Select language:

Sicherheitseinstellungen für den SAP Message-Server

Verwendung

Als zentrale Kommunikationskomponente im Netzwerk eines SAP-Systems sollte der Message-Server gegen unerwünschte Zugriffe von außen geschützt sein.

Die folgenden Einstellungen können Sie vornehmen, um die Sicherheit beim Betrieb des SAP Message-Servers zu erhöhen.

  • Trennung zwischen interner und externer Message-Server-Kommunikation

  • Zugriffskontrollliste (ACL) für Applikationsserver

  • Zugriffskontrollliste (ACL) für Netzwerkverbindungen

  • Administration über Profilparameter

Für weitere Hinweise siehe Hinweis 821875 Auf SAP-Site veröffentlichte Informationen

Funktionsumfang

Trennung zwischen interner und externer MS-Kommunikation

Um zu verhindern, dass sich ungewollte Clients beim Message-Server als Applikationsserver ausgeben, sollten Sie den Parameter rdisp/msserv_internal = <nr> verwenden. Der Wert 0 (Standardeinstellung) bedeutet, dass kein eigener Port für die interne Kommunikation verwendet wird.

Für die interne Kommunikation wird dann ein anderer Datenkanal verwendet als für die externe Kommunikation, bei der die externen Clients nur lesend auf die Informationen zugreifen können.

Der Message-Server öffnet zu seinem Port sapms<SID> ( rdisp/msserv) noch einen zusätzlichen Port <nr>, der nur für die interne Kommunikation mit den Applikationsservern benutzt wird. Die Anmeldung eines Applikationsservers muss ebenfalls über diesen Port erfolgen. Applikationsserver, die sich über den 'normalen' Port sapms<SID> anmelden, werden abgelehnt ( MSEACCESSDENIED).

Achtung

Wenn Sie diesen Parameter verwenden wollen, müssen Sie ihn zentral definieren; er muss auf allen Applikationsservern den gleichen Wert haben.

Über den normalen sapms<SID>-Port können dann nur noch Abfragen durchgeführt werden. Die Funktionalität der Lastverteilung und das Holen der Applikationsserverlisten und Anmeldegruppen bleibt davon unberührt.

Zugriffskontrollliste (ACL) für Applikationsserver

Über den Parameter ms/acl_info spezifizieren Sie eine Datei mit Zugriffsberechtigungen für den Message-Server. Falls diese Datei existiert, müssen hier alle Rechnernamen, Domänen, IP-Adressen und/oder Subnetzmasken aufgeführt werden, von denen sich Applikationsserver am Message-Server anmelden dürfen.

Die Namen können entweder aufgelistet werden oder jeweils in eine eigene Zeile geschrieben werden.

Diese Datei hat keine Auswirkung auf externe Clients, die sich nur Informationen vom Message-Server holen möchten. Das ist in jedem Fall möglich.

Die Einträge müssen dabei folgender Syntax genügen:

HOST=[* | ip-adr | hostname | Subnetz-Maske | Domäne ] [, . . .]

Die Datei legen Sie auf Betriebssystemebene an. Im Message-Server-Monitor ( SMMS) können Sie dann die Datei anzeigen und nachladen. Wählen Sie dazu Anfang des Navigationspfads Springen Nächster Navigationsschritt Sicherheitseinstellungen Nächster Navigationsschritt Zugriffskontrolle Ende des Navigationspfads.

Beispiel

HOST = sapapp1, sappapp2 bedeutet: nur Anmeldungen von den Rechnern sapapp1 und sapapp2 sind erlaubt.

HOST = *.sap.com bedeutet: alle Rechner aus der Domäne sap.com sind erlaubt.

HOST = 157.23.45.56, 157.23.45.57 bedeutet: nur Rechner mit diesen IP-Adressen sind erlaubt.

HOST = 157.23.45.* bedeutet: alle Rechner aus diesem Subnetz sind erlaubt.

Zugriffskontrollliste (ACL) für Netzwerkverbindungen

Sie können über eine ACL-Datei (Access Control List, Zugriffskontrollliste) steuern, welche Rechner eine Verbindung zum Message-Server öffnen dürfen. Für jeden Port des Message-Servers kann eine eigene ACL-Datei verwendet werden.

Möchten Sie die Syntax der ACL-Datei ansehen, so finden Sie unter Weitere Information einen entsprechenden Link.

Sie verwenden die folgenden Profilparameter für die verschiedenen Ports des Message-Servers.

Parameter

Port

ms/acl_file_admin

Administrationsport des Message-Servers, der mit dem Parameter ms/admin_port gesetzt wird (s.o.).

ms/acl_file_ext

Externer Port des Message-Servers, den alle Clients verwenden können. Der Port wird mit dem Parameter rdisp/msserv gesetzt.

ms/acl_file_extbnd

Portnummer, unter der sich ein externes Bindeprogramm ( icmbnd) anmelden muss, um einen Port zu binden. Der Port wird mit dem Parameter rdisp/extbnd_port gesetzt.

ms/acl_file_int

Externer Port des Message-Servers, der mit dem Parameter rdisp/msserv_internal (s.o.) gesetzt wird.

ms/server_port_<xx>

Hiermit spezifizieren Sie die Ports des Message-Servers, bei denen HTTP(S)-Anfragen eintreffen können.

Die Zeichenkette gehorcht folgender Syntax:

PROT= <Protokollname>, PORT= <Port oder Servicename>[,TIMEOUT= <timeout>, PROCTIMEOUT= <proctimeout>, EXTBIND=1, HOST= <Rechnername>, SSLCONFIG=ssl_config_<xx>, VCLIENT= <SSL Client Verifikation>, ACLFILE= <ACL-Datei>]

Die Option ACLFILE gibt die Datei an, die als Zugriffskontrollliste verwendet wird (ACL = Access Control List). Wenn der Profilparameter gesetzt ist, muss die Datei existieren und syntaktisch korrekt sein.

Anders als beim Parameter icm/server_port_<xx> werden folgende Optionen ignoriert:

  • KEEPALIVE

  • VCLIENT

  • TIMEOUT

Weiterhin werden nur die Protokolle HTTP und HTTPS akzeptiert, alle anderen Protokolle erzeugen eine Fehlermeldung.

Der Parameter ersetzt die früher verwendeten Parameter ms/http_port und ms/https_port.

Verwenden Sie diese nicht mehr für den Message-Sever! Diese Parameter werden nur noch vom SAP Web Dispatcher benötigt.

Administration über Profilparameter

ms/monitor

Mit dem Parameter ms/monitor können Sie einstellen, dass nur Applikationsserver den internen Zustand des Message-Servers modifizieren können. Das externe Überwachungsprogramm msmon hat dann nur noch eingeschränkten Zugriff. Der Parameter kann folgende Werte annehmen.

  • 0: nur Applikationsserver dürfen internen Speicher des Message-Servers ändern und Monitorfunktionen ausführen (Default-Wert)

  • 1: auch externe (Überwachungs-)Programme dürfen das

ms/admin_port

Mit dem Parameter ms/admin_port = <nr> (Default-Wert = 0) können Sie TCP-Ports des Message-Servers zur Administration öffnen und schließen. Ein externer Client kann sich über diesen Port mit dem Message-Server verbinden, um den Message-Server zu administrieren. Standardmäßig ist die Administration von externen Programmen deaktiviert ( ms/monitor = 0). Um dies für einzelne Programme zu ermöglichen, kann ein spezieller Port für die Administration geöffnet werden. Clients, die sich über diesen Port beim Message-Server anmelden, dürfen alle Administrationsaufgaben durchführen.

Der Parameter kann dynamisch geändert werden, ein Wert kleiner oder gleich 0 schließt den Admin-Port wieder. Diesen Parameter sehen Sie nur in der Liste der Parameter, wenn Sie Administratorberechtigung haben.

Um den Admin-Port im laufenden Betrieb zu öffnen, ändern oder schließen, wählen Sie im Message-Server-Monitor (Transaktion SMMS) Anfang des Navigationspfads Springen Nächster Navigationsschritt Sicherheitseinstellungen Nächster Navigationsschritt Admin-Port. Ende des Navigationspfads