目的
本博客详细介绍了为SAP HANA 2.0配置基于LDAP的身份验证所需的步骤。基于LDAP的身份验证对用户有很大的帮助,原因有二
概述
LDAP定义了访问目录服务的标准协议,各种目录产品都支持该协议。使用目录服务可以将公司网络中的重要信息集中存储在服务器上。为整个网络集中存储信息的优点是,您只需维护一次数据,这避免了冗余和不一致。
如果公司网络中有LDAP目录,您可以配置SAP系统使用此功能。例如,正确配置的SAP系统可以从目录中读取信息并将信息存储在目录中。
LDAP用户身份验证首先在HANA 2.0 SPS 00中引入,在随后的HANA 2.0 SPS 03版本中,它通过自动用户配置得到了增强。因此,云服务器多少钱一年,如果您的数据库位于HANA 2.0上,您可以按照本博客中列出的步骤配置LDAP。
过程
要启用LDAP用户身份验证,请通过在SAP HANA数据库中创建LDAP提供程序来设置到LDAP服务器的连接。根据您的要求,您可以将LDAP服务器配置为仅对用户进行身份验证,或对用户进行身份验证和授权。
在本博客中,我们将只配置LDAP对用户进行身份验证。其他功能(如LDAP组授权和自动用户创建)未在本博客中介绍
始终检查最新可用文档SAP Help Portal–为LDAPUser身份验证配置LDAP服务器连接
要在SAP HANA中配置到LDAP服务器的连接,您需要在SYSTEMDB中创建LDAP提供程序,然后每个租户数据库都有CREATE LDAP PROVIDER或ALTER LDAP PROVIDER语句。
注意:在这个博客中,显示的步骤是在租户数据库中执行的。因此,如果您希望在SYSTEMDB中进行LDAP身份验证,并且系统中的其他租户也需要在每个数据库中执行相同的步骤。
使用LDAP服务器用户访问LDAP服务器,该用户有权执行用户查找URL指定的搜索。此用户的凭据存储在安全的内部凭据存储中。
SAP HANA和LDAP服务器之间的通信可以使用TLS/SSL协议或安全LDAP协议(LDAPS)进行保护。
属性成员
我没有使用此LDAP属性,返现app,因为我不想验证用户是否是任何组或组的成员不是。
SSL{ON | OFF}
我想为客户端与LDAP的连接启用SSL。使用SSL协议时,用于验证通信的信任存储必须是SAP HANA数据库中具有LDAP目的的证书集合。签署LDAP服务器使用的证书的证书颁发机构(CA)的证书必须在此证书集合中可用。
当设置为"开"时,使用SSL/TLS协议,URL以"LDAP://"开头。
有关语法的详细选项在CREATE LDAP PROVIDER语句(访问控制)
中提及。如果以上语法无效正确,您将看到下面的消息,LDAP提供程序将被创建
注意:很有可能这个"创建LDAP提供程序"SQL查询出错,您将无法验证它。我不能在这里发布查询,但如果你们已经在ABAP中执行了LDAP,那么请尝试在这里使用类似的用户字符串以及与ABAP中相同的基本条目。
现在我们将验证LDAP提供程序配置和该LDAP提供程序用户的LDAP身份验证。
您将看到下面的消息,由于我们在租户数据库证书集合中没有维护客户端根证书,
如何获取AD根证书?
您可以询问您的广告团队,也可以从桌面获取广告根证书。打开"管理计算机证书"
在本例中,我们的根证书位于"中间证书颁发机构">"证书"下。因此,请检查您的根证书在桌面上的安装位置,并在.cer文件中下载相同的根证书。
在HANA驾驶舱中登录租户数据库>"管理证书"
单击"导入"
如果您有多个根证书,请浏览根证书的路径并逐个导入所有根证书。
一旦所有根证书都添加完毕,单击"转到证书集合"
单击左下角的"添加"
命名为"LDAP\u PSE"
单击"编辑目的"并将目的更改为"LDAP"
单击"添加证书"并选择在前面步骤中导入的所有证书
现在再次尝试验证LDAP提供程序,它现在应该可以在没有任何限制的情况下工作问题
现在您应该得到下面的结果
现在由于LDAP提供程序已经配置和验证,我们现在将检查AD用户是否可以使用LDAP提供程序进行验证,即使该用户不在HANA数据库中。
通过下面的查询,您可以检查用户是否在HANA数据库中不可用。我们可以看到,用户不是HANA数据库,但是它仍然能够在LDAP中验证用户。
注意:我们没有在HANA数据库中启用自动用户创建,因此,我们必须在HANA数据库中手动创建具有所需角色的用户,并提供LDAP身份验证。
现在我们将执行以下查询,在HANA数据库中创建具有LDAP提供程序身份验证的用户。
结果将是
在创建用户时,我们不必提供密码。在HANA studio中登录租户数据库>管理用户
您可以看到身份验证方法是LDAP,我可以使用网络密码登录