Текущее время: Пт, мар 29 2024, 16:20

Часовой пояс: UTC + 3 часа


Правила форума


ВНИМАНИЕ! Прежде чем задавать вопрос, ознакомьтесь со ссылками ниже:

Вопросы по отличиям версий SAP, Add-On, EHP - сюда
Вопросы по SAP Front End (SAPlogon, SAPgui, guiXT и т.д.) - сюда
Вопросы по LSMW - сюда
Вопросы по архивации в SAP - сюда
Вопросы по SAP GRC - сюда
Вопросы по SAP Business Workplace (почте SAP) и SAP Office - сюда
Вопросы по miniSAP (SAP mini basis) - сюда
Вопросы по SAP HANA - сюда
Вопросы по лицензированию продуктов SAP - сюда



Начать новую тему Ответить на тему  [ Сообщений: 8 ] 
Автор Сообщение
 Заголовок сообщения: SNC Client Encryption without SSO. Instruction in detail
СообщениеДобавлено: Чт, июл 06 2017, 10:31 
Начинающий
Начинающий

Зарегистрирован:
Чт, июл 06 2017, 10:19
Сообщения: 3
Добрый день. Просьба помочь, никак не получается настроить SNC Client Encryption without SSO. Специально поднял песочницу, чтобы описать шаги, которые выполняю.

I make SNC Client Encryption solution for ABAP sandbox (for next implantation to prod).
And i cant find full instructions with correct examples.
After all activities, i can connect with security lock, but without properly logon to system (there is offer to me for enter login and password ).
The main instruction, which i take for my steps (but I've got WinServer2008):
https://blogs.sap.com/2013/08/14/config ... arislinux/
So, my steps:
1) The folder has been created E:\usr\sap\PD2\DVEBMGS02\SSL (Copy here SECURELOGINLIB, with snc.exe, seccrypt.dll and many others files)
2) Check for sapcrypto.dll is placed in the E:\usr\sap\PD2\SYS\exe\uc\NTAMD64
3) Domain user has been created Domain\SNCLogonPD2 with Pricipal name SAP/ServicePD2 (Our admin also add second record SAP/KerberosPD2) (set password PD2pass44)
4) I’ve set Variables SECUDIR=E:\usr\sap\PD2\DVEBMGS02\sec
5) E:\usr\sap\PD2\DVEBMGS02\SSL>snc crtpse (set password PD2pass44)
6) snc crtkeytab -s SNCLogonPD2@DOMAIN.LOCAL (set password PD2pass44)
7) Profile parameters:
instance (or DEFAULT.PFL) profile:
snc/gssapi_lib E:\usr\sap\PD2\DVEBMGS02\SSL\secgss.dll
snc/identity/as p:CN=SAP/ServicePD2@DOMAIN.LOCAL
snc/data_protection/max 3
snc/data_protection/min 2
snc/data_protection/use 3
snc/r3int_rfc_secure 0
snc/r3int_rfc_qop 8
snc/permit_insecure_start 1
snc/accept_insecure_cpic 1
snc/accept_insecure_rfc 1
snc/force_login_screen 1
snc/enable 0
snc/accept_insecure_gui 1
ssf/name SAPSECULIB
ssf/ssfapi_lib $(ssl/ssl_lib)
ssl/ssl_lib $(DIR_EXECUTABLE)$(DIR_SEP)$(FT_DLL_PREFIX)sapcrypto$(FT_DLL)
sec/libsapsecu
Add the following entry to your start profile(s):
SETENV_XX (XX = next available value) SECUDIR=$(DIR_INSTANCE)/sec
SETENV_00 PATH=$(DIR_EXECUTABLE);%PATH%
SETENV_01 SECUDIR=$(DIR_INSTANCE)/sec

8) Restart the system
9) In STRUST make SNC SAPCRYPTOLIB certificate (RSA):
Owner: CN=SAP/ServicePD2@DOMAIN.LOCAL

10) Set parameter rz10: snc/enable 1
11) Restart the system
12) Install SNCCLNTCRYPT01_5-20008986.EXE to local machine for my SAP GUI
13) In SAP GUI, in the connection string in the folder Network set SNC NAME: p:CN=SAP/ServicePD2@DOMAIN.LOCAL
14) SU01 I set SNC NAME= p:CN=i.ivanov@DOMAIN.LOCAL for login TEST_SNC

15) Logon !!! But only screen for login and password (and i can succesfull enter with password). In low right hand, I can see closed lock. I hoped enter in the system and see my work menu.


What did I wrong during settings ? What I forgot ?


Принять этот ответ
Вернуться к началу
 Профиль Отправить email  
 
 Заголовок сообщения: Re: SNC Client Encryption without SSO. Instruction in detail
СообщениеДобавлено: Чт, июл 06 2017, 12:10 
Директор
Директор
Аватара пользователя

Зарегистрирован:
Пн, янв 14 2013, 10:37
Сообщения: 795
Пол: Мужской
А в чем проблема то ? "In low right hand, I can see closed lock", SNC без SSO значит работает.
Или вы путаете слова with SSO и without SSO ?


Принять этот ответ
Вернуться к началу
 Профиль Отправить email  
 
 Заголовок сообщения: Re: SNC Client Encryption without SSO. Instruction in detail
СообщениеДобавлено: Чт, июл 06 2017, 14:47 
Начинающий
Начинающий

Зарегистрирован:
Чт, июл 06 2017, 10:19
Сообщения: 3
Собственно, цель - выполнить регистрацию пользователя в SAP без ввода логина и пароля. Я ожидал, что будет возможность ввести однажды при входе в ос логин и пароль для доменной учетной записи пользователя, и далее заходить в SAP без ввода Логина и пароля.

Насколько мне известно, за решение, которое предполагает использование SSO (Single Sign-On) , необходимо платить.
Без SSO, возможно выполнить настройки и не потребуется докупать ПО дополнительно.


Принять этот ответ
Вернуться к началу
 Профиль Отправить email  
 
 Заголовок сообщения: Re: SNC Client Encryption without SSO. Instruction in detail
СообщениеДобавлено: Чт, июл 06 2017, 16:00 
Директор
Директор
Аватара пользователя

Зарегистрирован:
Пн, янв 14 2013, 10:37
Сообщения: 795
Пол: Мужской
superrogerman написал(а):
Собственно, цель - выполнить регистрацию пользователя в SAP без ввода логина и пароля. Я ожидал, что будет возможность ввести однажды при входе в ос логин и пароль для доменной учетной записи пользователя, и далее заходить в SAP без ввода Логина и пароля.

Насколько мне известно, за решение, которое предполагает использование SSO (Single Sign-On) , необходимо платить.
Без SSO, возможно выполнить настройки и не потребуется докупать ПО дополнительно.


Нет, SNC без SSO вы шифруете обмен трафика, но вводите пароль руками. Есть вариант использования SSO 1.0, он вроде как бесплатный, т.к. все нужные библиотеки находятся в доступной ноте.
Настраивается довольно просто, особенно когда кто-то уже настроил )
https://rikonw.ru/nastroyka-sso-autenti ... ros-v-sap/


Последний раз редактировалось RikoNw Вт, июл 11 2017, 16:11, всего редактировалось 1 раз.

Принять этот ответ
Вернуться к началу
 Профиль Отправить email  
 
 Заголовок сообщения: Re: SNC Client Encryption without SSO. Instruction in detail
СообщениеДобавлено: Вт, июл 11 2017, 13:38 
Директор
Директор

Зарегистрирован:
Вт, ноя 09 2010, 19:59
Сообщения: 792
Откуда: Novosibirsk
Пол: Мужской
SNC - чтобы не вводить пароль при входе в SAP GUI for Windows
SSO - чтобы входить в Web GUI без пароля, работает через тикет,
который генерится или из SAP GUI with SNC
или в ява-инстанции с настроенным SPNEGO


Принять этот ответ
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: SNC Client Encryption without SSO. Instruction in detail
СообщениеДобавлено: Чт, июл 20 2017, 17:29 
Начинающий
Начинающий

Зарегистрирован:
Чт, июл 06 2017, 10:19
Сообщения: 3
Добрый день.
1) Решение, предложенное по ссылке https://rikonw.ru/nastroyka-sso-autenti ... ros-v-sap/ отправляет на ноту 352295 , которая в свою очередь предполагает наличие файлов для скачивания в ноте 2115486. И при входе в ноту 2115486 появляется сообщение “You are not entitled to access SAP Note/KBA 2115486.
The target audience for the SAP Note/KBA you were trying to reach does not match your profile”
По этому поводу в ноте 352295 Access to note 2115486 can be requested via customer message on component BC-SEC-SNC . Сделать запрос попробую, но мы уже общались с нашим менеджером в SAP, и нам сообщили, что никакое решение SSO нами не куплено. Пока файлы, указанные в инструкции скачать не получается.

2) Доступны для скачивания: Support Packages & Patches -> S:
Sapcriptolib-> COMMONCRYPTOLIB 8 -> SAPCRYPTOLIBP_8513-20011729.SAR
SAPSSOEXT -> SAPSSOEXT -> SAPSSOEXT_15-20001138.SAR
SECURE_LOGIN_LIBRARY_SCE -> SECURE LOGIN LIBRARY SCE 1.0 -> SLLIBRARY04_4-20008888.SAR (также есть 2.0 )
SNC CLIENT ENCRYPTION -> SNC CLIENT ENCRYPTION 1.0 -> SNCCLNTCRYPT01_5-20008986.EXE
Возможно, есть способ настроить вход пользователей в SAP GUI посредством доменной регистрации с использованием указанных дистрибутивов ?


Принять этот ответ
Вернуться к началу
 Профиль Отправить email  
 
 Заголовок сообщения: Re: SNC Client Encryption without SSO. Instruction in detail
СообщениеДобавлено: Пт, июл 21 2017, 16:37 
Директор
Директор
Аватара пользователя

Зарегистрирован:
Пн, янв 14 2013, 10:37
Сообщения: 795
Пол: Мужской
superrogerman написал(а):
Добрый день.
1) Решение, предложенное по ссылке https://rikonw.ru/nastroyka-sso-autenti ... ros-v-sap/ отправляет на ноту 352295 , которая в свою очередь предполагает наличие файлов для скачивания в ноте 2115486. И при входе в ноту 2115486 появляется сообщение “You are not entitled to access SAP Note/KBA 2115486.
The target audience for the SAP Note/KBA you were trying to reach does not match your profile”
По этому поводу в ноте 352295 Access to note 2115486 can be requested via customer message on component BC-SEC-SNC . Сделать запрос попробую, но мы уже общались с нашим менеджером в SAP, и нам сообщили, что никакое решение SSO нами не куплено. Пока файлы, указанные в инструкции скачать не получается.

2) Доступны для скачивания: Support Packages & Patches -> S:
Sapcriptolib-> COMMONCRYPTOLIB 8 -> SAPCRYPTOLIBP_8513-20011729.SAR
SAPSSOEXT -> SAPSSOEXT -> SAPSSOEXT_15-20001138.SAR
SECURE_LOGIN_LIBRARY_SCE -> SECURE LOGIN LIBRARY SCE 1.0 -> SLLIBRARY04_4-20008888.SAR (также есть 2.0 )
SNC CLIENT ENCRYPTION -> SNC CLIENT ENCRYPTION 1.0 -> SNCCLNTCRYPT01_5-20008986.EXE
Возможно, есть способ настроить вход пользователей в SAP GUI посредством доменной регистрации с использованием указанных дистрибутивов ?


Попробуйте нажать на ссылку на сайте со словами: файлы win64sso.zip и win32sso.zip, те URL ведут прямо на атачменты к ноте.


Принять этот ответ
Вернуться к началу
 Профиль Отправить email  
 
 Заголовок сообщения: Re: SNC Client Encryption without SSO. Instruction in detail
СообщениеДобавлено: Ср, авг 23 2017, 13:13 
Специалист
Специалист

Зарегистрирован:
Чт, окт 02 2008, 09:55
Сообщения: 138
Люди! У кого есть скачанный SAPSetupSLC (SAP Secure Logon Client) - поделитесь пожалуйста!)


Принять этот ответ
Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 8 ] 

Часовой пояс: UTC + 3 часа


Кто сейчас на конференции

Сейчас этот форум просматривают: Ahrefs [Bot]


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
cron
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
Русская поддержка phpBB