SAP Basis Fehlerbehandlung bei abgebrochenen Verbuchungen - SAP Corner

Direkt zum Seiteninhalt
Fehlerbehandlung bei abgebrochenen Verbuchungen
I18N Internationalisierung für SAP
Viele Unternehmen kämpfen mit der Einführung und Benutzung von secinfo und reginfo Dateien für die Absicherung von SAP RFC Gateways. Wir haben dazu einen Generator entwickelt, der bei der Erstellung der Dateien unterstützt. In diesem Blog-Beitrag werden zwei von SAP empfohlene Vorgehensweisen zur Erstellung der secinfo und reginfo Dateien aufgeführt mit denen die Security Ihres SAP Gateways verstärkt wird und wie der Generator dabei hilft. secinfo und reginfo Generator anfordern Möglichkeit 1: Restriktives Vorgehen Für den Fall des restriktiven Lösungsansatzes werden zunächst nur systeminterne Programme erlaubt. Somit können keine externe Programme genutzt werden. Da das aber gewünscht ist, müssen die Zugriffskontrolllisten schrittweise um jedes benötigte Programm erweitert werden. Dieses Verfahren ist zwar sehr restriktiv, was für die Sicherheit spricht, hat jedoch den sehr großen Nachteil, dass in der Erstellungsphase immer Verbindungen blockiert werden, die eigentlich erwünscht sind. Darüber hinaus stellt die dauerhafte manuelle Freischaltung einzelner Verbindungen einen ständigen Arbeitsaufwand dar. Bei großen Systemlandschaften ist dieses Verfahren sehr aufwändig. Möglichkeit 2: Logging-basiertes Vorgehen Eine Alternative zum restriktiven Verfahren ist das Logging-basierte Vorgehen. Hierfür müssen vorerst alle Verbindungen erlaubt werden, indem die secinfo Datei den Inhalt USER=* HOST=* TP=* und die reginfo Datei den Inhalt TP=* enthalten. Während der Freischaltung aller Verbindungen wird mit dem Gateway-Logging eine Aufzeichnung aller externen Programmaufrufe und Systemregistrierungen vorgenommen. Die erstellten Log-Dateien können im Anschluss begutachtet und daraufhin die Zugriffskontrolllisten erstellt werden. Auch hier ist jedoch ein sehr großer Arbeitsaufwand vorhanden. Besonders bei großen Systemlandschaften werden viele externe Programme registriert und ausgeführt, was sehr umfangreiche Log-Dateien zur Folge haben kann. Diese durchzuarbeiten und daraufhin Zugriffskontrolllisten zu erstellen, kann eine kaum zu bewältigende Aufgabe darstellen. Bei diesem Vorgehen werden jedoch während der Erstellungsphase keine gewollten Verbindungen blockiert, wodurch ein unterbrechungsfreier Betrieb des Systems gewährleistet ist.

Der Dataowner sollte der adm des Zielsystems sein, den können Sie (in der Unix-Konsole) mit "chown adm K12345_DEV" ändern (respektive R12345_DEV für die data-Datei). Um die Zugriffsberechtigungen zu ändern, können Sie den Befehl "chmod 664 K12345_DEV" benutzen. Transportaufträge im SAP-System anhängen Sobald dies geschehen ist, können Sie die Transportaufträge in Ihrem SAP-System an die Importqueue anhängen. Dies geschieht, indem Sie über die STMS -> Importübersicht (F5) sich die Importqueues anzeigen lassen. Hier wählen Sie mit einem Doppelklick die Importqueue des Zielsystems aus. Danach bekommen Sie unter "Zusätze"->"Weitere Aufträge"->"Anhängen" ein Popup, mit dem Sie die Transportaufträge an die Importqueue anhängen können. In dem aufkommenden Popup müssen Sie den genauen Transportauftrag benennen. Der richtige Name dafür bildet sich wie folgt: Die ersten drei Zeichen sind die Datei-Endung der beiden Dateien, welche Sie in das Transportverzeichnis kopiert haben. Die letzten Zeichen setzen sich aus dem Dateinamen der cofiles-Datei zusammen. Bei unserem Beispieltransport würde der Transport also "DEVK12345" genannt werden (Abzuleiten aus der cofiles-Datei K12345.DEV) Das dürfte nun eine positive Meldung vom SAP zurückgeben und der Transport ist an die Importqueue angehängt. Nun können Sie diesen Transport wie jeden gewöhnlichen Transportauftrag in das System importieren. Schritt-für-Schritt Zusammenfassung Cofiles/data-Datei in das Transportverzeichnis kopieren Normalerweise /usr/sap/trans, falls nicht --> AL11 -> DIR_TRANS Dateiowner und Zugriffsrechte anpassen chown adm chmod 664 Im SAP-System: STMS -> Importübersicht -> Importqueue auswählen -> Zusätze -> Weitere Aufträge -> Anhängen Transportaufträge eingeben ().
WE05 IDoc-Liste
Liegen die Werte deutlich über den Richtwerten, liegt ein potenzielles Performanceproblem im entsprechenden Bereich (z. B. auf der Datenbank) vor. Beachten Sie, dass es sich auch hier nur um Erfahrungswerte handelt, die in speziellen SAP-Lösungen abweichen können.

Um das SAL zu konfigurieren nutzen Sie bitte, ab SAP-Release 7.50, die Transaktion RSAU_CONFIG (ehemals SM19). Hierbei ist zu empfehlen, die benutzerübergreifende Protokollierung mit Mindesteinstellungen zu aktivieren und bei Benutzern mit umfangreichen Berechtigungen, wie SAP Standard- und Notfallbenutzern sämtliche Auditklassen zu erfassen. Diese Einstellungen sollten stets mandantenübergreifend konfiguriert werden.

Einige fehlende Funktionen in der Basisadministration werden durch "Shortcut for SAP Systems" ergänzt.

SAP Basis ist der Kernbestandteil einer jeden SAP-Infrastruktur.

Die SAP-Basis ist das Fundament eines jeden SAP-Systems. Viele nützliche Informationen dazu finden Sie auf dieser Seite: www.sap-corner.de.

Hier können Sie die Suchhilfe (F4) nutzen.
SAP Corner
Zurück zum Seiteninhalt