Sicherheitseinstellungen für externe Programme einrichten

Verwendung

Um einen sicheren Betrieb des SAP-Gateways zu gewährleisten, müssen Sie besonders auf den Umgang mit externen Programmen achten. Sie können das Gateway so konfigurieren, dass unerwünschte externe Programme nicht ausgeführt werden können.

Grundsätzlich gibt es dazu folgende Herangehensweisen:

Logging-basierte Einstellung

Um nicht durch zu restriktive Konfiguration SAP-Programme zu blockieren, die für den Systembetrieb notwendig sind, konfigurieren Sie die Sicherheitsdateien zunächst so, dass alle Verbindungen erlaubt sind und überwachen das Gateway mittels Gateway-Logging. So bekommen Sie einen Überblick, welche Programme erlaubt sein sollen und pflegen dann die Konfigurationsdateien secinfo und reginfo entsprechend.

Weitere Informationen zur Vorgehensweise finden Sie unter Logging-basierte Einstellung konfigurieren .
Restriktive Einstellung (sichere Konfiguration)

Sie konfigurieren das Gateway so, dass zunächst nur systemintern Programme angestartet und registriert werden können.

Dann nehmen Sie je nach Bedarf Programme, die erlaubt sein sollen, in die Konfigurationsdateien secinfo und reginfo auf.

Empfehlung
Dieses Vorgehen wird von SAP empfohlen und ist unten beschrieben.

Voraussetzungen

Die Parameter haben folgenden Wert (Default-Einstellung):

gw/sec_info = $(DIR_DATA)/secinfo

gw/reg_info = $(DIR_DATA)/reginfo

Sollte dies nicht der Fall sein, setzen Sie die Parameter auf diesen Wert. Wenn Sie andere Dateipfade für die Dateien konfigurieren wollen, setzen Sie die Parameter entsprechend.

Empfehlung

reginfo und secinfo werden pro Applikationsserver erzeugt und verwaltet. Aus Gründen der Wartbarkeit empfiehlt SAP, jeweils eine reginfo- und secinfo-Datei pro SAP-System in einem gemeinsam genutzten Verzeichnis anzulegen, z.B.

gw/sec_info = $(DIR_GLOBAL)$(DIR_SEP)secinfo
gw/reg_info = $(DIR_GLOBAL)$(DIR_SEP)reginfo

Wenn Sie Windows als Betriebssystem verwenden, sollten die Dateien die Endung .DAT haben.

Vorgehensweise

Um die empfohlene sichere Konfiguration des Gateways einzurichten, gehen Sie vor wie folgt:

Prüfen Sie die Dateien secinfo und reginfo. Wählen Sie dazu im Gateway-Monitor (Transaktion SMGW) Springen Expertenfunktionen Externe Sicherheit Anzeigen (secinfo) bzw. Anzeigen (reginfo)

Um die systeminterne Kommunikation zu ermöglichen, müssen die Dateien folgende Einträge enthalten.
- secinfo
  
  P TP=* USER=* USER-HOST=local HOST=local
  
  P TP=* USER=* USER-HOST=internal HOST=internal
  
  Das bedeutet, dass Programme auf dem Gateway-Rechner vom Gateway-Rechner aus angestartet werden dürfen und dass Programme innerhalb des Systems aus dem System angestartet werden dürfen.
- reginfo
  
  P TP=* HOST=local CANCEL=local ACCESS=*
  
  P TP=* HOST=internal CANCEL=internal ACCESS=*
  
  Das bedeutet, dass sich Programme vom Gateway-Rechner registrieren dürfen und dass Programme innerhalb des Systems sich registrieren dürfen.
  
  Empfehlung
  Diese Empfehlung gilt für bestehende Systeme. Nach einer Neuinstallation empfiehlt SAP die restriktivere Einstellung
  
  P TP=* HOST=local CANCEL=local ACCESS=local
  
  P TP=* HOST=internal CANCEL=internal ACCESS=internal
Wenn die Dateien nicht existieren, verhält sich das System so, als wären diese Einträge vorhanden.
Erweitern Sie die Dateien schrittweise nach Bedarf. Erlauben Sie die konfigurierten RFC-Destinationen (Transaktion SM59) nach Bedarf durch die entsprechenden Einträge in die secinfo-Datei.

Dazu gehen Sie vor wie folgt:
1. Schauen Sie sich die aktuelle secinfo-Datei an. Wählen Sie dazu im Gateway-Monitor (Transaktion SMGW) Springen Expertenfunktionen Externe Sicherheit Anzeigen (secinfo) Sie können hier prüfen, ob die Datei den gewünschten Anforderungen entspricht.
2. Um weitere Einträge in die Datei aufzunehmen, wählen Sie Springen Expertenfunktionen Externe Sicherheit Erzeugen (secinfo) .
3. Markieren Sie im folgenden Dialogfenster die gewünschten Einträge und wählen Sie .
  
  Sie bekommen in einem neuen Dialogfenster die Zeilen der Datei angezeigt.
4. Wählen Sie .
  
  Wenn die Datei schon vorhanden ist, können Sie entscheiden, ob diese Datei durch die gewählten Einträge ersetzt werden soll, oder ob die gewählten Einträge zu der Datei hinzugefügt werden sollen.
  
  Hinweis
  Die in Schritt 1 genannten Zeilen werden der Datei immer automatisch vom System dazugefügt, da sonst ein normaler Betrieb des Systems nicht möglich ist.
5. Bestimmen Sie, ob die Änderungen sofort aktiviert werden sollen. Wenn nein, können Sie sie jederzeit über Springen Expertenfunktionen Externe Sicherheit Neu lesen aktivieren.
6. Prüfen Sie Ihre secinfo-Datei.
  
  Wählen Sie dazu
  
  Hinweis
  Beachten Sie, dass Sie hier die derzeit im Gateway aktive Einstellung sehen. Wenn der Inhalt der Datei geändert wurde, die Datei aber nicht neu eingelesen wurde, ist die Ausgabe nicht identisch mit dem Inhalt der Datei , die Sie etwa über den Dateibrowser (Transaktion AL11) ansehen können.

Sie können die secinfo-Datei auch auf Betriebssystemebene pflegen und über die SMGW neu einlesen ( Anfang des Navigationspfads Springen Nächster Navigationsschritt Expertenfunktionen Externe Sicherheit Neu lesen Ende des Navigationspfads ).

Weitere Informationen

Informationen zum Aufbau und der Syntax der Sicherheitsdateien secinfo und reginfo finden Sie unter Gateway-Sicherheitsdateien secinfo und reginfo .
SAP-Hinweis 1408081 beschreibt die Konfiguration der Sicherheitsdateien für SAP-Systeme aktueller und älterer Releases.