您好Cyber​​tch，

由于我们没有使用Web调度程序，因此我可能无能为力，但是就使用SSO 3.0进行设置而言，这是我们已使用并正在与环境一起工作的过程的概述 ，其中几乎包括所有SAP产品（ECC，BI，CRM等）。

使用用于Kerberos和SPNEGO的SAP SSO 3.0在AIX上配置SAP

1。下载最新的SAPCRYPTOLIB，解开文件，然后将文件放入SAP系统的内核目录中。 确保文件由 adm：sapsys

拥有

2。编辑/home/adm/.login并添加以下环境变量（如果尚未存在）：setenv SECUDIR/usr/sap//DVEBMGS /sec

3。在Active Directory中创建服务用户-

设置"用户无法更改密码"和"密码永不过期"

打开刚刚创建的用户的属性，然后单击``帐户''选项卡。滚动到``帐户选项''的底部并启用``此帐户支持Kerberos AES 128位加密''和``此帐户支持Kerberos AES 256位加密'' 然后点击"应用"

现在单击"属性编辑器"选项卡，然后编辑" servicePrincipalName"属性以添加SPN，然后单击"确定"。

SPN输入为：

HTTP/

SAP/

4。登录到SAP系统，并通过RZ10将以下参数添加到DEFAULT配置文件中（*注意–检查这些参数的实例配置文件，如果存在，请删除它们）：

参数名称 值snc/enable 0（禁用）/1（启用）– 最初将此值设置为" 0" snc/gssapi_lib/usr/sap/ /SYS/EXE/运行/ libsapcrypto.so snc/identity/as p：CN = 示例-p：CN = sap_svc_ @ （这仅适用于Kerberos＆ 域的大写字母）snc/data_protection/max 3 snc/data_protection/min 2 snc/data_protection/使用3 snc/r3int_rfc_secure 0 snc/r3int_rfc_qop 8 snc/accept_insecure_cpic 1 snc/nc/accept_insecure_gui 1 snc/accept_insecure_gui 1 snc/accept_insecure_gui 1 0 spnego/启用1 spnego/krbspnego_lib/usr/sap/ /SYS/EXE/运行/ libsapcrypto.so

保存并激活新的配置文件。 在操作系统级别登录到SAP系统，然后重新启动SAP

5。系统重新联机后，登录并运行STRUSTSSO2。展开SNC SAPCryptolib PSE。 如果那里已经有证书，请将其删除。 如果不是，则选择创建。

单击"创建"时，您在RZ10中为snc/identity/as输入的值应与创建的值匹配并显示在"所有者"字段中。 如果此值不匹配，则说明存在问题，无法进行进一步的配置，因此必须先解决此问题，然后再继续。

一旦创建了证书，请双击它并将其添加到证书列表和ACL（登录客户端和客户端000两者）中

保存并退出STRUSTSSO2。

6。运行SPNEGO事务以创建密钥表文件。 选择显示/更改并添加

输入服务帐户的用户名，密码，然后选择所有加密算法

保存并退出此屏幕和SAPGUI。

7。在操作系统级别创建密钥表文件。 登录到服务器操作系统和su- adm

导航到/usr/sap//DVEBMGS /sec

输入以下内容，并使用大写的域：

sapgenpse密钥表-p SAPSNCSKERB.pse -a @

然后将提示您创建PSE PIN/密码。 看起来如下：

############################################## ##############################

免责声明SAP单一登录

您将为单点登录或SNC客户端加密配置信任。

请注意，单点登录需要获得许可证

SAP单一登录。

作为例外，仅在没有SSO的情况下免费使用SNC客户端加密

如SAP Note 1643878中所述。

############################################## ##############################

请输入PSE PIN码/密码：*********

请重新输入PSE PIN码/密码：*********

请输入keyTab密码：*********

请重新输入keyTab密码：*********

keytab：创建了新的keyTab条目。

keytab：存储的KeyTab内容：

VersionTime stampKeyTypeKerberos名称

1Wed Feb1 20:46:48 2017DES @

1Wed Feb1 20:46:48 2017AES128 @

1Wed Feb1 20:46:48 2017AES256 @

1Wed Feb1 20:46:48 2017RC4 @

密钥标签：创建的PSE/usr/sap//DVEBMGS/sec/SAPSNCSKERB.pse。

最后，执行：

sapgenpse seclogin -p/usr/sap//DVEBMGS/sec/SAPSNCSKERB.pse -x -O adm [其中是服务帐户ID的密码，< u>不 adm的密码]

sapgenpse get_my_name -p/usr/sap//DVEBMGS/sec/SAPSNCSKERB.pse [这是为了验证是否分配了所有加密方法]

8。通过SAPGUI重新登录系统以启用SNC，并将您的SAP ID映射到您的AD帐户，如下所示：

执行RZ10，并将snc/enable参数从0更改为1，然后保存并激活配置文件。

现在执行SU01并打开您的ID并以p：CN = @ 的格式设置您的SNC名称

规范名称正确时，红色的" x"将变为绿色的复选标记。 保存您的ID并退出SAPGUI。

9。重新启动SAP。

10。在工作站上安装SAP Secure Login Client（SAP SLC）软件，然后根据需要重新启动。

11.SAP SLC应该在系统托盘中运行

12。打开SAP SLC，您应该看到列出了Kerberos令牌。 右键单击该条目，然后选择选项"将配置文件用于SAP应用程序"。 现在，您可以关闭SLC。

13.In SAPGUI登录板中，需要为系统启用SNC通信。 右键单击系统，然后选择"属性–网络"，然后选择"激活安全网络通信"，并确保SNC名称与snc/identity/as值匹配。

14。完成！ 现在，您应该可以将SSO集成到SAP中了。

希望这会有所帮助！ 祝你好运！

汤姆

你好汤姆，

感谢您的回复。 我们已经参考以下视频（链接）为SAP GUI成功配置了SSO 3.0。

https://www.youtube.com/watch?v=ERgzPdQEE9I

此致

Cyber​​tech