Um Single Sign-On (SSO) mit Microsoft Kerberos einzurichten, müssen Sie das primäre Instanzprofil des Anwendungsservers modifizieren und sicherstellen, dass sich die SNC-Bibliothek im Windows-Verzeichnis befindet.
Sie haben einen Service-Principal-Namen (SPN) für SAP NetWeaver Application Server (SAP NetWeaver AS) mit dem Domain Controller registriert.
Geben Sie beispielsweise folgenden Befehl ein:
setspn -A SAPServiceSID/do_not_care SAPServiceSID
...
1. Ermitteln Sie, welche Variante der Bibliothek zu Ihrer Anwendungsserverplattform passt. Siehe Tabelle unten.
Kerberos-Wrapper-Bibliothek nach Plattform
Plattform |
Bibliothek |
32-Bit-Windows-NT (Intel x86) |
gsskrb5.dll |
64-Bit-Windows-NT (x86_64) |
gx64krb5.dll |
64-Bit-Windows-NT ((ia64/Itanium) |
gi64krb5.dll |
Weitere Informationen wie Sie zu der Bibliothek gelangen, finden Sie in SAP-Hinweis 352295.
2. Kopieren Sie die Bibliothek auf der primären Anwendungsserverinstanz in das entsprechende Windows-Systemverzeichnis:
○ Drive:\%windir%\system32
○ Drive:\%windir%\SysWOW64
3. Setzen Sie im Instanzprofil der primären Anwendungsserverinstanz die Profilparameter
○ snc/enable = 1
○ snc/gssapi_lib = <LAUFWERK>:\%windir%\system32\<library>
○ snc/identity/as = p:SAPService<SID>@<KERBEROS-BEREICHSNAME>
<KERBEROS-BEREICHSNAME> steht für den Kerberos-Bereich, zu dem der Benutzer SAPService<SID> gehört. Normalerweise ist dies die in Großbuchstaben konvertierte Microsoft-Windows-Domäne. Normalerweise ist dies die in Großbuchstaben konvertierte Microsoft-Windows-Domäne.
Der <KERBEROS-BEREICHSNAME> und der Benutzer SAPService<SID> beachten die Groß- und Kleinschreibung. Stellen Sie sicher, dass Sie die Groß- und Kleinbuchstaben richtig eingeben, z. B.: p:SAPServiceC11@REALM.EXAMPLE.COM.
Wenngleich Sie das Windows-Konto, unter dem das SAP-System betrieben wird, frei wählen können, ist es normalerweise doch SAPService<SID>.
Single Sign-On bei Verwendung von Microsoft-Kerberos-SSP mit der Kerberos-Wrapper-Bibliothek steht nur Benutzerkonten zur Verfügung, die zum Active Directory gehören, d. h. für Domänenkonten. Es kann nicht mit lokalen Computerkonten verwendet werden.
4. Damit sich die Benutzer mit Benutzerkennung und Kennwort am SAP-System anmelden können, setzen Sie folgende Parameter:
○ snc/accept_insecure_cpic = 1
○ snc/accept_insecure_rfc = 1
○ snc/permit_insecure_start = 1
Dieser Schritt ist mindestens ein Mal erforderlich, damit sich die Administration anmelden und die Benutzerzuordnungen zwischen den Windowskonten und den Benutzerkennungen des SAP-Systems pflegen kann. Um die Verwendung von Benutzerkennung und Kennwort als Anmeldemechanismus vollständig zu deaktivieren, können Sie diese Parameter nach der Pflege der Benutzerzuordnungen zurücksetzen.
5. Stoppen und starten Sie das System erneut, damit die Profilparameter in Kraft treten.