✒️SAP BASIS Los parámetros de logon y los usuarios estándar

1. Parámetros del sistema para logon de usuarios

Podemos especificar la longitud mínima de la contraseña con el parámetro login/min_password_Ing. Los parámetros
- login/min_password_digits
- login/min_password_letters
- login/min_password_lowercase
- login/min_password_uppercase
- lgin/min_password_specials
especifican el número de dígitos, letras (mayúsculas y minúsculas) o caracteres especiales que una contraseña puede llevar entre un rango de valores de 1 y 40

El parámetro login/password_expiration_time especifica el número de días en los cuales un usuario debe cambiar la contraseña. Si el parámetro se configura en 0, el usuario no necesita cambiarla

Existen algunas reglas generales sobre las contraseñas que no pueden desactivarse

Una contraseña:

- Debe ser al menos de 6 caracteres
- No puede comenzar con !, ?
- No puede ser pass
- La nueva contraseña debe diferir de la anterior al menos en 1 caracter

> La configuración que determina que los usuarios deben crear una nueva contraseña que difiera de las 5 últimas no es mandatoria. Se puede usar el parámetro login/password_history_size para configurar el historial entre 1 y 100. El valor propuesto por defecto se mantiene en 5

Se pueden definir restricciones adicionales en la tabla USR40

SAP Web Application Server 6.20 y 6.40 ofrecían los parámetros login/password_max_nex_valid y login/password_max_reset_valid estos especifican por cuanto tiempo una contraseña inicial para un usuario creado o una contraseña recreada era válida. Con SAP Netweaver AS 7.0, han sido reemplazados por login/password_max_idle_initial

> El parámetro login/password_max_idle_initial indica por cuanto tiempo una contraseña nueva permanece válida si no es usada. Una vez que el período se cumple, la contraseña no puede ser usada para la autenticación en el sistema

El administrador de usuarios puede reactivar la contraseña asignado nuevamente una contraseña inicial

Otro nuevo parámetro introducido luego de la versión SAP web AS 6.40 es login/password_max_idle_productive, que indica el máximo tiempo que una contraseña productiva permanece válida cuando ya no es usada

Una vez que este período ha caducado, la contraseña no puede ser usada para autenticación. El administrador puede reactivar la contraseña mediante la asignación de una nueva contraseña inicial

Con el parámetro login/min_password_diff, el administrador puede determinar el número de caracteres diferentes que una contraseña nueva debe poseer en comparación con la anterior. Este parámetro no tiene efecto cuando la contraseña es creada o reactivada

Se puede configurar el número de intentos fallidos de logon después de los cuales SAP GUI se cierra usando el parámetro login/fails_to_session_end. Si el usuario quiere intentar de nuevo, deberá reiniciarlo

También, se puede configurar el número de intentos fallidos de logon después de los cuales el usuario se bloquea en el sistema SAP usando el parámetros login/fails_to_user_lock. El contador de intentos fallidos se reinicia después de un intento exitoso

> A la medianoche de la hora del servidor, los usuarios que se bloquearon como resultado de intentos fallidos de logon, no son desbloqueados automáticamente por el sistema, valor por defecto desde SAP Netweaver 7.0. Se puede reactivar este desbloqueo automático con el parámetro login/failed_user_auto_unlock = 1

El administrador puede desbloquear, bloquear o asignar nuevas contraseñas desde la transacción SU01

Si el parámetro login/disable_multi_gui_login = 1, el usuario no podrá ingresar a un cliente más de una vez, o sea con más de una sesión. Esto es útil por razones de seguridad. Si el parámetro está en 1, el usuario tendrá las siguientes opciones cuando abre más de una sesión:
- Continuar con este logon y finalizar cualquier otro logon en el sistema
- Terminar este logon

Tenemos la opción de excluir de este parámetro a los usuarios que especifiquemos en el parámetro login/multi_login_users separados por comas y sin espacios


2. Usuarios estándar

Esencialmente, hay 2 tipos de usuarios estándar:
- creados por la instalación de SAP
- creados durante la copia de un cliente

Durante la instalación de SAP, se crea el usuario 000 y 066

Usuarios estándar son predefinidos en los clientes. Etos nombres y contraseñas son estándar, por lo que es aconsejable protegerlos de accesos no autorizados


>> El usuario estándar del sistema SAP*

SAP* es el único usuario para el cual no se requiere un registro maestro de usuario (no existe una entrada en tablas de usuarios) ya que está definido en el kernel. SAP* tiene por defecto la contraseña pass y autorización irrestricta para el sistema

Cuando instalamos SAP, un registro maestro se crea automáticamente para SAP* en el cliente 000 (y 001 si existe). Durante el proceso de instalación se nos solicitará indicar una contraseña

La instalación solo nos permitirá continuar una vez que una contraseña se ha ingresado para el usuario SAP*

El registro maestro de usuario para SAP* desactiva las propiedades especiales de SAP*, por lo que solo las autorizaciones y contraseñas definidas en el registro maestro del usuario aplican ahora


>> El usuario DDIC

Este usuario es responsable de mantener el Diccionario ABAP y la logística de software

Cuando se instala el sistema, un registros maestro de usuario se crea automáticamente en el cliente 000 (y 001 si aplica) para el DDIC

Con este usuario, se nos requerirá cambiar la contraseña estándar durante la instalación. Ciertas autorizaciones son predefinidas en el código del sistema para el usuario DDIC, lo que significa, solo el usuario DDIC puede realizar un logon al sistema durante la instalación de una nueva versión (upgrade)

> En versiones anteriores las contraseñas que tenían por defecto los usuarios SAP* y DDIC eran 06071992 y 19920706 respectivamente. Luego era necesario modificar estas contraseñas una vez instalado el sistema


>> El usuario EarlyWatch

Este usuario se crea en el cliente 066 y está protegido con la contraseña support. Expertos de SAP del servicio EarlyWatch son quienes usan este usuario y no debe ser borrado, ni la contraseña cambiada

Solo es usado para funciones de monitoreo y performance. Las autorizaciones necesarias ya son provistas durante la creación del mismo en el proceso de instalación

> Características especiales de SAP*
- si copias un cliente, SAP* siempre está disponible
- no tiene un registro maestro de usuario y está programado en código del sistema (kernel)
- para proteger el sistema contra accesos no autorizados, debemos crear un registro de usuario para este usuario estándar
- crea un usuario SAP* con autorizaciones totales en el sistema (perfil SAP_ALL)

Si borramos el registro de usuario SAP* (tabla USR02) la contraseá inicial pass con las propiedades vuelven a ser válidas: el usaurio tiene autorizaciones totales ya que no se realizan verificaciones de autorización para este usuario

La contraseña estándar no puede ser cambiada


>> De qué manera podemos proteger el sistema contra este potencial riesgo de acceso no autorizado?

Se puede desactivar el usuario SAP* configurando el parámetro login/no_automatic_user_sapstar = 1. Si el parámetro es activo (1), SAP* no es válido
Si el registro maestro de SAP* es borrado, el logon con la contraseña PASS no funciona
Si quisiéramos reinstalar el comportamiento anterior de SAP*, debemos cambiar el parámetro con el valor 0 y reiniciar el sistema


> Es conveniente activar el parámetro en el perfil global del sistema DEFAULT.PFL para que tenga efecto en todas las instancias del sistema. También crear el registro maestro de usuario SAP* en todas las instancias y así asegurar que no se podrá ingresar con la clave PASS si el parámetro es desactivado (valor 0)