SAPROUTER – eine Einführung

(Last Updated On: 10. Januar 2015)

SAPROuter ist ein Programm, das eine Art Zwischenstation in einer Netzwerkvebrindung zwischen SAP-Systemen oder zwischen einem SAP-System und der außenwelt, also beispielsweise dem SAP-Support, darstellt. SAPRouter dietn dabei dazu, den Zugagn zum Netzwerk zu Regeln, und stellt dazu ein Application level Gateway bereit – und ist daher nicht zu verwechseln mit einem Netzwerkrouter, der ein Network Level Gateway darstellt. Ein SAPRouter stellt somit eine Ergänzung zu einem gewöhnlichen Firewall-System dar.

Die Firewall, aus Heimnetzwerken kennen wir sie als Bestandteil unseres DSL-Routers, bildet eine undurchdringliche Mauer um unser Netzwerk. Da aber gewisse Verbindungen durch diese Wand hindurch kommen sollche,n  muss ein Loch in die Firewahll gemacht werden – beispielsweise könnten wir wollen, dass die Ports für unsere SAP-dienste offen sind. Damit geben wir den Verkehr aber für jede x-beliebige Anfrage frei, auch wenn ungebetene Gäste auf unsere SAP-Diesnte zugreifen wollen. Deswegen brauchen wir für dieses Loch in unserer Firewall einen Schließmechanismus, eine Art Tor, die das Loch bei Bedarf öffnen und wieder schließen kann. Dafür ist der SAPRouter da.

Der SAPRouter ermöglicht also die kontrolle des Zugangs zum SAP-System. Er kann desweiteren Verbindungen zum SAP-System protokollieren und ermöglicht somit eine Verfolgung und Analyse möglicherweise schädlicher Angriffe.-

Man kann mit SAProuter beispielsweise festlegen, dass auf ein SAP-System nur von bestimmten anderen Systemen mit SAPRoutern möglich sein soll. Wir können unsere Daten durch ein Kennwort gegen unberechtigten Zugriff schützen lassen, und wir können mit SAPRouter einstellen, dass wir nur geschützte SNC-Verbindungen auf unser SAP-system zulassen, die verschlüselt sind.

SAP Router kann dabei festlegen, welche Routen zum zielsystem erlaubt sind und welche Kennwörter für welche Route eingegeben werden müssen. mit einer sogenannte Route-permission-Tabelle überprüft er, welche Routen und Kennwörter gültig sind, und welche nicht.

Um einer SAP-Anwendung mitzuteilen, wie man über SAPROuter auf ein anderes SAP-System zugreift, benötigt men einen SAPRouter-String. In diesem String sind die informationen über den SAProuter, welcher den Zugriff zum gewünshcten SAP-Sstem regelt, hinterlegt, also beispielsweise entweder seine Ip-Adresse mit Port oder sein logischer NI-Name sowie das Passwort für die Router-Verbindung.

Ein Route String hat dabei die Syntax

/H/host/S/service/W/pass, wobei H, S und W Großbuchstsbaen sein mpssen.

H steht für den Hostnamen, S für den Port des dienstes, den man erriechen will (standard 3299), und W steht für das Kennwort.

Es können mehrere SAPRouter-Strings zusammengeschrieben werden, um eine komplette route zu definieren, sofern mehr als ein SAPRouter an der Route beteiligt ist. beispielsweise

/H/<host1>/S/<service1>/W/<passwort1>/H/<host2>/S/<service2>/W/<password2>

In diesem Fall spricht man bei jedem String, der einen Host bezeichnet, von einem Substring, in diesem Fall sind die bieden Subtrings

/H/<host1>/S/<service1>/W/<passwort1>

und

/H/<host2>/S/<service2>/W/<password2>

ein Route string beschirebt dabei eine gewünschte verbidnung zweier Hosts über einen oder mehrere SAPRouter. jeder dieser für die Verbindung involvierten SAProuter prü+ft dann anhand seiner route-Permission-Tabelle, ob die verindng zwischen seinem Vorgänge und seinem nachfolger erlaubt ist und stellt sie in diesem Fall her.

Im folgenden ein Beispiel. Ein SAP-Support-mitarbeiter arbeitet an einem Rechner namens sappc, und er möchte einen Rechner yourapp betreuen, der in einem Kundennetzwerk angesiedelt ist. Zwischen den beiden Rechnern sind zwei SAPRouter, einmal der SPARouter von SAP selbst, mit dem namen sap_rout, und einmal der SAProuter des Kunden, mit dem Namen your_rout. Der SAP-mitarbeiter möchte auf dem PC yourapp auf den Dienst mit der Portnummer 3298 zugreifen. Er muss in seinem SAPRouter-String alle beteiligten Hostnamen auf seinem Weg angeben. .Der SAPRouter-String sieht so aus

/H/sap_rout/H/your_rout/W/<Passwort>/H/yourapp/S/3298

Da in den ersten beiden /H/-Strings kein Passwort und kein Port angegebn wurden, werden hier die Standardwerte 3299 und ein leeres Kennwort benutzt.

Die Verbindung wird in folgenden Schritten hergestellt: Das Frontend des SAP-Support-mitarbeiters, beispielsweise SAP Logon, baut eine Verbindung zum SAProuter sap_rout gemäß dem ersten Substring auf und gibt die Routeninformation weiter. sap_rout prüft nun anhand der route-Permission-TRabelle, ob die Route „sappc zu your_rout Port 3299“ erlaubt ist, baut die Verbindung zum Kunden-SAP-Router your_rout auf und übergibt Substring 2 und 3. your_rout prüft jetzt anhand seiner Route-Permission-Tabelle, ob die Route „sap_rout zu your_app 3298″ erlaubt und das Kennwort gültig ist. SAProuter baut dann die Verbindung zum Awnendungsserver auf.

Ein SAProuter prüft also immer nur den vorherigen Hostnamen und en den nächsten Substring. Er prüft also in der regel nie die komplette route, es sei denn es gibt nur einen Substring insgesamt.

Wer sich über den technischen Aufbau einer Route-Kommunikation installiert, also den PRotokoll-Teil, kann hier gucken.

sie müssen also beispielsweise einen SAPRouter installieren, wenn Sie dem SAP-Support erlauebn wollen, auf ihr System zuzugreifen, aber keinen anderen.

Was macht SAPRouter? SAPRouter setzt auf der OSI-Schicht 4 auf und arbeitet dort mit dem SAP-proprietären Protokoll NI (Network interface). In der umgangssprahce wird das protokoll auch als SAP-protokoll bezeichnet. NI setzt dabei auf TCP oder UDP auf, das bedeutet, NI ist ebenfalls auch der OSI-Schicht 4, ist aber anwendungsnäher als TCP/UDP.

Was ändert sich mit der einführung von NI? Nun, wir wissen, dass UDP und TCP mit Portnummern arbeiten, beispielsweise Port 80 für HTTP-Verbindungen. Das NI-protokoll kann sowohl mit Ports aus UDP/TCP umgehen, als auch mit einer eigenen implementierung – sogenannte logische Namen. anstelle von hostname und Portnummer kann man beim NI-protkoll einen logischen Namen schreiben, etwa saposs für eine Verbindung zum SAP Support.

ein weiterer Clou ist, dass mitHilfe von SAPROUTEr und NI es möglich ist, zwischen zwei Local Area networks ohne routing über das WAN (Internet) eine Verbindung herzustellen – auch dann, wenn die bieden SAP-Systeme beispielsweise eine identische IP-Adresse haben (beiuspielswqeise 10.10.10.1 auf beiden Seiten).

download von SAPROuter

SAPRouter findet man im Software Download Center und Support Packages & Patches, also unter service.sap.com/patches und dann im Pfad Entry by Application Group / Additional Components /( SAPROUTER / SAPROUTER 7.00 / <Plattform>.

installation von SAPRouter

unter UNIX

Wir legen das Verzeichnis /usr/sap/saprouter an und downloaden die neuste Version von SAPROUTER. Wir extrahieren mit dem Tool SAPCAR das PAket saproouter*.SAR und kopieren und die dort enthatlenen Binaries niping und saprouter in das Verzeichnis /usr/sap/saprouter.

Falls der SAProuter auf der selben Maschien laufen soll wie eine SAP-instanzn, fügt man in die Datei /usr/sap/<SID>/SYS/exe/run/startspa folgende Zeilen ein

#

# Start saprouter

#

SRDIR=/usr/sap/saprouter

if [ -f $SRDIR/saprouter ]  ; then

    echo “\nStarting saprouter Daemon “ | tee -a $LOGFILE

    echo “—————————-“ | tee -a $LOGFILE

$SRDIR/saprouter -r -R $SRDIR/saprouttab  \

  | tee -a $LOGFILE &

fi

Im, normalfall jedoch läuft SAPRouter auf einem extra Rechner.

unter Linux

unter Windows

Wir müssen das Verzeichnis <Laufwerk>:\usr\sap\ anlegen. Wir extrahieren das saprouter*.SAR paket und kopieren die saprouter.exe und die niping.exe in das Verzeicznis.

Falls der SAPROUTER Esxervice in der vergangenheit bereits als srvany.exe eingetragen wurd,e entfernens eid ie Definition des SErviecs aus der registry und booten den REchner neu

Nun defnieren wir den Service mit folgendem Befehl

ntscmgr install SAProuter -b …\saprouter\saprouter.exe -p “service -r <parameter>“. Die punkte stehne für <laufkwerk>:\usr\sap

parameter steht für PAramter, mit denen saprouter gestartet werden soll.

Im Dienste-control-Panel sollte man noch einstellen, dass SAPRouter-Service nicht mit dem SYSTEM-Account läuft, sondern mt einem anderen User

Um die Fehlermeldung “The description for Event ID (0)” im Windows NT Eventlog zu vermeiden, müssen Sie in der Registry noch folgendes eintragen: Legen Sie unter HKEY_LOCAL_MACHINE   SYSTEM  CurrentControlSet Services Eventlog Application den Key saprouter an und definieren darunter die folgenden Values:

EventMessageFile (REG_SZ): ….\saprouter\saprouter.exe

TypesSupported (REG_DWORD): 0x7

Die Route-Permission-Tabelle

Die Route-Permission-Tabell bestimmt, welche Verbindungen SAPROUter später zulassen wird, und wird im Ordner /usr/sap/saprouter gepflegt. Die Datei sollte saprouttab heißen, also legen wir diese Datei an

touch /usr/sap/saprouttab

Unter Windows wird die saprouttab stnadarmdäßig im C:\WINDOWs\system32\-Ordern gepflegt. Das ist etwas umständlich und sollte mit einem anderen Pfad passieren. den anderen Pfad kann man beim Starten von SAprouter mit der Option -R angeben.

die Route-permission-Tabelle enthält die Hostnamen und Portnummern des vorgänger- und Nachfolgerpunktes der route aus Sicht des Saprouters sowei die Kennwörter, die für die herstellung der Verbindung erforderlich sind. Mit der tabelle wird festgelegt, welche Verbidnungen über den SAPROUTEr erlaubt sind und welche verboten sind. Desweiteren wird festgelegt, ob und welche SNC-verbindungen aufgebaut werden.

Standardeinträge in der Route-Permission-Tabelle sehen so aus:

<P|S|D> <quell-host> <zielhost> <zielport> <Passwort>

Quellhost und Zielhost können jeweils SAProuter sein.

Der erste ausdruck sagt etwas darüber aus, was mit der Verbindung passieren soll

  • P = Permit – Verbindung erlauben. Permit Einträge können ein Kennwort enthalten. SAPRoute prüft dann, ob das Kennwort mit dem vom Client gesendeten übereinstimmt. Direkt nach dem P kann man noch eingeben, wie viele SAProuter höchsten vor und nach diesem auf der route sein dürfen, damit die Verbidnung gezulssen wird: P<v>,<n>, wobei v für die maximael Anzahl vor dem Route rsteht und n für died maximale Anzahl danach.
  • S – Secure – elraubt nur Verbindungen mit SAP-Rptokoll (NI) verwendedn. Verbindungen mit Anderen Protokollen, etwa TCP, werden nicht zugelassen. mit S<v>,<n> können wieder maximale Anzahl von Vorgänger und nachfolgeroutern angegebenm werden
  • D = Deny – Verbindung ablehnen.

Der Quellhost its dedr Rechner, von dem die Verbindung aus Sicht des SAPRouter skommt. Da kann ein Hostname, eine Ip-ADresse oder ein IP-Subnetz stehen.

Bei Zielhost kommt der rechner hin, an den aus Sciht des SAProuters die Verbindung hingegen soll. Auch hier kann ein Hostname, eine IP oder ein IP-subnetz stehen.

beim Zielport kommt der Port des dienstse ein, der erreicht werden soll. Hier kann man auch Port-Ranges angeben, indem man den die beiden grenzen des Portbereichs im Format <Anfang>.<Ende> hinschreibt, also z. B. 3200.3298.

Neben den STandardeinträgen gibt es noch sogenannte SNC-Einträge. Diese fangen mit dem Buchstbaen K an.

Es gibt zwei Arten von SNC-Einträgen

  • KT-Einträge (Key Target). Hier wird entschiedne, wleche Verbidnungen SNC-verbindungen sein sollen. Das kann sowhl für eingehende als auch für ausgehende verbindungen vom SAProuter aus gesehen festgelegt werden. Die Syntax für eingehende Verbidnungen ist KT <SNCName Quellhost> <Quellhost> <Quelldienstport>. Das heißt, dass Verbidnugnen, die von dem Quellhost mit dem Quellport durch den SNCNamen <SNCName Quellhost> kommen, SNC-Verbidnugnen sein sollen. hiermit kann der Kunde z. b festlegen, dass Servicevebrindunge von SAP zu ihm SNC-Verbindungen sein müssen.Für ausgehnde Verbindungen ist die Syntax KT <SNCname zielhost> <Zielhost> <Zieldienst>.

Damit SNC-vebrindugnen überhaupt möglich sind, muss der SAPRouter mit der Option -K gestaretet worden sein, und die Route-permission-Tabelle muss entsprechende KT-Eitnmräge enthalten.

  • KD, KP und KS-Einträge. sie haben die snytax K<D|P|S> <SncName quellhost> <zielhost> <zieldienst> <Kennwort>. das beduetet, dass die verschlüssellte SNC-Vebrindung von <SNCName quell<host> über SAProuter nach <Zielhost> <Zieldienstport> genua dann afugbeaut wird, wenn im Route String das korrkete Kennwort enthalten ist.

Der SAPROuter wertet die Route-permission-Tabelle nach bestimmten Regeln aus, die es bei der Erstellung der tabelle zu beachten gibt.

First Match

der erste eintrag in der route-permission-Tablele, für den Quell-Adresse, ziel-aDresse und zielport passen, ist maßgebend. auch wenn es danach noch Einträge gäbe, die auch auf die Route passen würden.

No match

Existiert für einen Route String kein passender eintra gin der tbaelle, wrid ide vebirndung zurückgewiesen, das vehralten sit aso, als wäre die letzte Zeile ein

D * * *

ausnahem bei Wildcards

Wenn nach dem SAprouter kein weiterer Saprouter auf der route kommt und der service kein SAp-Service (kein SAP-rpotkoll) ist, funktioniert die wildcard („*“) bei dem SErvice nicht. Dei Verbidnugn wird nur erlaubt, wenn der nicht-SAP-Service explizit angegeben wird. Um bspw. eine telnet verbindung zu erlauben, muss beim zielport ein telnet stehen – oder eine 23, weil das der port wäre.

Btw: aus sicherheitsgründen ist es Empfohen, in P- oder S-Zeilen keine Widlcards für Zielrechner und zielport zu verwenden.

Subnetze

Subnetze funktoinieren nach folgendem schema

156.56.*.*

Alle Hostadressen, die mit 156.56 beginnen

133.27.17.*

Alle Hostadressen, die mit 133.27.17 beginnen

133.27.16.0/24

Alle Hostadressen, die mit 133.27.16 beginnen (0/24 am Ende bedeutet, dass sie ersten 24 Bit relevant sind, also die ersten drei Blöcke)

156.56.1011xxxx.*

Alle Hostadressen von 156.56.176.* bis 156.56.191.*.

(Binäre Interpretation des dritten Byte der Adresse. ‘x’ ist ein frei wählbarer binärer Wert (1 oder 0).)

Hier ein Beispiel einer route-permission-Tabelle

hier ein Beispiel mit SNC

die SAP Infoseite über SAPRouter befindet sich hier

Starten von SAProuter

Vor dem Starten von SAPROUTEr sollte man Testen, ob es Netzwerkprobleme gibt. Folgendermaßen kann man die Funktoinalität testen, um zu prüfen ob die SAPROUTER Grundkonfiguration passt.

 

Fenster 2 (host2)

Fenster 1 (host1)

Fenster 3 (host3)

ohne SAProuter

niping -s

 

niping -c -H host2

mit SAProuter

niping -s

saprouter -r

niping -c -H /H/host1/H/host2

Wenn über 800 Verbidnugne aufrecht erhatlen werden sollen, empfeihlt SAp das Nachstarten von neuen Saprouter-Prozessen mit der Option -Y <n>. Damit werdden die Verbindungen auf mehrere Prozesse aufgeteilt – womit eventuell die CPU des Systems besser ausgereizt wird. Und: wenn ein Prozess abstürzt, betrifft es nicht gleich alle Verbindungen. Grundsätzlich gilt: ein SAPRouter pro500 Verbidnungen. Für 3000 Benutzer werden also 6 SAPRouter-Prozesse

host 1: SAPROUTEr-Rechner

host 2: Testserver

host 3: Testclient

ein Selbsttest für einen lokalen Host kann man mit niping -t durchführen.

Jeder dieser Prozesse benötigt etwa 4, MB speicher und 9% einer 2-Wege-HTT-3-Ghz-CPU, also insgesamt würden die Prozesse 30 MB speicher und 55% der CPU beanspruchen. Die empfohlene hardware für einen SAProuter mit 3000 paralllelen Verbindungen und etwa 8 kB Datentransfer pro Verbindung (Bildschirmwechsel in der SAPGui) were empfohlen:

  • schnelle netzwerkadapter
  • 2 Hyper-threading (HTT) CPUs mit 2 GHz Taktfrequenz
  • 512 MB RAM
  • 50 MB freier Festpalttenspeicherplatz

mit der option -C klönnen wir die Anztahl der maximalen Verbindungen auf 500 setzen. Dann wird bei der 501. Verbindung automatisch ein neuer SAPROUTER gestartet.

Unsere Startzeile schaut bisher so aus

saprouter -r -Y 0 -C 500

mit der Option -K erlaubven wir SNC-Verbindungen

saprouter -rK -Y 0 -C 500

 Einen OSS-Zugang beantragen

Damit der SAP Support auf ihr System kommt, müssen Sie für ihren SAPROUTEr ein OSS-Zertifikat beantragen. sie können SAP mit dem SAP Meldungsassistenten kontaktieren und darum bitten.

Der Wortlaut könnt sein

Sehr geehrte damen und Herren,

hiermit beantrgen wir ein SAProuter-zeritfikat für einen SNC-OSS-Zugang.

Hier die Daten unserer SAProuter-installation

<IP-Adresse des SAProuters>

<Hostname des SAProuters>

Der SAP Support antwortet ihnen dann, indem er ihnen die nötigen Ip-Adressen mitteilt.

Jetzt müsst ihr, damit die SNC-Verbdnung klappt,die sapcrypto Library in den SAPRouter integrieren.

https://websmp208.sap-ag.de/internetconnection

Zuerst müssen wir die Software herunterladen. Das geht über https://websmp208.sap-ag.de/saprouter-sncadd im Punkt SAP crypotgraphic Software. Bevor man die Software herunterlädt müssen folgende Voraussetzungen erfüllt sein:

  • SAP hat in seiner Antwort die Genehmigung erteilt, die Software herunterzuladen. Dazu braucht SAP wiederum die Genehmigung des bundesausfuhramtes, das SAPRouter unter einer Exportbeschränkugen besteht. SAP braucht erst die Genehmig des Bundesausfuhramtes und kann dann erst die Cryptolib-Software auf dem Firmenaccount eures Unternehmens freischalten. Dementsprechend ist es auch untersagt, die sapcryptolib unterlaubt weiterzugeben.
  • Man muss den Bestimmungen zustimmen

danach wird man weitergeleitet und kann die Datei sypcrypto.car herunterladen. diese kopieren wir in das Verzeihcnis, in welchem die saprouter-binary liegt. wir entapcken das Paket mit SAPCAR oder CAR.exe mittels car -xvf SAPCRYPOT.CAR. es erscheinten die Dateien [lib]sapcrypto[.so|dll|sl], sapgenpse[.exe] und die Datei ticket.

 

Jetzht müssen wir einen Zertifikatsrequest erstellen.

Dazu setzen wir als user <snc>adm die Ujmgebungsvariablen

SECUDIR = <SAprouter-Verzeichnis>

wir wechseln nun zu dem Alias SAPROUTER-SNCADD. Hier kann man asu einer Lsite, der für unsere installation registrieren SAProuter den Distinguides nmame auswählen. Man findet den Distinguished name in der spalte mit der übnerschrift Parameter.

Jetzt generieren wir mit folgendem Befehl das Zertifikatsrequest.

sapgenpse get_pse -v -r certreq -p local.pse "<Dinstinguished Name>"

Wir werden hier zweimal nach einer PIN gefragt. Wenn wir eine PIN genutzen wollen können wir diese frei wählen. Jedesmla, wenn wir died PSe benutzen wollen müssen wir dann diese PIN eingeben. Oder wir können die PIN-Afbrage mit Enter überspringen, dann kann die PSe ohne Pin benutzt werden.

alternativ kann man die foglenden Befehle zusammen verwenden.

sapgenpse get_pse -v -noreq  -p local.pse "<Distinguished Name>"
sapgenpse get_pse -v -onlyreq -r certreq -p local.pse 

Wir ezigen den inhalt der Datei certreq an und übernehmen ihn per copy&paste ion den vorgesehenn Beriehce auf er Seite, von der wir den Distinguished name kopier thaben.

Als Antwort erhatle wir eine Seite mit einem Zeritifkat, das von der CAim Service Marketplace signiert wurde. wir kopieren diesen Text in eine lokale Datei mit dem Namen srcert

Wir können jetzt durhc foglendne Afuruf das Zertifikat in den SAProuter installierne

sapgenpse import_own_cert -c srcert -p local.pse

Mimt demsleben Programm müssen wir jetzt die Credentials für dne SAProuter erstellen. Die Kommandozeilenoptoipn -o dient der angabe eines Benutzernamens, für den man die Credentials erstellen will. Lassen wir die optionw eg, dann generiert da sprogramm die Credentials für den bnuetzer, mit dem man beim Aufruf des Programms angemldet ist

sapgenpse seclogin -p local.pse -O <username>

Wenn wir etwa als Bneuzter ServerAdmin angemeldet sind, und saprouter aber unter dem Benutzerkonto saprouter_admin laufen soll, müssen wir saprouter_admin als Benutzernamen angeben.

Nun wird eine Datei n amens cred_v2 erzeugt. Diese Datie sollte nur für den user unter dem SAProuter läuft zugreifbar sein, also chmod 600.

wir überprüfen, ob das Zeritfikat erfoglreich importiert wurde

sapgenpse get_my_name -v -n Issuer

Der name des ausstellers sollte dann als „CN=SAProuter CA,OU=SAProuter,O=SAP,C=DE“ angezeigt werden.

fallsd as nicht der fall ist, die Datei cred_v2 und local.pse löschen und nochmal anfangen.

gut, jetzt müssen wir noch ein paar Schritte zum Abschluss durchführen.

Auf dem user, unbter dem SAprouter später läuft, müssen wir die Umgebungsvariable SNC_LIB setzen.

UNIX<pfad_zu_libsecude>/<name_der_sapcrypto_library>
Windows NT, Windows 2000<drive>:\<pfad_zu_libsecude>\<name_der_sapcrypto_library>

Wir müssen dann überprüfen, ob die umgebugn dieses Users die Umgebungsvariabel SNC_LIB enthält. Unter unix geht das mit dem Befehl printenvi.

mwir m,üssen SAProuter mit deme ntpsrechenden Befehl starten.

saprouter -r -S <port> -K „p:<Distingushed Name>“

Die zugehröige saprouttab sollte zumindest die folgenden Einträge enthatlen.

# inbound connections MUST use SNC
KP "p:CN=sapserv2, OU=SAProuter, O=SAP, C=DE" <your_server1> <port_number>
# repeat this for the servers and port_numbers you will need to allow,
# please make sure that all explicit ports are inserted in front of a
# generic entry '*' for port_number
 
# outbound connections to <sapservX> will use SNC
KT "p:CN=sapserv2 OU=SAProuter, O=SAP, C=DE" <sapservX> <sapservX_inbound_port>
 
# permission entries to check if connection is allowed at all
P <IP address of a local host> <IP address of sapserv2>
 
# all other connections will be denied
D  * * *

die SAProutertab für eine SNc-verschlüsselte Verbidnugn zu SAProuter auf sapserv2 194.39.131.34 sähe dann bspw. so aus

# SNC-connection from and to SAP
KT „p:CN=sapserv2, OU=SAProuter, O=SAP, C=DE“ 194.39.131.34 *

# SNC-connection from SAP to local R/3-System for Support
KP „p:CN=sapserv2, OU=SAProuter, O=SAP, C=DE“ <R/3-Server> <R/3-Instance>

# SNC-connection from SAP to local R/3-System for NetMeeting, if it is needed
KP „p:CN=sapserv2, OU=SAProuter, O=SAP, C=DE“ <R/3-Server> 1503

# SNC-connection from SAP to local R/3-System for saptelnet, if it is needed
KP „p:CN=sapserv2, OU=SAProuter, O=SAP, C=DE“ <R/3-Server> 23

# Access from the local Network to SAPNet – R/3 Frontend (OSS)
P <IP-addess of a local PC> 194.39.131.34 3299

# deny all other connections
D * * *

 

Andreas Loibl ist SAP-Berater, Ethical Hacker und Online Marketing Manager und schreibt auf seinem Blog DaFRK Blog über verschiedene Themen in den Sektoren Projektmanagement, Informationstechnik, Persönlichkeitsentwicklung, Finanzen und Zeitmanagement.

DaFRK

Andreas Loibl ist SAP-Berater, Ethical Hacker und Online Marketing Manager und schreibt auf seinem Blog DaFRK Blog über verschiedene Themen in den Sektoren Projektmanagement, Informationstechnik, Persönlichkeitsentwicklung, Finanzen und Zeitmanagement.

Das könnte Dich auch interessieren...

1 Antwort

  1. 1. Juni 2015

    […] wann da überhaupt etwas reingehört und wozu man das braucht, schaut ihr euch am besten meinen SAPROUTER-Post […]

Kommentar verfassen

This site uses Akismet to reduce spam. Learn how your comment data is processed.