Webadmin-Oberfläche mit X.509-Zertifikat verwenden (SAP-Bibliothek - Verwendung der Web-Administrations-Oberfläche)

Webadmin-Oberfläche mit X.509-Zertifikat verwenden

Verwendung

Sie können sowohl beim ICM als auch beim SAP Web Dispatcher die Administration über den Browser einrichten. Hierzu empfiehlt SAP, die Web-Administration mit X.509 Client Zertifikaten (mit SSL) zu benutzen. Dies ist deutlich sicherer, und das Anmelde-Popup beim ersten Zugriff fällt weg.

Voraussetzungen

Die Konfiguration des ICM bzw. Web Dispatcher muss folgende Bedingungen erfüllen.

SSL

· ICM bzw. Web Dispatcher haben SSL konfiguriert und einen HTTPS-Port geöffnet (vgl. SAP Web Dispatcher für die Unterstützung von SSL konfigurieren).

· Für den HTTPS-Port muss icm/HTTPS/verify_client auf 1 oder 2 stehen (Server muss nach Client-Zertifikat fragen)

· Der Benutzer hat ein Client-Zertifikat, das der Server akzeptiert (die CA, die das Client Zert. ausgestellt hat, muss vertrauenswürdig/trusted sein); vgl. Verwendung von X.509-Client-Zertifikaten.

Webadmin-Oberfläche

Sie haben sich die Webadministrationsoberfläche eingerichtet wie unter Web-Administrationsoberfläche einrichten beschrieben.

Vorgehensweise

Pflegen Sie die Authentifizierungsdatei (Standardname icmauth.txt) mit dem zum Benutzer gehörigen Client-Zertifikat. Dazu gibt es in der Datei eine optionale Spalte am Ende (vgl. icm/HTTP/auth_<xx>).

Beispiel

binadm:$apr1$/iTOQ...$s9FZ5iYn7KA4f6HhCjHJu/:user

icmadm:$apr1$zO.S6/..$D6cx7JNx102MDmYeFKSSL1:admin:CN=Muster,*

Geben Sie in dieser Spalte den Distinguished Name (DN) an, wie er im Client-Zertifikat steht. Im Browser wird dies oft als "Subject" des Client-Zertifikats angegeben. Wie man im Beispiel sieht, können Sie die Wildcards '?'und '*' zur Angabe des Zertifikats verwenden.

Beispiel

So könnte der Distinguished Name des Client-Zertifikats im Beispiel folgenden kompletten Wert haben: CN=Muster, O=SAP-AG, C=DE

Bei der Pflege der Authentifizierungsdatei mit icmon -a bzw. wdispmon -a können Sie neben Passwort und Gruppe eines existierenden Benutzers auch den DN des Client-Zertifikats ändern.

Wenn sich ein Benutzer nur mit dem X.509 Client-Zertifikat anmelden können soll, können Sie als Passwort ein x (bei den Abfragen) eingeben, dann ergibt sich (in dem Beispiel) folgender Eintrag in der Datei:

icmadm:x:admin:CN=Muster,*