You are on page 1of 6

I.

- Configuracin AD
Para la configuracin del SSO necesitamos realizar previamente una serie de actividades en el Active Directory, las cuales detallaremos a continuacin. Requisitos: Se debe contar con la instalacin de Las Herramientas de soporte tcnico de Windows, caso contrario se deben instalar. En caso de no contar con ellas, se debe ejecutar el archivo Suptools.msi que se encuentra en la carpeta Support\Tools del CD del Service Pack 1 de Windows Server 2003. Pasos: 1. Crear la cuenta SAPService<SID1> en el <Controlador_de_Dominio>, utilizando la password del mismo usuario. 2. Exportar el keytab(archivo de claves kerbero) para esta cuenta
ktpass.exe -princ SAPService<SID>/<my.org>@<MY.ORG> -mapuser SAPService<SID> -pass <sap_service_password> -out SAPService<SID>.keytab

3. Transferir el archivo generado de forma segura al host Unix, al directorio home del usuario <sid>adm.

SID: Identificador del Sistema SAP contra el cual se trabajara, por ejemplo R3P

II.- Configuracin de UNIX/Oracle/SAP


A continuacin se describe la configuracin de Kerberos y SNC.

2.1.- Configuracin Kerberos

Pasos: 1. Descargar el archivo krb5-1.3.4.tgz desde http://web.mit.edu/kerberos/www/ (en caso de existir una nueva versin, se puede descargar) 2. Descomprimir y compilar como librera compartida:
tar xvzf krb5-1.3.4.tgz cd krb5-1.3.4/src ./configure enable-shared

con HP-UNIX probar lo siguiente: .configure -disable-shared -enable-static --disabled-thread-support make then do as root: make install

3. Editar el archivo /etc/krb5.conf

[libdefaults] default_realm = <MY.ORG> [realms] <MY.ORG> = { kdc = <domain_controller>:88 admin_server = <domain_controller>:749 default_domain = <my.org> } [domain_realm] <ou>.<my.org> = <MY.ORG> .<ou>.<my.org> = <MY.ORG> <my.org> = <MY.ORG> .<my.org> = <MY.ORG>

2.2.- Configuracin del Adaptador SNC SAP


Pasos: 1. Descargar el archivo bc_snc_adapter_101.zip desde 2. Descomprimir el archivo. 3. Modificar sncadapt/Makefile:
XNAME = snckrb5

http://www.sap.com/partners/icc/scenarios/technology/bc-snc.aspx

4. Modificar sncadapt/build.<UNIX_SO>
VENLIB="-L/usr/local/lib -lgssapi_krb5"

5. Compilar esto:
cd sncadapt make

6. Copy el archivo resultante snckrb5.so a /usr/local/lib


cp snckrb5.so /usr/local/lib 7. Si se presentan problemas, comentar la funcin "sapgss_inquire_mechs_for_name en el archivo snckrb5.c y repetir los pasos 5

y 6.

2.3.- Configuracin del Servidor SAP como <sid>adm


Requisitos Se debe contar con un usuario Oracle OPS$<sid>adm Pasos: 1. Set LD_LIBRARY_PATH conteniendo /usr/local/lib. De preferencia en algn lugar como .profile para que se ejecute automticamente al logearse. 2. Obtener un ticket antes de iniciar el servidor (una sola lnea)
/usr/local/bin/kinit k t SAPService<SID>.keytab SAPService<SID>/<my.org>@<MY.ORG>

3. Editar crontab, para automatizar el proceso de obtencin de los tickets de kerberos


Crontab e

Entonces escribir lo siguiente (una sola lnea)

0 0,6,12,18 * * * /usr/local/bin/kinit k -t SAPService<SID>.keytab SAPService<SID>/<my.org>@<MY.ORG> Con esto se refrescaran los tickets cada 6 horas. 4. Logon en el sistema SAP usando el SAP GUI. 5. Editar los Profiles(RZ10): a. Editar Instance Profile b. Editar Profile c. Extended Maintenance d. Modificar

e. Definir los siguientes Valores:


snc/enable = 1 snc/identity/as = p:SAPService<SID>/<my.org>@<MY.ORG> snc/gssapi_lib = /usr/local/lib/snckrb5.so

f.

Guardar

g. Editar Default Profile

h. Definir los siguientes Valores:


snc/extid_login_diag = 1 snc/extid_login_rfc = 1 snc/accept_insecure_cpic = 1 snc/accept_insecure_gui = 1 snc/accept_insecure_r3int_rfc = 1 snc/accept_insecure_rfc = 1 snc/permit_insecure_start = 1 snc/data_protection/min = 1 snc/data_protection/max = 3 snc/data_protection/use = 3 i. Mientras se testea y depura, es recomendado usar: Snc/*_insecure* = 1 j. Guardar

6. Asignar identidades SNC a los usuarios SAP (SU01). Despus de elegir el usuario SAP, se debera ver que el Tab de SNC ha sido activado. Haga clic en l y para el <usuario> Windows en el dominio del AD <my.org> "Nombre del SNC"el principal p: <usuario> @ <MY .ORG> 7. Guardar 8. Reiniciar el Servidor SAP para activar el SSO:
Stopsap r3 && starsap r3

2.4.- Configuracin del Cliente Windows para usar SSO con el Servidor SAP en Unix
Requisitos Se necesita el archivo gsskrb5.dll. Pasos: 1. Para iniciar SAP GUI en modo testing, entrar a la consola (cmd.exe) Set SNC_LIB=<path_gss_wrapper_lib>sskrb5.dll Sapgui.exe /H/<host>.<ou>.<my_org>/S/3200/snc=p:SAPService<SID>/<my.org>@<MY.ORG > 2. Copiar gsskrb5.dll a %systemroot\SYSTEM32\sncgss32.dll ya que esta es la ruta en que SAP Logon y SAP GUI lo buscan.
Copy gsskrb5.dll %systemroot\SYSTEM32\sncgss32.dll

Se puede definir adems como variable global


SNC_LIB=<path_gss_wrapper_lib>\gsskrb5.dll

3. Seleccionar en el SAP Logon, la entrada que hace referencia al Sistema que se encuentra en Servidor Unix. a. Click en Propiedades b. Ms c. Activar el checkbox del SNC d. En el campo SNC-Name, escribir p:SAPService<SID>/<my.org>@<MY.ORG> e. Seleccionar Max. Available f. Guardar