Intranetzugriffsverwaltung und Single Sign-On
Kapitel 5: Implementieren der Lösung
Veröffentlicht: 11. Mai 2004 | Aktualisiert: 26. Jun 2006
Die vorherigen Kapitel dieses Artikels enthalten zum Verständnis der geschäftlichen Anforderungen nötige Informationen sowie Angaben zur Implementierung von Lösungen für die beiden Contoso-Szenarios (Authentifizierung von UNIX-Arbeitsstationen beim Microsoft® Active Directory®-Verzeichnisdienst und Konfigurieren des SAP R/3-Anwendungsservers für eine Authentifizierung bei Active Directory). Dieses Kapitel enthält einen ausführlichen Leitfaden zur Implementierung der Lösungen.
Die Voraussetzungen und der Implementierungsleitfaden können mit dem Vorgehen in Kapitel 6, „Testen der Lösung“, überprüft werden.
Auf dieser Seite
Tools und Vorlagen
Integrieren von UNIX-Arbeitsstationen in Active Directory
Integrieren der SAP R/3 Application Server-Authentifizierung über das Kerberos-Protokoll
Tools und Vorlagen
Im Downloadpaket für die Identitäts- und Zugriffsverwaltung ist die Datei Identity and Access Management Tools and Templates.msi enthalten. Dabei handelt es sich um die Installationsdatei für dieTools und Vorlagen. Die in diesem Download enthaltenen Tools und Vorlagen enthalten textbasierte Skripts, Codebeispiele und Konfigurationsdateien für die Identitäts- und Zugriffsverwaltung, ausführbare Programme oder kompilierter Code sind jedoch nicht vorhanden.
Hinweis Beim enthaltenen Code handelt es sich lediglich um Beispiele. Vor dem Einsatz in einer Produktionsumgebung sind diese Tools und Vorlagen unbedingt zu überprüfen, anzupassen und zu testen.
Beim Ausführen der Installationsdatei ähnelt die Ordnerstruktur der Struktur in Abbildung 5.1. Die genaue Struktur hängt jedoch davon ab, wo Sie die Datei installieren.
.gif "Abbildung 5.1 Ordnerstruktur für Tools und Vorlagen")
Abbildung 5.1 Ordnerstruktur für Tools und Vorlagen
In diesem Leitfaden wird vorausgesetzt, dass Sie die Tools und Vorlagen im Standardspeicherort „%UserProfile%\Eigene Dateien\Identity and Access Management Tools and Templates“ installiert haben. Wenn Sie einen anderen Installationsort gewählt haben, müssen Sie denselben Pfad für alle in diesem Dokument beschriebenen Schritte verwenden.
Hinweis Beim Installieren des MSI-Pakets für Tools und Vorlagen kann gelegentlich ein Fehler auftreten. In der Datei „Readme.htm“ der Identitäts- und Zugriffsverwaltungsserie finden Sie diesbezüglich weitere Informationen.
Ordner: UNIX
Tabelle 5.1. Der UNIX-Ordner
Dateiname |
Zweck |
|---|---|
krb5.conf |
In dieser Beispieldatei wird gezeigt, wie das Kerberos 5-Authentifizierungsprotokoll auf Sun Solaris 9-Arbeitsstationen konfiguriert wird. |
pam.conf |
Diese Beispieldatei enthält Anweisungen, wie der PAM-Service zur Unterstützung des Kerberos 5-Protokolls eingerichtet wird. |
Integrieren von UNIX-Arbeitsstationen in Active Directory
Im Contoso-Beispiel werden UNIX-Arbeitsstationen und -Anwendungen in die Microsoft Identitäts- und Zugriffsverwaltungsplattform integriert. Dafür müssen lokale Benutzerkonten einer Solaris 9-Arbeitsstation zu Active Directory migriert werden. Bei Contoso müssen dazu zunächst Benutzer- und Arbeitsstationenkonten in Active Directory erstellt und dann die Solaris 9-Arbeitsstationen für die Nutzung des Kerberos-Protokolls konfiguriert werden. Mit diesem Protokoll ist es möglich, das Schlüsselverteilungscenter (KDC) in Microsoft Windows Server™ 2003 dazu zu verwenden, die Solaris 9-Konten mit Microsoft Windows®-Anmeldeinformationen zu authentifizieren.
Folgende High-Level-Aufgaben sind vor der Implementierung des Szenarios auszuführen:
Konten für UNIX-Arbeitsstationen und -Benutzer in Active Directory anlegen
UNIX-Arbeitsstationen für die Nutzung des Kerberos-Protokolls bei der Benutzeranmeldung konfigurieren
Implementierungsvoraussetzungen
Für die Implementierung des ausführlichen Leitfadens in diesem Kapitel muss sichergestellt sein, dass folgende Voraussetzungen erfüllt sind.
Installieren und konfigurieren Sie den Active Directory-Teil der Contoso-Infrastruktur wie im Artikel „Plattform und Infrastruktur“ dieser Serie beschrieben.
Stellen Sie sicher, dass auf den UNIX-Arbeitsstationen DNS (Domain Name System) konfiguriert ist, um die Domänennamen von Windows Server 2003 auflösen zu können. Öffnen Sie die Datei /etc/resolv.conf, und überprüfen Sie, ob sie Zeilen ähnlich denen in der folgenden Tabelle enthält.
Tabelle 5.2. Windows Server 2003-Domänennamen
Name
Adresse oder Domäne
Domäne
na.corp.contoso.com
Namenserver
10.1.11.32
suchen
na.corp.contoso.com
Stellen Sie sicher, dass die UNIX-Arbeitsstationen IP-Adressen erhalten, die vom DHCP (Dynamic Host Configuration Protocol)-Server in Ihrer Domäne geleast werden.
Installieren Sie das Produkt Sun Enterprise Authentication Mechanism (SEAM) 1.0.1 (normalerweise in Solaris 9 enthalten) auf den UNIX-Arbeitsstationen.
Achten Sie darauf, dass die Uhren der UNIX-Arbeitsstationen mit denen des Domänencontrollers von Active Directory übereinstimmen.
Übersicht über die Implementierung
Die Implementierung dieses Szenarios beinhaltet folgende zwei Hauptaktivitäten.
Kontenerstellung unter UNIX
Konfiguration der UNIX-Arbeitsstation
Kontenerstellung unter UNIX
Bei Contoso wurden folgende Aufgaben ausgeführt, um Benutzerkonten in Active Directory zu erstellen, die den Benutzerkonten auf Solaris 9-Arbeitsstationen entsprechen. Sie können diese Aufgaben an die Anforderungen Ihres Unternehmens anpassen.
Aufgabe 1: In Active Directory UNIX-Benutzerkonten hinzufügen
Aufgabe 2: In Active Directory Konten für UNIX-Arbeitsstationen erstellen
Aufgabe 3: Dateien mit Schlüsseltabellen für die UNIX-Arbeitsstationen generieren
Vorsicht Die Benutzerkonten in Active Directory müssen genau mit den Namen der Benutzerkonten auf den UNIX-Arbeitsstationen übereinstimmen; bei diesen wird zwischen Groß- und Kleinschreibung unterschieden.
Aufgabe 1: In Active Directory UNIX-Benutzerkonten hinzufügen
Führen Sie dazu folgende Schritte aus.
So fügen Sie in Active Directory ein UNIX-Benutzerkonto hinzu
Öffnen Sie die Microsoft Management Console (MMC) für Active Directory-Benutzer und Computer mit Benutzerberechtigungen zur Verwaltung von Benutzerkonten.
Klicken Sie in der Konsolenstruktur auf die Organisationseinheit (organizational unit, OU) Benutzer.
Klicken Sie rechts auf die OU Benutzer, zeigen Sie auf Neu, und klicken Sie dann auf Benutzer.
Geben Sie folgende Informationen im Dialogfeld Neues Objekt - Benutzer ein (lassen Sie bei allen anderen Informationen die Standardwerte stehen).
Vorname: <Solaris_User_First name>
Nachname: <Solaris_User_Last name>
Benutzeranmeldename: <Solaris_User_UNIX_Account_Name>
Benutzeranmeldename (Prä-Windows 2000): <Solaris_User_UNIX_Account_Name>
Klicken Sie auf Weiter.
Geben Sie im Dialogfeld Neues Objekt - Benutzer folgende Informationen ein:
Kennwort: <Alphanumeric_Password>
Kennwort bestätigen: <Alphanumeric_Password>
Klicken Sie auf Weiter und dann auf Fertig stellen.
Aufgabe 2: In Active Directory Konten für UNIX-Arbeitsstationen erstellen
Führen Sie folgende Schritte durch, um ein Konto für eine Solaris 9-Arbeitsstation in Active Directory zu erstellen.
So erstellen Sie ein Konto für eine UNIX-Arbeitsstation in Active Directory
Öffnen Sie die Microsoft Management Console (MMC) für Active Directory-Benutzer und Computer mit Benutzerberechtigungen zur Verwaltung von Benutzerkonten.
Klicken Sie rechts auf na.corp.contoso.com, zeigen Sie auf Neu, und klicken Sie dann auf Organisationseinheit.
Im Dialogfeld Neues Objekt - Organisationseinheit geben Sie Solaris Arbeitsstationen ein und klicken auf OK.
Klicken Sie rechts auf Solaris Arbeitsstationen, zeigen Sie auf Neu, und klicken Sie dann auf Benutzer.
Geben Sie folgende Informationen im Dialogfeld Neues Objekt - Benutzer ein (lassen Sie bei allen anderen Informationen die Standardwerte stehen).
Vorname: <Solaris_Workstation_Name>
Benutzeranmeldename: <Solaris_Workstation_Name>
Benutzeranmeldename (Prä-Windows 2000): <Solaris_Workstation_Name>
Klicken Sie im Dialogfeld Neues Objekt - Benutzer auf Weiter, und geben Sie folgende Informationen ein:
Kennwort: <Alphanumeric_Password>
Kennwort bestätigen: <Alphanumeric_Password>
Deaktivieren Sie im selben Dialogfeld das Kontrollkästchen Benutzer muss Kennwort bei der nächsten Anmeldung ändern, und aktivieren Sie das Kontrollkästchen Kennwort läuft nie ab.
Klicken Sie auf Weiter und dann auf Fertig stellen.
Aufgabe 3: Dateien mit Schlüsseltabellen für die UNIX-Arbeitsstationen generieren
Verwenden Sie das Dienstprogramm ktpass.exe, um Schlüsseltabellen für die UNIX-Arbeitsstationen zu erstellen. Die Dateien mit Schlüsseltabellen enthalten den Schlüssel, mit dem das Kerberos 5-Protokoll Ticket-Anforderungen verschlüsselt.
Hinweis Das Dienstprogramm ktpass.exe ist in den Supporttools auf der Windows Server 2003-Produkt-CD enthalten.
Führen Sie folgende Schritte durch, um Dateien mit Schlüsseltabellen für die UNIX-Arbeitsstationen zu erstellen.
So generieren Sie eine Datei mit Schlüsseltabellen für eine UNIX-Arbeitsstation
Melden Sie sich beim Domänencontroller als Administrator an.
Klicken Sie auf Start, dann auf Ausführen, geben Sie cmd ein, und drücken Sie die EINGABETASTE, um die Eingabeaufforderung zu öffnen.
Führen Sie an der Eingabeaufforderung das Dienstprogramm ktpass mit den in diesem Schritt angegebenen Befehlszeilen und folgenden Änderungen aus.
Verwenden Sie anstelle von <Solaris_Workstation_Name> den Namen, den Sie in Aufgabe 2, Schritt 5 vergeben haben.
NA.CORP.CONTOSO.COM und na.corp.contoso.com sind die Domänen, in denen das Computerkonto der Solaris-Arbeitsstation erstellt wurde.
Verwenden Sie das Kennwort, das Sie in Aufgabe 2, Schritt 6 als Kennwort festgelegt haben wie im folgenden Beispiel gezeigt.
Hinweis Einige Zeilen im folgenden Code wurden zur besseren Lesbarkeit in mehrere Zeilen aufgeteilt.
ktpass -princ host/<Solaris_Workstation_Name>.na.corp.contoso.com@ NA.CORP.CONTOSO.COM -mapuser <Solaris_Workstation_Name> -pass password -out <Solaris_Workstation_Name>.keytab
Nach Drücken der EINGABETASTE wird in der Regel die folgende Ausgabe angezeigt.
Hinweis Einige Zeilen im folgenden Code wurden zur besseren Lesbarkeit in mehrere Zeilen aufgeteilt.
Targeting domain controller: GRNCDC01.na.corp.contoso.com Successfully mapped host/ Solaris_Workstation_Name.na.corp.contoso.com to Solaris_Workstation_Name. Key created. Output keytab to Solaris_Workstation_Name.keytab: Keytab version: 0x502 keysize 79 host/ Solaris_Workstation_Name.na.corp.contoso.com@ NA.CORP.CONTOSO.COM ptype 1 (KRB5_NT_PRINCIPAL) vno 3 etype 0x3 (DES-CBC-MD5) keylength 8 (0x0e9bd5da314f5bad) Account Solaris_Workstation_Name has been set for DES-only encryption.
Konfiguration der UNIX-Arbeitsstation
Bei Contoso wurden folgende Aufgaben ausgeführt, um das Kerberos 5-Protokoll auf UNIX-Arbeitsstationen zu konfigurieren. Sie können diese Aufgaben an die Anforderungen Ihres Unternehmens anpassen.
Aufgabe 1: Datei keytab auf der UNIX-Arbeitsstation installieren
Aufgabe 2: Datei pam.conf konfigurieren
Aufgabe 3: Datei krb5.conf konfigurieren
Aufgabe 4: Benutzerkennwörter auf der UNIX-Arbeitsstation löschen
Aufgabe 1: Datei keytab auf der UNIX-Arbeitsstation installieren
Führen Sie dazu folgende Schritte aus.
So installieren Sie die Datei keytab auf der UNIX-Arbeitsstation
Senden Sie die auf dem Domänencontroller erstellte Datei keytab per FTP an das Solaris 9-Betriebssystem der UNIX-Arbeitsstation.
Wichtig Da Sie einen Datenaustausch zwischen einem mit Windows Server 2003 betriebenen Computer und einem Solaris 9-Host vornehmen, muss der Transfermodus für die FTP-Sitzung auf binär stehen.
Melden Sie sich bei der UNIX-Arbeitsstation als root an.
Überprüfen Sie, ob DNS installiert ist. In der Datei /etc/resolv.conf sollten folgende Informationen enthalten sein.
domain na.corp.contoso.com nameserver 10.1.103.13Geben Sie an der Aufforderung #ktutil ein, und drücken Sie die EINGABETASTE.
Geben Sie an der ktutil:-Aufforderung rkt Solaris_Arbeitsstation_Name.keytab ein, und drücken Sie dann die EINGABETASTE.
Geben Sie an der ktutil:-Aufforderung list ein, und drücken Sie die EINGABETASTE. Die folgende Ausgabe sollte angezeigt werden.
ktutil: list slot KVNO Principal 1 3 host/ffl-na-sun-01.na.corp.contoso.com@NA.CORP.CONTOSO.COMGeben Sie an der ktutil:-Aufforderung wkt /etc/krb5/krb5.keytab ein, und drücken Sie die EINGABETASTE.
Geben Sie an der ktutil:-Aufforderung q ein, und drücken Sie die EINGABETASTE.
Aufgabe 2: Datei pam.conf konfigurieren
Führen Sie folgende Schritte aus, um die Datei pam.conf zu konfigurieren. Diese Datei ist eine Konfigurationsdatei mit einer PAM-Architektur, mit der bei Contoso die Authentifizierung über das Kerberos 5-Protokoll aktiviert wird.
So konfigurieren Sie die Datei pam.conf
Melden Sie sich bei der UNIX-Arbeitsstation als root an.
Erstellen Sie eine Sicherungsdatei, indem Sie die Standarddatei /etc/pam.conf kopieren und die Sicherungsdatei in /etc/pam.conf.old umbenennen.
Der Ordner Tools und Vorlagen, den Sie mit diesem Artikel herunterladen können, enthält ein Beispiel einer pam.conf-Datei, mit der auf der UNIX-Arbeitsstation die Authentifizierung über das Kerberos 5-Protokoll aktiviert wird.
Kopieren Sie die mitgelieferte Datei auf die UNIX-Arbeitsstation, oder übernehmen Sie folgende Änderungen in die vorhandene Datei /etc/pam.conf.
# PAM configuration # Contoso's pam.conf to enable Kerberos # Authentication other auth sufficient pam_krb5.so.1 other auth sufficient pam_unix.so.1 try_first_pass # Password other password sufficient pam_krb5.so.1 other password sufficient pam_unix.so.1 # Account other account optional pam_krb5.so.1 other account optional pam_unix.so.1 # session other session optional pam_krb5.so.1 other session optional pam_unix.so.1
Aufgabe 3: Datei krb5.conf konfigurieren
In der Datei krb5.conf werden die Standardeinstellungen für das Kerberos-Protokoll auf der UNIX-Arbeitsstation definiert. Bei Contoso wurde diese Datei so verändert, dass sie auf das Schlüsselverteilungscenter in Windows Server 2003 und na.corp.contoso.com im Bereich Windows Server 2003 verweist.
Führen Sie folgende Schritte durch, um diese Datei an Ihre geschäftlichen Anforderungen anzupassen.
So konfigurieren Sie die Datei krb5.conf
Melden Sie sich bei der UNIX-Arbeitsstation als root an.
Erstellen Sie eine Sicherungsdatei, indem Sie die Standarddatei /etc/krb5/krb5.conf kopieren und die Sicherungsdatei in /etc/krb5/krb5.conf.old umbenennen.
Passen Sie die Datei krb5.conf im Ordner „Tools und Vorlagen“, den Sie mit diesem Artikel herunterladen, an Ihre Umgebung an, und kopieren Sie sie dann in die Datei /etc/krb5/krb5.conf auf der UNIX-Arbeitsstation. In der von Contoso genutzten Konfigurationsdatei sind z. B. folgende Informationen enthalten:
Hinweis Einige Zeilen im folgenden Code wurden zur besseren Lesbarkeit in mehrere Zeilen aufgeteilt.
[libdefaults] default_realm = NA.CORP.CONTOSO.COM [realms] NA.CORP.CONTOSO.COM = { kdc = ffl-na-dc-01.na.corp.contoso.com admin_server = ffl-na-dc-01.na.corp.contoso.com kpasswd_protocol = SET_CHANGE } [domain_realm] .na.corp.contoso.com = NA.CORP.CONTOSO.COM [logging] default = FILE:/var/krb5/kdc.log kdc = FILE:/var/krb5/kdc.log kdc_rotate = { # How often to rotate kdc.log. Logs will get rotated # no more # often than the period, and less often if the KDC is # not used# frequently. period = 1d # how many versions of kdc.log to keep around # (kdc.log.0, kdc.log.1, ...) version = 10 } [appdefaults] kinit = { renewable = true forwardable= true } gkadmin = { help_url = http://docs.sun.com:80/ab2/coll.384.1 /SEAM/@AB2PageView/1195 }Überprüfen Sie, ob die Systemuhr der UNIX-Arbeitsstation mit der Uhr des Domänencontrollers übereinstimmt. Führen Sie den Befehl date auf der UNIX-Arbeitsstation und den Befehl time auf dem Windows-Domänencontroller aus. Prüfen Sie zunächst, ob Unterschiede in der Einstellung der Zeitzonen bestehen, und passen Sie dann die Zeit auf dem UNIX-System an die Zeit des Domänencontrollers an (maximal 5 Minuten Unterschied).
Wichtig Dies ist für das Kerberos 5-Protokoll erforderlich. Der Unterschied zwischen den Systemuhren darf nicht mehr als 5 Minuten betragen.
Aufgabe 4: Benutzerkennwörter auf der UNIX-Arbeitsstation löschen
Falls ein vorhandenes UNIX-Konto auf der Arbeitsstation denselben Namen wie das Active Directory-Benutzerkonto besitzt, sollte die Kennwortinformation in der Datei /etc/shadow entfernt werden, da sie nicht mehr gebraucht wird.
Führen Sie dazu folgende Schritte aus.
So löschen Sie Active Directory-Benutzerkennwörter auf der UNIX-Arbeitsstation
Melden Sie sich bei der UNIX-Arbeitsstation als root an.
Öffnen Sie die Datei /etc/shadow in einem Texteditor.
Suchen Sie nach dem Eintrag für den Active Directory-Benutzer, und löschen Sie dann die komplette Zeile.
Die UNIX-Arbeitsstation ist nun für die Nutzung des Kerberos-Protokolls zur Authentifizierung von Benutzern in Active Directory konfiguriert.
Microsoft empfiehlt, die Implementierung zu überprüfen. Durchzuführende Tests finden Sie im Kapitel 6, „Testen der Lösung“, im Abschnitt „Überprüfen der Implementierungsvoraussetzungen“. Dort wird das Integrationsszenario der UNIX-Arbeitsstation in Active Directory beschrieben.
Integrieren der SAP R/3 Application Server-Authentifizierung über das Kerberos-Protokoll
Contoso möchte seine Investitionen in die Windows Server 2003 Active Directory-Infrastruktur dazu nutzen, das Einmalige Anmelden am SAP R/3-Anwendungsserver zu implementieren. Hierzu muss der Authentifizierungsprozess zwischen den SAP-Front-End-Anwendungen und dem SAP R/3-Anwendungsserver so konfiguriert werden, dass das Kerberos 5-Protokoll verwendet wird.
Implementierungsvoraussetzungen
Damit die Details dieser Implementierung korrekt funktionieren, muss bei Ihnen die grundlegende Contoso-Infrastruktur im Einsatz sein, wie sie in folgenden Kapiteln des Artikels „Plattform und Infrastruktur“ dieser Serie beschrieben wird: Kapitel 4 „Entwerfen der Infrastruktur“ und Kapitel 5, „Implementieren der Infrastruktur“, einschließlich:
- Microsoft Active Directory®-Verzeichnisgesamtstruktur für das Intranet Gesamtstruktur, die die bestehenden Contoso-OUs, -Gruppen und -Benutzer umfasst
Bevor Sie die Aufgaben in diesem Abschnitt ausführen, müssen Sie außerdem:
Sicherstellen, dass der SAP R/3-Anwendungsserver Benutzerkonten im SAP-System besitzt
Sicherstellen, dass ein Active Directory-Konto für jedes SAP-Benutzerkonto zu Kontenzuordnungszwecken und SSO-Zwecken im Intranet-Active Directory vorhanden ist
Übersicht über die Implementierung
Dieses Szenario wird durch folgende Aktivitäten implementiert.
SAP R/3 Server-Konfiguration
Konfigurieren der grafischen Benutzeroberfläche des SAP-Clients auf Windows XP
SAP R/3 Server-Konfiguration
Mit den folgenden Aufgaben in diesem Abschnitt konfigurieren Sie den SAP R/3-Anwendungsserver für die Nutzung des Kerberos 5-Protokolls. Sie können diese Aufgaben an die Anforderungen Ihres Unternehmens anpassen.
Aufgabe 1: SAP-Dienstkonto zur Ausführung des SAP R/3-Anwendungsserverprozesses erstellen
Aufgabe 2: Dienstprinzipalnamen (Service Principal Name, SPN) für das SAP-Benutzerkonto einrichten
Aufgabe 3: SAP-Benutzerkonto zur Gruppe lokaler Administratoren hinzufügen
Aufgabe 4: Kerberos 5-Protokoll hinzufügen
Aufgabe 5: SNC auf dem SAP R/3-Server für die Nutzung des Kerberos 5-Protokolls konfigurieren
Aufgabe 6: Benutzerkonten des SAP R/3-Anwendungsservers zu Active Directory zuordnen
Aufgabe 1: SAP-Dienstkonto zur Ausführung des SAP R/3-Anwendungsserverprozesses erstellen
Führen Sie dazu folgende Schritte aus.
So erstellen Sie ein SAP-Dienstkonto in Active Directory
Öffnen Sie die Microsoft Management Console (MMC) für Active Directory-Benutzer und Computer mit Benutzerberechtigungen zur Verwaltung von Benutzerkonten.
Klicken Sie in der Konsolenstruktur rechts auf die OU Benutzer, zeigen Sie auf Neu, und klicken Sie dann auf Benutzer.
Geben Sie im Dialogfeld Neues Objekt - Benutzer folgende Informationen ein:
Vorname:SAP
Nachname: Logon
Benutzeranmeldename: sapacct@na.corp.contoso.com
Benutzeranmeldename (Prä-Windows 2000): sapacct
Hinweis Lassen Sie die anderen Standardinformationswerte in diesem Dialogfeld unverändert.
Klicken Sie auf Weiter, und geben Sie dann im Dialogfeld Neues Objekt - Benutzer folgende Informationen ein:
Kennwort: <Alphanumeric_Password>
Kennwort bestätigen: <Alphanumeric_Password>
Aufgabe 2: Dienstprinzipalnamen für das SAP-Benutzerkonto einrichten
Führen Sie dazu folgende Schritte aus.
So richten Sie einen Dienstprinzipalnamen für das SAP-Benutzerkonto ein
Suchen Sie auf der Windows 2003 Server Resource Kit-CD das Dienstprogramm setspn.exe, oder laden Sie es von der Seite für das Windows 2000 Resource Kit Tool: Setspn.exe (in englischer Sprache) herunter.
Geben Sie folgendes in der Eingabeaufforderung ein, während Sie als Administrator angemeldet sind: SETSPN -A SAPService/<host computer name> NA\sapacct
Hinweis Diese Aufgabe ist bei Windows Server 2003 notwendig, da das Schlüsselverteilungscenter das Kerberos-User2User-Protokoll für alle Konten aufruft, die keinen Dienstprinzipalnamen besitzen. Da der Dienstprinzipalname normalerweise nicht vom SAP-Client verwendet wird, wenn dieser Kerberos-Diensttickets für den SAP R/3-Anwendungsserver anfordert, muss nur der Prinzipalname des SAP-Dienstbenutzerkontos korrekt angegeben werden.
Aufgabe 3: SAP-Dienstkonto zur Gruppe lokaler Administratoren hinzufügen
Führen Sie dazu folgende Schritte aus.
So fügen Sie der Gruppe lokaler Administratoren ein SAP-Dienstkonto hinzu
Öffnen Sie das Computerverwaltungs-MMC mit Berechtigung zur Domänenverwaltung auf dem SAP R/3-Anwendungsserver.
Doppelklicken Sie in der Konsolenstruktur auf Systemprogramme, klicken Sie anschließend auf Lokale Benutzer und Gruppen und auf Gruppen.
Klicken Sie mit der rechten Maustaste auf die Gruppe Administratoren und dann auf Zur Gruppe hinzufügen.
Klicken Sie im Dialogfeld Administratoreigenschaften auf Hinzufügen.
Gehen Sie im Dialogfeld Benutzer auswählen, Computer oder Gruppen zum Feld Geben Sie die zu verwendenden Objektnamen ein (Beispiele), und geben Sie dort sapacct@na.corp.contoso.com ein.
Aufgabe 4: Kerberos 5-Protokoll installieren
In der nächsten Aufgabe installieren Sie das Kerberos 5-Protokoll auf dem SAP R/3-Anwendungsserver. Dazu sind folgende Schritte nötig.
Hinweis In den SAP-Installationsmedien ist eine Version der Binärdatei gsskrb5.dll vorhanden. In Windows Server 2003- und Microsoft Windows® XP-Umgebungen muss jedoch eine neuere, von SAP erhältliche Version verwendet werden. Im SAP-Hinweis 352295 erhalten Sie weitere Informationen zur Verwendung dieser Version der DLL-Datei. Er beinhaltet außerdem einen Download-Link für die neuere Version. Sie finden SAP-Hinweise, indem Sie sich mit Ihrem SAP-Konto bei OSS anmelden oder direkt die Seite SAP Service Marketplace (in englischer Sprache) auf der SAP-Website aufrufen.
So installieren Sie das Kerberos 5-Protokoll auf dem SAP R/3-Anwendungsserver
Melden Sie sich als sapacct@na.corp.contoso.com beim SAPR/3-Anwendungsserver an.
Kopieren Sie die Datei Gsskrb5.dll in %windir%\system32.
Klicken Sie auf Systemsteuerung und dann auf System.
Klicken Sie auf die Registerkarte Erweitert, auf Umgebungsvariablen und dann im Dialogfeld Umgebungsvariablen unter Systemvariablen auf Neu.
Geben Sie im Dialogfeld Neues Objekt - Benutzer folgende Informationen ein:
Variablenname: SNC_LIB
Variablenwert: %windir%\system32\gsskrb5.dll
Hinweis Diese Variablenwerte legen den Ort für die Datei Gsskrb5.dll fest.
Aufgabe 5: SNC zur Nutzung des Kerberos 5-Protokolls konfigurieren
Nachdem Sie die oben genannten Aufgaben ausgeführt haben, können Sie die SNC-Funktionalität auf dem SAP R/3-Anwendungsserver so konfigurieren, dass sie das Kerberos 5-Protokoll für die Authentifizierung verwendet. Sie können das SNC-Benutzerhandbuch (in englischer Sprache) von der SAP-Webseite herunterladen.
Führen Sie für diese Aufgabe folgende Schritte aus.
So konfgurieren Sie SNC zur Nutzung des Kerberos 5-Authentifizierungsprotokolls
Melden Sie sich als sapacct@na.corp.contoso.com beim SAPR/3-Anwendungsserver an.
Hinweis Das System des SAP R/3-Anwendungsservers unterscheidet zwischen Groß- und Kleinschreibung. Deshalb müssen Sie den Anmeldenamen des Benutzerkontos in Active Directory genau so eingeben, wie er hier genannt wird.
Öffnen Sie die Datei <SAP R/3 Web Server Drive:>\MBS\MBS_D00.pfl mit Notepad.exe, und fügen Sie am Ende folgende Parameter hinzu.
#language zcsa/system_language = EN #Kerberos snc/enable =1 snc/accept_insecure_cpic =1 snc/accept_insecure_gui =1 snc/accept_insecure_r3int_rfc =1 snc/accept_insecure_rfc =1 snc/data_protection/max =1 snc/data_protection/min =1 snc/data_protection/use =1 # Location of the dll used for kerberos snc/gssapi_lib = C:\windows\system32\gsskrb5.dll snc/permit_insecure_start =1 # The Windows User Account used to run SAP Server snc/identity/as = p:sapacct@na.corp.contoso.com snc/r3int_rfc_secure = 0Hinweis In dieser Datei wird bei Parametern zwischen Groß- und Kleinschreibung unterschieden. Beim Wert des Parameters snc/identity/as =p:sapacct@na.corp.contoso.com wird zum Beispiel zwischen Groß- und Kleinschreibung unterschieden, sodass Sie die Schreibung des Benutzernamens in Active Directory genau übernehmen müssen.
Im Parameter snc/gssapi_lib muss der genaue Ort der Windows-Installation anstelle von C:\Windows verwendet werden.
Am Ende der Konfigurationsdatei MBS_D00.pfl muss ein Zeilenumbruch (leere Zeile) eingefügt werden. Wenn keine leere Zeile vorhanden ist, werden Warnungen bei der Ausführung der MBS-Datei generiert.
Setzen Sie das tatsächliche Verzeichnis der Windows-Installation ein, falls es sich von „C:\Windows“ unterscheidet.
Doppelklicken Sie auf <SAP R/3 Web Server Drive>\MBS\runmbs.cmd, um das SAP-MBS-System zu starten.
Aufgabe 6: SAP R/3-Benutzerkonten zu Active Directory zuordnen
Nachdem Sie den SAP R/3-Anwendungsserver zur Nutzung des Kerberos-Protokolls konfiguriert haben, können Sie die Benutzerkonten des SAP R/3-Webservers den Benutzerkonten in Active Directory zuordnen.
Bei Contoso sind Windows-Konten für alle Benutzer des SAP R/3-Unternehmenswebservers vorhanden. Sie können die Schritte in dieser Aufgabe an die Anforderungen Ihres Unternehmens anpassen.
So ordnen Sie dem Active Directory-Konto sap1@NA.CORP.CONTOSO.COM den SAP R/3-Serverbenutzer sap1 zu
Melden Sie sich beim SAP R/3-Anwendungsserver als Administrator an.
Geben Sie den Transaktionscode SU01 ein, um zum Anfangsbildschirm der Benutzerpflege zu gelangen.
Geben Sie sap1, den Namen des SAP R/3-Anwendungsserverbenutzers, in das Feld Benutzer ein.
Klicken Sie auf das Menü Benutzernamen, klicken Sie auf Ändern, um den Bildschirm Benutzerpflege aufzurufen, und klicken Sie dann auf die Registerkarte SNC.
Geben Sie p:sap1@NA.CORP.CONTOSO.COM im Textfeld SNC-Name ein.
Hinweis Beachten Sie, dass bei den Benutzerinformationen für den SAP R/3-Webserver zwischen Groß- und Kleinschreibung unterschieden wird. Bei der Zuordnung des SAP R/3-Webservers zu diesem Active Directory-Kontennamen für den Benutzeranmeldenamen sap1 in der Domäne NA.CORP.CONTOSO.COM muss dieser Anmeldename genau in Active Directory übernommen werden.
Aktivieren Sie das Kontrollkästchen zumZulassen unsicherer Kommunikation (benutzerspezifisch).
Klicken Sie auf Speichern in der Menüleiste, um die Änderungen zu übernehmen.
Um zu überprüfen, ob der kanonische Name gültig ist, klicken Sie auf das Menü Benutzernamen, dann auf Anzeigen und anschließend die Registerkarte SNC.
Auf der Eigenschaftenseite zuSNC-Daten muss die Option Kanonischer Name bestimmt aktiviert sein.
Hiermit sind die Aufgaben zur Konfiguration von SSO auf dem SAP R/3-Anwendungsserver abgeschlossen.
Konfigurieren der grafischen Benutzeroberfläche des SAP-Clients auf Windows XP
Contoso möchte, dass die Microsoft Windows XP-Clients das Kerberos-Protokoll anstelle des Standardauthentifizierungsprozesses verwenden, um sich beim SAP R/3-Anwendungsserver anzumelden. Hierzu muss die Front-End-Anwendung der grafischen SAP-Benutzeroberfläche (GUI) so verändert werden, dass ein Anmeldeprofil erstellt wird, das das Kerberos-Protokoll erkennt. Benutzer in dieser Umgebung können dann über dieses Profil eine Verbindung mit dem SAP R/3-Anwendungsserver herstellen.
Bei Contoso wurden die folgenden Aufgaben durchgeführt, um die Front-End-Anwendung der grafischen SAP-Benutzeroberfläche für die Nutzung des Kerberos-Protokolls zu konfigurieren. Sie können diese Aufgaben an die Anforderungen Ihres Unternehmens anpassen.
Aufgabe 1: Kerberos 5-Protokoll in der Front-End-Anwendung der grafischen SAP-Benutzeroberfläche installieren
Aufgabe 2: Benutzeranmeldenamen für das Kerberos 5-Protokoll konfigurieren
Aufgabe 3: Über das Kerberos-Protokoll beim SAP R/3-Anwendungsserver anmelden
Aufgabe 1: Kerberos 5-Protokoll in der Front-End-Anwendung der grafischen SAP-Benutzeroberfläche installieren
Führen Sie für diese Aufgabe folgende Schritte aus.
Hinweis In den SAP-Installationsmedien ist die Binärdatei gsskrb5.dll enthalten.
So installieren Sie das Kerberos 5-Protokoll in der Front-End-Anwendung der grafischen SAP-Benutzeroberfläche
Melden Sie sich als lokaler Administrator beim Windows XP-Client an.
Kopieren Sie die Datei Gsskrb5.dll in %windir%\system32.
Klicken Sie auf Systemsteuerung und dann auf System.
Klicken Sie auf die Registerkarte Erweitert, auf Umgebungsvariablen und dann im Dialogfeld Umgebungsvariablen unter Systemvariablen auf Neu.
Geben Sie im Dialogfeld Neues Objekt - Benutzer folgende Informationen ein:
Variablenname: SNC_LIB
Variablenwert: %windir%\system32\gsskrb5.dll
Hinweis Diese Variablenwerte legen den Ort für die Datei Gsskrb5.dll fest.
Aufgabe 2: Benutzeranmeldenamen für das Kerberos 5-Protokoll konfigurieren
Führen Sie für diese Aufgabe folgende Schritte aus.
So konfigurieren Sie eine Anmeldung über das Kerberos 5-Protokoll für den Benutzer sap1@NA.CORP.CONTOSO.COM
Melden Sie sich als lokaler Administrator beim Windows XP-Client an.
Öffnen Sie SAPlogon, und klicken Sie auf Neu.
Geben Sie im Bildschirm Neuer Eintrag die folgenden Informationen ein.
Beschreibung: <My_Name_For_Kerberos_Connection>
Anwendungsserver: <Fully Qualified Domain Name_For SAP R/3_Application_Server>
Systemnummer: 00
SAP-System aktivieren: R/3
Klicken Sie auf Erweitert, aktivieren Sie im Bereich „Erweiterte Optionen“ das Kontrollkästchen Secure-Network-Communication einschalten, und geben Sie im Feld SNC-Namep:sapacct@na.corp.contoso.com ein.
Hinweis Dies ist der Active Directory-Benutzer des Namens sapacct in der Domäne na.corp.contoso.com, von dem aus das SAP-System betrieben wird. Da vom SAP R/3-Anwendungsserver ein Unterschied zwischen Groß- und Kleinschreibung gemacht wird, muss dieser Benutzername genau dem Namen des Benutzerkontos in Active Directory entsprechen.
Wählen Sie die Option Max. verfügbar.
Aufgabe 3: Über das Kerberos-Protokoll beim SAP R/3-Anwendungsserver anmelden
Führen Sie für diese Aufgabe folgende Schritte aus.
So melden Sie sich über das Kerberos-Protokoll beim SAP R/3-Anwendungsserver an.
Melden Sie sich beim Windows XP-Client als sap1@na.corp.contoso.com an.
Öffnen Sie SAPlogon.
Wählen Sie auf dem Bildschirm SAP Logon 620 die Option <My_Name_For_Kerberos_Connection>, und klicken Sie dann auf Anmelden.
Durch dieses Vorgehen sollten Sie sich ohne Anmeldeinformationen beim SAP R/3-Anwendungsserver anmelden können.
Hiermit sind die Konfigurationsaufgaben für die Nutzung des Kerberos 5-Protokolls auf dem Contoso-SAP R/3-Anwendungsserver abgeschlossen. Die Windows-Arbeitsstationen, die eine Verbindung zu den SAP-Front-End-Anwendungen herstellen, können nun ebenso das Kerberos-Protokoll verwenden. Nachdem Contoso die Authentifizierungskomponente der Lösung implementiert hat, können sich die Benutzer bei Contoso von ihren Arbeitsstationen aus bei Active Directory anmelden und dann mit den Active Directory-Informationen die SAP-Front-End-Anwendungen aufrufen.
In diesem Beitrag
- Kapitel 1: Einführung
- Kapitel 2: Methoden der Intranetzugriffsverwaltung
- Kapitel 3: Probleme und Anforderungen
- Kapitel 4: Entwickeln einer Lösung
- Kapitel 5: Implementieren der Lösung
- Kapitel 6: Testen der Lösung
- Kapitel 7: Operative Überlegungen
- Links
- Danksagung
Download
Laden Sie die vollständige Serie in englischer Sprache herunter.
Update Notifications
Feedback
Senden Sie uns Ihre Kommentare oder Vorschläge (in englischer Sprache).
.gif "Dd443710.pageLeft(de-de,TechNet.10).gif") 5 von 9.gif "Dd443710.pageRight(de-de,TechNet.10).gif") |