Ошибка в snc sap logon

Просмотр нерешенных тем
Сообщения без ответов | Активные темы

Автор	Сообщение
	Заголовок сообщения: SNC соединение Добавлено: Ср, май 28 2008, 09:50
Старший специалист Зарегистрирован: Вт, дек 18 2007, 13:19 Сообщения: 275 Откуда: Донецк Пол: Мужской	Здравствуйте, подскажите пожалуйста как настроить SNC соединение. Я скачал с оф. сайта SAP — saprouter и файл SAPCRYPTO.CAR и поместил все фалы, которые были в архиве, в папку где находится saprouter. Выполнил все действия как указаны в документации по настройке SNC соединение на оф. сайте http://service.sap.com/saprouter-sncdoc . Но когда создался файл local.pse текст в нем отображается не корректно и из-за этого я не могу отправить запрос в SAP. Подскажите, пожалуйста, что я делаю не так.
Вернуться к началу

Vit	Заголовок сообщения: Re: SNC соединение Добавлено: Пт, май 30 2008, 10:48
Зарегистрирован: Ср, ноя 17 2004, 18:38 Сообщения: 211 Откуда: МО Пол: Мужской	Roman Petrenko написал: Но когда создался файл local.pse текст в нем отображается не корректно и из-за этого я не могу отправить запрос в SAP. Подскажите, пожалуйста, что я делаю не так. А как именно не корректно ? Насколько из доки видно нужно создать запрос на сертификат и отправить его в сап. Т.е. в результате команды sapgenpse get_pse -v -r certreq -p local.pse «<Your Distinguished Name>» , вам нужно содержимое файла certreq.
Вернуться к началу

Roman Petrenko	Заголовок сообщения: Добавлено: Пт, май 30 2008, 13:01
Зарегистрирован: Вт, дек 18 2007, 13:19 Сообщения: 275 Откуда: Донецк Пол: Мужской	Отображался в виде кракозябров. Все верно как Вы и подсказали вопрос решился!
Вернуться к началу

Roman Petrenko	Заголовок сообщения: Добавлено: Пн, июн 02 2008, 12:46
Зарегистрирован: Вт, дек 18 2007, 13:19 Сообщения: 275 Откуда: Донецк Пол: Мужской	Здравствуйте, Получил сертификат, импортировал его в роутер, настроил библиотеки SNC, стартую saprouter и выдает следующую ошибку: C:usrsapSapRouter>saprouter -r -S 3299 -K «p:My Distinguished Name» trcfile dev_rout * ERROR SNC processing failed: * SncInit * * TIME Mon Jun 02 11:02:52 2008 * RELEASE 700 * COMPONENT NI (network interface) * VERSION 38 * RC -17 * MODULE nisnc.c * LINE 646 * DETAIL NiSncInit: sncrc=-1 * COUNTER 3 Подскажите, что необходимо сделать?
Вернуться к началу

RoboTehnik	Заголовок сообщения: Добавлено: Чт, июл 24 2008, 16:28
Начинающий Зарегистрирован: Чт, июл 10 2008, 12:08 Сообщения: 8	Такая же ошибка возникла. Посмотрел dev_rout и погуглив немного нашел ответ. Переименовать sapcrypto.dll для вашей системы в sncgss32.dll и положить его в каталог с saprouter.exe Продвинулись ли вы в настройке SNC соединения? Интересует вопрос, как настроить saprouttab, чтобы и мы могли заходить в сап и они к нам?
Вернуться к началу

Vit	Заголовок сообщения: Добавлено: Чт, июл 24 2008, 16:58
Зарегистрирован: Ср, ноя 17 2004, 18:38 Сообщения: 211 Откуда: МО Пол: Мужской	RoboTehnik написал(а): Такая же ошибка возникла. Посмотрел dev_rout и погуглив немного нашел ответ. Переименовать sapcrypto.dll для вашей системы в sncgss32.dll и положить его в каталог с saprouter.exe Продвинулись ли вы в настройке SNC соединения? Интересует вопрос, как настроить saprouttab, чтобы и мы могли заходить в сап и они к нам? В доках все же написано … Чтобы сап к вам ходил необходимо настроить service connection http://service.sap.com/serviceconnection , а также в system data прописать свои системы (главное application сервер) saprouter.tab KT «p:CN=sapserv2, OU=SAProuter, O=SAP, C=DE» 194.39.131.34 3299 P ip_тех_кто-будет_ходить_в_сап 194.39.131.34 3299 P 194.39.131.34 ip_тех_к_кому_сап_будет_ходить 3299[url][/url]
Вернуться к началу

RoboTehnik	Заголовок сообщения: Добавлено: Пт, авг 08 2008, 11:57
Начинающий Зарегистрирован: Чт, июл 10 2008, 12:08 Сообщения: 8	В Service Connection при проверке соединения использую строку SAP router /H/<External IP Adress>/S/3299 В итоге выдается сообщение об ошибке: Connect to SAP gateway failed Connect_PM DEST=o01, GWHOST=/H/<External IP Adress>/S/3299/H/194.117.106.129/S/3299/H/oss01.wdf.sap-ag.de/S/3301, GWSERV=sapgw01, SYSNR=01 Почему он пытается соедениться с 194.117.106.129 (sapserv1)? Как его научить соединяться с 194.39.131.34 (sapserv2)?
Вернуться к началу

Nicky	Заголовок сообщения: Добавлено: Пн, авг 11 2008, 11:17
Младший специалист Зарегистрирован: Ср, янв 16 2008, 21:08 Сообщения: 76	Посмотри в транзакции OSS1 -> Parameter -> Technical Settings. Там в поле SAProuter at SAP укажи параметры sapserv2, а в поле SAProuter1 или 2 укажи параметры своего сапроутера.
Вернуться к началу

RoboTehnik	Заголовок сообщения: Добавлено: Вт, авг 26 2008, 11:14
Начинающий Зарегистрирован: Чт, июл 10 2008, 12:08 Сообщения: 8	RoboTehnik написал(а): В Service Connection при проверке соединения использую строку SAP router /H/<External IP Adress>/S/3299 В итоге выдается сообщение об ошибке: Connect to SAP gateway failed Connect_PM DEST=o01, GWHOST=/H/<External IP Adress>/S/3299/H/194.117.106.129/S/3299/H/oss01.wdf.sap-ag.de/S/3301, GWSERV=sapgw01, SYSNR=01 Почему он пытается соедениться с 194.117.106.129 (sapserv1)? Как его научить соединяться с 194.39.131.34 (sapserv2)? Написали message в SAP, там нас переключили на SNC соединение
Вернуться к началу

Hi,
I have been playing with pyRFC for a while now, and was trying to see if it would be possible to use the SNC information as the connection parameters, but found this error

`c = Connection(snc_partnername=»p:domainuser», user=»user», ashost=»server.com», sysnr=»00″, client=»540″, saprouter=»», trace=»3″)

Traceback (most recent call last):
File «<pyshell#28>», line 1, in
c = Connection(snc_partnername=»p:domainuser»,user=»user», ashost=»server.com», sysnr=»00″, client=»540″, saprouter=»», trace=»3″)

File «src/pyrfc/_pyrfc.pyx», line 181, in pyrfc._pyrfc.Connection.init
File «src/pyrfc/_pyrfc.pyx», line 239, in pyrfc._pyrfc.Connection._open
File «src/pyrfc/_pyrfc.pyx», line 269, in pyrfc._pyrfc.Connection._error
pyrfc._exception.CommunicationError: RFC_COMMUNICATION_FAILURE (rc=1): key=RFC_COMMUNICATION_FAILURE, message=
LOCATION CPIC (TCP/IP) on local host with Unicode

ERROR SncPDLInit()==SNCERR_INIT
Unable to load GSS-API DLL
named «C:WindowssysWOW64sncgss32.dll»
TIME Tue Sep 03 14:51:28 2019
RELEASE 753
COMPONENT SNC (Secure Network Communication)
VERSION 6
RC -1
MODULE D:/depot/bas/753_REL/src/krn/snc/sncxxdl.c
LINE 462
DETAIL LoadLibrary(«C:WindowssysWOW64sncgss32.dll»)
Error 193 = «C:WindowssysWOW64sncgss32.dll is no v [MSG: class=, type=, number=, v1-4:=;;;]`

I tried with User and password and thats working fine.

I also verified that I have the sncgss32.dll file in the path (the path is in the SNC_LIB).
This is working with SAP Logon (I don’t need to use ‘user and password’ in SAP Logon), and also I saw another development in Excel that I assume connects through SNC because it doesn’t require user and password, so I’m not sure if there’s something wrong on my end or is it in SAP.

Any ideas what could it be?

Перейти к контенту

Secure Login Client SNC error

Use Case 

SAP GUI user wants to authenticate to SAP Applications Servers using Kerberos token or X.509 user certificate.

Error Message

Miscellaneous failure. Error in SNC.

Checklist

1. Check the certificate you are using.
   1. If you are using a Kerberos token, take the following steps:
      1. Verify if the user is authenticated in the Microsoft domain.
      2. Verify if Kerberos token is displayed in Secure Login Client Console.
   2. If you are using an X.509 certificate, proceed as follows: 
      1. Verify if X.509 certificate is displayed in Secure Login Client Console.
2. Verify if the security token (Kerberos or certificate) is used.
   1. Try with the option Use Profile for SAP Applications  if the desired profile is used.
3. Verify if SNC is enabled in SAP GUI for the desired SAP server. 
4. Verify if the SNC name of the desired SAP server is configured in SAP GUI (saplogon.ini).
   1.  Is the name correct? (Kerberos name / X.509 certificate name) 
   2. Note that the SNC name is case-sensitive.
5. Verify if the environment variable SNC_LIB is configured to use  sapcrypto.dll.
   Example: C:Program FilesSAPFrontEndSecureLoginlibsapcrypto.dll

Просмотр нерешенных тем
Сообщения без ответов | Активные темы

Правила форума

ВНИМАНИЕ! Прежде чем задавать вопрос, ознакомьтесь со ссылками ниже:

Вопросы по отличиям версий SAP, Add-On, EHP — сюда
Вопросы по SAP Front End (SAPlogon, SAPgui, guiXT и т.д.) — сюда
Вопросы по LSMW — сюда
Вопросы по архивации в SAP — сюда
Вопросы по SAP GRC — сюда
Вопросы по SAP Business Workplace (почте SAP) и SAP Office — сюда
Вопросы по miniSAP (SAP mini basis) — сюда
Вопросы по SAP HANA — сюда
Вопросы по лицензированию продуктов SAP — сюда

Автор	Сообщение
	Заголовок сообщения: SNC соединение Добавлено: Ср, май 28 2008, 09:50
Старший специалист Зарегистрирован: Вт, дек 18 2007, 13:19 Сообщения: 275 Откуда: Донецк Пол: Мужской	Здравствуйте, подскажите пожалуйста как настроить SNC соединение. Я скачал с оф. сайта SAP — saprouter и файл SAPCRYPTO.CAR и поместил все фалы, которые были в архиве, в папку где находится saprouter. Выполнил все действия как указаны в документации по настройке SNC соединение на оф. сайте http://service.sap.com/saprouter-sncdoc . Но когда создался файл local.pse текст в нем отображается не корректно и из-за этого я не могу отправить запрос в SAP. Подскажите, пожалуйста, что я делаю не так.
Вернуться к началу

Vit	Заголовок сообщения: Re: SNC соединение Добавлено: Пт, май 30 2008, 10:48
Зарегистрирован: Ср, ноя 17 2004, 18:38 Сообщения: 211 Откуда: МО Пол: Мужской	Roman Petrenko написал: Но когда создался файл local.pse текст в нем отображается не корректно и из-за этого я не могу отправить запрос в SAP. Подскажите, пожалуйста, что я делаю не так. А как именно не корректно ? Насколько из доки видно нужно создать запрос на сертификат и отправить его в сап. Т.е. в результате команды sapgenpse get_pse -v -r certreq -p local.pse «<Your Distinguished Name>» , вам нужно содержимое файла certreq.
Вернуться к началу

Roman Petrenko	Заголовок сообщения: Добавлено: Пт, май 30 2008, 13:01
Зарегистрирован: Вт, дек 18 2007, 13:19 Сообщения: 275 Откуда: Донецк Пол: Мужской	Отображался в виде кракозябров. Все верно как Вы и подсказали вопрос решился!
Вернуться к началу

Roman Petrenko	Заголовок сообщения: Добавлено: Пн, июн 02 2008, 12:46
Зарегистрирован: Вт, дек 18 2007, 13:19 Сообщения: 275 Откуда: Донецк Пол: Мужской	Здравствуйте, Получил сертификат, импортировал его в роутер, настроил библиотеки SNC, стартую saprouter и выдает следующую ошибку: C:usrsapSapRouter>saprouter -r -S 3299 -K «p:My Distinguished Name» trcfile dev_rout * ERROR SNC processing failed: * SncInit * * TIME Mon Jun 02 11:02:52 2008 * RELEASE 700 * COMPONENT NI (network interface) * VERSION 38 * RC -17 * MODULE nisnc.c * LINE 646 * DETAIL NiSncInit: sncrc=-1 * COUNTER 3 Подскажите, что необходимо сделать?
Вернуться к началу

RoboTehnik	Заголовок сообщения: Добавлено: Чт, июл 24 2008, 16:28
Начинающий Зарегистрирован: Чт, июл 10 2008, 12:08 Сообщения: 8	Такая же ошибка возникла. Посмотрел dev_rout и погуглив немного нашел ответ. Переименовать sapcrypto.dll для вашей системы в sncgss32.dll и положить его в каталог с saprouter.exe Продвинулись ли вы в настройке SNC соединения? Интересует вопрос, как настроить saprouttab, чтобы и мы могли заходить в сап и они к нам?
Вернуться к началу

Vit	Заголовок сообщения: Добавлено: Чт, июл 24 2008, 16:58
Зарегистрирован: Ср, ноя 17 2004, 18:38 Сообщения: 211 Откуда: МО Пол: Мужской	RoboTehnik написал(а): Такая же ошибка возникла. Посмотрел dev_rout и погуглив немного нашел ответ. Переименовать sapcrypto.dll для вашей системы в sncgss32.dll и положить его в каталог с saprouter.exe Продвинулись ли вы в настройке SNC соединения? Интересует вопрос, как настроить saprouttab, чтобы и мы могли заходить в сап и они к нам? В доках все же написано … Чтобы сап к вам ходил необходимо настроить service connection http://service.sap.com/serviceconnection , а также в system data прописать свои системы (главное application сервер) saprouter.tab KT «p:CN=sapserv2, OU=SAProuter, O=SAP, C=DE» 194.39.131.34 3299 P ip_тех_кто-будет_ходить_в_сап 194.39.131.34 3299 P 194.39.131.34 ip_тех_к_кому_сап_будет_ходить 3299[url][/url]
Вернуться к началу

RoboTehnik	Заголовок сообщения: Добавлено: Пт, авг 08 2008, 11:57
Начинающий Зарегистрирован: Чт, июл 10 2008, 12:08 Сообщения: 8	В Service Connection при проверке соединения использую строку SAP router /H/<External IP Adress>/S/3299 В итоге выдается сообщение об ошибке: Connect to SAP gateway failed Connect_PM DEST=o01, GWHOST=/H/<External IP Adress>/S/3299/H/194.117.106.129/S/3299/H/oss01.wdf.sap-ag.de/S/3301, GWSERV=sapgw01, SYSNR=01 Почему он пытается соедениться с 194.117.106.129 (sapserv1)? Как его научить соединяться с 194.39.131.34 (sapserv2)?
Вернуться к началу

Nicky	Заголовок сообщения: Добавлено: Пн, авг 11 2008, 11:17
Младший специалист Зарегистрирован: Ср, янв 16 2008, 21:08 Сообщения: 76	Посмотри в транзакции OSS1 -> Parameter -> Technical Settings. Там в поле SAProuter at SAP укажи параметры sapserv2, а в поле SAProuter1 или 2 укажи параметры своего сапроутера.
Вернуться к началу

RoboTehnik	Заголовок сообщения: Добавлено: Вт, авг 26 2008, 11:14
Начинающий Зарегистрирован: Чт, июл 10 2008, 12:08 Сообщения: 8	RoboTehnik написал(а): В Service Connection при проверке соединения использую строку SAP router /H/<External IP Adress>/S/3299 В итоге выдается сообщение об ошибке: Connect to SAP gateway failed Connect_PM DEST=o01, GWHOST=/H/<External IP Adress>/S/3299/H/194.117.106.129/S/3299/H/oss01.wdf.sap-ag.de/S/3301, GWSERV=sapgw01, SYSNR=01 Почему он пытается соедениться с 194.117.106.129 (sapserv1)? Как его научить соединяться с 194.39.131.34 (sapserv2)? Написали message в SAP, там нас переключили на SNC соединение
Вернуться к началу

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей

Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете добавлять вложения

Hi,
I have been playing with pyRFC for a while now, and was trying to see if it would be possible to use the SNC information as the connection parameters, but found this error

`c = Connection(snc_partnername=»p:domainuser», user=»user», ashost=»server.com», sysnr=»00″, client=»540″, saprouter=»», trace=»3″)

Traceback (most recent call last):
File «<pyshell#28>», line 1, in
c = Connection(snc_partnername=»p:domainuser»,user=»user», ashost=»server.com», sysnr=»00″, client=»540″, saprouter=»», trace=»3″)

File «src/pyrfc/_pyrfc.pyx», line 181, in pyrfc._pyrfc.Connection.init
File «src/pyrfc/_pyrfc.pyx», line 239, in pyrfc._pyrfc.Connection._open
File «src/pyrfc/_pyrfc.pyx», line 269, in pyrfc._pyrfc.Connection._error
pyrfc._exception.CommunicationError: RFC_COMMUNICATION_FAILURE (rc=1): key=RFC_COMMUNICATION_FAILURE, message=
LOCATION CPIC (TCP/IP) on local host with Unicode

ERROR SncPDLInit()==SNCERR_INIT
Unable to load GSS-API DLL
named «C:WindowssysWOW64sncgss32.dll»
TIME Tue Sep 03 14:51:28 2019
RELEASE 753
COMPONENT SNC (Secure Network Communication)
VERSION 6
RC -1
MODULE D:/depot/bas/753_REL/src/krn/snc/sncxxdl.c
LINE 462
DETAIL LoadLibrary(«C:WindowssysWOW64sncgss32.dll»)
Error 193 = «C:WindowssysWOW64sncgss32.dll is no v [MSG: class=, type=, number=, v1-4:=;;;]`

I tried with User and password and thats working fine.

I also verified that I have the sncgss32.dll file in the path (the path is in the SNC_LIB).
This is working with SAP Logon (I don’t need to use ‘user and password’ in SAP Logon), and also I saw another development in Excel that I assume connects through SNC because it doesn’t require user and password, so I’m not sure if there’s something wrong on my end or is it in SAP.

Any ideas what could it be?

I’ve searched for an answer to my issue, tried following Note 33135 to no avail. I feel I’ve successfully followed the guide «»Installing the SAPCRYPTO LIBRARY and Starting the saprouter.»»

However, If I go to transaction SM59 on any server within our landscape and attempt to test my connection to SAP via SNC, it fails with a connection error. I used tcode oss1 to configure the parameters for the OSS connection. Not sure if I put in the public or private ip address for our saprouter. I’ve seen conflicting information about this.

People can connect from outside our private network to SAP using our router so this seems to be an outbound issue only.

I asked our network person if our firewall could be at fault and was told we do not block anything outbound but our SAP Router server’s public ip only allows inbound traffic on ports 3299. I recently updated our SNC certificate and believe I have installed this correctly. Any help would greatly be appreciated. If I need to copy log files here or provide any additional information to help resolve this I will do so. I have opened a system message with SAP, but I we all know how long it takes since this is not a production down situation.

I discovered this issue while attempting setup of a new Solution Manager 7.1 Server in step 2 of SOLMAN_SETUP when it failed on Check Service Connection.

In the saprouttab, for the SNC entry to SAP should I use the sapserv2 ip or «»p:CN=sapserv2, OU=SAProuter, O=SAP, C=DE»»?

Thanks in advance for everyone’s help and guidance!

Read these next…

• 
  

  Roku TV being used as Wallboard Issues

  Hardware

  Helping someone out at their shop. They have 4 large Roku screens and 2 laptops with dual HDMI ports for video. They are viewing static website business dashboards and PowerPoint. At first all 4 screens connected to wireless, worked for a while but with a…

• 
  

  Charging for SSO

  Security

  We have SSO set up with around 5 or 6 solution providers via our M365. Not one of them charges for this, they just sent us the documentation.I identified another online service in use by one of our departments which would benefit from using SSO for staff …

• 
  

  Spark! Pro series — 9th February 2023

  Spiceworks Originals

  Today in History: America meets the Beatles on “The Ed Sullivan Show”

  At approximately 8:12 p.m. Eastern time, Sunday, February 9, 1964, The Ed Sullivan Show returned from a commercial (for Anacin pain reliever), and there was Ed Sullivan standing …

• 
  

  Green Brand Rep Wrap-Up: January 2023

  Spiceworks Originals

  Hi, y’all — Chad here. A while back, we used to feature the top posts from our brand reps (aka “Green Gals/Guys/et. al.) in a weekly or monthly wrap-up post. I can’t specifically recall which, as that was approximately eleven timelines ago. Luckily, our t…

• 
  

  Help with domain controller setup

  Windows

  I just got a new job as the only IT person for a business with around 270 employees (I would say probably less than half use computers) They don’t have any policies or procedures when it comes to IT, as they have never had an IT person. My background cons…

Symptom

You are getting below error while starting up the SAProuter,

command line arg 0:	saprouter.exe
command line arg 1:	-r
command line arg 2:	-K
command line arg 3:	CN=ITSITI, OU=12345, OU=SAProuter, O=SAP, C=DE
SncInit(): Initializing Secure Network Communication (SNC)
PC with Windows NT (mt,ascii,SAP_UC/size_t/void* = 8/64/64)
GetUserName()="daera"  NetWkstaUser="daera"
SncInit(): Trying environment variable SNC_LIB as
gssapi library name: "C:usrsapsaproutersapcrypto.dll".
File "C:usrsapsaproutersapcrypto.dll" loaded as GSS-API v2 library.
SECUDIR="C:usrsapsaprouter" (from $SECUDIR)
The internal Adapter for the loaded GSS-API mechanism identifies as:
Internal SNC-Adapter (Rev 1.1) to CommonCryptoLib
Product Version = CommonCryptoLib (SAPCRYPTOLIB) Version 8.4.39 pl40 
*** ERROR => SncPSetNewName()==SNCERR_BAD_NT_PREFIX  [sncxxall.c 2258]
SncPImportPrName() parsing error
name="CN=ITSITI, OU=12345, OU=SAProuter, O=SAP, C=DE"
< <- SncSetMyName()==SNCERR_BAD_NT_PREFIX
in: myname = "CN=ITSITI, OU=12345, OU=SAProuter, O=SAP, C=DE"
*** ERROR => NiSncInit: SncSetMyNameU failed 
(sncrc=-35;'CN=ITSITI, OU=12345, OU=SAProuter, O=SAP, C=DE') 

**************************************************************
*
*  ERROR       SNC processing failed:
*              SncSetMyNameU
*
*  TIME        Tue Jul 28 15:18:54 2015
*  RELEASE     720
*  COMPONENT   NI (network interface)
*  VERSION     40
*  RC          -17
*  MODULE      nisnc.c
*  LINE        576
*  DETAIL      NiSncInit: sncrc=-35
*  COUNTER     3
*
**************************************************************

Solution

• Verify your command correctly. You might have something left (normally, left the p:)
• Ensure your public IP is correctly working / accessible.

saprouter

Рассматриваемая конфигурация:

SAP ERP (Windows 2k8 + Oracle 11) / SAP GUI (Windows 7,8 32/64 bit)

1. Скачиваем из ноты 352295 файлы win64sso.zip и win32sso.zip.

2. В архиве win64sso.zip содержатся 64-битные библиотеки для активации SNC на стороне сервера, в win32sso.zip — на стороне клиента SAP GUI (sap gui исключительно 32 битный, даже если работает в Windows 7,8 64 bit)

3. Выполняем команду на контроллере домена или сервере SAP c правами администратора домена SETSPN -A SAPService<SID>/<sap-hostname>  <domain>SAPService<SID>, где <SID> ваш SAP SID, <domain> — имя вашего домена, <sap-hostname> — имя сервера  SAP.

4. Извлечь из архива win64sso.zip библиотеку gx64krb5.dll и скопировать ее в C:WindowsSystem32 сервера SAP

5. Создать переменную окружения на сервере SAP SNC_LIB=C:WindowsSystem32gx64krb5.dll

6. В транзакции SU01 у пользователя прописать SNC-имя в формате: p:DOMAINUSER@DOMAIN.LOCAL

6. Добавить настройки профиля инстанции:

snc/enable =1
snc/accept_insecure_cpic =1
snc/accept_insecure_gui =1
snc/accept_insecure_r3int_rfc =1
snc/accept_insecure_rfc =1
snc/data_protection/max =3
snc/data_protection/min =1
snc/data_protection/use =3
# Location of the dll used for kerberos
snc/gssapi_lib = C:WindowsSystem32gx64krb5.dll
snc/permit_insecure_start =1
# The Windows User Account used to run SAP Server
snc/identity/as = p:SAPService<SID>@<YOUR DOMAIN.LOCAL>
snc/r3int_rfc_secure = 0

8. Перезапустите инстанцию. Если что-то не завелось — смотрите лог любого рабочего процесса (usrsap<SID>DVEBMGS00workdev_w0)

9. Настройки SAP GUI

9.1 Переименуйте библиотеку gsskrb5.dll из ахрива win32sso.zip в sncgss32.dll и поместите ее в c:windowssystem32 (для 32-битных OS) или в c:windowsSYSWOW64 (для 64-битных OS)

9.2Если SAP GUI не нашел библиотеку прописать переменную окружения SNC_LIB=C:WindowsSystem32sncgss32.dll и проверить в том ли она месте (system32 или syswow64)

9.3 В свойствах подключения GUI активировать SNC и ввести строку p:SAPService<SID>@<DOMAIN.LOCAL>

10. Теперь при входе в систему пароль спрашиваться не будет, вместо этого внизу вы увидите уведомление вида: SNC logon by <MNDT> username for DOMAINUSER@DOMAIN.LOCAL.

Замечания:

Имена в SNC регистрочувствителные, следовательно, вам нужно узнать как именно был заведен пользователь в Active Directory, с заглавными или маленькими буквами.

Для удобства внедрения можно создать инсталлер (InstallShield), или скопировать файлик sncgss32.dll, saplogon.ini  и sapshortcut.ini через групповую политику Active Directory. Проверенно, это работает.

Переименование библиотеки нужно для SAP GUI, он ищет sncgss32.dll. Это можно исправить определив переменную окружения SNC_LIB.

Если нужен доступ по SSO в разные мандаты одной системы удобно создавать в SAP GUI ярлыки, прописав там хост, мандант и suser вы будете попадать в нужную систему (можно прописать и любимую транзакцию). Если suser не прописать — SAP будет спрашивать в какой мандант заходить. Если в одном манданте для пользователя активирован SSO, то ярлык, ведущий в другой мандант будет логиниться в текущий мандант. Это исправляется или прописыванием SNC в каждом из мандантов. Если нужно войти без SSO — в SAP GUI 7.30 нажать shift+enter на системе, или правой кнопкой мыши — вход без SSO. На старых версиях — нужно будет отключить SNC в настройках.

Есть альтернатива, SSO 2.0, но она платная, просто так ее не найти и не скачать.

Полезные материалы:

http://www.saptechies.org/create-ssosingle-sign-sap-sysetm/ (спасибо, ZeUsM)

http://service.sap.com/sap/support/notes/595341

https://scn.sap.com/thread/2004205

Запрос выводит пользователей, у которых не присвоено каноническое имя:

Нашел англоязычный вариант настройки:

К сожалению, в новой версии этой ноты нет возможности скачать эти библиотеки (