Offline / Online ReDO Logs
EINFÜHRUNG EINER UNTERNEHMENSWEITEN SCHNITTSTELLENABTEILUNG
Benutzerkontexte werden im SAP Extended Memory, im SAP Roll Memory und im SAP Heap Memory abgelegt. Dem Austausch von Daten zwischen den Kontexten eines Benutzers dienen der SAP Paging Memory und der SAP Extended Global (EG) Memory. Den zweiten wichtigen Speicherbereich bilden die SAP-Puffer. Diese halten benutzerübergreifende Daten auf dem Applikationsserver vor, auf die häufig zugegriffen wird und die wenig geändert werden. Wichtige Puffer sind der SAP-Programmpuffer, der die ABAP-Programme enthält, die DDIC-Puffer, die Metadaten der Tabellen enthalten, und der SAP-Tabellenpuffer für generische und für Einzelsatzpufferung. Die lokalen Speicherbereiche der konfigurierten Workprozesse bilden den dritten Speicherbereich. Der Speicher der SAP-Instanz wird durch den physischen Hauptspeicher (RAM), den Auslagerungsspeicher oder weitere Dateien, wie die Roll-Datei und die Paging-Datei.
Dies ist das Herzstück des SAP-Systems. Im klassischen Drei-Schichten-Modell wäre dies die Logik- oder Steuerungsschicht. Ein oder mehrere Applikationsserver hosten auf dieser Ebene die nötigen Dienste für die unterschiedlichen Anwendungen. Diese Applikationsserver stellen alle Dienste bereit, die von den SAP-Anwendungen benötigt werden. In der Theorie könnte ein einziger Server diese Rolle ausfüllen. Praktisch sind diese Dienste in den meisten Fällen auf mehrere Server verteilt, die jeweils unterschiedlichen Anwendungen dienen.
DOKUMENTATION / ARCHIVIERUNG
Alle Rollen, die die Zeichenkette “ADM“ enthalten, sind als kritisch anzusehen, da diese in der Regel administrative Rollen bezeichnen. Bei der Identifikation kritischer SAP Berechtigungen, Profile und Rollen ist zu bedenken, dass SAP für Namen zwar ein Konzept vorschlägt, dies aber durch Applikationen oder eigene Entwicklungen nicht immer berücksichtigt wird.
Viele Unternehmen kämpfen mit der Einführung und Benutzung von secinfo und reginfo Dateien für die Absicherung von SAP RFC Gateways. Wir haben dazu einen Generator entwickelt, der bei der Erstellung der Dateien unterstützt. In diesem Blog-Beitrag werden zwei von SAP empfohlene Vorgehensweisen zur Erstellung der secinfo und reginfo Dateien aufgeführt mit denen die Security Ihres SAP Gateways verstärkt wird und wie der Generator dabei hilft. secinfo und reginfo Generator anfordern Möglichkeit 1: Restriktives Vorgehen Für den Fall des restriktiven Lösungsansatzes werden zunächst nur systeminterne Programme erlaubt. Somit können keine externe Programme genutzt werden. Da das aber gewünscht ist, müssen die Zugriffskontrolllisten schrittweise um jedes benötigte Programm erweitert werden. Dieses Verfahren ist zwar sehr restriktiv, was für die Sicherheit spricht, hat jedoch den sehr großen Nachteil, dass in der Erstellungsphase immer Verbindungen blockiert werden, die eigentlich erwünscht sind. Darüber hinaus stellt die dauerhafte manuelle Freischaltung einzelner Verbindungen einen ständigen Arbeitsaufwand dar. Bei großen Systemlandschaften ist dieses Verfahren sehr aufwändig. Möglichkeit 2: Logging-basiertes Vorgehen Eine Alternative zum restriktiven Verfahren ist das Logging-basierte Vorgehen. Hierfür müssen vorerst alle Verbindungen erlaubt werden, indem die secinfo Datei den Inhalt USER=* HOST=* TP=* und die reginfo Datei den Inhalt TP=* enthalten. Während der Freischaltung aller Verbindungen wird mit dem Gateway-Logging eine Aufzeichnung aller externen Programmaufrufe und Systemregistrierungen vorgenommen. Die erstellten Log-Dateien können im Anschluss begutachtet und daraufhin die Zugriffskontrolllisten erstellt werden. Auch hier ist jedoch ein sehr großer Arbeitsaufwand vorhanden. Besonders bei großen Systemlandschaften werden viele externe Programme registriert und ausgeführt, was sehr umfangreiche Log-Dateien zur Folge haben kann. Diese durchzuarbeiten und daraufhin Zugriffskontrolllisten zu erstellen, kann eine kaum zu bewältigende Aufgabe darstellen. Bei diesem Vorgehen werden jedoch während der Erstellungsphase keine gewollten Verbindungen blockiert, wodurch ein unterbrechungsfreier Betrieb des Systems gewährleistet ist.
Basisadministratoren steht mit "Shortcut for SAP Systems" eine PC-Anwendung zur Verfügung, die etliche Tätigkeiten in der SAP Basis vereinfacht bzw. ermöglicht.
Je später Sie ein Risiko entdecken, desto teurer wird die Behebung.
Diese Zeit schlägt als Lade- und Generierungszeit (Mittlere Lade- & Generierungs-Zeit) zu Buche.