Show TOC

Zugriffskontrolllisten (ACLs) einrichtenLocate this document in the navigation structure

Verwendung

Sie können eine Zugriffskontrolliste (ACL, „access control list“) einrichten und damit die Zugriffsberechtigungen bei Verbindungen mit dem SAP GUI steuern. Grundlage hierfür sind die IP-Adressen der Clients.

Vorgehensweise

  1. Legen Sie eine ACL-Datei an gemäß der unten beschriebenen Syntax.

  2. Setzen Sie im Instanzprofil der Applikationsserver-Instanz den Parameter rdisp/acl_file auf den Dateipfad der ACL-Datei.

    Achtung

    • Wenn der Profilparameter gesetzt ist, muss die Datei existieren und syntaktisch korrekt sein. Ist dies nicht der Fall, beendet sich der Applikationsserver wieder.

    • Wenn der Parameter nicht gesetzt ist, akzeptiert der Applikationsserver alle Verbindungsanfragen.

Syntax der ACL-Datei

Eine Zeile der ACL muss der folgenden Syntax entsprechen:

      
<permit | deny> <ip-address[/mask]> [tracelevel] [# comment]

Hierbei gilt:

  • permit erlaubt eine Verbindung, deny verbietet eine Verbindung.

  • <ip-address> : Die IP-Adresse muss eine IPv4- oder IPv6-Adresse der folgenden Form sein:

    • IPv4: 4 byte, dezimal, '.' separiert: z.B. 10.11.12.13

    • IPv6: 16 byte, hexadezimal, ':' separiert. '::' wird unterstützt

  • <mask> : Wenn eine Maske mit angegeben wird, dann muss es eine Subnetz-Präfixmaske sein:

    • IPv4: 0-32

    • IPv6: 0-128

  • <tracelevel> : Trace-Level, mit dem Treffer (Übereinstimmung der Adressen unter Berücksichtigung der Subnetzmaske) der ACL in die jeweilige Trace-Datei geschrieben wird (Defaultwert 2).

  • <# comment> : Kommentarzeilen beginnen mit einem Gatter # .

  • Die Datei darf Leerzeilen enthalten.

  • Als letzte Regel wird automatisch ein generelles Verbot eingefügt.

Zum eindeutigen Verständnis sollte dennoch eine explizites deny als letzte Regel eingetragen werden. Die Regeln werden sequentiell von oben beginnend geprüft ( „top down“ ). Die erste zutreffende Regel bestimmt das Ergebnis ( „first match“ ).

Beispiel

permit 10.1.2.0/24         # permit client network

permit 192.168.7.0/24      # permit server network

permit 10.0.0.0/8 1        # screening rule

                           # (learning mode, trace-level 1)

permit 2001:db8::1428:57ab # permit IPv6 host

deny   0.0.0.0/0           # deny the rest

Weitere Informationen

Für die anderen Ports des Applikationsservers können Sie auf ähnliche Weise ACL-Dateien pflegen. Informationen dazu finden Sie in der zugehörigen Dokumentation: