Текущее время: Чт, апр 15 2021, 20:30

Часовой пояс: UTC + 3 часа


Правила форума


ВНИМАНИЕ! Прежде чем задавать вопрос, ознакомьтесь со ссылками ниже:

Вопросы по отличиям версий SAP, Add-On, EHP - сюда
Вопросы по SAP Front End (SAPlogon, SAPgui, guiXT и т.д.) - сюда
Вопросы по LSMW - сюда
Вопросы по архивации в SAP - сюда
Вопросы по SAP GRC - сюда
Вопросы по SAP Business Workplace (почте SAP) и SAP Office - сюда
Вопросы по miniSAP (SAP mini basis) - сюда
Вопросы по SAP HANA - сюда
Вопросы по лицензированию продуктов SAP - сюда



Начать новую тему Ответить на тему  [ Сообщений: 10 ] 
Автор Сообщение
 Заголовок сообщения: RFC соединение SAP-SUPPORT_NOTE_DOWNLOAD и другие
СообщениеДобавлено: Ср, апр 07 2021, 11:04 
Ассистент
Ассистент

Зарегистрирован:
Пт, янв 11 2019, 10:49
Сообщения: 34
NW 7.31 SP12
AIX

ST-PI 2008_1_710 SP24
ST-A/PI 01U_731 SP1

нота 510007 настроена


Result: SSF_API_OK
Информация по версии: 136
SSFLIB Version 1.850.40 ; CommonCryptoLib (SAPCRYPTOLIB)
Version 8.5.22 (+MT) #Copyright (c) SAP, 2011-2018#compiled for aix-6.1-ppc-64#
выше, чем необходимо 8.4.48

в профиль инстанции добавлено:

ssf/name = SAPSECULIB
ssf/ssfapi_lib =$(DIR_EXECUTABLE)$(DIR_SEP)$(FT_DLL_PREFIX)sapcrypto$(FT_DLL)
sec/libsapsecu =$(DIR_EXECUTABLE)$(DIR_SEP)$(FT_DLL_PREFIX)sapcrypto$(FT_DLL)
ssl/ssl_lib = $(DIR_EXECUTABLE)$(DIR_SEP)$(FT_DLL_PREFIX)sapcrypto$(FT_DLL)
sec/rsakeylengthdefault = 2048
icm/HTTPS/verify_client = 1
ssl/client_ciphersuites = 150:PFS:HIGH::EC_P256:EC_HIGH
ssl/ciphersuites = 135:PFS:HIGH::EC_P256:EC_HIGH
icm/server_port_2 = PROT=HTTPS,PORT=8001,SSLCONFIG=ssl_config_2,VCLIENT=1,ACLFILE=/sapmnt/SID/profile/ACL/ms_http.acl
icm/ssl_config_2 = CRED=SAPSSLC.pse,VCLIENT=1,CIPHERS=150:PFS:HIGH::EC_P256:EC_HIGH

в DEFAULT.PFL

SETENV_28 = SAPSSL_CLIENT_SNI_ENABLED=TRUE
SETENV_27 = SAPSSL_CLIENT_CIPHERSUITES=150:PFS:HIGH::EC_P256:EC_HIGH
SETENV_26 = SECUDIR=$(DIR_INSTANCE)$(DIR_SEP)sec
ssl/client_sni_enabled = TRUE
icm/HTTPS/client_sni_enabled = TRUE
ssl/client_ciphersuites = 150:PFS:HIGH::EC_P256:EC_HIGH
ssl/ciphersuites = 135:PFS:HIGH::EC_P256:EC_HIGH

------------------------------------------------------------------------------------------------------------------------------------

вот ссылка на картинки настроек соединений в SM59:

https://www.mediafire.com/folder/bx6y636dc6rrz/Photos
---------------------------------------------------------------------
пробовал:
создал новую среду - SSL-мандант идентичности
SAPSUP - SAP Passport for Technical User
алгоритм SHA-256, длина на 2048
сертификат запрошен на данного S-user
SSL-клиент for SAP Passport for Technical User

в профиле инстанции менял на:

icm/ssl_config_2 = CRED=SAPSSLSAPSUP.pse,VCLIENT=1,CIPHERS=150:PFS:HIGH::EC_P256:EC_HIGH

т.е. не проходит ни
Standart Default Client SSL-мандант
ни
SSL-клиент for SAP Passport for Technical User
----------------------------------------------------------------------

ошибки HTTP 403, 404, либо ICM_HTTP_SSL_ERROR

кто-нибудь может помочь?


Принять этот ответ
Вернуться к началу
 Профиль Отправить email  
 
 Заголовок сообщения: Re: RFC соединение SAP-SUPPORT_NOTE_DOWNLOAD и другие
СообщениеДобавлено: Ср, апр 07 2021, 12:54 
Директор
Директор

Зарегистрирован:
Вт, ноя 09 2010, 19:59
Сообщения: 777
Откуда: Novosibirsk
Пол: Мужской
судя по скринам пытаетесь использовать прокси
если есть saprouter, попробуйте через него
проблема может быть в прокси, там либо галку global ставить, то ли сертификат может перевирать


Принять этот ответ
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: RFC соединение SAP-SUPPORT_NOTE_DOWNLOAD и другие
СообщениеДобавлено: Ср, апр 07 2021, 14:07 
Ассистент
Ассистент

Зарегистрирован:
Пт, янв 11 2019, 10:49
Сообщения: 34
да, прокси есть. с пользователем и паролем. дело в том, что безопы не выпустят наружу без прокси. никак.
они мне уже на этого пользователя убрали пароль.
админ прокси специально смотрел на пакеты и божится, что ответ HTTP 403-404 приходит с сапа!
правда, верить ему так себе можно...

сапрутер есть. прошлое соединение SAPOSS было через сапрутер и прокси. пробовал сделать такое на новых соединениях -

2 варианта строк с убранной настройкой прокси на закладке в тех.прараметрах настройки:

/H/адрес сапрутера/H/адрес прокси/S/3299/H/194.117.106.129/notesdownloads.sap.com
/H/адрес сапрутера/S/3299/H/194.117.106.129/notesdownloads.sap.com

результат
ICM_HTTP_CONNECTION_FAILED

включаю прокси в настройках с такими же вариантами строк -
результат другой

ICM_HTTP_SSL_ERROR


Принять этот ответ
Вернуться к началу
 Профиль Отправить email  
 
 Заголовок сообщения: Re: RFC соединение SAP-SUPPORT_NOTE_DOWNLOAD и другие
СообщениеДобавлено: Ср, апр 07 2021, 16:52 
Директор
Директор

Зарегистрирован:
Вт, ноя 09 2010, 19:59
Сообщения: 777
Откуда: Novosibirsk
Пол: Мужской
сертификат на сапроутере не просроченный?
в saproutab секурное соединение прописано?
niping что показывает?


Принять этот ответ
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: RFC соединение SAP-SUPPORT_NOTE_DOWNLOAD и другие
СообщениеДобавлено: Чт, апр 08 2021, 15:02 
Ассистент
Ассистент

Зарегистрирован:
Пт, янв 11 2019, 10:49
Сообщения: 34
дело в том, что сапрутером занимается другое подразделение. и, вследствие увольнения нормальных, грамотных людей, те, что остались...
у меня даже слов нет...
давеча еле уговорил показать saprouttab - показали только в виде фото того, что влезло в часть экрана (((( в той части естественно не прописано.
тем более, что после расследования выяснилось, что у нас несколько сапрутеров с балансировщиком на внутренних айпи + один на белом, который смотрит в инет.

и я так понимаю, что на внутренних должно быть прописано что-то типа

P 172.16.*.* 85.45.xx.xx *
где 172.16.*.* - мои сап-системы
85.45.xx.xx * - айпи внешнего рутера


а на внешнем

P 85.45.*.* 194.117.106.129 *
194.117.106.129 * - рутер Валдорфа?

да? я так подробно спрашиваю, что скорее всего мне придется им править конфиги, а поскольку я этим никогда не занимался, надо сделать сразу правильно. не будент там никто разбираться и читать мануалы...

еще вопрос - в той показанной части я заметил, что на рутере прописан он сам в разрешении - это обязательно?
типа

P 172.16.xx.xx 85.45.хх.хх *
где 172.16.xx.xx - апйпи внутреннего рутера
85.45.xx.xx * - айпи внешнего рутера

niping - это какая-то утилита? для чего она служит? может уговорю запустить...
что с сертификатом - как узнать?


Принять этот ответ
Вернуться к началу
 Профиль Отправить email  
 
 Заголовок сообщения: Re: RFC соединение SAP-SUPPORT_NOTE_DOWNLOAD и другие
СообщениеДобавлено: Чт, апр 08 2021, 17:00 
Почетный гуру
Почетный гуру
Аватара пользователя

Зарегистрирован:
Чт, сен 28 2006, 11:36
Сообщения: 1362
Откуда: Москва
Пол: Мужской
базовая информация
https://support.sap.com/en/tools/connec ... igure.html

Настройка сапроутера по шагам для подключения к SAP AG
https://support.sap.com/en/tools/connec ... outer.html
В Вашем случае это надо конфигурировать на сапроутере с белым IP. На внутреннем сапроутере тож самое, только все будет смотреть на внешний сапроутер.
Также придется обменяться сертификатами между сапроутерами либо делать внутреннее общение незащищенным (без KP* и KT)

Предварительно внешний сапроутер еще надо зарегистрировать через инцидент в SAP, если это не было сделано ранее.
На группу: New or change connection requests to SAP Support (XX-SER-NET-NEW)
Внутри:
Code:
SAPROUTERNAME                    <saprouter>
SAProuter IP address               ###.###.###.### (белый IP)
SAP Customernr                      <your customer number>
Distinguished Name                 "CN=<saprouter>, OU=<customer nr>, OU=SAProuter, O=SAP, C=DE"


Практически тоже самое что выше, но другим языком 8)
https://blogs.sap.com/2014/10/07/a-guid ... saprouter/

Подключение к SAP для работы с нотами. Тоже есть часть по сапроутеру, но уже со стороны ABAP
https://blogs.sap.com/2019/11/14/step-b ... sap-notes/

500235 - Network Diagnosis with NIPING


Принять этот ответ
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: RFC соединение SAP-SUPPORT_NOTE_DOWNLOAD и другие
СообщениеДобавлено: Чт, апр 08 2021, 22:17 
Модератор
Модератор

Зарегистрирован:
Пт, окт 06 2006, 15:20
Сообщения: 319
Откуда: Москва
Пол: Мужской
iRomantick написал(а):
. дело в том, что безопы не выпустят наружу без прокси. никак.

.....
Зачем использовать чужой прокси, а не свой ???
SAP Web Dispatcher (https://wiki.scn.sap.com/wiki/display/S ... Dispatcher)
уже стало не модно использовать ?
.....


Принять этот ответ
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: RFC соединение SAP-SUPPORT_NOTE_DOWNLOAD и другие
СообщениеДобавлено: Пт, апр 09 2021, 11:15 
Ассистент
Ассистент

Зарегистрирован:
Пт, янв 11 2019, 10:49
Сообщения: 34
шрам написал:
базовая информация


большое спасибо! буду пытаться заставить админа прочесть и сделать.
пятый день переговоров... доступ к сапрутеру не дают.

п.с. все сап-ноты и настройки я уже сделал и поставил. дело только за соединением...


Принять этот ответ
Вернуться к началу
 Профиль Отправить email  
 
 Заголовок сообщения: Re: RFC соединение SAP-SUPPORT_NOTE_DOWNLOAD и другие
СообщениеДобавлено: Пт, апр 09 2021, 12:04 
Почетный гуру
Почетный гуру
Аватара пользователя

Зарегистрирован:
Вт, авг 31 2004, 14:57
Сообщения: 5209
Откуда: Ростов невеликий
Пол: Мужской
вернулся к задачке и о - чудо - заработало!
Не понял почему, ну да ладно. :P
Походу SAP нормализовал пароль техюзера,
что же ещё сделал-то...
да - ssl/client_ciphersuites = 918:PFS:HIGH::EC_P256:EC_HIGH (вместо 150:PFS:HIGH::EC_P256:EC_HIGH)
на ERP заработало, NW займусь сейчас :)
p.s. всех с пятницей. меня "выпустили" (с удалёнки :)

_________________
Нет сегодняшних проблем -
есть вчерашние ошибки
(с)


Принять этот ответ
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: RFC соединение SAP-SUPPORT_NOTE_DOWNLOAD и другие
СообщениеДобавлено: Пт, апр 09 2021, 13:29 
Директор
Директор

Зарегистрирован:
Вт, ноя 09 2010, 19:59
Сообщения: 777
Откуда: Novosibirsk
Пол: Мужской
Skif написал:
да - ssl/client_ciphersuites = 918:PFS:HIGH::EC_P256:EC_HIGH (вместо 150:PFS:HIGH::EC_P256:EC_HIGH)

Additional considerations for setting up SSL on Application Server ABAP
Code:
    client-side:  (TLSv1.2+TLSv1.1+TLSv1.0+BLIND_CLIENT_CERT) = (512 + 256 + 128 + 16) = 912
                     (TLSv1.2+TLSv1.1+TLSV1.0+BLIND_CLIENT_CERT+NO_GAP+BEST_AVAILABLE) = (512 + 256 + 128 + 16 + 4 + 2) = 918

"волшебное слово" тут - TLS1.2 :)


Принять этот ответ
Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 10 ] 

Часовой пояс: UTC + 3 часа


Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
cron
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
Русская поддержка phpBB