Gerenciamento de acesso à intranet

Capítulo 5: Implementação da solução

Publicado em: 11 de maio de 2004 | Atualizado em: 26 de junho de 2006

Os capítulos anteriores deste artigo fornecem informações necessárias para a compreensão dos requisitos de negócios e especificações para implementação de soluções que atendem aos dois cenários Contoso (permitindo que estações de trabalho UNIX autentiquem o serviço de diretório Microsoft® Active Directory® e configurando o SAP R/3 Application Server para executar a autenticação no Active Directory). Este capítulo fornece orientações sobre como implementar as soluções.

Os pré-requisitos e as orientações de implementação do capítulo podem ser verificados seguindo as orientações do capítulo 6, "Teste da solução".

Nesta página

Ferramentas e modelos
Integração de estações de trabalho UNIX com o Active Directory
Integração da autenticação do SAP R/3 Application Server usando o protocolo Kerberos

Ferramentas e modelos

O pacote de download de gerenciamento de identidades e acessos inclui Identity and Access Management Tools and Templates.msi, que é o arquivo de instalação de  Ferramentas e modelos. As Ferramentas e modelos que fazem parte deste download incluem scripts baseados em texto, amostras de código e arquivos de configuração relacionados com o gerenciamento de acessos e identidades, mas não incluem programas executáveis ou código compilado.

Observação   Essas amostras são fornecidas apenas como exemplo. Certifique-se de analisar, personalizar e testar essas ferramentas e modelos antes de utilizá-los em um ambiente de produção.

Quando você executar o arquivo de instalação, a estrutura de pastas resultante terá uma aparência semelhante à da Figura 5.1, dependendo do local de instalação.

Figura 5.1. Estrutura de pastas Ferramentas e modelos

Figura 5.1. Estrutura de pastas Ferramentas e modelos

Este guia parte do princípio de que você tem Ferramentas e modelos instalados no local padrão %UserProfile%\My Documents\Identity and Access Management Tools and Templates. Se você usar um local de instalação diferente, certifique-se de usar o mesmo caminho para todas as etapas do documento.

Observação   O pacote MSI de Ferramentas e modelos pode ocasionalmente produzir um erro durante o processo de instalação. Consulte o arquivo Identity and Access Management Series Readme.htm para obter mais informações.

Pasta: UNIX

Tabela 5.1. A pasta UNIX

Nome do arquivo

Finalidade

krb5.conf

Este arquivo de exemplo demonstra como configurar o protocolo de autenticação Kerberos versão 5 em estações de trabalho Sun Solaris versão 9.

pam.conf

Este arquivo de exemplo demonstra como configurar o serviço PAM para oferecer suporte ao protocolo Kerberos versão 5.

Integração de estações de trabalho UNIX com o Active Directory

O exemplo da Contoso integra estações de trabalho UNIX e aplicativos com a Plataforma de gerenciamento de identidades e acessos Microsoft, que exige a migração das contas de usuários locais da estação de trabalho Solaris 9 para o Active Directory. Para fazer isto, a Contoso deve inicialmente criar contas de estação de trabalho e de usuário UNIX no Active Directory e configurar as estações de trabalho Solaris 9 para usar o protocolo Kerberos. Este protocolo permite que você use o KDC (Centro de distribuição de chaves) no Microsoft Windows Server™ 2003 para autenticar as contas Solaris 9 ao usar credenciais Microsoft Windows®.

As tarefas de alto nível necessárias para implementação deste cenário são:

  • Criar contas para usuários e estações de trabalho UNIX no Active Directory.

  • Configurar estações de trabalho UNIX para usar o protocolo Kerberos para logon de usuários.

Pré-requisitos de implementação

Para implementar as orientações prescritivas a seguir, você deve certificar-se de que os pré-requisitos foram atendidos.

  • Instalar e configurar a parte do Active Directory da infra-estrutura da Contoso conforme descrito no artigo "Plataforma e infra-estrutura" desta série.

  • Certificar-se de que as estações de trabalho UNIX possuam um DNS (Sistema de nomes de domínio) configurado para resolver os nomes de domínio do Windows Server 2003. Abrir o arquivo /etc/resolv.conf e verificar se ele contém linhas semelhantes às da tabela a seguir.

    Tabela 5.2. Nomes de domínio do Windows Server 2003

    Nome

    Endereço ou domínio

    domínio

    na.corp.contoso.com

    servidor de nomes

    10.1.11.32

    pesquisar

    na.corp.contoso.com

  • Certifique-se de que as estações de trabalho UNIX recebem endereços IP obtidos do servidor DHCP (Protocolo de configuração dinâmica de hosts) no domínio.

  • Instale o produto SEAM (Sun Enterprise Authentication Mechanism) 1.0.1 (normalmente fornecido com o Solaris 9) nas estações de trabalho UNIX.

  • Certifique-se de que os relógios da estação de trabalho UNIX estejam sincronizados com os controladores de domínio do Active Directory.

Visão geral de implementação

Este cenário também pode ser implementado com as duas atividades principais a seguir.

  • Criação de conta UNIX

  • Configuração de estação de trabalho UNIX

Criação de conta UNIX

A Contoso executou as seguintes tarefas para criar contas de usuários no Active Directory correspondentes a contas de usuários das estações de trabalho Solaris 9. Você pode adaptar estas tarefas aos requisitos da sua organização.

  • Tarefa 1:    Adicionar contas de usuário UNIX ao Active Directory

  • Tarefa 2:    Criar contas de estação de trabalho UNIX no Active Directory

  • Tarefa 3:    Gerar arquivos Keytab para estações de trabalho UNIX

Cuidado  As contas de usuário no Active Directory devem corresponder exatamente aos nomes de conta das estações de trabalho UNIX, que diferenciam maiúsculas de minúsculas.

Tarefa 1: Adicionar contas de usuário UNIX ao Active Directory

Execute as etapas a seguir para concluir esta tarefa.

Para adicionar uma conta de usuário UNIX ao Active Directory

  1. Abra o MMC (Console de Gerenciamento Microsoft) de usuários e computadores do Active Directory com privilégios de usuário para gerenciamento de contas de usuário.

  2. Na árvore do console, clique na OU (unidade organizacional) Users.

  3. Clique com o botão direito do mouse na OU Users, aponte para New e clique em User.

  4. Na caixa de diálogo New Object-User, digite as informações a seguir (deixe todas as outras informações com os valores padrão).

    Nome: <Solaris_User_First name>

    Sobrenome: <Solaris_User_Last name>

    Nome de logon de usuário: <Solaris_User_UNIX_Account_Name>

    Nome de logon (pré-Windows 2000): <Solaris_User_UNIX_Account_Name>

  5. Clique em Next.

  6. Na caixa de diálogo New Object-User, digite as informações a seguir.

    Senha: <Alphanumeric_Password>

    Confirmar senha: <Alphanumeric_Password>

  7. Clique em Next e em Finish.

Tarefa 2: Criar contas de estação de trabalho UNIX no Active Directory

Execute as etapas a seguir para criar uma conta no Active Directory para representar uma estação de trabalho Solaris 9.

Para criar uma conta de estação de trabalho UNIX no Active Directory

  1. Abra o MMC de usuários e computadores do Active Directory com privilégios de usuário para gerenciamento de contas de usuário.

  2. Clique com o botão direito do mouse em na.corp.contoso.com, aponte para New e clique em Organization Unit.

  3. Na caixa de diálogo New Object-Organizational Unit, digite Solaris Workstations e clique em OK.

  4. Clique com o botão direito do mouse em Solaris Workstations, aponte para New e clique em User.

  5. Na caixa de diálogo New Object-User, digite as informações a seguir (deixe todas as outras informações com os valores padrão).

    Nome: <Solaris_Workstation_Name>

    Nome de logon de usuário: <Solaris_Workstation_Name>

    Nome de logon (pré-Windows 2000): <Solaris_Workstation_Name>

  6. Na caixa de diálogo New Object–User, clique em Next e digite as informações a seguir:

    Senha: <Alphanumeric_Password>

    Confirmar senha: <Alphanumeric_Password>

  7. Na mesma caixa de diálogo, desmarque a caixa de seleção User must change password at next logon e marque a caixa de seleção Password never expires.

  8. Clique em Next e clique em Finish.

Tarefa 3: Gerar arquivos Keytab para estações de trabalho UNIX

Execute o utilitário ktpass.exe para criar arquivos keytab para estações de trabalho UNIX. Este arquivo keytab contém a chave usada pelo protocolo Kerberos versão 5 para criptografar solicitações de tíquete.

Observação   O utilitário ktpass.exe está incluído com as Ferramentas de suporte do CD do produto Windows Server 2003.

Execute as etapas a seguir para criar arquivos keytab para as estações de trabalho UNIX.

Para gerar um arquivo keytab para uma estação de trabalho UNIX

  1. Faça logon no controlador de domínio como administrador.

  2. Clique em Start, clique em Run, digite cmd e pressione ENTER para abrir o prompt de comando.

  3. No prompt de comando, execute o utilitário ktpass com as opções da linha de comando especificadas nesta etapa com as modificações a seguir.

    • Use o nome da estação de trabalho Solaris criado na tarefa 2, etapa 5, em <Solaris_Workstation_Name>.

      NA.CORP.CONTOSO.COM e na.corp.contoso.com representam o domínio em que a conta de computador da estação de trabalho Solaris foi criada.

    • Use a senha criada na tarefa 2, etapa 6, para a senha mostrada no exemplo a seguir.

      Observação Algumas das linhas do código a seguir foram exibidas em várias linhas para melhor capacidade de leitura.

      ktpass -princ 
      host/<Solaris_Workstation_Name>.na.corp.contoso.com@
      NA.CORP.CONTOSO.COM -mapuser <Solaris_Workstation_Name> 
      -pass password -out <Solaris_Workstation_Name>.keytab
      
  4. Pressione ENTER. O resultado a seguir deverá ser exibido.

    Observação Algumas das linhas do código a seguir foram exibidas em várias linhas para melhor capacidade de leitura.

    Targeting domain controller: GRNCDC01.na.corp.contoso.com
    Successfully mapped host/ 
    Solaris_Workstation_Name.na.corp.contoso.com to 
    Solaris_Workstation_Name.
    Key created.
    Output keytab to Solaris_Workstation_Name.keytab:
    Keytab version: 0x502
    keysize 79 host/ Solaris_Workstation_Name.na.corp.contoso.com@
    NA.CORP.CONTOSO.COM ptype 1 (KRB5_NT_PRINCIPAL) vno 3 
    etype 0x3 (DES-CBC-MD5) keylength 8 (0x0e9bd5da314f5bad)
    Account Solaris_Workstation_Name has been set for 
    DES-only encryption.
    

Configuração de estação de trabalho UNIX

A Contoso executou as tarefas a seguir para configurar o protocolo Kerberos versão 5 em estações de trabalho UNIX. Você pode adaptar estas tarefas para atender aos requisitos da sua organização.

  • Tarefa 1: Instalar o arquivo keytab na estação de trabalho UNIX

  • Tarefa 2: Configurar o arquivo pam.conf

  • Tarefa 3: Configurar o arquivo krb5.conf

  • Tarefa 4: Excluir senhas de usuário na estação de trabalho UNIX

Tarefa 1: Instalar o arquivo keytab na estação de trabalho UNIX

Execute as etapas a seguir para concluir esta tarefa.

Para instalar o arquivo keytab na estação de trabalho UNIX

  1. Use o FTP (Protocolo FTP) para enviar o arquivo keytab criado no controlador do domínio para o sistema operacional Solaris 9 executado na estação de trabalho UNIX.

    Importante Como você trocará dados entre um computador que executa o Windows Server 2003 e um host Solaris 9, certifique-se de que o modo de transferência esteja definido como binário para a sessão de FTP.

  2. Faça logon na estação de trabalho UNIX como root.

  3. Verifique se o DNS está instalado. O arquivo /etc/resolv.conf deve incluir as informações a seguir.

    domain na.corp.contoso.com
    nameserver 10.1.103.13
    
  4. No prompt #, digite ktutil e pressione ENTER.

  5. No prompt de comando ktutil:, digite rkt Solaris_Workstation_Name.keytab e pressione ENTER.

  6. No prompt de comando ktutil:, digite list e pressione ENTER. O resultado a seguir deverá ser exibido.

    ktutil: list
    slot KVNO Principal
    1 3 host/ffl-na-sun-01.na.corp.contoso.com@NA.CORP.CONTOSO.COM
    
  7. No prompt de comando ktutil:, digite wkt /etc/krb5/krb5.keytab e pressione ENTER.

  8. No prompt de comando ktutil:, digite q e pressione ENTER.

Tarefa 2: Configurar o arquivo pam.conf

Execute as etapas a seguir para configurar o arquivo pam.conf, que é um arquivo de configuração de arquitetura PAM (Pluggable Authentication Module) que será utilizado pela Contoso para habilitar a autenticação do protocolo Kerberos versão 5.

Para configurar o arquivo pam.conf

  1. Faça logon na estação de trabalho UNIX como root

  2. Faça um backup copiando o arquivo padrão /etc/pam.conf e renomeando o arquivo de backup /etc/pam.conf.old

    A pasta Ferramentas e modelos que é baixada com este artigo contém um exemplo de arquivo pam.conf usado na estação de trabalho UNIX para habilitar a autenticação usando o protocolo Kerberos versão 5.

  3. Copie o arquivo fornecido à estação de trabalho UNIX ou modifique o arquivo /etc/pam.conf existente para corresponder às informações a seguir no arquivo de configuração.

    # PAM configuration
    # Contoso's pam.conf to enable Kerberos
    # Authentication
    other   auth sufficient         pam_krb5.so.1
    other   auth sufficient         pam_unix.so.1 try_first_pass
    # Password
    other   password sufficient     pam_krb5.so.1
    other   password sufficient     pam_unix.so.1
    # Account 
    other   account optional        pam_krb5.so.1
    other   account optional        pam_unix.so.1
    # session
    other   session optional        pam_krb5.so.1
    other   session optional        pam_unix.so.1
    

Tarefa 3: Configurar o arquivo krb5.conf

O arquivo krb5.conf é usado para definir os padrões do protocolo Kerberos na estação de trabalho UNIX. A Contoso modificou este arquivo para apontar para o KDC no Windows Server 2003 e na.corp.contoso.com no território do Windows Server 2003.

Execute as etapas a seguir para configurar este arquivo de acordo com as necessidades da sua organização.

Para configurar o arquivo krb5.conf

  1. Faça logon na estação de trabalho UNIX como root

  2. Faça um backup copiando o arquivo padrão /etc/krb5/krb5.conf e renomeie o arquivo de backup /etc/krb5/krb5.conf.old

  3. Personalize o arquivo krb5.conf na pasta Ferramentas e modelos baixada com este artigo para o seu ambiente e o copie para o arquivo /etc/krb5/krb5.conf na estação de trabalho UNIX. Segue um exemplo de informação contida no arquivo de configuração utilizado pela Contoso:

    Observação Algumas das linhas do código a seguir foram exibidas em várias linhas para melhor capacidade de leitura.

    [libdefaults]
        default_realm = NA.CORP.CONTOSO.COM
    [realms]
        NA.CORP.CONTOSO.COM = {
        kdc = ffl-na-dc-01.na.corp.contoso.com
        admin_server = ffl-na-dc-01.na.corp.contoso.com
            kpasswd_protocol = SET_CHANGE
        }
    [domain_realm]
        .na.corp.contoso.com = NA.CORP.CONTOSO.COM
    [logging]
        default = FILE:/var/krb5/kdc.log
        kdc = FILE:/var/krb5/kdc.log
        kdc_rotate = {
    # How often to rotate kdc.log. Logs will get rotated
    # no more
    # often than the period, and less often if the KDC is
    # not used# frequently.
        period = 1d
    # how many versions of kdc.log to keep around 
    # (kdc.log.0, kdc.log.1, ...)
        version = 10
    }
    [appdefaults]
        kinit = {
        renewable = true
        forwardable= true
        }
        gkadmin = {
            help_url = http://docs.sun.com:80/ab2/coll.384.1
            /SEAM/@AB2PageView/1195
        }
    
  4. Confirme se o relógio do sistema da estação de trabalho UNIX está sincronizado com o relógio do controlador de domínio. Execute o comando date no sistema UNIX e o comando time no controlador de domínio Windows. Após levar em conta as diferenças de configurações de fuso horário, ajuste a hora no sistema UNIX para um intervalo de no máximo 5 minutos em relação à hora relatada pelo controlador de domínio.

    Importante   Este é um requisito do protocolo Kerberos versão 5. Os relógios do sistema não podem estar mais que 5 minutos fora de sincronização.

Tarefa 4: Excluir senhas de usuário na estação de trabalho UNIX

Se houver uma conta UNIX existente na estação de trabalho com o mesmo nome da conta de usuário Active Directory, as informações de senha no arquivo /etc/shadow deverão ser removidas porque ele não será mais usado.

Execute as etapas a seguir para concluir esta tarefa.

Para excluir senhas de usuário Active Directory na estação de trabalho UNIX

  1. Faça logon na estação de trabalho UNIX como root

  2. Abra o arquivo /etc/shadow em um editor de texto.

  3. Encontre a entrada do usuário do Active Directory e exclua esta linha inteira.

A estação de trabalho UNIX está configurada para usar o protocolo Kerberos para autenticar usuários em relação ao Active Directory.

A Microsoft recomenda validar a implementação executando os testes descritos na seção "Validar os pré-requisitos de implementação" para integração da estação de trabalho UNIX com a parte do cenário Active Directory do Capítulo 6, "Teste da solução".

Integração da autenticação do SAP R/3 Application Server usando o protocolo Kerberos

A Contoso deseja usar seu investimento na infra-estrutura do Active Directory no Windows Server 2003 para implementar SSO (logon único) ao SAP R/3 Application Server. Para fazer isto, o processo de autenticação entre os aplicativos de front-end SAP e o SAP R/3 Application Server deve ser configurado para utilizar o protocolo Kerberos versão 5.

Pré-requisitos de implementação

Para que estes detalhes de implementação funcionem corretamente, você deve ter a infra-estrutura básica da Contoso implementada conforme definido nos capítulos a seguir no artigo "Plataforma e infra-estrutura" desta série, Capítulo 4, "Design da infra-estrutura" e Capítulo 5, "Implementação da infra-estrutura", incluindo:

  • Uma floresta de serviços de diretório Microsoft Active Directory® da intranet. A floresta deve conter as unidades organizacionais, os grupos e os usuários da Contoso fornecidos.

Antes de executar as tarefas desta seção, você também deve fazer o seguinte:

  • Certifique-se de que o SAP R/3 Application Server possui contas de usuário no sistema SAP.

  • Certifique-se de que existe uma conta Active Directory para cada conta de usuário SAP no Active Directory da intranet para mapeamento de conta e SSO.

Visão geral de implementação

Este cenário pode ser implementado com a conclusão das duas atividades a seguir.

  • Configuração do SAP R/3 Server

  • Configuração do cliente GUI SAP no Windows XP

Configuração do SAP R/3 Server

As tarefas seguintes nesta seção configuram o SAP R/3 Application Server para usar o protocolo Kerberos versão 5. Você pode adaptar estas tarefas aos requisitos da sua organização.

  • Tarefa 1: Criar uma conta de serviço SAP para executar o processo do SAP R/3 Application Server

  • Tarefa 2: Definir um SPN (nome da entidade de serviço) para a conta de usuário SAP

  • Tarefa 3: Adicionar uma conta de usuário SAP ao grupo de administradores locais

  • Tarefa 4: Instalar o protocolo Kerberos versão 5

  • Tarefa 5: Configurar o SNC no SAP R/3 Server para usar o protocolo Kerberos versão 5

  • Tarefa 6: Mapear as contas de usuário do SAP R/3 Application Server para o Active Directory

Tarefa 1: Criar uma conta de serviço SAP para executar o processo do SAP R/3 Application Server

Execute as etapas a seguir para concluir esta tarefa.

Para criar uma conta de serviço SAP no Active Directory

  1. Abra o MMC de usuários e computadores do Active Directory com privilégios de usuário para gerenciamento de contas de usuário.

  2. Na árvore do console, clique com o botão direito do mouse na unidade organizacional Users, aponte para New e clique em User.

  3. Na caixa de diálogo New Object-User, digite as informações a seguir.

    Nome: SAP

    Sobrenome: Logon

    Nome de logon de usuário: sapacct@na.corp.contoso.com

    Nome de logon (pré-Windows 2000): sapacct

    Observação   Não altere nenhuma outra informação de valor padrão nesta caixa de diálogo.

  4. Clique em Next e, na caixa de diálogo New Object-User, digite as informações a seguir:

    Senha: <Alphanumeric_Password>

    Confirmar senha: <Alphanumeric_Password>

Tarefa 2: Definir um SPN para a conta de usuário SAP

Execute as etapas a seguir para concluir esta tarefa.

Para definir um SPN para a conta de usuário SAP

  1. Localize o utilitário setspn.exe no CD do Windows 2003 Server Resource Kit ou faça o download da página Windows 2000 Resource Kit Tool: Setspn.exe.

  2. Enquanto estiver conectado como administrador de domínio, digite o seguinte no prompt de comando: SETSPN -A SAPService/<nome do computador host> NA\sapacct

    Observação   Esta tarefa é necessária no Windows Server 2003 porque o KDC chamará o protocolo Kerberos usuário a usuário para qualquer conta que não tenha um SPN. Como o SPN não é utilizado pelo cliente SAP ao solicitar tíquetes de serviço Kerberos para o SAP R/3 Application Server, a única parte do SPN que deve estar correta é o nome principal da conta de usuário do serviço SAP.

Tarefa 3: Adicionar uma conta de serviço SAP ao grupo de administradores local

Execute as etapas a seguir para concluir esta tarefa.

Para adicionar uma conta de serviço SAP ao grupo de administradores locais

  1. Abra o MMC do Gerenciamento do computador com privilégios de administração de domínio no SAP R/3 Application Server.

  2. Na árvore do console, clique duas vezes em System Tools, em Local Users and Groups e em Groups.

  3. Clique com o botão direito do mouse no grupo Administrators e clique em Add Group.

  4. Na caixa de diálogo Administrator Properties, clique em Add.

  5. Na caixa de diálogo Select Users, Computers or Group, vá para a caixa Enter the object names to select (examples) e digite sapacct@na.corp.contoso.com 

Tarefa 4: Instalar o protocolo Kerberos versão 5

A próxima tarefa é instalar o componente do protocolo Kerberos versão 5 no SAP R/3 Application Server executando as etapas a seguir.

Observação   Há uma versão do arquivo binário gsskrb5.dll incluída na mídia de instalação da SAP, mas uma versão mais recente, disponível na SAP, deve ser utilizada nos ambientes Windows Server 2003 e Microsoft Windows® XP. A observação SAP número 352295 possui mais informações sobre por que esta versão do arquivo .dll é necessária e também anexa a versão mais recente para que ela possa ser baixada. É possível acessar as observações SAP usando sua conta SAP e conectando-se ao OSS ou indo diretamente à página SAP Service Marketplace no site da SAP.

Para instalar o protocolo Kerberos versão 5 no SAP R/3 Application Server

  1. Faça logon no SAP R/3 Application Server como sapacct@na.corp.contoso.com

  2. Copie o arquivo Gsskrb5.dll para %windir%\system32.

  3. Clique em Control Panel e em System.

  4. Clique na guia Advanced, em Environment Variables e na caixa de diálogo Environment Variables, em System variables, clique em New.

  5. Na caixa de diálogo New System Variable, digite as informações a seguir.

    Nome da variável: SNC_LIB

    Valor da variável: %windir%\system32\gsskrb5.dll

    Observação   Estes valores de variável definem o local do arquivo Gsskrb5.dll.

Tarefa 5: Configurar o SNC para usar o protocolo Kerberos versão 5

Após executar as tarefas anteriores, você pode configurar a funcionalidade SNC (Secure Network Communication) no SAP R/3 Application Server para usar o protocolo Kerberos versão 5 para autenticação. É possível fazer o download do Guia do usuário SNC no site da Web da SAP.

Execute as etapas a seguir para concluir esta tarefa.

Para configurar o SNC para usar o protocolo de autenticação Kerberos versão 5

  1. Faça logon no SAP R/3 Application Server como sapacct@na.corp.contoso.com.

    Observação   O sistema do SAP R/3 Application Server diferencia maiúsculas e minúsculas. Por este motivo, você deve fazer logon digitando o nome de logon da conta de usuário no Active Directory exatamente como ele aparece aqui.

  2. Abra o arquivo <SAP R/3 Web Server Drive:>\MBS\MBS_D00.pfl usando o Notepad.exe e adicione os parâmetros a seguir no final do arquivo.

    #language
    zcsa/system_language = EN
    #Kerberos
    snc/enable =1
    snc/accept_insecure_cpic =1
    snc/accept_insecure_gui =1
    snc/accept_insecure_r3int_rfc =1
    snc/accept_insecure_rfc =1
    snc/data_protection/max =1
    snc/data_protection/min =1
    snc/data_protection/use =1
    # Location of the dll used for kerberos
    snc/gssapi_lib = C:\windows\system32\gsskrb5.dll
    snc/permit_insecure_start =1
    # The Windows User Account used to run SAP Server
    snc/identity/as = p:sapacct@na.corp.contoso.com
    snc/r3int_rfc_secure = 0
    

    Observação   Os parâmetros deste arquivo diferenciam maiúsculas de minúsculas. Por exemplo, o valor do parâmetro snc/identity/as =p:sapacct@na.corp.contoso.com diferencia maiúsculas de minúsculas e deve ser correspondente ao nome de logon de usuário no Active Directory.

    O local exato da instalação Windows deve ser utilizado no lugar de C:\Windows no parâmetro snc/gssapi_lib.

    Uma alimentação de linha [linha vazia] deve ser adicionada no final do arquivo de configuração MBS_D00.pfl. Se não houver uma linha vazia, serão gerados avisos durante a execução do MBS.

    Substitua o diretório real usado pela instalação do Windows se for diferente de "C:\Windows".

  3. Clique duas vezes em <SAP R/3 Web Server Drive>\MBS\runmbs.cmd para iniciar o sistema MBS SAP.

Tarefa 6: Mapear as contas de usuário do SAP R/3 para o Active Directory

Após configurar o SAP R/3 Application Server para usar o protocolo Kerberos, você poderá mapear as contas de usuário do SAP R/3 Web server para as contas de usuário no Active Directory.

A Contoso possui contas Windows para todos os usuários de SAP R/3 Web server da empresa. Estas etapas podem ser adaptadas para atender às necessidades da sua organização.

Para mapear o usuário sap1 do SAP R/3 Server para a conta sap1@NA.CORP.CONTOSO.COM do Active Directory:

  1. Faça logon no SAP R/3 Application Server como administrador.

  2. Digite o código de transação SU01 para exibir a tela User Maintenance: Initial Screen.

  3. Na caixa User, digite sap1 o nome do usuário do SAP R/3 Application Server.

  4. Clique no menu User Names, clique em Change para exibir a tela Maintain User e clique na guia SNC.

  5. Na caixa de texto SNC Name, digitep:sap1@NA.CORP.CONTOSO.COM

    Observação   Lembre-se de que as informações de usuário do SAP R/3 Web server diferenciam maiúsculas e minúsculas. O mapeamento do SAP R/3 Web server para este nome de conta do Active Directory para o logon de usuário sap1 no domínio NA.CORP.CONTOSO.COM deve corresponder exatamente a este nome de logon no Active Directory.

  6. Marque a caixa de seleção Unsecure Communication permitted (user-specific).

  7. Clique em Save na barra de menus para preservar as alterações.

  8. Para verificar se o nome canônico é válido, clique no menu User Names, clique em Display e clique na guia SNC.

  9. Na folha de propriedades SNC Data, uma marca de verificação deve ser exibida próxima à mensagem Nome canônico determinado.

Isto conclui as tarefas de configuração de SSO no SAP R/3 Application Server.

Configuração do cliente GUI SAP no Windows XP

A Contoso deseja que seus clientes Microsoft Windows XP utilizem o protocolo Kerberos em vez do processo de autenticação padrão para fazer logon no SAP R/3 Application Server. Para fazer isto, o aplicativo front-end da GUI (interface gráfica de usuário) SAP deve ser modificado para criar um perfil de logon que reconheça o protocolo Kerberos. Os usuários no ambiente usarão este perfil para se conectar ao SAP R/3 Application Server.

A Contoso executou as tarefas a seguir para configurar o aplicativo de font-end de GUI SAP para utilização do protocolo Kerberos. Você pode adaptar estas tarefas para atender aos requisitos da sua organização.

  • Tarefa 1: Instalar o protocolo Kerberos versão 5 no aplicativo front-end de GUI SAP

  • Tarefa 2: Configurar os logons de usuários do protocolo Kerberos versão 5

  • Tarefa 3: Fazer logon no SAP R/3 Application Server usando o protocolo Kerberos

Tarefa 1: Instalar o protocolo Kerberos versão 5 no aplicativo front-end de GUI SAP

Execute as etapas a seguir para concluir esta tarefa.

Observação   A mídia de instalação do SAP inclui o arquivo binário gsskrb5.dll.

Para instalar o protocolo Kerberos versão 5 no aplicativo front-end de GUI SAP

  1. Faça logon no cliente Windows XP como administrador local.

  2. Copie o arquivo Gsskrb5.dll para %windir%\system32.

  3. Clique em Control Panel e em System.

  4. Clique na guia Advanced, clique em Environment Variables e na caixa de diálogo Environment Variables, em System variables, clique em New.

  5. Na caixa de diálogo New System Variable, digite as informações a seguir.

    Nome da variável: SNC_LIB

    Valor da variável: %windir%\system32\gsskrb5.dll

    Observação   Estes valores de variável definem o local do arquivo Gsskrb5.dll.

Tarefa 2: Configurar os logons de usuários do protocolo Kerberos versão 5

Execute as etapas a seguir para concluir esta tarefa.

Para configurar um logon de protocolo Kerberos versão 5 para o usuário sap1@NA.CORP.CONTOSO.COM

  1. Faça logon no cliente Windows XP como administrador local.

  2. Abra o SAPlogon e clique em New.

  3. Na tela New Entry, digite as informações a seguir.

    Descrição: <My_Name_For_Kerberos_Connection>

    Servidor do aplicativo: <Fully Qualified Domain Name_For SAP R/3_Application_Server>

    Número do sistema: 00

    Habilitar sistema SAP: R/3

  4. Clique em Advanced e, no painel Advanced Options, marque a caixa de seleção Enable Secure Network Communication e, na caixa SNC Name, digite p:sapacct@na.corp.contoso.com

    Observação   Este é o usuário Active Directory com o nome de logon sapacct no domínio na.corp.contoso.com que executará o sistema SAP. Como o SAP R/3 Application Server diferencia maiúsculas de minúsculas, o nome do usuário deve corresponder ao nome da conta de usuário no Active Directory.

  5. Selecione a opção Máx. disponível.

Tarefa 3: Fazer logon no SAP R/3 Web Server usando o protocolo Kerberos

Execute as etapas a seguir para concluir esta tarefa.

Para fazer logon no SAP R/3 Application Server usando o protocolo Kerberos

  1. Faça logon no cliente Windows XP como sap1@na.corp.contoso.com

  2. Abra o SAPlogon.

  3. Na tela SAP Logon 620, selecione <My_Name_For_Kerberos_Connection> e clique em Logon.

    Estas etapas devem permitir o logon ao sistema do SAP R/3 Application Server sem solicitar as credenciais de logon.

Isto conclui as tarefas de configuração do SAP R/3 Application Server da Contoso para utilizar o protocolo Kerberos versão 5. As estações de trabalho Windows que são conectadas aos aplicativos front-end SAP podem utilizar o protocolo Kerberos. Após a Contoso implementar o componente de autenticação da solução, os usuários da Contoso farão logon no Active Directory de suas estações de trabalho e usarão suas credenciais Active Directory para acessar os aplicativos de front-end SAP.

Neste artigo

Download

Obtenha a Série de Gerenciamento de Identidades e Acessos da Microsoft

Notificações de atualização

Inscreva-se para receber informações sobre atualizações e novas versões

Comentários

Envie seus comentários ou sugestões

Dd459063.pageLeft(pt-br,TechNet.10).gif 5 de 9 Dd459063.pageRight(pt-br,TechNet.10).gif