Текущее время: Вс, июл 20 2025, 00:47

Часовой пояс: UTC + 3 часа


Правила форума


ВНИМАНИЕ! Прежде чем задавать вопрос, ознакомьтесь со ссылками ниже:

Вопросы по отличиям версий SAP, Add-On, EHP - сюда
Вопросы по SAP Front End (SAPlogon, SAPgui, guiXT и т.д.) - сюда
Вопросы по LSMW - сюда
Вопросы по архивации в SAP - сюда
Вопросы по SAP GRC - сюда
Вопросы по SAP Business Workplace (почте SAP) и SAP Office - сюда
Вопросы по miniSAP (SAP mini basis) - сюда
Вопросы по SAP HANA - сюда
Вопросы по лицензированию продуктов SAP - сюда



Начать новую тему Ответить на тему  [ Сообщений: 7 ] 
Автор Сообщение
 Заголовок сообщения: SAP router и SNC
СообщениеДобавлено: Пт, окт 19 2012, 14:38 
Начинающий
Начинающий

Зарегистрирован:
Пт, окт 19 2012, 14:04
Сообщения: 7
Всем привет! Это моё первое сообщение на форуме.
У меня есть сервера с SAP системой и SAP router с SNC. Через SAP Router подключаются Тех поддержка SAP и удалённые офисы. Проблема в том, что SNC используется только между мной и тех поддержкой SAP, а удалённые офисы подключаются без шифрования.
Вопрос, как можно настроить SNC между мной и удалёнными офисами? Наиболее не понятно, как создавать сертификаты в таком случае?


Принять этот ответ
Вернуться к началу
 Профиль Отправить email  
 
 Заголовок сообщения: Re: SAP router и SNC
СообщениеДобавлено: Сб, окт 20 2012, 11:30 
Модератор
Модератор
Аватара пользователя

Зарегистрирован:
Вт, дек 14 2004, 11:36
Сообщения: 449
Откуда: Moscow
Пол: Мужской
Нота 1643878 Вам в помощь


Принять этот ответ
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: SAP router и SNC
СообщениеДобавлено: Пн, окт 22 2012, 10:50 
Начинающий
Начинающий

Зарегистрирован:
Пт, окт 19 2012, 14:04
Сообщения: 7
Спасибо за ноту. Но там вилами по воде писано. Этих и других нот уже начитался. Самое забавное, что каждая нота не является законченной рекомендацией, а даёт ссылку на новую ноту. Кто нибудь делал сам соединение SAP Router - SAP Router с шифрованием SNC?


Принять этот ответ
Вернуться к началу
 Профиль Отправить email  
 
 Заголовок сообщения: Re: SAP router и SNC
СообщениеДобавлено: Вт, окт 23 2012, 14:50 
Начинающий
Начинающий

Зарегистрирован:
Пт, сен 23 2011, 14:47
Сообщения: 4
Таблица маршрутизации для инициатора:
KT "p:CN=XXXXX, OU=YYYYY, O=ZZZZZ, C=RU" hostname_saprouter2 *
P * * *

Таблица маршрутизации для приемника (hostname_saprouter2):
KP "p:CN=XXXXX, OU=YYYYY, O=ZZZZZ, C=RU" hostname_sap sapdp00
KP "p:CN=XXXXX, OU=YYYYY, O=ZZZZZ, C=RU" hostname_sap sapgw00

Пример запуск инициатора:
saprouter -r -K " p:CN=XXXXX, OU=YYYYY, O=ZZZZZ, C=RU " -R C:\saprouter\saprouttab -W 600000 -T C:\saprouter\dev_rout –E C:\saprouter\saprouter_log –J 100000000

Пример запуска акцептора:
saprouter -r -K "p:CN=QQQQQ_YYYYY, OU=YYYYY, O=QQQQQ, C=RU" -R C:\saprouter\saprouttab -W 600000 -T C:\saprouter\dev_rout –E C:\saprouter\saprouter_log –J 100000000



КРИПТОГРАФИЧЕСКАЯ БИБЛИОТЕКА

скачать библиотеку с Service Marketplace (service.sap.com/swdc - download - sap cryptographic software);
присвоить переменной окружения SECUDIR путь к каталогу, где установлен SAP Router
присвоить переменной окружения SNC_LIB полный путь к файлу криптографической библиотеки;
перезагрузить машину.


Настройка инициатора

Генерация pse-файла: sapgenpse get_pse -p [путь к pse файлу] -noreq [-x <PIN>] "SNC – имя хоста". Данная команда генерирует автоматически подписанный файл.

Создание cred_v2 файл: sapgenpse seclogin -p local.pse -O <user_for_saprouter>
(user_for_saprouter = домен\пользователь).

Проверяем: Sapgenpse get_my_name -v -n Issuer
Должно быть отображено имя, использованное в sapgenpse get_pse команде

Настройка акцептора:

Генерация pse-файла: sapgenpse get_pse -p [путь к pse файлу] -noreq [-x <PIN>] "SNC – имя хоста". (PIN одинаковый для акцептора и инициатора)
Создание cred_v2 файл: sapgenpse seclogin -p local.pse -O <user_for_saprouter>.

Проверка: Sapgenpse get_my_name -v -n Issuer

Скопировать pse-файл от инициатора в папку saprouter.
Выполнить команду Sapgenpse get_my_name -v -n Issuer , после выполнения которой должно отобразиться внешнее имя хоста - инициатора.


Принять этот ответ
Вернуться к началу
 Профиль Отправить email  
 
 Заголовок сообщения: Re: SAP router и SNC
СообщениеДобавлено: Пт, авг 23 2013, 21:36 
Старший специалист
Старший специалист

Зарегистрирован:
Вт, авг 28 2007, 10:17
Сообщения: 416
Откуда: г. Казань, РФ
Пол: Мужской
Добрый день, коллеги!

Не стал плодить новую тему, нашел вот эту весьма подходящую по смыслу.

Никогда ранее не настраивал SNC, но вот сегодня пришлось заняться этим.

Ситуация следующая:
Пользователи Заказчика из внутренней сети используют SAP Gui 7.30 и подключаются к САП системам. Тут проблем нет.
SAPRouter для пользователей Заказчика НЕ используется.

Внешняя команда консультантов, расположенных за пределами локальной сети Заказчика, в целях безопасности должна подключаться только через SAPRouter + SNC.

Т.е. в одной системе одновременно имеются пользователи использующие SNC и НЕ использующие SNC. Соответственно параметр snc/accept_insecure_gui мы можем установить = 1 или = U. У нас параметр установлен = U, и у пользователей которым можно логиниться без SNC установлена соответствующая галочка в SU01 (Password logon for SAP GUI permitted).

Я настроил профиля на стороне ABAP, активировал SNC, подключил библиотеки, обменялся сертификатами и т.д. Всё работает. Т.е. я со своего компьютера из дома подключаюсь к САП системе Заказчика через SAPRouter используя SNC.

Но при текущих настройках saprouttab можно логиниться через SAPRouter как с помощью SNC, так и без него.
Т.е. если у пользователя в SU01 стоит галочка Password logon for SAP GUI permitted, то он может логиниться через SAPRouter и без SNC, и с помощью SNC.

Нам нужно в saprouttab ограничить обычных пользователей так, чтобы через SAPRouter могли логиниться ТОЛЬКО SNC клиенты, а обычные пользователи чтобы через SAPRouter не могли подключиться.


Сейчас saprouttab выглядит примерно вот так:
P * 192.168.22.10 * #ERP DEV
P * 192.168.22.11 * #ERP QAS
P * 192.168.22.12 * #ERP PRD
KP * * *

SAPRouter стартует командой saprouter -r -K "p:CN=sgw, OU=IT, O=FTVL, C=RU" -T c:\saprouter\trace.txt -G c:\saprouter\log.txt

SAPRouter установлен на Windows Server 2012.

Если я в saprouttab убираю первые три строки P * и оставляю одну строку KP *.*.* (типа разрешены все SNC коннекты), то при попытке залогиниться через SAP Gui со включенной опцией SNC, получаю ошибку "route permission denied to server, sapdp00"

В логе сапроутера вижу следующее:
Fri Aug 23 22:04:33 2013
no match for [188.162.xxx.xxx to 192.168.22.10, 3200] found
*** ERROR => NiRClientHandle: NiRExRouteCon for C11/-1 'client.yota.ru' failed (rc=-94) [nirout.cpp 2653]

Получается что в самый первый момент обращение идет по порту 3200, и SNC еще не работает.

Вопрос: Как мне правильно настроить saprouttab, чтобы через SAPRouter проходил только SNC трафик? Чтобы обычный трафик через SAPRouter не проходил?

_________________
SAP Basis. SAP HANA. РФ, Казань.


Последний раз редактировалось GRRinat Пн, авг 26 2013, 09:26, всего редактировалось 1 раз.

Принять этот ответ
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: SAP router и SNC
СообщениеДобавлено: Сб, авг 24 2013, 08:08 
Почетный гуру
Почетный гуру
Аватара пользователя

Зарегистрирован:
Чт, сен 28 2006, 11:36
Сообщения: 1365
Откуда: Москва
Пол: Мужской
у Вас некорректно написан saprouttab
1. строки с префиксом P разрешают доступ без SNC
2. строка с префиксом KP должна включать SNC имя входящего сертификата
НО предварительно необходимо инициализировать SNC для входящих подключений директивой KT

Тут можно почитать подробнее

а вообще, кмк, лучше использовать SNC защищенное соединение между двумя сапроутерами - туннель.
а далее уже обычный коннект.
тогда по идее у юзеров будет в саплогоне прописано два сапроутера БЕЗ SNC настроек (у юзеров).


Принять этот ответ
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: SAP router и SNC
СообщениеДобавлено: Пн, авг 26 2013, 09:36 
Старший специалист
Старший специалист

Зарегистрирован:
Вт, авг 28 2007, 10:17
Сообщения: 416
Откуда: г. Казань, РФ
Пол: Мужской
Да, я понимаю что какие-то проблемы именно с saprouttab. Подскажите, как его правильно прописать?

Нужно чтобы через Сапроутер проходил только SNC трафик.
Обычные SAP GUI пользователи (без SNC) НЕ должны ходить через Сапроутер.

На текущий момент имеется:

USER1 и его сертификат "CN=USER1, OU=IT, O=COMPANY, C=RU"
Сапроутер и его сертификат "CN=sgw, OU=IT, O=COMPANY, C=RU"
ERP система и её сертификат "CN=erp, OU=IT, O=COMPANY, C=RU"

USER1 обменялся сертификатами с Сапоутером и ERP.
Сапроутер обменялся сертификатами с ERP и USER1.
ERP обменялась сертификатами с USER1 и Сапроутер.

_________________
SAP Basis. SAP HANA. РФ, Казань.


Принять этот ответ
Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 7 ] 

Часовой пояс: UTC + 3 часа


Кто сейчас на конференции

Сейчас этот форум просматривают: Yandex [Bot]


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
cron
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
Русская поддержка phpBB