеспечения безопасности на хо-сты ваших серверов приложений SAP-системы. Вам необходимо знать внеш-ние имена пользователей, серверов приложений и других компонент SAP-системы, а также путь и имя файла внешней библиотеки.

Возможно, вам необходимо выполнить некоторые настройки для построе-ния операционной среды для вашего продукта обеспечения безопасности. Этинастройки, в первую очередь, зависят от используемого продукта безопасно-сти.

За исключением SNC-имен серверов приложений и местонахождения внеш-ней библиотеки, рекомендуется сделать одинаковые SNC-настройки для всехсерверов приложений SAP-системы.

Не создавайте группы входа в систему, содержащие сервера приложенийс активированным SNC и сервера приложений без SNC. Хотя такая конфигу-рация технически возможна, она будет приводить к ошибкам модуля балан-сировки нагрузки.

Для проверки SNC-статуса серверов приложений SAP-системы используй-те отчет RSSNCSRV.

Не всегда возможно настроить SNC для всей SAP-системы за один шаг и,вероятно, имеет смысл вводить SNC в несколько этапов. Вы можете перехо-

26 Глава 3. Активация SNC на сервере приложений SAP

дить от одной фазы внедрения к другой с помощью изменения соответству-ющих параметров системы. Например, на начальном этапе можно разрешитьиспользовать как защищенные, с помощью SNC, соединения, так и незащи-щенные соединения.

3.2 Установка параметров профайла сервера при-ложений

Для ведения параметров профайла сервера приложений SAP-системы ис-пользуйте транзакцию RZ1012.

Для настройки используйте профайл инстанции (сервера приложений).Обратите внимание, что параметр snc/identity/as относится к серверу прило-жений, а параметр snc/gssapi_lib зависит только от платформы.

Ниже даны описания всех SNC-параметров сервера приложений SAP-си-стемы.

3.2.1 snc/enable

Активировать SNC на сервере приложений.

• Применимость — все версии.

• Описание — параметр используется для активации SNC на сервере при-ложений. Для активации SNC установите значение параметра в «1».

По умолчанию, после активации SNC, сервер приложений устанавлива-ет только защищенные, с помощью SNC, соединения. Если необходи-мо, чтобы сервер приложений устанавливал и защищенные соединения,и обычные соединения, установите соответствующие параметры (snc/accept_insecure_gui, snc/accept_insecure_rfc , snc/accept_insecure_cpic).

Вы должны указать путь и имя динамической библиотеки продукта обес-печения безопасности с помощью параметра snc/gssapi_lib. Если SNCактивирован, то указанная библиотека будет загружаться при старте

1 В определенных случаях, использование транзакции RZ10 может привести к ошибкам внастройке сервера приложений. Подробности смотрите в «ноте» 396983[10].

2 В версиях 4.0B и 4.5B, при проверке профайла, транзакция RZ10 может генерироватьпредупреждения о том, что некоторые SNC-параметры не разрешены. Подробности смотритев «ноте» 149646[7].

3.2. Установка параметров профайла сервера приложений 27

Параметр 3.1 4.0 4.5 4.6 6.1 6.2

snc/enable√ √ √ √ √ √

snc/user_maint√

snc/gssapi_lib√ √ √ √ √ √

snc/identity/as√ √ √ √ √ √

snc/data_protection/max√ √ √ √ √ √

snc/data_protection/min√ √ √ √ √ √

snc/data_protection/use√ √ √ √ √ √

snc/r3int_rfc_secure√ √ √ √ √

snc/r3int_rfc_qop√ √ √ √ √

snc/permit_insecure_comm√

snc/accept_insecure_cpic√ √ √ √ √

snc/permit_insecure_gui√

snc/accept_insecure_gui√ √ √ √ √

snc/accept_insecure_r3int_rfc√ √ √ √ √

snc/accept_insecure_rfc√ √ √ √ √

snc/permit_insecure_start√ √ √ √ √

snc/force_login_screen√ √ √ √

rdisp/maximum_snc_hold_time√ √ √

login/disable_password_logon√ √ √

login/password_logon_usergroup√ √ √

Таблица 3.1. SNC-параметры сервера приложений SAP-системы.


сервера приложений. В случае, если рабочий процесс сервера приложе-ний не может загрузить библиотеку, он аварийно завершается (сообще-ние об ошибке, при этом, генерирует функция SncInit, ошибка называ-ется SNCERR_INIT).

• Значение «по-умолчанию» — «0» (SNC не активирован).

• Затрагиваемые параметры — snc/gssapi_lib, snc/identity/as.

• Возможные значения — «0»: SNC не активирован; «1»: SNC активиро-ван.

3.2.2 snc/user_maint

Включить поддержку SNC в транзакцию SU01.

• Применимость — только версия 3.1.

• Описание — для того, чтобы транзакция ведения пользователей SAP-системы позволяла указать SNC-имя пользователя, установите значениепараметра в «1».

• Значение «по-умолчанию» — «0» (скрыть поле SNC-имени).

• Затрагиваемые параметры — нет.

• Возможные значения — «0»: скрыть поле SNC-имени; «1»: разрешитьведение поля SNC-имени.

3.2.3 snc/gssapi_lib

Путь и имя внешней библиотеки.


• Описание — этот параметр содержит путь и имя динамической библио-теки GSS-API V2 продукта обеспечения безопасности.

Если SNC активирован, то указанная библиотека будет загружаться про-цессами сервера приложений при старте. В случае, если процесс сервераприложений SAP-системы не может загрузить библиотеку, он аварийнозавершается


Соглашения об именовании файла, его расширение, а также механизмыразрешения внешних ссылок на объекты других динамических библио-тек зависят от используемой операционной системы.

• Значение «по-умолчанию» — вы должны явно определить имя внешнейбиблиотеки.


• Возможные значения — строка длиной до 255 символов. Рекомендуетсяиспользовать полное имя файла.

3.2.4 snc/identity/as

SNC-имя сервера приложений.


• Описание — этот параметр определяет SNC-имя сервера приложенийSAP-системы. Сервер приложений использует это имя когда запрашива-ет свой мандат безопасности. Система передает имя с помощью службысообщений (message server) как целевое SNC-имя для программы SAPLogon и для RFC-соединений с динамической балансировкой нагрузки.

• Значение «по-умолчанию» — нет.


• Возможные значения — строка. Детали смотрите в разделе 2.3.2: Име-нование.

3.2.5 snc/data_protection/max

Максимальный уровень защиты для SNC-соединений, инициируемых сер-вером приложений SAP-системы.


• Описание — смысл параметра зависит от версии системы.

– Версия 3.1G/H: параметр определяет максимальный уровень защи-ты для акцептируемых, сервером приложений, соединений. Есликлиент использует более высокий уровень защиты, соединение бу-дет прервано.


– Версия 3.1I: параметр не используется.

– Версия 4.0A: в этой версии параметр также используется для за-дания максимально возможного уровня защиты входящих соедине-ний. Для исходящих соединений параметр определяет максималь-ный уровень защиты. Если требуется применить более высокийуровень, например заданный в параметрах RFC-партнера по вза-имодействию, соединение будет прервано с ошибочным статусом.

– Начиная с версии 4.0B: параметр задает уровень защиты для со-единений, которые были инициированы сервером приложений и длякоторых уровень защиты был установлен в значение «максимальновозможный» («9»). Параметр не ограничивает максимально возмож-ный уровень защиты для входящих и исходящий соединений.

Для версий 3.1 и 4.0A рекомендуется использовать стандартное значениедля данного параметра.

Более детальную информацию об уровне защиты смотрите в приложенииC: Замечания к версиям 3.1G/H и 4.0A.

• Значение «по-умолчанию» — «3» (обеспечение конфиденциальности).

• Затрагиваемые параметры — snc/data_protection/min, snc/data_protection/use.

• Возможные значения — значение параметра не должно быть меньшезначения параметра snc/data_protection/use. Может принимать одно иззначений: «1»: простая аутентификация; «2»: обеспечение целостности;«3»: обеспечение конфиденциальности.

3.2.6 snc/data_protection/min

Минимальный уровень защиты, требуемый для SNC-взаимодействий.


• Описание — этот параметр определяет минимально возможный уровеньзащиты, приемлемый при передаче данных. При построении входящегосоединения SNC будет пытаться использовать уровень защиты не мень-ший, чем определено в параметре. Если это невозможно, то соединениебудет прервано с ошибкой.

• Значение «по-умолчанию» — «2» (обеспечение целостности).


• Затрагиваемые параметры — snc/data_protection/max, snc/data_protection/use.

• Возможные значения — может принимать одно из значений: «1»: про-стая аутентификация; «2»: обеспечение целостности; «3»: обеспечениеконфиденциальности.

3.2.7 snc/data_protection/use

Стандартное значение уровня защиты для соединений, инициированныхсервером приложений SAP системы.


• Описание — параметр применим только для RFC- и CPIC-соединений.Он определяет уровень защиты RFC- и CPIC-соединений, которые ини-циированы сервером приложений и для которых уровень защиты уста-новлен в значение «по-умолчанию» («8»).

• Значение «по-умолчанию» — «3» (обеспечение конфиденциальности).

• Затрагиваемые параметры — snc/data_protection/min, snc/data_protection/max.

• Возможные значения — значение параметра не должно быть меньше чемзначение параметра snc/data_protection/min и больше чем значение пара-метра snc/data_protection/max. Может принимать одно из значений: «1»:простая аутентификация; «2»: обеспечение целостности; «3»: обеспече-ние конфиденциальности; «9»: использование значения, установленногов параметре snc/data_protection/max.

3.2.8 snc/r3int_rfc_secure

Использовать SNC для внутренних исходящих RFC-соединений.

• Применимость — начиная с версии 4.0A.

• Описание — параметр определяет, будут ли защищены, с помощью SNC,RFC-взаимодействия с внутренними адресатами.

Так как значение параметра влияет на производительность, вам нужновнимательно рассмотреть необходимость защиты RFC-взаимодействий с


внутренними адресатами с помощью SNC. Для внутренних адресатов выможете достичь сопоставимого уровня безопасности с помощью построе-ния адекватной сетевой инфраструктуры. Дополнительную информациюсмотрите в разделе 2.6: Рекомендации.

• Значение «по-умолчанию» — «0» (не использовать SNC для защитывнутренних RFC-соединений).

• Затрагиваемые параметры — snc/accept_insecure_rfc,snc/accept_insecure_r3int_rfc.

• Возможные значения — «0»: не использовать SNC для защиты внутрен-них RFC-соединений; «1»: использовать SNC для защиты внутреннихRFC-соединений.

3.2.9 snc/r3int_rfc_qop

Уровень SNC-защиты внутренних RFC-взаимодействий.

• Применимость — начиная с версии 4.0A.

• Описание — этот параметр определяет уровень защиты, используемыйво внутренних RFC-взаимодействиях в случае, если использование SNCдля внутренних RFC-взаимодействий разрешено.

• Значение «по-умолчанию» — «8» (использовать значение, установленноев параметре snc/data_protection/use).

• Затрагиваемые параметры — snc/r3int_rfc_secure.

• Возможные значения — значение параметра не должно быть меньше,чем значение параметра snc/data_protection/min. Может принимать од-но из значений: «1»: простая аутентификация; «2»: обеспечить целостно-сти; «3»: обеспечить конфиденциальности; «8»: использовать значение,установленное в параметре snc/data_protection/use; «9»: использоватьзначение, установленное в параметре snc/data_protection/max.

3.2.10 snc/permit_insecure_comm

Разрешить незащищенные CPIC-взаимодействия на сервере приложений сактивированным SNC.


• Применимость — версия 3.1.

• Описание — по-умолчанию, после активации SNC, сервер приложенийотвергает любые незащищенные, с помощью SNC, CPIC-соединения.

Поскольку в версии 3.1 защита CPIC-соединений с использованием SNCне поддерживается, вам необходимо установить этот параметр в «1» длятого, чтобы взаимодействия по протоколу CPIC были возможны.

• Значение «по-умолчанию» — «0» (запретить незащищенные CPIC-соеди-нения).


• Возможные значения — «0»: запретить незащищенные CPIC-соедине-ния; «1»: разрешить незащищенные CPIC-соединения.

3.2.11 snc/accept_insecure_cpic

Принимать входящие незащищенные CPIC-соединения на сервере прило-жений с активированным SNC.

• Применимость — начиная с версии 4.0.

• Описание — по-умолчанию, после активации SNC, сервер приложенийотвергает любые незащищенные, с помощью SNC, входящие CPIC-со-единения. Для изменение стандартного поведения используйте этот па-раметр.

• Значение «по-умолчанию» — «0» (отвергать незащищенные CPIC-соеди-нения).


• Возможные значения — «0»: отвергать незащищенные CPIC-соедине-ния; «1»: принимать незащищенные CPIC-соединения; «U»: приниматьнезащищенные CPIC-соединения только для тех пользователей, которыеимеют соответствующий флаг в основной записи пользователя. Деталисмотрите в разделе 3.6: Ведение пользователей в SAP-системе.


3.2.12 snc/permit_insecure_gui

Разрешить незащищенные, с помощью SNC, регистрации в систему с по-мощью SAPgui на сервере приложений с активированным SNC.

• Применимость — версия 3.1.

• Описание — по-умолчанию, после активации SNC, сервер приложенийSAP-системы отвергает любые попытки регистрации с помощью SAPgui,которые не защищены с помощью SNC. Для изменение стандартногоповедения используйте этот параметр. Если вы разрешите использоватьнезащищенный вход в систему, настройки SAPgui повлияют на то, будетли вход в систему защищен.

• Значение «по-умолчанию» — «0» (отвергать незащищенные попытки ре-гистрации).


• Возможные значения — «0»: отвергать незащищенные попытки реги-страции; «1»: принимать незащищенные попытки регистрации,

3.2.13 snc/accept_insecure_gui

Разрешить незащищенные, с помощью SNC, регистрации в систему с по-мощью SAPgui на сервере приложений с активированным SNC.


• Описание — смотрите описание параметра snc/permit_insecure_gui.

• Значение «по-умолчанию» — «0» (отвергать незащищенные попытки ре-гистрации).


• Возможные значения — «0»: отвергать незащищенные попытки реги-страции; «1»: принимать незащищенные попытки регистрации; «U»: при-нимать незащищенные регистрации только для тех пользователей, ко-торые имеют соответствующий флаг в основной записи пользователя.Детали смотрите в разделе 3.6: Ведение пользователей в SAP-системе.


3.2.14 snc/accept_insecure_r3int_rfc

Принимать незащищенные, с помощью SNC, внутренние RFC-соединенияна сервере приложений с активированным SNC.


• Описание — параметр разрешает принимать незащищенные входящиевнутренние RFC-соединения. Параметр отменяет запрет для незащищен-ных внутренних RFC-соединений, наложенный более общим параметромsnc/accept_insecure_rfc.

Параметр имеет эффект только если значение более общего параметраsnc/accept_insecure_rfc установлено в «0». В противном случае, серверприложений будет принимать незащищенные входящие RFC-соединениявне зависимости от значения этого параметра.

• Значение «по-умолчанию» — «1» (принимать незащищенные внутренниеRFC-соединения).

• Затрагиваемые параметры — snc/accept_insecure_rfc, snc/r3int_rfc_secure.

• Возможные значения — «0»: отвергать незащищенные внутренние RFC-соединения; «1»: принимать незащищенные внутренние RFC-соедине-ния.

3.2.15 snc/accept_insecure_rfc

Принимать незащищенные, с помощью SNC, RFC-соединения на сервереприложений с активированным SNC.


• Описание — по-умолчанию, после активации SNC, сервер приложенийSAP-системы отвергает все внешние входящие незащищенные RFC-со-единения. Этот параметр может влиять как на внутренние, так и навнешние входящие незащищенные RFC-соединения, в зависимости отзначения параметра snc/accept_insecure_r3int_rfc.

• Значение «по-умолчанию» — «0» (отвергать входящие незащищенныеRFC-соединения).

• Затрагиваемые параметры — snc/accept_insecure_r3int_rfc.


• Возможные значения — «0»: отвергать входящие незащищенные RFC-соединения; «1»: принимать входящие незащищенные RFC-соединения;«U»: принимать входящие незащищенные RFC-соединения только длятех пользователей, которые имеют соответствующий флаг в основнойзаписи пользователя. Детали смотрите в разделе 3.6: Ведение пользова-телей в SAP-системе.

3.2.16 snc/permit_insecure_start

Разрешить запуск программ без использования защищенного, с помощьюSNC, соединения.


• Описание — по-умолчанию, после активации SNC на сервере приложе-ний, шлюз сервера не будет запускать внешние программы без созданиязащищенного, с помощью SNC, канала связи.

• Значение «по-умолчанию» — «0» (запретить запуск программ без SNC-соединения).


• Возможные значения — «0»: запретить запуск программ без SNC-соеди-нения; «1»: разрешить запуск программ без SNC-соединения.

3.2.17 snc/force_login_screen

Показать экран регистрации при SNC-соединении.


• Описание — по-умолчанию, после активации SNC на сервере приложе-ний, регистрация пользователя с использованием SNC-соединения будетпроводиться автоматически, без отображения окна регистрации.

• Значение «по-умолчанию» — «0» (отображать окно регистрации толькопри необходимости).



• Возможные значения — «0»: отображать окно регистрации только принеобходимости; «1» или «X»3: всегда отображать окно регистрации.

3.2.18 rdisp/maximum_snc_hold_time

Максимальное время ожидания завершения SNC-вызова4.

• Применимость — начиная с версии 4.6C.

• Описание — при выполнении аутентификации, с помощью SNC, рабо-чий процесс сервера приложений SAP-системы переходит в состояние«Hold» и не может обслуживать другие запросы. При возникновениипроблем рабочий процесс может оставаться недоступным очень долгоевремя. Данный параметр ограничивает время ожидания рабочим процес-сом завершения SNC-вызова.

• Значение «по-умолчанию» — «0» (время ожидания не ограничено).


• Возможные значения — «0»: время ожидания не ограничено; «>0»: мак-симальное время ожидания, секунды.

3.2.19 login/disable_password_logon

Запретить регистрацию на сервере приложений, основанную на паролепользователя5.


• Описание — с помощью этого параметра вы можете запретить на серве-ре приложений аутентификацию пользователей, основанную на пароле.В отличие от параметра snc/accept_insecure_gui и подобных, данный па-раметр не требует соединения, защищенного с помощью SNC, а лишьдеактивирует аутентификацию на основе пароля.

3 Документированным значением параметра является «1», однако в версиях 4.6, 6.10, 6.20существует ошибка, из-за которой система «понимает» только значение «X». Подробностисмотрите в «ноте» 667470[12].

4 Параметр описан в «ноте» 625823[11].5 Параметр описан в «ноте» 379081[9].


• Значение «по-умолчанию» — «0» (разрешить регистрацию на основе па-роля).

• Затрагиваемые параметры — login/password_logon_usergroup.

• Возможные значения — «0»: разрешить регистрацию на основе пароля;«1»: разрешить регистрацию на основе пароля только для пользователейгруппы, заданной в параметре login/password_logon_usergroup.

3.2.20 login/password_logon_usergroup

Группа пользователей, которым разрешена регистрация на сервере прило-жений, основанная на пароле пользователя6.


• Описание — с помощью этого параметра вы можете определить груп-пу пользователей, которым разрешена регистрация на сервере приложе-ний, основанная на пароле пользователя, в случае, если параметр login/disable_password_logon установлен в «1».

• Значение «по-умолчанию» — пустая строка.

• Затрагиваемые параметры — login/disable_password_logon.

• Возможные значения — группу пользователя вы можете задать в тран-закции SU01 (раздел Logon data, поле User group for authorizationcheck).

3.3 Установка параметров профайла шлюза

Для защиты, с помощью SNC, соединений использующих шлюз SAP-си-стемы вам необходимо установить соответствующие параметры в профайлешлюза. Самостоятельно шлюз не может использовать функции продукта без-опасности — он передает параметры SNC программам, которые запускает.

Если вы запускаете шлюз непосредственно на сервере приложений, шлюзбудет использовать профайл инстанции сервера приложений. Если вы старту-ете выделенный шлюз, то используется профайл шлюза.

6 Параметр описан в «ноте» 379081[9].

3.3. Установка параметров профайла шлюза 39

Поскольку версия 3.1I не позволяет использовать SNC для защиты соеди-нений на основе RFC- и CPIC-протоколов, вам необходимо установить значе-ние параметра snc/permit_insecure_comm в «1». Последующая часть разделаотносится к версиям, начиная с 4.0.

Ниже приведены параметры профайла шлюза или инстанции, влияющиена поведение шлюза при активированном SNC.

3.3.1 snc/enable

Активировать SNC на шлюзе.


• Описание — для того, чтобы шлюз обрабатывал соединения, защищен-ные с помощью SNC, вы должны установить значение параметра в «1».После активации SNC шлюз выполняет следующие меры предосторож-ности:

– Помимо стандартного порта (sapgw<nn>) шлюз открывает «защи-щенный» порт (sapgw<nn>s), который используется только длязащищенных соединений.

– Шлюз запускает программы только тогда, когда используется SNCдля защиты взаимодействия. Для того, чтобы позволить шлюзу за-пускать программы без использования SNC-защиты, вам необходи-мо установить параметр snc/permit_insecure_start описание которо-го дано ниже.

• Значение «по-умолчанию» — «0» (SNC не активирован).

• Затрагиваемые параметры — snc/gssapi_lib, snc/permit_insecure_start.


3.3.2 snc/gssapi_lib

Путь и имя внешней библиотеки безопасности. Детали смотрите в описа-нии параметра snc/gssapi_lib сервера приложений SAP-системы.

Шлюз передает значение этого параметра внешней программе при запуске.


3.3.3 snc/permit_insecure_start

Разрешить запуск программ без использования защищенного, с помощьюSNC, соединения.

Детали смотрите в описании параметра snc/permit_insecure_start сервераприложений SAP-системы.

3.3.4 gw/rem_start

Определить способ запуска удаленных CPIC-программ.


• Описание — После активации SNC, шлюз будет запускать внешниеRFC- и CPIC-программы с использованием SNC-защиты. Применитель-но к удаленным программам это означает, что шлюз будет пытаться пе-редать им местонахождение своей локальной библиотеки безопасности,что может привести к ошибкам. По этой причине, а также из сообра-жений безопасности рекомендуется заблокировать возможность запускавнешних удаленных программ после активации SNC.

– Версия 4.0A и 4.0B: установите значение «REMOTE_SHELL» этомупараметру, а параметру gw/remsh установите заведомо некоррект-ное значение, например — «.».

– Начиная с версии 4.5A: используйте значение «DISABLED» для это-го параметра.

• Значение «по-умолчанию» — «REMOTE_SHELL» (запускать с помощьюrsh или remsh).

• Затрагиваемые параметры — не относится к SNC.

• Возможные значения — «REMOTE_SHELL»: запускать с помощью rsh илиremsh; «REXEC»: запускать с помощью rexec; «DISABLED»: запретитьзапуск удаленных программ.

3.4 Настройки в SAP-системе

Начиная с версии 4.0 процедуры администрирования SNC включены в де-рево настроек SAP-системы (транзакция SPRO). Для доступа к транзакциям

3.4. Настройки в SAP-системе 41

настройки SNC используйте путь: Basis Components → System Administra-tion → Management of External Security Systems → Secure Network Com-munication. Вы также можете использовать транзакцию SO70 и структуруSIMG_BCSNC.

Поскольку система конвертирует SNC-имена в каноническую форму с по-мощью SNC-функций, предпочтительнее будет активировать интерфейс SNCна серверах приложений перед выполнением SNC-настроек в системе. Од-нако, при необходимости, вы можете выполнить некоторые настройки передактивацией интерфейса, а проверку и конвертацию SNC-имен выполнить взаключении, после активации.

3.4.1 Списки контроля доступа (ACL)

Существует два вида списков контроля доступа, которые необходимо на-строить и поддерживать. Это пользовательский ACL и системный ACL.

3.4.1.1 Пользовательский список контроля доступа

Следующие операции применимы к пользовательскому ACL:

• Ведение пользователя — операция используется для определения SNC-имени отдельному пользователю SAP-системы. Ведение пользователявыполняется с помощью транзакции SU01. Подробности смотрите в раз-деле 3.6: Ведение пользователей в SAP-системе.

• Генерация пользовательского ACL — операция используется для авто-матической генерации SNC-имен для пользователей с помощью универ-сальной схемы именования, которая содержит фиксированный префиксимени, идентификатор пользователя в SAP-системе и фиксированныйсуффикс, определяющий организационную структуру компании. Допол-нительную информацию смотрите в разделе 2.3.2: Именование.

• Ведение пользовательского ACL — как альтернативу ведению отдель-ного пользователя с помощью транзакции SU01, вы можете использо-вать транзакцию SM30 и представление USRACL для ведения SNC-имен пользователей. Дополнительную информацию смотрите в разделе3.6: Ведение пользователей в SAP-системе.

• Ведение расширенного пользовательского ACL — для присвоения SNC-имен RFC- и CPIC-пользователям используйте транзакцию SM30 ипредставление USRACLEXT. Дополнительную информацию смотрите вразделе 3.6.2: SNC-информация специальных пользователей.


• Присвоение полномочий RFC-пользователю — следующие объекты пол-номочий особенно важны, когда между компонентами SAP-системы ис-пользуется RFC-соединение:

– S_RFC — Проверка полномочий для RFC-доступа.

– S_RFCACL — Проверка полномочий для RFC-пользователя.

Используйте Информационную систему полномочий (Authorization InfoSystem) — транзакция SUIM, чтобы убедиться в том, что эти объек-ты корректно присвоены. Оба объекта полномочий относятся к классумандантно-независимых объектов полномочий (Cross-application Author-ity Objects).

3.4.1.2 Системный список контроля доступа

Системный список контроля доступа определяет, на основе SNC-имен, ко-му разрешен доступ к системе. Для настройки системного ACL используй-те транзакцию SNC0 или транзакцию SM30 и представление VSNCSYSACL.Дополнительную информацию смотрите в разделе 4.4.3: SAP-система→ SAP-система.

3.4.2 Взаимодействия

Вам необходимо рассмотреть необходимость защиты, с помощью SNC, вза-имодействий серверов приложений с различными компонентами SAP-системы,а также RFC- и CPIC-программами.

3.4.2.1 Печать с помощью SAPlpd

Для того, чтобы присвоить SNC-имя устройству печати, используйте тран-закцию ведения устройства печати SPAD. Дополнительную информацию смот-рите в разделе 4.6: Настройка SNC: печать.

3.4.2.2 RFC

Следующие процедуры используются при настройке RFC с использованиемSNC:

• Определение RFC-адресатов — используйте транзакцию SM59 для опре-деления RFC-адресатов. Дополнительную информацию смотрите в раз-деле 4.4: Настройка SNC: исходящее RFC-соединение SAP-системы.

3.5. Перенос настроек 43

• Определение SNC-параметров RFC-адресата — используйте транзакциюSM30 и представление RFCDESSECU для заданий SNC-параметров. До-полнительную информацию смотрите в разделе 4.4: Настройка SNC: ис-ходящее RFC-соединение SAP-системы.

3.4.2.3 CPIC

Следующие процедуры используются при настройке CPIC с использовани-ем SNC:

• Определение CPIC-адресатов — используйте транзакцию SM54 для опре-деления CPIC-адресатов. Дополнительную информацию смотрите в раз-деле 4.5: Настройка SNC: исходящее CPIC-соединение SAP-системы.

• Определение SNC-параметров CPIC-адресата — используйте транзак-цию SM30 и представление TXCOMSECU для заданий SNC-параметров.Дополнительную информацию смотрите в разделе 4.5: Настройка SNC:исходящее CPIC-соединение SAP-системы.

3.4.2.4 Поддержка внешней системы безопасности

Для ведения информации, которая относится к внешней системе обеспе-чения безопасности, используйте следующие процедуры:

• Экспорт SNC-имен для внешней системы — для выгрузки информа-ции об SNC-именах пользователей SAP-системы в файл, который можетбыть использован внешней системой, используйте отчет RSUSR402.

• Проверка канонический имен — данная процедура, выполняемая с помо-щью отчета RSSNCCHK, собирает и показывает различные SNC-именаиз таблиц SAP-системы, относящихся к SNC. С помощью этого отчетавы можете проверить непротиворечивость SNC-имен и убедиться, чтовсе SNC-имена хранятся в канонической форме. Если, в ходе провер-ки, обнаружится, что SNC-имя хранится не в канонической форме, номожет быть к ней приведено, то имя будет автоматически исправлено.

3.5 Перенос настроек

Для поддержания системного ландшафта, включающего несколько SAP-систем, вы можете использовать следующие методы переноса настроек:


• Ручной ввод

• Специализированные функции (например, — ALE)

• Инструменты сравнения таблиц

• Транспорт настроек

• Транспорт манданта

В этом разделе описываются методы, которые доступны для транспорти-ровки SNC-конфигурации. В демонстрационных примерах описывается ланд-шафт с системой-источником и целевой системой. Система-источник являетсяисточником конфигурационной информации для целевой системы.

3.5.1 Списки контроля доступа

3.5.1.1 Пользовательский список контроля доступа

• Пользователь — для переноса информации о пользователях используйтепроцедуру копирования манданта.

• Информация управления доступом пользователя — для переноса инфор-мации из представления USRACL (присвоение SNC-имен пользовате-лям) используйте транзакцию SM30.

• Расширенная информация управления доступом пользователя — дляпереноса информации из представления USRACLEXT (присвоение до-полнительных SNC-имен пользователям или присвоение SNC-имен дляRFC- и CPIC-пользователей) используйте транзакцию SM30.

3.5.1.2 Системный список контроля доступа

Для переноса системного списка контроля доступа (присвоение SNC-именсистемам), используйте транзакцию SNC0 или транзакцию SM30 с представ-лением VSNCSYSACL и типом «E». Вы не должны переносить внутренниезаписи (тип «I»).

После копирования вы можете удалить ненужные записи из представленияVSNCSYSACL. Для удаления используйте транзакцию SM30 и представлениеVSNCSYSACL.

3.6. Ведение пользователей в SAP-системе 45

3.5.2 Взаимодействия

Ниже приведена информация о переносе различных коммуникационныхнастроек, использующих SNC.

3.5.2.1 Печать с помощью SAPlpd

Информация о переносе описания печатающего устройства приведена SAP-библиотеке: BC Printing Guide → Transporting Printers (Device Definitions)и Transporting a Device Type [2].

3.5.2.2 RFC

Вам необходимо вручную поддерживать RFC-адресаты в целевой системе.

3.5.2.3 CPIC

Вам необходимо вручную поддерживать CPIC-адресаты в целевой системе.

3.6 Ведение пользователей в SAP-системе

С помощью SNC, имена партнеров по взаимодействию, в виде, известномвнешнему продукту обеспечения безопасности, передаются на соответствую-щий SNC-уровень компонент SAP-системы. Например, процедура аутентифи-кации регистрирующегося в SAP-систему пользователя с помощью SAPguiс использованием SNC, выполняется между SNC-уровнем SAPgui и SNC-уровнем сервера приложений SAP-системы. Поскольку процедура аутенти-фикации гарантирована внешним продуктом безопасности, SAP-система мо-жет использовать SNC-имя, которое является специальной формой внешнегоимени, для аутентификации пользователя и разрешить (или запретить) реги-страцию пользователя. Таким образом, все пользователи SAP-системы, какдиалоговые, так и специальные, должны быть отождествлены с соответству-ющими идентификаторами во внешнем продукте обеспечения безопасности.В последующих разделах описываются процедуры ведения пользователей вSAP-системе.

3.6.1 SNC-информация диалоговых пользователей

Для каждого пользователя SAP-системы, который регистрируется с ис-пользованием SNC, вы должны определить связь между пользовательским


идентификатором SAP-системы и внешним SNC-именем пользователя.При выполнении настроек помните о следующих ограничениях и/или воз-

можностях:

• Вы должны присвоить лишь одно SNC-имя для учетной записи пользова-теля в SAP-системе. Хотя это возможно, не рекомендуется использоватьнесколько SNC-имен для одной учетной записи диалогового пользовате-ля.

• В версиях, предшествующих 4.5, вы не должны присваивать одинаковоеSNC-имя нескольким учетным записям. В противном случае, не гаран-тируется корректное отображение SNC-имени в имя пользователя SAP-системы.

• Начиная с версии 4.5 вы можете подавить экран регистрации (параметрsnc/force_login_screen, значение «0») в том случае, если сервер прило-жений может однозначно отобразить SNC-имя в имя пользователя SAP-системы. Если одно SNC-имя присвоено нескольким пользователям, тоэкран регистрации укажет возможные учетные записи для того, чтобыпользователь выбрал одно из них. Дополнительную информацию смот-рите в разделе 3.7: Экран регистрации в SAP-системе.

• Если вы хотите оставить возможность регистрации в системе некоторыхпользователей без использования SNC, установите значение «U» пара-метру snc/accept_insecure_gui.

Используйте следующую процедуру для присвоения SNC-имени диалого-вому пользователю:

1. Запустите транзакцию транзакцию SU01, выберите необходимого поль-зователя и перейдите в режим изменения.

2. Для ведения SNC-информации пользователя выберите закладку SNC.Соответствующий экран транзакции показан на рисунке 3.1.

3. Укажите в поле SNC name SNC-имя пользователя.

4. Установите флаг Unsecure communication permitted если вы хотите оста-вить пользователю возможность регистрации в системе без использова-ния SNC. Обратите внимание, что эта опция имеет силу только еслипараметр snc/accept_insecure_gui установлен в значение «U».

3.6. Ведение пользователей в SAP-системе 47

Рис. 3.1. Ведение SNC-информации пользователя SAP-системы.

SAP-система автоматически обновит пользовательский ACL (представле-ние USRACL) и сгенерирует SNC-имя пользователя в канонической форме.Если не возникнет никаких ошибок, система активирует индикатор Canonicalname determined.

Вы можете также самостоятельно вести представление USRACL с помо-щью транзакции SM30 для того, чтобы напрямую вводить SNC-имена.


3.6.2 SNC-информация специальных пользователей

Поскольку версия 3.1 не может использовать SNC для защиты RFC- иCPIC-соединений, последующее описание применимо только для версий на-чиная с 4.0.

Для того, чтобы можно было защищать, с помощью SNC, соединенияинициированные внешними RFC- или CPIC-программами, SAP-система так-же имеет возможность отображать идентификатор пользователя в SNC-имявнешней программы.

Вы можете использовать транзакцию SU01 для присвоения SNC-имениRFC- или CPIC-пользователю. Однако обратите внимание, что транзакцияSU01 может присвоить только одно SNC-имя пользователю. В случае, есливы хотите присвоить несколько SNC-имен пользователю SAP-системы, вамнеобходимо использовать расширенный пользовательский ACL (представле-ние USRACLEXT).

Расширенный пользовательский ACL необходим также, если необходимозащитить, с помощью SNC, WebRFC-соединения.

Присвоение SNC-имени пользователю SAP-системы с помощью транзак-ции SU01 было описано в предыдущем разделе. Здесь мы опишем способведения SNC-информации основанный на транзакции SM30 и представленииUSRACLEXT. При работе с расширенным ACL помните, что:

• Пользователь уже должен существовать в системе, прежде чем вы смо-жете вести его расширенный ACL.

• Если вы хотите присвоить несколько SNC-имен одному пользователю,вам необходимо ввести их нумерацию в SAP-системе для того, чтобыотличать друг от друга.

Перейдите в режим ведения представления USRACLEXT с помощью тран-закции SM30 .

Каждая запись имеет три поля: идентификатор пользователя SAP-системы,номер SNC-имени пользователя, SNC-имя.

Вы можете использовать использовать символ «*» при заполнении иден-тификатора пользователя и SNC-имени. Используя символ «*» помните, что:

• Если вы указали «*» для идентификатора пользователя, то система вос-пользуется произвольным пользователем который имеет соответствую-щее SNC-имя.

• Если вы ввели «*» для SNC-имени, то система воспользуется пользо-вателем с соответствующим идентификатором вне зависимости от SNC-имени.

3.7. Экран регистрации в SAP-системе 49

• Если вы указали «*» и для идентификатора пользователя, и для SNC-имени, то система воспользуется произвольным пользователем вне зави-симости от его SNC-имени.

• Если вы ввели «*» в одно из полей, система будет выполнять проверкупароля пользователя при построении соединения.

3.7 Экран регистрации в SAP-системе

Начиная с версии 4.5 вы имеете возможность подавить обычный экранрегистрации пользователя при регистрации с использованием SNC. Экранрегистрации не будет показываться при выполнении следующих условий:

• Параметр snc/force_login_screen профайла сервера приложений установ-лен в значение «0».

• Система может однозначно определить идентификатор пользователя имандант регистрации.

Если параметр snc/force_login_screen установлен в значение «1» или «X»7,сервер приложений будет показывать экран регистрации при каждой реги-страции.

7 Смотрите «ноту» 667470[12].


Глава 4

Настройка партнероввзаимодействия для SNC

В этой главе описывается как настраивать SNC для использования различ-ными компонентами SAP-системы применительно к различным видам взаимо-действий. Для большинства каналов связи один из партнеров будет определенкак инициатор взаимодействия, другой, — как акцептор. В некоторых случаях,таких как взаимодействие между двумя SAProuter-программами, компонентымогут выступать как инициаторами, так и акцепторами.

В качестве акцептора или инициатора может быть указана SAP-система —под этим всегда подразумевается сервер приложений SAP-системы.

Перед активацией SNC вам необходимо установить внешний продукт обес-печения безопасности на сервера и рабочие станции.

Возможно, вам необходимо выполнить некоторые настройки для построе-ния операционной среды для вашего продукта обеспечения безопасности. Этинастройки, в первую очередь, зависят от используемого продукта безопасно-сти.

4.1 Настройка SNC: SAPgui → SAP-система

При взаимодействии клиентского ПО SAPgui и SAP-системы, SAPgui яв-ляется инициатором, а SAP-система — акцептором взаимодействия. Учитываяобратную совместимость клиентского ПО, далее не рассматриваются особен-ности SAPgui версии ниже 4.0.

Существует несколько способов запуска программы SAPgui:

• непосредственный запуск программы sapgui.exe,

52 Глава 4. Настройка партнеров взаимодействия для SNC

• с помощью программы SAP Logon,

• с помощью программы SAP Shortcuts.

Далее описывается SNC-настройки, активирующие SNC, для каждого извидов запуска, перечисленных выше.

4.1.1 Инициатор SAPgui (sapgui.exe)

Для того, чтобы установить защищенное, с помощью SNC, соединениемежду SAPgui и SAP-системой, необходимо передать SAPgui SNC-параметрылибо с помощью переменных окружения, либо с помощью параметров запускаsapgui.exe. Ниже описаны эти параметры.

4.1.1.1 SNC_PARTNERNAME

SNC-имя сервера приложений SAP-системы.

• Описание — этот параметр задает SNC-имя сервера приложений SAP-системы в котором выполняется регистрация.

• Значение «по-умолчанию» — вы должны явно определить SNC-имя.

• Параметр обязателен — да.

• Возможные значения — строка, обрамленная кавычками «"».

• Способ задания — командная строка.

4.1.1.2 SNC_LIB





• Возможные значения — строка длиной до 255 символов, обрамленнаякавычками «"». Рекомендуется использовать полное имя файла.

• Способ задания — командная строка или переменная окружения.

4.1. Настройка SNC: SAPgui → SAP-система 53

4.1.1.3 SNC_MODE

Флаг активации SNC.

• Описание — этот параметр активирует, или деактивирует SNC.

• Значение «по-умолчанию» — если параметр SNC_PARTNERNAME опре-делен, то — «1», в противном случае — «0».

• Параметр обязателен — нет.



4.1.1.4 SNC_QOP

Уровень защиты.

• Описание — этот параметр устанавливает уровень защиты SNC-соеди-нения.

• Значение «по-умолчанию» — «3».


• Возможные значения — «1»: простая аутентификация; «2»: обеспечениецелостности; «3»: обеспечение конфиденциальности; «8»: использоватьуровень защиты «по-умолчанию»; «9»: использовать максимально воз-можный уровень защиты.

• Способ задания — командная строка или переменная окружения.

4.1.2 Инициатор SAPgui (SAP Logon)

Если вы используете программу SAP Logon для запуска SAPgui, то нетнеобходимости устанавливать большинство SNC-параметров «вручную». Опре-делить переменную окружения SNC_LIB для задания пути и имени внешнейбиблиотеки.

Для того, чтобы задать или проверить SNC-параметры соединения, ис-пользуйте команду Advanced. . . в окне настройки параметров соединения.

Существует несколько возможностей задания SNC-параметров, зависящихот способа определения параметров соединения:


Рис. 4.1. SNC-опции SAP Logon.

• ручной ввод,

• ввод с выбором сервера приложений,

• ввод с выбором группы входа.

Ниже детально описываются каждый из этих способов1.

4.1.2.1 Ручной ввод параметров

Запустите программу SAP Logon и выполните следующие шаги:

1 Поскольку при выборе сервера приложений или группы входа используется служба сооб-щения SAPсистемы (message server), то перед использованием этих возможностей вы должныопределить службу сообщений вашей системы на клиентском месте: запись sapms<SAPSID>в файле services.

4.1. Настройка SNC: SAPgui → SAP-система 55

1. Выберите команду News. . . .

2. Выберите команду Advanced. . . . Диалоговое окно Advanced options по-казано на рисунке 4.1.

3. Введите SNC-опции:

(a) Активируйте флаг Enable Secure Network Communication.

(b) Введите SNC-имя сервера приложений в поле SNC name.

(c) Задайте уровень защиты SNC-соединения.

4.1.2.2 Выбор сервера приложений

После определения сервера приложений с помощью команды Server. . . за-дайте SNC-опции также как и в предыдущем случае. Если в момент выборана сервере приложений SNC активирован, то SNC-имя сервера будет автома-тически определено и установлено в поле SNC name.

4.1.2.3 Выбор группы входа

После определения группы входа с помощью команды Groups. . . задай-те SNC-опции также как и в случае ручного ввода параметров. Обратитевнимание, что вы можете активировать SNC только в случае, если в груп-пе имеются сервера приложений с активным SNC. Также помните, что хотяполе SNC name содержит имя сервера приложений, в момент соединения бу-дет использоваться SNC-имя сервера приложений к которому осуществляетсясоединение. При использовании группы входа сервер приложений для соеди-нения выбирается динамически службой сообщений SAP-системы.

4.1.3 Инициатор SAPgui (SAP Shortcuts)

Программа SAP Shortcuts доступна, для использования совместно с SNC,начиная с версии SAPgui 4.5. Программа предоставляет удобный способ за-пуска в SAPgui заранее заданной транзакцией или отчета. Для построениясоединения программа использует конфигурацию введенную с помощью про-граммы SAP Logon. Таким образом, для использования SNC в программе SAPShortcuts вам необходимо активировать SNC у соответствующего соединения.

SAP Shortcuts требует наличия пароля для автоматического создания со-единения с SAP-системой, который может быть определен заранее с помощью


SAP Shortcuts, либо передан в строке запуска программы. Обычно не реко-мендуется сохранять пароль в программе SAP Shortcuts из-за низкой защи-щенности такого решения. Однако, при использовании SNC, вам необходимоввести пароль. Такой пароль не будет использоваться для аутентификации инеобходим только для того, чтобы программа SAP Shortcuts могла автома-тически построить соединение. Рекомендуется использовать однобуквенныйпароль-заглушку2.

Начиная с версии SAPgui 4.6D3 Вы можете использовать SNC-параметрыпри запуске SAP Shortcuts.

4.1.3.1 SNC_NAME

SNC-имя инициатора соединения.

• Описание — этот параметр задает SNC-имя инициатора соединения.

• Значение «по-умолчанию» — определяется внешней библиотекой.


• Возможные значения — строка.


4.1.4 Акцептор (SAP-система)

Настройка SAP-системы для приема входящих SNC-соединений от про-граммы SAPgui описана в разделах 3.2: Установка параметров профайла сер-вера приложений и 3.6: Ведение пользователей в SAP-системе.

4.2 Настройка SNC: внешняя RFC-программа →SAP-система

В данном сценарии внешняя RFC-программа является инициатором взаи-модействия, а сервер приложения SAP-системы — акцептором.

Поскольку, до версии 4.0, возможности защиты RFC-взаимодействий с ис-пользованием SNC не существовало, последующая часть раздела применимадля SAP-систем начиная с версии 4.0.

2 В различных версиях SAPgui детали хранения пароля в программе SAP Shortcuts отли-чаются. Подробности смотрите в «ноте» 146173.

3 Подробности смотрите в «ноте» 103019.

4.2. Настройка SNC: внешняя RFC-программа → SAP-система 57

4.2.1 Инициатор (внешняя программа)

Для использования SNC для защиты RFC-взаимодействия внешний про-граммы и SAP-системы, вам необходимо задать SNC-параметры либо в фай-ле saprfc.ini, либо с помощью программного интерфейса SAP RFC. Вэтом разделе описывается способ задания SNC-опций с помощью файлаsaprfc.ini. Информация о программном интерфейсе SAP RFC приведена вразделе 4.9.2: Прикладной программный интерфейс RFC.

В файле saprfc.ini определяются параметры соединения с целевойSAP-системой (с сервером приложения или группой входа системы). Напри-мер, описание соединения с именем WP1_SNC могло бы выглядеть следую-щим образом:

DEST=WP1_SNCTYPE=AASHOST=mysapcomSYSNR=01SNC_MODE=1SNC_PARTNERNAE=p:CN=sap01.mysapcom, OU=IT, O=HOME, C=RUSNC_LIB=/sapmnt/WP1/profile/exe/sncnetc.so

В этом примере целевой сервер приложений SAP-системы находится нахосте mysapcom и имеет номер 01. SNC-имя сервера приложений:

p:CN=sap01.mysapcom, OU=IT, O=HOME, C=RU

внешняя библиотека находится в файле:

/sapmnt/WP1/profile/exe/sncnetc.so

Ниже приведены описания SNC-параметров, используемых для защитыRFC-соединений внешних программ с SAP-системой.



• Описание — этот параметр задает SNC-имя целевого сервера приложе-ний SAP-системы.





4.2.1.2 SNC_LIB


• Описание — этот параметр определяет путь и имя динамической биб-лиотеки GSS-API V2 продукта обеспечения безопасности.



• Возможные значения — строка. Рекомендуется использовать полное имяфайла.

4.2.1.3 SNC_MODE






4.2.1.4 SNC_QOP


• Описание — этот параметр определяет уровень защиты SNC-соединения.




4.2. Настройка SNC: внешняя RFC-программа → SAP-система 59

4.2.1.5 SNC_MYNAME

SNC-имя внешней RFC-программы.

• Описание — этот параметр определяет SNC-имя внешней RFC-програм-мы.





Настройка SAP-системы для приема соединений, защищенных с помощьюSNC, от внешних RFC-программ, описана в разделе 3.2: Установка параметровпрофайла сервера приложений.

RFC-соединение устанавливается через порт шлюза. Обычно для соеди-нений, защищенных с помощью SNC, используется «безопасный» порт, кото-рый используется только для SNC-соединений. Тем не менее, в версиях SAP-систем 4.0 и 4.5, при использовании SNC с балансировкой нагрузки, будетиспользоваться обычный порт шлюза.

4.2.3 Аутентификация пользователя

Подобно обычному RFC-соединению, внешняя программа, при построе-нии RFC-соединения с использованием SNC, должна указать идентификаторпользователя и мандант. Ниже перечислены дополнительные шаги процедурыаутентификации при использовании SNC.

1. Если SNC-имя внешней программы совпадает с SNC-именем в основнойзаписи указанного пользователя в назначенном манданте, SAP-системапринимает RFC-запрос на регистрацию без выполнения других шаговаутентификации.

2. В противном случае, SAP-система ищет в представлении USRACLEXTзапись с соответствующим SNC-именем, пользователем и мандантом.Если требуемая запись существует, SAP-система принимает RFC-запросна регистрацию без выполнения других шагов аутентификации.


3. В противном случае, SAP-система ищет в представлении USRACLEXTзапись с соответствующим пользователем, мандантом и символом «*» вполе SNC-имени. Если требуемая запись существует, SAP-система про-веряет пароль пользователя. Если пароль указан правильно, SAP-систе-ма принимает, защищенный с помощью SNC, запрос на регистрацию.

4. Иначе, SAP-система ищет в представлении USRACLEXT запись с соот-ветствующим SNC-именем, мандантом и символом «*» в поле идентифи-катора пользователя. Если требуемая запись существует, SAP-системапроверяет пароль пользователя. Если пароль указан правильно, SAP-си-стема принимает, защищенный с помощью SNC, запрос на регистрацию.

5. Иначе, SAP-система ищет в представлении USRACLEXT запись с ман-дантом, символом «*» в поле SNC-именем, и символом «*» в поле иден-тификатора пользователя. Если требуемая запись существует, SAP-си-стема проверяет пароль пользователя. Если пароль указан правильно,SAP-система принимает, защищенный с помощью SNC, запрос на реги-страцию.

6. Иначе, SAP-система отклоняет запрос на регистрацию внешней RFC-программы.

4.3 Настройка SNC: внешняя CPIC-программа→SAP-система

В данном сценарии внешняя CPIC-программа является инициатором взаи-модействия, а сервер приложения SAP-системы — акцептором.

Поскольку, до версии 4.0, возможности защиты CPIC-взаимодействий сиспользованием SNC не существовало, последующая часть раздела примени-ма для SAP-систем начиная с версии 4.0.

4.3.1 Инициатор (внешняя программа)

Для использования SNC для защиты CPIC-взаимодействия внешний про-граммы и SAP-системы, вам необходимо задать SNC-параметры либо в файлеsideinfo, либо с помощью программного интерфейса SAP CPIC. В этом раз-деле описывается способ задания SNC-опций с помощью файла sideinfo.Информация о программном интерфейсе SAP CPIC приведена в разделе4.9.1: Прикладной программный интерфейс CPIC.

4.3. Настройка SNC: внешняя CPIC-программа → SAP-система 61

Ниже приведены описания SNC-параметров, используемых для защитыCPIC-соединений внешних программ с SAP-системой.



• Описание — этот параметр задает SNC-имя целевого сервера приложе-ний SAP-системы.



• Возможные значения — строка длиной до 255 символов.

4.3.1.2 SNC_LIB


• Описание — этот параметр определяет путь и имя динамической биб-лиотеки GSS-API V2 продукта обеспечения безопасности.




4.3.1.3 SNC_MODE







4.3.1.4 SNC_QOP


• Описание — этот параметр определяет уровень защиты SNC-соединения.




4.3.1.5 SNC_MYNAME

SNC-имя внешней CPIC-программы.

• Описание — этот параметр определяет SNC-имя внешней CPIC-програм-мы.



• Возможные значения — строка длиной до 255 символов.

4.3.1.6 GWSERV

Порт шлюза для CPIC-соединения.

• Описание — этот параметр определяет порт, на котором будет установ-лено CPIC-соединение. Для соединений, защищенных с помощью SNC,вы должны использовать «безопасный» порт.

• Значение «по-умолчанию» — ??.

• Параметр обязателен — ??.

• Возможные значения — номер или имя порта. Стандартными значениямиявляются — «sapgw<nn>»: для обычного порта шлюза; «sapgw<nn>s»:для «безопасного» порта шлюза.

4.3. Настройка SNC: внешняя CPIC-программа → SAP-система 63


Настройка SAP-системы для приема соединений, защищенных с помощьюSNC, от внешних CPIC-программ, описана в разделе 3.2: Установка парамет-ров профайла сервера приложений.

4.3.3 Аутентификация пользователя

Подобно обычному CPIC-соединению, внешняя программа, при построе-нии CPIC-соединения с использованием SNC, должна указать идентификаторпользователя и мандант. Процедура аутентификации идентична той, что ис-пользуется для RFC (см. раздел 4.3.3: Аутентификация пользователя).

CPIC-вызовы могут быть выполнены только от имени специальной CPIC-учетной записи SAP-системы.


4.4 Настройка SNC: исходящее RFC-соединениеSAP-системы

Поскольку, до версии 4.0, возможности защиты RFC-взаимодействий с ис-пользованием SNC не существовало, последующая часть раздела применимадля SAP-систем начиная с версии 4.0.

Для использования SNC-защиты исходящих RFC-вызовов SAP-системынеобходимо настроить SNC-опции для каждого RFC-адресата. Для этих целейможно воспользоваться либо транзакцией SM59, либо транзакцией SM30 спредставлением RFCDESSECU. Далее описывается процедура настройки спомощью транзакции SM59.

Транзакция SM59 различает несколько типов RFC-адресатов:

• R/2-соединения

• R/3-соединения

• Внутренние соединения

• Логические соединения

• Соединения к внешним программам (TCP/IP-соединения)

Настройки SNC-опций инициирующей стороны (SAP-системы) подобныдля всех перечисленных видов адресатов и описываются в следующем раз-деле. Специфика настройки каждого типа адресата и настройки акцепторасоединения дана в разделах, следующих далее.

4.4.1 Ведение RFC-адресатов и SNC-опций с помощью SM59

При ведении SNC-опций для RFC-адресатов, необходимо определить сле-дующую информацию:

• Флаг активации SNC

• Уровень защиты

• SNC-имя партнера

Другая SNC-информация (SNC-имя сервера приложений, местонахожде-ние внешней библиотеки, максимальный уровень защиты, уровень защи-ты «по-умолчанию») берется из профайла сервера приложения (см. раздел3.2: Установка параметров профайла сервера приложений).

4.4. Настройка SNC: исходящее RFC-соединение SAP-системы 65

В том случае, когда RFC-адресат является внешней программой (Activationtype = Start) обратите внимание, что:

• Если хост для запуска внешней программы определили явно, то вамнеобходимо определить SNC-имя партнера для создания SNC-соедине-ния.

• Если внешняя программа запускается на сервере приложений или кли-ентском месте, то SNC-имя партнера выбирается автоматически и вамне нужно его задавать — в этом случае поле SNC-имени не активно.

Используйте следующую процедуру для определения SNC-опций у RFC-адресата:

1. После запуска транзакции SM59 выберите необходимый RFC-адресат иперейдите в режим ведения с помощью команды Change (рисунок 4.2).

2. Для активации SNC, установите переключатель SNC Activ.

3. Вызовите окно ведение SNC-опций: Destination → SNC Options (рису-нок 4.3).

4. Введите уровень защиты в поле QOP .

5. Если необходимо (смотрите сделанное ранее замечание), то введитеSNC-имя партнера.

6. Сохраните сделанные изменения.

При определении степени защищенности применяются правила:

• Уровень защиты RFC-адресата может быть меньше, чем значение пара-метра snc/data_protection/min или больше, чем значение параметра snc/data_protection/max сервера приложений.

• Если уровень защиты RFC-адресата больше, чем максимально поддер-живаемый внешней библиотекой, то используется максимально возмож-ный.

• Если у RFC-адресата установлен уровень защиты «8», то используетсязначение, определенное в параметре snc/data_protection/use профайласервера приложений.


Рис. 4.2. Активация SNC для RFC-адресата.

• Если у RFC-адресата установлен уровень защиты «9», то используетсязначение, определенное в параметре snc/data_protection/max профайласервера приложений.


Рис. 4.3. SNC-опции RFC-адресата.

• Небольшие отличия от приведенных правил имеются в версии 4.0A. Этиотличия приведены в разделе C: Замечания к версиям 3.1G/H и 4.0A.

4.4.2 SAP-система → R/2

SNC-защита для соединения с системой R/2 не поддерживается.

4.4.3 SAP-система → SAP-система

В данном сценарии инициатором и акцептором защищенного, с помощьюSNC, соединения выступают сервера приложений SAP-систем.


4.4.3.1 Инициатор (SAP-система)

Для задания SNC-опций на стороне инициатора используйте транзакциюSM59. Подробности смотрите в разделе 4.4.1: Ведение RFC-адресатов и SNC-опций с помощью SM59. Обратите внимание на настройки использованиябалансировки нагрузки:

• Если вы не используете балансировку нагрузки, то укажите SNC-имяцелевого сервера приложений в разделе SNC names (рисунок 4.3).

• При использовании балансировки нагрузки система каждый раз, передпостроением соединения, будет определять целевой сервер приложений.После определения целевого сервера приложений система-инициаторопределит его SNC-имя с помощью службы сообщений целевой SAP-системы и будет использовать это имя для построения защищенногоSNC-соединения.

Введите SNC-имя центральной инстанции в поле Msg. Server (рису-нок 4.4).

4.4.3.2 Акцептор (SAP-система)

Для того, чтобы сервер приложений одной SAP-системы мог приниматьвходящие RFC-соединения от сервера приложений другой SAP-системы, выдолжны описать систему-инициатор в системном ACL акцептирующей систе-мы. Для этого запустите транзакцию SNC0 и создайте запись для каждогосервера приложений исходной системы, который может инициировать RFC-соединие. Экран ведения системного ACL показан на рисунке 4.5. Обратитевнимание, на следующие моменты:

• Записи, которые вы ведете в транзакции SNC0 относятся в внешнимадресатам (тип «E»). Внутренние адресаты (тип «I») генерируются ав-томатически и не отображаются в транзакции SNC0.

• Если вы хотите настроить внешнее RFC-соединение между двумя сер-верами приложений одной SAP-системы (т.е. вы задали RFC-адресат втранзакции SM59 с типом R/3 connections), создайте запись внешнегоадресата в дополнение к автоматически создаваемой записи внутреннегоадресата.


Рис. 4.4. SNC-опции RFC-адресата с балансировкой нагрузки.

4.4.3.3 Аутентификация системы и пользователя

При использовании защищенного, с помощью SNC, RFC-взаимодействиямежду двумя SAP-системами, сервера приложений идентифицируют друг дру-га с помощью SNC. На основе записи в таблице SNCSYSACL , сервер прило-жений акцептирующей системы узнает, что RFC-вызов выполняется серверомприложений другой SAP-системы. Далее акцептирующая система используетстандартный механизм аутентификации пользователя, основанный на паро-ле или другой информации, и использует учетную запись пользователя дляпроверки его полномочий.


Рис. 4.5. Системный ACL для RFC-соединений из других SAP-систем.

4.4.4 Внутренние адресаты

При старте сервера приложений в SAP-системе автоматически создаетсявнутренний RFC-адресат (тип «I»), соответствующий этому серверу. Систематакже автоматически создает соответствующую запись в таблице SNCSYSACL.Вы не можете вести эти записи самостоятельно.

Из соображений производительности не рекомендуется использовать SNCдля внутренних RFC-взаимодействий (см. раздел 2.6: Рекомендации).

Если вы хотите использовать SNC для внутренних RFC-взаимодействий,


вам необходимо установить параметры snc/r3int_rfc_secure и snc/r3int_rfc_qopу серверов приложений SAP-системы. Убедитесь, что значения этих пара-метров идентичны для всех серверов приложений использующих внутренниеRFC-вызовы.

Обратите внимание, что для входящих внутренних RFC-соединений, за-щищенных с помощью SNC, система не проверяет наличие записи в таблицеSNCSYSACL.

4.4.5 Логические адресаты

Все логические адресаты ссылаются, в конечном итоге, на физические ад-ресаты. Поэтому, SNC-параметры логического адресата соответствуют SNC-параметрам соответствующего физического адресата.

4.4.6 TCP/IP — запуск внешней программы на сервереприложений

RFC-адресат, являющийся внешней RFC-программой и исполняемый ло-кально, напрямую запускается рабочим процессом сервера приложений. Послестарта, внешняя RFC-программа устанавливает TCP/IP-соединение со шлю-зом сервера приложений. Для построения соединения внешняя программа ис-пользует значения параметров которые были ей переданы рабочим процессомв момент запуска. Если SNC активирован, то рабочий процесс, при запускевнешней RFC-программы, дополнительно передает ей SNC-параметры.

В этом сценарии SAP-система является инициатором соединения, внешняяRFC-программа — акцептором соединения.


Для задания SNC-опций на стороне инициатора используйте транзакциюSM59. Подробности смотрите в разделе 4.4.1: Ведение RFC-адресатов и SNC-опций с помощью SM59.

4.4.6.2 Акцептор (внешняя программа)

Вам не нужно задавать дополнительные SNC-параметры для внешней про-граммы, которая запускается на сервере приложений. Внешняя программа по-лучает необходимые данные следующим образом:


• Флаг SNC и уровень защищенности — флаг использования SNC длясоединения и уровень защищенности SNC-соединения устанавливаютсяв транзакции SM59 для инициатора и автоматически передаются запус-каемой программе.

• Местонахождение и имя внешней библиотеки — внешняя программаопределяет путь и имя внешней библиотеки с помощью параметра snc/gssapi_lib в профайле сервера приложений.

• SNC-имя — SAP-система использует SNC-имя сервера приложений дляобращения к внешней RFC-программе. Поскольку RFC-программа за-пускается как процесс-потомок рабочего процесса сервера приложений,она имеет ту же среду безопасности, что и родительский рабочий про-цесс.

4.4.7 TCP/IP — запуск внешней программы на заданномхосте

Внешняя RFC-программа запускается на заданном хосте шлюзом и, сле-довательно, работает в том же операционном окружении, что и шлюз.

При выполнения вызова RFC, который использует TCP/IP-соединение длязапуска внешней программы на заданном хосте, SAP-система является ини-циатором соединения, а внешняя RFC-программа — акцептором соединения.



В случае, если вы не определите шлюз при ведении RFC-адресата, внеш-няя RFC-программа будет запускаться шлюзом сервера приложений. В этомслучае, поведение SAP-системы подобно поведению, описанному в разделе4.4.6: TCP/IP — запуск внешней программы на сервере приложений. При по-добном сценарии система игнорирует SNC-имя, определенное в RFC-адресате,и использует SNC-имя сервера приложений для запуска внешней программы.


Вам не нужно задавать дополнительные SNC-параметры для внешней про-граммы, которая запускается на заданном хосте. Внешняя программа получаетнеобходимые данные следующим образом:


• Флаг SNC и уровень защищенности — флаг использования SNC длясоединения и уровень защищенности SNC-соединения устанавливаютсяв транзакции SM59 для инициатора и автоматически передаются запус-каемой программе.

• Местонахождение и имя внешней библиотеки — путь и имя внешнейбиблиотеки передается шлюзом внешней программе через параметрыкомандной строки при запуске внешней программы. Шлюз используетзначение параметра snc/gssapi_lib своего профайла.

• SNC-имя — SNC-имя внешней RFC-программы определяется в RFC-адресате при задании RFC-имени партнера. Оно посылается внешнейRFC-программе в RFC-запросе. Внешняя RFC-программа извлекает этоимя и использует его для получения мандата безопасности.

4.4.7.3 Действия шлюза

Действия шлюза, относящиеся к SNC, описаны в разделе 3.3: Установкапараметров профайла шлюза.

Обратите внимание на следующие моменты:

• Убедитесь, что SNC активирован (параметр профайла snc/enable уста-новлен в «1»), а путь и имя файла внешней библиотеки корректно уста-новлены (параметр профайла snc/gssapi_lib).

• По-умолчанию, шлюз не будет запускать внешние программы без SNC-защиты. Если вы хотите разрешить шлюзу запуск внешних программ безSNC-защиты, установите параметр snc/permit_insecure_start профайлашлюза в значение «1».

• При использовании SNC не рекомендуется использовать запуск внешнихRFC-программ на удаленных хостах. Запретите эту возможность какописано в разделе 3.3: Установка параметров профайла шлюза.

• Если запуск удаленных RFC-программ необходим, то убедитесь, чтопуть и имя внешней библиотеки, указанные в параметре snc/gssapi_libпрофайла шлюза, правильно указывают местонахождение библиотеки наудаленном хосте.


4.4.8 TCP/IP — запуск внешней программы с помощьюSAPgui

Внешняя программа, запускаемая с помощью SAPgui, стартует от именипользователя на рабочей станции, с которой он зарегистрировался в SAP-систему.

При выполнения вызова RFC, который использует TCP/IP-соединение длязапуска внешней программы с помощью SAPgui, SAP-система является ини-циатором соединения, а внешняя RFC-программа — акцептором соединения.



RFC-соединение с внешней программой, запущенной с помощью SAPgui,будет защищено, с помощью SNC, только в том случае, если пользователь за-регистрировался в SAP-системе с использованием SNC. Только в этом случаеможно гарантировать, что внешняя RFC-программа имеет доступ к необходи-мому SNC-окружению.


Вам не нужно задавать дополнительные SNC-параметры для внешней про-граммы, которая запускается с помощью SAPgui. Внешняя программа полу-чает необходимые данные следующим образом:

• Флаг SNC и уровень защищенности — флаг использования SNC длясоединения и уровень защищенности SNC-соединения устанавливаютсяв транзакции SM59 для инициатора и автоматически передаются за-пускаемой программе, частично с помощью командной строки запуска,частично — с помощью SNC-информации в сообщениях.

• Местонахождение и имя внешней библиотеки — внешняя программаищет путь и имя внешней библиотеки в параметрах SAPgui (SNC_LIB).

• SNC-имя — SNC-имя внешней RFC-программы берется из соединенияSAPgui4.

4 Обратите внимание, что в этом случае мандат безопасности пользователя должен бытьпригоден для использования как инициатором, так и акцептором соединения.


4.4.9 TCP/IP — зарегистрированная программа

В процессе подготовки. . .



4.4.9.2 Акцептор (зарегистрированная программа)


4.4.9.3 SNC с зарегистрированными программами


4.4.9.4 Действия шлюза


4.4.10 Удаленная регистрация с помощью SM51

При регистрации на другом сервере приложений одной SAP-системы спомощью транзакции SM51, система устанавливает соединение к внутреннемуRFC-адресату. Поэтому такое соединения будет автоматически защищено, спомощью SNC, если параметр snc/r3int_rfc_secure установлен в «1».

4.4.11 Удаленная регистрация с помощью SM59


4.4.12 Специальные адресаты


4.4.12.1 Адресат BACK



4.4.12.2 Адресат NONE

Адресат NONE — специальный внутренний адресат, который обрабатыва-ется также как и другие внутренние адресаты. Если вы активировали SNCдля внутренних адресатов, то соединения с адресатом NONE будут защище-ны с помощью SNC (см. параметр snc/r3int_rfc_secure).

4.4.13 Адресаты без RFCDES-записи

Адресаты без соответствующей записи в таблице RFCDES не могут ис-пользовать SNC.

4.4.14 RFC-группы

RFC-группа объединяет сервера приложений одной SAP-системы в группу.При использовании RFC-вызова к группе, вида

CALL FUNCTION ... DESTINATION IN GROUP ...

сервер приложений будет выбран в момент вызова.Вы не можете использовать SNC-защиту для вызовов к RFC-группе.

4.5. Настройка SNC: исходящее CPIC-соединение SAP-системы 77

4.5 Настройка SNC: исходящее CPIC-соединениеSAP-системы



4.6 Настройка SNC: печать

Вы можете защитить, с помощью SNC, данные передаваемые от сервераприложения SAP-системы к программе печати SAPlpd.

При печати с помощью программы SAPlpd (метод доступа «S»), spool-процесс сервера приложений является инициатором взаимодействия, а про-грамма SAPlpd — акцептором.

4.6.1 Инициатор (SAP-система)

Для ведения устройств печати в SAP-системе используйте транзакциюSPAD. В транзакции SPAD выберите устройство для изменения или создайтеновое устройство печати.

На закладе Access method в поле Host spool access method выберите зна-чение «S». Установите переключатель Do not query host spooler. . . Соответ-ствующий экран транзакции показан на рисунке 4.6.

На закладке Security выберите в поле Degree of security необходимый уро-вень защиты. В поле Backup mode установите необходимость использованияSNC-защиты при взаимодействии с программой печати. SNC-имя программыпечати введите в поле Identity of the remote SAPlpd. . . Соответствующийэкран транзакции показан на рисунке 4.7.

4.6.2 Акцептор (программа SAPlpd)

Для активации SNC в программе SAPlpd вы должны внести необходимыепараметры в файл win.ini или в файл saplpd.ini5. Параметры должнынаходится в секции [SNC].

4.6.2.1 gssapi_lib




5 Файл saplpd.ini используется начиная с версии 4.10. Программа SAPlpd ищет пара-метры в файле saplpd.ini, а затем — в файле win.ini.

4.6. Настройка SNC: печать 79

Рис. 4.6. Устройство печати: метод доступа S.

• Параметр обязателен — нет. Программа SAPlpd будет использовать пе-ременную окружения SNC_LIB в случае, если параметр gssapi_lib незадан.



Рис. 4.7. Устройство печати: SNC-опции.

4.6.2.2 enable


• Описание — этот параметр активирует SNC.



• Возможные значения — «0»: SNC деактивирован; «1»: SNC активен.


4.6.2.3 identity/lpd

SNC-имя программы SAPlpd.

• Описание — этот параметр определяет SNC-имя программы SAPlpd.Программа использует это имя когда запрашивает свой мандат безопас-ности.


• Возможные значения — строка. Детали смотрите в разделе 2.3.2: Име-нование.

4.6.3 Дополнительные SNC-опции SAPlpd

Для ведения дополнительных SNC-опций запустите программу SAPlpd сактивированным SNC. Выполните следующие шаги:

1. В меню программы выберите Options → Secured Connection. Диалоговоеокно показано на рисунке 4.8.

Рис. 4.8. Программа печати SAPlpd: дополнительные SNC-опции.

2. Установите необходимое значение переключателя SAP Security Library.Выбранное значение должно быть согласовано со значением поля BackupMode транзакции SPAD (рисунок 4.7):


• Do not use — все соединения будут незащищенными.

• Use if possible — использование SNC-защиты будет зависеть отинициатора.

• Use always — будут приниматься только защищенные, с помощьюSNC, соединения.

3. Выберите уровень защиты с помощью переключателя Quality of protec-tion. Значение должно быть таким же как уровень защиты, установ-ленный в SAP-системе.

4. Для задания партнеров программы SAPlpd используйте команду Addnew connection. Диалоговое окно показано на рисунке 4.9.

5. Установив флаг Accept every authenticated connection вы можете позво-лить принимать все соединения, иначе — вам необходимо перечислитьSNC-имена разрешенных партнеров. Для того, чтобы добавить SNC-имяв этот список введите его в поле Last authenticated connection initiatorи выберите команду Authorize.

Сделанные настройки будут сохранены либо в реестре, либо в файлеsaplpd.ini, либо в файле win.ini в зависимости от версии программыSAPlpd.


Рис. 4.9. Программа печати SAPlpd: SNC-партнеры.


4.7 Настройка SNC: SAProuter → SAProuter

SAProuter — это программа, которая выполняет функции прикладногопрокси-сервера сетевого протокола SAP. Вы можете использовать также несколь-ко смежных SAProuterузлов для построения канала связи. Типичный примериспользования программы SAProuter показан на рисунке 4.10.

Рис. 4.10. Пример SNC-взаимодействия между смежными SAProuter’ами.

Соединение между двумя смежными SAProuter-узлами может быть за-щищено с помощью SNC. При построении соединения с активным SNC,SAProuter выполняет аутентификацию партнера по взаимодействию и шиф-рование передаваемых сообщений. Таким образом, имеется возможность по-строить безопасный «туннель» между двумя компонентами которые, напри-мер, сами не поддерживают SNC.

SAProuter может быть как инициатором, так и акцептором соединения,защищенного с помощью SNC.

Для формирования SNC-соединения между парой программ SAProuter,вам необходимо:

• Настроить SNC-окружение для каждого узла.

• Внести SNC-записи в таблицу разрешений маршрутов (route permissiontable) каждого узла.

4.7. Настройка SNC: SAProuter → SAProuter 85

4.7.1 Настройка SNC-окружения

Для того, чтобы выполнить настройку SNC-окружения каждого узла SAProuterнеобходимо:

1. Установить на переменную окружения SNC_LIB, содержащую путь иимя внешней библиотеки.

2. Запустить SAProuter с опцией командной строки -K <SNC-имя>, где<SNC-имя> — SNCимя запускаемой программы SAProuter.

4.7.2 Настройка таблицы разрешений маршрутов

В таблице разрешений маршрутов существует два типа SNCзаписей:

1. KT-записи — определяют, какие из соединений SAProuter → SAProuter,должны быть защищены с помощью SNC.

2. KP-, KD- и KS-записи — определяют, разрешено или запрещено соеди-нение, защищенное с помощью SNC, с тем или иным узлом. Записиподобны P-, D- и S-записям, применяемым для обычных соединений.

4.7.2.1 KT-запись

Для того, чтобы SAProuter инициировал защищенное, с помощью SNC,соединение вам необходимо ввести KT-запись, которая имеет следующий син-таксис:

KT <SNC-имя партнера> <хост партнера> <порт партнера>

Здесь:

• <SNC-имя партнера> — SNC-имя партнера по взаимодействию.

• <хост партнера> — имя или IP-адрес хоста партнера по взаимодействию.

• <порт партнера> — имя службы или номер порта на котором слушаетпартнер по взаимодействию.

Вы не должны использовать групповой символ «*» поскольку SNC-имяоднозначно определяет партнера.

Для того, чтобы избежать ошибок, KT-записи необходимо расположитьперед обычными P-, D-, S-записями.


4.7.2.2 KP-, KD- и KS-записи

Для SNC-соединений вам необходимо использовать вместо обычных P-,D-, S-записей, записи KP-, KD-, KS- соответственно. Последние имеет тот жесмысл, что и обычные записи, но вместо имени или IP-адреса хоста иници-атора взаимодействия указывается его SNC-имя. Таким образом, эти записиимеют следующий вид:

K<D/P/S> "<SNC-имя инициатора>" <хост назначения><порт назначения> <пароль>

SAProuter установит (KP-, KS-) или запретит (KD-) соединение, если ат-рибуты входящего запроса на соединение будут соответствовать записи в таб-лице разрешений маршрутов.

4.7.3 Уровень защиты

При использовании SNC-защиты в сценарии SAProuter → SAProuter все-гда используется максимально доступный уровень защиты.

4.7.4 Пример конфигурации с SNC

Необходимо настроить соединение, защищенное с помощью SNC, междудвумя узлами SAProuter. Инициатор располагается на хосте host1, акцепторна хосте host2. Акцептор должен разрешать соединения, которые направле-ны к диспетчеру или шлюзу сервера приложений SAP-системы расположен-ного на хосте mysapcom с номером 00.

SNC-имя инициатора:

p:CN=sr1, OU=IT, O=HOME, C=RU

SNC-имя акцептора:

p:CN=sr2, OU=IT, O=HOME, C=RU

Таблица разрешений маршрутов инициатора содержит следующие записи:

# Использовать SNC для всех соединений к host2KT "p:CN=sr1, OU=IT, O=HOME, C=RU" host2 *# Принимать все соединенияP * * *

4.7. Настройка SNC: SAProuter → SAProuter 87

Таблица разрешений маршрутов акцептора содержит следующие записи:

# Принимать входящие соединения от sr1# к хосту mysapcom на порт sapdp00KP "p:CN=sr1, OU=IT, O=HOME, C=RU" mysapcom sapdp00# Принимать входящие соединения от sr1# к хосту mysapcom на порт sapgw00KP "p:CN=sr1, OU=IT, O=HOME, C=RU" mysapcom sapgw00

Для запуска инициатора используйте команду:

saprouter -r -K "p:CN=sr1, OU=IT, O=HOME, C=RU"

Для запуска акцептора используйте команду:

saprouter -r -K "p:CN=sr2, OU=IT, O=HOME, C=RU"


4.8 Настройка SNC: ITS → SAP-система

Начиная с версии 4.5B появилась возможность применения SNC-защитыво взаимодействиях между SAP ITS компонентами (WGate и AGate) и SAP-системой.

Каналы связи, которые защищаются с помощью SNC, показаны на рисун-ке 4.11.

Рис. 4.11. Возможные SNC-взаимодействия в ITS.

При использовании SNC для SAP ITS возможны два сценария защиты:

• защита взаимодействия WGate → AGate

• защита взаимодействия AGate → сервер приложений

Таким образом, компонента AGate может одновременно быть акцепторомвзаимодействия с WGate и инициатором взаимодействия с сервером приложе-ний SAP-системы.

4.8.1 Инициатор (ITS WGate)

Для того, чтобы канал связи между WGate и AGate был защищен с по-мощью SNC, вам необходимо установить SNC-опции, перечисленные ниже иперезапустить WEB-сервер. Для проверки работоспособности сделанных на-строек используйте файл протокола работы WGate.trc.

Все параметры, за исключением параметра SNC_LIB, определяются в ре-естре Win32-хоста. Возможны два пути:

4.8. Настройка SNC: ITS → SAP-система 89

• HKLM\SOFTWARE\SAP\its\2.0\<инстанция ITS>\Programs\Connects

• HKLM\SOFTWARE\SAP\its\2.0\<инстанция ITS>\Programs\WGate\environment

Здесь <инстанция ITS> — имя инстанции WGate.Параметр SNC_LIB может быть определен как в реестре, так и с помощью

переменной окружения.Начиная с версии SAP ITS 4.6D появилась возможность определять пара-

метры WGate в конфигурационном файле wgate.conf.

4.8.1.1 SNC_LIB




• Способ задания — реестр или переменная окружения.

4.8.1.2 Type

Метод взаимодействия.

• Описание — параметр определяет метод взаимодействия между компо-нентами WGate и AGate. Для того, чтобы взаимодействие было защи-щено с помощью SNC, необходимо установить значение параметра в «2»(NI-SNC).

• Возможные значения — «0»: Sockets; «1»: SAP NI; «2»: SAP NI-SNC.

• Способ задания — реестр, файл wgate.conf.

4.8.1.3 SncNameAGate

SNC-имя инстанции AGate.

• Описание — параметр определяет SNC-имя инстанции AGate.




4.8.1.4 SncNameWGate

SNC-имя инстанции WGate.

• Описание — параметр определяет SNC-имя инстанции WGate.



4.8.2 Акцептор (ITS AGate)

Для того, чтобы канал связи между WGate и AGate был защищен спомощью SNC, вам необходимо установить SNC-опции, перечисленные ни-же и перезапустить службу ITS Manager. Для проверки работоспособно-сти сделанных настроек используйте файлы протокола работы AGate.trcи Mmanager.trc.

Все параметры, за исключением параметра SNC_LIB, определяются в ре-естре Win32-хоста. Возможны два пути:

• HKLM\SOFTWARE\SAP\its\2.0\<инстанция ITS>\Programs\Connects

• HKLM\SOFTWARE\SAP\its\2.0\<инстанция ITS>\Programs\AGate\environment

Здесь <инстанция ITS> — имя инстанции AGate.Параметр SNC_LIB может быть определен как в реестре, так и с помощью

переменной окружения.

4.8.2.1 SNC_LIB




• Способ задания — реестр или переменная окружения.


4.8.2.2 Type

Метод взаимодействия.

• Описание — параметр определяет метод взаимодействия между компо-нентами WGate и AGate. Для того, чтобы взаимодействие было защи-щено с помощью SNC, необходимо установить значение параметра в «2»(NI-SNC).

• Возможные значения — «0»: Sockets; «1»: SAP NI; «2»: SAP NI-SNC.

• Способ задания — реестр.

4.8.2.3 SncNameAGate


• Описание — параметр определяет SNC-имя инстанции AGate.



4.8.2.4 SncNameWGate

SNC-имя инстанции WGate.

• Описание — параметр определяет SNC-имя инстанции WGate.



4.8.3 Инициатор (ITS AGate)

Для того, чтобы канал связи между AGate и сервером приложений былзащищен с помощью SNC, вам необходимо установить SNC-опции в сервис-ных файлах AGate. Опции могут быть определены глобально — в сервисномфайле инстанции global.srvc и локально — в сервисном файле отдель-ной прикладной Интернет-компоненты (Internet Application Component, IAC).Локальные опции имеют приоритет над глобальными опциями.


4.8.3.1 ˜sncNameAGate


• Описание — параметр определяет SNC-имя инстанции AGate. Параметрявляется опциональным. Если параметр не определен, используется тоже SNC-имя, что и для связи с WGate (параметр SncNameAGate).


• Способ задания — сервисный файл инстанции или сервисный файл от-дельного IAC.

4.8.3.2 ˜sncNameR3

Имя сервера приложений.

• Описание — параметр определяет имя сервера приложений SAP-систе-мы. Этот параметр активирует SNC для защиты взаимодействия междуAGate и сервером приложений.



4.8.3.3 ˜sncQoPR3

Уровень защиты SNC-взаимодействия.

• Описание — параметр определяет уровень защиты SNC-взаимодействиямежду AGate и сервером приложений SAP-системы.

• Возможные значения — «1»: простая аутентификация; «2»: обеспечениецелостности; «3»: обеспечение конфиденциальности; «9»: использованиезначения, установленного в параметре snc/data_protection/max сервераприложений.




Для того, чтобы канал связи между AGate и сервером приложений SAP-системы был защищен с помощью SNC, вам необходимо активировать SNCна сервере приложений. SNC-параметры сервера приложений SAP-системыописаны в разделе 3.2: Установка параметров профайла сервера приложений.

Вам необходимо внести запись об инстанции AGate в системный ACLSAP-системы. Для этого используйте транзакцию SM30 и представлениеVSNCSYSACL (тип «E»):

1. Введите в поле SNC name SNC-имя инстанции AGate. Поле System IDв данном случае является опциональным и может использоваться дляповышения наглядности настройки.

2. Активируйте флаги Entry for RFC activated и Entry for CPIC activated .

Если вы используете WebRFC, создайте родовую запись в расширенномпользовательском ACL (таблица USRACLEXT). Подробности ведения данногоACL приведены в разделе 3.6.2: SNC-информация специальных пользователей:

1. Укажите «*» в поле User.

2. В поле SNC name введите SNC-имя Agate.


4.9 Прикладной программный интерфейс для язы-ка C

Компанией SAP поставляются две библиотеки для создания внешних про-грамм на языке C: CPIC-библиотека и RFC-библиотека.

4.9.1 Прикладной программный интерфейс CPIC


4.9.2 Прикладной программный интерфейс RFC

SNC-конфигурация для внешней RFC-программы инициатора соединенияразмещается в файле saprfc.ini . Для серверных RFC-программ параметрыSNC передаются клиентом (смотрите разделы 4.4.6, 4.4.7, 4.4.8, 4.4.9).

Имеется возможность задания SNC-параметров при вызове функции от-крытия RFC-соединения: RfcOpenEx.

В таблице 4.1 перечислены функции RFC-интерфейса, относящиеся к SNC.

Функция Описание

RfcOpenEx Открыть RFC-соединение

RfcSncMode Получить флаг активности SNC

RfcSncPartnerName Получить текстовый вид SNC-имени партнера

RfcSncPartnerAclKey Получить канонический вид SNC-имени партнера

RfcSncNameToAclKey Текстовый вид SNC-имени → канонический вид

RfcSncAclKeyToName Канонический вид SNC-имени → текстовый вид

Таблица 4.1. Функции RFC API, относящиеся к SNC.

Более подробную информацию смотрите в руководстве комплекта разра-ботчика RFC (RFC SDK), файл saprfc.hlp.

Приложение A

SNC-таблицы

Ниже перечислены таблицы в которых хранится информация, относящаясяк SNC.

Таблица Описание

USRACL Таблица содержит SNC-имена, присвоенные пользователямSAP-системы. Система проверяет записи в этой таблице вся-кий раз, когда выполняется попытка регистрации в систему сиспользованием SNC (с помощью SAPgui или внешней CPIC-или RFC-программы).

USRACLEXT Таблица содержит дополнительные SNC-имена, присвоенныепользователям SAP-системы. Она используется в первую оче-редь для недиалоговых пользователей (CPIC- или RFC-пользо-вателей). Система проверяет записи в этой таблице всякий раз,когда выполняется попытка регистрации в систему с использо-ванием SNC внешней CPIC- или RFC-программой.

SNCSYSACL Таблица содержит SNC-имена серверов приложений входящиезащищенные, с помощью SNC, соединения с которыми прини-маются.

Таблица A.1. Таблицы, используемые для входящих соединений.

96 Приложение A. SNC-таблицы

Таблица Описание

RFCDES Таблица содержит параметры соединения RFC-адресата, в томчисле — индикатор использования SNC для защиты соединения.

RFCDESSECU Таблица содержит дополнительную SNC-информацию RFC-ад-ресата.

TXCOM Таблица содержит параметры соединения CPIC-адресата, в томчисле — индикатор использования SNC для защиты соединения.

TXCOMSECU Таблица содержит дополнительную SNC-информацию CPIC-ад-ресата.

Таблица A.2. Таблицы, используемые для исходящих соединений.

Приложение B

SNC-отчеты

Ниже перечислены отчеты для ведения SNC-информации, доступные вSAP-системе.

Отчет Описание

RSSNCCHK Обновить каноническое SNC-имя

RSSNC40A Конвертировать SNC-имена из таблицы USR15 версии 3.1 в таб-лицу USRACL версии 4.0.

RSSNCSRV Вывести SNC-статус серверов приложений

RSUSR300 Автоматически построить SNC-имена пользователей системы

RSUSR402 Сформировать файл с информацией о пользователях для ис-пользования внешним продуктом безопасности

Таблица B.1. Отчеты для ведения SNC-информации.

98 Приложение B. SNC-отчеты

Приложение C

Замечания к версиям 3.1G/H и4.0A

В версиях 3.1G/H и 4.0A существуют некоторые отличия в обработке уров-ня защиты по сравнению с последующими версиями. Ниже дано описаниеэтих отличий.

C.1 Параметр профайла snc/data_protection/max

В указанных версиях параметр snc/data_protection/max задает максималь-но допустимый уровень защиты. Если требуется использовать более высокийуровень защиты, возникает ошибка SNCERR_OVERSECURE и соединениепрерывается.

C.2 Допустимые значения

Минимально допустимым значением параметров snc/data_protection/min,snc/data_protection/use и snc/data_protection/max является «2». Если любомуиз этих параметров присвоено значение «1», то значение автоматически уста-навливается в «2». Значение «1» используется только в тех случаях, когдапродукт обеспечения безопасности не поддерживает более высокого уровнязащиты.

100 Приложение C. Замечания к версиям 3.1G/H и 4.0A

Литература

[1] Страница SAP ICC и, в частности, описание интерфейса BC-SNC.

• http://www.sap.com/partners/icc/

• http://www.sap.com/partners/icc/scenarios/technology/bc-snc.asp

[2] Библиотека SAP: Printing Guide

• SAP R/3 4.6C: Basis Components → Computing Center ManagementSystem → SAP Printing Guide

[3] Библиотека SAP: SAProuter

• SAP R/3 4.6C: Basis Components → Client/Server Technology →SAProuter

[4] Библиотека SAP: Internet Transaction Server

• SAP R/3 4.6C: Basis Components → Frontend Services → ITS /SAP@Web Studio

[5] Библиотека SAP: RFC API

• SAP R/3 4.6C: Basis Components → Communication Interfaces→Remote Communications

[6] «Нота» 66687: Use of network security products.

[7] «Нота» 149646: During maintenance with RZ10 SNC profile parameterwarning.

[8] «Нота» 184277: Length Limitation of SNC-Names.

http://www.sap.com/partners/icc/

http://www.sap.com/partners/icc/scenarios/technology/bc-snc.asp

http://www.sap.com/partners/icc/scenarios/technology/bc-snc.asp

http://service.sap.com/~form/handler?_APP=01100107900000000342&_EVENT=DISPL_TXT&_NNUM=66687&_NLANG=E



102 ЛИТЕРАТУРА

[9] «Нота» 379081: Optional deactivation of the password logon.

[10] «Нота» 396983: EM/MAX SIZE MB not maintainable in RZ10 and RZ11.

[11] «Нота» 625823: SNC connections may block work processes for a longtime.

[12] «Нота» 667470: snc/force login screen = 1 shows no impact.





Предметный указатель

AGate.trc, 90

global.srvc, 91GSS-API V2, 13, 16, 17, 28

Mmanager.trc, 90

sapdp<nn>, 22sapgw<nn>, 23, 39sapgw<nn>s, 23, 39saplpd.ini, 78, 82sapms<SAPSID>, 54saprfc.hlp, 94saprfc.ini, 57, 94SNC-имя, 14–15SNC_LIB, 13, 21SNC_MODE, 21SNC_MYNAME, 21SNC_PARTNERNAME, 21SNC_QOP, 21SNCERR_INIT, 28SNCERR_OVERSECURE, 99

wgate.conf, 89WGate.trc, 88win.ini, 78, 82

Аутентификация, 10

Внешнее имя, 14Внешняя библиотека, 13

ИменаSNC, 14–15X.500, 18внешнее, 14

каноническое, 15

Каноническое имя, 15Коды ошибок

SNCERR_INIT, 28SNCERR_OVERSECURE, 99

Конфиденциальность, 10–11

Мандат безопасности, 13–14

ОтчетыRSSNC40A, 97RSSNCCHK, 43, 97RSSNCSRV, 25, 97RSUSR300, 19, 97RSUSR402, 43, 97

ПараметрыCPICGWSERV, 62SNC_LIB, 61SNC_MODE, 61SNC_MYNAME, 62SNC_PARTNERNAME, 61SNC_QOP, 62

ITS AGate˜sncNameAGate, 92˜sncNameR3, 92˜sncQoPR3, 92SNC_LIB, 90SncNameAGate, 91SncNameWGate, 91Type, 91

ITS WGateSNC_LIB, 88–89

104 ПРЕДМЕТНЫЙ УКАЗАТЕЛЬ

SncNameAGate, 89SncNameWGate, 90Type, 89

RFCSNC_LIB, 58SNC_MODE, 58SNC_MYNAME, 59SNC_PARTNERNAME, 57SNC_QOP, 58

SAP ShortcutsSNC_NAME, 56

SAPguiSNC_LIB, 52, 74SNC_MODE, 53SNC_PARTNERNAME, 52–53SNC_QOP, 53

SAPlpdenable, 80gssapi_lib, 78–79identity/lpd, 81

SAProuterKD-запись, 85–86KP-запись, 85–86KS-запись, 85–86KT-запись, 85

сервер приложенийlogin/disable_password_logon, 38login/disable_password_logon, 27,37–38

login/password_logon_usergroup, 27,38

rdisp/maximum_snc_hold_time, 27,37

snc/accept_insecure_cpic, 26, 27,33

snc/accept_insecure_gui, 37, 46snc/permit_insecure_comm, 32–33snc/accept_insecure_gui, 22, 26, 27,34

snc/accept_insecure_r3int_rfc, 27,32, 35

snc/accept_insecure_rfc, 26, 27, 32,35–36

snc/data_protection/max, 27, 29–32, 65, 66, 92, 99

snc/data_protection/min, 27, 30–32, 65, 99

snc/data_protection/use, 27, 30–32, 65, 99

snc/enable, 26–28snc/force_login_screen, 27, 36–37,46, 49

snc/gssapi_lib, 26–29, 72snc/identity/as, 26–29snc/permit_insecure_comm, 27snc/permit_insecure_gui, 27, 34snc/permit_insecure_start, 27, 36,40

snc/r3int_rfc_qop, 27, 32, 71snc/r3int_rfc_secure, 22, 27, 31–32, 35, 71, 75, 76

snc/user_maint, 27–28шлюзgw/rem_start, 40gw/remsh, 40snc/permit_insecure_comm, 39snc/enable, 39, 73snc/gssapi_lib, 39, 73snc/permit_insecure_start, 39–40,73

Порты48<nn>, 23sapdp<nn>, 22sapgw<nn>, 23, 39sapgw<nn>s, 23, 39sapms<SAPSID>, 54SAProuter, 22

Список контроля доступа (ACL)пользовательский, 41–42, 44, 47–

49, 93системный, 42, 44, 68, 93

Таблицы

ПРЕДМЕТНЫЙ УКАЗАТЕЛЬ 105

RFCDES, 76, 96RFCDESSECU, 64, 96SNCSYSACL, 69–71, 95TXCOM, 96TXCOMSECU, 43, 96USR15, 97USRACL, 41, 44, 47, 95, 97USRACLEXT, 41, 44, 48, 59, 60,

93, 95VSNCSYSACL, 42, 44, 93

ТранзакцииRZ10, 26SM30RFCDESSECU, 43, 64TXCOMSECU, 43USRACL, 41, 44, 47USRACLEXT, 41, 44, 48VSNCSYSACL, 42, 44, 93

SM51, 75SM54, 43SM59, 42, 64–68, 71–74SNC0, 42, 44, 68SO70SIMG_BCSNC, 41

SPAD, 42, 78, 81SPRO, 40SU01, 28, 38, 41, 46, 48SUIM, 42

Уровень защиты, 10, 15Уровни защиты

аутентификация, 10конфиденциальность, 10–11целостность, 10

ФайлыAGate.trc, 90global.srvc, 91Mmanager.trc, 90saplpd.ini, 78, 82saprfc.hlp, 94saprfc.ini, 57, 94wgate.conf, 89

WGate.trc, 88win.ini, 78, 82

Целостность, 10

Руководство пользователя SNC | Инициатор (SAP …mprusov.narod.ru/sap/snc/sncuserguide-ru.pdf · О документе Данный документ

Documents