✒️SAP BASIS Los parámetros de logon y los usuarios estándar

Parametros de Logon y Usuarios estandar.
1) Parametros del sistema para logon de usuarios:
- Longitud minima de la contraseña (login/min_password_ing): Valor por defecto 6, rango de valores 1-40 caracteres. Complementado por el parametro login/min_password_digits, login/min_password_letters, login/min_password_lowercase, login/_min_password_uppercase y login/min_password_specials, especifican el numero de digitos, mayusculas y minusculas o caracteres especiales que puede tener una contraseña.
- Periodo de validez de las contraseñas(longin/password_expiration_time): Valor por defecto 0, rango de valores 0-1000 dias. Indica cuanto va durar la contraseña del usuario antes de que SAP le solicite generar una nueva, si se pone en 0 el usuario no debera cambiar su clave.
- Dity periodo de contraseñas iniciales no utilizados (longin/password_max_idle_initial). Valor por defecto 0, rango de valores 0-24000 dias.
- Idity periodo para contraseñas de usuario no utilizadas (login/password_max_idle_productive). Valor por defecto 0, rango de valores 0-24000 dias.
- lnum diferencia de caracteres de la contraseña (login/min_password_diff) Valor por defecto 1, rango de valores 1-40 caracteres. Este parametro no tiene efecto cuando la contraseña del usuario es creada o reactivada.
Hay algunas reglas de las contraseñas que no podemos desactivar, tales como:
- Debe ser al menos de 6 caracteres.
- NO puede comenzar con ? o !.
- NO puede ser pass.
- La nueva contraseña debe diferir a la anterior al menos en 1 caracter.
El parametro login/password_history_size sirve para configurar el historial entre 1 y 100. El valor por defecto es 5.
La tabla USR40 es utilizada para definir restricciones adicionales
El parametro login/password_max_idle_initial reemplaza en la version 7.0 a los parametros login/password_max_new_valid y login/password_max_reset_valid. Para indicar el periodo de validez de una contraseña nueva (creada por el administrador).
La contraseña puede ser reactivada por el administrador asignando nuevamente una contraseña inicial.
Luego de la verision SAP Web AS 6.40 aparece login/password_max_idle_productive que indica el periodo de validez que tendra la contraseña asignada por el usuario cuando no es usada. Cuando vence su validez el administrador debe asignar una nueva.
- Parametros del sistema de perfiles:
- login/fails_to_sesion_end: Finalizar el procedimiento de inicio de sesion, valor por defecto 3, rango de valores 1-99. SAP GUI se cierra despues del numero de intentos fallidos configurados.
- login/fails_to_user_lock: Numero maximo de intentos de inicio de sesion fallidos su valor por defecto es 5 el rango de valores 1-99. Luego del numero de intentos establecido el usuario se bloquea. Este se reinicia despues de un intento exitoso de logon.
- login/failed_user_auto_unlock: Desactivacion del desbloqueo automatico, su valor por defecto es 0 el rango de valores es 0-1. Estos usuarios son desbloqueados a medianoche hora del servidor.
- login/disable_multi_gui_login: Desactivacion de dialogo inicio de sesion multiple
valor por defecto 0 su rango de valores es 0-1. Si el valor esta en 1 el usuario no puede ingresar a un cliente mas de una vez o con mas de una sesion. Si el valor es 1 el usuario tiene que continuar ese logon y finalizar los otros o terminar ese logon.
- login/multi_login_users: Inicio de sesion multiple usuarios especiales. Alfanumerico. Sirve para excluir de login multi user a los usuarios que queramos.
Mediante SU01 podemos desbloquear, bloquear o asignar nuevas contraseñas a los usuarios.
2) Usuarios estandar:
Hay dos tipos de usuarios estandar:
- Usuarios creados por la instalacion del sistema SAP
- Usuarios creados durante la copia de un cliente.
Durante la instalacion de SAP el cliente 000 y 066 son creados, a veces se crea el cliente 001, por ejemplo durante la instalacion de un sistema ERP 6.0.
Es recomendable proteger los usuarios estandar de accesos no autorizados.
El usuario estandar del sistema SAP:
El unico usuario que no requiere registro maestro de usuario es SAP* esto quiere decir que no tiene una entrada en las tablas de usuario ya que viene definido en el kernel del sistema. Su contraseña es pass y tiene autorizacion de acceso irrestricto al sistema.
Cuando instalamos el sistema, se crea automaticamente un registro maestro de usuario para SAP* en el cliente 000 y 001 si existe. Durante la instalacion se nos pide la contraseña, la instalacion nos permitira continuar solo cuando hayamos ingresado una contraseña para SAP*.
El registro maestro creado para SAP* desactiva sus propiedades especiales y estara regido por las autorizaciones y contraseñas definidas en el registro maestro del usuario.
USUARIO DDIC
Responsable de mantener el Diccionario ABAP y la logistica de software. Cuando se instala el sistema automaticamente se crea un registro maestro en el cliente 000 y 001 para DDIC.
Se nos requerira cambiar su password durante la instalacion. Este usuario tiene ciertas autorizaciones predefinidas, por ejemplo puede realizar un logon al sistema durante la instalacion de una nueva version. En versiones anteriores las contraseñas por defecto eran 06071992 y 19920706 para SAP* y DDIC respectivamente.
USUARIO EARLYWATCH:
Este se crea en el cliente 066 y tiene la contraseña support. Solo los expertos del servicio EarlyWatch son quienes usan este usuario, su contraseña no debe ser cambiada ni debe ser borrado.
Las autorizaciones para este usuario ya son provistas durante la creacion del mismo en la instalacion.
IMPORTANTE: Si copiamos un cliente el usuario SAP* va estar disponible. Para proteger el sistema de accesos no autorizados tenemos que crear un registro de usuario para este usuario estandar. Crear un usuario SAP* con autorizaciones totales en el sistema (perfil SAP_ALL).
Si usamos la tabla USR02 para borrar el registro de usuario SAP*, la contraseña inicial pass con las propiedades vuelven a ser validas otra vez, el usuario tiene autorizaciones totales ya que no se realizan verificaciones de autorizacion para el mismo.
La contraseña estandar NO puede ser cambiada.
¿ Como proteger el sistema de este acceso no autorizado ?
Podemos desactivar el usuario SAP* incluido en el sistema mediante el parametro login/no_automatic_user_sapstar con el valor 1. Si este parametro tiene dicho valor SAP* no es valido en el sistema. Si se borra el registro maestro de usuario de SAP* el logon con la contraseña PASS no funciona.
En caso de que no tengamos acceso al parametro de autodesbloqueo de usuarios podremos borrar el usuario SAP* de la BD y cambiaremos en el archivo de profile el valor login_no automatic user sap* poniendo su valor en 0 y reiniciando SAP el sistema creara al usuario SAP* con la clave pass, de tal manera podremos acceder al sistema, resetear el usuario afectado y luego de finalizar cambiar la contraseña a SAP*.