Читаем SAP R/3 Системное администрирование полностью

Соединения между локальной сетью и внешним миром всегда могут снизить уровень безопасности. Доступ к локальной сети и ее компьютерам может быть предоставлен только для авторизованного персонала и приложений. Обычно используется брандмауэр, иногда даже не один, чтобы обеспечить безопасность доступа. Компания SAP предлагает Application Level Gateway (шлюз уровня приложений), использующий SAProuter, в качестве дополнения на уровне приложений для обеспечения безопасности коммуникации между удаленными системами SAP или между системой SAP и внешним миром. SAProuter можно использовать для мониторинга и протоколирования всех входящих и исходящих соединений с локальной системой SAP. Поэтому достаточно предоставить соединение между сервером, на котором выполняется SAProuter, и глобальной сетью (WAN). Все другие компьютеры, в частности сервер приложений SAP R/3 и сервер базы данных, не требуют отдельного доступа. Поэтому требуемая административная работа в сети концентрируется в центральном месте. SAProuter устанавливается на компьютере, который действует в качестве интерфейса между локальной сетью и внешним миром.

Компьютер, на котором выполняется SAProuter, должен быть доступен через официально назначенный IP-адрес. Обычно компьютер, на котором выполняется SAProuter, также называется SAProuter, хотя SAProuter является только одной из многих функций, доступных на этом компьютере. Стоимость и преимущества различных методов определяют тип соединения между локальной и удаленными системами, который выбирает заказчик. Возможные варианты включают:

► ISDN

► Выделенная линия

► Интернет

Тип и область действия предполагаемого использования соединения являются критически важными при его выборе и определении параметров.

SAP организует соединение с заказчиками аналогичным образом (см. рис. 3.1). Используемые системы брандмауэров SAP и SAProuter действуют на выделенных компьютерах. Все заказчики, которые хотят установить соединение со службой SAP, должны сначала предоставить IP-адреса своего сервера SAP R/3 и компьютеров SAProuter и запросить регистрацию систем в SAP. В ответ SAP сохраняет IP-адреса заказчиков в SAP и активирует доступ. В таблице 3.1 перечислены SAProuter, через которые SAP используется во всем мире.

Таблица 3.1.SAProuter, доступные для соединения с SAP

В связи с растущим числом установок SAP будет продолжать увеличиваться число SAProuter. На рис. 3.1 показана общая процедура обработки соединений между системами заказчиков и SAP.

Рис. 3.1.Основные соединения через SAProuter

Соединение предполагает, что между SAProuter клиента и SAProuter (sapserv x) компании SAP можно установить физическое соединение. Можно использовать команду операционной системы ping для проверки соединения, прежде чем предпринимать дополнительные действия.

3.1.2. SAProuter

Стандартная установка SAP R/3 хранит исполняемый код SAProuter в корневом каталоге (см. главу 1). Текущую версию SAProuter можно найти в SAP Service Marketplace в разделе Quicklink /patches. Рекомендуется создать специальный каталог для SAProuter, его журнала и конфигурационных файлов. Можно скопировать программы из используемого по умолчанию каталога в созданный каталог. Для облегчения идентификации каталог часто называют /usr/sap/saprouter или :\usr\sap\saprouter.

Таблица разрешенных маршрутов

Чтобы определить, какие соединения разрешить или отвергнуть, SAProuter проверяет таблицу разрешенных маршрутов (route permission table) в качестве основы для управления доступом. Эта таблица с используемым по умолчанию именем saprouttab не является в действительности таблицей. На самом деле это текстовый файл, который существует обычно в том же каталоге, что и SAProuter. Записи в saprouttab используют следующий синтаксис:

□ [P|S|D] <система_источник><целевая_система> [<служба><пароль>]

Ключи P, S и D обозначают следующее:

► P (Permit) — Разрешить

Описанное далее соединение явно разрешено.

► S (Secure) — Безопасный

Разрешены только соединения, которые используют протокол SAP, являющийся дополнением к протоколу TCP/IP. Его используют только компоненты SAP.

► D (Deny) — Отвергнуть

Описанное далее соединение явно отвергается.