Show TOC

FunktionsdokumentationSicherheitseinstellungen für den SAP Message-Server Dieses Dokument in der Navigationsstruktur finden

 

Als zentrale Kommunikationskomponente im Netzwerk eines SAP-Systems sollte der Message-Server gegen unerwünschte Zugriffe von außen geschützt sein.

Die folgenden Einstellungen können Sie vornehmen, um die Sicherheit beim Betrieb des SAP Message-Servers zu erhöhen.

  • Erlauben oder verbieten, das sich externe Monitore wie das Überwachungsprogramm msmon mit dem Message-Server verbinden dürfen

  • Bedingungen für die Administration des Message-Servers über den Browser festlegen

  • ACL (Access Control List, Zugriffskontrollliste) für den Message-Server vorschreiben

Funktionsumfang

Administration über Profilparameter
ms/monitor

Mit dem Parameter ms/monitor können Sie einstellen, dass nur Applikationsserver den internen Speicher des Message-Servers modifizieren oder löschen können. Das externe Überwachungsprogramm msmon hat dann nur noch eingeschränkten Zugriff. Der Parameter kann folgende Werte annehmen.

  • 0: nur Applikationsserver dürfen internen Speicher des Message-Servers ändern und Monitorfunktionen ausführen (Default)

  • 1: auch externe (Überwachungs-)Programme dürfen das

ms/admin_port

Mit dem Parameter ms/admin_port = <nr> (Default 0) können Sie TCP-Ports des Message-Servers zur Administration öffnen und schließen. Ein externer Client kann sich über diesen Port mit dem Message-Server verbinden, um den Message-Server zu administrieren. Standardmäßig ist die Administration von externen Programmen deaktiviert (ms/monitor = 0). Um dies für einzelne Programme zu ermöglichen, kann ein spezieller Port für die Administration geöffnet werden. Clients, die sich über diesen Port beim Message-Server anmelden, dürfen alle Administrationsaufgaben durchführen.

Der Parameter kann dynamisch geändert werden, ein Wert kleiner oder gleich 0 schließt den Admin-Port wieder. Diesen Parameter sehen Sie nur in der Liste der Parameter, wenn Sie Administratorberechtigung haben.

Um den Admin-Port im laufenden Betrieb zu öffnen, ändern oder schließen, wählen Sie im Message-Server-Monitor (Transaktion SMMS)   Springen   Sicherheitseinstellungen   Admin-Port.  

Trennung zwischen interner und externer MS-Kommunikation

Um zu verhindern, dass sich ungewollte Clients beim Message-Server als Applikationsserver ausgeben, können Sie den Parameter rdisp/msserv_internal = <nr> verwenden. Der Wert 0 (Standardeinstellung) bedeutet, dass kein eigener Port für die interne Kommunikation verwendet wird.

Für die interne Kommunikation wird dann ein anderer Datenkanal verwendet als für die externe Kommunikation, bei der die externen Clients nur lesend auf die Informationen zugreifen können.

Der Message-Server öffnet zu seinem Port sapms<SID> (rdisp/msserv) noch einen zusätzlichen Port <nr>, der nur für die interne Kommunikation mit den Applikationsservern benutzt wird. Die Anmeldung eines Applikationsservers muss ebenfalls über diesen Port erfolgen. Clients, die sich über den 'normalen' Port sapms<SID> anmelden, werden abgelehnt (MSEACCESSDENIED).

Achtung Achtung

Wenn Sie diesen Parameter verwenden wollen, müssen Sie ihn zentral definieren; er muss auf allen Applikationsservern den gleichen Wert haben.

Ende der Warnung.

Über den normalen sapms<SID>-Port können dann nur noch Abfragen durchgeführt werden. Die Funktionalität der Lastverteilung und das Holen der Applikationsserverlisten und Anmeldegruppen bleibt davon unberührt.

Zugriffskontrollliste (ACL) für Netzwerkverbindungen

Sie können über eine ACL-Datei (Access Control List, Zugriffskontrollliste) steuern, welche Rechner eine Verbindung zum Messsage-Server öffnen dürfen. Für jeden Port des Message-Servers kann eine eigene ACL-Datei verwendet werden.

Sie verwenden die folgenden Profilparameter für die verschiedenen Ports des Message-Servers.

Parameter

Port

ms/acl_file_admin

Administrationsport des Message-Servers, der mit dem Parameter ms/admin_port gesetzt wird (s.o.).

ms/acl_file_ext

Externer Port des Message-Servers, den alle Clients verwenden können. Der Port wird mit dem Parameter rdisp/msserv gesetzt.

ms/acl_file_extbnd

Portnummer, unter der sich ein externes Bindeprogramm (icmbnd) anmelden muss, um einen Port zu binden. Der Port wird mit dem Parameter rdisp/extbnd_port gesetzt.

Weitere Informationen: Message-Server-Parameter

ms/acl_file_int

Externer Port des Message-Servers, der mit dem Parameter rdisp/msserv_internal (s.o.) gesetzt wird.
Syntax der ACL-Datei

Eine Zeile der ACL muss der folgenden Syntax entsprechen:

Syntax Syntax

  1. <permit | deny> <ip-address[/mask]> [tracelevel] [# comment]
Ende des Codes

Hierbei gilt:

  • permit erlaubt eine Verbindung, deny verbietet eine Verbindung.

  • <ip-address>: Die IP-Adresse muss eine IPv4- oder IPv6-Adresse der folgenden Form sein:

    • IPv4: 4 byte, dezimal, '.' separiert: z.B. 10.11.12.13

    • IPv6: 16 byte, hexadezimal, ':' separiert. '::' wird unterstützt

  • <mask>: Wenn eine Maske mit angegeben wird, dann muss es eine Subnetz-Präfixmaske sein:

    • IPv4: 0-32

    • IPv6: 0-128

  • <tracelevel>: Trace-Level, mit dem Treffer (Übereinstimmung der Adressen unter Berücksichtigung der Subnetzmaske) der ACL in die jeweilige Trace-Datei geschrieben wird (Defaultwert 2).

  • <# comment>: Kommentarzeilen beginnen mit einem Gatter #.

  • Die Datei darf Leerzeilen enthalten.

  • Als letzte Regel wird automatisch ein generelles Verbot eingefügt.

Zum eindeutigen Verständnis sollte dennoch eine explizites deny als letzte Regel eingetragen werden. Die Regeln werden sequentiell von oben beginnend geprüft („top down“). Die erste zutreffende Regel bestimmt das Ergebnis („first match“).

Beispiel Beispiel

Beispieldatei

permit 10.1.2.0/24         # permit client network

permit 192.168.7.0/24      # permit server network

permit 10.0.0.0/8 1        # screening rule

                           # (learning mode, trace-level 1)

permit 2001:db8::1428:57ab # permit IPv6 host

deny   0.0.0.0/0           # deny the rest
Ende des Beispiels.
Zugriffskontrollliste (ACL) für Applikationsserver

Über den Parameter ms/acl_info spezifizieren Sie eine Datei mit Zugriffsberechtigungen für den Message-Server. Falls diese Datei existiert, müssen hier alle Rechnernamen, Domänen, IP-Adressen und/oder Subnetzmasken aufgeführt werden, von denen sich Applikationsserver am Message-Server anmelden dürfen.

Die Namen können entweder aufgelistet werden oder jeweils in eine eigene Zeile geschrieben werden.

Diese Datei hat keine Auswirkung auf externe Clients, die sich nur Informationen vom Message- Server holen möchten. Das ist in jedem Fall möglich.

Die Einträge müssen dabei folgender Syntax genügen:

Syntax Syntax

  1. HOST=[*| ip-adr | hostname | Subnetz-Maske | Domäne ] [, ...]
Ende des Codes

Die Datei legen Sie auf Betriebssystemebene an. Im Message-Server-Monitor (SMMS) können Sie dann die Datei anzeigen und nachladen. Wählen Sie dazu   Springen   Sicherheitseinstellungen   Zugriffskontrolle  .

Beispiel Beispiel

HOST = sapapp1, sappapp2 bedeutet: nur Anmeldungen von den Rechnern sapapp1 und sapapp2 sind erlaubt.

HOST = *.sap.com bedeutet: alle Rechner aus der Domäne sap.com sind erlaubt.

HOST = 157.23.45.56, 157.23.45.57 bedeutet: nur Rechner mit diesen IP-Adressen sind erlaubt.

HOST = 157.23.45.* bedeutet: alle Rechner aus diesem Subnetz sind erlaubt.

Ende des Beispiels.

Weitere Informationen

Überwachungsprogramm msmon

Message-Server mit dem Browser überwachen

Message-Server-Parameter