Intranetzugriffsverwaltung und Single Sign-On

  • Artikel

Kapitel 6: Testen der Lösung

Veröffentlicht: 11. Mai 2004 | Aktualisiert: 26. Jun 2006

In diesem Kapitel wird beschrieben, wie Sie die implementierten Lösungsszenarios aus dem vorherigen Kapitel überprüfen können. Ebenso werden einige Schritte zur Problembehandlung genannt, die bei häufigen Implementierungsproblemen helfen können. Ein umfassender Leitfaden zum Testen der End-to-End-Benutzer- und Administratorprozesse ist nicht enthalten.

Auf dieser Seite

Integrieren von UNIX-Arbeitsstationen in Active Directory
Integrieren der SAP R/3 Application Server-Authentifizierung mithilfe des Kerberos-Protokolls

Integrieren von UNIX-Arbeitsstationen in Active Directory

Nachdem der Implementierungsprozess zur Integration von UNIX-Arbeitsstationen in den Microsoft® Active Directory®-Verzeichnisdienst abgeschlossen ist, können Sie Ihre Implementation überprüfen, um sicherzustellen, dass das Szenario der Intranetzugriffsverwaltung wie erwartet funktioniert und die Anforderungen von Contoso erfüllt werden.

Überprüfen der Implementierungsvoraussetzungen

Bevor Sie dem Implementierungsleitfaden in diesem Artikel folgen, sollten Sie einige grundlegende Tests zur Überprüfung der korrekten Konfiguration der für die Lösung erforderlichen Infrastruktur durchführen. Die folgenden grundlegenden Tests dienen dazu, schnell zu überprüfen, ob Ihr Netzwerk zur Implementierung des Lösungsszenarios für die Integration von UNIX-Arbeitsstationen in Active Directory bereit ist.

Tests für die Überprüfung der Voraussetzungen sind zum Beispiel:

  • Test 1: Überprüfen der Funktionalität von DHCP

  • Test 2: Überprüfen des DNS-Eintrags der Arbeitsstation

  • Test 3: Überprüfen der Namensauflösung

  • Test 4: Überprüfen der Fähigkeit der Nutzer zur Kennwortänderung

Test 1: Überprüfen der Funktionalität von DHCP

Führen Sie folgende Schritte durch, um zu überprüfen, ob die UNIX-Arbeitsstationen eine DHCP-Adresse beim DHCP-Server der Intranetdomäne registrieren.

So überprüfen Sie die DHCP-Funktionalität

  1. Fügen Sie der Microsoft Windows®-basierten Domäne die UNIX-Arbeitsstation hinzu, und aktualisieren Sie dann die nötigen Konfigurationsdateien auf der UNIX-Arbeitsstation mit den Details der Contoso-Domäne.

  2. Starten Sie die Arbeitsstation neu.

  3. Melden Sie sich von einem UNIX-Benutzerkonto aus bei der Arbeitsstation an.

Öffnen Sie das Snap-In der DHCP Microsoft Management Console (MMC) auf dem DHCP-Intranetserver und überprüfen Sie, ob die UNIX-Arbeitsstation eine IP-Adresse geleast hat.

Test 2: Überprüfen des DNS-Eintrags der Arbeitsstation

Führen Sie folgende Schritte durch, um zu prüfen, ob die UNIX-Arbeitsstation einen DNS-Eintrag hat.

So prüfen Sie, ob die Arbeitsstation einen DNS-Eintrag hat

  1. Öffnen Sie die MMC zur DNS-Verwaltung auf dem DNS-Server des Contoso-Intranets.

  2. Fügen Sie im Namespace-Bereich der Intranet-Domäne einen Host (A)-Datensatz mit der IP-Adresse und dem Hostnamen der jeweiligen UNIX-Arbeitsstation hinzu.

Öffnen Sie eine Eingabeaufforderung auf dem DNS-Server, und prüfen Sie mit dem Befehl nslookup, ob der Name der UNIX-Arbeitsstation in der Contoso-Domäne aufgelöst wird.

Test 3: Überprüfen der Namensauflösung

Führen Sie folgende Schritte durch, um zu testen, ob der Name der UNIX-Arbeitsstation lokal aufgelöst werden kann und ob andere Domänenmitglieder ein Ping-Signal von ihr erhalten.

So prüfen Sie die Namensauflösung

  1. Fügen Sie zunächst der Windows Active Directory-Domäne die UNIX-Arbeitsstation hinzu. Melden Sie sich dann mit einem lokalen UNIX-Benutzerkonto bei der Arbeitsstation an.

  2. Öffnen Sie eine Eingabeaufforderung und prüfen Sie mit dem Befehl nslookup, ob der Hostname der Arbeitsstation und der Intranet-Domänenname aufgelöst werden.

  3. Testen Sie mit dem Befehl ping die Konnektivität mit den Active Directory-Domänencontrollern in der Domäne.

Der Hostname der UNIX-Arbeitsstation sollte aufgelöst und die Arbeitsstation erfolgreich der Domäne hinzugefügt worden sein.

Test 4: Überprüfen, ob Benutzer das Kennwort ändern können

Führen Sie folgende Schritte durch, um zu prüfen, ob ein Benutzer einer lokalen UNIX-Arbeitsstation das Kennwort seines/ihres Kontos mehrfach ändern kann.

So überprüfen Sie, ob ein Benutzer sein Kennwort ändern kann

  1. Melden Sie sich bei der lokalen UNIX-Arbeitsstation mit den lokalen Benutzerinformationen an.

  2. Ändern Sie mit dem Dienstprogramm passwd das Kennwort des Benutzers dreimal nacheinander.

Sie sollten das Kennwort dreimal ändern können, wenn Sie mit den Anmeldeinformationen des Benutzers angemeldet sind.

Nachdem Sie diese Tests erfolgreich durchgeführt haben, können Sie wie in Kapitel 5, „Implementieren der Lösung“, beschrieben vorgehen. Danach sind folgende Tests zur Überprüfung der Implementierung möglich.

Überprüfen der Implementierung

Verwenden Sie die Informationen in den folgenden Aufgaben dazu, das Szenario für die Integration der UNIX-Arbeitsstation in Active Directory zu testen und Ihre Implementierung dieses Leitfadens zu prüfen.

Bei Contoso wurden folgende Tests durchgeführt, um die Funktionalität einer Integration von UNIX-Arbeitsstationen des aufgekauften Unternehmens in die eigene Intranetdomäne zu testen. Sie können diese Tests an die Anforderungen Ihres Unternehmens anpassen.

Tests für die Überprüfung der Implementierung sind zum Beispiel:

  • Test 1: Überprüfen, ob sich Benutzer bei UNIX-Arbeitsstationen anmelden können

  • Test 2: Überprüfen, ob sich Benutzer mit deaktivierten Konten anmelden können

  • Test 3: Überprüfen, ob UNIX-Benutzerkonten die Kennwortrichtlinie zum Ablaufdatum erfüllen

  • Test 4: Überprüfen, ob UNIX-Benutzer ihre Kennwörter ändern können

  • Test 5: Überprüfen, ob UNIX-Benutzerkonten die Kennwortrichtlinie zur Komplexität erfüllen

Test 1: Überprüfen, ob sich Benutzer bei UNIX-Arbeitsstationen anmelden können

Führen Sie folgende Schritte durch, um sicherzustellen, dass Benutzer mit Konten in Active Directory sich bei UNIX-Arbeitsstationen anmelden können.

So testen Sie die Anmeldung bei UNIX-Arbeitsstationen

  1. Melden Sie sich als Benutzer mit einem Active Directory-Konto bei einer UNIX-Arbeitsstation an, und geben Sie auf Anfrage das Kerberos-Kennwort ein.

  2. Führen Sie das Dienstprogramm klist aus, um zu überprüfen, ob ein gültiges Kerberos-Ticket vorhanden ist.

Der Benutzer kann sich anmelden und hat gültige Kerberos-Tickets.

Test 2: Überprüfen, ob sich Benutzer mit deaktivierten Konten anmelden können

Führen Sie folgende Schritte aus, um zu prüfen, ob sich Benutzer mit deaktivierten Active Directory-Konten bei UNIX-Arbeitsstationen anmelden können.

So überprüfen Sie, ob sich Benutzer mit deaktivierten Konten bei UNIX-Arbeitsstationen anmelden können

  1. Deaktivieren Sie ein Benutzerkonto in Active Directory.

  2. Versuchen Sie, sich bei einer UNIX-Arbeitsstation mit dem deaktivierten Active Directory-Konto anzumelden.

Die Anmeldung bei der Arbeitsstation sollte fehlschlagen.

Test 3: Überprüfen, ob UNIX-Benutzerkonten die Kennwortrichtlinie zum Ablaufdatum erfüllen

Führen Sie folgende Schritte durch, um zu prüfen, ob UNIX-Benutzerkonten in Active Directory die Contoso-Kennwortrichtlinie zum Ablaufdatum für die Intranetdomäne einhalten.

So prüfen Sie die Einhaltung der Kennwortrichtlinie zum Ablaufdatum

  1. Melden Sie sich mit einem UNIX-Benutzerkonto, das vor weniger als 24 Stunden eingerichtet wurde, bei einer UNIX-Arbeitsstation an.

  2. Fordern Sie mit dem Befehl kinit ein Kerberos-Ticket an.

  3. Versuchen Sie, mit dem Befehl passwd das Kennwort zu ändern.

Wenn die Kennwortrichtlinie für die Domäne Min. Kennwortalter=1 festlegt, sollte der Versuch zur Änderung des Kennworts scheitern.

Test 4: Prüfen, ob UNIX-Benutzer ihre Kennwörter ändern können

Führen Sie folgende Schritte durch, um zu überprüfen, ob UNIX-Benutzer die Kennwörter ihrer Active Directory-Konten ändern können.

So prüfen Sie, ob Benutzer die Kennwörter ihrer Active Directory-Konten ändern können

  1. Melden Sie sich bei einer UNIX-Arbeitsstation als UNIX-Benutzer eines Active Directory-Kontos an, das älter als 24 Stunden ist.

  2. Ändern Sie mit dem Befehl passwd das Kennwort.

Der Benutzer kann sein Kennwort ändern, wenn das neue Kennwort die Anforderungen an Komplexität und Länge erfüllt.

Test 5: Überprüfen, ob UNIX-Benutzerkonten die Kennwortrichtlinie zur Komplexität erfüllen

Führen Sie folgende Schritte durch, um zu prüfen, ob UNIX-Benutzerkonten in Active Directory die Contoso-Kennwortrichtlinie zur Komplexität für die Intranet-Domäne einhalten.

So prüfen Sie die Einhaltung der Kennwortrichtlinie zur Komplexität

  1. Melden Sie sich bei einer UNIX-Arbeitsstation als UNIX-Benutzer mit einem Konto in Active Directory an.

  2. Versuchen Sie, das Kennwort mit dem Befehl passwd in ein einfaches Kennwort zu ändern, das nur 3 oder 4 Zeichen enthält und in dem Zahlen und Buchstaben nicht gemischt werden.

  3. Versuchen Sie dies mehrfach mit verschiedenen, einfachen Kennwörtern.

Einfache Kennwörter, die die Komplexitätsanforderungen der Domäne nicht erfüllen, sollten abgelehnt werden.

Problembehandlung

Dieser Abschnitt enthält Informationen über einige häufige Fehler, die beim Testen dieses Szenarios auftreten können, und in Frage kommende Lösungsansätze. Die Informationen über Fehler und Problembehandlungen in der folgenden Tabelle sind nicht vollständig.

Tabelle 6.1. Problembehandlung im Szenario für die Integration von UNIX-Arbeitsstationen in Active Directory

Fehler

Problembehandlung

Der Benutzer kann sich nicht bei der UNIX-Arbeitsstation anmelden.

Melden Sie sich als „root“-Benutzer an, und überprüfen Sie, ob die Änderungen in der Datei pam.conf korrekt sind.

Der Benutzer wird bei der Anmeldung nicht nach einem Kerberos-Kennwort gefragt.

Überprüfen Sie, ob das Active Directory-Konto des UNIX-Benutzers korrekt eingerichtet ist, wie es im Abschnitt Implementierung dieses Artikels beschrieben wurde.

Der Name der UNIX-Arbeitsstation wird nicht aufgelöst.

Kontrollieren Sie, ob der Name und die IP-Adresse in den DNS von Windows Server 2003 eingetragen wurden. Falls nicht, fügen Sie einen Host (A)-Datensatz in DNS hinzu.

Integrieren der SAP R/3 Application Server-Authentifizierung mithilfe des Kerberos-Protokolls

Nachdem der Implementierungsprozess für die Authentifizierung des SAP R/3-Anwendungsservers bei Active Directory abgeschlossen ist, können Sie Ihre Implementierung überprüfen, um sicherzustellen, dass das Szenario der Intranetzugriffsverwaltung wie erwartet funktioniert und die Anforderungen für SAP-Benutzer bei Contoso erfüllt.

Überprüfen der Implementierungsvoraussetzungen

Bevor Sie dem Implementierungsleitfaden in diesem Artikel folgen, sollten Sie einige grundlegende Tests zur Überprüfung der korrekten Konfiguration der für die Lösung erforderlichen Infrastruktur durchführen. Diese grundlegenden Tests bieten Ihnen die Möglichkeit zur Überprüfung der Tauglichkeit Ihres Netzwerks für die Implementierung des Lösungsszenarios „Authentifizierung des SAP R/3-Anwendungsservers bei Active Directory“.

Tests für die Überprüfung der Voraussetzungen sind zum Beispiel:

  • Test 1: Prüfen der Funktionalität des SAP R/3-Anwendungsservers

  • Test 2: Überprüfen, ob sich Benutzer neuer SAP-Konten vom SAP R/3-Server anmelden können

  • Test 3: Prüfen, ob Benutzer von SAP-Konten sich von einem Windows XP-Client anmelden können

Test 1: Prüfen der Funktionalität des SAP R/3-Anwendungsservers

Führen Sie folgende Schritte durch, um zu überprüfen, ob der SAP R/3-Anwendungsserver ordnungsgemäß auf dem Windows-Server, auf dem er installiert ist, startet und funktioniert.

So überprüfen Sie die Funktionalität des SAP R/3-Anwendungsservers

  1. Melden Sie sich mit den Anmeldeinformationen des SAP-Administratorkontos der Intranetdomäne bei dem Windows-Server an, der den SAP R/3-Anwendungsserver verwaltet.

  2. Öffnen Sie eine Eingabeaufforderung, und navigieren Sie zum Ordner C:\mbs.

  3. Geben Sie runmbs.cmd ein, und drücken Sie die EINGABETASTE, um den SAP R/3-Anwendungsserver zu starten.

Der SAP R/3-Anwendungsserver muss erfolgreich starten und fehlerlos ausgeführt werden.

Test 2: Überprüfen, ob sich Benutzer neuer SAP-Konten vom SAP R/3-Server anmelden können

Führen Sie folgende Schritte durch, um zu überprüfen, ob sich Benutzer neu erstellter SAP-Konten beim SAP R/3-Anwendungsserver anmelden können.

So prüfen Sie, ob sich ein Benutzer mit einem neuen SAP-Konto anmelden kann

  1. Starten Sie die Benutzeroberfläche des grafischen SAP-Clients auf dem Windows-Server, der den SAP R/3-Anwendungsserver verwaltet.

  2. Melden Sie sich beim SAP-Anwendungsserver mit den Benutzerinformationen des SAP-Administrators, minisap, an.

  3. Erstellen Sie mit dem Administrationstool ein lokales SAP-Benutzerkonto.

  4. Melden Sie sich vom grafischen SAP-Client ab.

  5. Melden Sie sich wieder über die Benutzeroberfläche des grafischen SAP-Clients mit den Benutzeranmeldeinformationen aus Schritt 3 beim SAP R/3-Anwendungsserver an.

Der lokale SAP-Benutzer sollte sich erfolgreich vom grafischen SAP-Client aus beim SAP R/3-Anwendungsserver anmelden können.

Test 3: Prüfen, ob sich Benutzer von SAP-Konten von einem Windows XP-Client anmelden können

Führen Sie folgende Schritte durch, um zu überprüfen, ob sich Benutzer von SAP-Konten erfolgreich von einem mit Microsoft Windows® XP betriebenen Computer aus beim SAP R/3-Anwendungsserver anmelden können.

So prüfen Sie die Fähigkeit von SAP-Clients, sich von Windows XP-betriebenen Computern aus anzumelden

  1. Melden Sie sich bei einem Intranet-Clientcomputer an, der mit Windows XP betrieben wird und auf dem auch ein grafischer SAP-Client installiert ist.

  2. Starten Sie die SAP GUI-Clientanwendung, und melden Sie sich dann mit den Anmeldeinformationen eines lokalen SAP-Benutzerkontos beim SAP-Anwendungsserver an.

    Der SAP GUI-Client sollte eine Verbindung zum SAP R/3-Anwendungsserver herstellen und ein lokaler SAP-Benutzer sollte sich erfolgreich anmelden können.

Nachdem Sie die Voraussetzungen überprüft haben, können Sie die Implementierung der Lösung wie in Kapitel 5, „Implementieren der Lösung“, beschrieben beginnen. Nachdem die Lösung implementiert wurde, können Sie sie mit folgenden Tests prüfen.

Überprüfen der Implementierung

Bei Contoso wurden folgende Tests verwendet, um die Funktionalität der Integration der SAP R/3-Anwendungsserverauthentifizierung in Active Directory zu prüfen. Sie können diese Tests an die Anforderungen Ihres Unternehmens anpassen.

Tests für die Überprüfung der Implementierung sind zum Beispiel:

  • Test 1: Funktion des SAP R/3-Servers nach Integration in Active Directory prüfen

  • Test 2: Prüfen, ob Active Directory-SAP-Benutzerkonten auf dem SAP R/3-Server aufgelöst werden

  • Test 3: Einmaliges Anmelden für SAP-Benutzer prüfen

  • Test 4: Überprüfen, ob die Anmeldung bei der grafischen SAP-Benutzeroberfläche über das Kerberos-Protokoll authentifiziert wird

Test 1: Funktion des SAP R/3-Servers nach Integration in Active Directory prüfen

Es ist wichtig, zu überprüfen, ob der SAP R/3-Anwendungsserver ordnungsgemäß funktioniert, nachdem er in Active Directory integriert wurde.

So prüfen Sie die Funktionalität des SAP R/3-Servers nach der Integration in Active Directory

Führen Sie den Test „Prüfen der Funktionalität“ (Test 1) aus dem vorherigen Abschnitt durch.

Der SAP R/3-Anwendungsserver muss erfolgreich starten und fehlerlos ausgeführt werden.

Test 2: Prüfen, ob Active Directory-SAP-Benutzerkonten auf dem SAP R/3-Server aufgelöst werden

Führen Sie folgende Schritte durch, um zu prüfen, ob in Active Directory erstellte Benutzerkonten auf dem SAP R/3-Anwendungsserver aufgelöst werden.

So prüfen Sie die Auflösung von SAP-Benutzerkonten

  1. Melden Sie sich beim System des SAP R/3-Anwendungsservers als SAP-Administrator an.

  2. Geben Sie den Transaktionscode SU01 ein, um zum Anfangsbildschirm der Benutzerpflege zu gelangen.

  3. Geben Sie im Feld Benutzer den SAP-Benutzeralias ein (sap1).

  4. Klicken Sie auf das Menü Benutzernamen, dann auf Anzeigen und anschließend auf die Registerkarte SNC.

    Auf dem Eigenschaftenblatt SNC-Daten muss die Option

    „Kanonischer Name bestimmt“ aktiviert sein.

Test 3: Einmaliges Anmelden für SAP-Benutzer prüfen

Führen Sie folgende Schritte durch, um sicherzustellen, dass SAP-Benutzer die SSO-Funktion nutzen können. Nach dem Anmelden bei einem Windows XP-Computer mit den Anmeldeinformationen des Active Directory-Kontos sollte keine weitere Eingabe zur Anmeldung beim SAP-Anwendungsserver nötig sein.

So prüfen Sie das nahtlose Anmelden bei einem SAP R/3-Anwendungsserver von Windows XP aus

  1. Melden Sie sich beim Windows XP-Client mit den Anmeldeinformationen eines Domänenbenutzers an, der ein SAP-Konto besitzt.

  2. Öffnen Sie den Client der grafischen SAP-Benutzeroberfläche und melden Sie sich über SNC bei SAP an.

    Der Benutzer sollte sich erfolgreich beim SAP R/3-Anwendungsserver anmelden können, ohne erneut nach Anmeldeinformationen gefragt zu werden.

Test 4: Überprüfen, ob die Anmeldung bei der grafischen SAP-Benutzeroberfläche über das Kerberos-Protokoll authentifiziert wird

Führen Sie folgende Schritte aus, um zu prüfen, ob das Kerberos 5-Authentifizierungsprotokoll für die Authentifizierung der SAP GUI-Anmeldung auf Computern mit Windows XP verwendet wird.

So prüfen Sie die Verwendung des Kerberos 5-Authentifizierungsprotokolls

  1. Starten Sie auf dem Intranetdomänencontroller das Überwachungstool netmon.

  2. Weisen Sie einen SAP-Benutzer an, sich wie in den Schritten im vorherigen Test bei SAP anzumelden.

  3. Stoppen Sie netmon, und blättern Sie durch die aufgenommenen Meldungen.

Das Kerberos 5-Protokoll sollte zur Authentifizierung der Anfragen von SAP-Benutzeranmeldungen zwischen SAP GUI-Client und SAP R/3-Anwendungsserver verwendet werden.

Problembehandlung

Dieser Abschnitt informiert Sie über einige häufige Fehler, die beim Testen dieses Szenarios auftreten können, und nennt mögliche Lösungswege. Die Informationen über Fehler und Problembehandlungen in der Tabelle 6.2 sind nicht vollständig.

Tabelle 6.2. Problembehandlung im Szenario der Authentifizierung des SAP R/3-Servers in Active Directory

Fehler

Problembehandlung

Fehlschlagen der Kerberos-Authentifizierung

Wenn Sie die Variable SNC_LIB zu den Umgebungsvariablen hinzufügen, müssen Sie darauf achten, dass diese neue Variable zur Liste der Systemvariablen hinzugefügt wird, und nicht zu den Benutzervariablen im selben Bereich. Anderenfalls schlägt der Kerberos-Authentifizierungsprozess fehl.

Absturz des SAP-Servers

Prüfen Sie, ob der Parameter snc/identity/as in der Konfigurationsdatei MBS_D00.pfl das SAP-Dienstkonto angibt (p:sapacct@na.corp.contoso.com).

In diesem Beitrag

Download

Laden Sie die vollständige Serie in englischer Sprache herunter.

Update Notifications

Lassen Sie sich automatisch über neue Veröffentlichungen zu Themen wie diesem informieren (in englischer Sprache).

Feedback

Senden Sie uns Ihre Kommentare oder Vorschläge (in englischer Sprache).

 Dd443711.pageLeft(de-de,TechNet.10).gif6 von 9Dd443711.pageRight(de-de,TechNet.10).gif