- Configuracin AD
Para la configuracin del SSO necesitamos realizar previamente una serie de actividades en el Active Directory, las cuales detallaremos a continuacin. Requisitos: Se debe contar con la instalacin de Las Herramientas de soporte tcnico de Windows, caso contrario se deben instalar. En caso de no contar con ellas, se debe ejecutar el archivo Suptools.msi que se encuentra en la carpeta Support\Tools del CD del Service Pack 1 de Windows Server 2003. Pasos: 1. Crear la cuenta SAPService<SID1> en el <Controlador_de_Dominio>, utilizando la password del mismo usuario. 2. Exportar el keytab(archivo de claves kerbero) para esta cuenta
ktpass.exe -princ SAPService<SID>/<my.org>@<MY.ORG> -mapuser SAPService<SID> -pass <sap_service_password> -out SAPService<SID>.keytab
3. Transferir el archivo generado de forma segura al host Unix, al directorio home del usuario <sid>adm.
SID: Identificador del Sistema SAP contra el cual se trabajara, por ejemplo R3P
Pasos: 1. Descargar el archivo krb5-1.3.4.tgz desde http://web.mit.edu/kerberos/www/ (en caso de existir una nueva versin, se puede descargar) 2. Descomprimir y compilar como librera compartida:
tar xvzf krb5-1.3.4.tgz cd krb5-1.3.4/src ./configure enable-shared
con HP-UNIX probar lo siguiente: .configure -disable-shared -enable-static --disabled-thread-support make then do as root: make install
[libdefaults] default_realm = <MY.ORG> [realms] <MY.ORG> = { kdc = <domain_controller>:88 admin_server = <domain_controller>:749 default_domain = <my.org> } [domain_realm] <ou>.<my.org> = <MY.ORG> .<ou>.<my.org> = <MY.ORG> <my.org> = <MY.ORG> .<my.org> = <MY.ORG>
http://www.sap.com/partners/icc/scenarios/technology/bc-snc.aspx
4. Modificar sncadapt/build.<UNIX_SO>
VENLIB="-L/usr/local/lib -lgssapi_krb5"
5. Compilar esto:
cd sncadapt make
y 6.
0 0,6,12,18 * * * /usr/local/bin/kinit k -t SAPService<SID>.keytab SAPService<SID>/<my.org>@<MY.ORG> Con esto se refrescaran los tickets cada 6 horas. 4. Logon en el sistema SAP usando el SAP GUI. 5. Editar los Profiles(RZ10): a. Editar Instance Profile b. Editar Profile c. Extended Maintenance d. Modificar
f.
Guardar
6. Asignar identidades SNC a los usuarios SAP (SU01). Despus de elegir el usuario SAP, se debera ver que el Tab de SNC ha sido activado. Haga clic en l y para el <usuario> Windows en el dominio del AD <my.org> "Nombre del SNC"el principal p: <usuario> @ <MY .ORG> 7. Guardar 8. Reiniciar el Servidor SAP para activar el SSO:
Stopsap r3 && starsap r3
2.4.- Configuracin del Cliente Windows para usar SSO con el Servidor SAP en Unix
Requisitos Se necesita el archivo gsskrb5.dll. Pasos: 1. Para iniciar SAP GUI en modo testing, entrar a la consola (cmd.exe) Set SNC_LIB=<path_gss_wrapper_lib>sskrb5.dll Sapgui.exe /H/<host>.<ou>.<my_org>/S/3200/snc=p:SAPService<SID>/<my.org>@<MY.ORG > 2. Copiar gsskrb5.dll a %systemroot\SYSTEM32\sncgss32.dll ya que esta es la ruta en que SAP Logon y SAP GUI lo buscan.
Copy gsskrb5.dll %systemroot\SYSTEM32\sncgss32.dll
3. Seleccionar en el SAP Logon, la entrada que hace referencia al Sistema que se encuentra en Servidor Unix. a. Click en Propiedades b. Ms c. Activar el checkbox del SNC d. En el campo SNC-Name, escribir p:SAPService<SID>/<my.org>@<MY.ORG> e. Seleccionar Max. Available f. Guardar