✒️SAP BASIS Los parámetros de logon y los usuarios estándar
SAP BASIS Los parámetros de logon y los usuarios estándar
Parámetros de logon y usuarios estándar
Parámetros del sistema para logon de usuarios
· login/min_password_log: Longitud mínima de la contraseña
· login/min_password_digits: Número de dígitos
· login/min_password_letters: Número de letras
· login/min_password_lowercase: Número de letras minúsculas
· login/min_password_uppercase: Número de letras mayúsculas
· login/min_password_specials: Número de caracteres especiales
Rango de valores entre 1 y 40.
Login/password_expiration_time: Número de días para el cambio de contraseña, si se configura en 0 el usuario no necesita cambiarla.
Reglas generales:
· Al menos 6 caracteres
· No comenzar con ? o !
· No puede ser pass
· Diferir al menos 1 carácter de la anterior
Que la contraseña difiera de las 5 últimas no es mandataria y se puede configurar con el parámetro login/password_history_size, con valores entre 1 y 100. El valor propuesto se mantiene en 5.
Restricciones adicionales se pueden definir en la tabla USR40
Los parámetros login/password_max_new_valid y login/password_max_reset_valid que existían en SAP Web App Server 6.20 y 6.40 y especificaban el tiempo de validez de una contraseña inicial o recreada han sido reemplazados en login/password_max_idle_initial en con la versión SAP Netweaver AS 7.0.
max_idle_initial: indica cuánto tiempo una contraseña nueva (seleccionada por un administrador) permanece válida si no es utilizada.
login/password_max_idle_productive: máximo tiempo para validez, cuando no es usada, para una contraseña productiva.
Se puede reactivar la contraseña asignando nuevamente una contraseña inicial.
login/min_password_diff: número de caracteres diferentes en comparación a la anterior. No tiene efecto cuando la contraseña es creada o reactivada.
login/fails_to_session_end: Número de intentos fallidos de logon, al cumplirse se deberá reiniciar SAP GUI
login/fails_to_user_lock: Número de intentos fallidos de logon, al cumplirse se bloquea el usuario en el sistema. El contador se reinicia luego de un intento exitoso. Desde la versión SAP Netweaver 7.0 los usuarios no se desbloquean a la medianoche. Se puede reactivar este comportamiento con login/failed_user_auto_unlock = 1
SU01: Desbloquear, Bloquear, Asignar nueva contraseña
login/disable_multi_gui_login: Determina si un usuario puede ingresar a un cliente con más de una sesión. Cuando está configurado en 1, el usuario puede Continuar con el logo y finalizar el anterior, terminar el logon.
login/multi_login_users: Excluir usuarios, separados por comas y sin espacios, de la configuración disable_multi_gui_login
Usuarios Estándar
Existe aquellos creados por la instalación del sistema y aquellos creados durante la copia de un cliente.
Durante la instalación, el cliente 000 y 066 son creados (el cliente 001, no siempre es creado, como por ej cuando se instala ERP 6.0)
Los usuarios estándar predefinidos en los clientes y sus credenciales, pueden ser conocidos por otras personas, es aconsejable que protejamos estos usuarios de accesos no autorizados.
SAP*: Único usuario que no requiere un registro maestro, por estar definido en el kernel de sistema. Por defecto tiene la contraseña pass y autorización irrestricta al sistema. Se crea durante la instalación en el cliente 000 y 001 si existe. Solo podremos continuar con la instalación si ingresamos la contraseña. Si se crea el registro maestro de un usuario, se desactivan las propiedades especiales, y sólo aplican las autorizaciones y contraseñas definidas en el registro.
DDIC: Diccionario ABAP (ABAP Dictionary) y logística de software. Se crea automáticamente un registro maestro en el cliente 000 y 001 si aplica. En la instalación pedirá cambiar la contraseña. Ciertas autorizaciones son predefinidas, solo el usuario DDIC puede realizar logon duarante upgrade.
En versiones anteriores las contraseñas por defecto para SAP* y DDIC eran 06071992 y 19920706. Era necesario modificar estas contraseñas.
EarlyWatch: Se crea en el cliente 066 y su contraseña es support. Los expertos de SAP utilizan este usuario, no debe ser borrado ni cambiada su contraseña. Sólo debe ser utilizado para funciones de EarlyWatch: monitoreo y performance. Las autorizaciones para este usuario ya son provistas durante la creación.
Para proteger el usuario SAP* es necesario crear su registro maestro, se crea el usuario y se le otorga SAP_ALL
login/no_automatic_user_sapstar: Permite validar el funcionamiento del usuario SAP*, si se configura en 1 el usuario no es válido para el sistema. Si el registro maestro de este usuario es borrado, a contraseña PASS no funciona.
Es conveniente activar el parámetro en el DEFAULT.PFL para que tenga efecto en todas las instancias. También se puede crear el registro maestro en todas las instancias y así asegurar que no se podrá ingresar con la clave PASS, si el parámetro es desactivado.
Sobre el autor
Publicación académica de Abel Franco Garrido Letelier, en su ámbito de estudios para la Carrera Consultor Basis NetWeaver.
SAP Senior
Abel Franco Garrido Letelier
Profesión: Ingeniero en Infraestructuras - Chile - Legajo: OG36X
✒️Autor de: 40 Publicaciones Académicas
🎓Egresado de los módulos:
Certificación Académica de Abel Garrido
