Enhancement Package Installation
Offline / Online ReDO Logs
Viele Unternehmen kämpfen mit der Einführung und Benutzung von secinfo und reginfo Dateien für die Absicherung von SAP RFC Gateways. Wir haben dazu einen Generator entwickelt, der bei der Erstellung der Dateien unterstützt. In diesem Blog-Beitrag werden zwei von SAP empfohlene Vorgehensweisen zur Erstellung der secinfo und reginfo Dateien aufgeführt mit denen die Security Ihres SAP Gateways verstärkt wird und wie der Generator dabei hilft. secinfo und reginfo Generator anfordern Möglichkeit 1: Restriktives Vorgehen Für den Fall des restriktiven Lösungsansatzes werden zunächst nur systeminterne Programme erlaubt. Somit können keine externe Programme genutzt werden. Da das aber gewünscht ist, müssen die Zugriffskontrolllisten schrittweise um jedes benötigte Programm erweitert werden. Dieses Verfahren ist zwar sehr restriktiv, was für die Sicherheit spricht, hat jedoch den sehr großen Nachteil, dass in der Erstellungsphase immer Verbindungen blockiert werden, die eigentlich erwünscht sind. Darüber hinaus stellt die dauerhafte manuelle Freischaltung einzelner Verbindungen einen ständigen Arbeitsaufwand dar. Bei großen Systemlandschaften ist dieses Verfahren sehr aufwändig. Möglichkeit 2: Logging-basiertes Vorgehen Eine Alternative zum restriktiven Verfahren ist das Logging-basierte Vorgehen. Hierfür müssen vorerst alle Verbindungen erlaubt werden, indem die secinfo Datei den Inhalt USER=* HOST=* TP=* und die reginfo Datei den Inhalt TP=* enthalten. Während der Freischaltung aller Verbindungen wird mit dem Gateway-Logging eine Aufzeichnung aller externen Programmaufrufe und Systemregistrierungen vorgenommen. Die erstellten Log-Dateien können im Anschluss begutachtet und daraufhin die Zugriffskontrolllisten erstellt werden. Auch hier ist jedoch ein sehr großer Arbeitsaufwand vorhanden. Besonders bei großen Systemlandschaften werden viele externe Programme registriert und ausgeführt, was sehr umfangreiche Log-Dateien zur Folge haben kann. Diese durchzuarbeiten und daraufhin Zugriffskontrolllisten zu erstellen, kann eine kaum zu bewältigende Aufgabe darstellen. Bei diesem Vorgehen werden jedoch während der Erstellungsphase keine gewollten Verbindungen blockiert, wodurch ein unterbrechungsfreier Betrieb des Systems gewährleistet ist.
Einrichtung Client-Zertifikat für Zugriff auf SAP ONE Support Launchpad Diese Woche war es mal wieder soweit: Das Client-Zertifikat für den SAP Support ist abgelaufen. Wer sich wie ich fragt, wie ich das Client-Zertifikat im Browser einrichten kann: Hier ist die Anleitung gegen Passwort-Popup-Terror. Kurz und schmerzlos. Launchpad Personalisierung aufrufen SAP Passport Kachel der Home-Gruppe hinzufügen Kachel unter My Home aufrufen SAP Passport Zertifikat erstellen (mit Passwort des S-Users) Zertifikat herunterladen Zertifikat öffnen und importieren Danach Browser schließen. Falls Sie (so wie ich) schon länger nach dieser Funktion gesucht haben, freue ich mich über einen kurzen Ping im Kommentar.
Einstellungsvoraussetzungen
Über SPAM/SAINT-Updates (kurz SPAM-Update) erhalten Sie Aktualisierungen und Verbesserungen des SAP Patch Manager und des SAP Add-On Installation Tool. Es gibt immer einen SPAM-Update pro Korrekturstand, der im Laufe der Zeit entsprechend aktualisiert wird. Die Version finden Sie in der Kurzbeschreibung, zB: SPAM/SAINT update - version 4.6A/0001 Ein SPAM-Update taucht im SAPNet - R/3 Frontend in der Liste der Support Packages immer an erster Stelle, d.h. vor den anderen Support Packages, auf. Wir empfehlen, stets die neueste Version eines SPAM-Update einzuspielen, bevor Sie Support Packages einspielen. Voraussetzungen Sie können einen SPAM-Update nur dann erfolgreich einspielen, wenn keine abgebrochenen Support Packages im System sind. Wenn es abgebrochene Support Packages gibt, weist Sie ein Dialogfenster darauf hin. Sie haben dann zwei Möglichkeiten: Sie spielen zuerst die Queue vollständig ein und danach den SPAM-Update. Sie setzen den Status der Queue zurück, spielen zuerst den SPAM-Update und danach die Queue ein. Den Status der Queue können Sie mit Zusätze Status zurücksetzen Queue zurücksetzen. Beachten Sie, daß Ihr System inkonsistent ist, wenn Sie die Queue zurücksetzen, nachdem schon Objekte importiert wurden (zB nach einem Fehler im Schritt DDIC_IMPORT und folgenden). Von daher sollten Sie die Queue nur zurücksetzen, wenn vor dem Schritt DDIC_IMPORT abgebrochen wurde. Weitere Informationen finden Sie unter Schritte der SPAM [Seite 26]. Beachten Sie, daß ab SPAM/SAINT-Version 11 das Zurücksetzen der Queue nach dem Schritt DDIC_IMPORT und folgenden nicht mehr möglich ist. Vorgehensweise Überprüfen Sie, ob der angebotene SPAM-Update neuer ist als der in Ihrem System eingespielte. Die aktuelle SPAM-Version wird in der Titelleiste des SPAM-Fensters angezeigt. Um den neuesten SPAM-Update einzuspielen, wählen Sie Support Package SPAMUpdate einspielen. SPAM-Updates werden nach erfolgreichem Einspielen automatisch bestätigt. Support Package laden Verwendung Bevor Sie Support Packages einspielen können, müssen Sie zuerst die entsprechenden Support Packages laden.
Innerhalb einer Client-Server-Ebene lässt sich die anfallende Last auf mehrere logische Instanzen verteilen, die auf unterschiedlichen Rechnern laufen können, was man als horizontale Skalierbarkeit bezeichnet. So wird die Präsentationsebene in der Regel auf PCs oder Terminalserver verteilt. Die Applikationsebene wird durch die SAP-Instanzen realisiert. Die Client-Server-Architektur erlaubt es, die Zahl der Applikations- und Präsentationsserver fast beliebig zu erhöhen, um bei steigender Benutzerzahl den wachsenden Anforderungen gerecht zu werden.
Etliche Aufgaben der SAP Basis können mit "Shortcut for SAP Systems" einfacher und schneller erledigt werden.
Hinzu kommt, dass in dieser Phase häufig noch Fehler auftreten, die die Performancekennzahlen verfälschen.
Falls Sie sichergehen wollen, dass Sie im richtigen Verzeichnis arbeiten, können Sie in der Transaktion AL11 nachschauen, welches Verzeichnis unter "DIR_TRANS" angegeben ist.