icm/HTTP/auth_<xx>
Verwendung
Mit diesem Parameter können Sie Zugriffsbeschränkungen im ICM und SAP Web Dispatcher einrichten (als White List oder Black List).
Zum Schutz des ICM und des Backend-Systems (AS ABAP oder AS Java) gibt es einen HTTP-Subhandler (Filter), der Requests anhand von verschiedenen Kriterien abblocken kann. Wenn der Filter aktiviert ist, wird er bei jedem HTTP(S)-Request zum ICM oder Web Dispatcher durchlaufen, bevor der Request zu einem anderen HTTP-Handler (Dateizugriff, Cache, Administration, Redirect) oder zum Backend-System (AS ABAP oder AS Java) geschickt wird.
Siehe auch:
SAP Web Dispatcher als
URL-Filter
Sie können Requests nach den folgenden Kriterien filtern:
· URL
· Client-IP-Adresse
· Server-IP-Adresse
· Benutzername/Benutzergruppe und Kennwort
· Mustersuche in der URL
Integration
Der Authentication Subhandler erweitert die Funktionalität des SAP Web Dispatcher URL-Filters und der Authentifizierung der Web-basierten Administrationsoberfläche.
Bei Nutzung dieses Zugriffsfilters können die beiden anderen Verfahren deaktiviert werden:
● SAP Web Dispatcher URL-Filter:
wdisp/permission_table =
● Web Admin Oberfläche:
icm/HTTP/admin_0 = PREFIX=/sap/admin,DOCROOT=./admin,AUTHFILE=none
Eigenschaften
Arbeitsgebiet |
Internet Communication Manager, SAP Web Dispatcher |
Einheit |
Zeichenkette |
Standardwert |
icm/HTTP/auth_0= PREFIX=/, FILTER=SAP |
Dynamisch änderbar |
nein |
Wertebereich und Syntax
Um die Zugriffsbeschränkungen einzurichten, verwenden Sie den Parameter mit folgender Syntax:
icm/HTTP/auth_<xx> = PREFIX=<URL-Präfix>[,PERMFILE=<permission file>, AUTHFILE=<authentication file>, FILTER=<name>]
<xx> muss dabei von "0" aufsteigend angegeben werden.
Nicht alle Kombinationen der Optionen sind sinnvoll möglich. Folgende Kombinationen sind sinnvoll:
icm/HTTP/auth_<xx> = PREFIX =<prefix>
icm/HTTP/auth_<xx> = PREFIX =<prefix>, PERMFILE=<permfile>
icm/HTTP/auth_<xx> = PREFIX =<prefix>, PERMFILE=<permfile>, FILTER=<filtername>
icm/HTTP/auth_<xx> = PREFIX =<prefix>, PERMFILE=<permfile>, AUTHFILE=<authfile>
icm/HTTP/auth_<xx> = PREFIX =<prefix>, PERMFILE=<permfile>, AUTHFILE=<authfile>, FILTER=<filtername>
Ein AUTHFILE ohne ein PERMFILE ergibt keinen Sinn. Den Filter auszuschalten ist nur sinnvoll, wenn ein PERMFILE verwendet wird.
Hierbei haben die Angaben folgende Bedeutung:
● PREFIX
URL-Präfix, für den der Subhandler aufgerufen werden soll
● PERMFILE
Optionale Angabe
Name der Permission-Datei im Dateisystem
● AUTHFILE
Optionale Angabe
Name der Benutzerdatei oder system zur Authentifizierung gegen einen Betriebssystembenutzer
● FILTER
Optionale Angabe
Name des Profils für die
Mustersuche.(Standardwert: SAP). Durch
Weglassen der Option deaktivieren Sie den Filter. Die dynamische
Aktivierung/Deaktivierung erfolgt durch Setzen des Parameters csi/enable. Weitere
Informationen finden Sie im Abschnitt
Benutzereingaben auf
Programmbefehle hin untersuchen. Sie können die Filterung mit dem
Parameter csi/enable
dynamisch (de)aktivieren. Sie finden den Parameter in der Transaktion SMICM
(vgl.
Verwendung des ICM
Monitors) oder der
Web-Administrations-Oberfläche.
PERMFILE
Mit der Permission-Datei wird die Art des Zugriffsschutzes bestimmt. Die Permission-Datei hat den folgenden Aufbau:
● Kommentarzeilen beginnen mit einem # und werden ignoriert
● Andere Zeilen haben die Form:
P/D/S <URI-pattern> <USER> <GROUP> <CLIENT-IP> <SERVER-IP>
Der Buchstabe am Zeilenanfang hat folgende Bedeutung:
¡ P (Permit) lässt den Request durch
○ D (Deny)lehnt den Request ab und schickt dem Client eine entsprechende Nachricht
○ S (Secure)erlaubt für den URL-Präfix nur sichere Verbindungen (HTTPS)
○ <URI-pattern> ist der Abschnitt der URL, der im Abschnitt Cache-Key als translated path bezeichnet ist
● Für das URI-Pattern können Sie das Wildcard-Zeichen * verwenden, allerdings nur am Anfang oder am Ende des <URI-pattern>-Strings.
● Für die Client- und Server-IP-Adesse können Sie das Wildcard-Zeichen * überall verwenden.
Der Standardwert für leere Einträge ist der *, der alles zulässt.
Damit ein Request bei P (Permit)durchgelassen wird, müssen alle Bedingungen (Spalten) erfüllt sein.
Bei D (Deny) muss nur eine Bedingung erfüllt sein, damit der Request abgewiesen wird.
Die Bedingungen werden von oben nach unten abgeprüft.
Trifft eine Bedingung für D oder P zu, endet die Prüfung, und der Request wird vom Subhandler zugelassen oder abgewiesen.
Beachten Sie, dass die URI-Permission-Tabelle case-sensitiv ist, es wird also zwischen Groß- und Kleinbuchstaben unterschieden. Wenn Sie also eine URL oder einen Benutzer verbieten wollen, wird nur genau die Schreibweise, wie sie in der Tabelle steht, abgeblockt.
Beispiel
|
URI-Pattern |
Benutzer |
Gruppe |
Client-IP-Adresse |
Server-IP-Adresse |
D |
* |
* |
* |
10.18.55.01 |
|
D |
* |
* |
* |
* |
10.18.55.50 |
P |
/sap/admin |
* |
admin |
* |
10.18.55.40 |
P |
/sap/admin/* |
* |
admin |
10.*.55.* |
10.18.55.* |
D |
/* |
* |
* |
* |
* |
Verwenden Sie Positivlisten!
Da die URL-Permission-Tabelle case-sensitiv ist, ist es wichtig, die Tabelle als Positivliste aufzubauen:
Führen Sie alle URLs auf, die erlaubt sein sollen und setzen Sie ans Ende der Tabelle die Zeile D /* * * * *
Da es bei IP-Adressen keine Groß- und Kleinschreibung gibt, können Sie hier problemlos einzelne (oder Gruppen) von IP-Adressen (Client oder Server) ausschließen (vgl. Beispiel).
AUTHFILE (optional)
Das AUTHFILE bestimmt die zulässigen Benutzer und Kennwörter und ist erforderlich, wenn in der Permission-Datei Einträge für USER oder GROUP gemacht wurden.
Mögliche Werte für AUTHFILE sind:
● System
Benutzer wird gegen einen Betriebssystembenutzer authentifiziert
● <Dateiname>
Datei mit Benutzername, Gruppenname und geschützten Kennwörtern
Die Autorisierungsdatei kann mit den Programmen wdispmon und icmon erzeugt und gepflegt werden (Option -a) und hat den folgenden Aufbau:
● Kommentarzeilen beginnen mit einem # und werden ignoriert
● Andere Zeilen haben die Form:
<Benutzer>:<Hash des Passwortes>:<Benutzergruppe>:<DN Client-Zertifikat>
Beispiel
Authentifizierung für den ICM und SAP Web Dispatcher:
test:$apr1$/iTOQ$EOABCDFDDj55EqL0:user sidadm:$apr1$/iTOQ$EOcAYBCD55EqL0:admin |
Weitere Informationen
Beachten Sie im Zusammenhang mit diesem Parameter folgende Dokumentation:
Webadmin-Oberfläche
mit X.509-Zertifikat verwenden
Administrationsbenutzer
anlegen
Verwendung der
Kommandozeilenprogramme icmon und wdispmon