Настройка защищенного сетевого соединения (SNC) между SAP-системами и клиентами при помощи WebSphere Adapter for SAP Software V7.5

Узнайте, как настроить SNC (Secure Network Connection) между SAP-системами и клиентами, используя WebSphere Adapter for SAP Software V7.5. В данной статье описывается настройка SNC на стороне SAP-сервера и показывается, как выполнить обмен ключами между SAP и клиентскими системами.

Мату Агарвал, инженер-программист, WebSphere Adapters, IBM

Мату Агарвал (Matu Agarwal) – фотографияМату Агарвал (Matu Agarwal) работает инженером-программистом в службе поддержки пользователей и разработчиков подразделения WebSphere Adapters IBM в Индии. Получил степень бакалавра в области компьютерных наук и вычислительной техники в H.B.T.I. Kanpur. Имеет 3.5 года опыта работы с различными Java-технологиями, включая JCA. Связаться с ним можно по адресу matu.agarwal@in.ibm.com.



21.11.2012

Введение

SAP-системы имеют базовые функции системы безопасности – SAP-авторизация и аутентификация пользователей по паролю. В данной статье рассказывается, как использовать защищенное сетевое соединение (Secure Network Connection – SNC) для расширения системы безопасности SAP и обеспечения дополнительной защиты благодаря более строгим методам аутентификации и шифрования. В статье рассматриваются механизмы, предоставляемые продуктом IBM® WebSphere® Adapter for SAP Software для установки защищенного соединения с SAP по SNC.

Предварительные требования

  • IBM Integration Designer V7.5 (прежнее название – IBM WebSphere Integration Developer) или IBM Business Process Manager V7.5 Advanced Edition.
  • WebSphere Adapter for SAP Software V7.5 (здесь и далее – WebSphere SAP Adapter).
  • Доступ к SAP-системе с настроенной обработкой IDoc/BAPI.
  • Библиотеки SAP JCo и SAP Cryptographic.
  • Базовые знания IBM Integration Designer и WebSphere SAP Adapter. Ссылки на дополнительную информацию по этим продуктам приведены в разделе Ресурсы.

Secure Network Communication (SNC)

SNC – это программный уровень в архитектуре SAP-систем, обеспечивающий интерфейс к внешним системам безопасности. Используя SNC, можно повысить безопасность SAP-решений путем реализации дополнительных функций и средств защиты. SNC предоставляет сквозную систему безопасности на уровне приложений, гарантирующую надежные, согласованные и защищенные соединения.

SNC используется для защиты соединений удаленного вызова функций (Remote Function Call, RFC) с SAP-системами Advanced Business Application Programming (ABAP). Поддержка SNC реализована как уровень между ядром SAP и внешней библиотекой системы безопасности, предоставляющей интерфейс Generic Security Services API (GSS-API). SAP предоставляет также криптографическую библиотеку SAP Cryptographic Library, которую можно загрузить с сайта SAP.

WebSphere SAP Adapter позволяет подключаться к SAP-системам путем установки защищенного RFC-соединения, называемого SNC. В следующем разделе рассматривается установка SNC с SAP-системой с использованием WebSphere Adapter for SAP Software с IBM Integration Designer V7.5 или IBM Business Process Manager V7.5 Advanced Edition.

Настройка SNC на SAP и WebSphere SAP Adapter

1. Библиотека SAP Cryptographic Library

Библиотека SAP Cryptographic Library – это продукт системы безопасности SAP, используемый по умолчанию для исполнения функций шифрования в SAP-системах. Он отвечает требованиям интерфейса GSS-API V2. Загрузите SAP Cryptographic Library (необходима авторизация SAP). Установочный пакет SAP Cryptographic Library содержит следующие файлы:

  • SAP Cryptographic Library (sapcrypto.dll для Microsoft® Windows®).
  • Соответствующее лицензионное удостоверение.
  • Программа настройки sapgenpse.exe.

2. Конфигурирование SNC на системе SAP Advanced Business Application Programming (ABAP)

При использовании SAP Cryptographic Library для SNC сервер и его партнер по взаимодействию (на котором установлена система времени исполнения WebSphere) должны быть настроены на работу с SNC. Необходимо настроить среду Personal Security Environment (PSE) – она используется обоими компонентами для верификации и аутентификации удаленного компонента, а также для хранения пары ключей (открытый-закрытый) и сертификатов с открытым ключом. Для SNC лучше, чтобы каждый компонент имел свою собственную индивидуальную среду PSE, потому что если одна PSE используется совместно всеми компонентами, атакующий может обмануть клиентскую систему и подключиться к серверу WebSphere вместо сервера SAP, а у клиента не будет способа обнаружить такую атаку. В данной статье обе системы используют индивидуальные PSE-среды.

Создание и настройка PSE-среды на сервере

Необходимо настроить параметры профиля экземпляра SAP для включения работы с SNC и указания SNC-имени. Для настройки PSE-среды и активации SNC на SAP-сервере выполняются следующие действия:

3. Настройка SNC на клиентской системе

В нашем случае на клиентской системе установлен IBM Business Process Manager с развернутым на нем WebSphere SAP Adapter. Необходимо выполнить единовременный процесс настройки – создать среду PSE на клиенте и обменяться ключами шифрования. Эта настройка необходима и не зависит от вида соединений (входящие или исходящие), для поддержки которых настраивается среда.

3a. Настройка переменных среды

Ниже перечислены действия по настройке клиентской системы. Установите значения переменных среды SECUDIR и LD_LIBRARY_PATH так, как показано ниже. SECUDIR содержит лицензионное удостоверение, полученное на шаге 1. LD_LIBRARY_PATH содержит файлы sapcrypto.dll и sapgenpse.exe.

Настройка переменных среды
Настройка переменных среды

3b. Создание клиентской среды PSE

Создайте PSE при помощи команды sapgenpse.exe: sapgenpse gen_pse -v -p PSE_FILE_NAME. Появится запрос на установку PIN, который служит паролем PSE. Теперь необходимо ввести отличительное имя для владельца PSE. Задайте следующие параметры: CN=myhost.mydomain, C=mycountry, S=mystate, O=mycompany, OU=mydepartment.

Создание клиентской среды PSE
Создание клиентской среды PSE

Настройте среду PSE и создайте файл полномочий cred_v2 для пользователя. Он позволяет приложениям получить доступ к хранилищу ключей. Этот файл применим только для текущего пользователя операционной системы:
sapgenpse seclogin -p PSE_FILE_NAME -O USERNAME.

Настройка клиентской среды PSE
Настройка клиентской среды PSE

4. Обмен сертификатами между системой SAP ABAP и клиентом

Система SAP ABAP и клиент должны обменяться сертификатами, чтобы доверять друг другу и взаимодействовать безопасно.

4a. Обмен клиентским сертификатом

Экспортируйте клиентский сертификат из PSE, используя следующую команду:
sapgenpse export_own_cert -v -p PSE_FILE_NAME -o CLIENT_CERT_NAME.

Экспорт клиентского сертификата
Экспорт клиентского сертификата

Перейдите в настроенную среду PSE на SAP-сервере (eccdev_SD1_10 в нашем случае) и импортируйте клиентский сертификат в SAP, используя код SAP-транзакции STRUST. Затем используйте команду Import Certificate для выбора сертификата, экспортированного на предыдущем шаге, и добавьте его в список сертификатов.

Импорт клиентского сертификата в SAP-систему
Импорт клиентского сертификата в SAP-систему

4b. Обмен сертификатом с системой SAP

Экспортируйте сертификат SAP с сервера: выберите серверный сертификат и нажмите кнопку Export:

Экспорт сертификата SAP
Экспорт сертификата SAP

Импортируйте сертификат SAP в клиентскую PSE, используя команду
sapgenpse maintain_pk -v -a SERVER_CERT_NAME -p PSE_FILE_NAME

Импорт сертификата SAP в клиентскую PSE
Импорт сертификата SAP в клиентскую PSE

5. Авторизация клиентского приложения на SAP

SNC имеет список управления доступом, поэтому необходимо создать запись для вашего клиента, чтобы SAP-система разрешила SNC-соединение для RFC. На SAP-сервере перейдите в Transaction SM30, введите VSNCSYSACL и нажмите кнопку Maintain. Затем выберите The table is cross-client information. Мы завершили настройку SNC на стороне клиента и сервера.

Авторизация клиентского приложения
Авторизация клиентского приложения

SNC-подключение, использующее WebSphere SAP Adapter

Настроить WebSphere SAP Adapter можно при помощи IBM Integration Designer. Запустите мастер Enterprise Service Discovery для создания EIS-импорта или экспорта, которые можно использовать для доступа к серверной SAP-системе. Ссылки на подробную информацию по запуску этого мастера и действиям по настройке приведены в разделе Ресурсы в конце данной статьи. В мастере Enterprise Service Discovery в разделе Advanced Properties имеются свойства для настройки SNC. Предусмотрены следующие свойства:

  • Secure Network Connection (SNC) name – укажите отличительное имя клиентской среды PSE (создано на шаге 3b).
  • Secure Network Connection (SNC) partner – укажите отличительное имя сервера PSE (создано на шаге 2).
  • Secure Network Connection (SNC) security level – это свойство указывает уровень защиты для защищенного сетевого соединения. Поддержку уровня защиты обеспечивает библиотека Cryptographic Library, но конкретный файл библиотеки может не поддерживать все уровни. Выберите нужное из списка:
    • Authentication only (только аутентификация)
    • Integrity protection (обеспечение целостности)
    • Privacy protection (обеспечение конфиденциальности) и т.д.
  • SNC library path – это свойство указывает путь к библиотеке, предоставляющей сервис защищенного сетевого соединения (sapcrypto.dll, полученный на шаге 1).
  • X509 certificate – это необязательное свойство указывает сертификат X509, используемый в качестве удостоверения для входа в систему. К SAP через SNC можно подключиться с использованием обычного имени пользователя и пароля или сертификата X509 (клиентский сертификат, сгенерированный на шаге 3b и экспортированный под именем CLIENT.crt в файловую систему на шаге 4a). Состояние SNC-соединения можно проверить, используя функциональность SAP System Trace и трассировочный файл адаптера. Дополнительная информация по этим свойствам.
Конфигурирование SNC в WebSphere SAP Adapter
Конфигурирование SNC в WebSphere SAP Adapter

Заключение

В статье рассматривались основы защищенного сетевого соединения (SNC) с SAP и использование WebSphere SAP Adapter для настройки SNC-соединения. Также в статье рассматривалась настройка SAP-системы и клиентской системы на SNC.

Благодарности

Автор благодарит Йенса Энгельке (Jens Engelke) из IBM BPM Development за рецензию на данную статью.

Ресурсы

Комментарии

developerWorks: Войти

Обязательные поля отмечены звездочкой (*).


Нужен IBM ID?
Забыли Ваш IBM ID?


Забыли Ваш пароль?
Изменить пароль

Нажимая Отправить, Вы принимаете Условия использования developerWorks.

 


Профиль создается, когда вы первый раз заходите в developerWorks. Информация в вашем профиле (имя, страна / регион, название компании) отображается для всех пользователей и будет сопровождать любой опубликованный вами контент пока вы специально не укажите скрыть название вашей компании. Вы можете обновить ваш IBM аккаунт в любое время.

Вся введенная информация защищена.

Выберите имя, которое будет отображаться на экране



При первом входе в developerWorks для Вас будет создан профиль и Вам нужно будет выбрать Отображаемое имя. Оно будет выводиться рядом с контентом, опубликованным Вами в developerWorks.

Отображаемое имя должно иметь длину от 3 символов до 31 символа. Ваше Имя в системе должно быть уникальным. В качестве имени по соображениям приватности нельзя использовать контактный e-mail.

Обязательные поля отмечены звездочкой (*).

(Отображаемое имя должно иметь длину от 3 символов до 31 символа.)

Нажимая Отправить, Вы принимаете Условия использования developerWorks.

 


Вся введенная информация защищена.


static.content.url=http://www.ibm.com/developerworks/js/artrating/
SITE_ID=40
Zone=WebSphere
ArticleID=846667
ArticleTitle=Настройка защищенного сетевого соединения (SNC) между SAP-системами и клиентами при помощи WebSphere Adapter for SAP Software V7.5
publish-date=11212012