✒️SAP BASIS Los parámetros de logon y los usuarios estándar

PARAMETROS DE LOGON Y USUARIOS ESTANDAR

PARAMETROS DEL SISTEMA PARA LOGON DE USUARIOS:

Podemos especificar la longitud mínima de la contraseña con el parámetro login/min_password_Ing. El parámetro login/min_password_digits, logon/min_password_letters, login/min_password_lowercase, login/min_passord_uppercase, y login/min_password_special especifican el número de dígitos, letras(mayúsculas y minúsculas) o caracteres especiales que una contraseña puede contener. El rango de valores es entre 1 y 40.

El parámetro login/password_expiration_time especifica el número de días en los cuales u usuario debe cambiar su contraseña. Si el parámetro se configura en 0, el usuario no necesita cambiar su contraseña.

Existen algunas reglas generales sobre las contraseñas que no pueden desactivarse:

Una contraseña:

• Debe ser al menos de 6 caracteres de largo.
• No puede comenzar con ? o !
• No puede ser pass
• La nueva contraseña debe diferir de la anterior al menos en 1 caracter.

Se pueden definir restricciones adicionales en la tabla USR40.

SAP Web Application Server 6.20 y 6.40 ofrecian los parametros login/pawword_max_new_valid y login/password_max_reset_valid. Estos parametros especificaban por cuanto tiempo una contraseña inicial para un usuario creado o una contraseña recreada por el administrador del sistema para un usuario era valida. Con SAP Netweaver AS 7.0, estos parametros han sido reemplazdos por login/password_max_idle_initial.

El administrador de usuarios puede reactivar la contraseña asignando uevamente una contraseña inicial.

Otro nuevo parametro introducido luego de la version SAP Web AS 6.40 es login/password_max_idle_productive. Este indica el máximo tiempo que una contraseña productiva (contraseña seleccionada por el usuario) permanece valida cuando esta no es usada.

Una vez que este periodo ha caducado, la contraseña no puede ser utilizada para autenticacion. El administrador de usuarios puede reactivar la contraseña mediante la asignacion de una nueva contraseña inicial.

Con el parametro login/min_password_diff, el administrador puede determinar el numero de caracteres diferentes que una contraseña debe poseer en comparación con la contraseña anterior.

Se puede configurar el numero de intentos fallidos de logon despues de los cuales sap gui se cierra usando el parametro login/fails_to_session_end. Si el usuario quiere intentar de nuevo, deberá reiniciar sap gui.

Puedes tambien configurar el numero de intentos fallidos de logon despues de los cuales el usuario se bloquea en el sistema SAP usando el parametro login/fails_to_user_lock. El contador de intentos fallidos se reinicia despues de un intento exitoso de logon.

Si el paramerto login/disable_multi_gui_login se configura con el valor 1, un usuario no puede ingresar a un cliente mas de una vez,, o sea con mas de una sesion. Esto puede ser util por razones de seguridad del sistema. Si el parametro está configurado en 1, el usuario tendrá las siguientes opciones cuando abre mas una sesion:

• Continuar con este logon y finalizar cualquier otro logon en el sistema.
• Terminar este logon.

Tenemos la opcion de excluir de este parametro a los usuarios que especifiquemos en el parametro login/multi_login_users separados por comas y sin espacios.

USUARIOS ESTANDAR:

Esencialmente, hay dos tipos de usuarios estándar: aquellos creados por la instalación del sistema SAP y aquellos creados durante la copia de un cliente.

Durante la instalacion del sistema SAP, el cliente 000 y 066 son creados (el cliente 001 no siempre es creado durante la instalacion. Es creado por ejemplo durante la instalacion de un sistema ERP 6.0)

Usuarios estandar son predefinidos en los clientes.Como estos nombres de usuarios y sus contraseñas son estandar, pueden ser conocidos por otras personas por lo tanto es aconsejable que como administradores del sistema protejamos estos usuarios de accesos no autorizados.

EL USUARIO ESTANDAR DEL SISTEMA SAP*

SAP* es el unico usuario para el cual no se requiere un registro maestro de usuario (no existe una entrada en las tablas de usuarios) ya que esta definido en el kernel del sistema . SAP* tiene por defecto la contraseña pass y autorizacion de acceso irrestricto para el sistema.

Cuando instalamos un sistema SAP, un registro maestro de usuario se crea automaticamente SAP* en el cliente 000 (y 001 si existe). Durante el proceso de instalacion se nos solicitara indicar una contraseña.

La instalacion solo nos permitira continuar una vez que una contraseña se ha ingresado para el usuario SAP*.

El registro maestro de usuario creado para el usuario SAP* desactiva las propiedades especiales de SAP*, por lo que solo las autorizaciones y contraseñas definidas en el registro maestro del usuario aplican ahora.

EL USUARIO DDIC

Este usuario es responsable de mantener el Diccionario ABAP (ABAP Dictionary) y la logistica de software..

Cuando instalamos el sistema, un registro maestro de usuario se crea automaticamente en el cliente 000 (y 001 si aplica) para el usuario DDIC.

Con este usuario tambien, se nos requerirá cambiar la contraseña estándar durante la instalacion. Ciertas autorizaciones son predefinidas en el código del sistema para el usuario DDIC, lo que significa que por ejemplo, solo el usuario DDIC puede realizar un logon al sistema durante la instalacion de una version (upgrade)

EL USUARIO EARLYWATCH

Se crea en el cliente 066 y esta protegido con la contraseña support. Los expertos de SAP del servicio EarlyWatch son quienes utilizan este usuario. Este usuario no debe ser borrado ni la contraseña debe ser cambiada.

Este usuario solo debe ser utilizado para las funciones de EarlyWath: monitoreo y performance. Las autorizaciones necesarias para este usuario ya son provistas durante la creacion del mismo en el proceso de instalación.

DE QUE MANERA PODEMOS PROTEGER EL SISTEMA CONTRA ESTE POTENCIAL RIESGO DE ACCESO NO AUTORIZADO?:

Se puede desactivar el usuario SAP* que vine incluido en el sistema. Para esto, debemos configurar el parámetro del sistema login/no_automatic_user_sapstar con el valos 1. Si el parámetro esta activo, o sea con el valor 1, SAP* no es valido en el sistema. Si el registro maestro de usuario de SAP* es borrado, el logon con la contraseña PASS no funciona.

Importante: Existe un alto porcentaje donde el cliente no posee un usuario o en ocasiones alguien a intentado ingresar con mi usuario y me ha bloqueado, Existe un parámetro de autodesbloqueo pero si no contamos con este parámetro configurado debemos conocer que borrando el usuario SAP* de la base de datos y cambiando manualmente el archivo de profile el valor login/no_automatic_user_sapstar colocándole el valor 0 que significa falso y a la vez reiniciando SAP el sistema creara automáticamente al usuario SAP* con el password por defecto PASS (todo mayúsculas) de esta manera podremos ingresar al sistema resetear nuestro usuario, realizar todo lo que tengamos que hacer y no olvidarnos de cambiar el password a SAP* de modo que ninguna persona pueda ingresar con el mismo.