Hallo zusammen,
der Linux Client (Mint 20) läuft bei uns in der v7.
Auf de Musterrechner, der in der Gruppe noprxy ist, funktioniert die Anmeldung mit dem Linux SAP Client problemlos.
In den Räumen tritt das Problem auf, dass die Verbindung zum externen SAP-Server nicht hergestellt werden kann.
In den Einstellungen des Client SAP Client habe ich dort Proxy IPs etc. eingetragen. Allerdings kann die Verbindung weiterhin nicht hergestellt werden.
Hier mal ein Screenshot der Einstellungen.
ich würde die SAP Anmeldung testen und gleichzeitig das Firewall Live Log ansehen. Außerdem das Squid Log. Vielleicht findest Du dort raus, ob etwas am Squid vorbei gehen möchte.
Hallo Klaus,
für Squid finde ich im acces.log folgenden Fehler:
2020-08-11T12:08:31.720000 0 10.20.102.100 TCP_DENIED/407 4026 CONNECT 10.16.1.254:443 - HIER_NONE/- text/html
Das deutet darauf hin, dass kein GET, sondern ein connect auf vermutlich eine https Site zur Anmeldung mit der Anwendung erfolgen soll.
Ich probier mal im Squid in der Config #Deny CONNECT to other than secure SSL ports #http_access deny CONNECT !SSL_ports
auszukommentieren.
Ergebnis: Keine Änderung
Ich habe dann in den Squid-Einstellungen Web-Proxy-> Verwaltung -> Weiterleitungs-Proxy -> Zugangskontrollisten -> erweiterter Modus
dort habe ich noch den von SAP benötigten Port eingetragen. Keine Änderung. Gleiches bei Eintragung bei erlaubten Netzen.
Gibt es nicht die Möglichkeit, eine Regel wie für noProxy Gruppe zu definieren, die bei einem best. Ziel, den Proxy umgeht ?
ich sehe es so, daß der SAP Client nicht Single-Sign On kann und deshalb der Verbindungsversuch von Squid abgelehnt wird.
Dein Vorschlag den Proxy für den SAP Client zu umgehen wird denke ich auch die beste Lösung sein. Es macht ja eigentlich auch keinen Sinn hier einen HTTP Proxy einzusetzen. Also entweder mit einer einzelnen Regel für alle Clients, oder, wenn Du nur bestimmte Clients/Subnetze erlauben willst, mit einem weiteren Alias, welcher diese Clients/Subnetze beinhaltet.
Diese Regel dann entweder vor oder nach der noProxy Gruppe platzieren. Wenn Du dazu noch Unterstützung brauchst, dann gib einfach Bescheid.
Hallo Klaus,
ja, ich muss eine Ausnahme definieren. Ich schau mir das morgen mal an.
Geht es, dass ich eine Gruppe mit allen Clients definiere und diese einer Regel zuordne, die besagt, dass bei einem best. Port / Ziel-IP … so wie ich ja auch ein Portforwardig dafür eingerichtet habe.
Danke !
VG
Chris
Hallo Klaus,
so habe ich es gerade umgesetzt. Einen Alias für Netze angelegt und dann eine neue Regel auf der Schnittstelle LAN definiert, die den Netzen bei Zugriff auf eine spezifische IP den Zugriff erlaubt - siehe da SAP-Client läuft
Danke für die Hinweise.
VG
Chris
