コンテンツエリア開始

Function documentation SAP メッセージサーバのセキュリティ設定 Locate the document in its SAP Library structure

用途

以下の設定により、SAP メッセージサーバ稼動時のセキュリティを強化することができます。

以下を設定できます。

      監視プログラム msmon などの外部モニタがメッセージサーバに接続できるかどうか。

      メッセージサーバがブラウザを使用して管理できるかどうか、およびその方法。

      メッセージサーバに使用する ACL リスト。

機能

プロファイルパラメータによる管理

ms/monitor

パラメータ ms/monitor で、アプリケーションサーバがメッセージサーバの内部メモリを変更または削除できるように設定できます。これにより、外部監視プログラム msmon のアクセスが制限されます。このパラメータの有効な値は以下のとおりです。

      0: アプリケーションサーバのみがメッセージサーバの内部メモリを変更でき、監視機能を実行できます (デフォルト)

      1: 外部 (監視) プログラムでも上記の処理を実行できます。

ms/admin_port

パラメータ ms/admin_port = <nr>      (デフォルト: 0) では、管理のためにメッセージサーバの TCP ポートの開閉が可能です。外部クライアントは、このポートを介してメッセージサーバに接続し、メッセージサーバで管理タスクを実行することができます。デフォルトでは、外部プログラムによる管理は無効化されています (ms/monitor=0)。個別のプログラムに対してこれを有効にするために、特別な管理ポートを開くことができます。このポートを介してメッセージサーバにログオンするクライアントは、すべての管理タスクを実行できます。

このパラメータは、動的に変更可能です。値を 0 以下に設定すると、管理ポートが再び閉じられます。管理者権限がある場合は、パラメータの一覧にこのパラメータが表示されます。

本稼動中に管理ポートの開閉および変更を実行するには、メッセージサーバモニタでジャンプ セキュリティ設定 管理ポートを選択します(トランザクションSMMS)

個別の内部および外部MS 通信

メッセージサーバを装う不正なクライアントがアプリケーションサーバになりすますことを回避するには、パラメータ rdisp/msserv_internal = <no.> (デフォルト 0) を使用します。

内部通信に対して、外部通信用とは別の、外部クライアントからは読込専用アクセスのみ可能なデータチャネルを使用します。

メッセージサーバは、ポートsapms<SID> (rdisp/msserv) に加えて、アプリケーションサーバとの内部通信に使用される別のポート <no.> を開きます。このポートは、アプリケーションサーバへのログオンに使用される必要があります。通常のポートsapms<SID> を使用してログオンするクライアントは、アクセスを拒否されます (MSEACCESSDENIED)

このパラメータを使用する場合は、セントラルシステムでこれを定義し、すべてのアプリケーションサーバ上で同じ値を指定する必要があります。

通常のsapms<SID> ポートはクエリ用に使用できます。負荷分散機能、およびアプリケーションサーバ一覧およびログオングループの取得は影響を受けません。

アクセスコントロールリスト(ACL)

パラメータ ms/acl_info を使用して、メッセージサーバへのアクセス権限のあるファイルを指定できます。このファイルが存在する場合は、アプリケーションサーバがメッセージサーバにログオンできるためのすべてのホスト名、ドメイン、IP アドレス、サブネットワークマスクがファイルに含まれる必要があります。

ホスト名はリストに入力することも、別の行に書き込むこともできます。

このファイルは、メッセージサーバから情報の取得だけを必要とする外部クライアントには影響しません。これはどのような場合でも可能です。

エントリには、以下の構文が必要です。

Syntax documentation

HOST=[*| ip-adr | hostname | subnetwork mask | domain ] [, ...]

ファイルはオペレーティングシステムレベルで登録できます。登録後、メッセージサーバモニタ (SMMS) でファイルの表示とリロードができます。このために、ジャンプ セキュリティ設定 アクセス制御を選択します。

Example

HOST = sapapp1, sappapp2 は、ホスト sapapp1 sapapp2 からのログオンだけが許可されることを意味します。

HOST = *.sap.com は、ドメイン sap.com のすべてのホスト名が許可されることを意味します。

HOST = 157.23.45.56, 157.23.45.57 は、これらの IP アドレスを持つホストだけが許可されることを意味します。

HOST = 157.23.45.* は、このサブネットワークのすべてのホストが許可されることを意味します。

 

 

 

 

 

コンテンツエリア終了