Show TOC

Dokumentation zur VorgehensweiseSicherheitseinstellungen für externe Programme einrichten Dieses Dokument in der Navigationsstruktur finden

 

Um einen sicheren Betrieb des SAP-Gateways zu gewährleisten, müssen Sie besonders auf den Umgang mit externen Programmen achten. Sie können das Gateway so konfigurieren, dass unerwünschte externe Programme nicht ausgeführt werden können.

Um nicht durch zu restriktive Konfiguration SAP-Programme zu blockieren, die für den Systembetrieb notwendig sind, empfiehlt es sich, zunächst das Gateway-Logging laufen zu lassen, um diese Programme zu identifizieren und dann die Konfigurationsdateien secinfo und reginfo entsprechend zu pflegen.

Vorgehensweise

  1. Richten Sie das Gateway-Logging ein, indem Sie im Profil die folgenden Parameter setzen:

    gw/sec_info = $(DIR_DATA)/secinfo

    gw/reg_info = $(DIR_DATA)/reginfo

    gw/logging = ACTION=S LOGFILE=gw_log-%y-%m%d SWITCHTF=day

    Hinweis Hinweis

    Wenn ein SAP-System aus mehreren Applikatiosservern besteht, fügen Sie dem Dateinamen noch die System-ID (dreibuchstabige SID) und den Servernamen zu. Dies erlaubt eine Unterscheidung der Dateien, wenn sie zur Analyse zentral gesammelt werden. Hierzu können Sie die Umgebungsvariablen $(SAPSYSTEMNAME) und $(SAPLOCALHOST) verwenden und den Parameter wie folgt setzen:

    gw/logging = ACTION=S LOGFILE=gw_log_$(SAPSYSTEMNAME)_$(SAPLOCALHOST)-%y%m%d SWITCHTF=day

    Ende des Hinweises

    Dadurch werden alle sicherheitsrelevanten Aktionen des Gateways in einer eigenen Datei protokolliert. Diese Einstellung kann auch innerhalb des Systems vorgenommen werden.

    Weitere Informationen: Gateway-Logging einrichten

  2. Legen Sie im Verzeichnis $(DIR_DATA) die Dateien secinfo und reginfo an mit folgendem Inhalt:

    • secinfo enthält nur die Zeile USER=* HOST=* TP=*

    • reginfo enthält nur die Zeile TP=*

    Mit dieser Konfiguration von secinfo und reginfo können alle Programme über das Gateway angestartet werden und alle Programme dürfen sich am Gateway registrieren

    Achtung Achtung

    Beachten Sie, dass diese Einstellungen nur temporär bestehen sollen, um herauszufinden, welche Programme in die Dateien aufgenommen werden sollen. Während diese Einstellungen aktiv sind, ist das Gateway nicht gegen externe Programme geschützt!

    Ende der Warnung.

  3. Aktivieren Sie die Konfigurationsdateien secinfo und reginfo, indem Sie in der Transaktion SMGW   Springen   Expertenfunktionen   Externe Security   Neu lesen   wählen. Führen Sie die Aktivierung auf jeder Applikationsserver-Instanz des Systems durch. Rufen Sie dazu die Serverübersicht (Transaktion SM51) auf und wechseln Sie die Instanz durch Doppelklick.

  4. Lassen Sie das System mit diesen Einstellungen mehrere Tage laufen und führen Sie alle Aktionen aus, die mit externen Programmen und registrierten Servern zu tun haben.

  5. Werten Sie die Log-Datei aus. Gehen Sie vor wie im Abschnitt Log-Datei auswerten beschrieben.

  6. Pflegen Sie die Dateien secinfo und reginfo entsprechend.

  7. Aktivieren Sie die Dateien (vgl. 3.)

  8. Lassen Sie das System mit diesen Einstellungen laufen, beobachten Sie das Logging jedoch weiterhin. Besonderes Augenmerk sollten Sie auf die Einträge secinfo denied und reginfo denied legen. Das sind externe Programme und registrierte Server, die aufgrund der Einstellungen nicht ausgeführt werden dürfen. Eventuell wurde eine neue Komponente getestet oder eingeführt, die zusätzliche externe Programme und registrierte Server benötigt. Der Administrator muss dann entschieden, ob diese Einträge in die Security-Dateien aufgenommen werden sollen.

Weitere Informationen

Gateway-Sicherheitsdateien secinfo und reginfo

SM51: Übersicht SAP Applikationsserver