Scribd Logo
Upload

Welcome to Scribd!

  • SAP Single Sign On Option - Configuracion de Kerberos V en Unix

    Uploaded by

    BETIKOOO
    238 views4 pages

    Copyright

    © Attribution Non-Commercial (BY-NC)

    Available Formats

    DOC, PDF, TXT or read online from Scribd

    Did you find this document useful?

    Is this content inappropriate?

    Report this Document

    Copyright:

    Attribution Non-Commercial (BY-NC)
    Download as DOC, PDF, TXT or read online from Scribd
    Flag for inappropriate content
    238 views4 pages

    SAP Single Sign On Option - Configuracion de Kerberos V en Unix

    Uploaded by

    BETIKOOO

    Copyright:

    Attribution Non-Commercial (BY-NC)
    Download as DOC, PDF, TXT or read online from Scribd
    Flag for inappropriate content
    of 4

    DIRECCION DE SOPORTE

    TECNICA DE SISTEMAS
    SISTEMAS CENTRALES
    Fecha última modificación

    INSTRUCTIVO Autor
    SAP SINGLE SIGN ON OPTION
    CONFIGURACION DE KERBEROS V EN UNIX Sector

    OBJETIVO: CONFIGURACIÓN DEL KERBEROS EN EL SISTEMA OPERATIVO DEL SAP APPLICATION SERVER PARA
    FUNCIONALIDAD SSO

    ALCANCE:

    CONDICIONES DE EJECUCIÓN: LA PRIMER ETAPA DEL PROCESO DEBE SER EEJCUTADA CON ROOT, LA SEGUNDA CON
    EL USUARIO <SID>ADM, ESTO SE PUEDE VER EN EL TITULO DEL ITEM QUE SE REQUIERE.

    REQUERIMIENTOS: HW/SW:

    PERFIL DE USUARIO:
    OTROS:

    PROCESO DE AUTENTICACION POR KERBEROS V


    Los administradores del sistema operativo de los Servers serán los encargados de instalar y
    configurar en dichas maquinas el software. Los pasos a seguir para la instalación se detallan
    en el próximo punto.

    Previo a esto los administradores deben solicitar a seguridad informática, la creación de la


    cuenta en Active Directory relacionada con el nombre del Server en que se va a realizar la
    instalación, según se detalla en el documento “SAP Single Sign On Option – Creación del
    usuario de servicio en Active Directory.doc

    Este documento solo detalla la configuración del Kerberos orientado a la autenticación de SAP
    via SSO, para ver la configuración estándar referirse al documento “Proceso de autenticación
    por Kerberos V.doc”

    INSTALACIÓN DEL SOFTWARE (CON ROOT)


    Se requiere la instalación de los siguientes paquetes:
    • .krb5-libs
    • .krb5-workstation
    • .cyrus-sasl
    • .cyrus-sasl-gssapi
    • .openldap
    • .openldap-clients (necesario para poder probar si se pueden realizar consultas LDAP al
    Active
    • Directory)
    • .DB3
    • .nss_ldap (Versión 215, este paquete RPM fue preparado por XTECH)
    • .pam_krb5 (Versión 2.0.4, también preparado por XTECH).

    Hoja 1 de 4
    DIRECCION DE SOPORTE
    TECNICA DE SISTEMAS
    SISTEMAS CENTRALES
    Fecha última modificación

    INSTRUCTIVO Autor
    SAP SINGLE SIGN ON OPTION
    CONFIGURACION DE KERBEROS V EN UNIX Sector

    Todos estos paquetes son provistos por la versión de RedHat a utilizar y pueden extraerse del
    repositorio de software. Durante la etapa de pruebas se comprobó que los paquetes provistos
    por RedHat AS 2.1 funcionaban perfectamente, con la excepción de nss_ldap que no soporta
    consultas a Active Directory. Por este motivo fue necesario bajar la última versión del software
    y armar un paquete RPM del mismo.

    CONFIGURACIÓN
    Archivos de configuración que deben ser modificados:

    • /etc/krb5.conf

    [logging]
    default = FILE:/var/log/krb5libs.log
    kdc = FILE:/var/log/krb5kdc.log
    admin_server = FILE:/var/log/kadmind.log

    [libdefaults]
    ticket_lifetime = 24000
    default_realm = LA.GR.REPSOLYPF.COM
    dns_lookup_realm = false
    dns_lookup_kdc = true
    default_tkt_enctypes = des-cbc-md5
    default_tgs_enctypes = des-cbc-md5

    [realms]
    LA.GR.REPSOLYPF.COM = {
    kdc = ssbuetydpi01.la.gr.repsolypf.com:88
    admin_server = ssbuetydpi01.la.gr.repsolypf.com:749
    default_domain = la.gr.repsolypf.com
    }

    [domain_realm]
    .la.gr.repsolypf.com = LA.GR.REPSOLYPF.COM
    la.gr.repsolypf.com = LA.GR.REPSOLYPF.COM

    [pam]
    debug = true
    ticket_lifetime = 36000
    renew_lifetime = 36000
    forwardable = true
    krb4_convert = false

    Controlar este archivo y modificarlo según este modelo siempre que sea necesario.

    • /etc/krb5.keytab

    Hoja 2 de 4
    DIRECCION DE SOPORTE
    TECNICA DE SISTEMAS
    SISTEMAS CENTRALES
    Fecha última modificación

    INSTRUCTIVO Autor
    SAP SINGLE SIGN ON OPTION
    CONFIGURACION DE KERBEROS V EN UNIX Sector

    Este archivo contiene lo que se denomina 'service key'. Básicamente este archivo permite que
    un servicio pueda autenticarse con kerberos sin intervención manual.
    En este caso se lo utiliza para que el software de autenticación pueda comprobar la existencia
    de un cuenta de usuario en el Active Directory antes de efectuar el login, realizando una
    consulta vía LDAP.

    Este archivo será provisto por Seguridad Lógica LAM, por mail, el cual fue generado según la
    documentación provista en “SAP Single Sign On Option – Creación del usuario de servicio
    en Active Directory.doc

    El archivo recibido se llamara SAPService<SID>.keytab, donde SID es el nombre de la


    instancia que contiene el Server en el cual estamos configurando. Copiarlo al directorio TMP
    del Server y renombrarlo como krb5.keytab.

    Una vez hecho esto, utilizamos el comando ktutil (/usr/kerberos/sbin) para copiarlo a su destino
    definitivo:

    #ktutil
    >rkt /tmp/krb5.keytab
    >wkt /etc/krb5.keytab
    >quit
    #

    Nota:
    En los casos en que el Server contenga mas de una instancia SAP, van a existir mas de un
    keytab en el Server (uno por instancia SAP) por lo que se junta la información de los keytabs
    en un solo krb5.keytab con el siguiente procedimiento:

    #ktutil
    >rkt /tmp/KEYTAB1.keytab
    >rkt /tmp/KEYTAB2.keytab
    >wkt /etc/krb5.keytab
    >quit
    #

    El comando rkt.. se repite por cada keytab de instancia que exista.

    El archivo keytab deberá contener la información del principal a utilizar y del Kvno
    correspondiente. Para comprobarlo se puede usar el comando klist como en este ejemplo con
    WD2:

    Klist –k /etc/krb5.keytab

    Keytab name: FILE:/etc/krb5.keytab


    KVNO Principal
    ---- -----------------------------------------------------------------

    Hoja 3 de 4
    DIRECCION DE SOPORTE
    TECNICA DE SISTEMAS
    SISTEMAS CENTRALES
    Fecha última modificación

    INSTRUCTIVO Autor
    SAP SINGLE SIGN ON OPTION
    CONFIGURACION DE KERBEROS V EN UNIX Sector

    82 SAPServiceWD2/la.gr.repsolypf.com@LA.GR.REPSOLYPF.COM

    INICIO DEL KEYTAB PARA VALIDACIÓN DE LA INSTANCIA (CON <SID>ADM)


    Nota: A partir de ahora todo debe hacerse con el usuario <SID>ADM.

    Luego de configurado el keytab y ubicado en el directorio /etc, ejecutar el siguiente


    comando(/usr/local/bin/):

    kinit -k -t SAPService<SID>.keytab
    SAPService<SID>/la.gr.repsolypf.com@LA.GR.REPSOLYPF.COM

    Esto no debería solicitar ninguna validación, de funcionar correctamente tenemos que ver el
    ticket en la lista (ejemplo con WD2):

    subuel94:wd2adm 2> klist -k /etc/krb5.keytab


    Keytab name: FILE:/etc/krb5.keytab
    KVNO Principal
    ---- -----------------------------------------------------------------
    82 SAPServiceWD2/la.gr.repsolypf.com@LA.GR.REPSOLYPF.COM
    subuel94:wd2adm 3> klist
    Ticket cache: FILE:/tmp/krb5cc_3243
    Default principal:
    SAPServiceWD2/la.gr.repsolypf.com@LA.GR.REPSOLYPF.COM

    Valid starting Expires Service principal


    11/05/04 18:34:12 11/06/04 04:34:12
    krbtgt/LA.GR.REPSOLYPF.COM@LA.GR.REPSOLYPF.COM

    Por ultimo es necesario editar el crontab para configurar la renovación cada 16 horas, como
    sigue:

    crontab -e

    y agregar la siguiente línea:

    0 0,6,12,18 * * * /usr/local/bin/kinit -k -t /etc/krb5.keytab


    SAPService<SID>/la.gr.repsolypf.com@LA.GR.REPSOLYPF.COM

    Hoja 4 de 4

    You might also like