[50500] in SAPr3-news
Re: ZBV mit LDAP-Anbindung: Passwortsync
daemon@ATHENA.MIT.EDU (Werner Flamme)
Mon Jul 5 07:50:24 2004
To: sapr3-news@mit.edu
Date: Mon, 05 Jul 2004 13:50:20 +0200
From: Werner Flamme <werner.flamme@ufz.de>
Message-ID: <2kstjsF5rmbmU1@uni-berlin.de>
Christian Zalto schrieb am 02.07.2004 22:27:
> "Werner Flamme" <werner.flamme@ufz.de> schrieb:
>
>
>>Das einzige System, das hier aus der Reihe tanzt, ist SAP. Zum einen
>> gelten
>>(noch) unterschiedliche Benutzernamen, zum anderen kann lt. SAP kein
>>Passwort synchronisiert werden.
>>
>
> Single-Sign On ist doch auch ohne Passwort-Synchronisierung möglich
> (in diesem Fall per SNC über Windows NTLM bzw. Kerberos) - wozu
> dann noch eine Synchronisation des SAP-Passworts, wenn es überhaupt
> nicht mehr benötigt wird?
Wir setzen 1 Enterprise Buyer System (Anmeldung ausschließlich über den
ITS) und 1 R/3-System ein. EBP und ITS auf Linux, R/3 auf Windows. Das ist
mir Kerberos nicht harmonisch ;-)
> Wenn's gleiche Benutzernamen sein sollen - dafür gibt's in der SU01 eine
> Funktion, den SAP Benutzer umzubenennen.
Nicht nötig, die sind gleich. Unterschiedlich sind Loginname lt. LDAP und
SAP-Benutzername, aber dafür gibt es ja sapAddOnUm.ldif als
Schemaerweiterung, und die ist auch installiert... Ging schneller als rund
600 SAP-User in je 2 Systemen umzubenennen... zumal wir nur 2 Leute haben,
die - neben der gesamten Modulbetreuung - auch noch das Usermanagement
machen. Und ein geänderter Username zieht auch Änderungen/Anpassungen in
der Org-Struktur nach sich, da wird nicht alles brav durchgereicht...
Sobald die ZBV läuft, wird abteilungsweise das Login von SAP und LDAP
angepasst. Dann können wir den Leuten noch schlechter verkaufen, warum sie
nach einer Passwortänderung im LDAP keine Passwortänderung im SAP haben...
>
>>Eventuell würde ja auch ein FUBA helfen, der die Passwörter aus dem
>>LDAP abfragt, nach SAP-Weise hasht und direkt in der Datenbank
>>(Oracle 9.2) ablegt.
>>
>
> Passwörter lassen sich mit LDAP nicht im Klartext abfragen.
Meinst Du SAP-Passwörter? Will ich ja nicht, ich will vom LDAP ins SAP
syncen, nicht anders herum. Und ein Klartextpasswort aus dem LDAP ließe
sich zur Not über Umwege realisieren... Gibt es einen FuBa
"MACHE_HASH_AUS_KLARTEXT"? ;-)
Das Feld PASSWORD/BAPIPWD entspricht dem Initialpasswort, macht also das
Gegenteil von dem, was wir wollen.
<seufz>
Freundlicher Gruß
Werner
