Возникла тупиковая ситуация - надеюсь кто-нибудь подскажет, а лучше сразу ссылку на пошаговый мануал по настройке всего и вся

Есть приложение asp.net на IIS 7.5, адаптированное под смартфоны, которое стучится через SAP .Net Connector 3.0 (rfc) к SAPу, затем вызывается ФМ, получаю данные и вывожу на страничку.

Все это работает без проблем и локально и удаленно, когда я явно ввожу логин и пароль пользователя SAP.

А когда я стучусь через SNC (аутентификация через AD c Kerberos), то система не пускает обычных пользовтаелей - пускает только админов и то, только с локальной машины, на которой веб-сервер установлен, после этого в SAPе видно, что законнектился определенный пользователь через RFC (тот самый админ, а если не админ, то и локально и удаленно не пускает). Далее еще интереснее, после того как админ законнектится к SAPу, у всех пользователей начинает работать приложение и локально и удаленно, но при этом в SAPе видно что все сессии открываются все под тем же админом, хотя логинятся на сайт пользователи под своими логинами и паролями прописанными в AD и увязанными c SNC-именами в SAPе.

По моему мнению админы чего-то недонастроили, хотя может я сам виноват где-то, но где? Вроде сделал все как в мануалах по библиотеке коннектора, и примерах идущих с коннектором, админам выслал кучу ссылок как настраивать Kerberos и всякие делегирования в домене при работе с ASP.NET.(гугление не помогает, доступа к настройке домена у меня нет, а наши админы толи не умеют, толи не хотят разбираться в этом).

вот код с тестовыми параметрами соединения

parameters.Add(RfcConfigParameters.Name, "...");
parameters.Add(RfcConfigParameters.AppServerHost, ".......");
parameters.Add(RfcConfigParameters.Client, "...");
parameters.Add(RfcConfigParameters.Language, "RU");
parameters.Add(RfcConfigParameters.MaxPoolWaitTime, "300");
parameters.Add(RfcConfigParameters.SystemID, "...");
parameters.Add(RfcConfigParameters.SystemNumber, "00");
parameters.Add(RfcConfigParameters.User, ".......");
//parameters.Add(RfcConfigParameters.Password, "");
parameters.Add(RfcConfigParameters.SncMode, "1");
parameters.Add(RfcConfigParameters.SncLibraryPath, @"C:\inetpub\wwwroot\Bin\sncgss64.dll");
parameters.Add(RfcConfigParameters.SncPartnerName, "p:host/...........");
RfcDestination SapRfcDestination = RfcDestinationManager.GetDestination(parameters);

try
{
SapRfcDestination.Ping();
DEST = "Соединение с сервером успешно!";
}
catch (RfcInvalidParameterException ex)
{
DEST = "{0} : {1}" + ex.GetType().Name + ex.Message;
}
catch (RfcBaseException ex)
{
DEST = ex.ToString();
}

Эксепшн выглядит так:

Сведения об исключении: SAP.Middleware.Connector.RfcCommunicationException:
LOCATION CPIC (TCP/IP) on local host with Unicode
ERROR GSS-API(maj): No valid credentials provided (or available)
GSS-API(min): SSPI::IniSctx#1()==No credentials available in
security
Could't acquire DEFAULT INITIATING credentials
TIME Tue Oct 23 16:26:03 2012
RELEASE 720
COMPONENT SNC (Secure Network Communication)
VERSION 5
RC -4
MODULE sncxxall.c
LINE 1439
DETAIL SncPAcquireCred
SYSTEM CALL gss_acquire_cred

Спасибо!

Что-то никто не знает, даже SAP СНГ... может за вознаграждение кто-то сможет настроить систему?

Да и попутно возник вопрос, пока с этой проблемой нерешено, предложили использовать Java AS, кто-нибудь знает на чем можно делать свои веб страницы используя текущее подключение самого портала к САПу(вместо JCo - JSP я уже делал с применением JCо, опять не могут SNC настроить), т.к. где я ни смотрел везде JCo используется?

Или может ссылку на доки по технологиям sap netweaver, чего-то я сам не нашел ничего...

С .Net connector не работал, подозреваю что он не умеет SNC (зная SAP). Не знаю точно.
Какой портал у вас есть, EP или IIS?
JCo over SNC работает.

Если что, могу по JCo чё посоветовать...

не проще ли обернуть ФМ в веб-сервис и опубликовать? работы на 4 часа. Хотя, если проблемы с авторизацией AD то придётся что-то ещё писать.

То есть видимо существует интранет с доменом, внутри смартфоны идущие на IIS в том же домене, надо в SAP ABAP дёрнуть вызов.
На джаве в смартфонах писать не надо (правда там и JCo хорошего нет, только велосипеды).

Думаю, SAP NetWeaver Gateway смотрелся бы органично в части транспорта, возможно он даже AD/Kerberos умеет. А если всё же в IIS ломиться то сделать на нём клиент веб-сервиса, который протаскивает авторизацию в вызове веб-сервиса на стороне ABAP RFM.

Спасибо, что откликнулись на мою проблему!

.Net connector точно работает с SNC, это во всех доках и мануалах написано. Я все сделал по докам, но работает только локально на вебсервере под админом, как я описывал выше. Все это делалось на IIS.

Параллельно поставили портал Java AS. Создал веб-проект написал класс для коннекта через JCo. При локальном тестированиипри вводе логина и пароля коннект работает, но при SNC требует библиотеку SECUDE.DLL - как выяснилось у нас такой нет, т.к. это платная штука. Собственно в самой девелопер студии тоже в настройках при создании коннекта к ЕРП системе тоже ругается на эту библиотеку. Вобщем у меня этот вариант отпал сразу, т.к. денег на это не планируется пока выделять. Также не удалось импортирвать библиотекки RFC из SAPa (для создания прокси классов) по той же причине.

Дальше попробовал покопать в сторону портального веб-приложения чтобы использовать внутренний коннект портала с сапом (таковой был настроен через SNC), там было 2 движка устраивающих меня: J2EE и какой-то не помню точно, свой портальный, но доков не нашел как с ними работать, как и вобщем-то самих java пакетов для работы с этими движками. Пока отказался от этого.

Позавчера на scn.sap.com появилась статья о мобильном приложении разработанном на портале с полным соурсом примера, пока не смог достучаться до соурсов, может мне это как раз поможет. Посмотрим...
Вообще идея с оберткой ФМ в веб-сервис интересна, но я пока не рассматривал эту технологию, т.к. в ней пока почти полный ноль )) есть только догадки как все это работает, елси мои догадки верны то это может быть как раз подойдет для моей задачи, тоже посмотрю на досуге как это работает.

Проблем с авторизацие через AD нет никаких, тут все в порядке.

SAP NetWeaver Gateway платная штука и поэтому пока не рассматривается, а так бы я сразу на нем начал делать все.

По простому задача такая: Есть внешние пользователи, которые со смартофонов или планшетов лезут через интернет (не интранет) к мобильному веб-приложению, перед входом вылезает файрвол Forefront TMG, который просит ввести домен\логин и пароль, если все окей открывается страничка, дальше пользователь отрабатывает нужные ему транзакции, отчеты, воркфлоу и т.п. Так вот при отработке задач я создаю коннект и при этом нужно чтобы у пользователя не спрашивало еще раз логин и пароль к SAPу. Т.е . ввел парол в АД и забыл про пароли к САПу, тем более что у нас так и работают пользователи через САп Гуи с использованием SNC.

По поводу сервисов, я так понимаю если я пишу на IIS страничку, которая вызывает сервис со сторны САПа, то мне не нужно вводить никаких паролей к самому САПу?

Остается пока три пути решения:

1. Настроить корректно работу SNC через .Net Connector
2. Использовать портальное решение (до которого еще не добрался)
3. Использовать сервисы на стороне САПа

Если я где-то что-то путаю в части технологий или не знаю каких-то более легких путей решения задачи, то буду очень рад, если подскажете в каком направлении двигаться!

Спасибо!

Да, тут авторизация на стороне клиента веб-сервиса SAP (в IIS). Вообще веб-сервисы всем удобней.



п.3 проще.