SAP RFC Gateway Sicherheit durch secinfo und reginfo ACL Dateien
SCCL Mandantenkopie – Lokal
Ein BW-System spielt häufig in größeren Unternehmen eine sehr zentrale Rolle. Hier werden die Daten von den verschiedenen angebundenen Quellsystemen zentral ausgewertet und reportet. Ein früherer Kunde von mir hatte ein BW-System, an welches insgesamt über 20 andere SAPProduktivsysteme angeschlossen waren. Bei so einer großen und meist lebendigen System- Landschaft ist es normal, dass von Zeit zu Zeit einzelne Systeme zurückgebaut werden. Gerade bei großen SAP-Landschaften gibt es allerdings strenge Regelungen betreffend Berechtigungen von technischen RFC-Nutzern. Aus diesem Grund wird das einfache "Rechtsklick --> Löschen" eines Quellsystems in der RSA1 häufig nicht zum Ziel führen, sondern in eine gescheiterte Berechtigungsprüfung. Mit diesem Blogbeitrag zeige ich Ihnen einen Workaround, wie sie ein Quellsystem sauber von einem BW-System trennen können mit Hilfe der Funktionsbausteine RSAR_LOGICAL_SYSTEM_DELETE und RSAP_BIW_DISCONNECT.
Sogenannte Access Control Lists (ACL) bieten eine gute Möglichkeit zur Absicherung Ihres Gateways, um unerwünschte externe Zugriffe auf die Datenbank des Applikationsservers auszuschließen. Mit Hilfe der ACL-Dateien reginfo und secinfo lässt sich so eine Zugriffskontrolle implementieren, in denen erlaubte als auch verbotene Kommunikationspartner definiert werden können. Die Datei reginfo steuert hierbei das Registrieren von externen Programmen am Gateway, womit also Regeln definiert werden können, die Programme erlauben oder verbieten. Mit Hilfe der Datei secinfo können Sie definieren, welchen Usern der Start eines externen Programms genehmigt wird. Um diese Dateien verwenden zu können, müssen Sie die Kenngrößen gw/reg_info und gw/sec_info setzen (Transaktion RZ11). Nähere Informationen hierzu können Sie dem SAP Note 1408081 entnehmen.
Gute Teamfähigkeit, gute kommunikative Fähigkeiten und eine dienstleistungsorientierte Einstellung mit hoher Eigenmotivation und Leistungsbereitschaft
Aufgaben wie zB das Update von Komponenten, das Einspielen von Sicherheits- Updates oder auch die Überwachung sollen weiter automatisiert werden. Hierzu empfiehlt sich die Verwendung von nur einem Automatisierungstool (SAP-Solution- Manager oder SAP-LVM). Kundeneigene Lösungen und Skripte sollten nach Möglichkeit nicht verwendet oder durch Standardwerkzeuge ersetzt werden, da sonst unterschiedliche Skriptsprachen und Skriptversionen verwaltet werden müssen, was einen hohen Pflegeaufwand mit sich bringt. Standardisierte Skripte der SAP sind an dieser Stelle zu begrüßen. Ebenfalls muss für die Überwachung eine sinnvolle Definition der Schwellenwerte bspw auf Basis des historischen Systemverhaltens bestimmt werden.
Die Entscheidung, ob mehrere SAP-Instanzen pro Rechner eingerichtet werden, wird ebenfalls gemeinsam mit Ihrem Hardwarepartner getroffen. Grundsätzlich geht der Trend dahin, pro Rechner eine große Instanz mit vielen Workprozessen und großem SAP Extended Memory einzurichten. Sie sollten nicht unnötig viele Instanzen einrichten, da jede Instanz Verwaltungs- und Überwachungsaufwand erfordert. SAP gibt an, dass Sie Instanzen bis zu 512 GB Größe konfigurieren können.
Verwenden Sie "Shortcut for SAP Systems", um viele Aufgaben in der SAP Basis einfacher und schneller zu erledigen.
Sie feststellen, dass der allokierte Speicher zum Teil deutlich größer als der physisch vorhandene Speicher ist.
Auf www.sap-corner.de finden Sie ebenfalls viele nützliche Informationen zum Thema SAP Basis.
Dabei ist für Betriebssysteme, die kontinuierlich Speicher auslagern (z. B. Microsoft Windows), die Paged-in-Rate entscheidend, für andere Betriebssysteme hingegen, die erst bei Bedarf auslagern (die meisten UNIX-Derivate), die Paged-out-Rate.