Show TOC

Dokumentation zur VorgehensweiseLogging-basierte Einstellung konfigurieren Dieses Dokument in der Navigationsstruktur finden

 

Bei der hier beschriebenen Vorgehensweise erlauben Sie zunächst alle Kommunikation mit dem Gateway. Auf Basis der geschriebenen Log-Datei passen Sie dann die Sicherheitseinstellungen durch die Dateien secinfo und reginfo an.

Vorgehensweise

  1. Richten Sie das Gateway-Logging ein, indem Sie im Profil die folgenden Parameter setzen:

    gw/sec_info = $(DIR_DATA)/secinfo

    gw/reg_info = $(DIR_DATA)/reginfo

    gw/logging = ACTION=S LOGFILE=gw_log-%y-%m%d SWITCHTF=day

    Hinweis Hinweis

    Wenn ein SAP-System aus mehreren Applikationsservern besteht, fügen Sie dem Dateinamen noch die System-ID (dreibuchstabige SID) und den Servernamen zu. Dies erlaubt eine Unterscheidung der Dateien, wenn sie zur Analyse zentral gesammelt werden. Hierzu können Sie die Umgebungsvariablen $(SAPSYSTEMNAME) und $(SAPLOCALHOST) verwenden und den Parameter wie folgt setzen:

    gw/logging = ACTION=S LOGFILE=gw_log_$(SAPSYSTEMNAME)_$(SAPLOCALHOST)-%y%m%d SWITCHTF=day

    Ende des Hinweises.

    Dadurch werden alle sicherheitsrelevanten Aktionen des Gateways in einer eigenen Datei protokolliert. Diese Einstellung kann auch innerhalb des Systems vorgenommen werden.

    Weitere Informationen: Gateway-Logging einrichten

  2. Legen Sie im Verzeichnis $(DIR_DATA) die Dateien secinfo und reginfo an mit folgendem Inhalt:

    • secinfo enthält nur die Zeile USER=* HOST=* TP=*

    • reginfo enthält nur die Zeile TP=*

    Mit dieser Konfiguration von secinfo und reginfo können alle Programme über das Gateway angestartet werden und alle Programme dürfen sich am Gateway registrieren

    Achtung Achtung

    Beachten Sie, dass diese Einstellungen nur temporär bestehen sollen, um herauszufinden, welche Programme in die Dateien aufgenommen werden sollen. Während diese Einstellungen aktiv sind, ist das Gateway nicht gegen externe Programme geschützt!

    Ende der Warnung.

  3. Aktivieren Sie die Konfigurationsdateien secinfo und reginfo, indem Sie in der Transaktion SMGW   Springen   Expertenfunktionen   Externe Security   Neu lesen   wählen. Führen Sie die Aktivierung auf jeder Applikationsserver-Instanz des Systems durch. Rufen Sie dazu die Serverübersicht (Transaktion SM51) auf und wechseln Sie die Instanz durch Doppelklick.

  4. Lassen Sie das System mit diesen Einstellungen mehrere Tage laufen und führen Sie alle Aktionen aus, die mit externen Programmen und registrierten Servern zu tun haben.

  5. Werten Sie die Log-Datei aus. Gehen Sie vor wie im Abschnitt Log-Datei auswerten beschrieben.

  6. Pflegen Sie die Dateien secinfo und reginfo entsprechend.

  7. Aktivieren Sie die Dateien (vgl. 3.)

  8. Lassen Sie das System mit diesen Einstellungen laufen, beobachten Sie das Logging jedoch weiterhin. Besonderes Augenmerk sollten Sie auf die Einträge secinfo denied und reginfo denied legen. Das sind externe Programme und registrierte Server, die aufgrund der Einstellungen nicht ausgeführt werden dürfen. Eventuell wurde eine neue Komponente getestet oder eingeführt, die zusätzliche externe Programme und registrierte Server benötigt. Der Administrator muss dann entschieden, ob diese Einträge in die Sicherheitsdateien aufgenommen werden sollen.

Weitere Informationen

Sicherheitseinstellungen für externe Programme einrichten

Gateway-Sicherheitsdateien secinfo und reginfo