Nastavení saprouteru a zabezpečení pomocí SNC

Instalační balíčky

Instalační balíčky je možné stáhnout na stránkách SAPu. Jsou potřeba tři balíčky:

  1. SAPCAR (na rozbalení SAR archivů)
  2. SAPROUTER (samotný program saprouter)
  3. SAPCRYPTOLIB (nutné pro podporu zabezpečené komunikace – SNC)

Balíčky s příponou *.sar se musí rozbalit pomocí programu SAPCAR:

Dále je zapotřebí vytvořit následující složkovou strukturu ve /var/lib/saprouter/ a do ní zkopírovat libsapcrypto.so a sapgenpse vybalené z archivu sapcryptolib, výsledná struktura by měla vypadat takhle:

Vytvořit link pro binárku sapgenpse:

Vytvořit uživatele pod kterým bude spuštěn saprouter:

Nastavit proměnné pro sapgenpse vytvořením následujícího souboru /etc/profile.d/saprouter.sh:

Init script

SAP společně s binárkou saprouter bohužel nedodává init script, jak saprouter startovat po startu nechává na lidové tvořivosti. Zde je funkční init script pro RedHat 6.x který spouští saprouter pod dedikovaným uživatelem. Umí také provést reload saprouttabu.

Zajistit spouštění služby po startu systému:

Dále je dobré nastavit v /etc/sudoers přebírání proměnných které říkají kde je umístěna knihovna sapcryptolib a secudir (složka obsahující certifikát a úložiště privátního klíče):

Dále lze v sudoers povolit uživateli admin-saprouter pomocí příkazu sudo provádět restart saprouteru a generování certifikátu pomocí sapgenpse, podobným způsobem lze nastavit pro skupinu uživatelů:

Saprouttab a SNC komunikace

Pokud chcete aby saprouter komunikoval zabezpečeně je potřeba nastavit ho pro takzvanou SNC komunikaci. Tato komunikace je zabezpečena certifikátem. Proto aby vám SNC fungovalo potřebujete nakonfigurovat saprouter tak aby používal sapcryptolib a certifikát, který si vygenerujete na stránkách SAPu.

Generování certifikátu pro SNC

Všechno začíná návštěvou stránek SAPu kde po přihlášení můžete najít svoje DN (Your Distinguished Name). Toto jméno vyplníte do příkazu pomocí kterého vygenerujete privátní klíč a vaši žádost o podepsání certifikátu:

Nyní vezmete soubor umístěný v $SECUDIR a jmenující se cert do schránky a projdete procesem vystavění certifikátu na stránkách SAPu, kde bude potřeba tuto žádost o certifikát vložit. Po úspěšném absolvování tohoto procesu by jste měli získat certifikát podepsaný SAP autoritou, který lze naimportovat do souboru local.pse:

Posledním krokem je vytvoření souboru pro odemknutí úložiště (local.pse) pro uživatele saprouter (pro uživatele pod kterým poběží saprouter):

Následně je potřeba v init scriptu nastavit správné DN certifikátu a přepsat/vytvořit saprouttab do následující syntaxe:

Test spojení do OSS pomocí niping

Binární soubor niping je testovací program pro NI-Layer (dá se přirovnat k nástroji ping). Jestli je všechno správně nastavené tak lze pomocí nipingu vyzkoušet spojení na servery SAPu:

Tento návod budu postupně ještě doplňovat. V případě dotazů pište komentáře.

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *