Всем привет! Это моё первое сообщение на форуме.
У меня есть сервера с SAP системой и SAP router с SNC. Через SAP Router подключаются Тех поддержка SAP и удалённые офисы. Проблема в том, что SNC используется только между мной и тех поддержкой SAP, а удалённые офисы подключаются без шифрования.
Вопрос, как можно настроить SNC между мной и удалёнными офисами? Наиболее не понятно, как создавать сертификаты в таком случае?

Нота 1643878 Вам в помощь

Спасибо за ноту. Но там вилами по воде писано. Этих и других нот уже начитался. Самое забавное, что каждая нота не является законченной рекомендацией, а даёт ссылку на новую ноту. Кто нибудь делал сам соединение SAP Router - SAP Router с шифрованием SNC?

Таблица маршрутизации для инициатора:
KT "p:CN=XXXXX, OU=YYYYY, O=ZZZZZ, C=RU" hostname_saprouter2 *
P * * *

Таблица маршрутизации для приемника (hostname_saprouter2):
KP "p:CN=XXXXX, OU=YYYYY, O=ZZZZZ, C=RU" hostname_sap sapdp00
KP "p:CN=XXXXX, OU=YYYYY, O=ZZZZZ, C=RU" hostname_sap sapgw00

Пример запуск инициатора:
saprouter -r -K " p:CN=XXXXX, OU=YYYYY, O=ZZZZZ, C=RU " -R C:\saprouter\saprouttab -W 600000 -T C:\saprouter\dev_rout –E C:\saprouter\saprouter_log –J 100000000

Пример запуска акцептора:
saprouter -r -K "p:CN=QQQQQ_YYYYY, OU=YYYYY, O=QQQQQ, C=RU" -R C:\saprouter\saprouttab -W 600000 -T C:\saprouter\dev_rout –E C:\saprouter\saprouter_log –J 100000000



КРИПТОГРАФИЧЕСКАЯ БИБЛИОТЕКА

скачать библиотеку с Service Marketplace (service.sap.com/swdc - download - sap cryptographic software);
присвоить переменной окружения SECUDIR путь к каталогу, где установлен SAP Router
присвоить переменной окружения SNC_LIB полный путь к файлу криптографической библиотеки;
перезагрузить машину.


Настройка инициатора

Генерация pse-файла: sapgenpse get_pse -p [путь к pse файлу] -noreq [-x <PIN>] "SNC – имя хоста". Данная команда генерирует автоматически подписанный файл.

Создание cred_v2 файл: sapgenpse seclogin -p local.pse -O <user_for_saprouter>
(user_for_saprouter = домен\пользователь).

Проверяем: Sapgenpse get_my_name -v -n Issuer
Должно быть отображено имя, использованное в sapgenpse get_pse команде

Настройка акцептора:

Генерация pse-файла: sapgenpse get_pse -p [путь к pse файлу] -noreq [-x <PIN>] "SNC – имя хоста". (PIN одинаковый для акцептора и инициатора)
Создание cred_v2 файл: sapgenpse seclogin -p local.pse -O <user_for_saprouter>.

Проверка: Sapgenpse get_my_name -v -n Issuer

Скопировать pse-файл от инициатора в папку saprouter.
Выполнить команду Sapgenpse get_my_name -v -n Issuer , после выполнения которой должно отобразиться внешнее имя хоста - инициатора.

Добрый день, коллеги!

Не стал плодить новую тему, нашел вот эту весьма подходящую по смыслу.

Никогда ранее не настраивал SNC, но вот сегодня пришлось заняться этим.

Ситуация следующая:
Пользователи Заказчика из внутренней сети используют SAP Gui 7.30 и подключаются к САП системам. Тут проблем нет.
SAPRouter для пользователей Заказчика НЕ используется.

Внешняя команда консультантов, расположенных за пределами локальной сети Заказчика, в целях безопасности должна подключаться только через SAPRouter + SNC.

Т.е. в одной системе одновременно имеются пользователи использующие SNC и НЕ использующие SNC. Соответственно параметр snc/accept_insecure_gui мы можем установить = 1 или = U. У нас параметр установлен = U, и у пользователей которым можно логиниться без SNC установлена соответствующая галочка в SU01 (Password logon for SAP GUI permitted).

Я настроил профиля на стороне ABAP, активировал SNC, подключил библиотеки, обменялся сертификатами и т.д. Всё работает. Т.е. я со своего компьютера из дома подключаюсь к САП системе Заказчика через SAPRouter используя SNC.

Но при текущих настройках saprouttab можно логиниться через SAPRouter как с помощью SNC, так и без него.
Т.е. если у пользователя в SU01 стоит галочка Password logon for SAP GUI permitted, то он может логиниться через SAPRouter и без SNC, и с помощью SNC.

Нам нужно в saprouttab ограничить обычных пользователей так, чтобы через SAPRouter могли логиниться ТОЛЬКО SNC клиенты, а обычные пользователи чтобы через SAPRouter не могли подключиться.


Сейчас saprouttab выглядит примерно вот так:
P * 192.168.22.10 * #ERP DEV
P * 192.168.22.11 * #ERP QAS
P * 192.168.22.12 * #ERP PRD
KP * * *

SAPRouter стартует командой saprouter -r -K "p:CN=sgw, OU=IT, O=FTVL, C=RU" -T c:\saprouter\trace.txt -G c:\saprouter\log.txt

SAPRouter установлен на Windows Server 2012.

Если я в saprouttab убираю первые три строки P * и оставляю одну строку KP *.*.* (типа разрешены все SNC коннекты), то при попытке залогиниться через SAP Gui со включенной опцией SNC, получаю ошибку "route permission denied to server, sapdp00"

В логе сапроутера вижу следующее:
Fri Aug 23 22:04:33 2013
no match for [188.162.xxx.xxx to 192.168.22.10, 3200] found
*** ERROR => NiRClientHandle: NiRExRouteCon for C11/-1 'client.yota.ru' failed (rc=-94) [nirout.cpp 2653]

Получается что в самый первый момент обращение идет по порту 3200, и SNC еще не работает.

Вопрос: Как мне правильно настроить saprouttab, чтобы через SAPRouter проходил только SNC трафик? Чтобы обычный трафик через SAPRouter не проходил?

у Вас некорректно написан saprouttab
1. строки с префиксом P разрешают доступ без SNC
2. строка с префиксом KP должна включать SNC имя входящего сертификата
НО предварительно необходимо инициализировать SNC для входящих подключений директивой KT

Тут можно почитать подробнее

а вообще, кмк, лучше использовать SNC защищенное соединение между двумя сапроутерами - туннель.
а далее уже обычный коннект.
тогда по идее у юзеров будет в саплогоне прописано два сапроутера БЕЗ SNC настроек (у юзеров).

Да, я понимаю что какие-то проблемы именно с saprouttab. Подскажите, как его правильно прописать?

Нужно чтобы через Сапроутер проходил только SNC трафик.
Обычные SAP GUI пользователи (без SNC) НЕ должны ходить через Сапроутер.

На текущий момент имеется:

USER1 и его сертификат "CN=USER1, OU=IT, O=COMPANY, C=RU"
Сапроутер и его сертификат "CN=sgw, OU=IT, O=COMPANY, C=RU"
ERP система и её сертификат "CN=erp, OU=IT, O=COMPANY, C=RU"

USER1 обменялся сертификатами с Сапоутером и ERP.
Сапроутер обменялся сертификатами с ERP и USER1.
ERP обменялась сертификатами с USER1 и Сапроутер.