brconnect

SAP Gateway Security mittels secinfo und reginfo

Das SAP Systeme laut Sicherheitsleitfaden besonderer Schutzvorkehrungen bedürfen ist schon lange kein Geheimnis mehr. In der Regel stellt man die Systeme in eine eigene DMZ und sichert so schon mal die vielen Netzwerk Ports der Systeme ab und verhindert direkte Datenbankverbindungen, die nicht erwünscht sind. Soweit, so gut. Gegebenenfalls wird noch ein SAP Router als zentraler Zugangspunkt für Verbindungen eingerichtet. Den Rest erledigt man über die SAP hinterlegten Berechtigungsabfragen.

Sollte reichen wird der ein oder andere denken. Stimmt, reicht ja auch. Wenn da nicht das SAP Gateway einer jeden SAP Instanz wäre. Ist doch nicht so schlimm, ich habe doch extra eine DMZ eingerichtet, an das Gateway kommt man von außen nicht direkt. Und wie sieht es mit dem SAP Router aus? Sicher, dass nicht doch irgendwo eine unglückliche Portrange freigeschaltet ist? Und selbst wenn – solange der entsprechende Eindringling kein passenden ABAP User samt Passwort hat kann ja nichts passieren wird man jetzt argumentieren.

Leider stimmt das nicht ganz. [Read more…]

Nach der Systemkopie ist vor der Systemkopie

Nach einer erfolgreichen Systemkopie einer MCOD Datenbank in der sich sowohl der ABAP Part eines SAP Systems als auch der JAVA Part befindet gibt es ein Problem mit den gesetzten Synomymen, wenn man für die Kopie den JAVA Teil per Instalaltion wieder herstellt.

Dies sorgt dann dafür, dass der <sid>adm keine Datenbankaktionen mehr antriggern kann. Innerhalb des ABAP Systems äußert sich das zum Beispiel so, dass in der Transaktion DB02 der Baum für die Datenbank-Jobverwaltung gänzlich fehlt. Dieser ist dann auch nicht über die DB13 erreichbar. Ebenso ist es nicht möglich alsadm auf der Shell ein brconnect -f check auszuführen: [Read more…]

Und dann kam das Oracle nid Tool

Solltet ihr im Rahmen einer SAP Systemkopie eine Oracle Datenbank kopiert haben, die zufällig mit dem rman catalog arbeitet nicht vergessen danach brav eine neue Oracle ID zu vergeben.

Hierzu einfach an der Datenbank anmelden:

sqlplus „/as sysdba“
startup mount
!nid TARGET=SYS/<PASSWORD>@<SID>
startup mount
alter database open resetlogs;

Falls das Passwort von Sys nicht bekannt ist kann man das kurzerhand und schnell per brconnect setzen:

brconnect -u / -f chpass -o SYS -p <PASSWORD>

Das nid-Tool fragt ob man die IDs umsetzen möchte und fährt anschlißened die Datenbank runter. Anschließend dann nicht vergessen ein neues Full-Backup zu erstellen. Man weiß ja nie…