Zeitskalen
Personalisierung der Rolle in PFCG / Benutzer in SU01
Viele Unternehmen kämpfen mit der Einführung und Benutzung von secinfo und reginfo Dateien für die Absicherung von SAP RFC Gateways. Wir haben dazu einen Generator entwickelt, der bei der Erstellung der Dateien unterstützt. In diesem Blog-Beitrag werden zwei von SAP empfohlene Vorgehensweisen zur Erstellung der secinfo und reginfo Dateien aufgeführt mit denen die Security Ihres SAP Gateways verstärkt wird und wie der Generator dabei hilft. secinfo und reginfo Generator anfordern Möglichkeit 1: Restriktives Vorgehen Für den Fall des restriktiven Lösungsansatzes werden zunächst nur systeminterne Programme erlaubt. Somit können keine externe Programme genutzt werden. Da das aber gewünscht ist, müssen die Zugriffskontrolllisten schrittweise um jedes benötigte Programm erweitert werden. Dieses Verfahren ist zwar sehr restriktiv, was für die Sicherheit spricht, hat jedoch den sehr großen Nachteil, dass in der Erstellungsphase immer Verbindungen blockiert werden, die eigentlich erwünscht sind. Darüber hinaus stellt die dauerhafte manuelle Freischaltung einzelner Verbindungen einen ständigen Arbeitsaufwand dar. Bei großen Systemlandschaften ist dieses Verfahren sehr aufwändig. Möglichkeit 2: Logging-basiertes Vorgehen Eine Alternative zum restriktiven Verfahren ist das Logging-basierte Vorgehen. Hierfür müssen vorerst alle Verbindungen erlaubt werden, indem die secinfo Datei den Inhalt USER=* HOST=* TP=* und die reginfo Datei den Inhalt TP=* enthalten. Während der Freischaltung aller Verbindungen wird mit dem Gateway-Logging eine Aufzeichnung aller externen Programmaufrufe und Systemregistrierungen vorgenommen. Die erstellten Log-Dateien können im Anschluss begutachtet und daraufhin die Zugriffskontrolllisten erstellt werden. Auch hier ist jedoch ein sehr großer Arbeitsaufwand vorhanden. Besonders bei großen Systemlandschaften werden viele externe Programme registriert und ausgeführt, was sehr umfangreiche Log-Dateien zur Folge haben kann. Diese durchzuarbeiten und daraufhin Zugriffskontrolllisten zu erstellen, kann eine kaum zu bewältigende Aufgabe darstellen. Bei diesem Vorgehen werden jedoch während der Erstellungsphase keine gewollten Verbindungen blockiert, wodurch ein unterbrechungsfreier Betrieb des Systems gewährleistet ist.
Kann der SAP Extended Memory aufgrund der zuvor aufgeführten Beschränkungen nicht vergrößert werden und stellen Sie anhand der Modusliste fest, dass wenige Benutzer einen großen Teil des SAP Extended Memorys belegen, können Sie die Benutzerquote (ztta/roll_extension bzw. mit Basisversion 7.40 auch ztta/roll_extension_dia und ztta/roll_extension_nondia) reduzieren. Dies führt dazu, dass der einzelne Benutzermodus im SAP Extended Memory weniger Speicher belegt und stattdessen eher SAP Heap Memory verwendet. Dieses Vorgehen hat jedoch zwei Nachteile: Workprozesse gehen mit einer höheren Wahrscheinlichkeit in den PRIV-Modus. Daher muss eventuell die Anzahl der Dialog-Workprozesse erhöht werden. Dem einzelnen Benutzer steht insgesamt weniger Speicher zur Verfügung; dies kann im schlimmsten Fall zur Folge haben, dass Programme mit einem sehr hohen Speicherbedarf abbrechen.
SARA Archivadministration
Der SAP Paging Memory besteht analog zum Roll-Bereich aus einem Speicherbereich im Shared Memory des Applikationsservers (dem SAP-Paging-Puffer) und einer SAP-Paging-Datei auf einer Festplatte des Applikationsservers. Die Größe des SAP Paging Memorys und des SAP-Paging-Puffers wird durch die SAP-Profilparameter rdisp/PG_MAXFS und rdisp/PG_SHM eingestellt. Der SAP Paging Memory ist im Vergleich zu anderen Speicherbereichen weniger performancekritisch. rdisp/PG_MAXFS sollte allerdings ausreichend groß gewählt werden, um Programmabbrüche mit den Fehlern TSV_TNEW_PG_CREATE_FAILED oder SYSTEM_NO_MORE_PAGING zu verhindern. Der vorgeschlagene Wert von 32.000 (entsprechend 256 MB) sollte für alle normalen Anforderungen ausreichen. Steht der SAP-Profilparameter auf 32.000 und kommt es trotzdem zu Abbrüchen, liegt mit hoher Wahrscheinlichkeit ein Fehler im Programm vor (siehe entsprechende Hinweise im SAP Support Portal).
Um ein Sizing durchführen zu können, reicht es nicht aus, die Leistungsfähigkeit der Rechner miteinander vergleichen zu können, es werden auch Faktoren für den Vergleich der unterschiedlichen Szenarien untereinander benötigt. Die konkreten Zahlen variieren leicht zwischen den SAP-Versionen.
Etliche Aufgaben im Bereich der SAP Basis können mit "Shortcut for SAP Systems" wesentlich erleichtert werden.
Weitere Informationen finden Sie im Hinweis 42379.
Alle Risiken, die für ein normales SAP System bekannt sind, gelten auch für ein SAP-HANA System.