✒️SAP BASIS Los parámetros de logon y los usuarios estándar

p.p1 {margin: 0.0px 0.0px 0.0px 0.0px; font: 11.0px 'Helvetica Neue'; color: #000000; -webkit-text-stroke: #000000} p.p2 {margin: 0.0px 0.0px 0.0px 0.0px; font: 11.0px 'Helvetica Neue'; color: #000000; -webkit-text-stroke: #000000; min-height: 13.0px} p.p3 {margin: 0.0px 0.0px 0.0px 0.0px; font: 11.0px 'Helvetica Neue'; color: #000000; -webkit-text-stroke: #000000; min-height: 12.0px} p.p5 {margin: 0.0px 0.0px 0.0px 0.0px; font: 14.0px 'Helvetica Neue'; color: #000000; -webkit-text-stroke: #000000} p.p6 {margin: 0.0px 0.0px 0.0px 0.0px; font: 14.0px 'Helvetica Neue'; color: #000000; -webkit-text-stroke: #000000; min-height: 17.0px} li.li1 {margin: 0.0px 0.0px 0.0px 0.0px; font: 11.0px 'Helvetica Neue'; color: #000000; -webkit-text-stroke: #000000} li.li4 {margin: 0.0px 0.0px 0.0px 0.0px; font: 12.0px 'Helvetica Neue'; color: #000000; -webkit-text-stroke: #000000} li.li5 {margin: 0.0px 0.0px 0.0px 0.0px; font: 14.0px 'Helvetica Neue'; color: #000000; -webkit-text-stroke: #000000} span.s1 {font-kerning: none} span.s2 {text-decoration: underline ; font-kerning: none} span.s3 {font: 12.0px 'Helvetica Neue'} span.s4 {font: 12.0px 'Helvetica Neue'; font-kerning: none} span.s5 {font: 11.0px 'Helvetica Neue'; font-kerning: none} span.s6 {font: 14.0px 'Helvetica Neue'; font-kerning: none} span.s7 {font: 13.0px 'Helvetica Neue'} span.s8 {font: 13.0px 'Helvetica Neue'; font-kerning: none} ol.ol1 {list-style-type: decimal} ul.ul1 {list-style-type: disc}

PARAMETROS DE LOGON Y USUARIOS ESTANDAR (4 DE 8)

1.- PARAMETROS DEL SISTEMA PARA LOGON DE USUARIOS (USR40)

1. login/min_password_Ing - longitud mínima de la contraseña (valores 1 a 40)
2. login/min_password_digits - número de dígigtos (valores 1 a 40)
3. login/min_password_letters - número de letras (mayúsculas y minúsculas, valores 1 a 40)
4. login/mi_password_lowercase -
5. login/mi_password_uppercase -
6. login/min_password_specials - caracteres especiales (valores 1 a 40)
7. login/password_expiration_time - número de días para cambio de contraseña (valor “0”=exenta de cambio)
8. login/password_history_size - historial de contraseñas (valor por defecto “5”, valores 1 a 100)
9. login/fails_to_session_end - Número de intentos fallidos de logon (reiniciar SAP GUI)
10. login/fails_to_user_lock - Bloqueo de usuario por “n” cantidad de intentos de logon fallidos (el contador se reinicia luego de un intento exitoso de logon)
11. login/failed_user_auto_unlock - desbloqueo automático para usuarios bloqueados en job de medianoche de la hora del server, se activa asignando el valor: login/failed_user_auto_unlock = 1
12. login/disable_multi_gui_login - cantidad de sesiones permitidas (valor “1” solo permite una sesión, o continua en ella o la finaliza)
13. login/multi_login_users - excluye del parámetro anterior a los usuarios especificados separados por comas y sin espacios

* SU01 (User Maintenance), permite al Administrador desbloquear, bloquear o asignar una nueva contraseña a los usuarios

• La configuración que establece la creación de una contraseña nueva diferente a las 5 últimas no es mas mandatoria

• Tabla USR40: permite definir restricciones adicionales

• Lección de historia: SAP Web AS 6.20 y 6.40 ofrecían dos parámetros:

1. login/password_max_new_valid
2. login/password_max_reset_valid

permitían especificar el tiempo durante el cual sería válida una contraseña creada por el sistema o el administrador para el usuario. Ahora, con SAP Netweaver AS 7.0 ambos parámetros son reemplazados por:

1. login/password_max_idle_initial

permite configurar el tiempo de validez para una contraseña nueva generada por el Administrador (no por sistema), una vez cumplido el periodo, esta no puede ser utilizada (el administrador puede reactivarla reasignando nuevamente una contraseña inicial)

1. login/password_max_idle_productive

permite establecer el máximo de tiempo que una contraseña productiva (seleccionada por el usuario) permanece valida durante períodos de inactividad, una vez cumplido el periodo, esta no puede ser utilizada (el administrador puede reactivarla reasignando nuevamente una contraseña inicial)

1. login/min_passwprd_diff

permite al Administrador determinar el número de caracteres diferentes que una contraseña nueva debe poseer en comparación con la contraseña anterior (Este parámetro se reinicia cuando se crea o reactiva una contraseña para un usuario y no tiene efecto sobre la nueva pass)

2.- USUARIOS ESTÁNDAR (son predefinidos en los clientes y existen dos tipos, los creados durante la instalación del sistema SAP los creados durante la copia de un cliente)

• como estos nombres de usuario y sus contraseñas son estándar el administrador del sistema debe protegerlos contra accesos no autorizados

1. SAP* (usuario estándar del sistema) en el único que no requiere un Registro Maestro de Usuario (no existe una entrada en las tablas de usuarios), ya que está definido en el Kernel del sistema

• al instalar SAP se crea un registro maestro de usuario para SAP* en el cliente 000 y 001 si es que existe y nos solicita la creación de una contraseña. Sólo una vez creada la Instalación puede continuar, tras hacerlo, el registro maestro de usuario creado para el usuario SAP* desactiva las propiedades especiales de SAP*, estableciendo solo las autorizaciones y contraseñas definidas en él
• pass por defecto en versiones anteriores: 06071992

1. DDIC, es el responsable de mantener el Diccionario ABAP (ABAP Dictionary) y la logística del software

• ocurre lo mismo que en el caso anterior (se crea en cliente 000 y si existe en el 001) y una vez cambiada la contraseña estándar durante la instalación, ciertas autorizaciones son predefinidas en el código del sistema para este usuario
• por ej: sólo el usuario DDIC puede realizar un logon al sistema durante un upgrade
• pass por defecto en versiones anteriores: 19920706

1. EarlyWatch (usuario para Monitoreo y Performance), se crea en el cliente 066 y esta protegido con la contraseña “support” y sus autorizaciones son establecidas durante la instalación y creación del mismo

* es utilizado por los expertos de SAP en el servicio EarlyWatch, este usuario no debe ser modificado (ni eliminado el usuario ni editada la contraseña)

• cliente 000 y 066 son creados durante la instalación se SAP
• cliente 001 no siempre lo crea la instalación de SAP, se crea por ej: durante la instalación de un ERP 6.0

• Si se copia un cliente, el usuario SAP* siempre esta disponible (no tiene Registro Maestro y está programado en el kernel del sistema), para proteger el sistema contra accesos no autorizados debemos crear un registro de usuario para este usuario estándar (crear usuario SAP* con autorizaciones totales, perfil SAP_ALL)
• Si luego eliminamos el registro maestro que creamos para el usuario SAP* (tabla USR02) el tratamiento del usuario vuelve a su forma original, la contraseña estándar no puede ser cambiada

*Otra manera de proteger el acceso al sistema con este usuario es desactivándolo (configurar el parámetro:

“login/no_automatic_user_sapstar = 1”, SAP* deja de ser válido en el sistema. Si el Registro Maestro de SAP* es borrado el logon con la contraseña PASS no funciona (se restaura cambiando el valor a “0” y reiniciando)

*activar el parámetro en el perfil global del sistema DEFAULT.PFL para que tenga efecto en todas las instancias del sistema (si existiera el parámetro en un Perfil de Instancia con valor “0” este gobierna sobre el perfil global)

*crear el registro maestro de usuario SAP* en todas las instancia asegurando que no se pueda ingresar con la clave PASS (desactivar parámetro valor 0)

• SCC4, permite la visualización de los clientes