SNC konfigurieren: SAProuter à SAProuter
Verwendung
Der SAProuter ist ein Programm, das eine Zwischenstation im Netzwerk zwischen SAP-Systemen darstellt und den Zugang kontrolliert, bevor Daten auf dem Kommunikationsweg weitergesendet werden.
Verbindungen zwischen SAP-Systemen können auch über mehrere SAProuter aufgebaut werden. Sie können dann die Verbindungen zwischen benachbarten SAProutern mit SNC schützen. Folgende Grafik zeigt ein typisches Beispiel.
SNC-Kommunikation zwischen SAProutern
Die Verbindung zwischen den benachbarten SAProutern wird mit SNC geschützt. Die SAProuter authentifizieren sich gegenseitig und verschlüsseln die ausgetauschten Nachrichten. Auf diese Weise können Sie einen sicheren Tunnel für die Kommunikation zwischen Komponenten einrichten, die möglicherweise nicht selbst SNC verwenden können.
Derselbe SAProuter kann sowohl Initiator als auch Akzeptor für eine SNC-Verbindung sein.
Eine detaillierte Beschreibung des
SAProuter finden Sie in
SAProuter. Im
vorliegenden Dokument werden nur die Aspekte behandelt, die SNC
betreffen.
Um eine SNC-Verbindung zwischen zwei SAProutern einzurichten, müssen Sie
● für beide SAProuter eine SNC-Umgebung einrichten
● in der Route-Permission-Tabelle des SAProuter für die Verbindung SNC aktivieren
Einrichtung der SNC-Umgebung
Führen Sie folgende Schritte aus, um für jeden SAProuter die SNC-Umgebung einzurichten:
...
1. Stellen Sie auf jedem SAProuter-Host sicher, dass die Umgebungsvariable SNC_LIB den Pfad und Dateinamen der externen Bibliothek enthält.
2. Starten Sie den SAProuter mit der Option -K <snc-name>, wobei <snc-name>für den SNC-Namen des gestarteten SAProuter steht.
Der SAProuter lädt dann die externe Bibliothek und initialisiert die SNC-Umgebung.
SNC-Konfiguration in der Route-Permission-Tabelle
In der Route-Permission-Tabelle des SAProuter müssen Sie zwei Arten von Einträgen anlegen:
● Einträge vom Typ KT (Key-Target)
Ein Key-Target-Eintrag legt fest, dass die angegebene Verbindung SAProuter à SAProuter SNC verwenden soll.
● Einträge vom Typ KP- / KD- / KS-
Diese Einträge entsprechen weitgehend Einträgen vom Typ P- / D- / S-, werden jedoch für SNC-Verbindungen anstelle von normalen Verbindungen verwendet. Sie geben die Hosts und die Services an, die miteinander kommunizieren dürfen. Wie bei normalen Einträgen vom Typ P- / D- / S- können Sie für die Verbindung ein Kennwort angeben.
Achten Sie auf die Reihenfolge der Einträge der Route-Permission-Tabelle. Bei eingehenden Verbindungen verwendet der SAProuter den ersten passenden Eintrag, den er in der Route-Permission-Tabelle findet. Steht ein passender Eintrag vom Typ P- / D- / S- vor einem SNC-Eintrag, ignoriert der SAProuter den SNC-Eintrag. Siehe die Beispiele am Ende dieses Abschnitts.
KT-Einträge
Geben Sie den KT-Eintrag in der Route-Permission-Tabelle von SAProuter in einer Zeile mit der folgenden Syntax an:
KT <SNC-Partnername> <Zielhost> <Zielservice>
Bedeutung:
● SNC soll für Verbindungen zu <Zielhost> <Zielservice> aktiviert werden.
● <SNC-Partnername> ist der SNC-Name des Kommunikationspartners.
● <Zielhost> ist der Name des Hosts (entweder der symbolische Name oder die IP-Adresse).
● <Zielservice> ist der Name des Service (entweder der symbolische Name oder die Port-Nummer).
Die Eingabe des Platzhalters Stern (*) für <Zielhost> oder <Zielservice> ist wenig sinnvoll, da sich der SNC-Partnername auf einen bestimmten Partner bezieht.
Um sich widersprechende Einträge zu vermeiden, stellen Sie Einträge vom Typ K- vor normale Einträge vom Typ P- / D- / S-.
Einträge vom Typ KP- / KD- / KS
In der Route-Permission-Tabelle müssen Sie für SNC-Verbindungen Einträge vom Typ KP- / KD- / KS- anstelle von P- / D- / S- vornehmen. Diese Einträge haben dieselbe Bedeutung wie Einträge vom Typ P- / D- / S-, der Name des Ausgangshosts oder der IP-Adresse wird jedoch durch den SNC-Namen des Ausgangshosts ersetzt. Sie haben die folgende Syntax:
K<D/P/S> "<SNCname_des_Ausgangshosts>" <Zielhost> <Zielservice> <Kennwort>
Der SAProuter stellt eine Verbindung her (KT, KS) oder lehnt eine Verbindung ab (KD), wenn die von der Verbindungsanforderung empfangenen Werte denen in den oben genannten Einträgen in der Route-Permission-Tabelle entsprechen.
Sicherheitsgrad (Quality of Protection, QoP)
Beim Einsatz von SNC zwischen SAProutern wird immer der höchstmögliche Sicherheitsgrad verwendet.
Annahme der eingehenden Verbindung
Der SAProuter nimmt eine eingehende Verbindung an, wenn er in seiner Route-Permission-Tabelle einen entsprechenden Eintrag findet. Bei normalen eingehenden Verbindungen (ohne SNC) identifiziert er den Kommunikationspartner über den Ausgangshost (IP-Adresse) und die Destination (Host und Service). Bei SNC-Verbindungen von einem SAProuter verwendet er dagegen den SNC-Namen des Ausgangs-SAProuter für die Identifizierung.
Konfigurationsbeispiele für SAProuter bei Verwendung von SNC
Beispiel 1
Zwei SAProuter, einer auf host1, der andere auf host2, sollen über SNC-Verbindungen miteinander kommunizieren. Der SAProuter auf host2 soll nur SNC-Verbindungen von host1 akzeptieren, die an einen Dispatcher oder ein Gateway mit der Systemnummer 00 gehen.
SNC-Namen der SAProuter auf host1 und host2
● SNC-Name auf host1: "p:CN=saprout1, OU=TEST01, O=myCompany, C=US"
● SNC-Name auf host2: "p:CN=saprout2, OU=TEST01, O=myCompany, C=US"
Start des SAProuter auf host1
Der folgende Eintrag startet den SAProuter auf host1:
saprouter -r -K "p:CN=saprout1, OU=TEST01, O=myCompany, C=US" &
Route-Permission-Tabelle auf host1
Die Route-Permission-Tabelle auf host1 enthält folgende Einträge:
# Initiating SNC for all connections to host2 : |
Start des SAProuter auf host2
Der folgende Eintrag startet den SAProuter auf host2:
saprouter -r -K "p:CN=saprout2, OU=TEST01, O=myCompany, C=US" &
Route-Permission-Tabelle auf host2
Die Route-Permission-Tabelle auf host2 enthält folgende Einträge:
# accept incoming connections from SAProuter1 |
Beispiel 2
Wie bereits erwähnt, müsse Sie auf die Reihenfolge der Einträge in der Route-Permission-Tabelle achten. Der SAProuter verwendet den ersten passenden Eintrag, den er findet. Im folgenden Beispiel akzeptiert der SAProuter wegen des ersten Eintrags die Anforderung einer SNC-Verbindung von host1 nach host2 nicht
D host1 * * |
Beispiel 3
Im folgenden Beispiel ist die zweite Zeile unnötig, da die erste Zeile alle Verbindungen von host1 zulässt. Die zweite Zeile erzwingt dadurch keinen SNC-Schutz für Verbindungen zu sapdp00.
P host1 * * |