✒️SAP BASIS Los parámetros de logon y los usuarios estándar
SAP BASIS Los parámetros de logon y los usuarios estándar
PARAMETROS DEL SISTEMA PARA LOGON DE USUARIOS
login/min_password_lng - longitud minima de la contraseña -1-40 car. por defecto 6
El siguiente grupo especifican el numero de digitos, letras (mayuscula o minuscula) o caracteres especiales que una password puede tener. Rango entre 1-40:
login/min_password_digits
login/min_password_letters
login/min_password_lowercase
login/min_password_uppercase
login/min_password_specials
login/password_expiration_time - periodo de validez de las contraseñas 0-1000dias. Si el valor es 0 el usuario no necesita cambiar el password. Por defecto 0.
login/password_max_idle_initial - periodo de password inical no usado 0-24000dias. Por defecto 0.
login/password_max_idle_productive - periodo de password de usuarios no usado 0-24000dias Por defecto 0.
login/min_password_diff - diferencia de caracteres de la contraseña 1-40car. Por defecto 1.
Reglas generales de un password:
-como minimo 6 caracteres
-no puede comenzazr con ? o !
-no puede ser pass
-El password nuevo defe ser diferente al anterior como minimo en 1 caracter.
La configuracion que dice que los usuarios deben crear una contraseña nueva que sea diferente de las ultimas 5 no es mas mandataria.
Se puede usa el parametro login/password_history_size para configurar el historial entre 1 y 100. El valor por defecto es 5.
En la tabla USR40 se definen las restricciones adicionales.
En SAP web APP Server 6.20 y 6.40 los parametros:
login/password_max_new_valid
login/password_max_reset_valid
especifican durante cuanto tiempo una contraseña incial de usuario o recien creada poer el admin era valida.
En SAP web APP Server 7.0 se hace con el parametro:
login/password_max_idle_initial.
El parametro login/password_max_idle_initial indica durante cuanto tiempo un password nuevo permanece valida si no es usada. Una vez que el periodo se supera la contraseña no puede ser usada para la autenificacion en el sistema.
El admin reactiva la contraseña con una password nueva inicial
El parametro login/password_max_idle_productive es introducido despues de la v 6.40 que indica el tiempo maximo que un passeord productivo (contraseña seleccionada por el usuario) permance valida cuando no se usa.
Estem parametro no tiene efecto cuadno las password del usuario es creada o reactivada.
login/fails_to_sesion_end - finaliza el procedimiento de inicio de sesion. El usuario debera reiniciar el SAP GUI
defecto 3
rango 1-99
login/fails_to_user_lock - numero maximo de intentos de fallos de sesion. Si hay un intento con exito el contador de fallos se pone a 0.
defecto 5
rango 1-99 desde sap NW 7.0
login/fails_user_auto_unlock - desactivacion del desbloqueo automatico.
defecto 0
rango 0-1 desde sap NW 7.0
Al llegar la media noche los usuarios bloqueados no son desbloqueados automaticamente por el sistema valor por defecto desde la v7.0
Se puede reactivar el desbloqueo automatico con el valor =1
El admin puede desbloquear bloquear o asignar nueva contraseña desde la tx SU01.
login/disable_multi_gui_login - inicio de sesion multiple
defecto 0
rango 0-1 valor 1 el usuario no puede entrar en mas de 1 cliente a la vez.
valor =1 el usuario tiene la opcion:
-terminar el logon
-continuar ese logon y terminar el otro
login/multi_login_users - usuarios especiales
Podemos excluir a los usuarios del parametro login/disable_multi_gui_login con el parametro login/multi_login_users separados por comas y sin espacios.
USUARIOS ESTANDARD
Hay dos tipos de usuarios stadndard:
-creados por la instalacion del sistema SAP:
000 y 066
001 es creado durante la instalacion de un sistema ERP 6.0
-creados durante la copia de un cliente.
Son predefinidos en los clientes. Al ser estandard pueden ser conocidos por otros usuarios por lo tanto hay que protegerlos de accesos no autorizados.
-SAP*
Usuario estandard.
No tiene un registro maestro de usuario porque esta definido en el kernel.
Ttiene por defecto la contraseña pass y autorizacion de acceso irrestricto.
Cuando se instala un sistema SAP, se crea de forma automatica un maestro de usuario para ASP* en el cliente 000 y 001 si existe. Durante ese proceso se nos solicita una password.
El registro maestro de usuario del SAP* desactiva las propiedades especiales de SAP*-> solo aplcian las autorizaciones y contraseñas definidas en el registro maestro del usuario.
Si se copia un cliente este usuario esta disponible
Crea un usuario -saP* con autorizaciones totales (oerfil SAP_ALL)
-DDIC
Es responsable de gestionar el ABAP Dictionary y la lgistica del software.
Cuando se instala un sistema sap, se crea un regsitro maestro de usuario en el cliente 000 y si aplica 001 para este usuario.
Durante ese proceso se nos solicita una password.
Ciertas autorizaciones estan predefinidas en el codigo de sistema del DDIC por lo que solo el DDIC puede hacer logon durante la instalacion de un upgrade
SAP* y DDIC en veriones antiguas tenian password -Z 06071992 y 19920706
-EARLYWATCH
Se crea en el cliente 066 y tiene el password support.
Los expertos del servicio EALYWATCH usan este usuario.
Este usuario no debe ser borrado ni su password cambiada
Solo se usa para funciones earlywatch : monitoring y performance.
Las autorizaciones se le dan durante la creacion del usuario en la instalacion.
Si se borra el registro de usuario SAP* desde la tabla USR02 la pass inicial pass con las propiedades vuelven a ser validas. Las pass estandard no puede ser cambiada
Se puede desactivar el SAP* que viene con el sistema:
se debe confifurar el parametro: login/no_automatic_user_sapstar con valos 1.
Si queremos reinstalar el acceso de SAP* debemos poner el valor 0 y reiniciar el SAP.
NOTA: es conveniente activar el parametro en el perfil DEFAUTL.PFL para que tenga efecto en todas las instancias del sistema. Y crear el registro maestro de usuario de SAP* en todas las instacias y asegurar que no puede entrar con el pass PASS poniendo el valor 0.
Sobre el autor
Publicación académica de Xavier Elias Rodriguez, en su ámbito de estudios para la Carrera Consultor Basis NetWeaver.
SAP Master
Xavier Elias Rodriguez
Profesión: Tecnico Junior Sap - España - Legajo: FJ23L
✒️Autor de: 96 Publicaciones Académicas
🎓Egresado de los módulos:
Certificación Académica de Xavier Elias
Disponibilidad Laboral: PartTime
