snc client encryption что это за программа
Проект по внедрению Single Sign On в SAP
Конец года, все потихоньку подводят итоги.
Для меня этот год запомнился проектом внедрения Single Sign On (SSO) между SAP и Windows. В этой статье расскажу об опыте внедрения и проектного менеджмента, подводных камнях, находках и выводах.
Компания — крупное транспортное предприятие в Бельгии, объединяющее метро, трамвай и автобус. Сотрудников более 10 тысяч, из них почти две тысячи это backoffice, использующий много инструментов: корпоративный сайт, почту, службу заявок, sharepoint, архивариус и, конечно, SAP.
SAP повсюду: от бухгалтерии и HR до регистрации движения транспортных единиц, документации аварий, аналитики, закупок, складирования и т.д.
Проблема:
Задача: внедрить SSO между Windows и SAP, чтобы, заходя в свою учётную запись на PC, пользователь мог залогиниться в SAP не вводя пароль.
Если вы не имеете дела с SAP вам будет интересна эта статья с точки зрения менеджмента проекта, для сапёров тех детали будут приведены (в скобках).
Введение
Забегая вперёд, если вы не горите желанием набивать стандартные шишки, вот список вопросов, которые вы должны прояснить для себя в самом начале проекта:
У нас состав участников проекта менялся несколько раз: сначала это был только отдел авторизации в SAP и отдел администраторов (Basic Components). Затем к ним присоединились отдел занимающийся авторизацией в Windows (Active Directory, AD) и отдел внедрения обновлений (Packaging), затем отдел баз данных и отдел мобильных приложений, и т.д.
Для технической стороны дела был приглашён внешний консультант, а Project Manager (ПМ) стала я, как человек занимающийся авторизациями в SAP (поэтому деталей по авторизациям в SAP в этой статье будет больше, чем других).
Важное уточнение: весь доступ, который мы даём в SAP, кастомизирован. Мы не пользуемся стандартными ролями, которые предлагает система, а создаём новые, под отдел, под позиции, под функции. На сегодняшний день у нас нет синхронизации между пользователями SAP и Windows AD. Например, если у вас пользователь обладает правами администратора в локальной сети, то это не значит, что он также администратор в SAP.
1. Scope
1.1 Scope Люди
Люди в нашей компании пользуются SAPом через приложение на личном компьютере (тонкий клиент — SAP Logon GUI), но не только. Как считать пользователей, попадающих под раздачу?
Мы взяли за основу всех, кто ежедневно подключается через SAP Logon (SAP user type Dialogue) с ноутбуков. В этой категории весь backoffice — сотрудники администрации, бухи, ичары, разработчики, тестировщики, логистика и т.д.
1.2 Scope Systems
В нашей компании в SAPе используются шесть активных landscapes (ECC, BI, SRM, Netweaver, PI, Solution manager), не считая песочниц. У каждой из них свои DEV, ACC, PRD — т.е. фактически это 6*3 = 18 систем.
Гласным голосованием было решено взять только первые четыре landscapes. PI и SM используются узким кругом администраторов и требуют обновления самой системы (по крайней мере обновления SAP_BASIS component до версии 740). Иначе транзакция sncwizard не поддерживается, а вручную это делать слишком хлопотно ради 10-20 человек.
2. Компоненты
Люди, интересующиеся тех деталями, найдут на сайте SAP пошаговую инструкцию, так же как и различные доступные способы (мы выбрали SSO based on Kerberos, но это не всегда очевидный вариант).
С очень упрощенной точки зрения (моей), SSO это надстройка в SAP, позволяющая вам заходить в систему, используя свою учётную запись Windows. Вы включаете компьютер, вводите пароль, и для того чтобы зайти в SAP вам достаточно двойного клика.
Чтобы магия сработала нужно 5 составляющих:
2.1 Изменение параметров системы (instances SAP)
В системе SAP (ECC, BI, SRM, Netweaver) нужно активировать параметр snc/enable =1. Это делается через sncwizard и включает подготовку, перезагрузку системы и окончательные шаги активации.
С параметрами до и после мы разобрались силами тех консультанта, помощи со стороны других отделов и методом проб и ошибок. Самое сложное здесь был рестарт системы.
На производстве всегда сложно перезапускать PRD, работа идёт круглосуточно. А в транспортной компании это вдвойне сложнее: транспорт двигается с пяти утра и до часу ночи, даже по выходным. Любые сложности с PRD влияют не только на сотрудников компании, но на весь город и десятки тысяч людей. Другими словами — нужно минимизировать время, когда система недоступна и по возможности совместить с другими обновлениями. При этом нельзя недооценивать бюрократию: рестарт это заранее согласованные по регламенту даты, время, продолжительность (если с первого раза параметры не сохранятся) и уведомление бизнеса.
У нас было четыре системы SAP PRD: ECC, Netweaver, SRM, BI – для перезагрузки
ECC — самая важная, на неё завязаны все данные реального времени и основной транспорт: автобусы, трамваи.
Данные системы Netweaver (аварии, мобильные приложения), как и системы ECC используются даже в 3 часа ночи — если трамваи не ходят, то ходят ремонтные бригады.
Система SRM — в основном используется для закупок и была доступна в любой день после 18:00.
С BI сложность в том, что на выходных в систему идут потоки загрузки данных из ECC, кроме того, иногда отчёты из BI, используются высшим менеджментом вне рабочих часов.
В совокупности на перезагрузки всех PRD ушло 2 недели.
P.S. Рестарту каждой из систем PRD предшествовали рестарты всех DEV и ACC, которые проще в согласовании, но также требуют планирования.
2.2 Windows Active Directory (AD)
В Active Directory требуется создание специального технического пользователя (SAP Kerberos). Этот пользователь будет связываться с Windows чтобы получить копию входного «тикета» для SAP. Достаточно одного такого сервисного пользователя AD для всех систем SAP.
Эта часть была целиком сделана нашим внешним консультантом и командой Active Directory, включала в себя несколько итераций по уточнению параметров и настройке спец.библиотеки, но для меня в большей степени осталась «чёрным ящиком».
2.3 Установка на компьютер пользователя программы SAP Secure Login Client (SLC)
Эта программа сама по себе ничего не делает. Она нужна, чтобы хранить тикет от AD, подтверждающий вашего пользователя при входе в сессию Windows, и при необходимости предоставлять этот тикет в SAP для авторизации. SLC можно установить всем пользователям сразу в начале проекта — без остальных компонентов SSO она всё равно работать не будет.
2.4 Привязка пользователя SAP к его пользователю AD
Как уже было сказано, в нашей компании нет единого управления пользователями, доступ в разных системах получают от разных команд. При этом login пользователя в SAP отличается от имени пользователя в Windows, например пользователь #45011 в AD это Иван Иванов или ИВАНОВИ. Именно эту связку и надо заполнить в SNC (через транзакцию SU01, поле SNC, p:CN=ADname@domain).
В нашей компании нет SAP Identity Management. Поэтому надо было решить две задачи: создание новых пользователей и обновление параметров существующих.
Создание новых пользователей
В основной системе (ECC) каждый рабочий день создаётся 4-6 новых логина, это за год почти 1000 новых пользователей. Процесс автоматизирован: при создании пользователя программа заполняет его адрес, имя, базовые настройки. Мы решили, что программа также должна заполнять поле SNC на этапе создания пользователя, независимо от того, потребуется ли человеку SSO в SAP впоследствии или нет.
Загвоздка была в том, что для каждого пользователя надо заполнить уникальное собственное имя в AD, т.е. это не одинаковый для всех параметр — т.е. надо чтобы программа сама искала имя пользователя в AD и заполняла его в SAP.
Разработчик быстро обновил программу. На код и базовое тестирование ушло 2 дня, но данные для проверки в ACC нам не подходили (AD не обновлялась), поэтому мы сразу отправили изменения в PRD. Там выяснилось что всё сложнее, чем мы думали. В процессе расследования пришли вот к такой схеме:
Почти две недели ушло на поиск, согласование изменений, согласование графика обновления и загрузки-выгрузки таблиц. Дело было в синхронизации — программа по созданию пользователей (пункт 6) должна строго запускаться после того, как все другие программы уже отработали и данные скопированы в таблицы. В итоге две недели мы отслеживали, когда какая программа завершилась и в какое время, и отлаживали схему.
Когда пользователи создаются с заполненным полем SNC, но без нужных AD имён, в SU01 можно увидеть всех юзеров-соратников по несчастью, привязанных к одному, несуществующему пользователю AD.
Обновление параметров существующих пользователей
Именно потому что у нас login SAP и Windows не совпадают, мы не смогли воспользоваться стандартным решением от SAP для массового заполнения поля SNC (программа RSUSR300 via SNC1).
В итоге данные 10 тысяч существующих пользователей я обновляла с помощью самодельного скрипта (SAP eCATT), выгрузив данные по пользователям вручную и создав variant. Для успеха пришлось открыть для изменений и eCATT системы в PRD и ACC и пообещать разработчикам миллионы печенек.
2.5 Модификация файла SAP logon.ini
Технически это дело 1 минуты. Надо лишь отметить в свойствах файла, что доступно подключение через SNC.
Сложность в том, что этот файлик находится локально на PC пользователя и надо поменять его у двух тысяч пользователей.
Фактически для нас финальное внедрение было моментом распределения нового файла sap.logon.ini среди пользователей, а не изменение параметров PRD. Потому что даже если первые четыре составляющие уже сделаны, а последняя пятая нет, то магия не случится.
С последним пунктом вышел небольшой казус. Я отчиталась перед руководством, что у нас 2000 пользователей, у кого будет установлено обновление, а когда пришло время внедрять, мне прислали статус, где их было 3500. Стало не по себе. Всё потому, что я со своей стороны видела только активных пользователей SAP, а в действительности обновление было отправлено на все персональные ноутбуки, которых в компании гораздо больше. Слава богу никаких багов с технической стороны не возникло.
3. Тестирование
Как тестировать SSO? Либо он работает, либо нет. Наш разработчик фыркал и говорил, что тестировать ничего не нужно, и как только всё заработает в «песочнице», нужно отсылать в продакшн. Конечно. Nobody will say he writes code with bugs.
SSO это не программа, её сложно внедрять последовательно DEV — ACC — PRD. Но тем не менее первичное тестирование необходимо, чтобы уловить всё, что потенциально может пойти не так. Тестирование в данном случае это распределение нового SAP logon.ini, когда все компоненты уже запущены. Мы тестировали DEV и ACC с разработчиками и новый SAP logon.ini c PRD c выборкой бизнес пользователей.
4. SNC это дыра в безопасности
Как быть с модификацией поля SNC?
Дело в том, что изменив поле SNC у другого пользователя (в SU01) на своё, вы можете подключиться под чужим аккаунтом, даже не меняя пароля. Система вас просто спросит какого пользователя выбрать, вашего или чужого. При этом, если вы это сделаете, завтра никто ничего не заметит, потому что пароль остался неизменным.
В любой компании есть люди, которые занимаются user management. Обычно эти люди следят за созданием пользователей (SU01) и доступа для них (PFCG), а также обновлением паролей. Совершенно логично, что они также могут заполнять поле SNC.
Проблема возникает, когда в компании надо разделять user management и просто key users. Администраторы создают пользователей, а key users при необходимости меняют их данные: параметры пользователя, его язык, его место локации и т.д.
В SAP для измененеия поля SNC нет отдельного этапа контроля. Все у кого есть права для изменения юзера (объект S_USER_GRP, ACTVT 02) также могут менять поле SNC (тогда как для изменения пароля требуется тот же объект, но c ACTVT 05).
Решений может быть несколько:
Мы в итоге выбрали последний вариант, сделав custom authorisation object и завязав программу SU01 на него. Правда, как выяснилось потом, у SAP есть похожее решение — можно активировать extended maintenance (note 1882254) для отдельных полей SU01.
5. Командная работа
За время проекта я столкнулась со всеми сложностями командной работы и открыла для себя много базовых истин:
Кроме всего от настойчивости консультанта зависит многое. Кто-то один, или консультант-разработчик или ПМ должен быть как пуля дерзким и пробивать стены бюрократии. В данном случае мне отчасти повезло, наш приглашённый консультант был назойливым и порой невыносимым (сложно было заставить его что-то услышать), но своё дело знал: о любых проблемах и остановках сообщал немедленно и не успокаивался пока проблема не разрешалась.
6. Информация для бизнеса
В большой компании изменения, затрагивающие конечных пользователей, должны быть своевременно, а лучше заранее объявлены.
В нашем случае надо было проинформировать всех пользователей, что теперь им не нужен пароль для входа в SAP. Также, надо было предоставить техдокументацию для 1ой линии поддержки со всеми возможными ошибками, которые могут возникнуть после внедрения.
Надо признаться, что с коммуникацией всё что могло, пошло не так.
Во-первых, мы объявили пользователям об SSO на корпоративном сайте, а не письмом. Как часто вы читаете корпоративный сайт? Многие просто ничего не заметили до тех пор пока их SAP внезапно не перестал запрашивать пароль.
Во-вторых, девушка, ответственная за размещение инфы, заболела, перепоручила, не проверила, мне сказали подождать неделю, я отказалась (в конце концов из-за оповещения задерживать проект?) и мой текст оказался на сайте без вычитки, с кучей очепяток.
В-третьих, техподдержка написала мне в день Go Live, что они не поддерживают изменения, если документация им пришла меньше чем за неделю (я отправила документацию за 2 дня), и что в случае звонков мы будем выкручиваться сами. Хорошо что технических ошибок не было.
Проект запустился и уже вовсю шёл 5-ый день эры SSO в нашем SAP, когда мы обнаружили слона, которого никто не заметил.
В компании присутствует два языка: голландский и французский. Априори, благо компания расположена в Брюсселе — у всех стоит французский. Но тем не менее многие сотрудники подключаются через голландский или английский. В общей сложности из 2-х тысяч активных пользователей, почти 500 человек это голландско-говорящие. Раньше они сами всякий раз меняли язык в окошке подключения.
Теперь у всех по дефолту оказался французский. Причём если бы мы оставили галочку “use a default language SAP logon” пустой — никаких вопросов не возникло бы, каждый бы подключался с тем языком, какой у него отмечен в параметрах (SU01, вкладка Defaults). После внедрения посыпались звонки с просьбой «сменить пользователю SAP».
На этапе тестирования проблемы замечено не было, потому что почти все тестировщики оказались французско-говорящими, либо подключались на французском в повседневной работе.
Решили проблему отправкой инструкцией о смене языка всем нидерландо-говорящим пользователям дабы предовратить их новые звонки в техподдержку.
8. Итоги и выводы
В целом внедрить SSO — это просто, когда вы это уже сделали хотя бы один раз в жизни. Говорят, что это вопрос 1-2 недель работы, но никак не 3-х месяцев.
На деле всё сильно зависит от масштабов компании. Каждая компания имеет свои особенности и много энергии и ресурсов уходит именно на понимание этих нюансов. В нашем случае три месяца было именно столько, сколько нужно для всех встреч, согласований, изменений.
Многие вещи про SSO были, возможно, уже давно известны, как минимум, гуглу. Например про запрос сервера к AD, или поле SNC. Но есть такая вещь, как вечная нехватка времени. Как специалист вы обязаны гуглить, а как менеджер проекта (особенно если вы не можете разобраться в первые полчаса, и у вас нет профильного образования) — вы должны найти самый короткий путь к решению.
Is your SAP GUI Connection encrypted? Can someone eavesdrop your passwords?
SNC Client Encryption
It was nice to hear that we could secure SAP GUI communication.
Most customers are not aware of this and use SAP GUI w/o encryption in clear text mode.
SNC Client Encryption is a tool that could be used for encryption without license fee.
I configured our ABAP Systems and SAP GUIs for encryption with the help of SAP notes, guides, help pages and scn blogs.
Like Phillip Hofmeister said in his blog I also had some difficulties for finding the right guide for configuring SNC Client Encryption.
Then I decided writing this blog for newer versions of SAP and CommonCryptoLib.
You can go below links to have detailed information.
I want to share how I did the configuration step by step.
Notes and links that needs to be read;
(This note has the right configuration Guide –Configuring SNC Client Encryption with CCL.pdf– that I realized lately)
I tried to follow the help page but unfortunately it was not clear and was not a step by step guide. (Some guys were complaining about this kinds of telling to do the things but not showing how to do that documents in discussions and blogs) I lost some time for this reason. At last I found the right guide attached to the note 2185235 that is very easy to use and helpful. No need to other documents.
Configurations Steps that I performed;
1 – Kernel Patch from 7.20 to 7.22 SP 23 (So CommonCryptoLib 8.4.30 is available in Kernel.)
Our system’s Kernel version was low so I changed the Kernel to 7.22 that is including the prerequisite CommonCryptoLib version 8.4.30 or higher condition.
2 – Check and apply the notes 1561161, 1580808, 1616598, 1617641 if applicable.
3 – Created an AD user
I asked System Administrators to create a user with below properties.
Logon Name : SNC-CE-USER
Last Name : Client Encryption User
Service Principal Name : SAP/SNC-CE-USER
User Cannot Change Password
Password nnever expires
You can check SPN with below command.
4 – Defined below SNC parameters
Using RZ10 transaction you must define below parameters to enable SNC
snc/gssapi_lib = D:\usr\sap\ \DVEBMGS00\exe\sapcrypto.dll
5 – Create your Kerberos keytab
Login to your SAP Systems OS with sidadm and using cmd create the keytab
set SECUDIR=D:\usr\sap\ \DVEBMGS00\sec
You can check the PSE with below command;
You can check if the credentials were successfully created with below command
6 – Restart your SAP system
When you restart SAP system if there is problem with keytab SAP system does not start. That time you can change snc/enable parameter to 0 and restart the system. After correcting the inconsistencies, you need to enable SNC again and restart your system.
You can check dev_wX trace files for troubleshooting the SNCinit problems.
7- Install SNC Client Encryption on the Windows hosts for the SAP GUI for Windows clients.
You install the SNC Client Encryption program on clients systems.
You can check if SNC_LIB environment parameter is defined after the installation.
(i.e. SNC_LIB = C:\Program Files (x86)\SAP\FrontEnd\SAP GUI\Encryption\secgss.dll)
8 – Configure SAP GUI for Windows to use SNC Client Encryption.
9 – Check the GUI connection
When you connect to the system you could see a lock symbol on the left bottom corner of the GUI screen like below.
If you could see this lock on your GUIs you have managed configuring SNC Client Encryption, too.
Links that I visited and had some knowledge for troubleshooting
Wishes;
Questions;
Thanks for your interest.
Assigned Tags
Thank you Mr Akçınar for your valuable blog.
This is just the kind of blog I like to see, with clear detailed descriptions and screenshots of a well laid-out step-by-step process, that is important to all of us and yet has thoroughly inadequate documentation to guide one through an actual implementation. Thank you.
I have forwarded your suggestion to add the SAP KBA 2185235 to that help.sap.com page.
@ Matt Fraser, I believe you meant «adequate»? 🙂
Perhaps «thoroughly» was too strong a word. 🙂
In reality, documentation on some of these things can be all over the map. Sometimes it’s simply out of date, and other times it seems to become circularly referential, with pointers to Notes or SCN documents or Help pages that then point back to the original document, such that the reader is left with a spinning head, wondering why it can’t just all be gathered together in one place with a clear «do this» guide that leads to correct implementation. Other times it perfectly lists all the available options but gives practically no guidance on when or why you would choose one over the other, or what the consequences would be. This isn’t always the case, but often enough.
Of course, Isaías, I would never say this of your documentation! In all seriousness, you’ve been a great help to many people here.
But this is when blogs like Yüksel’s become invaluable, with pointers to all the original documentation for those who want to dig deeper, but practical real-world advice on what worked for the author and the sequence of steps to get there.
Hello Matt, Hello Isaias,
Thank you for your valuable comments.
I am aware of not being thoroughly adequate. 🙂
In my opinion these kinds of documents can be prepared by the product owners, lab guys, developers etc.
Indeed there are a lot of topic to know in IT area even in SAP and even only in netweaever administration area as you know. So it is very difficult to keep yourself fresh and well informed for everything when everyday new versions of the products are coming a s Matt mentioned.
Anyhow I enjoyed when I am writing this blog.
Thanks again for spending time on my blog and encouraging me to write more.
I thought that SNC is only secure connection layer like https or ssh, but it is probably both secure connection and authentication. Is it true?
Of course https has also some authentication based on certificates and to public servers is possible connect without client certificate and only server certificate is signed by trusted CA or not.
I also thought that SNC Client Encryption is only for secure connection without SSO. And for SSO is SAP NW SSO2. And I’m supprised that SNC CE need some kerberos token/registration.
I’ve just created question about it, but in bad group.
I thought, that I can set SAP GUI only for secure connection without any authorization with manual logon.
So can I secure connect from SAP GUI to ABAP when I’m not in any kerberos/AD domain and other users in domain can also connect by this way and also with SSO?
SNC w/o SSO is used for encryption only. Yes, it is like https and ssh. For authentication you need to enter user password.
When you use SNC with SSO (this option is licensed) you can user certificates, tickets etc for logon. No user password needed for the AD or LDAP users.
I don’t think you can use SNC without AD user. I haven’t checked it either.
As you can see from above picture you must get a token from AD to use SNC CE.
But it is not mentioned in prerequisites that you must logon with AD user to a windows system. This is the prerequisite » SAP GUI with SNC Client Encryption installed on a computer running Microsoft Windows»
I will try to check an return back to you.
Seems, that kerberos/AD tokens are used for check if SAP GUI Win user/PC and NW AS ABAP are in trusted domain. So there probably are not connect negotiations like trusted certificate signed by CA in https or fingerprint in knownhosts for ssh.
Hi Martin, SNC Client Encryption is kind of a stripped down version of the Secure Login Client which is part of the SAP SSO license. They cut away X.509 support and they scramble the clients’ SNC name during logon so no SSO is possible.
SAP knows that there are loads of scenarios where encryption is needed but PCs are out of Windows domains or in many windows domains and is currently thinking about alternatives. We will have to wait and see what will come out of this thoughts.
Hi Yüksel, this is a great blog. I don’t feel that alone anymore with my «encrypt everything now and care about SSO later» approach.
From my experience I would like to add two things:
1. snc/idenity/as naming conventions
If you take this «Encrypt everything» approach sooner or later you will also configure X.509 based SNC for server server communication. AFAIK the @-sign in the snc/idenity/as paramater can make trouble in certificates’ CN. Thererfore we have a convention to just use
So in System ABC with installationnumber 0012345678 this would be
Certificates with this CN will be signed by our CA for easier trust configuration and the SPN attribute in the Domain accounts are unique and can easiliy be related to single SAP systems.
2. BW Clients and SNC without SSO
Everybody should know that there are loads of trouble with SNC without SSO and older BW Clients (older than approaximately one year).
Keep your GUI, Bex Analyzer and Analysis for Office installations updated in case BW Clients are used!
Also keep your BW systems updated because client launching transactions RRMX and RAAOE were buggy too.
(Bugs were e.g.: Logon impossible, traffic not encrypted, encrypted traffic using wrong RFC port (33xx instead of 48xx) and more).
So great to know that there is somebody else out there using the SNC Client Encryption (SNC without SSO).
Thank you for your contribution.
I will keep them in mind for next configurations.
Thanks for this nice blog, it really helps.
As per the Note 2185235 and the Guide I have implemented SNC for my customer.
As per current configuration, Users which are not using SNC Name under Network Tab of SAP GUI Client can also able to access my AS ABAP server using unsecured mode with Unlock Locked (i.e, SNC Not enabled) and the Users who has provided the SNC name can access under secured mode with SNC enabled and Lock appeared on right corner or SAP GUI.
If I have to permit users only to access SNC enabled connection what should I need to do?
As of now as per my knowledge, I have try to use the parameter «snc/accept_insecure_gui=0», and after putting the parameter value to 0 and restarted the server.
Please help ASAP, I would also like to understand » SNC only encrypt the network between SAP GUI Client and AS ABAP server. is user also need to map in SU01 under SNC tab?
Also please suggest is transactional users id which are maintained in AS ABAP (Created with SU01) and in Windows Domain AD users who accessing the desktop (in domain) should be same?
Is user id which are created under AS ABAP with SU01 need to to created in Active Directory with same name?
Please answer keeping all the scenarios in view only for SNC implementation, Not SSO.
Dear Mr. Yuksel Akcinar,
For your Questions,
Questions;
Because when we upgrade the kernel every time the Common cryptoLib 8 file will also be updated and get replaced with the new one. Then is we have to again do the keytab generation steps and integrate it with kerberos user or Windows AD.
Please suggest how can we go further while Kernel upgrade, or it will not effect the existing implemented SNC after upgrade … Please give some light.
I wanted to add a few notes that helped us along.
We looked at kerberos for users with SAP GUI and X.509 for server to server.
After banging our heads for while with SCE 1.0.
It looks like SAP has improved things in SCE 2.0 around using X.509 and Kerberos concurrently.
In terms of having a snc identity name to support both X.509 and Kerberos
In regards to forcing connections to use SNC these parameters may help.
(Initially I would use it just to validate that SNC is being used ie for RFC SM59 test fails for non SNC traffic and works for SNC traffic.)
eg for RFC snc/only_encrypted_rfc
Also some logging is available