Show TOC

ObjektdokumentationRoute-Permission-Tabelle Dieses Dokument in der Navigationsstruktur finden

 

Die Route-Permission-Tabelle enthält die Hostnamen und Portnummern des Vorgänger- und Nachfolgerpunktes der Route (aus Sicht des SAProuters) sowie die Kennwörter, die für die Herstellung der Verbindung erforderlich sind (entspricht einem Substring)

Mit ihr wird festgelegt, welche Verbindungen SAProuter erlaubt und welche er verbietet. Des weiteren wird hier festgelegt, ob und welche SNC-Verbindungen aufgebaut werden.

Weitere Informationen: Route Strings

Struktur

Standard-Einträge

Standardeinträge in einer Route-Permission-Tabelle sehen so aus:

P/S/D <source-host> <dest-host> <dest-serv> <Kennwort>

Hier könnten <source-host> und <dest-host> SAProuter sein.

Im Folgenden werden die Elemente eines Tabelleneintrags beschrieben.

Handhabung der Verbindung: P/S/D

Für den Zeilenanfang gibt es folgende Möglichkeiten:

  • P(ermit) veranlasst SAProuter, die Verbindung aufzubauen. P(ermit)-Einträge können ein Kennwort enthalten. SAProuter überprüft, ob dieses Kennwort mit dem vom Client gesendeten Kennwort übereinstimmt.

    Direkt nach dem P kann man auch noch angegeben, wieviele SAProuter höchstens vor und nach diesem auf der Route sein dürfen, damit die Verbindung zugelassen wird: Pv,n - hierbei steht v für die maximale Anzahl von SAProutern vor diesem, n für die max. Anzahl von SAProutern nach diesem auf der Route.

  • S(ecure) erlaubt nur Verbindungen mit SAP-Protokoll; Verbindungen mit anderen Protokollen (etwa TCP) werden nicht zugelassen.

    Mit Sv,n können Sie wie bei P die Anzahl von Vorgängern und Nachfolgern auf der Route bestimmen.

  • D(eny) verhindert den Aufbau der Verbindung.

  • Sie können auch Kommentarzeilen hinzufügen, die mit # beginnen müssen.

Ausgangsrechner <source host>

Dieses Element bezeichnet den Rechner, von dem die Verbindung herkommt (aus Sicht des SAProuters). Hier kann ein Hostname, eine IP-Adresse oder ein IP-Subnetz stehen.

Weitere Informationen: Route- Permission-Tabelle anlegen

Zielrechner <dest-host>

Dieses Element bezeichnet den Rechner, zu dem die Verbindung hingehen soll (aus Sicht des SAProuters). Hier kann ein Hostname, eine IP-Adresse oder ein IP-Subnetz stehen.

Ziel-Port <dest-serv>

Dieses Element bezeichnet den Port (Service) des Zielrechners <dest-host>, zu dem die Verbindung gehen soll. Hier können Sie auch Bereiche von Ports (Port-Ranges) angeben, in dem Sie die beiden Ports, die den Port-Bereich eingrenzen, durch einen Punkt getrennt angeben: Hat <dest-serv> etwa den Wert 3200.3298, sind Verbindungen zum Zielserver auf allen Ports zwischen 3200 und 3298 gemeint.

Hinweis Hinweis

Wenn ein Client des <source-host> über einen SAProuter eine Verbindung zu <dest-host> <dest-serv> aufnehmen möchte, prüft der SAProuter die Route-Erlaubnis, bevor die Verbindung hergestellt wird. Wenn das Kennwort und die Route, die SAProuter empfangen hat, mit den Einträgen in der Route-Permission-Tabelle übereinstimmen, stellt SAProuter die Verbindung her. Ansonsten stellt SAProuter die Verbindung nicht her und gibt die Meldung Route permission denied aus.

Ende des Hinweises.

Weitere Informationen:

Beispiel einer Route-Permission-Tabelle

Fehler erkennen und beheben

SNC-Einträge

SNC-Einträge fangen immer mit dem Buchstaben K (wie key) an.

Es sind zwei Arten von SNC-Einträgen zu unterscheiden:

  1. KT-Einträge (Key Target)

    Hiermit wird entschieden, welche Verbindungen SNC-Verbindungen sein sollen. Das kann sowohl für eingehende als auch für ausgehende Verbindungen (von diesem SAProuter aus gesehen) festgelegt werden.

    1. Eingehende Verbindungen

      Die Syntax ist KT <SNCname src-host> <src-host> <src-serv>.

      Das heißt, dass Verbindungen, die von dem Host <src-host> <src-serv> mit dem SNC-Namen <SNCname src-host> kommen, SNC-Verbindungen sein sollen.

      Hiermit kann der Kunde z. B. festlegen, dass Serviceverbindungen von SAP zu ihm SNC-Verbindungen sein müssen.

    2. Ausgehende Verbindungen

      Sie haben die Syntax KT <SNCname dest-host> <dest-host> <dest-serv> . Das bedeutet, dass Verbindungen, die von dem SAProuter zu <dest-host> <dest-serv> mit dem SNC-Namen <SNCname> gehen, SNC-Verbindungen sein sollen.

  2. KD-, KP- und KS-Einträge

    Sie haben die folgende Syntax:

    K<D/P/S> <SNCname source-host> <dest-host> <dest-serv> <Kennwort>. Das bedeutet, dass die (verschlüsselte) SNC-Verbindung von <SNCname source-host> über SAProuter nach <dest-host> <dest-serv> genau dann aufgebaut wird, wenn im Route String das korrekte <Kennwort>. enthalten ist.

    Achtung Achtung

    Damit SNC-Verbindungen überhaupt möglich sind, müssen die entsprechenden SAProuter mit der Option -K gestartet worden sein, und die Route-Permission-Tabelle muss den entsprechenden KT-Eintrag enthalten!

    Ende der Warnung.

Weitere Informationen: Beispiel einer Route-Permission-Tabelle mit SNC

Auswertung der Route-Permission-Tabelle

Bei der Auswertung der Route-Permission-Tabelle durch den SAProuter sind folgende Regeln zu beachten.

First Match

Der erste Eintrag in der Route-Permission-Tabelle, für den Quell-Adresse, Ziel-Adresse und Ziel-Port passen, ist maßgebend; d. h. im obigen Beispiel einer Route-Permission-Tabelle, dass die Verbindung von host1 nach host2, Service serviceX nicht erlaubt ist (wegen des ersten Eintrags), obwohl gemäß dem dritten Eintrag alle Verbindungen mit Service serviceX erlaubt sind.

No match

Existiert für einen Route String kein passender Eintrag in der Tabelle, wird die Verbindung zurückgewiesen. Das Verhalten ist so, als wäre die letzte Zeile ein

D * * *.

Ausnahme bei Wildcards

Wenn nach dem SAProuter kein weiterer SAProuter auf der Route kommt (z. B. Frontend) und der Service kein SAP-Service (kein SAP-Protokoll) ist, funktioniert die Wildcard ("*") bei dem Service nicht. Die Verbindung wird nur erlaubt, wenn der Nicht-SAP-Service explizit angegeben wird; würde im obigen Beispiel statt telnet ein * stehen und der SAProuter wäre der letzte auf der Route, so würde die telnet-Verbindung nicht zustande kommen.

Hinweis Hinweis

Sicherheitshinweis

Aus Sicherheitsgründen empfiehlt SAP, in P- oder S-Zeilen der Route-Permission-Tabelle keine Wildcards (*) für den Zielrechner (<dest-host>) und den Zielport (<dest-serv>) zu verwenden. Enthält die Tabelle solche Zeilen, gibt SAProuter eine Warnmeldung aus:

WARNING: wildcard character used in route target

Ende des Hinweises.

Weitere Informationen

Route Permission Tabelle anlegen

SAProuter Route Permission im Implementierungsteil