Gerenciamento de acesso à intranet
Capítulo 5: Implementação da solução
Publicado em: 11 de maio de 2004 | Atualizado em: 26 de junho de 2006
Os capítulos anteriores deste artigo fornecem informações necessárias para a compreensão dos requisitos de negócios e especificações para implementação de soluções que atendem aos dois cenários Contoso (permitindo que estações de trabalho UNIX autentiquem o serviço de diretório Microsoft® Active Directory® e configurando o SAP R/3 Application Server para executar a autenticação no Active Directory). Este capítulo fornece orientações sobre como implementar as soluções.
Os pré-requisitos e as orientações de implementação do capítulo podem ser verificados seguindo as orientações do capítulo 6, "Teste da solução".
Nesta página
Ferramentas e modelos
Integração de estações de trabalho UNIX com o Active Directory
Integração da autenticação do SAP R/3 Application Server usando o protocolo Kerberos
Ferramentas e modelos
O pacote de download de gerenciamento de identidades e acessos inclui Identity and Access Management Tools and Templates.msi, que é o arquivo de instalação de Ferramentas e modelos. As Ferramentas e modelos que fazem parte deste download incluem scripts baseados em texto, amostras de código e arquivos de configuração relacionados com o gerenciamento de acessos e identidades, mas não incluem programas executáveis ou código compilado.
Observação Essas amostras são fornecidas apenas como exemplo. Certifique-se de analisar, personalizar e testar essas ferramentas e modelos antes de utilizá-los em um ambiente de produção.
Quando você executar o arquivo de instalação, a estrutura de pastas resultante terá uma aparência semelhante à da Figura 5.1, dependendo do local de instalação.
Figura 5.1. Estrutura de pastas Ferramentas e modelos
Este guia parte do princípio de que você tem Ferramentas e modelos instalados no local padrão %UserProfile%\My Documents\Identity and Access Management Tools and Templates. Se você usar um local de instalação diferente, certifique-se de usar o mesmo caminho para todas as etapas do documento.
Observação O pacote MSI de Ferramentas e modelos pode ocasionalmente produzir um erro durante o processo de instalação. Consulte o arquivo Identity and Access Management Series Readme.htm para obter mais informações.
Pasta: UNIX
Tabela 5.1. A pasta UNIX
Nome do arquivo |
Finalidade |
---|---|
krb5.conf |
Este arquivo de exemplo demonstra como configurar o protocolo de autenticação Kerberos versão 5 em estações de trabalho Sun Solaris versão 9. |
pam.conf |
Este arquivo de exemplo demonstra como configurar o serviço PAM para oferecer suporte ao protocolo Kerberos versão 5. |
Integração de estações de trabalho UNIX com o Active Directory
O exemplo da Contoso integra estações de trabalho UNIX e aplicativos com a Plataforma de gerenciamento de identidades e acessos Microsoft, que exige a migração das contas de usuários locais da estação de trabalho Solaris 9 para o Active Directory. Para fazer isto, a Contoso deve inicialmente criar contas de estação de trabalho e de usuário UNIX no Active Directory e configurar as estações de trabalho Solaris 9 para usar o protocolo Kerberos. Este protocolo permite que você use o KDC (Centro de distribuição de chaves) no Microsoft Windows Server™ 2003 para autenticar as contas Solaris 9 ao usar credenciais Microsoft Windows®.
As tarefas de alto nível necessárias para implementação deste cenário são:
Criar contas para usuários e estações de trabalho UNIX no Active Directory.
Configurar estações de trabalho UNIX para usar o protocolo Kerberos para logon de usuários.
Pré-requisitos de implementação
Para implementar as orientações prescritivas a seguir, você deve certificar-se de que os pré-requisitos foram atendidos.
Instalar e configurar a parte do Active Directory da infra-estrutura da Contoso conforme descrito no artigo "Plataforma e infra-estrutura" desta série.
Certificar-se de que as estações de trabalho UNIX possuam um DNS (Sistema de nomes de domínio) configurado para resolver os nomes de domínio do Windows Server 2003. Abrir o arquivo /etc/resolv.conf e verificar se ele contém linhas semelhantes às da tabela a seguir.
Tabela 5.2. Nomes de domínio do Windows Server 2003
Nome
Endereço ou domínio
domínio
na.corp.contoso.com
servidor de nomes
10.1.11.32
pesquisar
na.corp.contoso.com
Certifique-se de que as estações de trabalho UNIX recebem endereços IP obtidos do servidor DHCP (Protocolo de configuração dinâmica de hosts) no domínio.
Instale o produto SEAM (Sun Enterprise Authentication Mechanism) 1.0.1 (normalmente fornecido com o Solaris 9) nas estações de trabalho UNIX.
Certifique-se de que os relógios da estação de trabalho UNIX estejam sincronizados com os controladores de domínio do Active Directory.
Visão geral de implementação
Este cenário também pode ser implementado com as duas atividades principais a seguir.
Criação de conta UNIX
Configuração de estação de trabalho UNIX
Criação de conta UNIX
A Contoso executou as seguintes tarefas para criar contas de usuários no Active Directory correspondentes a contas de usuários das estações de trabalho Solaris 9. Você pode adaptar estas tarefas aos requisitos da sua organização.
Tarefa 1: Adicionar contas de usuário UNIX ao Active Directory
Tarefa 2: Criar contas de estação de trabalho UNIX no Active Directory
Tarefa 3: Gerar arquivos Keytab para estações de trabalho UNIX
Cuidado As contas de usuário no Active Directory devem corresponder exatamente aos nomes de conta das estações de trabalho UNIX, que diferenciam maiúsculas de minúsculas.
Tarefa 1: Adicionar contas de usuário UNIX ao Active Directory
Execute as etapas a seguir para concluir esta tarefa.
Para adicionar uma conta de usuário UNIX ao Active Directory
Abra o MMC (Console de Gerenciamento Microsoft) de usuários e computadores do Active Directory com privilégios de usuário para gerenciamento de contas de usuário.
Na árvore do console, clique na OU (unidade organizacional) Users.
Clique com o botão direito do mouse na OU Users, aponte para New e clique em User.
Na caixa de diálogo New Object-User, digite as informações a seguir (deixe todas as outras informações com os valores padrão).
Nome: <Solaris_User_First name>
Sobrenome: <Solaris_User_Last name>
Nome de logon de usuário: <Solaris_User_UNIX_Account_Name>
Nome de logon (pré-Windows 2000): <Solaris_User_UNIX_Account_Name>
Clique em Next.
Na caixa de diálogo New Object-User, digite as informações a seguir.
Senha: <Alphanumeric_Password>
Confirmar senha: <Alphanumeric_Password>
Clique em Next e em Finish.
Tarefa 2: Criar contas de estação de trabalho UNIX no Active Directory
Execute as etapas a seguir para criar uma conta no Active Directory para representar uma estação de trabalho Solaris 9.
Para criar uma conta de estação de trabalho UNIX no Active Directory
Abra o MMC de usuários e computadores do Active Directory com privilégios de usuário para gerenciamento de contas de usuário.
Clique com o botão direito do mouse em na.corp.contoso.com, aponte para New e clique em Organization Unit.
Na caixa de diálogo New Object-Organizational Unit, digite Solaris Workstations e clique em OK.
Clique com o botão direito do mouse em Solaris Workstations, aponte para New e clique em User.
Na caixa de diálogo New Object-User, digite as informações a seguir (deixe todas as outras informações com os valores padrão).
Nome: <Solaris_Workstation_Name>
Nome de logon de usuário: <Solaris_Workstation_Name>
Nome de logon (pré-Windows 2000): <Solaris_Workstation_Name>
Na caixa de diálogo New Object–User, clique em Next e digite as informações a seguir:
Senha: <Alphanumeric_Password>
Confirmar senha: <Alphanumeric_Password>
Na mesma caixa de diálogo, desmarque a caixa de seleção User must change password at next logon e marque a caixa de seleção Password never expires.
Clique em Next e clique em Finish.
Tarefa 3: Gerar arquivos Keytab para estações de trabalho UNIX
Execute o utilitário ktpass.exe para criar arquivos keytab para estações de trabalho UNIX. Este arquivo keytab contém a chave usada pelo protocolo Kerberos versão 5 para criptografar solicitações de tíquete.
Observação O utilitário ktpass.exe está incluído com as Ferramentas de suporte do CD do produto Windows Server 2003.
Execute as etapas a seguir para criar arquivos keytab para as estações de trabalho UNIX.
Para gerar um arquivo keytab para uma estação de trabalho UNIX
Faça logon no controlador de domínio como administrador.
Clique em Start, clique em Run, digite cmd e pressione ENTER para abrir o prompt de comando.
No prompt de comando, execute o utilitário ktpass com as opções da linha de comando especificadas nesta etapa com as modificações a seguir.
Use o nome da estação de trabalho Solaris criado na tarefa 2, etapa 5, em <Solaris_Workstation_Name>.
NA.CORP.CONTOSO.COM e na.corp.contoso.com representam o domínio em que a conta de computador da estação de trabalho Solaris foi criada.
Use a senha criada na tarefa 2, etapa 6, para a senha mostrada no exemplo a seguir.
Observação Algumas das linhas do código a seguir foram exibidas em várias linhas para melhor capacidade de leitura.
ktpass -princ host/<Solaris_Workstation_Name>.na.corp.contoso.com@ NA.CORP.CONTOSO.COM -mapuser <Solaris_Workstation_Name> -pass password -out <Solaris_Workstation_Name>.keytab
Pressione ENTER. O resultado a seguir deverá ser exibido.
Observação Algumas das linhas do código a seguir foram exibidas em várias linhas para melhor capacidade de leitura.
Targeting domain controller: GRNCDC01.na.corp.contoso.com Successfully mapped host/ Solaris_Workstation_Name.na.corp.contoso.com to Solaris_Workstation_Name. Key created. Output keytab to Solaris_Workstation_Name.keytab: Keytab version: 0x502 keysize 79 host/ Solaris_Workstation_Name.na.corp.contoso.com@ NA.CORP.CONTOSO.COM ptype 1 (KRB5_NT_PRINCIPAL) vno 3 etype 0x3 (DES-CBC-MD5) keylength 8 (0x0e9bd5da314f5bad) Account Solaris_Workstation_Name has been set for DES-only encryption.
Configuração de estação de trabalho UNIX
A Contoso executou as tarefas a seguir para configurar o protocolo Kerberos versão 5 em estações de trabalho UNIX. Você pode adaptar estas tarefas para atender aos requisitos da sua organização.
Tarefa 1: Instalar o arquivo keytab na estação de trabalho UNIX
Tarefa 2: Configurar o arquivo pam.conf
Tarefa 3: Configurar o arquivo krb5.conf
Tarefa 4: Excluir senhas de usuário na estação de trabalho UNIX
Tarefa 1: Instalar o arquivo keytab na estação de trabalho UNIX
Execute as etapas a seguir para concluir esta tarefa.
Para instalar o arquivo keytab na estação de trabalho UNIX
Use o FTP (Protocolo FTP) para enviar o arquivo keytab criado no controlador do domínio para o sistema operacional Solaris 9 executado na estação de trabalho UNIX.
Importante Como você trocará dados entre um computador que executa o Windows Server 2003 e um host Solaris 9, certifique-se de que o modo de transferência esteja definido como binário para a sessão de FTP.
Faça logon na estação de trabalho UNIX como root.
Verifique se o DNS está instalado. O arquivo /etc/resolv.conf deve incluir as informações a seguir.
domain na.corp.contoso.com nameserver 10.1.103.13
No prompt #, digite ktutil e pressione ENTER.
No prompt de comando ktutil:, digite rkt Solaris_Workstation_Name.keytab e pressione ENTER.
No prompt de comando ktutil:, digite list e pressione ENTER. O resultado a seguir deverá ser exibido.
ktutil: list slot KVNO Principal 1 3 host/ffl-na-sun-01.na.corp.contoso.com@NA.CORP.CONTOSO.COM
No prompt de comando ktutil:, digite wkt /etc/krb5/krb5.keytab e pressione ENTER.
No prompt de comando ktutil:, digite q e pressione ENTER.
Tarefa 2: Configurar o arquivo pam.conf
Execute as etapas a seguir para configurar o arquivo pam.conf, que é um arquivo de configuração de arquitetura PAM (Pluggable Authentication Module) que será utilizado pela Contoso para habilitar a autenticação do protocolo Kerberos versão 5.
Para configurar o arquivo pam.conf
Faça logon na estação de trabalho UNIX como root
Faça um backup copiando o arquivo padrão /etc/pam.conf e renomeando o arquivo de backup /etc/pam.conf.old
A pasta Ferramentas e modelos que é baixada com este artigo contém um exemplo de arquivo pam.conf usado na estação de trabalho UNIX para habilitar a autenticação usando o protocolo Kerberos versão 5.
Copie o arquivo fornecido à estação de trabalho UNIX ou modifique o arquivo /etc/pam.conf existente para corresponder às informações a seguir no arquivo de configuração.
# PAM configuration # Contoso's pam.conf to enable Kerberos # Authentication other auth sufficient pam_krb5.so.1 other auth sufficient pam_unix.so.1 try_first_pass # Password other password sufficient pam_krb5.so.1 other password sufficient pam_unix.so.1 # Account other account optional pam_krb5.so.1 other account optional pam_unix.so.1 # session other session optional pam_krb5.so.1 other session optional pam_unix.so.1
Tarefa 3: Configurar o arquivo krb5.conf
O arquivo krb5.conf é usado para definir os padrões do protocolo Kerberos na estação de trabalho UNIX. A Contoso modificou este arquivo para apontar para o KDC no Windows Server 2003 e na.corp.contoso.com no território do Windows Server 2003.
Execute as etapas a seguir para configurar este arquivo de acordo com as necessidades da sua organização.
Para configurar o arquivo krb5.conf
Faça logon na estação de trabalho UNIX como root
Faça um backup copiando o arquivo padrão /etc/krb5/krb5.conf e renomeie o arquivo de backup /etc/krb5/krb5.conf.old
Personalize o arquivo krb5.conf na pasta Ferramentas e modelos baixada com este artigo para o seu ambiente e o copie para o arquivo /etc/krb5/krb5.conf na estação de trabalho UNIX. Segue um exemplo de informação contida no arquivo de configuração utilizado pela Contoso:
Observação Algumas das linhas do código a seguir foram exibidas em várias linhas para melhor capacidade de leitura.
[libdefaults] default_realm = NA.CORP.CONTOSO.COM [realms] NA.CORP.CONTOSO.COM = { kdc = ffl-na-dc-01.na.corp.contoso.com admin_server = ffl-na-dc-01.na.corp.contoso.com kpasswd_protocol = SET_CHANGE } [domain_realm] .na.corp.contoso.com = NA.CORP.CONTOSO.COM [logging] default = FILE:/var/krb5/kdc.log kdc = FILE:/var/krb5/kdc.log kdc_rotate = { # How often to rotate kdc.log. Logs will get rotated # no more # often than the period, and less often if the KDC is # not used# frequently. period = 1d # how many versions of kdc.log to keep around # (kdc.log.0, kdc.log.1, ...) version = 10 } [appdefaults] kinit = { renewable = true forwardable= true } gkadmin = { help_url = http://docs.sun.com:80/ab2/coll.384.1 /SEAM/@AB2PageView/1195 }
Confirme se o relógio do sistema da estação de trabalho UNIX está sincronizado com o relógio do controlador de domínio. Execute o comando date no sistema UNIX e o comando time no controlador de domínio Windows. Após levar em conta as diferenças de configurações de fuso horário, ajuste a hora no sistema UNIX para um intervalo de no máximo 5 minutos em relação à hora relatada pelo controlador de domínio.
Importante Este é um requisito do protocolo Kerberos versão 5. Os relógios do sistema não podem estar mais que 5 minutos fora de sincronização.
Tarefa 4: Excluir senhas de usuário na estação de trabalho UNIX
Se houver uma conta UNIX existente na estação de trabalho com o mesmo nome da conta de usuário Active Directory, as informações de senha no arquivo /etc/shadow deverão ser removidas porque ele não será mais usado.
Execute as etapas a seguir para concluir esta tarefa.
Para excluir senhas de usuário Active Directory na estação de trabalho UNIX
Faça logon na estação de trabalho UNIX como root
Abra o arquivo /etc/shadow em um editor de texto.
Encontre a entrada do usuário do Active Directory e exclua esta linha inteira.
A estação de trabalho UNIX está configurada para usar o protocolo Kerberos para autenticar usuários em relação ao Active Directory.
A Microsoft recomenda validar a implementação executando os testes descritos na seção "Validar os pré-requisitos de implementação" para integração da estação de trabalho UNIX com a parte do cenário Active Directory do Capítulo 6, "Teste da solução".
Integração da autenticação do SAP R/3 Application Server usando o protocolo Kerberos
A Contoso deseja usar seu investimento na infra-estrutura do Active Directory no Windows Server 2003 para implementar SSO (logon único) ao SAP R/3 Application Server. Para fazer isto, o processo de autenticação entre os aplicativos de front-end SAP e o SAP R/3 Application Server deve ser configurado para utilizar o protocolo Kerberos versão 5.
Pré-requisitos de implementação
Para que estes detalhes de implementação funcionem corretamente, você deve ter a infra-estrutura básica da Contoso implementada conforme definido nos capítulos a seguir no artigo "Plataforma e infra-estrutura" desta série, Capítulo 4, "Design da infra-estrutura" e Capítulo 5, "Implementação da infra-estrutura", incluindo:
- Uma floresta de serviços de diretório Microsoft Active Directory® da intranet. A floresta deve conter as unidades organizacionais, os grupos e os usuários da Contoso fornecidos.
Antes de executar as tarefas desta seção, você também deve fazer o seguinte:
Certifique-se de que o SAP R/3 Application Server possui contas de usuário no sistema SAP.
Certifique-se de que existe uma conta Active Directory para cada conta de usuário SAP no Active Directory da intranet para mapeamento de conta e SSO.
Visão geral de implementação
Este cenário pode ser implementado com a conclusão das duas atividades a seguir.
Configuração do SAP R/3 Server
Configuração do cliente GUI SAP no Windows XP
Configuração do SAP R/3 Server
As tarefas seguintes nesta seção configuram o SAP R/3 Application Server para usar o protocolo Kerberos versão 5. Você pode adaptar estas tarefas aos requisitos da sua organização.
Tarefa 1: Criar uma conta de serviço SAP para executar o processo do SAP R/3 Application Server
Tarefa 2: Definir um SPN (nome da entidade de serviço) para a conta de usuário SAP
Tarefa 3: Adicionar uma conta de usuário SAP ao grupo de administradores locais
Tarefa 4: Instalar o protocolo Kerberos versão 5
Tarefa 5: Configurar o SNC no SAP R/3 Server para usar o protocolo Kerberos versão 5
Tarefa 6: Mapear as contas de usuário do SAP R/3 Application Server para o Active Directory
Tarefa 1: Criar uma conta de serviço SAP para executar o processo do SAP R/3 Application Server
Execute as etapas a seguir para concluir esta tarefa.
Para criar uma conta de serviço SAP no Active Directory
Abra o MMC de usuários e computadores do Active Directory com privilégios de usuário para gerenciamento de contas de usuário.
Na árvore do console, clique com o botão direito do mouse na unidade organizacional Users, aponte para New e clique em User.
Na caixa de diálogo New Object-User, digite as informações a seguir.
Nome: SAP
Sobrenome: Logon
Nome de logon de usuário: sapacct@na.corp.contoso.com
Nome de logon (pré-Windows 2000): sapacct
Observação Não altere nenhuma outra informação de valor padrão nesta caixa de diálogo.
Clique em Next e, na caixa de diálogo New Object-User, digite as informações a seguir:
Senha: <Alphanumeric_Password>
Confirmar senha: <Alphanumeric_Password>
Tarefa 2: Definir um SPN para a conta de usuário SAP
Execute as etapas a seguir para concluir esta tarefa.
Para definir um SPN para a conta de usuário SAP
Localize o utilitário setspn.exe no CD do Windows 2003 Server Resource Kit ou faça o download da página Windows 2000 Resource Kit Tool: Setspn.exe.
Enquanto estiver conectado como administrador de domínio, digite o seguinte no prompt de comando: SETSPN -A SAPService/<nome do computador host> NA\sapacct
Observação Esta tarefa é necessária no Windows Server 2003 porque o KDC chamará o protocolo Kerberos usuário a usuário para qualquer conta que não tenha um SPN. Como o SPN não é utilizado pelo cliente SAP ao solicitar tíquetes de serviço Kerberos para o SAP R/3 Application Server, a única parte do SPN que deve estar correta é o nome principal da conta de usuário do serviço SAP.
Tarefa 3: Adicionar uma conta de serviço SAP ao grupo de administradores local
Execute as etapas a seguir para concluir esta tarefa.
Para adicionar uma conta de serviço SAP ao grupo de administradores locais
Abra o MMC do Gerenciamento do computador com privilégios de administração de domínio no SAP R/3 Application Server.
Na árvore do console, clique duas vezes em System Tools, em Local Users and Groups e em Groups.
Clique com o botão direito do mouse no grupo Administrators e clique em Add Group.
Na caixa de diálogo Administrator Properties, clique em Add.
Na caixa de diálogo Select Users, Computers or Group, vá para a caixa Enter the object names to select (examples) e digite sapacct@na.corp.contoso.com
Tarefa 4: Instalar o protocolo Kerberos versão 5
A próxima tarefa é instalar o componente do protocolo Kerberos versão 5 no SAP R/3 Application Server executando as etapas a seguir.
Observação Há uma versão do arquivo binário gsskrb5.dll incluída na mídia de instalação da SAP, mas uma versão mais recente, disponível na SAP, deve ser utilizada nos ambientes Windows Server 2003 e Microsoft Windows® XP. A observação SAP número 352295 possui mais informações sobre por que esta versão do arquivo .dll é necessária e também anexa a versão mais recente para que ela possa ser baixada. É possível acessar as observações SAP usando sua conta SAP e conectando-se ao OSS ou indo diretamente à página SAP Service Marketplace no site da SAP.
Para instalar o protocolo Kerberos versão 5 no SAP R/3 Application Server
Faça logon no SAP R/3 Application Server como sapacct@na.corp.contoso.com
Copie o arquivo Gsskrb5.dll para %windir%\system32.
Clique em Control Panel e em System.
Clique na guia Advanced, em Environment Variables e na caixa de diálogo Environment Variables, em System variables, clique em New.
Na caixa de diálogo New System Variable, digite as informações a seguir.
Nome da variável: SNC_LIB
Valor da variável: %windir%\system32\gsskrb5.dll
Observação Estes valores de variável definem o local do arquivo Gsskrb5.dll.
Tarefa 5: Configurar o SNC para usar o protocolo Kerberos versão 5
Após executar as tarefas anteriores, você pode configurar a funcionalidade SNC (Secure Network Communication) no SAP R/3 Application Server para usar o protocolo Kerberos versão 5 para autenticação. É possível fazer o download do Guia do usuário SNC no site da Web da SAP.
Execute as etapas a seguir para concluir esta tarefa.
Para configurar o SNC para usar o protocolo de autenticação Kerberos versão 5
Faça logon no SAP R/3 Application Server como sapacct@na.corp.contoso.com.
Observação O sistema do SAP R/3 Application Server diferencia maiúsculas e minúsculas. Por este motivo, você deve fazer logon digitando o nome de logon da conta de usuário no Active Directory exatamente como ele aparece aqui.
Abra o arquivo <SAP R/3 Web Server Drive:>\MBS\MBS_D00.pfl usando o Notepad.exe e adicione os parâmetros a seguir no final do arquivo.
#language zcsa/system_language = EN #Kerberos snc/enable =1 snc/accept_insecure_cpic =1 snc/accept_insecure_gui =1 snc/accept_insecure_r3int_rfc =1 snc/accept_insecure_rfc =1 snc/data_protection/max =1 snc/data_protection/min =1 snc/data_protection/use =1 # Location of the dll used for kerberos snc/gssapi_lib = C:\windows\system32\gsskrb5.dll snc/permit_insecure_start =1 # The Windows User Account used to run SAP Server snc/identity/as = p:sapacct@na.corp.contoso.com snc/r3int_rfc_secure = 0
Observação Os parâmetros deste arquivo diferenciam maiúsculas de minúsculas. Por exemplo, o valor do parâmetro snc/identity/as =p:sapacct@na.corp.contoso.com diferencia maiúsculas de minúsculas e deve ser correspondente ao nome de logon de usuário no Active Directory.
O local exato da instalação Windows deve ser utilizado no lugar de C:\Windows no parâmetro snc/gssapi_lib.
Uma alimentação de linha [linha vazia] deve ser adicionada no final do arquivo de configuração MBS_D00.pfl. Se não houver uma linha vazia, serão gerados avisos durante a execução do MBS.
Substitua o diretório real usado pela instalação do Windows se for diferente de "C:\Windows".
Clique duas vezes em <SAP R/3 Web Server Drive>\MBS\runmbs.cmd para iniciar o sistema MBS SAP.
Tarefa 6: Mapear as contas de usuário do SAP R/3 para o Active Directory
Após configurar o SAP R/3 Application Server para usar o protocolo Kerberos, você poderá mapear as contas de usuário do SAP R/3 Web server para as contas de usuário no Active Directory.
A Contoso possui contas Windows para todos os usuários de SAP R/3 Web server da empresa. Estas etapas podem ser adaptadas para atender às necessidades da sua organização.
Para mapear o usuário sap1 do SAP R/3 Server para a conta sap1@NA.CORP.CONTOSO.COM do Active Directory:
Faça logon no SAP R/3 Application Server como administrador.
Digite o código de transação SU01 para exibir a tela User Maintenance: Initial Screen.
Na caixa User, digite sap1 o nome do usuário do SAP R/3 Application Server.
Clique no menu User Names, clique em Change para exibir a tela Maintain User e clique na guia SNC.
Na caixa de texto SNC Name, digitep:sap1@NA.CORP.CONTOSO.COM
Observação Lembre-se de que as informações de usuário do SAP R/3 Web server diferenciam maiúsculas e minúsculas. O mapeamento do SAP R/3 Web server para este nome de conta do Active Directory para o logon de usuário sap1 no domínio NA.CORP.CONTOSO.COM deve corresponder exatamente a este nome de logon no Active Directory.
Marque a caixa de seleção Unsecure Communication permitted (user-specific).
Clique em Save na barra de menus para preservar as alterações.
Para verificar se o nome canônico é válido, clique no menu User Names, clique em Display e clique na guia SNC.
Na folha de propriedades SNC Data, uma marca de verificação deve ser exibida próxima à mensagem Nome canônico determinado.
Isto conclui as tarefas de configuração de SSO no SAP R/3 Application Server.
Configuração do cliente GUI SAP no Windows XP
A Contoso deseja que seus clientes Microsoft Windows XP utilizem o protocolo Kerberos em vez do processo de autenticação padrão para fazer logon no SAP R/3 Application Server. Para fazer isto, o aplicativo front-end da GUI (interface gráfica de usuário) SAP deve ser modificado para criar um perfil de logon que reconheça o protocolo Kerberos. Os usuários no ambiente usarão este perfil para se conectar ao SAP R/3 Application Server.
A Contoso executou as tarefas a seguir para configurar o aplicativo de font-end de GUI SAP para utilização do protocolo Kerberos. Você pode adaptar estas tarefas para atender aos requisitos da sua organização.
Tarefa 1: Instalar o protocolo Kerberos versão 5 no aplicativo front-end de GUI SAP
Tarefa 2: Configurar os logons de usuários do protocolo Kerberos versão 5
Tarefa 3: Fazer logon no SAP R/3 Application Server usando o protocolo Kerberos
Tarefa 1: Instalar o protocolo Kerberos versão 5 no aplicativo front-end de GUI SAP
Execute as etapas a seguir para concluir esta tarefa.
Observação A mídia de instalação do SAP inclui o arquivo binário gsskrb5.dll.
Para instalar o protocolo Kerberos versão 5 no aplicativo front-end de GUI SAP
Faça logon no cliente Windows XP como administrador local.
Copie o arquivo Gsskrb5.dll para %windir%\system32.
Clique em Control Panel e em System.
Clique na guia Advanced, clique em Environment Variables e na caixa de diálogo Environment Variables, em System variables, clique em New.
Na caixa de diálogo New System Variable, digite as informações a seguir.
Nome da variável: SNC_LIB
Valor da variável: %windir%\system32\gsskrb5.dll
Observação Estes valores de variável definem o local do arquivo Gsskrb5.dll.
Tarefa 2: Configurar os logons de usuários do protocolo Kerberos versão 5
Execute as etapas a seguir para concluir esta tarefa.
Para configurar um logon de protocolo Kerberos versão 5 para o usuário sap1@NA.CORP.CONTOSO.COM
Faça logon no cliente Windows XP como administrador local.
Abra o SAPlogon e clique em New.
Na tela New Entry, digite as informações a seguir.
Descrição: <My_Name_For_Kerberos_Connection>
Servidor do aplicativo: <Fully Qualified Domain Name_For SAP R/3_Application_Server>
Número do sistema: 00
Habilitar sistema SAP: R/3
Clique em Advanced e, no painel Advanced Options, marque a caixa de seleção Enable Secure Network Communication e, na caixa SNC Name, digite p:sapacct@na.corp.contoso.com
Observação Este é o usuário Active Directory com o nome de logon sapacct no domínio na.corp.contoso.com que executará o sistema SAP. Como o SAP R/3 Application Server diferencia maiúsculas de minúsculas, o nome do usuário deve corresponder ao nome da conta de usuário no Active Directory.
Selecione a opção Máx. disponível.
Tarefa 3: Fazer logon no SAP R/3 Web Server usando o protocolo Kerberos
Execute as etapas a seguir para concluir esta tarefa.
Para fazer logon no SAP R/3 Application Server usando o protocolo Kerberos
Faça logon no cliente Windows XP como sap1@na.corp.contoso.com
Abra o SAPlogon.
Na tela SAP Logon 620, selecione <My_Name_For_Kerberos_Connection> e clique em Logon.
Estas etapas devem permitir o logon ao sistema do SAP R/3 Application Server sem solicitar as credenciais de logon.
Isto conclui as tarefas de configuração do SAP R/3 Application Server da Contoso para utilizar o protocolo Kerberos versão 5. As estações de trabalho Windows que são conectadas aos aplicativos front-end SAP podem utilizar o protocolo Kerberos. Após a Contoso implementar o componente de autenticação da solução, os usuários da Contoso farão logon no Active Directory de suas estações de trabalho e usarão suas credenciais Active Directory para acessar os aplicativos de front-end SAP.
Neste artigo
- Capítulo 1: Introdução ao artigo Gerenciamento de acesso à intranet
- Capítulo 2: Abordagens para o gerenciamento de acesso à intranet
- Capítulo 3: Questões e requisitos
- Capítulo 4: Design da solução
- Capítulo 5: Implementação da solução
- Capítulo 6: Teste da solução
- Capítulo 7: Considerações operacionais
- Links
- Agradecimentos
Download
Obtenha a Série de Gerenciamento de Identidades e Acessos da Microsoft
Notificações de atualização
Inscreva-se para receber informações sobre atualizações e novas versões
Comentários
Envie seus comentários ou sugestões
5 de 9 |