Развертывание соединителя данных Microsoft Sentinel для SAP с помощью SNC

Статья
03/06/2024

В этой статье показано, как развернуть соединитель данных SAP Sentinel для приема журналов SAP NetWeaver и SAP ABAP по безопасному подключению с помощью secure Network Communications (SNC).

Агент соединителя данных SAP обычно подключается к серверу SAP ABAP с помощью удаленного вызова функции (RFC) и имени пользователя и пароля для проверки подлинности.

Однако для некоторых сред может потребоваться подключение к зашифрованным каналам, а для некоторых сред может потребоваться использовать сертификаты клиента для проверки подлинности. В этих случаях для безопасного подключения соединителя данных можно использовать SNC из SAP. Выполните действия, описанные в этой статье.

Необходимые компоненты

Чтобы развернуть соединитель данных SAP Sentinel для SAP с помощью SNC, вам потребуется:

Криптографическая библиотека SAP.
сетевое подключение; SNC использует порт 48xx (где xx — номер экземпляра SAP) для подключения к серверу ABAP.
Сервер SAP, настроенный для поддержки проверки подлинности SNC.
Самозаверяющий или корпоративный сертификат центра сертификации (ЦС) для проверки подлинности пользователя.

Примечание.

В этой статье описывается пример сценария настройки SNC. В рабочей среде настоятельно рекомендуется обратиться к администраторам SAP для создания плана развертывания.

Экспорт сертификата сервера

Чтобы начать, экспортируйте сертификат сервера:

Войдите в клиент SAP и выполните транзакцию STRUST.
На левой панели перейдите к SNC SAPCryptolib и разверните раздел.
Выберите систему и выберите значение для темы.

Сведения о сертификате сервера отображаются в разделе "Сертификат ".
Выберите "Экспорт сертификата".
В диалоговом окне экспорта сертификата:
1. В формате файла выберите Base64.
2. Рядом с путьом к файлу щелкните значок двойных полей.
3. Выберите имя файла для экспорта сертификата в.
4. Выберите зеленый проверка марк для экспорта сертификата.

Импорт сертификата

В этом разделе объясняется, как импортировать сертификат, чтобы сервер ABAP считал его доверенным. Важно знать, какой сертификат необходимо импортировать в систему SAP. Необходимо импортировать только открытые ключи сертификатов в систему SAP.

Если сертификат пользователя является самозаверяемым, импортируйте сертификат пользователя.
Если сертификат пользователя выдан корпоративным ЦС: импорт сертификата корпоративного ЦС. Если используются корневые и подчиненные серверы ЦС, импортируйте как корневой, так и подчиненный общедоступные сертификаты ЦС.

Чтобы импортировать сертификат, выполните приведенные далее действия.

Выполните транзакцию STRUST.
Выберите Display<->Change (Отобразить<->Изменить).
Выберите "Импорт сертификата".
В диалоговом окне импорта сертификата:
1. Рядом с пути к файлу щелкните значок двойных полей и перейдите к сертификату.
2. Перейдите в файл, содержащий сертификат (только для открытого ключа) и выберите зеленый проверка mark, чтобы импортировать сертификат.
  
  Сведения о сертификате отображаются в разделе Certificate (Сертификат).
3. Выберите Add to Certificate List (Добавить в список сертификатов).
  
  Сертификат отображается в разделе "Список сертификатов".

Связывание сертификата с учетной записью пользователя

Чтобы связать сертификат с учетной записью пользователя, выполните следующие действия.

Выполните транзакцию SM30.
В таблице или представлении введите USRACLEXT и нажмите кнопку "Сохранить".
Просмотрите выходные данные и определите, имеет ли целевой пользователь соответствующее имя SNC. Если имя SNC не связано с пользователем, выберите "Создать записи".
В поле "Пользователь" введите имя пользователя. В поле "Имя SNC" введите имя субъекта сертификата пользователя с префиксом p:, а затем нажмите кнопку "Сохранить".

Предоставление прав входа с помощью сертификата

Чтобы предоставить права входа, выполните приведенные действия.

Выполните транзакцию SM30.
В таблице или представлении введите VSNCSYSACL и нажмите кнопку "Сохранить".
В появившемся информационном запросе убедитесь, что таблица является межсайтовой.
В разделе "Определение рабочей области: запись" введите E для типа записи ACL, а затем выберите зеленый проверка mark.
Просмотрите выходные данные и определите, имеет ли целевой пользователь соответствующее имя SNC. Если у пользователя нет связанного имени SNC, выберите "Создать записи".
Введите идентификатор системы и имя субъекта сертификата пользователя с префиксом p:.
Убедитесь, что выбраны проверка boxes for Entry for RFC activated and Entry for certificate activated, а затем нажмите кнопку "Сохранить".

Сопоставление пользователей поставщика услуг ABAP с идентификаторами внешних пользователей

Чтобы сопоставить пользователей поставщика услуг ABAP с идентификаторами внешних пользователей, выполните следующие действия.

Выполните транзакцию SM30.
В таблице или представлении введите VUSREXTID и нажмите кнопку "Сохранить".
В разделе "Определение рабочей области: запись" выберите тип идентификатора DN для рабочей области.
Введите следующие значения:
- Для внешнего идентификатора введите CN=Sentinel, C=US.
- Для seq. Нет, введите 000.
- Для пользователя введите SENTINEL.
Нажмите кнопку "Сохранить" и нажмите клавишу ВВОД.

Настройка контейнера

Примечание.

Если вы настроили контейнер агента соединителя данных SAP с помощью пользовательского интерфейса, не выполните действия, описанные в этом разделе. Вместо этого продолжайте настраивать соединитель на странице соединителя.

Чтобы настроить контейнер, выполните следующие действия.

Передайте файлы libsapcrypto.so и sapgenpse в систему, в которую будет создан контейнер.
Передайте сертификат клиента (как закрытый, так и открытый ключи) в систему, в которой будет создан контейнер.

Сертификат клиента и ключ могут находиться в формате P12, PFX или Base64 .crt и .key .
Передайте сертификат сервера (только открытый ключ) в систему, в которой будет создан контейнер.

Сертификат сервера должен быть в формате Base64 .crt .
Если сертификат клиента был выдан центром сертификации предприятия, передайте выданные сертификаты ЦС и корневого ЦС в систему, в которую будет создан контейнер.

Получите скрипт kickstart из репозитория GitHub Microsoft Sentinel:

wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh

Измените разрешения скрипта, чтобы сделать его исполняемым:
```
chmod +x ./sapcon-sentinel-kickstart.sh
```

Запустите скрипт и укажите следующие базовые параметры:

./sapcon-sentinel-kickstart.sh \
--use-snc \
--cryptolib <path to sapcryptolib.so> \
--sapgenpse <path to sapgenpse> \
--server-cert <path to server certificate public key> \

Если сертификат клиента находится в формате CRT или .key , используйте следующие параметры:

--client-cert <path to client certificate public key> \
--client-key <path to client certificate private key> \

Если сертификат клиента находится в формате PFX или P12 , используйте следующие параметры:

--client-pfx <pfx filename>
--client-pfx-passwd <password>

Если сертификат клиента был выдан корпоративным ЦС, добавьте этот параметр для каждого ЦС в цепочке доверия:

--cacert <path to ca certificate>

Например:

./sapcon-sentinel-kickstart.sh \
--use-snc \
--cryptolib /home/azureuser/libsapcrypto.so \
--sapgenpse /home/azureuser/sapgenpse \
--client-cert /home/azureuser/client.crt \
--client-key /home/azureuser/client.key \
--cacert /home/azureuser/issuingca.crt
--cacert /home/azureuser/rootca.crt
--server-cert /home/azureuser/server.crt \

Дополнительные сведения о параметрах, доступных в скрипте kickstart, см. в статье "Справочник: скрипт Kickstart".

Устранение неполадок и справочник

Сведения об устранении неполадок можно найти в этих статьях:

Дополнительные сведения см. в следующих статьях: