点击此处---> 群内免费提供SAP练习系统(在群公告中)
加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)
大家好,
为此,我们正在尝试使用SSO 3.0为SAP GUI配置SSO,为此我们正在使用ERP EHP 8系统。 我们的基本要求是无需询问凭据即可登录到SAP系统(在我们的情况下,SAP用户名和AD帐户相同)
之前我们进行了类似的设置,并且通过设置环境变量,实例概要文件中的所有相关SNC参数(指向gx64ntlm.dll(SAP NOTE 352295)之一)以及最终用户的此配置(包括将SNC_LIB设置为 以及"网络"标签下的GUI更改。
我们正在考虑使用sapcrypto.dll文件而不是gx64ntlm.dll的SSO 3.0尝试相同的步骤,但是Web调度程序停止了。 Google之后,似乎上述步骤不适用于SSO 3.0。
任何人都可以让我们知道将要执行的步骤顺序,任何SAP注释或任何有助于上述环境设置的文档。
此致
赛伯特。
您好Cybertch,
由于我们没有使用Web调度程序,因此我可能无能为力,但是就使用SSO 3.0进行设置而言,这是我们已使用并正在与环境一起工作的过程的概述 ,其中几乎包括所有SAP产品(ECC,BI,CRM等)。
使用用于Kerberos和SPNEGO的SAP SSO 3.0在AIX上配置SAP
1。下载最新的SAPCRYPTOLIB,解开文件,然后将文件放入SAP系统的内核目录中。 确保文件由 adm:sapsys
拥有2。编辑/home/adm/.login并添加以下环境变量(如果尚未存在):setenv SECUDIR/usr/sap//DVEBMGS /sec
3。在Active Directory中创建服务用户-
设置"用户无法更改密码"和"密码永不过期"
打开刚刚创建的用户的属性,然后单击``帐户''选项卡。滚动到``帐户选项''的底部并启用``此帐户支持Kerberos AES 128位加密''和``此帐户支持Kerberos AES 256位加密'' 然后点击"应用"
现在单击"属性编辑器"选项卡,然后编辑" servicePrincipalName"属性以添加SPN,然后单击"确定"。
SPN输入为:
HTTP/
SAP/
4。登录到SAP系统,并通过RZ10将以下参数添加到DEFAULT配置文件中(*注意–检查这些参数的实例配置文件,如果存在,请删除它们):
参数名称 值snc/enable 0(禁用)/1(启用)– 最初将此值设置为" 0" snc/gssapi_lib/usr/sap/ /SYS/EXE/运行/ libsapcrypto.so snc/identity/as p:CN = 示例-p:CN = sap_svc_ @ (这仅适用于Kerberos& 域的大写字母)snc/data_protection/max 3 snc/data_protection/min 2 snc/data_protection/使用3 snc/r3int_rfc_secure 0 snc/r3int_rfc_qop 8 snc/accept_insecure_cpic 1 snc/nc/accept_insecure_gui 1 snc/accept_insecure_gui 1 snc/accept_insecure_gui 1 0 spnego/启用1 spnego/krbspnego_lib/usr/sap/ /SYS/EXE/运行/ libsapcrypto.so保存并激活新的配置文件。 在操作系统级别登录到SAP系统,然后重新启动SAP
5。系统重新联机后,登录并运行STRUSTSSO2。展开SNC SAPCryptolib PSE。 如果那里已经有证书,请将其删除。 如果不是,则选择创建。
单击"创建"时,您在RZ10中为snc/identity/as输入的值应与创建的值匹配并显示在"所有者"字段中。 如果此值不匹配,则说明存在问题,无法进行进一步的配置,因此必须先解决此问题,然后再继续。
一旦创建了证书,请双击它并将其添加到证书列表和ACL(登录客户端和客户端000两者)中
保存并退出STRUSTSSO2。
6。运行SPNEGO事务以创建密钥表文件。 选择显示/更改并添加
输入服务帐户的用户名,密码,然后选择所有加密算法
保存并退出此屏幕和SAPGUI。
7。在操作系统级别创建密钥表文件。 登录到服务器操作系统和su- adm
导航到/usr/sap//DVEBMGS /sec
输入以下内容,并使用大写的域:
sapgenpse密钥表-p SAPSNCSKERB.pse -a @
然后将提示您创建PSE PIN/密码。 看起来如下:
############################################## ##############################
免责声明SAP单一登录
您将为单点登录或SNC客户端加密配置信任。
请注意,单点登录需要获得许可证
SAP单一登录。
作为例外,仅在没有SSO的情况下免费使用SNC客户端加密
如SAP Note 1643878中所述。
############################################## ##############################
请输入PSE PIN码/密码:*********
请重新输入PSE PIN码/密码:*********
请输入keyTab密码:*********
请重新输入keyTab密码:*********
keytab:创建了新的keyTab条目。
keytab:存储的KeyTab内容:
VersionTime stampKeyTypeKerberos名称
1Wed Feb1 20:46:48 2017DES @
1Wed Feb1 20:46:48 2017AES128 @
1Wed Feb1 20:46:48 2017AES256 @
1Wed Feb1 20:46:48 2017RC4 @
密钥标签:创建的PSE/usr/sap//DVEBMGS/sec/SAPSNCSKERB.pse。
最后,执行:
sapgenpse seclogin -p/usr/sap//DVEBMGS/sec/SAPSNCSKERB.pse -x -O adm [其中是服务帐户ID的密码,< u>不 adm的密码]
sapgenpse get_my_name -p/usr/sap//DVEBMGS/sec/SAPSNCSKERB.pse [这是为了验证是否分配了所有加密方法]
8。通过SAPGUI重新登录系统以启用SNC,并将您的SAP ID映射到您的AD帐户,如下所示:
执行RZ10,并将snc/enable参数从0更改为1,然后保存并激活配置文件。
现在执行SU01并打开您的ID并以p:CN = @ 的格式设置您的SNC名称
规范名称正确时,红色的" x"将变为绿色的复选标记。 保存您的ID并退出SAPGUI。
9。重新启动SAP。
10。在工作站上安装SAP Secure Login Client(SAP SLC)软件,然后根据需要重新启动。
11.SAP SLC应该在系统托盘中运行
12。打开SAP SLC,您应该看到列出了Kerberos令牌。 右键单击该条目,然后选择选项"将配置文件用于SAP应用程序"。 现在,您可以关闭SLC。
13.In SAPGUI登录板中,需要为系统启用SNC通信。 右键单击系统,然后选择"属性–网络",然后选择"激活安全网络通信",并确保SNC名称与snc/identity/as值匹配。
14。完成! 现在,您应该可以将SSO集成到SAP中了。
希望这会有所帮助! 祝你好运!
汤姆
你好汤姆,
感谢您的回复。 我们已经参考以下视频(链接)为SAP GUI成功配置了SSO 3.0。
https://www.youtube.com/watch?v=ERgzPdQEE9I
此致
Cybertech
一周热门 更多>