En el anterior artículo sobre la configuración del SAP SNC sin Single Sing-On en Linux/Unix se detalló como descargar los paquetes de librerías del marketplace, descomprimirlos en el servidor y crear un usuario en el Active Directory. En esta ocasión, se van a explicar los pasos para configurar el SNC en el servidor ABAP.
1. Configuración de certificados en servidor ABAP
- En primer lugar, hay que establecer la variable de entorno SECUDIR al directorio /usr/sap/<SID>/<Instancia>/sec.
- Después, acceder al directorio /usr/sap/<SID>/<Instancia>/SLL para crear el entorno PSE.
- Crear una entrada para el SPN creado antes. Para ello se ejecuta “./snc crtkeytab -s <SPN>@<DominioActiveDirectory>”. La contraseña que se solicita debe ser la misma que la del usuario creado en el dominio. Hay que tener en cuenta que la parte de <DominioActiveDirectory> debe ir en mayúsculas.
2. Configuración de parámetros de perfil
A continuación se detallan los valores que se deben configurar en los distintos parámetros de perfil:
snc/permit_insecure_start = 1 snc/accept_insecure_cpic = 1 snc/r3int_rfc_qop = 8 snc/r3int_rfc_secure = 0 snc/data_protection/use = 3 snc/data_protection/min = 2 snc/data_protection/max = 3 snc/identity/as = p:CN=<SPN>@<ActiveDirectoryDomain> snc/gssapi_lib = /usr/sap/<SID>/<Instance>/SLL/libsecgss.so snc/enable = 0 snc/force_login_screen = 1 snc/accept_insecure_rfc = 1 snc/accept_insecure_gui = 1 ssf/name = SAPSECULIB ssf/ssfapi_lib = $(ssl/ssl_lib) ssl/ssl_lib = $(DIR_EXECUTABLE)$(DIR_SEP)$(FT_DLL_PREFIX)sapcrypto$(FT_DLL) sec/libsapsecu = $(ssl/ssl_lib)
- Con el parámetro snc/enable desactivado (valor 0) se reinicia la instancia para que los parámetros tengan efecto.
- Se accede al sistema y en la transacción STRUST se debe crear el certificado PSE en el nodo “SNC Cryptolib”. El valor viene dado por los parámetros indicados.
- A continuación se reinicia de nuevo la instancia, esta vez con el parámetro snc/enable activo (valor 1).
3. Activar configuración de seguridad SCN
En el cliente del usuario, el programa SAP GUI en Windows, tras instalar el paquete SNC CLIENT ENCRYPTION hay que modificar la entrada del SAP Logon para activar la parametrización de seguridad SNC:
Tras realizar estos pasos de configuración, podremos observar que al acceder al SAP GUI aparecerá el candado que indica el estado del SNC cerrado, y por lo tanto dispondremos del Secure Network Communication activado.
Más información:
Quizas te pueda interesar
Seguridad práctica para PYMES:
cumplimiento adaptado con ISO y ENS sin auditoría
La ciberseguridad ya no es exclusiva de las grandes corporaciones. Las PYMES también se enfrentan a riesgos crecientes y a clientes que exigen confianza en el manejo de la información. Normas como ISO 27001 y el Esquema Nacional de Seguridad (ENS) marcan el estándar...
Partnership con WatchGuard
para cumplir con la Directiva NIS2
Oreka IT se convierte en Partner de WatchGuard para ayudar a las empresas a cumplir con la Directiva NIS2 de Seguridad En los últimos años, las organizaciones han experimentado una explosión sin precedentes en el volumen de aplicaciones, usuarios, dispositivos y...
Fin de soporte en el ERP
Toca evolucionar ¿hacia dónde?
El reloj avanza para los sistemas SAP ERP 6.05 o anteriores. Con el anuncio oficial de SAP, el soporte estándar para estas versiones concluye este año, dejando a muchas organizaciones en una encrucijada tecnológica. Mantenerse en plataformas sin soporte representa un...