En el anterior artículo sobre la configuración del SAP SNC sin Single Sing-On en Linux/Unix se detalló como descargar los paquetes de librerías del marketplace, descomprimirlos en el servidor y crear un usuario en el Active Directory. En esta ocasión, se van a explicar los pasos para configurar el SNC en el servidor ABAP.
1. Configuración de certificados en servidor ABAP
- En primer lugar, hay que establecer la variable de entorno SECUDIR al directorio /usr/sap/<SID>/<Instancia>/sec.
- Después, acceder al directorio /usr/sap/<SID>/<Instancia>/SLL para crear el entorno PSE.
- Crear una entrada para el SPN creado antes. Para ello se ejecuta “./snc crtkeytab -s <SPN>@<DominioActiveDirectory>”. La contraseña que se solicita debe ser la misma que la del usuario creado en el dominio. Hay que tener en cuenta que la parte de <DominioActiveDirectory> debe ir en mayúsculas.
2. Configuración de parámetros de perfil
A continuación se detallan los valores que se deben configurar en los distintos parámetros de perfil:
snc/permit_insecure_start = 1 snc/accept_insecure_cpic = 1 snc/r3int_rfc_qop = 8 snc/r3int_rfc_secure = 0 snc/data_protection/use = 3 snc/data_protection/min = 2 snc/data_protection/max = 3 snc/identity/as = p:CN=<SPN>@<ActiveDirectoryDomain> snc/gssapi_lib = /usr/sap/<SID>/<Instance>/SLL/libsecgss.so snc/enable = 0 snc/force_login_screen = 1 snc/accept_insecure_rfc = 1 snc/accept_insecure_gui = 1 ssf/name = SAPSECULIB ssf/ssfapi_lib = $(ssl/ssl_lib) ssl/ssl_lib = $(DIR_EXECUTABLE)$(DIR_SEP)$(FT_DLL_PREFIX)sapcrypto$(FT_DLL) sec/libsapsecu = $(ssl/ssl_lib)
- Con el parámetro snc/enable desactivado (valor 0) se reinicia la instancia para que los parámetros tengan efecto.
- Se accede al sistema y en la transacción STRUST se debe crear el certificado PSE en el nodo “SNC Cryptolib”. El valor viene dado por los parámetros indicados.
- A continuación se reinicia de nuevo la instancia, esta vez con el parámetro snc/enable activo (valor 1).
3. Activar configuración de seguridad SCN
En el cliente del usuario, el programa SAP GUI en Windows, tras instalar el paquete SNC CLIENT ENCRYPTION hay que modificar la entrada del SAP Logon para activar la parametrización de seguridad SNC:
Tras realizar estos pasos de configuración, podremos observar que al acceder al SAP GUI aparecerá el candado que indica el estado del SNC cerrado, y por lo tanto dispondremos del Secure Network Communication activado.