Gerenciamento de acesso à intranet

Capítulo 6: Teste da solução

Publicado em: 11 de maio de 2004 | Atualizado em: 26 de junho de 2006

Este capítulo descreve como validar os cenários de solução de implementação do capítulo anterior. Ele também fornece etapas de resolução de problemas para ajudar em desafios comuns de implementação. Não são fornecidas orientações abrangentes para teste de experiência ponta a ponta de usuário e administrador.

Nesta página

Integração de estações de trabalho UNIX com o Active Directory
Integração da autenticação do SAP R/3 Application Server usando o protocolo Kerberos

Integração de estações de trabalho UNIX com o Active Directory

Após o processo de implementação para integração de estações de trabalho UNIX com o serviço de diretório Microsoft® Active Directory® ser concluído, você poderá validar sua implementação para certificar-se de que o cenário de gerenciamento de acesso à intranet funciona como esperado e atende aos requisitos da Contoso.

Validando os pré-requisitos de implementação

Antes de começar a orientação de implementação neste artigo, você deve executar alguns testes básicos de verificação para certificar-se de que a infra-estrutura exigida foi configurada corretamente para a solução. Os testes básicos a seguir foram desenvolvidos para lhe fornecer meios de verificar rapidamente se a configuração de sua rede está pronta para implementar as estações de trabalho de integração UNIX com o cenário da solução Active Directory.

Os testes de validação dos pré-requisitos incluem:

  • Teste Básico 1: Verificar funcionalidade DHCP

  • Teste Básico 2: Verificar se a estação de trabalho possui uma entrada de DNS

  • Teste Básico 3: Verificar a resolução do nome

  • Teste Básico 4: Verificar a capacidade do usuário de alterar a senha

Teste Básico 1: Verificar a funcionalidade do DHCP

Execute as etapas a seguir para verificar se a estação de trabalho UNIX registra um endereço de DHCP (Protocolo de configuração dinâmica de hosts) do servidor de DHCP do domínio de intranet.

Para verificar a funcionalidade do DHCP

  1. Una a estação de trabalho UNIX ao domínio baseado no Microsoft Windows® e atualize os arquivos de configuração necessários na estação de trabalho UNIX com os detalhes do domínio da Contoso.

  2. Reinicie a estação de trabalho.

  3. Efetue logon na estação de trabalho com uma conta de usuário UNIX.

Abra o snap-in do MMC (Console de gerenciamento Microsoft) DHCP no servidor DHCP da intranet e verifique se a estação de trabalho UNIX forneceu um endereço IP.

Teste Básico 2: Verificar se a estação de trabalho possui uma entrada de DNS

Execute as etapas a seguir para verificar se a estação de trabalho UNIX possui uma entrada de DNS (Sistema de nomes de domínio).

Para verificar se a estação de trabalho possui uma entrada de DNS

  1. Abra o MMC de gerenciamento de DNS no servidor DNS da intranet da Contoso.

  2. Na zona de espaço para nome de domínio de intranet, adicione um registro Host (A) com o endereço IP e o nome de host da estação de trabalho UNIX adicionada.

Abra um prompt de comando no servidor DNS e use o comando nslookup para verificar se o nome da estação de trabalho é resolvido no domínio da Contoso.

Teste Básico 3: Verificar a resolução do nome

Execute as etapas a seguir para verificar se o nome da estação de trabalho UNIX pode ser resolvido localmente e se outros membros do domínio podem ter seus pings executados a partir desse local.

Para verificar a resolução de nomes

  1. Após adicionar a estação de trabalho UNIX ao domínio do Windows Active Directory, efetue logon na estação de trabalho usando uma conta UNIX de usuário local.

  2. Abra um prompt de comando e utilize o comando nslookup para resolver o nome de host da estação de trabalho e o nome de domínio da intranet.

  3. Use o comando ping para testar a conectividade com os controladores de domínio Active Directory no domínio.

O nome de host da estação de trabalho UNIX deve ser resolvido e a estação de trabalho deve ser adicionada com êxito ao domínio.

Teste Básico 4: Verificar se o usuário consegue alterar a senha

Execute as etapas a seguir para verificar se um usuário em uma estação de trabalho Unix local pode alterar a senha de sua conta várias vezes.

Para verificar a capacidade de um usuário mudar a senha

  1. Efetue logon na estação de trabalho UNIX usando as credenciais do usuário local.

  2. Altere a senha do usuário consecutivamente três vezes usando o utilitário passwd.

Você deve ser capaz de alterar a senha com êxito três vezes após efetuar logon com as credenciais do usuário.

Após concluir estes testes com sucesso, você poderá implementar a solução conforme indicado no Capítulo 5, "Implementação da solução", e executar os testes de validação de implementação a seguir.

Validando a implementação

É possível usar as informações nas tarefas a seguir para testar o cenário de integração da estação de trabalho UNIX com o Active Directory e validar a implementação destas orientações.

A Contoso usou os testes a seguir para verificar a funcionalidade de integração das estações de trabalho UNIX da empresa adquirida para seu domínio de intranet. Você pode adaptar estes testes às necessidades da sua organização.

Os testes de validação da implementação incluem:

  • Teste 1: Verificar se os usuários podem efetuar logon nas estações de trabalho UNIX

  • Teste 2: Verificar se os usuários com contas desativadas não conseguem fazer logon

  • Teste 3: Verificar se as contas de usuário UNIX atendem à diretiva de vencimento de senha

  • Teste 4: Verificar se os usuários UNIX podem alterar suas senhas

  • Teste 5: Verificar se as contas de usuário UNIX atendem à diretiva de complexidade de senha

Teste 1: Verificar se os usuários podem efetuar logon nas estações de trabalho UNIX

Execute as etapas a seguir para certificar-se de que usuários com contas no Active Directory podem efetuar logon nas estações de trabalho UNIX.

Para testar o logon em estações de trabalho UNIX

  1. Efetue logon em uma estação de trabalho UNIX como usuário com uma conta Active Directory e digite a senha Kerberos quando solicitado.

  2. Execute o utilitário klist para verificar a existência de um tíquete Kerberos válido.

O usuário pode efetuar logon e ter tíquetes Kerberos válidos.

Teste 2: Verificar se os usuários com contas desativadas não conseguem fazer logon

Execute as etapas a seguir para verificar se os usuários cujas contas Active Directory foram desabilitadas não conseguem efetuar logon em estações de trabalho UNIX.

Para verificar se os usuários com contas desabilitadas não conseguem efetuar logon em estações de trabalho UNIX

  1. Desabilite uma conta de usuário no Active Directory.

  2. Tente efetuar logon em uma estação de trabalho UNIX usando a conta Active Directory desabilitada.

Deve ocorrer uma falha na tentativa de logon na estação de trabalho.

Teste 3: Verificar se as contas de usuário UNIX atendem à diretiva de vencimento de senha

Execute as etapas a seguir para verificar se as contas de usuários UNIX no Active Directory atendem à diretiva de vencimento de senha de domínio da intranet da Contoso.

Para verificar a conformidade com a diretiva de vencimento de senha

  1. Efetue logon em uma estação de trabalho UNIX com uma conta de usuário UNIX com menos de 24 horas de criação.

  2. Solicite um tíquete Kerberos usando o comando kinit.

  3. Tente alterar a senha usando o comando passwd.

Se a diretiva de senha estiver definida como Minimum password age=1 na diretiva de senha do domínio, a tentativa de alteração de senha deverá ser rejeitada.

Teste 4: Verificar se usuários UNIX conseguem alterar senhas

Execute as etapas a seguir para verificar se usuários UNIX conseguem alterar suas senhas de contas Active Directory.

Para verificar se usuários conseguem alterar suas senhas de contas do Active Directory

  1. Efetue logon na estação de trabalho UNIX como um usuário UNIX com uma conta no Active Directory que tenha mais de 24 horas de criação.

  2. Altere a senha usando o comando passwd.

O usuário pode alterar a senha, desde que a nova senha atenda aos requisitos de comprimento e complexidade.

Teste 5: Verificar se as contas de usuário UNIX atendem à diretiva de complexidade de senha

Execute as etapas a seguir para verificar se contas de usuários UNIX no Active Directory atendem à diretiva de complexidade de senha de domínio de intranet da Contoso.

Para verificar a conformidade com a diretiva de complexidade de senha

  1. Efetue logon em uma estação de trabalho UNIX como usuário UNIX com uma conta no Active Directory.

  2. Tente alterar a senha com o comando passwd para uma senha simples (utilize apenas 3 ou 4 caracteres e não misture caracteres alfabéticos e numéricos).

  3. Tente fazer isto algumas vezes com diferentes senhas simples.

Senhas simples que não atenderem aos requisitos de complexidade de domínio devem ser rejeitadas.

Solução de problemas

Esta seção do capítulo fornece informações sobre alguns erros comuns que podem ser encontrados ao testar este cenário e formas prováveis de resolvê-los. As informações da tabela a seguir não são uma lista extensa de erros e procedimentos de resolução de problemas.

Tabela 6.1. Resolução de problemas do cenário de integração de estações de trabalho UNIX com Active Directory

Erro

Procedimento de resolução de problemas

O usuário não consegue efetuar logon na estação de trabalho UNIX.

Efetue logon como usuário raiz e verifique se as modificações feitas no arquivo pam.conf estão corretas.

O usuário não recebe um log de senha Kerberos no prompt.

Verifique se a conta do Active Directory do usuário UNIX está provisionada corretamente conforme documentado na seção de implementação deste artigo.

O nome da estação de trabalho UNIX não é resolvido.

Verifique se o nome da estação de trabalho UNIX e seu endereço IP foram inseridos no DNS do Windows Server 2003. Caso contrário, adicione um registro de Host (A) ao DNS.

Integração da autenticação do SAP R/3 Application Server usando o protocolo Kerberos

Após o processo de implementação para autenticação do SAP R/3 Application Server ao Active Directory ser concluído, você poderá validar sua implementação para certificar-se de que o cenário de gerenciamento de acesso à intranet funciona como esperado e atende aos requisitos da Contoso.

Validando os pré-requisitos de implementação

Antes de começar as orientações de implementação neste artigo, você deve executar alguns testes básicos de verificação para certificar-se de que a infra-estrutura exigida foi configurada corretamente para a solução. Estes testes básicos foram desenvolvidos para fornecer uma forma de verificar se a configuração da rede está pronta para implementar a autenticação do SAP R/3 Application Server ao cenário da solução Active Directory.

Os testes de validação dos pré-requisitos incluem:

  • Teste Básico 1: Verificar a funcionalidade do SAP R/3 Application Server

  • Teste Básico 2: Verificar se novas contas SAP podem efetuar logon no SAP R/3 Server

  • Teste Básico 3: Verificar se as contas SAP podem efetuar logon a partir de um cliente Windows XP

Teste Básico 1: Verificar a funcionalidade do SAP R/3 Application Server

Execute as etapas a seguir para verificar se o SAP R/3 Application Server é iniciado e funciona corretamente no servidor Windows em que foi instalado.

Para verificar a funcionalidade do SAP R/3 Application Server

  1. Efetue logon no servidor Windows que hospeda o SAP R/3 Application Server usando as credenciais da conta de administrador SAP do domínio de intranet.

  2. Abra um prompt de comando e navegue até a pasta C:\mbs.

  3. Digite runmbs.cmd e pressione ENTER para iniciar o SAP R/3 Application Server.

O SAP R/3 Application Server deve ser iniciado com sucesso e executado sem erros.

Teste Básico 2: Verificar se novas contas SAP podem efetuar logon no SAP R/3 Server

Execute as etapas a seguir para verificar a capacidade de efetuar logon no SAP R/3 Application Server com uma conta SAP criada recentemente.

Para verificar se novas contas SAP podem efetuar logon

  1. No servidor Windows que hospeda o SAP R/3 Application Server, inicie o cliente GUI SAP.

  2. Efetue logon no servidor do aplicativo SAP com as credenciais do administrador SAP, minisap.

  3. Utilize a ferramenta de administração para criar uma conta de usuário local SAP.

  4. Efetue logoff do cliente GUI SAP.

  5. Efetue logon novamente no SAP R/3 Application Server usando o cliente GUI SAP e as credenciais de usuário local criadas na etapa 3.

O usuário local SAP deve efetuar logon com sucesso no SAP R/3 Application Server a partir do cliente GUI SAP.

Teste Básico 3: Verificar se as contas SAP podem efetuar logon a partir de um cliente Windows XP

Execute as etapas a seguir para verificar se contas SAP podem efetuar logon com sucesso no SAP R/3 Application Server de um computador executando o sistema operacional Microsoft Windows® XP.

Para verificar a capacidade de clientes SAP efetuarem logon a partir de computadores que executem Windows XP

  1. Efetue logon em um computador cliente que esteja executando o sistema operacional Microsoft Windows XP que também tenha o cliente GUI SAP instalado.

  2. Inicie o aplicativo cliente GUI SAP e efetue logon no SAP Application Server com as credenciais de uma conta de usuário SAP local.

    O cliente GUI SAP deve se conectar ao SAP R/3 Application Server e um usuário SAP local deve efetuar logon com sucesso.

Após validar os pré-requisitos, você poderá implementar a solução conforme descrito no Capítulo 5, "Implementação da solução". Após a implementação da solução, você poderá executar os testes de implementação a seguir.

Validando a implementação

A Contoso usou os testes a seguir para verificar a funcionalidade de integração de autenticação do SAP R/3 Application Server ao Active Directory. Você pode adaptar estes testes às necessidades da sua organização.

Os testes de validação da implementação incluem:

  • Teste 1: Verificar as funções do SAP R/3 Server após a integração com o Active Directory

  • Teste 2: Verificar se as contas de usuário SAP do Active Directory no SAP R/3 Server são resolvidas

  • Teste 3: Verificar SSO para usuários SAP

  • Teste 4: Verificar se a autenticação de logon GUI SAP usa o protocolo Kerberos

Teste 1: Verificar as funções do SAP R/3 Server após a integração com o Active Directory

É importante verificar se o SAP R/3 Application Server está operando adequadamente após ter sido integrado com o Active Directory.

Para verificar a funcionalidade do SAP R/3 Server após a integração com o Active Directory

Execute o teste "Verificar funcionalidade" descrito na seção anterior.

O SAP R/3 Application Server deve ser iniciado com sucesso e executado sem erros.

Teste 2: Verificar se as contas de usuário SAP do Active Directory no SAP R/3 Server são resolvidas

Execute as etapas a seguir para verificar se contas de usuário SAP criadas no Active Directory são resolvidas no SAP R/3 Application Server.

Para verificar a resolução de contas de usuário SAP

  1. Efetue logon no SAP R/3 Application Server como administrador SAP.

  2. Digite o código de transação SU01 para exibir a tela User Maintenance: Initial.

  3. Na caixa User, digite o alias do usuário SAP (sap1).

  4. Clique no menu User Names, clique em Display e clique na guia SNC.

    Na tela de propriedades SNC Data, uma marca de verificação deve ser exibida próxima à mensagem:

    Nome canônico determinado

Teste 3: Verificar SSO para usuários SAP

Execute as etapas a seguir para verificar se os usuários SAP podem efetuar SSO (logon único) quando efetuam logon no SAP R/3 Application Server sem fornecer suas credenciais de logon novamente após efetuar logon em um computador que esteja executando o Windows XP com sua conta Active Directory.

Para verificar o logon uniforme no SAP R/3 Application Server do Windows XP

  1. Efetue logon no cliente Windows XP usando as credenciais de um usuário de domínio com uma conta SAP.

  2. Abra o cliente GUI SAP e efetue logon no SAP usando SNC.

    O usuário deve efetuar logon com sucesso no SAP R/3 Application Server sem ter suas credenciais solicitadas.

Teste 4: Verificar se a autenticação de logon GUI SAP usa o protocolo Kerberos

Execute as etapas a seguir para verificar se o protocolo de autenticação Kerberos versão 5 está sendo usado para autenticação de logon GUI SAP em computadores que executam Windows XP.

Para verificar o uso do protocolo de autenticação Kerberos versão 5

  1. Inicie a ferramenta de monitoramento netmon no controlador de domínio de intranet.

  2. Instrua um usuário SAP a efetuar logon no SAP usando as etapas do teste anterior.

  3. Interrompa o netmon e navegue pelas mensagens capturadas.

O protocolo de autenticação Kerberos versão 5 deve ser usado para autenticação de solicitações de logon de usuários SAP do cliente GUI SAP para o SAP R/3 Application Server.

Solução de problemas

Esta seção do capítulo fornece informações sobre alguns erros comuns que podem ser encontrados ao testar este cenário e formas prováveis de resolvê-los. As informações da tabela 6.2 não são uma lista extensa de erros e procedimentos de resolução de problemas.

Tabela 6.2. Resolução de problemas do cenário de autenticação do SAP R/3 Server com Active Directory

Erro

Procedimento de resolução de problemas

Falha de autenticação Kerberos

Ao adicionar a variável SNC_LIB às variáveis do ambiente, certifique-se de adicionar a nova variável à lista de variáveis do sistema e não à lista de variáveis do usuário no mesmo painel. Caso contrário, haverá falha no processo de autenticação Kerberos.

Falhas no SAP Server

Verifique se o parâmetro snc/identity/as do arquivo de configuração MBS_D00.pfl especifica a conta de serviço SAP (p:sapacct@na.corp.contoso.com).

Neste artigo

Download

Obtenha a Série de Gerenciamento de Identidades e Acessos da Microsoft

Notificações de atualização

Inscreva-se para receber informações sobre atualizações e novas versões

Comentários

Envie seus comentários ou sugestões

Dd459064.pageLeft(pt-br,TechNet.10).gif 6 de 9 Dd459064.pageRight(pt-br,TechNet.10).gif