✒️SAP BASIS Los parámetros de logon y los usuarios estándar
SAP BASIS Los parámetros de logon y los usuarios estándar
5.4 - Parámetros de logon y los usuarios estándar
- Parámetros del Sistema para logon de Usuarios
Login/min_password_lng - Longitud mínima de la contraseña.
Login/min_password_digits, _letters, _lowercase, _uppercase, _specials, especifican el número de dígitos, letras (mayúsculas y minúsculas) o caracteres especiales que una contraseña puede contener. El rango de valores es entre 1 y 40.
El parámetro login/password_expiration_time especifica el número de días en los cuales un usuario debe cambiar su contraseña. Si el parametro se configura en 0, el usuario no necesita cambiar su contraseña.
Una contraseña:
- Debe ser al menos de 6 caracteres de largo.
- No puede comenzar con ? o !
- No puede ser pass.
- La nueva contraseña debe diferir de la anterior al menos 1 carácter.
La configuración que determine que los usuarios deben crear una nueva contraseña que difiera de las 5 ultimas no es más mandataria. Se puede utilizar el parámetro login/password_history_size para configurar el historial entre 1 y 100. El valor propuesto por defecto se mantiene en 5.
Se pueden definir restricciones adicionales en la tabla USR40. SAP Web Application Server 6,20 y 6,40 ofrecían los parámetros login/password_max_new_valid y login/password_max_reset_valid. Estos parámetros especificaban por cuanto tiempo una contraseña inicial para un usuario creado o una contraseña creada por el administrador del sistema para un usuario era válida. Con SAP NetWeaver AS 7.0 estos parámetros han sido reemplazados por login/password_max_idle_initial.
El parámetro login/password_max_idle_initial indica por cuanto tiempo una contraseña nueva (seleccionada por un administrador) permanece valida si no es utilizada. Una vez que el periodo se cumple, la contraseña no puede ser utilizada para la autenticación en el sistema.
El parámetro login/password_max_idle_productive, indica el tiempo máximo que una contraseña productiva (contraseña seleccionada por el usuario) permanece válida cuando esta no es usada.
El parámetro login/min_password_diff, el administrador puede determinar el número de caracteres diferentes que una contraseña nueva debe poseer en comparación con la contraseña anterior. Este parámetro no tiene efecto cuando la contraseña del usuario es creada o reactivada.
Transacción RZ11 donde se definen los parámetros del logon.
También es posible configurar el número de intentos fallidos de logon después de los cuales SAP GUI se cierra usando el parámetro login/fails_to_session_end. Si el usuario quiere intentar de nuevo, deberá reiniciar el SAP GUI.
Puedes también configurar el número de intentos fallidos de logon después de los cuales el usuario se bloquea en el sistema SAP usando el parámetro login/fails_to_user_lock. El contador de intentos fallidos se reinicia después de un intento exitoso de logon.
Para habilitar el desbloqueo automático a media noche, se puede con el parámetro login/failed_user_auto_unlock = 1.
Si el parámetro login/disable_multi_gui_loguin se configura con el valor de 1, un usuario no puede ingresar a un cliente más de una vez , o sea con más de una sesión. Esto puede ser útil por razones de seguridad del sistema. Si el parámetro está configurado con 1, el usuario tendrá las siguientes opciones cuando abre más de una sesión.
- Continuar con este logon y finalizar cualquier otro logon en el sistema.
- Terminar con este logon.
- Los Usuarios Estándar
Esencialmente, hay dos tipos de usuario estándar: aquellos creados por la instalación del sistema SAP y aquellos creados durante la copia de un cliente.
Durante la instalación del sistema SAP, el cliente 000 y 066 son creados (el cliente 01 no siempre es creado durante la instalación. Es creado por ejemplo durante la instalación de un sistema ERP 6.0)
Usuarios estándar son predefinidos en los clientes. Como estos nombres de usuarios y sus contraseñas son estándar, pueden ser conocidos por otras personas por lo tanto es aconsejable proteger esta clase de usuarios de accesos no autorizados.
- El usuario estándar del Sistema SAP
SAP* es el único usuario para el cual no se requiere un registro maestro de usuario (no existe una entrada en las tablas de usuarios) ya que está definido en el kernel del sistema. SAP* tiene por defecto las contraseñas pass y autorización de acceso irrestricto para el sistema.
Al momento de la instalación, un registro maestro de usuario se crea automáticamente para SAP* en el cliente 000 (001 si existe). Durante el proceso de instalación se nos solicitará indicar una contraseña. La instalación solo nos permitirá continuar una vez que una contraseña se ha ingresado para el usuario SAP.
El registro maestro de usuario creado para el usuario SAP* desactiva las propiedades especiales de SAP*, por lo que solo las autorizaciones y contraseñas definidas en el registro maestro del usuario aplican ahora.
- El usuario DDIC
Este usuario es responsable de mantener el Diccionario ABAP (ABAP Dictionary) y la logística de software. Cuando instalamos el sistema, un registro maestro de usuario se crea automáticamente en el cliente 000 o 001 si aplica, para el usuario DDIC.
Con este usuario, también se va a requerir cambiar la contraseña estándar durante la instalación. Ciertas autorizaciones son predefinidas en el código del sistema para el usuario DDIC, lo que significa que por ejemplo, solo el usuario DDIC puede realizar un logon al sistema durante la instalación de una nueva versión (upgrade).
En versiones anteriores, las contraseñas que tenían por defecto los usuarios SAP* y DDIC eran 06071992 y 19920706 respectivamente. Luego fue necesario modificar estas contraseñas una vez instalado el sistema.
- El usuario EarlyWatch
Es creado mediante el cliente 066 y se encuentra protegido con la contraseña support. Los expertos de SAP del servicio EarlyWatch son quienes utilizan este usuario. NO se debe cambiar la contraseña de este usuario, menos borrarlo.
Este usuario debe ser unicamente utilizado en funciones de monitoreo y performance. Las autorizaciones necesarias para este usuario ya son provistas durante la creación del mismo en el proceso de instalación.
Característica especiales de SAP: Si copias un cliente, el usuario SAP* siempre esta disponible. Este usuario no tiene registro maestro de usuario y está programado en código de sistema (kernel). Para proteger el sistema contra accesos no autorizados, debemos crear un registro de usuario para este usuario estándar.
Crea un usuario SAP con autorizaciones totales en el sistema (perfil SAP_ALL).
Si borramos el registro de usuario SAP* (tabla USR02), la contraseña inicial pass con la propiedades vuelven a ser válidas nuevamente. El usuario tiene autorizaciones totales ya que no se realizan verificaciones de autorización para este usuario y la contraseña estándar no puede ser cambiada.
¿De qué manera podemos proteger el sistema contra este potencial riesgo de acceso no autorizado?. Es posible desactivar el usuario SAP* que viene incluido en el sistema. Para esto, debemos configurar el parámetro del sistema login/no_automatic_sapstar con valor 1. Si el parámetro está activo, o sea con el valor 1, SAP* no es válido en el sistema. Si el registro maestro de usuario de SAP* es borrado, el logon con la contraseña PASS no funciona.
Si quisiéramos reinstalar el comportamiento anterior de SAP*, debemos cambiar el parámetro con el valor 0 y reiniciar el sistema.
Es conveniente activar el parámetro en el perfil global del sistema DEFAULT.PFL para que tenga efecto en todas las instancias del sistema (de todas formas si existiera el parámetro también en un perfil de instancia con el valor 0, esté sobrescribe el que está en el perfil global)
También crear el registro maestro de usuario SAP* en todas las instancias y así asegurar que no se podrá ingresar con la clave PASS si el parámetro desactivado (valor 0).
 
 
 
Sobre el autor
Publicación académica de Israel Cespedes Penaloza, en su ámbito de estudios para la Carrera Consultor Basis NetWeaver.
Israel Cespedes Penaloza
Profesión: Ingeniero Electr?nico - Bolivia - Legajo: DO67A
✒️Autor de: 90 Publicaciones Académicas
🎓Egresado de los módulos:
Disponibilidad Laboral: PartTime
Certificación Académica de Israel Cespedes