Mit diesem Parameter können Sie Zugriffsbeschränkungen im ICM und SAP Web Dispatcher einrichten (als "White List" oder "Black List" ).
Zum Schutz des ICM und des Backend-Systems (AS ABAP oder AS Java) gibt es einen HTTP-Subhandler (Filter), der Requests anhand von verschiedenen Kriterien abblocken kann. Wenn der Filter aktiviert ist, wird er bei jedem HTTP(S)-Request zum ICM oder Web Dispatcher durchlaufen, bevor der Request zu einem anderen HTTP-Handler (Dateizugriff, Cache, Administration, Redirect) oder zum Backend-System (AS ABAP oder AS Java) geschickt wird.
Sie können Requests nach den folgenden Kriterien filtern:
URL
Client-IP-Adresse
Server-IP-Adresse
Benutzername/Benutzergruppe und Kennwort
Mustersuche in der URL
Arbeitsgebiet |
Internet Communication Manager, SAP Web Dispatcher |
Einheit |
Zeichenkette |
Standardwert |
icm/HTTP/auth_0= PREFIX=/, FILTER=SAP |
Dynamisch änderbar |
nein |
Wertebereich und Syntax
Um die Zugriffsbeschränkungen einzurichten, verwenden Sie den Parameter mit folgender Syntax:
icm/HTTP/auth_<xx> = PREFIX=<URL-Präfix> [,PERMFILE=<permission file>, AUTHFILE=<authentication file>, FILTER=<name>]
<xx> muss dabei von 0 aufsteigend angegeben werden.
Nicht alle Kombinationen der Optionen sind sinnvoll möglich. Folgende Kombinationen sind sinnvoll:
icm/HTTP/auth_ <xx> = PREFIX = <prefix>
icm/HTTP/auth_ <xx> = PREFIX = <prefix> , PERMFILE= <permfile>
icm/HTTP/auth_ <xx> = PREFIX = <prefix> , PERMFILE= <permfile> , FILTER= <filtername>
icm/HTTP/auth_ <xx> = PREFIX = <prefix> , PERMFILE= <permfile> , AUTHFILE= <authfile>
icm/HTTP/auth_ <xx> = PREFIX = <prefix> , PERMFILE= <permfile> , AUTHFILE= <authfile> , FILTER= <filtername>
Ein AUTHFILE ohne ein PERMFILE ergibt keinen Sinn. Den Filter auszuschalten ist nur sinnvoll, wenn ein PERMFILE verwendet wird.
Hierbei haben die Angaben folgende Bedeutung:
PREFIX
URL-Präfix, für den der Subhandler aufgerufen werden soll
PERMFILE
Optionale Angabe
Name der Permission-Datei im Dateisystem
AUTHFILE
Optionale Angabe
Name der Benutzerdatei oder system zur Authentifizierung gegen einen Betriebssystembenutzer
FILTER
Optionale Angabe
Name des Profils für die Mustersuche.(Standardwert: SAP ). Durch Weglassen der Option deaktivieren Sie den Filter. Die dynamische Aktivierung/Deaktivierung erfolgt durch Setzen des Parameters csi/enable. Sie können die Filterung mit dem Parameter csi/enable dynamisch (de)aktivieren. Sie finden den Parameter in der Web-Administrations-Oberfläche.
PERMFILE
Mit der Permission-Datei wird die Art des Zugriffsschutzes bestimmt. Die Permission-Datei hat den folgenden Aufbau:
Kommentarzeilen beginnen mit einem # und werden ignoriert
Andere Zeilen haben die Form:
P/D/S <URI-pattern> <USER> <GROUP> <CLIENT-IP> <SERVER-IP>
Der Buchstabe am Zeilenanfang hat folgende Bedeutung:
P (Permit) lässt den Request durch
D (Deny) lehnt den Request ab und schickt dem Client eine entsprechende Nachricht
S (Secure) erlaubt für den URL-Präfix nur sichere Verbindungen (HTTPS)
<URI-pattern> ist der Abschnitt der URL, der im Abschnitt Cache-Key als translated path bezeichnet ist
Für das URI-Pattern können Sie das Wildcard-Zeichen * verwenden, allerdings nur am Anfang oder am Ende des <URI-pattern> -Strings.
Für die Client- und Server-IP-Adesse können Sie das Wildcard-Zeichen * überall verwenden.
Der Standardwert für leere Einträge ist der * , der alles zulässt.
Damit ein Request bei P (Permit) durchgelassen wird, müssen alle Bedingungen (Spalten) erfüllt sein.
Bei D (Deny) muss nur eine Bedingung erfüllt sein, damit der Request abgewiesen wird.
Die Bedingungen werden von oben nach unten abgeprüft.
Trifft eine Bedingung für D oder P zu, endet die Prüfung, und der Request wird vom Subhandler zugelassen oder abgewiesen.
Beachten Sie, dass die URI-Permission-Tabelle case-sensitiv ist, es wird also zwischen Groß- und Kleinbuchstaben unterschieden. Wenn Sie also eine URL oder einen Benutzer verbieten wollen, wird nur genau die Schreibweise, wie sie in der Tabelle steht, abgeblockt.
URI-Pattern |
Benutzer |
Gruppe |
Client-IP-Adresse |
Server-IP-Adresse |
|
---|---|---|---|---|---|
D |
* |
* |
* |
10.18.55.01 |
|
D |
* |
* |
* |
* |
10.18.55.50 |
P |
/sap/admin |
* |
admin |
* |
10.18.55.40 |
P |
/sap/admin/* |
* |
admin |
10.*.55.* |
10.18.55.* |
D |
/* |
* |
* |
* |
* |
Verwenden Sie Positivlisten !
Da die URL-Permission-Tabelle case-sensitiv ist, ist es wichtig, die Tabelle als Positivliste aufzubauen:
Führen Sie alle URLs auf, die erlaubt sein sollen und setzen Sie ans Ende der Tabelle die Zeile D /* * * * *
Da es bei IP-Adressen keine Groß- und Kleinschreibung gibt, können Sie hier problemlos einzelne (oder Gruppen) von IP-Adressen (Client oder Server) ausschließen (vgl. Beispiel).
AUTHFILE (optional)
Das AUTHFILE bestimmt die zulässigen Benutzer und Kennwörter und ist erforderlich, wenn in der Permission-Datei Einträge für USER oder GROUP gemacht wurden.
Mögliche Werte für AUTHFILE sind:
System : Benutzer wird gegen einen Betriebssystembenutzer authentifiziert
<Dateiname> : Datei mit Benutzername, Gruppenname und geschützten Kennwörtern
Die Autorisierungsdatei kann mit den Programmen wdispmon und icmon erzeugt und gepflegt werden (Option -a ) und hat den folgenden Aufbau:
Kommentarzeilen beginnen mit einem # und werden ignoriert
Andere Zeilen haben die Form:
<Benutzer> : <Hash des Passwortes> : <Benutzergruppe> : <DN Client-Zertifikat>
Beispiel
Authentifizierungsdatei für den ICM und SAP Web Dispatcher:
test:$apr1$/iTOQ$EOABCDFDDj55EqL0:user sidadm:$apr1$/iTOQ$EOcAYBCD55EqL0:admin |
Der Authentication Subhandler erweitert die Funktionalität des SAP Web Dispatcher URL-Filters und der Authentifizierung der Web-basierten Administrationsoberfläche.
Bei Nutzung dieses Zugriffsfilters können die beiden anderen Verfahren deaktiviert werden:
SAP Web Dispatcher URL-Filter:
wdisp/permission_table =
Web Admin Oberfläche:
icm/HTTP/admin_0 =PREFIX=/sap/admin,DOCROOT=./admin,AUTHFILE=none
Beachten Sie im Zusammenhang mit diesem Parameter folgende Dokumentation:
Webadmin-Oberfläche mit X.509-Zertifikat verwenden