✒️SAP BASIS Los parámetros de logon y los usuarios estándar

1.- Los parámetros del sistema para logon de usuarios.

Se puede especificar la longitud mínima de la contraseña con el parámetro login/min_password_lng. Los parámetros login/min_password_digits, login/min_password_letters, login/min_password_lowercase, login/min_password_uppercase y login/min_password_specials especifican el número de dígitos, letras (mayúsculas y minúsculas) o caracteres especiales que puedan tener.

El rango de valores es entre 1 y 40.

El parámetro login/password_expiration_time especifica el número de días que un usuario debe cambiar la contraseña (si en el parámetro es 0 el usuario no necesitara cambiar su contraseña).

Existen reglas generales en las contraseñas que no deben desactivarse.

Una contraseña deberá tener lo siguiente:

• Debe ser al menos de 6 caracteres de largo.
• No puede comenzar con ? o !.
• No puede ser pass
• La nueva contraseña debe diferir de la anterior al menos en 1 carácter.

La configuración que determina cuando un usuario deba crear una contraseña nueva que sea diferente de las 5 últimas no es más mandatoria.

Podemos utilizar el parámetro login/password_history_size para configurar el historial ente 1 y 100 (el valor por defecto es el 5).

Se pueden definir restricciones adicionales en la tabla USR40.

Anteriormente con SAP Web Application Server 6.20 y 6.40 ofrecían parámetros login/password_max_new_valid y login/password_max_reset_valid, los cuales especificaban el tiempo que una contraseña inicial para un usuario creada o recreada por el administrador era válida. Con SAP NetWeaver AS 7.0, estos parámetros fueron reemplazados por login/password_max_idle_initial.

El parámetro login/password_max_idle_initial indica el tiempo una contraseña nueva (seleccionada por un administrador) permanecerá valida si no es utilizada.

Si el periodo se cumple, la contraseña no puede ser utilizada para la autenticación en el sistema.

El administrador puede reactivar las contraseñas asignando una nueva.

Otro parámetro nuevo es login/password_max_idle_productive el cual indica el máximo tiempo que una contraseña productiva (contraseña seleccionada por el usuario) permanece válida cuando no está en uso.

Cuando el periodo caduca la contraseña no puede ser utilizada, y el administrador podrá reactivarla mediante la asignación de una nueva.

Con el parámetro login/min_password_diff, el administrador puede determinar el número de caracteres diferentes que una contraseña nueva debe tener en comparación con la anterior (este parámetro no tiene efecto cuando la contraseña del usuario es creada o reactivada).

Transacción RZ11: Parámetros de logon

Se puede configurar el número de intentos fallidos de logon con login/fails_to_session_end.

También se puede configurar el número de intentos fallidos de logon con el parámetro login/fails_to_user_lock (aquí el contador de intentos fallidos se reinicia después de un intento éxitos de logon).

A la medianoche de la hora del servidor, los usuarios que se bloquearon por intentos fallidos de logon, no serán desbloqueados automáticamente por el sistema (valor por defecto desde la versión SAP NetWeaver 7.0.

Pero se puede reactivar este desbloqueo automático con el parámetro login/failed_user_auto_unlock = 1.

El administrador puede desbloquear, bloquear o asignar una nueva contraseña a los usuarios mediante la transacción SU01.

Si el parámetro login/disable_multi_gui_login se configura con el valor “1”, el usuario no puede ingresar a un cliente más de una vez (con más de una sesión). Esto es útil por razones de seguridad del sistema. Si el parámetro está configurado en “1” tendrá las siguientes opciones cuando abre más de una sesión:

• Continuar con este logon y finalizar cualquier otro logon en el sistema.
• Terminar este logon.

Se tiene la opción de excluir de este parámetro a los usuarios que especifiquemos en el parámetro login/multi_login_users separados por comas y sin espacios.

2.- Los usuarios estándar

Existen dos tipos de usuarios estándar (los creados por la instalación del sistema SAP y los creados por la copia de un cliente).

Durante la instalación del sistema SAP, el cliente 000 y 066 son creados (el cliente 001 no siempre es creado durante la instalación, es creado por ejemplo durante la instalación de un sistema ERP 6.0).

Usuarios estándar son predefinidos en los clientes. Como estos nombres de usuarios y sus contraseñas son estándar, pueden ser conocidos por otras personas por lo tanto se aconseja que los administradores protejan estos usuarios de accesos no autorizados.

• El usuario estándar del sistema SAP*

SAP* es el único usuario que no requiere un registro maestro de usuario (no existe una entrada en las tablas de usuarios) ya que está definido en el Kernel del sistema.

Tiene por defecto la contraseña “pass” y autorización de acceso irrestricto para el sistema.

Cuando se instala un sistema SAP, un registro maestro de usuario se crea automáticamente para SAP* en el cliente 000 (y 001 si existe), y en este proceso de instalación se solicitará indicar una contraseña.

La instalación solo nos permitirá continuar una vez que una contraseña se ha ingresado para el usuario SAP*.

El registro maestro para SAP* desactiva las propiedades especiales de SAP*, por lo que solo las autorizaciones y contraseñas definidas en el registro maestro del usuario aplican ahora.

• El usuario DDIC

Este usuario es responsable de mantener el Diccionario ABAP (ABAP Dictionary) y la logística de software.

Cuando se instala el sistema, un registro maestro de usuario se crea automáticamente en el cliente 000 (y 001 si aplica) para el usuario DDIC.

También nos requerirá cambias la contraseña estándar durante la instalación. Ciertas autorizaciones sn predefinidas en el código del sistema para el usuario DDIC, ejemplo, solo el usuario DDIC puede realizar un logon al sistema durante la instalación de una nueva versión (upgrade).

En versiones anteriores las contraseñas proporcionadas por SAP a los usuarios SAP* y DDIC eran 06071922 y 19220706 (luego era necesario modificar estas contraseñas una vez instalado el sistema.

• El usuario EarlyWatch

Este se crea en el cliente 066 y está protegido con la contraseña “support”. Los expertos de SAP del servicio EarlyWaych utilizan este usuario.

Este usuario no debe ser borrado ni cambiar la contraseña.

Este usuario solo se utilizará para funciones de EarlyWatch (monitoreo y performance) y las autorizaciones necesarias ya son provistas durante la creación de este en el

proceso de instalación.

Características especiales de SAP*

Si copuas un cliente, el usuario SAP* siempre está disponible, este usuario no tiene un registro maestro de usuario y está programado en código del sistema Kernel. Para proteger al sistema contra accesos no autorizados, debemos crear un registro de usuario para este usuario estándar.

Crea un usuario SAP* con autorizaciones totales en el sistema (perfil SAP_ALL).

Si eliminamos el registro de usuario SAP* (tabla USR02), la contraseña inicial “pass” con las propiedades vuelven a ser válidas nuevamente.

“El usuario tiene autorizaciones totales ya que no se realizan verificaciones de autorización para este usuario.”

La contraseña estándar no puede ser cambiada.

¿De qué manera podemos proteger el sistema contra este potencial riesgo de acceso no autorizado?

Se puede desactivar el usuario SAP* que viene incluido en el sistema, se debe configurar el parámetro del sistema login/no_automatic_user_sapstar con el valor “1”.

Si el parámetro esta activo con el valor “1”, SAP* no es válido en el sistema.

Si el registro maestro de usuario de SAP* es borrado, el logon con la contraseña “pass” no funcionara.

Si queremos reinstalar el complemento anterior de SAP*, debemos cambiar el parámetro con el valor “0” y reiniciar el sistema.

Es conveniente activar el parámetro en el perfil global del sistema DEFAULT.PFL para que tenga efecto en todas las instancias del sistema (si existiera un parámetro también en un perfil de instancia con el valor “0’, este se sobrescribirá al que está en el perfil global).

También crear el registro maestro de usuario SAP* en todas las instancias y así hay que asegurar que no se podrá ingresar con la clave “pass” si el parámetro es desactivado con el valor 0.

Existe un alto porcentaje de encontrar con situaciones donde el cliente no tiene usuario o alguien ha intentado ingresar con nuestro usuario y bloquearlo.

Se debe conocer que existe un parámetro de auto desbloqueo, si este parámetro no está configurado se necesitaría eliminar el usuario SAP* de la base de datos y cambiando manualmente el archivo del profile login/no_automatic_user_sapstar con el valor “1” y reiniciando SAP para que el sistema creara automáticamente al usuario SAP* con el password pass.