使用する
secinfoセキュリティファイルは、外部プログラムの不正な起動を防ぐために使用されます。
ファイルreginfoは、ゲートウェイでの外部プログラムの登録を制御します。
プロファイルパラメータgw/sec_infoおよびgw/ reg_infoを使用してファイルパスを定義できます。デフォルト値は次のとおりです。
gw/sec_info = $(DIR_DATA)/secinfo
gw/reg_info = $(DIR_DATA)/reginfo
ゲートウェイが開始されると、両方のセキュリティファイルが再読み取りされます。reginfoファイルのエントリを変更、追加、または削除することにより、動的な変更を行うことができます。次に、セキュリティファイルをリロードすることで、ファイルをすぐにアクティブ化できます。
セキュリティファイルの表示と編集
セキュリティファイルを操作するために管理者に提供されるさまざまな機能を備えたさまざまなツールがあります。
-
セキュリティファイルを表示するには、AS ABAP(トランザクションSMGW)のゲートウェイモニタを使用します。
この手順はSAPによって推奨されており、外部プログラムのセキュリティ設定の設定で説明されています。
-
セキュリティファイルを編集するには、RFCゲートウェイACLエディタを使用できます。RFCゲートウェイモニタで、以下を選択します。
トランザクションSMGWGoto エキスパート 機能 ACLファイルの 外部セキュリティ 更新。以下で説明するファイルの構文を正確に守る必要があります。
両方のファイルの構文には、2つの異なるバージョンがあります。構文バージョン1では、プログラムの開始または登録を明示的に禁止することはできません。このため、別の方法として、SAProuterのルート許可テーブルに準拠する構文バージョン2を使用できます。この構文を使用する場合は、ファイル全体をそれに応じて構造化し、最初の行にエントリ#VERSION=2(この形式で正確に記述)を含める必要があります。
変更が完了すると、ゲートウェイを再起動せずにファイルをリロードできます。これを行うには、ゲートウェイモニタ(トランザクションSMGW)で、
ジャンプ エキスパート機能 ACLファイルの 外部セキュリティ 更新を選択します。ここから、GotoRereadを選択し ます。
構造
secinfo
次の構文は、 secinfoファイルに有効です。
バージョン1
ファイルの行の形式は次のとおりです。
この注文は必須ではありません。区切り文字として、コンマまたはスペースを使用できます。TP名自体にスペースが含まれている場合は、代わりにコンマを使用する必要があります。
この形式の行を使用して、ユーザーがホストでプログラム <user>を開始できるようにします。 <tp> <host>
オプションのパラメータを設定することにより、この権限チェックを強化することができますUSER-HOST。
internalホストオプション(HOSTおよび)の値USER HOSTは、SAPシステム内のすべてのホストに適用されます。ゲートウェイは、これを内部的にSAPシステム内のすべてのアプリケーションサーバーのリストに置き換えます。
この*文字は、任意のパラメーターの汎用仕様(ワイルドカード)として使用できます。
指定されていない場合USER-HOST、値*は受け入れられます。
バージョン2
最初の行の形式はです#VERSION=2。それ以降のすべての行は次のように構成されています。
Pここで、またはで始まりD、その後にスペースまたはTABが続く行は、次の意味を持ちます。
-
Pプログラムの開始が許可されていることを意味します(古い構文の行と同じ)
-
Dこのプログラムが開始されないようにします。
残りのエントリの順序は重要ではありません。
reginfo
特定のプログラムは、関連情報を指定することにより、外部ホストからゲートウェイに登録できるようにすることができます。登録済みプログラムへのアクセスを制御したり、登録済みプログラムをキャンセルしたりすることもできます。
プログラムがゲートウェイに登録されるとすぐに、取得されたエントリの属性(具体的にはACCESS)が登録されたプログラムに渡されます。これは、ファイルが変更され、新しいエントリがすぐにアクティブ化された場合でも、すでにログオンしているサーバーには古い属性が残っていることを意味します。登録されたプログラムにも新しい設定を割り当てるには(変更されている場合)、サーバーを最初に登録解除してから、再度登録する必要があります。
登録の成功と拒否、および登録されたプログラムからの呼び出しは、インジケーター付きのゲートウェイロギングを使用して確認できますS。
エラー行はトレースファイルdev_rdに入れられ、読み込まれません。
reginfoファイルの構文は次のとおりです。使用できる構文バージョンは2つあります(一緒に使用することはできません)。
バージョン1
ファイルの行の形式は次のとおりです。
internalホストオプション(HOSTおよび)の値USER HOSTは、SAPシステム内のすべてのホストに適用されます。ゲートウェイは、これを内部的にSAPシステム内のすべてのアプリケーションサーバーのリストに置き換えます。
コメント行はで始まります #
個々のオプションには、次の値を指定できます。
-
TP名(TP=):最大64文字、空白は使用できません。ワイルドカード文字 *は、任意の数の文字を表します。 *したがって、エントリは制限がないことを意味 fo*し、foで始まるすべての名前を表します。 foofooという名前を正確に表します。
-
ホスト名(HOST=, ACCESS=および/またはCANCEL=):ワイルドカード文字*は、任意のホスト名、*.sap.comドメイン、sapprodホストsapprodを表します。オプションがない場合、これはと同等HOST=*です。
-
IPアドレス(HOST=, ACCESS=および/またはCANCEL=):ホスト名の代わりにIPアドレスを使用できます。有効なアドレスの例は次のとおりです。
-
すべてのアドレス文字列1.2.3.4
-
A:B:C:D:E:F:1:2
-
A:B:C:D:E:F:1.2.3.4
-
A:B
-
標準アドレスプレフィックス192.1.1.3/12
-
A:B:C:D:E:1:2/60
-
古いSAProuterワイルドカード192.1.1。*
-
192.1.1.101xxxxx
-
-
番号(NO=):0〜65535の番号。TP名がワイルドカードなしで指定されている場合は、ここで許可される登録数を指定できます。
アクセスリスト
クライアント側からのアクセスも制御するために、各エントリのアクセスリストを定義できます。これは、上記のルールに準拠する必要があるホスト名のリストです。アクセスリストが指定されていない場合、プログラムはどのクライアントからでも使用できます。プログラムが登録されているローカルゲートウェイは常にアクセスできます。
ここで重要なのは、チェックがユーザーレベルではなく、ホストに基づいて行われることです。
登録済みサーバーをローカルアプリケーションサーバーのみで使用できるようにするには、ファイルに次のエントリが含まれている必要があります。
TP=* ACCESS=local [CANCEL=local]
キャンセルリスト
登録されたプログラムのキャンセルを制御するために、エントリごとにキャンセルリストを定義できます(ACCESSリストと同じ)。キャンセルリストが指定されていない場合、どのクライアントもプログラムをキャンセルできます。プログラムが登録されているローカルゲートウェイは、いつでもプログラムをキャンセルできます。
ゲートウェイモニタ(トランザクション)で、 
Goto 
Logged On Clients
を選択し、カーソルを使用して登録済みプログラムを選択し、Goto Logged On ClientsDeleteClient を選択します。
有効なエントリの例
バージョン2
最初の行の形式はです#VERSION=2。それ以降のすべての行は次のように構成されています。
Pここで、またはで始まりD、その後にスペースまたはTABが続く行は、次の意味を持ちます。
-
Pプログラムの登録が許可されていることを意味します(古い構文の行と同じ)
-
Dこのプログラムがゲートウェイに登録されないようにします。
