コンテンツエリア開始

 ルート許可テーブル  Locate the document in its SAP Library structure

定義

ルート許可テーブルには、ルート上の (SAProuter から見た) 直前と直後のポイントのホスト名とポート番号、およびその接続設定に必要なパスワードが含まれています (SAP ルータストリングの 1 つに対応します。ルートストリングを参照してください)。ルート許可テーブルは、SAProuter による接続の許可または拒否の指定に使用されます。また、SNC 接続を行うかどうかと、その対象の接続を指定します。

構造

標準エントリ

ルート許可テーブル内の標準エントリは、次のとおりです。

P/S/D <source host> <dest host> <dest serv> <password>

<source-host> および <dest-host> SAProuter になります。

テーブルエントリのエレメントは、下記で説明します。

接続処理: P/S/D

この行の最初は、以下のようになります。

      P(ermit) (許可) は、SAProuter が接続を設定します。P(ermit) エントリにはパスワードを含めることができます。SAProuter は、このパスワードがクライアントから送られてきたものと一致するか確認します。

P の直後に、このルートでこのSAProuter の前後に許可されるSAProuter の最大数を指定し、接続を許可することもできます。Pv,n - v はこのルートで許可されているこの SAProuter SAProuter の最大数を表し、n はこの SAProuter SAProuter の最大数を表します。

      S(ecure) (セキュア)は、SAP プロトコルを使用した接続のみを許可します。TCP など、その他のプロトコルによる接続は許可されません。SAProuter を使用したネットワークセキュリティを参照してください。

Sv,n を使用すると、P を使用した場合と同じように、ルート上で先行する SAProuter 数と後続の SAProuter 数を設定することができます。

      D(eny) (拒否) は、接続を拒否します。

      また、コメント行を追加することもできます。コメント行は、# で開始する必要があります。

ソースホスト <source host>

このエレメントは SAProuter から見た接続元のホストを記述します。ホスト名、IP アドレス、IP サブネットワークのいずれかを指定することができます (ルート許可テーブルの登録を参照)

宛先ホスト <dest host>

このエレメントは SAProuter から見た接続先のホストを記述します。ホスト名、IP アドレス、または IP サブネットワークのいずれかを指定することができます。

宛先ポート <dest serv>

このエレメントは接続先の宛先ホストのポート (サービス) を記述します。ここでは、範囲を決定する 2 つのポートをピリオドで区切って記述し、ポート範囲を指定することもできます。<dest serv> の値が 3200.3298 の場合は、3200 から 3298 の間の全ポートを使用して宛先サーバへの接続が行われることを示します (ルート許可テーブルの例も参照)

 

<source-host> クライアントが SAProuter を使用して <dest-host> <dest-serv> に接続する場合、SAProuter は接続する前にルート許可をチェックします。SAProuter が受け取ったパスワードとルートがルート許可テーブルのエントリと一致すると、SAProuter は接続を行います。一致しない場合、SAProuter は接続を設定せず、メッセージルート許可が拒否されましたを発行します。

SNC エントリ

SNC エントリは、常に文字 K (key k) で始まります。

SNC エントリには以下の2 つの種類があります。

...

       1.      KT エントリ (Key Target)

このエントリは、SNC 接続を行う対象の接続を定義します。これは、(この SAProuter から見て) 内側の方向と外側の方向の両方の接続に対して定義することができます。

...

                            a.      入ってくる方向の接続

構文は KT <SNCname src host> <src host> <src serv> です。

これは、ホスト <src host> <src serv> からの SNC 名が <SNC name src host> である接続は、SNC 接続であることを意味します。

このように、SAP からのサービス接続は必ずSNC 接続にする、という定義をユーザが行うことができます。

                            b.      出ていく方向の接続

構文は KT <SNC name dest host> <dest host> <dest serv> です。これは、SAProuter から <dest host> <dest serv> への SNC 名が <SNC name> である接続は、SNC 接続であることを意味します。

SNC 接続を可能にするには、該当するSAProuter がオプション -K を使用して起動されており、かつルート許可テーブルに適切な KTエントリが含まれている必要があります。

       2.      KDKP および KS エントリ

構文は以下のとおりです。

K<D/P/S>  <SNCname source host>  <dest host>  <dest serv>  <password>これは、ルートストリングに正しい <password> が含まれている場合、<SNCname source-host> から SAProuter を経由して <dest host>  <dest serv> への (暗号化された) SNC 接続が設定されることを意味します。

ルート許可テーブルの評価

SAProuter がルート許可テーブルを評価する場合、次のルールが適用されます。

最初の一致の原則

ルート許可テーブルの中で、接続元アドレス、接続先アドレス、および接続先ポートが合致した最初のエントリの設定は確定的であり、その後のエントリで異なる設定をしても最初のエントリの設定が有効になる点に注意してください。つまり、ルート許可テーブルの例では、3 番目のエントリに従ってサービス serviceX による接続はすべて許可されますが、host1 から host2 へのサービス serviceX の接続は最初のエントリであるため許可されないという意味です。

一致なし

テーブルに適切なルートのエントリがない場合、接続は拒否されます。最後の行が次のように指定されている場合と同様の動作になります。

D    *     *     *.

ワイルドカード例外

SAProuter がルート上の最後の SAProuter (たとえばフロントエンド)、サービスが SAP サービスではない (SAP プロトコルではない) 場合、サービスにワイルドカード ("*") を使用することはできません。接続は、SAP でないサービスを明示的に選択した場合にのみ許可されます。上記の例で、telnet の代わりに * が入力されており、SAProuter がルート上で最後のものであった場合は、telnet 接続は設定されません。

 

Note セキュリティ上の注記

セキュリティ上の理由から、ルート許可テーブルの P S の行で、ターゲットホスト (<dest-host>) およびターゲットポート (<dest-serv>) にワイルドカード (*) を使用しないようお奨めします。テーブルに P または S の行が含まれる場合、SAProuter では警告メッセージが出されます。

警告: ルートターゲットでワイルドカード文字が使用されました

 

追加情報

ルート許可テーブルの作成

ルート許可テーブルの例

SNC を使用したルート許可テーブルの例

SAProuter ルート許可の実装部分

 

 

 

 

コンテンツエリア終了