✒️SAP BASIS Los parámetros de logon y los usuarios estándar

PARAMETROS DE LOGON Y USUARIOS ESTANDAR

Veremos una serie de parámetros importante para la administración de usuarios.

PARAMETROS DEL SISTEMA PARA LOGON DE USUARIOS

Parametros del sistema de perfiles …………………..Valor defecto…………..Rangos

Longitud mina de la contraseña

login/min_password_lng…………………………..……….6…………….……….1-40 car.

Periodo de validez de la contraseña

login/password_expiration_time………………….….……0…………………….0-1000 dias

Dity peridod de contraseñas inciales no utilizados

login/password_max_idel_initial…………………………..0…………………..…0-24000 días

Idity periodo para contraseñas de usuarios no utilizadas

login/password_max_idle_productive……………………0…………….………0-24000 días

Inum diferencia de caracteres de la contraseña

login/min_password_diff……………………………………1……………….……. 1-40 car.

Historial de contraseñas

login/password_history_size………………..……………..5…………….…………1-100

Finalizar el procedimiento de inicio de sesión

login/fails_to_sesion_end………………………………….3……………….……..1-99

Numero máximo de intentos de inicio de sesión fallidos

login/fails_to_user_lock…………………………………….5……………..……….1-99

Desactivación del desbloqueo automático

login/failed_user_auto_unlock…………………………….0……………………….0-1

Desactivación de diálogo. Inicio de sesión múltiple

login/disable_multi_gui_login………………………….….0……………………….0-1

Usuarios especiales (inicio de sesión múltiple)

login/multi_login_users…………………………………………..……….alfanumérico

Existen algunas reglas generales sobre las contraseñas que no pueden desactivarse:

· Debe ser al menos de 6 caracteres de largo

· No puede comenzar con ¿ o !

· No puede ser PASS

· La nueva contraseña debe diferir de la anterior al menos en 1 carácter.

Lo configuración que determina que los usuarios deben crear una nueva contraseña que difiera de las 5 últimas no es mandatorio.

SAP WEB Aplication Server 6.20 y 6.40 ofrecían los parámetros login/passowrd_max_new_valid y login/password_max_reset_valid. Estos especificaban por cuanto tiempo una contraseña inicial para un usuario creado o una contraseña recreada por el administrador del sistema para un usuario son válidas.

Para SAP Netweaver AS 7.0, estos parámetros han sido remplazados por login/password_max_idle_intial. Una vez superado el tiempo, la contraseña no es válida y se debería restablecer.

Otro parámetro introducido después de la 6.40 es login/password_max_idle_productive. Indica el tiempo máximo de una contraseña productiva que es válido mientras esta no es usada. Una vez superado el tiempo esta contraseña ya no es válida y el administrador debe reasignar una nueva inicial.

Se pueden definir restricciones adicionales en la tabla USR40.

A medianoche hora del servidor, los usuarios que se bloquearon como resultado de intentos incorrectos de logón, no son desbloqueados automáticamente por el sistema, este es el valor por defecto de la versión SAP Netweaver 7.0. Se puede reactivar este desbloqueo automático con el parámetro: login/failed_user_auto_unlock = 1.

Mediante la transacción SU01, se puede bloquear, desbloquear, restablecer contraseña a los usuarios.

Si el parámetro login/disable_multi_gui_login está en 0, el usuario no puede ingresar a más de un cliente a la vez. Si está en 1, el sistema le pregunta:

· Continuar con este logón y finalizar cualquier otro logón en el sistema

· Terminar este logón

Tenemos la opción de excluir de este parámetro a los usuarios que especifiquemos en el parámetro login/multi_login_users separados por comas y sin espacios.

USUARIOS ESTANDAR

Hay dos tipos de usuarios estándar:

· Creados por la instalación del sistema SAP

· Creados durante la copia de un cliente

Durante la instalación del SAP, el cliente 000 y 066 son creados (el cliente 001 no siempre es creado durante la instalación. Si por ejemplo en la instalación de la versión ERP 6.0)

Hay usuarios estándar predefinidos en los clientes.

Estos nombres de usuarios y sus contraseñas son estándar, pueden ser conocidos por otras personas, por lo tanto es aconsejable como administradores que protejamos estos usuarios de accesos no autorizados.

EL USUARIO ESTANDAR DEL SISTEMA: SAP*

SAP* es el único usuario para el cual no se requiere registro maestro de usuario (no existe e una entrada en las tablas de usuarios) está definido en el kernel del sistema.

Tiene por defecto la contraseña PASS y autorización de acceso total al sistema.

Cuando se instala un sistema SAP, se crea un registro maestro de usuario para SAP* en el cliente 000 (y 001 si existe). Durante el proceso de instalación se nos solicita la contraseña.

La instalación solo continua si hemos ingresado la contraseña para el usuario SAP*

El registro maestro de usuario creado para SAP* desactiva las propiedades especiales de SAP*, por lo que solo las autorizaciones y contraseñas definidas en el registro maestro del usuario aplican ahora.

EL USUARIO ESTANDAR: DDIC

Usuario responsable de mantener el diccionario ABAP y la logística de software.

Un registro maestro se crea automáticamente en el cliente 000 (y 001 si aplica) para el usuario DDIC.

Se nos requerirá cambiar la contraseña de este usuario durante la instalación.

Ciertas autorización son predefinidas en el código del sistema para este usuario, por ejemplo el usuario DDIC puede realizar un logón al sistema durante la instalación de una nueva versión (upgrade).

NOTA: En versiones anteriores que tenían por defecto los usuarios SAP* y DDIC eran 06071992 y 19920706 respectivamente. Luego era necesario modificar estas contraseñas una vez instalado el sistema.

USUARIO ESTANDAR: EARLYWATCH

Se crea en el cliente 066 y está protegido con la contraseña Support.

Los expertos de SAP del servicio EarlyWatch son quienes utilizan este usuario.

Este usuario no debe ser borrado ni la contraseña debe ser cambiada.

Este usuario solo debe de utilizar para las funciones de EarlyWatch: monitoreo y performance.

Las autorizaciones necesarias para este usuario ya se hacen durante la creación del mismo en el proceso de instalación.

La contraseña estándar no puede ser cambiada.

NOTA: Si copias un cliente, el usuario SAP* siempre está disponible. Debemos crear un registro de usuario para este usuario estándar y asignarle el perfil SAP_ALL

Si borramos el registro de usuario SAP* (tabla USR02), la contraseña inicial PASS con las propiedades vuelven a ser validas nuevamente: el usuario tiene autorizaciones totales ya que no se realizan verificaciones de autorización para este usuario.

COMO PROTEGER EL SISTEMA CONTRA EL REISGO POTENCIAL DE ACCESO NO AUTORIZADO CON EL USAURIO SAP*

Se puede desactivar el usuario SAP*.

Modificamos el parámetro login/no_automatic_user_sapstar con el valor 1.

Si el parámetro está activo, SAP* no es válido en el sistema.

Si el registro maestro del usuario de SAP* es borrado, el logón con la contraseña PASS no funciona.

Si quisiéramos reinstalar el comportamiento anterior de SAP*, cambiamos el parámetro al valor 0 y reiniciamos el sistema.

NOTA: es conveniente activar el parámetro en el perfil global del sistema DEFAULT.PFL para que tenga efecto en todas las instancias del sistema (de todas formas si existiera el parámetro también en un perfil de instancia con el valor 0, este sobre escribe el que está en el perfil global). También crear el registro maestro de usuario SAP* en todas las instancias y así asegurar que no se podrá ingresar con la clave PASS si el parámetro es desactivado (valor 0).

Procedimiento de emergencia en un cliente que no tiene usuario o un bloqueo de usuario.

Existe un parámetro de auto desbloqueo, pero si no tenemos el parámetro sesteado debemos:

Borrar el usuario SAP* de la base de datos

Modificar manualmente el archivo de profile el parámetro login/no_automatic_user_sapstar al valor 0

Reiniciamos SAP

El sistema crea automáticamente al usuario SAP* con la contraseña PASS

Ya podemos hacer lo que necesitemos

Restablecemos la contraseña del usuario SAP*