Professional Documents
Culture Documents
TECNICA DE SISTEMAS
SISTEMAS CENTRALES
Fecha última modificación
INSTRUCTIVO Autor
SAP SINGLE SIGN ON OPTION
CONFIGURACION DE KERBEROS V EN UNIX Sector
OBJETIVO: CONFIGURACIÓN DEL KERBEROS EN EL SISTEMA OPERATIVO DEL SAP APPLICATION SERVER PARA
FUNCIONALIDAD SSO
ALCANCE:
CONDICIONES DE EJECUCIÓN: LA PRIMER ETAPA DEL PROCESO DEBE SER EEJCUTADA CON ROOT, LA SEGUNDA CON
EL USUARIO <SID>ADM, ESTO SE PUEDE VER EN EL TITULO DEL ITEM QUE SE REQUIERE.
REQUERIMIENTOS: HW/SW:
PERFIL DE USUARIO:
OTROS:
Este documento solo detalla la configuración del Kerberos orientado a la autenticación de SAP
via SSO, para ver la configuración estándar referirse al documento “Proceso de autenticación
por Kerberos V.doc”
Hoja 1 de 4
DIRECCION DE SOPORTE
TECNICA DE SISTEMAS
SISTEMAS CENTRALES
Fecha última modificación
INSTRUCTIVO Autor
SAP SINGLE SIGN ON OPTION
CONFIGURACION DE KERBEROS V EN UNIX Sector
Todos estos paquetes son provistos por la versión de RedHat a utilizar y pueden extraerse del
repositorio de software. Durante la etapa de pruebas se comprobó que los paquetes provistos
por RedHat AS 2.1 funcionaban perfectamente, con la excepción de nss_ldap que no soporta
consultas a Active Directory. Por este motivo fue necesario bajar la última versión del software
y armar un paquete RPM del mismo.
CONFIGURACIÓN
Archivos de configuración que deben ser modificados:
• /etc/krb5.conf
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
ticket_lifetime = 24000
default_realm = LA.GR.REPSOLYPF.COM
dns_lookup_realm = false
dns_lookup_kdc = true
default_tkt_enctypes = des-cbc-md5
default_tgs_enctypes = des-cbc-md5
[realms]
LA.GR.REPSOLYPF.COM = {
kdc = ssbuetydpi01.la.gr.repsolypf.com:88
admin_server = ssbuetydpi01.la.gr.repsolypf.com:749
default_domain = la.gr.repsolypf.com
}
[domain_realm]
.la.gr.repsolypf.com = LA.GR.REPSOLYPF.COM
la.gr.repsolypf.com = LA.GR.REPSOLYPF.COM
[pam]
debug = true
ticket_lifetime = 36000
renew_lifetime = 36000
forwardable = true
krb4_convert = false
Controlar este archivo y modificarlo según este modelo siempre que sea necesario.
• /etc/krb5.keytab
Hoja 2 de 4
DIRECCION DE SOPORTE
TECNICA DE SISTEMAS
SISTEMAS CENTRALES
Fecha última modificación
INSTRUCTIVO Autor
SAP SINGLE SIGN ON OPTION
CONFIGURACION DE KERBEROS V EN UNIX Sector
Este archivo contiene lo que se denomina 'service key'. Básicamente este archivo permite que
un servicio pueda autenticarse con kerberos sin intervención manual.
En este caso se lo utiliza para que el software de autenticación pueda comprobar la existencia
de un cuenta de usuario en el Active Directory antes de efectuar el login, realizando una
consulta vía LDAP.
Este archivo será provisto por Seguridad Lógica LAM, por mail, el cual fue generado según la
documentación provista en “SAP Single Sign On Option – Creación del usuario de servicio
en Active Directory.doc
Una vez hecho esto, utilizamos el comando ktutil (/usr/kerberos/sbin) para copiarlo a su destino
definitivo:
#ktutil
>rkt /tmp/krb5.keytab
>wkt /etc/krb5.keytab
>quit
#
Nota:
En los casos en que el Server contenga mas de una instancia SAP, van a existir mas de un
keytab en el Server (uno por instancia SAP) por lo que se junta la información de los keytabs
en un solo krb5.keytab con el siguiente procedimiento:
#ktutil
>rkt /tmp/KEYTAB1.keytab
>rkt /tmp/KEYTAB2.keytab
>wkt /etc/krb5.keytab
>quit
#
El archivo keytab deberá contener la información del principal a utilizar y del Kvno
correspondiente. Para comprobarlo se puede usar el comando klist como en este ejemplo con
WD2:
Klist –k /etc/krb5.keytab
Hoja 3 de 4
DIRECCION DE SOPORTE
TECNICA DE SISTEMAS
SISTEMAS CENTRALES
Fecha última modificación
INSTRUCTIVO Autor
SAP SINGLE SIGN ON OPTION
CONFIGURACION DE KERBEROS V EN UNIX Sector
82 SAPServiceWD2/la.gr.repsolypf.com@LA.GR.REPSOLYPF.COM
kinit -k -t SAPService<SID>.keytab
SAPService<SID>/la.gr.repsolypf.com@LA.GR.REPSOLYPF.COM
Esto no debería solicitar ninguna validación, de funcionar correctamente tenemos que ver el
ticket en la lista (ejemplo con WD2):
Por ultimo es necesario editar el crontab para configurar la renovación cada 16 horas, como
sigue:
crontab -e
Hoja 4 de 4