Netzwerksicherheit und
Kommunikation
Zulassen von RFC-Verbindungen nur von bekannten und ausgewählten Systemen aus
Sie sollten
Systeme, die miteinander über RFC kommunizieren, durch entsprechende
Netzwerkmaßnahmen sichern (siehe
Netzwerkinfrastruktur).
Betreiben Sie Systeme in einem abgeschlossenen sicheren LAN oder steuern Sie
den Zugang über SAProuter und Paketfilter.
Deaktivieren der entfernten Überwachung der SAP-Gateways
Das SAP-Gateway steuert die entfernte Kommunikation über RFC und CPI-C. Es liest die Anfragen und richtet die Workprozesse für die Verbindung ein. Es beinhaltet einen Monitor, mit dem Sie das SAP-Gateway analysieren und verwalten. Standardmäßig kann auf den Gateway-Monitor entweder lokal oder entfernt zugegriffen werden. Allerdings empfehlen wir Ihnen, die entfernte Überwachung des SAP-Gateway zu deaktivieren.
Um die entfernte Überwachung von SAP-Gateways zu deaktivieren, setzen Sie den Profilparameter gw/monitor auf 1 (siehe auch SAP-Hinweis 64016).
Verwendung von RFC-Trusted-System-Netzwerken
In einem Szenario aus sich vertrauenden Systemen "vertrauen" Server in einem System Servern aus einem anderen System. Benutzer aus dem ersten System (System A), die auf das zweite System (System B) zugreifen, werden nicht bei jedem Zugriff über Kennwörter authentifiziert. System B vertraut System A; wegen dieser Vertrauensbeziehung akzeptiert System B den Benutzer aus System A ohne weitere Authentifizierung. Der Benutzer muss in beiden Systemen Benutzerkonten haben; er erhält die Berechtigungen vom Zielsystem, in diesem Fall System B.
RFC-Trusted-System-Netzwerk
Der Vorteil besteht darin, dass sich Benutzer nur einmal authentifizieren müssen, wenn sie mit sich vertrauenden Systemen kommunizieren. Die Übertragung der Anmeldeinformationen über das Netzwerk ist nicht erforderlich. Benutzer dieses Netzwerkes benötigen das Berechtigungsobjekt S_RFCACL.
Für einen sicheren Betrieb von sich vertrauenden Systemen müssen Sie jedoch die folgenden Voraussetzungen, die erhöhten Verwaltungsaufwand mit sich bringen, prüfen:
- Die Systeme müssen dieselben Anforderungen bezüglich der Sicherheitsstufe haben. (Sie bilden folglich ein einziges "virtuelles" SAP-System.) Sie sollten das Prinzip sich vertrauender Systeme nicht zwischen Systemen mit sehr unterschiedlichen Sicherheitsanforderungen verwenden, z. B. zwischen Ihrem Entwicklungs- und Personalsystem.
- Die Systeme müssen eine kompatible Benutzerverwaltung sowie ein übereinstimmendes Berechtigungskonzept verwenden. In einem System vorhandene Benutzer müssen in allen Systemen vorhanden sein.
Nur falls Sie diese Anforderungen erfüllen, schlagen wir Ihnen den Einsatz sich vertrauender Systeme vor.
Weitere Informationen
·
Einrichten eines
Trusted System Netzwerks
· Berechtigungsobjekt S_RFCACL
Beachten Sie bitte auch folgenden SAP-Hinweis:
· 128447 (Trusted Systems)