Show TOC

Logging-basierte Konfiguration des SAP-GatewayLocate this document in the navigation structure

Kontext

Bei der hier beschriebenen Vorgehensweise erlauben Sie zunächst alle Kommunikation mit dem SAP-Gateway. Auf Basis der geschriebenen Log-Datei passen Sie dann die Sicherheitseinstellungen durch die Dateien secinfo und reginfo an.

Vorgehensweise

  1. Richten Sie das Gateway-Logging ein, indem Sie im Profil die folgenden Parameter setzen:

    gw/sec_info = $(DIR_DATA)/secinfo

    gw/reg_info = $(DIR_DATA)/reginfo

    gw/logging = ACTION=S LOGFILE=gw_log-%y-%m%d SWITCHTF=day

    Hinweis

    Um die Log-Datei möglichst klein zu halten, können Sie statt dem großen S auch ein kleines s setzen. Ist das kleine s gesetzt werden nur abgelehnte Aktionen protokolliert. Dieses kann die Auswertung der Datei zu Administrationszwecken erleichtern.

    Hinweis

    Wenn ein SAP-System aus mehreren Applikationsservern besteht, fügen Sie dem Dateinamen noch die System-ID (dreibuchstabige SID) und den Servernamen zu. Dies erlaubt eine Unterscheidung der Dateien, wenn sie zur Analyse zentral gesammelt werden. Hierzu können Sie die Umgebungsvariablen $(SAPSYSTEMNAME) und $(SAPLOCALHOST) verwenden und den Parameter wie folgt setzen:

    gw/logging = ACTION=S LOGFILE=gw_log_$(SAPSYSTEMNAME)_$(SAPLOCALHOST)-%y%m%d SWITCHTF=day

    Dadurch werden alle sicherheitsrelevanten Aktionen des Gateways in einer eigenen Datei protokolliert. Diese Einstellung kann auch innerhalb des Systems vorgenommen werden.

    Weitere Informationen: Gateway-Logging einrichten

  2. Legen Sie im Verzeichnis $(DIR_DATA) die Dateien secinfo und reginfo an mit folgendem Inhalt:

    • secinfo enthält nur die Zeile USER=* HOST=* TP=*

    • reginfo enthält nur die Zeile TP=*

    Mit dieser Konfiguration von secinfo und reginfo können alle Programme über das SAP-Gateway angestartet werden und alle Programme dürfen sich am SAP-Gateway registrieren

    Achtung

    Beachten Sie, dass diese Einstellungen nur temporär bestehen sollen, um herauszufinden, welche Programme in die Dateien aufgenommen werden sollen. Während diese Einstellungen aktiv sind, ist das SAP-Gateway nicht gegen externe Programme geschützt!

  3. Aktivieren Sie die Konfigurationsdateien secinfo und reginfo, indem Sie in der Transaktion SMGW Anfang des Navigationspfads Springen Nächster Navigationsschritt Expertenfunktionen Nächster Navigationsschritt Externe Security Nächster Navigationsschritt Neu lesen Ende des Navigationspfads wählen. Führen Sie die Aktivierung auf jeder Applikationsserver-Instanz des Systems durch. Rufen Sie dazu die Serverübersicht (Transaktion SM51) auf und wechseln Sie die Instanz durch Doppelklick.
  4. Lassen Sie das System mit diesen Einstellungen mehrere Tage laufen und führen Sie alle Aktionen aus, die mit externen Programmen und registrierten Servern zu tun haben.
  5. Werten Sie die Log-Datei aus. Gehen Sie vor wie im Abschnitt Log-Datei auswerten beschrieben.
  6. Pflegen Sie die Dateien secinfo und reginfo entsprechend.
  7. Aktivieren Sie die Dateien (vgl. 3.)
  8. Lassen Sie das System mit diesen Einstellungen laufen, beobachten Sie das Logging jedoch weiterhin. Besonderes Augenmerk sollten Sie auf die Einträge secinfo denied und reginfo denied legen. Das sind externe Programme und registrierte Server, die aufgrund der Einstellungen nicht ausgeführt werden dürfen. Eventuell wurde eine neue Komponente getestet oder eingeführt, die zusätzliche externe Programme und registrierte Server benötigt. Der Administrator muss dann entschieden, ob diese Einträge in die Sicherheitsdateien aufgenommen werden sollen.

Nächste Schritte