Anfang des Inhaltsbereichs

Vorgehensweisen Primärinstanz des Anwendungsservers vorbereiten  Dokument im Navigationsbaum lokalisieren

Verwendung

Um Single Sign-On (SSO) mit Microsoft Kerberos einzurichten, müssen Sie das primäre Instanzprofil des Anwendungsservers modifizieren und sicherstellen, dass sich die SNC-Bibliothek im Windows-Verzeichnis befindet.

Voraussetzungen

Sie haben einen Service-Principal-Namen (SPN) für SAP NetWeaver Application Server (SAP NetWeaver AS) mit dem Domain Controller registriert.

Geben Sie beispielsweise folgenden Befehl ein:

setspn -A SAPServiceSID/do_not_care SAPServiceSID

Vorgehensweise

...

       1.      Ermitteln Sie, welche Variante der Bibliothek zu Ihrer Anwendungsserverplattform passt. Siehe Tabelle unten.

Kerberos-Wrapper-Bibliothek nach Plattform

Plattform

Bibliothek

32-Bit-Windows-NT (Intel x86)

gsskrb5.dll

64-Bit-Windows-NT (x86_64)

gx64krb5.dll

64-Bit-Windows-NT ((ia64/Itanium)

gi64krb5.dll

Weitere Informationen wie Sie zu der Bibliothek gelangen, finden Sie in SAP-Hinweis 352295.

       2.      Kopieren Sie die Bibliothek auf der primären Anwendungsserverinstanz in das entsprechende Windows-Systemverzeichnis:

       Drive:\%windir%\system32

       Drive:\%windir%\SysWOW64

       3.      Setzen Sie im Instanzprofil der primären Anwendungsserverinstanz die Profilparameter

       snc/enable = 1

       snc/gssapi_lib = <LAUFWERK>:\%windir%\system32\<library>

       snc/identity/as = p:SAPService<SID>@<KERBEROS-BEREICHSNAME>

<KERBEROS-BEREICHSNAME> steht für den Kerberos-Bereich, zu dem der Benutzer SAPService<SID> gehört. Normalerweise ist dies die in Großbuchstaben konvertierte Microsoft-Windows-Domäne. Normalerweise ist dies die in Großbuchstaben konvertierte Microsoft-Windows-Domäne.

Achtung

Der <KERBEROS-BEREICHSNAME> und der Benutzer SAPService<SID> beachten die Groß- und Kleinschreibung. Stellen Sie sicher, dass Sie die Groß- und Kleinbuchstaben richtig eingeben, z. B.: p:SAPServiceC11@REALM.EXAMPLE.COM.

Hinweis

Wenngleich Sie das Windows-Konto, unter dem das SAP-System betrieben wird, frei wählen können, ist es normalerweise doch SAPService<SID>.

Single Sign-On bei Verwendung von Microsoft-Kerberos-SSP mit der Kerberos-Wrapper-Bibliothek steht nur Benutzerkonten zur Verfügung, die zum Active Directory gehören, d. h. für Domänenkonten. Es kann nicht mit lokalen Computerkonten verwendet werden.

       4.      Damit sich die Benutzer mit Benutzerkennung und Kennwort am SAP-System anmelden können, setzen Sie folgende Parameter:

       snc/accept_insecure_cpic = 1

       snc/accept_insecure_rfc = 1

       snc/permit_insecure_start = 1

Hinweis

Dieser Schritt ist mindestens ein Mal erforderlich, damit sich die Administration anmelden und die Benutzerzuordnungen zwischen den Windowskonten und den Benutzerkennungen des SAP-Systems pflegen kann. Um die Verwendung von Benutzerkennung und Kennwort als Anmeldemechanismus vollständig zu deaktivieren, können Sie diese Parameter nach der Pflege der Benutzerzuordnungen zurücksetzen.

       5.      Stoppen und starten Sie das System erneut, damit die Profilparameter in Kraft treten.

 

 

Ende des Inhaltsbereichs