Show TOC Anfang des Inhaltsbereichs

Hintergrunddokumentation Profilparametereinstellungen des Gateways  Dokument im Navigationsbaum lokalisieren

Um SNC zum Schutz von Verbindungen zu nutzen, die über das SAP-Gateway laufen, müssen Sie auch die entsprechenden Parameter im Gateway-Profil einstellen. Das Gateway verwendet die Routinen des Sicherheitsprodukts selbst nicht, es liefert jedoch den von ihm gestarteten Programmen die SNC-Konfigurationsparameter.

Die folgenden Parameter sind für die Gateway-Einstellungen relevant:

     snc/enable

Damit ein Gateway SNC-Verbindungen akzeptiert, müssen Sie den Profilparameter snc/enable auf den Wert 1 setzen. Das Gateway weiß damit, dass eine SNC-Umgebung vorhanden ist, und trifft die folgenden Vorkehrungen:

     Zusätzlich zu dem Standard-Port (sapgw<nn>) öffnet es einen sicheren Port (sapgw<nn>s), an dem es nur Verbindungen akzeptiert, die SNC verwenden.

     Es startet Programme nur, wenn für die Verbindung SNC verwendet wird. Sie können das Starten von Programmen ohne SNC explizit zulassen, indem Sie den Parameter snc/permit_insecure_start (siehe Beschreibung unten) setzen.

     snc/gssapi_lib

Wenn snc/enable = 1 gesetzt ist, muss der Parameter snc/gssapi_lib wie beim Anwendungsserver den Pfad und Dateinamen der externen Bibliothek enthalten. Das Gateway gibt die Informationen an die von ihm gestarteten externen Programme weiter.

     snc/permit_insecure_start

Wenn snc/enable = 1 gesetzt ist, startet und registriert das Gateway im Standard keine externen Programme ohne SNC. Sie können diese Konfiguration explizit außer Kraft setzen, indem Sie den Parameter snc/permit_insecure_start auf den Wert 1 setzen. Das Gateway startet oder registriert dann Programme, selbst wenn die Verbindung nicht mit SNC geschützt ist. Der Parameter ist nur erforderlich, wenn Programme ohne SNC-Schutz direkt vom Gateway gestartet oder registriert werden sollen.

Hinweis

Wenn das Gateway direkt auf einem Anwendungsserver gestartet wird, verwendet es die Profileinstellungen des Anwendungsservers. In diesem Fall sind die Parameter snc/enable und snc/gssapi_lib im Profil des Anwendungsservers gesetzt. Für das Gateway müssen Sie dann nur den Parameter snc/permit_insecure_start beachten.

Wenn ein Gateway unabhängig vom Anwendungsserver (eigenständiges Gateway) gestartet werden soll, müssen Sie alle oben genannten Parameter beachten.

Aus Sicherheitsgründen und weil das Gateway den Namen der externen Bibliothek an die von ihm gestarteten Programme übergibt, sollten Sie Programme nur auf dem Computer starten, auf dem sich das Gateway befindet. Um das entfernte Starten von Programmen zu verhindern, nehmen Sie im Gateway-Profil die folgenden Parametereinstellungen auf:

     Ab Release 4.5A:

gw/rem_start=DISABLED

     Releases 4.0A und 4.0B: (In diesen Releases müssen Sie eine ungültige Remote Shell definieren, um das entfernte Starten von Programmen zu verhindern.)

gw/rem_start=REMOTE_SHELL

gw/remsh=.

Empfehlung

Das Gateway verwendet die gängige Berkeley Remote Shell (rsh oder remsh), um auf entfernten Hosts Programme zu starten. Die Berkeley Remote Shell führt nur eine einfache Authentifizierung auf der Grundlage der IP-Adresse durch und kann den verwendeten TCP-Datenstrom nicht schützen. Wir empfehlen daher, bei der Verwendung von SNC Programme nicht auf entfernten Hosts zu starten.

 

 

 

Ende des Inhaltsbereichs