Prime Institute

Avalados por :

Como resolver problemas de configuração de segurança no Gateway SAP

Crear
  • Creado 01/03/2024
  • Modificado 01/03/2024
  • 1 Vistas
0
Cargando...

Olá,

Nosso EWA reclamou sobre a Configuração de Segurança do Gateway.

A Lista de Controle de Acesso do Gateway (reg_info/sec_info) contém entradas triviais

O parâmetro gw/acl_mode pode ser configurado como 1. A SAP recomenda configurar gw/acl_mode como 1


Portanto, configuramos o parâmetro gw/acl_mode como 1, o que teve o efeito de tornar os arquivos padrão reginfo e secinfo mais restritivos.


Se gw/acl_mode=0 o valor padrão é:

reginfo:

P TP=*

secinfo:

P TP=* USER=* USER-HOST=* HOST=*


Se gw_acl_mode=1 o valor padrão é:

reginfo:

P TP=* HOST=local

P TP=* HOST=internal

secinfo:

P TP=* USER=* USER-HOST=local HOST=local

P TP=* USER=* USER-HOST=internal HOST=internal


Com essa configuração, tudo é rejeitado, então criamos nossos próprios arquivos, que são menos restritivos:

reginfo:

P TP=* HOST=local ACCESS=local,x.xx.*.*,%%RFCSERVER%%

P TP=* HOST=internal ACCESS=local,x.xx.*.*,%%RFCSERVER%%

secinfo:

P TP=* USER=* HOST=local,x.xx.*.*,%%RFCSERVER%% USER-HOST=local,x.xx.*.*,%%RFCSERVER%%

P TP=* USER=* HOST=internal,x.xx.*.*,%%RFCSERVER%% USER-HOST=internal,x.xx.*.*,%%RFCSERVER%%

Todos os hosts de nossa rede devem ter acesso.

Mas ainda estamos recebendo mensagens de rejeição no registro do gateway:

V Seg 25 Ago 2014 20:01:17:721 criado convid=52867721 (conn=11, act=23)

C Seg 25 Ago 2014 20:01:17:721 cliente INIT (convid=52867721, lu=nomehost.dominio, tp=sapgw00, tipo=R3_CLIENTE)

O Seg 25 Ago 2014 20:01:17:721 abrir conexão de cliente (lu=%%RFCSERVER%%, tp=IGS.SID, tipo=R3_CLIENTE)

R Seg 25 Ago 2014 20:01:17:721 rejeitar cliente: TP=IGS.SID não registrado

Ou:

V Sex 22 Ago 2014 16:34:50:803 criado convid=73395803 (conn=2, act=3)

C Sex 22 Ago 2014 16:34:50:803 cliente INIT (convid=73395803, lu=nomehost.dominio, tp=sapgw00, tipo=R3_CLIENTE)

O Sex 22 Ago 2014 16:34:50:803 abrir conexão de cliente (lu=%%RFCSERVER%%, tp=WEBADMIN, tipo=R3_CLIENTE)

R Sex 22 Ago 2014 16:34:50:803 rejeitar cliente: TP=WEBADMIN não registrado

O Sex 22 Ago 2014 16:34:50:803 abrir conexão de cliente (lu=nomehost.dominio, addr=x.xx.xxx.xxxx, tp=sapgw00, tipo=R3_CLIENTE)

C Sex 22 Ago 2014 16:34:50:803 ESTATÍSTICAS (convid=73395803), bytes enviados 0

C Sex 22 Ago 2014 16:34:50:803 ESTATÍSTICAS (convid=73395803), cliente enviou 0 bytes em 0 pacotes

C Sex 22 Ago 2014 16:34:50:803 ESTATÍSTICAS (convid=73395803), servidor enviou 0 bytes em 0 pacotes

V Sex 22 Ago 2014 16:34:50:803 convid removido

SAP BASIS
Pedro Pascal
Se unió el 07/03/2018
Responder
Pinterest
Telegram
Linkedin
Whatsapp

4 Respuestas

0
Cargando...

Minha recomendação seria usar o gw/sim_mode depois de configurar corretamente o gw/reg_no_conn_info. Você obterá a sintaxe exata das tags de rastreamento de segurança do gateway, e não outro ruído de identificadores de conversa e outras solicitações.

Acredite em mim, pontos e vírgulas são uma opção melhor. As tabulações e espaços são pouco confiáveis em minha experiência e, em última instância, causam problemas quando o programa externo ou o nome de usuário contêm um espaço, o que pode acontecer.

Quanto ao gw/acl_mode, talvez faça sentido chamar a atenção de no EWA e talvez eliminá-lo ou torná-lo dependente do gw/reg_no_conn_info pelo menos.

Saudações,

Julius

Respondido el 15/04/2024
LUCIANO RIOJA GHIOTTO
Se unió el 13/07/2019
Agregar
0
Cargando...

Olá Julius,

Obrigado pela sua resposta e suas sugestões.

Removi reginfo e secinfo após as mensagens de rejeição com entradas de %%RFCSERVER%%. Agora os removi porque ainda há mensagens de rejeição.

Entre as tags não há tabulação, apenas espaços. Isso é como se supõe que seja o padrão da SAP.

Mas, como devo manter os arquivos para que as solicitações de %%RFCSERVER%% sejam processadas? Atualmente estão sendo rejeitadas porque chegam sem "addr=...". Todos os TPs estão abertos!

Obrigado pela dica com o parâmetro gw/sim_mode; não conseguia me lembrar de que esse parâmetro fosse mencionado em algum lugar...

Saudações,

Julia

Respondido el 15/04/2024
LUCIANO RIOJA GHIOTTO
Se unió el 13/07/2019
Agregar
0
Cargando...

Olá Julia,

Na minha opinião, esta reclamação no EWA não está correta.

Consulte a Nota SAP 1480644. O mesmo é alcançado configurando o gw/no_reg_conn_info com um valor superior a 1 e você deve fazê-lo de qualquer forma. Isso o obriga a ter seus próprios arquivos corretos no lugar, uma vez que os valores padrão locais e internos são insuficientes.

O ideal é primeiro criar arquivos de acesso completo. Em seguida, alterar o gw/no_reg_conn_info para um nível aceitável para você, mas pelo menos 1, em seguida, usar o gw/sim_mode para simular falhas por um tempo e manter os arquivos. Em seguida, consolidar todos os arquivos da mesma zona de rede em um conjunto de arquivos e adicioná-los, relaxar as restrições para os programas TP que são aceitáveis e não representam uma ameaça à segurança. Estacione esses arquivos em um servidor central do qual a SAP só possa ler e altere localmente os parâmetros gw/sec_info para ler o arquivo central e não o local.

A sintaxe com %%RFCSERVER%% também não está correta. Se uma entrada contém tags sintaticamente incorretas, ela não é mais avaliada, portanto, não funciona. Também vejo que você está usando tabuladores entre as tags, isso é um pouco não confiável, é melhor usar ponto e vírgula.

Saudações,

Julius

Respondido el 15/04/2024
LUCIANO RIOJA GHIOTTO
Se unió el 13/07/2019
Agregar
0
Cargando...

Olá Julia,

Na minha opinião, essa reclamação no EWA não está correta.

Consulte a Nota SAP 1480644. O mesmo é alcançado configurando o gw/no_reg_conn_info com um valor maior que 1 e você deve fazer isso de qualquer maneira. Isso o obriga a ter seus próprios arquivos corretos no lugar, já que as configurações locais e internas padrão são insuficientes.

O ideal é criar primeiro arquivos de acesso completo. Em seguida, altere o gw/no_reg_conn_info para um nível aceitável para você, mas pelo menos 1, em seguida, use o gw/sim_mode para simular falhas por um tempo e manter os arquivos. Em seguida, consolide todos os arquivos da mesma zona de rede em um conjunto de arquivos e adicione-o e relaxe as restrições para os programas de TP que são aceitáveis e não representam uma ameaça à segurança. Coloque esses arquivos em um servidor central do qual o SAP só possa ler e altere localmente os parâmetros gw/sec_info para ler o arquivo central e não o local.

A sintaxe com %%RFCSERVER%% também não está correta. Se uma entrada contém tags sintaticamente incorretas, então ela não é mais avaliada, portanto não funciona. Também vejo que você está usando tabulações entre as tags, isso é um pouco não confiável, é melhor usar ponto e vírgula.

Saudações,

Julio

Respondido el 15/04/2024
LUCIANO RIOJA GHIOTTO
Se unió el 13/07/2019
Agregar

Partners:

contacto@primeinstitute.com

(+51) 1641 9379
(+57) 1489 6964

© 2024 Copyright. Todos los derechos reservados.

Desarrollado por Prime Institute

¡Hola! Soy Diana, asesora académica de Prime Institute, indícame en que curso estas interesado, saludos!
Hola ¿Puedo ayudarte?