Show TOC

Hintergrundicm/HTTP/auth_<xx> Dieses Dokument in der Navigationsstruktur finden

 

Mit diesem Parameter können Sie Zugriffsbeschränkungen im ICM und SAP Web Dispatcher einrichten (als „White List“ oder „Black List“).

Zum Schutz des ICM und des Backend-Systems (AS ABAP oder AS Java) gibt es einen HTTP-Subhandler (Filter), der Requests anhand von verschiedenen Kriterien abblocken kann. Wenn der Filter aktiviert ist, wird er bei jedem HTTP(S)-Request zum ICM oder Web Dispatcher durchlaufen, bevor der Request zu einem anderen HTTP-Handler (Dateizugriff, Cache, Administration, Redirect) oder zum Backend-System (AS ABAP oder AS Java) geschickt wird.

Sie können Requests nach den folgenden Kriterien filtern:

  • URL

  • Client-IP-Adresse

  • Server-IP-Adresse

  • Benutzername/Benutzergruppe und Kennwort

  • Mustersuche in der URL

Struktur

Arbeitsgebiet

Internet Communication Manager, SAP Web Dispatcher

Einheit

Zeichenkette

Standardwert

icm/HTTP/auth_0= PREFIX=/, FILTER=SAP

Dynamisch änderbar

nein
Wertebereich und Syntax

Um die Zugriffsbeschränkungen einzurichten, verwenden Sie den Parameter mit folgender Syntax:

Syntax Syntax

  1. icm/HTTP/auth_<xx> = PREFIX=<URL-Präfix>
[,PERMFILE=<permission file>, AUTHFILE=<authentication file>, 
FILTER=<name>]
Ende des Codes

Der Index <xx> steht für eine Zahl ohne führende 0. Eine aufsteigende Verwendung der Indexe ist nicht erforderlich, d.h. es ist erlaubt, beispielsweise nur icm/HTTP/auth_2 zu konfigurieren.

Hinweis Hinweis

Nicht alle Kombinationen der Optionen sind sinnvoll möglich. Folgende Kombinationen sind sinnvoll:

  • icm/HTTP/auth_<xx> = PREFIX =<prefix>

  • icm/HTTP/auth_<xx> = PREFIX =<prefix>, PERMFILE=<permfile>

  • icm/HTTP/auth_<xx> = PREFIX =<prefix>, PERMFILE=<permfile>, FILTER=<filtername>

  • icm/HTTP/auth_<xx> = PREFIX =<prefix>, PERMFILE=<permfile>, AUTHFILE=<authfile>

  • icm/HTTP/auth_<xx> = PREFIX =<prefix>, PERMFILE=<permfile>, AUTHFILE=<authfile>, FILTER=<filtername>

Ein AUTHFILE ohne ein PERMFILE ergibt keinen Sinn. Den Filter auszuschalten ist nur sinnvoll, wenn ein PERMFILE verwendet wird.

Ende des Hinweises

Hierbei haben die Angaben folgende Bedeutung:

  • PREFIX

    URL-Präfix, für den der Subhandler aufgerufen werden soll

  • PERMFILE

    Optionale Angabe

    Name der Permission-Datei im Dateisystem

  • AUTHFILE

    Optionale Angabe

    Name der Benutzerdatei oder system zur Authentifizierung gegen einen Betriebssystembenutzer

  • FILTER

    Optionale Angabe

    Name des Profils für die Mustersuche.(Standardwert: SAP). Durch Weglassen der Option deaktivieren Sie den Filter. Die dynamische Aktivierung/Deaktivierung erfolgt durch Setzen des Parameters csi/enable. Sie können die Filterung mit dem Parameter csi/enable dynamisch (de)aktivieren. Sie finden den Parameter in der Web-Administrations-Oberfläche.

  • CASE

    Angabe der Case-Sensitivität von URL-Präfixen im PERMFILE. TRUE bedeutet, dass URL-Präfixe case-sensitiv behandelt werden. FALSE bedeutet, dass URL-Präfixe case-insensitiv behandelt werden. Der Default ist FALSE. Diese Einstellung wird auch empfohlen.

    Da der AS ABAP URLs case-insensitiv behandelt, sollten Negativlisten immer case-insensitiv konfiguriert werden. CASE=TRUE kann sinnvollerweise nur dann verwendet werden, wenn die Permission-Datei ausschließlich Positiveinträge (Einträge vom Typ 'P') enthält.

PERMFILE

Mit der Permission-Datei wird die Art des Zugriffsschutzes bestimmt. Die Permission-Datei hat den folgenden Aufbau:

  • Kommentarzeilen beginnen mit einem # und werden ignoriert

  • Andere Zeilen haben die Form:

    P/D/S <URI-pattern> <USER> <GROUP> <CLIENT-IP> <SERVER-IP>

    Der Buchstabe am Zeilenanfang hat folgende Bedeutung:

    • P (Permit) lässt den Request durch

    • D (Deny) lehnt den Request ab und schickt dem Client eine entsprechende Nachricht

    • S (Secure) erlaubt für den URL-Präfix nur sichere Verbindungen (HTTPS)

    • <URI-pattern> ist der Abschnitt der URL, der im Abschnitt Cache-Key als translated path bezeichnet ist

  • Für das URI-Pattern können Sie das Wildcard-Zeichen * verwenden, allerdings nur am Anfang oder am Ende des <URI-pattern>-Strings.

  • Für die Client- und Server-IP-Adesse können Sie einen genauen Vergleich, das Wildcard-Zeichen * oder die Netzmasken Syntax verwenden.

Der Standardwert für leere Einträge ist der *, der alles zulässt.

Die Bedingungen werden von oben nach unten abgeprüft.

Trifft eine Bedingung für D oder P zu, endet die Prüfung, und der Request wird vom Subhandler zugelassen oder abgewiesen.

Falls keine der Bedingungen in der Tabelle erfüllt ist, wird der Request abgewiesen (Deny).

Achtung Achtung

Bitte beachten Sie:

Die URI Zugriffstabelle ist in der Standardeinstellung case-insensitiv

Die Zeilen der Tabelle werden von oben nach unten abgearbeitet. Daher ist es wichtig, die spezifischen Einträge am Anfang der Tabelle zu definieren (vgl. Bsp.2).

Ende der Warnung.

Die folgende Tabelle „permfile.txt“ ermöglicht den Zugriff auf /sap/admin über die IP-Adresse 192.168.2.40 des Servers. Außerdem sind nur Client-IP Adressen aus Subnetz 192.168.1.0/24 zulässig.

Beispiel 1: icm/HTTP/auth_0 = PREFIX=/sap/admin, PERMFILE=permfile.txt, AUTFILE=autfile.txt

URI-Pattern

Benutzer

Gruppe

Client-IP-Adresse

Server-IP-Adresse

P

/sap/admin

*

admin

*

10.18.55.40

P

/sap/admin/*

*

admin

10.*.55.*

10.18.55.*

Die folgende Tabelle „permfile2.txt“ ermöglicht den Zugriff auf URI /sap/bc/echo nur von Client IP Adresse 10.18.55.50. Alle anderen URIs unterhalb von /sap/bc/ werden nicht blockiert.

Beispiel 2: icm/HTTP/auth_1 = PREFIX=/sap/bc, PERMFILE=permfile2.txt

URI-Pattern

Benutzer

Gruppe

Client-IP-Adresse

Server-IP-Adresse

P

/sap/bc/echo

*

*

10.18.55.50

*

D

/sap/bc/echo

*

*

*

*

P

/sap/bc/*

*

*

*

*
AUTHFILE (optional)

Das AUTHFILE bestimmt die zulässigen Benutzer und Kennwörter und ist erforderlich, wenn in der Permission-Datei Einträge für USER oder GROUP gemacht wurden.

Mögliche Werte für AUTHFILE sind:

  • System: Benutzer wird gegen einen Betriebssystembenutzer authentifiziert

  • <Dateiname>: Datei mit Benutzername, Gruppenname und geschützten Kennwörtern

Die Autorisierungsdatei kann mit den Programmen wdispmon und icmon erzeugt und gepflegt werden (Option -a) und hat den folgenden Aufbau:

  • Kommentarzeilen beginnen mit einem # und werden ignoriert

  • Andere Zeilen haben die Form:

    <Benutzer>:<Hash des Passwortes>:<Benutzergruppe>:<DN Client-Zertifikat>

Beispiel

Authentifizierungsdatei für den ICM und SAP Web Dispatcher:

test:$apr1$/iTOQ$EOABCDFDDj55EqL0:user

sidadm:$apr1$/iTOQ$EOcAYBCD55EqL0:admin

Integration

Der Authentication Subhandler erweitert die Funktionalität des SAP Web Dispatcher URL-Filters und der Authentifizierung der Web-basierten Administrationsoberfläche.

Bei Nutzung dieses Zugriffsfilters können die beiden anderen Verfahren deaktiviert werden:

  • SAP Web Dispatcher URL-Filter:

    wdisp/permission_table =

  • Web Admin Oberfläche:

    icm/HTTP/admin_0 =PREFIX=/sap/admin,DOCROOT=./admin,AUTHFILE=none

Weitere Informationen

Beachten Sie im Zusammenhang mit diesem Parameter folgende Dokumentation:

icm/HTTP/admin_<xx>

Webadmin-Oberfläche mit X.509-Zertifikat verwenden

Administrationsbenutzer anlegen

Verwendung der Kommandozeilenprogramme icmon und wdispmon