Show TOC

icm/HTTP/auth_<xx>Locate this document in the navigation structure

Verwendung

Mit diesem Parameter können Sie Zugriffsbeschränkungen im ICM und SAP Web Dispatcher einrichten (als "White List" oder "Black List" ).

Zum Schutz des ICM und des Backend-Systems (AS ABAP oder AS Java) gibt es einen HTTP-Subhandler (Filter), der Requests anhand von verschiedenen Kriterien abblocken kann. Wenn der Filter aktiviert ist, wird er bei jedem HTTP(S)-Request zum ICM oder Web Dispatcher durchlaufen, bevor der Request zu einem anderen HTTP-Handler (Dateizugriff, Cache, Administration, Redirect) oder zum Backend-System (AS ABAP oder AS Java) geschickt wird.

Sie können Requests nach den folgenden Kriterien filtern:

  • URL

  • Client-IP-Adresse

  • Server-IP-Adresse

  • Benutzername/Benutzergruppe und Kennwort

  • Mustersuche in der URL

Struktur

Arbeitsgebiet

Internet Communication Manager, SAP Web Dispatcher

Einheit

Zeichenkette

Standardwert

icm/HTTP/auth_0= PREFIX=/, FILTER=SAP

Dynamisch änderbar

nein

Wertebereich und Syntax

Um die Zugriffsbeschränkungen einzurichten, verwenden Sie den Parameter mit folgender Syntax:

icm/HTTP/auth_<xx> = PREFIX=<URL-Präfix>
[,PERMFILE=<permission file>, AUTHFILE=<authentication file>, 
FILTER=<name>]

<xx> muss dabei von 0 aufsteigend angegeben werden.

Hinweis

Nicht alle Kombinationen der Optionen sind sinnvoll möglich. Folgende Kombinationen sind sinnvoll:

  • icm/HTTP/auth_ <xx> = PREFIX = <prefix>

  • icm/HTTP/auth_ <xx> = PREFIX = <prefix> , PERMFILE= <permfile>

  • icm/HTTP/auth_ <xx> = PREFIX = <prefix> , PERMFILE= <permfile> , FILTER= <filtername>

  • icm/HTTP/auth_ <xx> = PREFIX = <prefix> , PERMFILE= <permfile> , AUTHFILE= <authfile>

  • icm/HTTP/auth_ <xx> = PREFIX = <prefix> , PERMFILE= <permfile> , AUTHFILE= <authfile> , FILTER= <filtername>

Ein AUTHFILE ohne ein PERMFILE ergibt keinen Sinn. Den Filter auszuschalten ist nur sinnvoll, wenn ein PERMFILE verwendet wird.

Hierbei haben die Angaben folgende Bedeutung:

  • PREFIX

    URL-Präfix, für den der Subhandler aufgerufen werden soll

  • PERMFILE

    Optionale Angabe

    Name der Permission-Datei im Dateisystem

  • AUTHFILE

    Optionale Angabe

    Name der Benutzerdatei oder system zur Authentifizierung gegen einen Betriebssystembenutzer

  • FILTER

    Optionale Angabe

    Name des Profils für die Mustersuche.(Standardwert: SAP ). Durch Weglassen der Option deaktivieren Sie den Filter. Die dynamische Aktivierung/Deaktivierung erfolgt durch Setzen des Parameters csi/enable. Sie können die Filterung mit dem Parameter csi/enable dynamisch (de)aktivieren. Sie finden den Parameter in der Web-Administrations-Oberfläche.

PERMFILE

Mit der Permission-Datei wird die Art des Zugriffsschutzes bestimmt. Die Permission-Datei hat den folgenden Aufbau:

  • Kommentarzeilen beginnen mit einem # und werden ignoriert

  • Andere Zeilen haben die Form:

    P/D/S <URI-pattern> <USER> <GROUP> <CLIENT-IP> <SERVER-IP>

    Der Buchstabe am Zeilenanfang hat folgende Bedeutung:

    • P (Permit) lässt den Request durch

    • D (Deny) lehnt den Request ab und schickt dem Client eine entsprechende Nachricht

    • S (Secure) erlaubt für den URL-Präfix nur sichere Verbindungen (HTTPS)

    • <URI-pattern> ist der Abschnitt der URL, der im Abschnitt Cache-Key als translated path bezeichnet ist

  • Für das URI-Pattern können Sie das Wildcard-Zeichen * verwenden, allerdings nur am Anfang oder am Ende des <URI-pattern> -Strings.

  • Für die Client- und Server-IP-Adesse können Sie das Wildcard-Zeichen * überall verwenden.

Der Standardwert für leere Einträge ist der * , der alles zulässt.

Damit ein Request bei P (Permit) durchgelassen wird, müssen alle Bedingungen (Spalten) erfüllt sein.

Bei D (Deny) muss nur eine Bedingung erfüllt sein, damit der Request abgewiesen wird.

Die Bedingungen werden von oben nach unten abgeprüft.

Trifft eine Bedingung für D oder P zu, endet die Prüfung, und der Request wird vom Subhandler zugelassen oder abgewiesen.

Achtung

Beachten Sie, dass die URI-Permission-Tabelle case-sensitiv ist, es wird also zwischen Groß- und Kleinbuchstaben unterschieden. Wenn Sie also eine URL oder einen Benutzer verbieten wollen, wird nur genau die Schreibweise, wie sie in der Tabelle steht, abgeblockt.

URI-Pattern

Benutzer

Gruppe

Client-IP-Adresse

Server-IP-Adresse

D

*

*

*

10.18.55.01

D

*

*

*

*

10.18.55.50

P

/sap/admin

*

admin

*

10.18.55.40

P

/sap/admin/*

*

admin

10.*.55.*

10.18.55.*

D

/*

*

*

*

*

Hinweis

Verwenden Sie Positivlisten !

Da die URL-Permission-Tabelle case-sensitiv ist, ist es wichtig, die Tabelle als Positivliste aufzubauen:

Führen Sie alle URLs auf, die erlaubt sein sollen und setzen Sie ans Ende der Tabelle die Zeile D /* * * * *

Da es bei IP-Adressen keine Groß- und Kleinschreibung gibt, können Sie hier problemlos einzelne (oder Gruppen) von IP-Adressen (Client oder Server) ausschließen (vgl. Beispiel).

AUTHFILE (optional)

Das AUTHFILE bestimmt die zulässigen Benutzer und Kennwörter und ist erforderlich, wenn in der Permission-Datei Einträge für USER oder GROUP gemacht wurden.

Mögliche Werte für AUTHFILE sind:

  • System : Benutzer wird gegen einen Betriebssystembenutzer authentifiziert

  • <Dateiname> : Datei mit Benutzername, Gruppenname und geschützten Kennwörtern

Die Autorisierungsdatei kann mit den Programmen wdispmon und icmon erzeugt und gepflegt werden (Option -a ) und hat den folgenden Aufbau:

  • Kommentarzeilen beginnen mit einem # und werden ignoriert

  • Andere Zeilen haben die Form:

    <Benutzer> : <Hash des Passwortes> : <Benutzergruppe> : <DN Client-Zertifikat>

Beispiel

Authentifizierungsdatei für den ICM und SAP Web Dispatcher:

test:$apr1$/iTOQ$EOABCDFDDj55EqL0:user

sidadm:$apr1$/iTOQ$EOcAYBCD55EqL0:admin

Integration

Der Authentication Subhandler erweitert die Funktionalität des SAP Web Dispatcher URL-Filters und der Authentifizierung der Web-basierten Administrationsoberfläche.

Bei Nutzung dieses Zugriffsfilters können die beiden anderen Verfahren deaktiviert werden:

  • SAP Web Dispatcher URL-Filter:

    wdisp/permission_table =

  • Web Admin Oberfläche:

    icm/HTTP/admin_0 =PREFIX=/sap/admin,DOCROOT=./admin,AUTHFILE=none

Weitere Informationen