Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Глава 5: Реализация решения
Опубликовано 11 мая 2004 | Обновлено 26 июня 2006
В предыдущих главах данной статьи приведены сведения, необходимые для понимания организационных и технических требований к реализации решений по двум вариантам идентификации пользователей в компании Contoso (обеспечение возможности идентификации пользователей на рабочих станциях UNIX по службе каталогов Microsoft® Active Directory® и настройка сервера приложений SAP R/3 на идентификацию пользователей с использованием средств Active Directory). В данной главе приводятся инструкции по реализации этих решений.
Необходимые условия реализации решений и инструкции по реализации решений можно проверить, следуя указаниям из главы 6 "Проверка решения".
На этой странице
Программные средства и шаблоны Интеграция рабочих станций UNIX со средствами Active Directory Идентификация пользователей на сервере приложений SAP R/3 с использованием средств Active Directory по протоколу Kerberos
Программные средства и шаблоны
В предлагаемый для скачивания пакет управления идентификаторами и доступом входит инсталлятор программных средств и шаблонов - файл Identity and Access Management Tools and Templates.msi. Среди средств и шаблонов этого пакета имеются текстовые скрипты, примеры программного кода и конфигурационные файлы, относящиеся к управлению идентификаторами и доступом, но нет исполняемых или оттранслированных программ.
Примечание Примеры кода приведены лишь в целях иллюстрации возможностей. Перед использованием этих средств и шаблонов в реальных производственных условиях следует их изучить, изменить под свои требования и испытать.
После запуска инсталлятора создается несколько папок, структура которых похожа на изображенную на рисунке 5.1, в зависимости от места установки пакета.
.gif)
Рисунок 5.1. Структура папок программных средств и шаблонов
В рамках данной инструкции предполагается, что пакет программных средств и шаблонов установлен по умолчанию в каталог %UserProfile%\My Documents\Identity and Access Management Tools and Templates. При установке пакета в другую папку необходимо использовать соответствующий путь при всех действиях, описанных в данном документе.
Примечание В некоторых случаях при установке этого пакета программных средств и шаблонов могут возникать ошибки. Дополнительные сведения о таких ошибках приведены в файле Readme.htm, входящем в комплект документации по управлению идентификаторами и доступом.
Папка: UNIX
Таблица 5.1. Папка в ОС UNIX
| Наименование файла | Назначение |
|---|---|
| krb5.conf | На примере этого файла показан способ задания конфигурации протокола аутентификации Kerberos версии 5 на рабочих станциях Sun Solaris версии 9. |
| pam.conf | На примере этого файла показан способ задания конфигурации службы PAM, обеспечивающей поддержку протокола Kerberos версии 5. |
<table style="border:1px solid black;">
<colgroup>
<col width="50%" />
<col width="50%" />
</colgroup>
<thead>
<tr class="header">
<th style="border:1px solid black;" >Name</th>
<th style="border:1px solid black;" >Address or domain</th>
</tr>
</thead>
<tbody>
<tr class="odd">
<td style="border:1px solid black;">domain</td>
<td style="border:1px solid black;">na.corp.contoso.com</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">nameserver</td>
<td style="border:1px solid black;">10.1.11.32</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">search</td>
<td style="border:1px solid black;">na.corp.contoso.com</td>
</tr>
</tbody>
</table>
Обеспечить получение рабочими станциями UNIX IP-адресов, выдаваемых сервером DHCP в вашем домене.
Установить на рабочих станциях UNIX программный продукт Sun Enterprise Authentication Mechanism (SEAM) 1.0.1 (обычно поставляется в составе ОС Solaris 9).
Обеспечить синхронизацию часов рабочих станций UNIX с контроллерами доменов системы Active Directory.
Описание процедуры реализации решения
Этот вариант можно реализовать путем выполнения двух перечисленных ниже основных операций.
Создание учетной записи UNIX
Задание конфигурации рабочей станции UNIX
Создание учетной записи UNIX
Для создания в системе Active Directory учетных записей пользователей, соответствующих учетным записям на рабочих станциях Solaris 9, Компания Contoso выполнила несколько перечисленных ниже задач. Эти задачи можно адаптировать под конкретные требования вашей организации.
Задача 1: Добавление учетных записей пользователей UNIX в систему Active Directory
Задача 2: Создание учетных записей рабочих станций UNIX в системе Active Directory
Задача 3: Создание файлов keytab для рабочих станций UNIX
Внимание Учетные данные пользователей в Active Directory должны в точности совпадать с учетными данными пользователей на рабочих станциях UNIX, а имена пользователей в UNIX зависят от регистра клавиатуры.
Задача 1: Добавление учетных записей пользователей UNIX в систему Active Directory
Для осуществления этой задачи выполните следующие действия.
Для добавления учетной записи пользователя UNIX в систему Active Directory
Откройте консоль управления "Майкрософт" (MMC) для пользователей и компьютеров Active Directory с полномочиями, достаточными для изменения учетных записей пользователей.
На панели древовидной структуры консоли щелкните на подразделении Пользователей.
Щелкните правой кнопкой мыши на подразделении Пользователей, наведите курсор на пункт меню Новый, а затем щелкните пункт меню Пользователь.
В диалоговом окне Новый объект-Пользователь введите перечисленные ниже сведения (остальные поля оставьте без изменения).
Имя: <Имя_пользователя_ОС_Solaris>
Фамилия: <Фамилия_пользователя_ОС_Solaris>
Регистрационное имя пользователя: <Регистрационное_имя_пользователя_ОС_Solaris>
Регистрационное имя пользователя (в ОС старше Windows 2000): <Регистрационное_имя_пользователя_ОС_Solaris>
Щелкните кнопку Далее.
В диалоговом окне Новый объект-Пользователь введите перечисленные ниже сведения.
Пароль: <Буквенно_цифровой_пароль>
Подтверждение пароля: <Буквенно_цифровой_пароль>
Щелкните кнопку Далее, а затем щелкните кнопку Готово.
Задача 2: Создание учетных записей рабочих станций UNIX в системе Active Directory
Для создания в Active Directory учетной записи, соответствующей рабочей станции Solaris 9, выполните следующие действия.
Для создания учетных записей рабочих станций UNIX в системе Active Directory
Откройте консоль MMC пользователей и компьютеров Active Directory с полномочиями, достаточными для изменения учетных записей пользователей.
Щелкните правой кнопкой мыши на na.corp.contoso.com, наведите курсор на пункт меню Новый, а затем щелкните пункт меню Подразделение.
В диалоговом окне Новый объект-Подразделение введите Рабочие станцииSolaris, а затем щелкните кнопку Да.
Щелкните правой кнопкой мыши на элементе Рабочие станции Solaris, наведите курсор на пункт меню Новый, а затем щелкните пункт меню Пользователь.
В диалоговом окне Новый объект-Пользователь введите перечисленные ниже сведения (остальные поля оставьте без изменения).
Имя: <Имя_рабочей_станции_Solaris>
Регистрационное имя пользователя: <Имя_рабочей_станции_Solaris>
Регистрационное имя пользователя (в ОС старше Windows 2000): <Имя_рабочей_станции_Solaris>
В диалоговом окне Новый объект-Пользователь нажмите кнопку Далее и введите следующие сведения:
Пароль: <Буквенно_цифровой_пароль>
Подтверждение пароля: <Буквенно_цифровой_пароль>
В этом же диалоговом окне сбросьте флаг Пользователь должен изменить пароль при следующем входе в систему и установите флаг Бессрочный пароль.
Щелкните кнопку Далее, а затем щелкните кнопку Готово.
Задача 3: Создание файлов keytab для рабочих станций UNIX
При помощи утилиты ktpass.exe создайте файлы keytab для рабочих станций UNIX. В файле keytab содержится ключ, используемый протоколом Kerberos версии 5 для шифрования запросов мандатов.
Примечание Утилита ktpass.exe включена в состав вспомогательных программных средств, предоставляемых на компакт-диске Windows Server 2003.
Для создания файлов keytab для рабочих станций UNIX выполните перечисленные ниже действия.
Для создания файла keytab для рабочей станции UNIX
Войдите в систему контроллера домена с привилегиями администратора.
Щелкните кнопку Пуск, щелкните Выполнить, введите cmd и нажмите клавишу ENTER, после чего откроется окно командной строки.
С командной строки запустите утилиту ktpass с указанными ниже параметрами и переключателями, внеся в них следующие изменения.
Вместо параметра <Solaris_Workstation_Name> укажите имя рабочей станции Solaris, введенное при выполнении задачи 2 на шаге 5.
Вместо параметров NA.CORP.CONTOSO.COM и na.corp.contoso.com укажите домен, в котором создана учетная запись рабочей станции Solaris.
Вместо параметра password укажите пароль, введенный при выполнении задачи 2 на шаге 6, как показано на следующем примере.
Примечание Для облегчения восприятия некоторые параметры показанной ниже команды перенесены на другие строки.
ktpass -princ host/<Solaris_Workstation_Name>.na.corp.contoso.com@ NA.CORP.CONTOSO.COM -mapuser <Solaris_Workstation_Name> -pass password -out <Solaris_Workstation_Name>.keytab
4. Нажмите клавишу **ENTER**, после чего на экран должны быть выведены показанные ниже сведения.
**Примечание** Для облегчения восприятия эти сведения разбиты на несколько строк.
```
Targeting domain controller: GRNCDC01.na.corp.contoso.com Successfully mapped host/ Solaris\_Workstation\_Name.na.corp.contoso.com to Solaris\_Workstation\_Name. Key created. Output keytab to Solaris\_Workstation\_Name.keytab: Keytab version: 0x502 keysize 79 host/ Solaris\_Workstation\_Name.na.corp.contoso.com@ NA.CORP.CONTOSO.COM ptype 1 (KRB5\_NT\_PRINCIPAL) vno 3 etype 0x3 (DES-CBC-MD5) keylength 8 (0x0e9bd5da314f5bad) Account Solaris\_Workstation\_Name has been set for DES-only encryption.
Задание конфигурации рабочей станции UNIX
Компания Contoso выполнила перечисленные ниже задачи по заданию конфигурации протокола Kerberos версии 5 на рабочих станциях UNIX. Эти задачи можно адаптировать под конкретные требования вашей организации.
Задача 1: Установка файла keytab на рабочей станции UNIX
Задача 2: Внесение изменений в файл pam.conf
Задача 3: Внесение изменений в файл krb5.conf
Задача 4: Удаление паролей пользователей на рабочей станции UNIX
Задача 1: Установка файла keytab на рабочей станции UNIX
Для осуществления этой задачи выполните следующие действия.
Для установки файла keytab на рабочей станции UNIX
Перешлите по протоколу FTP файл keytab, созданный на контроллере домена, на рабочую станцию UNIX, работающую под операционной системой Solaris 9.
Важно При пересылке этого файла осуществляется обмен данными между компьютером, работающим под ОС Windows Server 2003, и хостом с ОС Solaris 9, поэтому режим передачи данных в ходе этой FTP-сессии должен быть binary (8-битовая передача).
Войдите на рабочую станцию UNIX как root (администратор).
Проверьте, установлена ли служба DNS. В файле /etc/resolv.conf должна быть следующая запись.
domain na.corp.contoso.com nameserver 10.1.103.13
4. В системной командной оболочке введите **ktutil** и нажмите клавишу **ENTER**.
5. В ответ на приглашение **ktutil:** введите **rkt Имя\_рабочей\_станции\_Solaris.keytab** и нажмите клавишу **ENTER**.
6. В ответ на приглашение **ktutil:** введите **list** и нажмите клавишу **ENTER**, после чего на экран должны быть выведены следующие сведения.
```
ktutil: list slot KVNO Principal 1 3 host/ffl-na-sun-01.na.corp.contoso.com@NA.CORP.CONTOSO.COM
В ответ на приглашение ktutil: введите wkt /etc/krb5/krb5.keytab и нажмите клавишу ENTER.
В ответ на приглашение ktutil: введите q и нажмите клавишу ENTER.
Задача 2: Внесение изменений в файл pam.conf
Для внесения изменений в конфигурационный файл подключаемого модуля идентификации пользователей (PAM) pam.conf, который компания Contoso использует для обеспечения идентификации по протоколу Kerberos версии 5, выполните следующие действия.
Для внесения изменений в файл pam.conf
Войдите на рабочую станцию UNIX как root (администратор)
Создайте резервную копию исходного файла /etc/pam.conf и дайте ей название /etc/pam.conf.old.
В папке Tools and Templates, скачиваемой вместе с данной статьей, находится образец файла pam.conf, используемого на рабочей станции UNIX для обеспечения идентификации пользователей по протоколу Kerberos версии 5.
Скопируйте этот файл на рабочую станцию UNIX или внесите изменения в существующий файл /etc/pam.conf, чтобы перечисленные ниже строки в этих двух файлах были одинаковыми.
# # PAM configuration # # # Contoso's pam.conf to enable Kerberos # # Authentication # other auth sufficient pam_krb5.so.1 other auth sufficient pam_unix.so.1 try_first_pass # # Password # other password sufficient pam_krb5.so.1 other password sufficient pam_unix.so.1 # # Account # other account optional pam_krb5.so.1 other account optional pam_unix.so.1 # # session # other session optional pam_krb5.so.1 other session optional pam_unix.so.1
##### Задача 3: Внесение изменений в файл krb5.conf
Файл **krb5.conf** используется для задания параметров по умолчанию для протокола Kerberos на рабочей станции UNIX. Компания Contoso внесла в этот файл адрес узла KDC на ОС Windows Server 2003 и доменный адрес na.corp.contoso.com для области адресов узлов с ОС Windows Server 2003.
Для внесения в этот файл изменений, соответствующих требованиям вашей организации, выполните следующие действия.
**Для внесения изменений в файл krb5.conf**
1. Войдите на рабочую станцию UNIX как **root** (администратор)
2. Создайте резервную копию исходного файла **/etc/krb5/krb5.conf** и дайте ей название **/etc/krb5/krb5.conf.old**
3. Внесите отвечающие вашим условиям изменения в файл **krb5.conf**, находящийся в папке программных средств и шаблонов, скачиваемой вместе с данной статьей, а затем скопируйте его в файл **/etc/krb5/krb5.conf** на рабочей станции UNIX. Ниже приведен пример использованных компанией Contoso данных для этого файла:
**Примечание** Для облегчения восприятия эти данные разбиты на несколько строк.
```
\[libdefaults\] default\_realm = NA.CORP.CONTOSO.COM \[realms\] NA.CORP.CONTOSO.COM = { kdc = ffl-na-dc-01.na.corp.contoso.com admin\_server = ffl-na-dc-01.na.corp.contoso.com kpasswd\_protocol = SET\_CHANGE } \[domain\_realm\] .na.corp.contoso.com = NA.CORP.CONTOSO.COM \[logging\] default = FILE:/var/krb5/kdc.log kdc = FILE:/var/krb5/kdc.log kdc\_rotate = { \# How often to rotate kdc.log. Logs will get rotated \# no more \# often than the period, and less often if the KDC is \# not used\# frequently. period = 1d \# how many versions of kdc.log to keep around \# (kdc.log.0, kdc.log.1, ...) version = 10 } \[appdefaults\] kinit = { renewable = true forwardable= true } gkadmin = { help\_url = http://docs.sun.com:80/ab2/coll.384.1 /SEAM/@AB2PageView/1195 }
Убедитесь, что системные часы рабочей станции UNIX синхронизированы с часами контроллера домена. Выполните команду date на системе UNIX и команду time на контроллере домена с ОС Windows. С учетом возможных различий в установках часовых поясов скорректируйте время на системе UNIX, чтобы оно отличалось от значения времени на контроллере домена не более чем на 5 минут.
Важно Это требование налагается протоколом Kerberos версии 5. Рассогласование системных часов не должно превышать 5 минут.
Задача 4: Удаление паролей пользователей на рабочей станции UNIX
Если на рабочей станции UNIX имеется учетная запись с таким же именем пользователя, что и в Active Directory, то в файле /etc/shadow следует удалить пароль этого пользователя, так как он больше использоваться не будет.
Для осуществления этой задачи выполните следующие действия.
Для удаления паролей пользователей Active Directory на рабочей станции UNIX
Войдите на рабочую станцию UNIX как root (администратор)
Откройте в текстовом редакторе файл /etc/shadow.
Найдите запись для зарегистрированного в Active Directory пользователя и удалите всю строку с этой записью.
Конфигурирование рабочей станции UNIX под использование протокола Kerberos для идентификации пользователей, зарегистрированных в системе Active Directory, выполнено.
Корпорация "Майкрософт" рекомендует проверить правильность выполнения этих процедур путем прогона тестов, описанных в разделе "Проверка соблюдения необходимых условий" для варианта интеграции рабочей станции UNIX с системой Active Directory главы 6 "Проверка решения".
Идентификация пользователей на сервере приложений SAP R/3 с использованием средств Active Directory по протоколу Kerberos
Вложив средства в инфраструктуру Active Directory на базе ОС Windows Server 2003 Компания Contoso хочет обеспечить вход пользователей на сервер приложений SAP R/3 с прохождением процедуры идентификации только один раз (SSO). Для этого конфигурация процедуры идентификации пользователей между интерфейсными приложениями SAP и сервером приложений SAP R/3 должна обеспечивать использование протокола Kerberos версии 5.
Необходимые условия реализации данного решения
Для надлежащего функционирования такого решения необходимо создать базовую инфраструктуру, аналогичную инфраструктуре компании "Контозо", как описано в главе 4 "Разработка инфраструктуры" и главе 5 "Создание инфраструктуры" статьи "Платформа и инфраструктура", входящей в данный комплект документации.
- Лес службы каталогов Microsoft Active Directory® для интрасети. В такую иерархическую структуру необходимо внести указанные компанией Contoso подразделения, группы и пользователи.
Перед выполнением задач, описываемых в данном разделе, необходимо выполнить следующие действия:
Убедитесь в том, что учетные записи пользователей сервера приложений SAP R/3 созданы в системе SAP.
Убедитесь в том, что для каждой учетной записи пользователя SAP в системе Active Directory интрасети имеется учетная запись Active Directory, обеспечивающая возможность сопоставления учетных записей и прохождение пользователями процедуры идентификации только один раз.
Описание процедуры реализации решения
Этот вариант можно реализовать путем выполнения следующих двух операций.
Конфигурирование сервера приложений SAP R/3
Конфигурирование графического интерфейса SAP в ОС Windows XP
Конфигурирование сервера приложений SAP R/3
Для конфигурирования сервера приложений SAP R/3 под использование протокола Kerberos версии 5 необходимо выполнить перечисленные ниже задачи. Эти задачи можно адаптировать под конкретные требования вашей организации.
Задача 1: Создание учетной записи службы SAP для запуска сервера приложений SAP R/3
Задача 2: Задание имени службы (SPN) для учетной записи пользователя SAP
Задача 3: Добавление учетной записи пользователя SAP в группу местных администраторов
Задача 4: Установка протокола Kerberos версии 5
Задача 5: Конфигурирование соединений SNC на сервере SAP R/3 под использование протокола Kerberos версии 5
Задача 6: Сопоставление учетных записей пользователей сервера приложений SAP R/3 с учетными записями в Active Directory
Задача 1: Создание учетной записи службы SAP для запуска сервера приложений SAP R/3
Для осуществления этой задачи выполните следующие действия.
Для создания учетной записи службы SAP в системе Active Directory
Откройте консоль MMC пользователей и компьютеров Active Directory с полномочиями, достаточными для изменения учетных записей пользователей.
На панели древовидной структуры консоли щелкните правой кнопкой мыши на подразделении Пользователей, наведите курсор на пункт меню Новый, а затем щелкните пункт меню Пользователь.
В диалоговом окне Новый объект-Пользователь введите перечисленные ниже сведения.
Имя: SAP
Фамилия: Logon
Регистрационное имя пользователя: sapacct@na.corp.contoso.com
Регистрационное имя пользователя (в ОС старше Windows 2000): sapacct
Примечание Все другие поля в этом диалоговом окне оставьте без изменения.
Щелкните Далее, а затем в диалоговом окне Новый объект-Пользователь введите следующие сведения:
Пароль: <Буквенно_цифровой_пароль>
Подтверждение пароля: <Буквенно_цифровой_пароль>
Задача 2: Задание имени SPN для учетной записи пользователя SAP
Для осуществления этой задачи выполните следующие действия.
Для задания имени SPN для учетной записи пользователя SAP
Найдите утилиту setspn.exe на компакт-диске Windows 2003 Server Resource Kit или скачайте ее со страницы Комплект дополнительных средств для Windows 2000: Setspn.exe.
Войдя в систему как администратор домена, введите с командной строки следующую команду: SETSPN -A SAPService/<имя хоста> NA\sapacct
Примечание Выполнение этой задачи на сервере Windows Server 2003 необходимо по той причине, что для учетных записей без имени SPN KDC использует межпользовательский (user2user) протокол Kerberos. Клиент SAP фактически не использует SPN при запросе мандатов службы Kerberos для сервера приложений SAP R/3, поэтому достаточно обеспечить соответствие основного имени пользователя службы SAP, входящего в состав имени SPN.
Задача 3: Добавление учетной записи службы SAP в группу местных администраторов
Для осуществления этой задачи выполните следующие действия.
Для добавления учетной записи службы SAP в группу местных администраторов
На сервере приложений SAP R/3 откройте консоль MMC для управления компьютерами с полномочиями администратора домена.
На панели древовидной структуры консоли дважды щелкните Системные средства, щелкните Местные пользователи и группы, а затем щелкните Группы.
Щелкните правой кнопкой мыши на группе Администраторы, а затем щелкните Добавить в группу.
В диалоговом окне Свойства администраторов щелкните Добавить.
В диалоговом окне Выбор пользователей, компьютеров или группы введите sapacct@na.corp.contoso.com в поле Введите названия выбираемых объектов (примеры).
Задача 4: Установка протокола Kerberos версии 5
Установка протокола Kerberos версии 5 на сервере приложений SAP R/3 осуществляется путем выполнения перечисленных ниже действий.
Примечание На установочном носителе SAP имеется версия двоичного файла gsskrb5.dll, но на машинах с ОС Windows Server 2003 и Microsoft Windows® XP необходимо использовать более свежую версию этого файла. Причина, по которой необходима свежая версия этого библиотечного файла, разъясняется в замечании №352295 компании SAP. К этому замечанию приложена и новая версия данного файла. Ее можно скачать. Доступ к замечаниям компании SAP можно получить, подключившись к онлайновой службе поддержки с зарегистрированным в SAP именем, или непосредственно на странице SAP Service Marketplace на веб-сайте компании SAP.
Для установки протокола Kerberos версии 5 на сервере приложений SAP R/3
Войдите на сервер приложений SAP R/3 как sapacct@na.corp.contoso.com
Скопируйте файл Gsskrb5.dll в папку %windir%\system32.
Щелкните Панель управления, а затем щелкните Система.
Щелкните вкладку Дополнительно, щелкните Переменные среды, а затем, в диалоговом окне Переменные среды под Системные переменные, щелкните Новая.
В диалоговом окне Новая системная переменная введите следующие сведения.
Имя переменной: SNC_LIB
Значение переменной: %windir%\system32\gsskrb5.dll
Примечание Эти значения переменных определяют расположение файла Gsskrb5.dll.
Задача 5: Конфигурирование соединения SNC под использование протокола Kerberos версии 5
После выполнения предыдущих задач можно приступить к конфигурированию возможностей связи по защищенной сети (SNC) сервера приложений SAP R/3 с использованием протокола Kerberos версии 5. С веб-сайта компании SAP можно скачать Руководство пользователя SNC.
Для осуществления этой задачи выполните следующие действия.
Для конфигурирования соединения SNC под использование протокола Kerberos версии 5
Войдите на сервер приложений SAP R/3 как sapacct@na.corp.contoso.com.
Примечание Имена пользователей сервера приложений SAP R/3 зависят от регистра клавиатуры. По этой причине при входе на сервер имя пользователя необходимо вводить в точном соответствии с учетной записью в Active Directory.
Откройте файл <Привод веб-сервера SAP R/3:>\MBS\MBS_D00.pfl при помощи блокнота (Notepad.exe) и допишите в этот файл следующие параметры.
#language zcsa/system_language = EN #Kerberos snc/enable =1 snc/accept_insecure_cpic =1 snc/accept_insecure_gui =1 snc/accept_insecure_r3int_rfc =1 snc/accept_insecure_rfc =1 snc/data_protection/max =1 snc/data_protection/min =1 snc/data_protection/use =1 # Location of the dll used for kerberos snc/gssapi_lib = C:\windows\system32\gsskrb5.dll snc/permit_insecure_start =1 # The Windows User Account used to run SAP Server snc/identity/as = p:sapacct@na.corp.contoso.com snc/r3int_rfc_secure = 0
**Примечание** Параметры в этом файле зависят от регистра клавиатуры. Например, значение параметра snc/identity/as =p:sapacct@na.corp.contoso.com зависит от регистра клавиатуры и должно соответствовать имени пользователя, зарегистрированного в Active Directory.
Вместо значения C:\\Windows параметру snc/gssapi\_lib необходимо присвоить значение точного пути к папке установленной ОС Windows.
Конфигурационный файл MBS\_D00.pfl должен заканчиваться символом перевода строки (пустой строкой). Если пустой строки в этом файле нет, то при запуске MBS выдаются предупреждения.
Если ОС установлена не в папку "C:\\Windows", то необходимо указать соответствующий каталог.
3. Для запуска системы SAP MBS дважды щелкните **<Привод веб-сервера SAP R/3>\\MBS\\runmbs.cmd**.
##### Задача 6: Сопоставление учетных записей пользователей SAP R/3 с учетными записями в Active Directory
После задания конфигурации сервера приложений SAP R/3 с использованием протокола Kerberos можно выполнить сопоставление учетных записей пользователей веб-сервера SAP R/3 с учетными записями пользователей в Active Directory.
Компания Contoso создала учетные записи Windows для всех пользователей своего веб-сервера SAP R/3. Операции из этой задачи можно адаптировать под конкретные требования вашей организации.
**Для сопоставления учетной записи пользователя sap1 на сервере SAP R/3 с учетной записью sap1@NA.CORP.CONTOSO.COM в Active Directory**
1. Войдите на сервер приложений SAP R/3 как **Administrator**
2. Перейдите в окно **User Maintenance: Initial Screen** (учетные записи пользователей: первое окно), введя код транзакции **SU01**.
3. В окне **User** (пользователь) введите имя пользователя сервера приложений SAP R/3 **sap1**.
4. Щелкните меню **User Names** (имена пользователей), щелкните **Change** (изменить) для появления окна **Maintain User screen** (учетная запись пользователя), а затем щелкните вкладку **SNC**.
5. В текстовом поле **SNC Name** (название SNC) введите **p:sap1@NA.CORP.CONTOSO.COM**
**Примечание** Помните, регистрационные данные пользователей веб-сервера SAP R/3 зависят от регистра клавиатуры. При сопоставлении имени пользователя веб-сервера SAP R/3 с данным регистрационным именем Active Directory для пользователя sap1 в домене NA.CORP.CONTOSO.COM необходимо, чтобы это имя в точности совпадало с соответствующим регистрационным именем в Active Directory.
6. Установите флаг **Unsecure Communication permitted (user-specific)** (разрешить незащищенное соединение (в зависимости от пользователя)).
7. Сохраните изменения, щелкнув **Save** (сохранить) на панели меню.
8. Для проверки допустимости канонического имени щелкните меню **User Names**, щелкните **Display** (вывести на экран), а затем щелкните **SNC**.
9. В окне свойств **SNC Data** рядом с сообщением **Canonical name determined** (каноническое имя определено) должна появиться "галочка".
После выполнения этой задачи конфигурирование SSO на сервере приложений SAP R/3 завершается.
#### Конфигурирование графического интерфейса SAP в ОС Windows XP
Компания Contoso намерена изменить конфигурацию своих клиентских машин с ОС Microsoft Windows XP, чтобы при входе на сервер приложений SAP R/3 использовать не протокол идентификации по умолчанию, а протокол Kerberos. Для выполнения этой задачи необходимо внести изменения в клиентскую часть графического интерфейса пользователя SAP с созданием профиля регистрации, поддерживающего протокол Kerberos. Пользователи системы смогут использовать этот профиль для подключения к серверу приложений SAP R/3.
Для конфигурирования клиентской части графического интерфейса пользователей SAP под использование протокола Kerberos версии 5 компания Contoso выполнила перечисленные ниже задачи. Эти задачи можно адаптировать под конкретные потребности вашей организации.
- Задача 1: Установка протокола Kerberos версии 5 для клиентской части графического интерфейса пользователей SAP
- Задача 2: Настройка процедуры входа пользователей с использованием протокола Kerberos версии 5
- Задача 3: Вход на сервер приложений SAP R/3 с использованием протокола Kerberos
##### Задача 1: Установка протокола Kerberos для клиентской части графического интерфейса пользователей SAP
Для осуществления этой задачи выполните следующие действия.
**Примечание** На установочном носителе SAP имеется двоичный файл **gsskrb5.dll**.
**Для установки протокола Kerberos для клиентской части графического интерфейса пользователей SAP**
1. Войдите на клиентскую машину с ОС Windows XP с правами местного администратора.
2. Скопируйте файл **Gsskrb5.dll** в папку **%windir%\\system32**.
3. Щелкните **Панель управления**, а затем щелкните **Система**.
4. Щелкните вкладку **Дополнительно**, щелкните **Переменные среды**, а затем, в диалоговом окне **Переменные среды** под **Системные переменные**, щелкните **Новая**.
5. В диалоговом окне **Новая системная переменная** введите следующие сведения.
**Имя переменной:** SNC\_LIB
**Значение переменной:** %windir%\\system32\\gsskrb5.dll
**Примечание** Эти значения переменных определяют расположение файла **Gsskrb5.dll**.
##### Задача 2: Настройка процедуры входа пользователей с использованием протокола Kerberos версии 5
Для осуществления этой задачи выполните следующие действия.
**Для настройки процедуры входа для пользователя sap1@NA.CORP.CONTOSO.COM с использованием протокола Kerberos версии 5**
1. Войдите на клиентскую машину с ОС Windows XP с правами местного администратора.
2. Откройте SAPlogon, а затем щелкните **New** (Новый).
3. В окне **New Entry** (новая запись) введите следующие сведения.
**Description:** (описание) <Мое\_название\_для\_соединения\_Kerberos>
**Application Server:** (сервер приложений) <Допустимое\_доменное\_имя\_для\_сервера\_приложений\_SAP\_R/3>
**System number:** (номер системы) 00
**Enable SAP System:** (Разрешить систему SAP) R/3
4. Щелкните **Advanced** (дополнительно) и на панели дополнительных опций установите флаг **Enable Secure Network Communication** (разрешить соединение по защищенной сети), а в поле **SNC Name** введите **p:sapacct@na.corp.contoso.com**.
**Примечание** Система SAP будет запущена под пользователем Active Directory с регистрационным именем sapacct из домена na.corp.contoso.com. Имена пользователей сервера приложений SAP R/3 зависят от регистра клавиатуры, поэтому имя пользователя для этой операции должно совпадать с именем пользователя, зарегистрированного в Active Directory.
5. Установите флаг **Max. available** (максимально возможное).
##### Задача 3: Вход на веб-сервер SAP R/3 с использованием протокола Kerberos
Для осуществления этой задачи выполните следующие действия.
**Для входа на сервер приложений SAP R/3 с использованием протокола Kerberos**
1. Войдите на клиентскую машину с ОС Windows XP как **sap1@na.corp.contoso.com**.
2. Откройте SAPlogon.
3. В окне **SAP Logon 620** выберите **<Мое\_название\_для\_соединения\_Kerberos>** и щелкните **Logon** (вход).
После выполнения этих действий вы должны войти на сервер приложений SAP R/3 без запроса пароля.
Эта процедура завершает выполнение задач по конфигурированию сервера приложений SAP R/3 под использование протокола Kerberos версии 5 в компании "Контозо". После этого рабочие станции с ОС Windows, подключающиеся к интерфейсным приложениям SAP, также смогут использовать протокол Kerberos. После того, как компания Contoso установит средства идентификации пользователей для этого решения, ее пользователи смогут регистрироваться в системе Active Directory со своих рабочих станций, а затем использовать свои учетные данные, зарегистрированные в Active Directory, для доступа к клиентским приложениям SAP.
**Скачать**
[Скачайте комплект документации "Майкрософт" по управлению идентификаторами и доступом](http://go.microsoft.com/fwlink/?linkid=14842)
**Уведомления об изменениях**
[Подпишитесь на рассылку уведомлений о выпуске изменений и новых редакций этого документа](http://go.microsoft.com/fwlink/?linkid=54982)
**Обратная связь**
[Сообщите нам свои замечания или предложения](mailto:secwish@microsoft.com?subject=microsoft%20identity%20and%20access%20management%20series)
[](#mainsection)[К началу страницы](#mainsection)