Aracılığıyla paylaş

SNC kullanarak SAP veri bağlayıcısı için Microsoft Sentinel'i dağıtma

  • Makale

Bu makalede, Güvenli Ağ İletişimleri (SNC) kullanarak güvenli bir bağlantı üzerinden SAP NetWeaver ve SAP ABAP günlüklerini almak üzere SAP veri bağlayıcısı için Microsoft Sentinel'in nasıl dağıtılacağı gösterilmektedir.

SAP veri bağlayıcısı aracısı genellikle uzak işlev çağrısı (RFC) bağlantısı ve kimlik doğrulaması için kullanıcı adı ve parola kullanarak sap ABAP sunucusuna bağlanır.

Ancak, bazı ortamlar şifreli bir kanalda bağlantının yapılmasını ve bazı ortamların kimlik doğrulaması için istemci sertifikalarının kullanılmasını gerektirebilir. Böyle durumlarda, veri bağlayıcınızı güvenli bir şekilde bağlamak için SAP'den SNC kullanabilirsiniz. Bu makalede özetlenen adımları tamamlayın.

Önkoşullar

SNC kullanarak SAP veri bağlayıcısı için Microsoft Sentinel'i dağıtmak için şunları yapmanız gerekir:

  • SAP Şifreleme Kitaplığı.
  • Ağ bağlantısı. SNC, ABAP sunucusuna bağlanmak için 48xx numaralı bağlantı noktasını (burada xx SAP örnek numarasıdır) kullanır.
  • SNC kimlik doğrulamasını destekleyecek şekilde yapılandırılmış bir SAP sunucusu.
  • Kullanıcı kimlik doğrulaması için otomatik olarak imzalanan veya kurumsal sertifika yetkilisi (CA) tarafından verilen bir sertifika.

Not

Bu makalede SNC'yi yapılandırmaya yönelik örnek bir durum açıklanmaktadır. Üretim ortamında, dağıtım planı oluşturmak için SAP yöneticilerine danışmanızı kesinlikle öneririz.

Sunucu sertifikasını dışarı aktarma

Başlamak için sunucu sertifikasını dışarı aktarın:

  1. SAP istemcinizde oturum açın ve STRUST işlemini çalıştırın.

  2. Sol bölmede SNC SAPCryptolib'e gidin ve bölümü genişletin.

  3. Sistemi seçin ve konu için bir değer seçin.

    Sunucu sertifikası bilgileri Sertifika bölümünde gösterilir.

  4. Sertifikayı dışarı aktar'ı seçin.

    Screenshot that shows how to export a server certificate.

  5. Sertifikayı Dışarı Aktar iletişim kutusunda:

    1. Dosya biçimi için Base64'i seçin.

    2. Dosya Yolu'nu yanındaki çift kutu simgesini seçin.

    3. Sertifikayı dışarı aktarmak için bir dosya adı seçin.

    4. Sertifikayı dışarı aktarmak için yeşil onay işaretini seçin.

Sertifikanızı içeri aktarma

Bu bölümde, ABAP sunucunuz tarafından güvenilen bir sertifikanın nasıl içeri aktarılacağını açıklar. SAP sistemine hangi sertifikanın içeri aktarılması gerektiğini anlamak önemlidir. SAP sistemine yalnızca sertifikaların ortak anahtarlarının içeri aktarılması gerekir.

  • Kullanıcı sertifikası otomatik olarak imzalandıysa: Kullanıcı sertifikasını içeri aktarın.

  • Kullanıcı sertifikası bir kurumsal CA tarafından verildiyse: Kurumsal CA sertifikasını içeri aktarın. Hem kök hem de alt CA sunucuları kullanılıyorsa, hem kök hem de alt CA ortak sertifikalarını içeri aktarın.

Sertifikanızı içeri aktarmak için:

  1. STRUST işlemini çalıştırın.

  2. Görüntüle-Değiştir'i>< seçin.

  3. Sertifikayı içeri aktar'ı seçin.

  4. Sertifikayı içeri aktar iletişim kutusunda:

    1. Dosya yolu'nın yanındaki çift kutu simgesini seçin ve sertifikaya gidin.

    2. Sertifikayı içeren dosyaya gidin (yalnızca ortak anahtar için) ve sertifikayı içeri aktarmak için yeşil onay işaretini seçin.

      Sertifika bilgileri Sertifika bölümünde görüntülenir.

    3. Sertifika Listesine Ekle'yi seçin.

      Sertifika, Sertifika Listesi bölümünde görüntülenir.

Sertifikayı bir kullanıcı hesabıyla ilişkilendirme

Sertifikayı bir kullanıcı hesabıyla ilişkilendirmek için:

  1. SM30 işlemini çalıştırın.

  2. Tablo/Görünüm'de USRACLEXT yazın ve Ardından Koru'ya tıklayın.

  3. Çıktıyı gözden geçirin ve hedef kullanıcının zaten ilişkili bir SNC adına sahip olup olmadığını belirleyin. Kullanıcıyla ilişkili SNC adı yoksa Yeni Girişler'i seçin.

    Screenshot that shows how to create a new entry in the USERACLEXT table.

  4. Kullanıcı için kullanıcının kullanıcı adını girin. SNC Adı için, kullanıcının p: ön ekli sertifika konu adını girin ve Kaydet'i seçin.

    Screenshot that shows how to create a new user in USERACLEXT table.

Sertifikayı kullanarak oturum açma hakları verme

Oturum açma hakları vermek için:

  1. SM30 işlemini çalıştırın.

  2. Tablo/Görünüm'de VSNCSYSACL girin ve Ardından Koru'ya tıklayın.

  3. Görüntülenen bilgi isteminde, tablonun istemciler arası olduğunu onaylayın.

  4. Çalışma Alanını Belirleme: Giriş alanına ACL girişi türü için E girin ve yeşil onay işaretini seçin.

  5. Çıktıyı gözden geçirin ve hedef kullanıcının zaten ilişkili bir SNC adına sahip olup olmadığını belirleyin. Kullanıcının ilişkili bir SNC adı yoksa Yeni Girişler'i seçin.

    Screenshot that shows how to create a new entry in the VSNCSYSACL table.

  6. Sistem kimliğinizi ve kullanıcı sertifikası konu adınızı bir p: ön eki ile girin.

    Screenshot that shows how to create a new user in the VSNCSYSACL table.

  7. RFC için Girdi etkinleştirildi ve Sertifika için girdi etkinleştirildi onay kutularının seçili olduğundan emin olun ve kaydet'i seçin.

ABAP hizmet sağlayıcısı kullanıcılarını dış kullanıcı kimlikleriyle eşleme

ABAP hizmet sağlayıcısı kullanıcılarını dış kullanıcı kimlikleriyle eşlemek için:

  1. SM30 işlemini çalıştırın.

  2. Tablo/Görünüm'de VUSREXTID yazın ve Ardından Koru'ya tıklayın.

  3. Çalışma Alanını Belirleme: Giriş bölümünde, Çalışma Alanı için DN Kimlik türünü seçin.

  4. Aşağıdaki değerleri girin:

    • Dış Kimlik için CN=Sentinel, C=US girin.
    • Seq. No alanına 000 girin.
    • Kullanıcı için SENTINEL girin.

  5. Kaydet'i ve ardından Enter'ı seçin.

    Screenshot that shows how to set up the SAP VUSREXTID table.

Kapsayıcıyı ayarlama

Not

SAP veri bağlayıcısı aracı kapsayıcısını kullanıcı arabirimini kullanarak ayarlarsanız, bu bölümde açıklanan adımları tamamlamayın. Bunun yerine bağlayıcıyı bağlayıcı sayfasında ayarlamaya devam edin.

Kapsayıcıyı ayarlamak için:

  1. libsapcrypto.so ve sapgenpse dosyalarını kapsayıcının oluşturulacağı sisteme aktarın.

  2. İstemci sertifikasını (hem özel hem de ortak anahtarlar) kapsayıcının oluşturulacağı sisteme aktarın.

    İstemci sertifikası ve anahtarı .p12, .pfx veya Base64 .crt ve .key biçiminde olabilir.

  3. Sunucu sertifikasını (yalnızca ortak anahtar) kapsayıcının oluşturulacağı sisteme aktarın.

    Sunucu sertifikası Base64 .crt biçiminde olmalıdır.

  4. İstemci sertifikası bir kuruluş sertifika yetkilisi tarafından verildiyse, veren CA ve kök CA sertifikalarını kapsayıcının oluşturulacağı sisteme aktarın.

  5. Microsoft Sentinel GitHub deposundan başlangıç betiğini alın:

    wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh

  6. Yürütülebilir hale getirmek için betiğin izinlerini değiştirin:

    chmod +x ./sapcon-sentinel-kickstart.sh

  7. Betiği çalıştırın ve aşağıdaki temel parametreleri belirtin:

    ./sapcon-sentinel-kickstart.sh \
--use-snc \
--cryptolib <path to sapcryptolib.so> \
--sapgenpse <path to sapgenpse> \
--server-cert <path to server certificate public key> \

    İstemci sertifikası .crt veya .key biçimindeyse aşağıdaki anahtarları kullanın:

    --client-cert <path to client certificate public key> \
--client-key <path to client certificate private key> \

    İstemci sertifikası .pfx veya .p12 biçimindeyse şu anahtarları kullanın:

    --client-pfx <pfx filename>
--client-pfx-passwd <password>

    İstemci sertifikası bir kurumsal CA tarafından verildiyse, güven zincirindeki her CA için bu anahtarı ekleyin:

    --cacert <path to ca certificate>

    Örneğin:

    ./sapcon-sentinel-kickstart.sh \
--use-snc \
--cryptolib /home/azureuser/libsapcrypto.so \
--sapgenpse /home/azureuser/sapgenpse \
--client-cert /home/azureuser/client.crt \
--client-key /home/azureuser/client.key \
--cacert /home/azureuser/issuingca.crt
--cacert /home/azureuser/rootca.crt
--server-cert /home/azureuser/server.crt \

Başlangıç betiğinde kullanılabilen seçenekler hakkında daha fazla bilgi için bkz . Başvuru: Kickstart betiği.

Sorun giderme ve başvuru

Sorun giderme bilgileri için şu makalelere bakın:

Başvuru için şu makalelere bakın:

İlgili içerik