Show TOC

VorgehensweiseLog-Datei auswerten Dieses Dokument in der Navigationsstruktur finden

 

Um optimale Sicherheitseinstellengen für das Gateway vorzunehmen, empfehlen wir, das Gateway-Logging einige Zeit laufen zu lassen und die erzeugte Log-Datei als Grundlage zu nehmen.

Nach Auswertung der Log-Datei können Sie die Konfiguration Ihren Erfordernissen anpassen.

Voraussetzungen

Sie haben die vorausgehenden Schritte im Abschnitt Sicherheitseinstellungen für externe Programme einrichten durchgeführt.

Vorgehensweise

  1. Sehen Sie sich den Inhalt der Datei an. Sie können mit der Transaktion SMGW unter   Springen   Expertenfunktionen   Logging   den Inhalt der Datei anzeigen oder lokal speichern.

    Da in der secinfo und reginfo alles erlaubt ist, sehen Sie nur Einträge mit reginfo accepted und secinfo accepted.

    Bei secinfo accepted wurde gegen die Einträge in der Datei secinfo geprüft.

    Bei reginfo accepted wurde gegen die Einträge in der Datei reginfo geprüft.

    Beispiel-Ausschnitt aus einer Log-Datei

    S Wed Aug 01 2007 10:36:52:181 reginfo accepted server: TP=IGS.WDFD00146227A, HOST=WDFD00146227A

    S Wed Aug 01 2007 10:37:57:183 reginfo accepted server: TP=IGS.WDFD00146227A, HOST=WDFD00146227A

    S Wed Aug 01 2007 10:39:02:185 reginfo accepted server: TP=IGS.WDFD00146227A, HOST=WDFD00146227A

    S Wed Aug 01 2007 10:39:05:740 secinfo accepted: USER=MUSTER, USER-HOST=host1.wdf.sap.corp, HOST=ld8061.wdf.sap.corp, TP=gnetx.exe

    S Wed Aug 01 2007 10:39:48:577 secinfo accepted: USER=MUSTER, USER-HOST=host1.wdf.sap.corp, HOST=ld8061.wdf.sap.corp, TP=/usr/sap/BIN/SYS/exe/run/tp

  2. Ermitteln Sie die Einträge für die secinfo-Datei.

    Die secinfo-Einträge enthalten immer die folgende Bestandteile

    • USER=<name>: Benutzer, der das externe Programm starten möchte

    • USER-HOST=<userhost>: Rechnername, von dem aus das Gateway beauftragt wurde das Programm zu starten (beim Start aus dem System heraus ist das immer der Rechnername des Applikation Servers)

    • HOST=<host>: Rechner, auf dem das Programm angestartet wird

    • TP=<program name>: Programmname

    Sie könnten nun einfach alle doppelten Einträge aus der Log-Datei filtern und die verbleibenden Einträge in die secinfo-Datei schreiben. Damit wären alle Programme, so wie sie in der Umgebung abliefen, erlaubt.

    Falls es sich um viele Programme handelt, fassen Sie Einträge mit entsprechenden Wildcards zusammen, um die secinfo übersichtlicher zu gestalten.

    Beispiel Beispiel

    Beispieleinträge für die secinfo-Datei

    TP=/usr/sap/BIN/SYS/exe/run/* erlaubt den Start aller im Executable-Verzeichnis des Servers

    HOST=* erlaubt das Anstarten auf beliebigen Rechnern. Denkbar ist hier auch die Einschränkung auf Subnetz-Masken oder Domain-Namen, z.B. 10.66.66.* oder *.sap.corp

    USER=* erlaubt die Benutzung des externen Programms für alle Benutzer

    Ende des Beispiels.

    Achtung Achtung

    Bei Programmen, die über SAPGUI angestartet werden, kann das Gateway nicht prüfen ob dieses SAPGUI erlaubt ist. Es wird zur Prüfung die IP-Adresse des Applikationsservers genommen (siehe nächste Zeile)

    S Wed Aug 01 2007 10:39:05:740 secinfo accepted: USER=MUSTER, USER-HOST=host1.wdf.sap.corp, HOST=host1.wdf.sap.corp, TP=gnetx.exe .

    Ende der Warnung.

    Weitere Informationen: Startberechtigungen für externe Programme erteilen

  3. Ermitteln Sie die Einträge für die reginfo-Datei.

    Die reginfo-Einträge enthalten immer die folgende Bestandteile

    • TP=<regi id>: Registrierungs-ID des Server-Programms, das sich registriert

    • HOST=<host>: Rechner, von dem sich der Server anmeldet

    Sie könnten nun einfach alle doppelten Einträge aus der Log-Datei filtern und die verbleibenden Einträge in die reginfo-Datei schreiben. Damit können sich alle Programme, so wie sie in der Umgebung abliefen, registrieren.

    Falls es sich um viele Programme handelt, fassen Sie Einträge mit entsprechenden Wildcards zusammen, um die reginfo übersichtlicher zu gestalten.

    Beispiel Beispiel

    Beispieleinträge für die reginfo-Datei

    TP= IGS.WDFD00146227A HOST=* erlaubt das Registrieren von IGS.WDFD00146227A von jedem Rechner aus.

    TP=Bex* HOST=*sap.corp erlaubt Programmen mit der Registrierungs-ID Bex*, sich zu registrieren, sofern sie von Hosts aus dem SAP-Netzwerk kommen.

    Ende des Beispiels.

    Hinweis Hinweis

    Falls Sie den Zugriff auf den registrierten Server, z.B. nur vom lokalen Applikationsserver, erlauben möchten, müssen Sie den Zusatz ACCESS=local hinzufügen. Entsprechend benötigen Sie den Zusatz CANCEL=local, um den Server aus der Transaktion SMGW zu beenden,

    Ende des Hinweises

Weitere Informationen

Zugriffskontrolle für registrierte Programme

reginfo-Datei pflegen