云服务器价格_云数据库_云主机【优惠】最新活动-搜集站云资讯

云解析_数据库注册表删除_折扣

小七 141 0

云机服务器_企业级_哪家海外云主机好

前言:作为一名SAP技术顾问,在我的整个职业生涯中,SAP社区专家们所写的内容给了我很多帮助,因此我认为现在是回报的时候了。

如果您非常了解SAP HANA平台和Kerberos的体系结构,不用说,这个SSO也适用于saphana扩展系统。但是当我为一个客户实现它时,我发现很难找到任何相关的文档来支持我的理解,让我的生活变得简单。因此,正如我已经讨论过的,我在这里与这个博客一起,它将描述上述向前推进的确切配置步骤。

SSO、Kerberos和SAP HANA:单点登录允许用户登录一次并获得对多个资源的访问,而无需重复生成凭据。Kerberos是一种基于密钥加密的网络认证协议,由MIT的科学家发明。SAP HANA支持Kerberos v5,用于基于Active Directory(Microsoft Windows Server)或Kerberos身份验证服务器的单点登录。

我将不深入讨论SSO和Kerberos的理论细节,因为许多专家已经为每个主题提供了优秀的文档。在本博客中,我将继续关注SAP HANA横向扩展配置步骤。

示例场景:假设SAP HANA横向扩展引擎具有4个活动节点和1个备用节点,用于生产工作负载。基本上,您正在使用SAP HANA横向扩展的默认故障切换解决方案。

因此,现在如果您希望通过Kerberos对该SAP HANA引擎实施SSO,您可能会觉得为代理主节点配置SSO足以满足您的需求。但是如果您的代理主节点崩溃,而另一个主节点成为代理主节点呢?最终,故障切换将自动进行,不会导致数据丢失,但切换主节点将导致主动使用SAP HANA引擎的用户单点登录中断。

因此,您提出了一个节点冗余SSO解决方案,可以处理SAP HANA自动主机故障切换。如果我重新构造它,那么您必须为SAP HANA引擎的每个节点配置Kerberos SSO,以便在发生故障转移时,然后用户还可以通过单点登录登录到其他SAP HANA worker节点来访问SAP HANA engine。

配置和说明:为了允许用户使用Kerberos认证的SSO从客户端登录到SAP HANA横向扩展数据库,以下配置步骤是必要的:

现在让我们详细介绍一下上述每一个步骤:

1.FQDN测试和反向查找测试:首先,您将看到您的SAP HANA服务器所处的FQDN和IP,最简单的方法是执行以下操作:

现在检查反向查找请尝试以下操作,将IP替换为当前节点的IP,此python代码段应为您获取当前节点的FQDN:

请记住,特价云服务器,反向查找必须与主机名查找一致配置,因为SAP HANA数据库服务器Kerberos实现将使用此配置来确定SPN。此SPN最终将用于查找keytab。

根据我们的示例场景,我们的SAP HANA系统有5个节点,因此此检查必须对每个节点成功,即对每个节点FQDN查找和反向查找应一致。

2.检查并安装Kerberos包(如果需要):您应具有Kerberos与Linux发行版一起安装的软件包,淘客网店推广平台,如果没有,请使用此命令检查并安装它。尽管SAP HANA支持V5 Kerberos,但始终建议使用最新版本以增强安全性。

3.在AD(Active Directory)中创建服务用户,映射服务主体名称(SPN):

现在您要创建一个将在AD中表示SAP HANA的服务用户,由服务主体名称映射。理想情况下,此用户将是一个具有"密码永不过期"选项和复杂密码的通用帐户集。现在,创建此用户后,必须将所有5个SAP HANA节点映射为spn。对于SAP HANA上的Kerberos,spn如下:

hdb/

设置spn应如下:

现在设置每个节点的所有spn后,物联网架构,您可以用下面的方法进行验证,此命令应弹出为该服务用户设置的所有SPN:

4.跨节点维护Kerberos配置文件:在此步骤中,您需要创建Kerberos配置文件,该文件将包含当前体系结构的KDC和领域信息。我不打算讨论标准Kerberos配置文件的术语,因为专家提供了大量的资源,大数据前景如何,参数将根据您的领域设计和用例而有所不同。但是要记住的一点是,如果您使用的是SAP HANA 1.0 SPS11及更低版本,那么文件名应该是krb5.conf,否则应该是krb5_hdb.conf文件位于/usr/sap//home/etc。如果没有根据设计修改的文件,请创建此文件。

现在为了对每个节点实施Kerberos身份验证,您必须对sap HANA系统可用的所有5个节点放置相同的配置。请忽略我的示例图片中的KDC输入,我当时正在对可用的备份AD实例进行一些尝试和错误处理。

5.从SAP获取自动化脚本注意:1813724–HANA SSO使用Kerberos和SPNEGO:创建keytab并验证Kerberos配置:使用Kerberos使用SAP HANA配置单点登录而微软的活动目录是一个非常复杂的过程和手动配置是非常容易出错。记住这一点,SAP推出了一个python脚本:hdbkrbconf.py文件为了自动创建和扩展keytab,我使用了这个,因为我觉得很方便,但是请注意它只支持rc4 hmac加密。

上面提到的注释包含一个zip文件,请根据需要选择zip的版本。一旦你解压它,你会发现一个包含python脚本的目录。

本文地址: /shichang/28837.html
版权声明:本文发布于收集站云 内容均来源于互联网 如有侵权联系删除

上一篇:网站服务器_长沙模板网站建设_三重好礼

下一篇:虚拟主机_萤石云存储_免费

相关文章