SAPфорум.RU https://sapboard.ru/forum/ |
|
SNC Client Encryption without SSO. Instruction in detail https://sapboard.ru/forum/viewtopic.php?f=14&t=95099 |
Страница 1 из 1 |
Автор: | superrogerman [ Чт, июл 06 2017, 10:31 ] |
Заголовок сообщения: | SNC Client Encryption without SSO. Instruction in detail |
Добрый день. Просьба помочь, никак не получается настроить SNC Client Encryption without SSO. Специально поднял песочницу, чтобы описать шаги, которые выполняю. I make SNC Client Encryption solution for ABAP sandbox (for next implantation to prod). And i cant find full instructions with correct examples. After all activities, i can connect with security lock, but without properly logon to system (there is offer to me for enter login and password ). The main instruction, which i take for my steps (but I've got WinServer2008): https://blogs.sap.com/2013/08/14/config ... arislinux/ So, my steps: 1) The folder has been created E:\usr\sap\PD2\DVEBMGS02\SSL (Copy here SECURELOGINLIB, with snc.exe, seccrypt.dll and many others files) 2) Check for sapcrypto.dll is placed in the E:\usr\sap\PD2\SYS\exe\uc\NTAMD64 3) Domain user has been created Domain\SNCLogonPD2 with Pricipal name SAP/ServicePD2 (Our admin also add second record SAP/KerberosPD2) (set password PD2pass44) 4) I’ve set Variables SECUDIR=E:\usr\sap\PD2\DVEBMGS02\sec 5) E:\usr\sap\PD2\DVEBMGS02\SSL>snc crtpse (set password PD2pass44) 6) snc crtkeytab -s SNCLogonPD2@DOMAIN.LOCAL (set password PD2pass44) 7) Profile parameters: instance (or DEFAULT.PFL) profile: snc/gssapi_lib E:\usr\sap\PD2\DVEBMGS02\SSL\secgss.dll snc/identity/as p:CN=SAP/ServicePD2@DOMAIN.LOCAL snc/data_protection/max 3 snc/data_protection/min 2 snc/data_protection/use 3 snc/r3int_rfc_secure 0 snc/r3int_rfc_qop 8 snc/permit_insecure_start 1 snc/accept_insecure_cpic 1 snc/accept_insecure_rfc 1 snc/force_login_screen 1 snc/enable 0 snc/accept_insecure_gui 1 ssf/name SAPSECULIB ssf/ssfapi_lib $(ssl/ssl_lib) ssl/ssl_lib $(DIR_EXECUTABLE)$(DIR_SEP)$(FT_DLL_PREFIX)sapcrypto$(FT_DLL) sec/libsapsecu Add the following entry to your start profile(s): SETENV_XX (XX = next available value) SECUDIR=$(DIR_INSTANCE)/sec SETENV_00 PATH=$(DIR_EXECUTABLE);%PATH% SETENV_01 SECUDIR=$(DIR_INSTANCE)/sec Restart the system 9) In STRUST make SNC SAPCRYPTOLIB certificate (RSA): Owner: CN=SAP/ServicePD2@DOMAIN.LOCAL 10) Set parameter rz10: snc/enable 1 11) Restart the system 12) Install SNCCLNTCRYPT01_5-20008986.EXE to local machine for my SAP GUI 13) In SAP GUI, in the connection string in the folder Network set SNC NAME: p:CN=SAP/ServicePD2@DOMAIN.LOCAL 14) SU01 I set SNC NAME= p:CN=i.ivanov@DOMAIN.LOCAL for login TEST_SNC 15) Logon !!! But only screen for login and password (and i can succesfull enter with password). In low right hand, I can see closed lock. I hoped enter in the system and see my work menu. What did I wrong during settings ? What I forgot ? |
Автор: | RikoNw [ Чт, июл 06 2017, 12:10 ] |
Заголовок сообщения: | Re: SNC Client Encryption without SSO. Instruction in detail |
А в чем проблема то ? "In low right hand, I can see closed lock", SNC без SSO значит работает. Или вы путаете слова with SSO и without SSO ? |
Автор: | superrogerman [ Чт, июл 06 2017, 14:47 ] |
Заголовок сообщения: | Re: SNC Client Encryption without SSO. Instruction in detail |
Собственно, цель - выполнить регистрацию пользователя в SAP без ввода логина и пароля. Я ожидал, что будет возможность ввести однажды при входе в ос логин и пароль для доменной учетной записи пользователя, и далее заходить в SAP без ввода Логина и пароля. Насколько мне известно, за решение, которое предполагает использование SSO (Single Sign-On) , необходимо платить. Без SSO, возможно выполнить настройки и не потребуется докупать ПО дополнительно. |
Автор: | RikoNw [ Чт, июл 06 2017, 16:00 ] |
Заголовок сообщения: | Re: SNC Client Encryption without SSO. Instruction in detail |
superrogerman написал(а): Собственно, цель - выполнить регистрацию пользователя в SAP без ввода логина и пароля. Я ожидал, что будет возможность ввести однажды при входе в ос логин и пароль для доменной учетной записи пользователя, и далее заходить в SAP без ввода Логина и пароля. Насколько мне известно, за решение, которое предполагает использование SSO (Single Sign-On) , необходимо платить. Без SSO, возможно выполнить настройки и не потребуется докупать ПО дополнительно. Нет, SNC без SSO вы шифруете обмен трафика, но вводите пароль руками. Есть вариант использования SSO 1.0, он вроде как бесплатный, т.к. все нужные библиотеки находятся в доступной ноте. Настраивается довольно просто, особенно когда кто-то уже настроил ) https://rikonw.ru/nastroyka-sso-autenti ... ros-v-sap/ |
Автор: | jack_nsk [ Вт, июл 11 2017, 13:38 ] |
Заголовок сообщения: | Re: SNC Client Encryption without SSO. Instruction in detail |
SNC - чтобы не вводить пароль при входе в SAP GUI for Windows SSO - чтобы входить в Web GUI без пароля, работает через тикет, который генерится или из SAP GUI with SNC или в ява-инстанции с настроенным SPNEGO |
Автор: | superrogerman [ Чт, июл 20 2017, 17:29 ] |
Заголовок сообщения: | Re: SNC Client Encryption without SSO. Instruction in detail |
Добрый день. 1) Решение, предложенное по ссылке https://rikonw.ru/nastroyka-sso-autenti ... ros-v-sap/ отправляет на ноту 352295 , которая в свою очередь предполагает наличие файлов для скачивания в ноте 2115486. И при входе в ноту 2115486 появляется сообщение “You are not entitled to access SAP Note/KBA 2115486. The target audience for the SAP Note/KBA you were trying to reach does not match your profile” По этому поводу в ноте 352295 Access to note 2115486 can be requested via customer message on component BC-SEC-SNC . Сделать запрос попробую, но мы уже общались с нашим менеджером в SAP, и нам сообщили, что никакое решение SSO нами не куплено. Пока файлы, указанные в инструкции скачать не получается. 2) Доступны для скачивания: Support Packages & Patches -> S: Sapcriptolib-> COMMONCRYPTOLIB 8 -> SAPCRYPTOLIBP_8513-20011729.SAR SAPSSOEXT -> SAPSSOEXT -> SAPSSOEXT_15-20001138.SAR SECURE_LOGIN_LIBRARY_SCE -> SECURE LOGIN LIBRARY SCE 1.0 -> SLLIBRARY04_4-20008888.SAR (также есть 2.0 ) SNC CLIENT ENCRYPTION -> SNC CLIENT ENCRYPTION 1.0 -> SNCCLNTCRYPT01_5-20008986.EXE Возможно, есть способ настроить вход пользователей в SAP GUI посредством доменной регистрации с использованием указанных дистрибутивов ? |
Автор: | RikoNw [ Пт, июл 21 2017, 16:37 ] |
Заголовок сообщения: | Re: SNC Client Encryption without SSO. Instruction in detail |
superrogerman написал(а): Добрый день. 1) Решение, предложенное по ссылке https://rikonw.ru/nastroyka-sso-autenti ... ros-v-sap/ отправляет на ноту 352295 , которая в свою очередь предполагает наличие файлов для скачивания в ноте 2115486. И при входе в ноту 2115486 появляется сообщение “You are not entitled to access SAP Note/KBA 2115486. The target audience for the SAP Note/KBA you were trying to reach does not match your profile” По этому поводу в ноте 352295 Access to note 2115486 can be requested via customer message on component BC-SEC-SNC . Сделать запрос попробую, но мы уже общались с нашим менеджером в SAP, и нам сообщили, что никакое решение SSO нами не куплено. Пока файлы, указанные в инструкции скачать не получается. 2) Доступны для скачивания: Support Packages & Patches -> S: Sapcriptolib-> COMMONCRYPTOLIB 8 -> SAPCRYPTOLIBP_8513-20011729.SAR SAPSSOEXT -> SAPSSOEXT -> SAPSSOEXT_15-20001138.SAR SECURE_LOGIN_LIBRARY_SCE -> SECURE LOGIN LIBRARY SCE 1.0 -> SLLIBRARY04_4-20008888.SAR (также есть 2.0 ) SNC CLIENT ENCRYPTION -> SNC CLIENT ENCRYPTION 1.0 -> SNCCLNTCRYPT01_5-20008986.EXE Возможно, есть способ настроить вход пользователей в SAP GUI посредством доменной регистрации с использованием указанных дистрибутивов ? Попробуйте нажать на ссылку на сайте со словами: файлы win64sso.zip и win32sso.zip, те URL ведут прямо на атачменты к ноте. |
Автор: | SDE [ Ср, авг 23 2017, 13:13 ] |
Заголовок сообщения: | Re: SNC Client Encryption without SSO. Instruction in detail |
Люди! У кого есть скачанный SAPSetupSLC (SAP Secure Logon Client) - поделитесь пожалуйста!) |
Страница 1 из 1 | Часовой пояс: UTC + 3 часа |
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group http://www.phpbb.com/ |