[50461] in SAPr3-news
ZBV mit LDAP-Anbindung: Passwortsync
daemon@ATHENA.MIT.EDU (Werner Flamme)
Fri Jul 2 03:36:51 2004
To: sapr3-news@mit.edu
Date: Fri, 02 Jul 2004 09:36:47 +0200
From: Werner Flamme <werner.flamme@ufz.de>
Message-ID: <2kkhkfF39pp6U1@uni-berlin.de>
Hallo allerseits,
wir basteln gerade eine ZBV für unsere beiden Produktivsysteme (R/3 4.6c
und EBP 3.5 zur dezentralen Bedarfserfassung) zusammen. Diverse Daten
(Telefon, Raum usw.) der User sollen aus dem LDAP synchronisiert werden.
Klappt ja auch soweit.
Nun ist bei uns das LDAP Maß der Dinge. Das LDAP schreibt seine Daten (u.
a. das Passwort) in das M$ AD, das für die Windows-Clients maßgeblich ist.
Solaris/Linux-Clients melden sich mittels pam_ldap an und erhalten so auch
das benötigte Passwort aus dem LDAP (jeder User verwaltet seine Daten über
ein Intranet-Frontend). Die LDAP-Daten sind ebenso maßgeblich für den
Mailzugang usw. usf., also unternehmensweit gilt 1 Account pro User und
damit auch 1 Passwort je User.
Das einzige System, das hier aus der Reihe tanzt, ist SAP. Zum einen gelten
(noch) unterschiedliche Benutzernamen, zum anderen kann lt. SAP kein
Passwort synchronisiert werden.
Da ich ja nun weiß, dass es in der EDV kein "geht nicht" gibt, wurde
gesucht und "ManageID Syncserv - SAP Adaptor"
(http://www.blockade.com/products/easep.html) gefunden. Hat jemand
Erfahrung mit der Software, insbesondere mit dem Passwortabgleich? Immerhin
heißt es in der Produktbeschreibung "The Blockade Enterprise Adaptor for
SAP synchronizes events to a SAP R/3 application server. These events
include: User Create/Delete, Lock/Unlock, Enable/Disable, and User Password
Changes. When the Enterprise Adaptor receives a synchronization transaction
from another Security Provider (e.g. UNIX, Windows 2000 Active Directory,
OS/390) via the Identity Server, the Enterprise Adaptor applies this
transaction to the defined SAP applications(s)", und wenn ich ein Passwort
per Transaktion vergebe, ist ein ein Initialkennwort und der User muss es
beim nächsten Login ändern, was der Sache genau entgegen läuft. Oder gibt
es andere Software, die unseren Wunsch erfüllt?
Eventuell würde ja auch ein FUBA helfen, der die Passwörter aus dem LDAP
abfragt, nach SAP-Weise hasht und direkt in der Datenbank (Oracle 9.2) ablegt.
Andere Frage: wie hoch ist der Aufwand, direkt Username und Passwort aus
dem LDAP zu ziehen? Da wir einen EBP einsetzen, haben wir auch einen ITS,
den man nach SAPnote 358469 braucht (der UN kann aus dem LDAP ermittelt
werden). SNC haben wir nicht.
Jeder sachdienliche Hinweis zur Passwortsync LDAP->SAP (nicht SAP->LDAP)
wird mit Beachtung belohnt ;-)
Freundlicher Gruß
Werner Flamme
