Show TOC

Dokumentation zur VorgehensweiseWebadmin-Oberfläche mit X.509-Zertifikat verwenden Dieses Dokument in der Navigationsstruktur finden

 

Sie können sowohl beim ICM als auch beim SAP Web Dispatcher die Administration über den Browser einrichten. Hierzu empfiehlt SAP, die Web-Administration mit X.509 Client Zertifikaten (mit SSL) zu benutzen. Dies ist deutlich sicherer, und das Anmelde-Popup beim ersten Zugriff fällt weg.

Voraussetzungen

Die Konfiguration des ICM bzw. Web Dispatcher muss folgende Bedingungen erfüllen.

SSL

  • ICM bzw. Web Dispatcher haben SSL konfiguriert und einen HTTPS-Port geöffnet.

  • Für den HTTPS-Port muss icm/HTTPS/verify_client auf 1 oder 2 stehen (Server muss nach Client-Zertifikat fragen)

  • Der Benutzer hat ein Client-Zertifikat, das der Server akzeptiert; die CA, die das Client-Zertifikat ausgestellt hat, muss vertrauenswürdig/trusted sein.

Webadmin-Oberfläche

Sie haben sich die Webadministrationsoberfläche eingerichtet wie unter Web-Administrationsoberfläche einrichten beschrieben.

Vorgehensweise

Pflegen Sie die Authentifizierungsdatei (Standardname icmauth.txt) mit dem zum Benutzer gehörigen Client-Zertifikat. Dazu gibt es in der Datei eine optionale Spalte am Ende.

Weitere Informationen: icm/HTTP/auth_<xx>.

Beispiel Beispiel

binadm:$apr1$/iTOQ...$s9FZ5iYn7KA4f6HhCjHJu/:user

icmadm:$apr1$zO.S6/..$D6cx7JNx102MDmYeFKSSL1:admin:CN=Muster,*

Ende des Beispiels.

Geben Sie in dieser Spalte den Distinguished Name (DN) an, wie er im Client-Zertifikat steht. Im Browser wird dies oft als „Subject“ des Client-Zertifikats angegeben. Wie man im Beispiel sieht, können Sie die Wildcards ? und * zur Angabe des Zertifikats verwenden.

Beispiel Beispiel

So könnte der Distinguished Name des Client-Zertifikats im Beispiel folgenden kompletten Wert haben: CN=Muster, O=SAP-AG, C=DE

Ende des Beispiels.

Bei der Pflege der Authentifizierungsdatei mit icmon -a bzw. wdispmon -a können Sie neben Passwort und Gruppe eines existierenden Benutzers auch den DN des Client-Zertifikats ändern.

Wenn sich ein Benutzer nur mit dem X.509 Client-Zertifikat anmelden können soll, können Sie als Passwort ein x (bei den Abfragen) eingeben, dann ergibt sich (in dem Beispiel) folgender Eintrag in der Datei:

icmadm:x:admin:CN=Muster,*