✒️SAP BASIS Los parámetros de logon y los usuarios estándar
SAP BASIS Los parámetros de logon y los usuarios estándar
Parametros de Logon y Usuario Estandar
1. Parametros del sistema para Logon de Usuarios
Parametros del Sistema de Perfiles Defecto Rango de valores
Longitud minima de la contraseña
login/min_password_ing 6* 1-40 caracteres
Periodo de validez de la contraseñas
login/password_expiration_time 0* 0 - 1000 dias
Dity periodo de contraseña iniciales no utilizados
login/password_max_idle_initial 0* 0 - 24000 dias
Idity periodo para contreseñas de usuario no utilizadas
login/password_max_idle_productive 0* 0 - 24000 dias
imum diferencia de caracteres de la contraseña
login/min_password_diff 1* 1 - 40 Caracteres
Podemos especificar la longitud minima de la contraseña con el parametro "login/min_password_lng". El parametro "login/min_password_digits", "login/min_password_letters", "login/min_password_lowercase", "login/min_password_uppercase", y "login/min_password_specials" especifican el numero de digitos, letras (mayusculas y minusculas) o caracteres especiales que una contraseña puede contener. El rango de valores es entre 1 y 40.
El parametro "login/password_expiration_time" especifica el numero de dias en los cuales un usuario debe cambiar su contraseña. Si el parametro se configura en 0, el usuario no necesita cambiar su contraseña. Existen algunas reglas generales sobre las contraseñas que no pueden desactivarse.
Una contraseña:
- Debe ser al menos de 6 caracteres de largo.
- No puede comenzar con ? o !
- No puede ser pass
- La nueva contraseña debe diferir de la anterior al menos en 1 caracter.
La configuracion que determina que los usuarios deben crear una nueva contraseña que difiera de las 5 ultimas no es mas mandataria.
Se puede utilizar el parametro login/password_history_size para configurar el historial entre 1 y 100. El valor propuesto por defecto se mantiene en 5.
Se puede definir restricciones adicionales en la tabla USR40.
SAP Web Application Server 6.20 y 6.40 ofrecian los parametros login/password_max_new_valid y login/password_max_reset_valid. Estos parametros especificaban por cuanto tiempo una contraseña inicial para un usuario creado o una contraseña recreada por el administrador del sistema para un usuario era valida. Con SAP NetWeaver AS 7.0, estos parametros han sido reemplazados por login/password_max_idle_initial.
El parametro login/password_max_idle_initial indica por cuanto tiempo una contraseña nueva (seleccionada por un administrador) permanece valida si no es utilizada. Una vez que el periodo se cumple, la contraseña no puede ser utilizada para la autenticacion en el sistema.
El administrador de usuarios puede reactivar la contraseña asignado nuevamente una contraseña inicial. Otro nuevo parametro introducido luego de la version SAP Web AS 6.40 es login/password_max_idle_productive. Este indica el maximo de tiempo que una contraseña productiva (contraseña seleccionada por el usuario) permanece valida cuando esta no es usada.
Una vez que este periodo ha caducado, la contraseña no puede ser utilizada para autenticacion. El administrador de usuarios puede reactivar la contraseña mediante la asignacion de una nueva contraseña inicial.
Con el parametro login/min_password_diff, el administrador puede determinar el numero de caracteres diferentes que una contraseña nueva debe poseer en comparacion con la contraseña anterior. Este parametro no tiene efecto cuando la contraseña del usuario es creada o reactivada.
Parametros del sistema de perfiles Defecto Rango de valores
Finalizar el procedimiento de inicio de sesion
login/fails_to_session_end 3 1-99
El numero maximo de intentos de inicio de sesion fallidos
login/fails_to_user_lock 5* 1-99*
Desactivacion del desbloqueo automatico
login/failed_user_auto_unlock 0* 0-1*
Desactivacion de dialogo inicio de sesion multiple
login/disable_multi_gui_login 0 0-1
Usuarios especiales (inicio de sesion multiple)
login/multi_login_users Alfanumerico
login/accept_sso2_ticket
login/certificate_request_ca_url
login/certificate_request_subject
login/create_sso2_ticket
login/disable_cpic
login/disable_multi_gui_login
login/disable_password_logon
login/failed_user_auto_unlock
login/fails_to_session_unlock
login/fails_to_session_end
login/fails_to_user_lock
login/min_password_diff
login/min_password_letters
login/min_password_lng
login/min_password_lowercase
login/min_password_specials
login/min_password_uppercase
login/multi_login_users
login/no_automatic_user_sapstar
Puedes configurar el numero de intentos fallidos de logon de los cuales SAP GUI se cierra usando el parametro login/fails_to_session_end. Si el usuario quiere intentar de nuevo, debera reiniciar SAP GUI.
Puedes tambien configurar el numero de intentos fallidos de logon despues de los cuales el usuario se bloquea en el sistema SAP usando el parametro login/fails_to_user_lock. El contador de intentos fallidos se reinicia despues de un intento exitoso de logon.
A la media noche de la hora del servidor, los usuarios que se bloquearon como resultado de intentos incorrectos de logon no son desbloqueados automaticamente por el sistema, valor por defecto desde la version SAP Netweaver 7.0.
Se puede reactivar este desbloqueo automatico con el parametro login/failed_user_auto_unlock = 1.
El administrador puede desbloquear, bloquear o asignar una nueva contraseña a los usuarios en la Tx SU01, mantenimiento de usuarios.
Si el parametro login/disable_multi_gui_login se configura con el valor 1, un usuario no puede ingresar a un cliente mas de una vez, o sea con mas de una sesion. Esto puede ser util por razones de seguridad del sistema. Si el parametro esta configurado en 1, el usuario tendra las siguientes opciones cuando abre mas de una session:
- Continuar con este logon y finalizar cualquier otro logon en el sistema.
- Terminar este logon.
Tenemos la opcion de excluir de este parametro a los usuarios que especifiquemos en el parametro login/multi_login_users separados por comas y sin espacios.
2. Usuarios estandar
Esencialmente, hay dos tipos de usuarios estandar: aquellos creados por la instalacion del sistema SAP y aquellos creados durante la copia de un cliente (veremos mas sobre la copia de clientes en una unidad posterior en el curso).
Durante la instalacion del sistema SAP, el cliente 000 y 066 son creados (el cliente 001 no siempre es creado durante la instalacion. Es creado por ejemplo durante la instalacion de un sistema ERP 6.0).
Usuarios estandar son predefinidos en los clientes. Como estos nombres de usuarios y sus contraseñas son estandar, pueden ser conocidos por otras personas por lo tanto es aconsejable que como administradores del sistema protejamos estos usuarios de accesos no autorizados.
El usuario estandar del sistema SAP*
SAP* es el unico usuario para el cual no se requiere un registro maestro de usuario (no existe una entrada en las tablas de usuarios) ya que esta definido en el kernel del sistema. SAP* tiene por defecto la contraseña pass y autorizacion de acceso irrestricto para el sistema.
Cuando instalamos un sistema SAP, un registro maestro de usuario se crea automaticamente para SAP* en el cliente 000 (y 001 si existe). Durante el proceso de instalacion se nos solicitara indicar una contraseña. La instalacion solo nos permitira continuar una vez que una contraseña se ha ingresado para el usuario SAP*.
El registro maestro de usuario creado para el usuario SAP* desactiva las propiedades especiales de SAP*, por lo que solo autorizaciones y contraseñas definidas en el registro maestro del usuario aplican ahora.
El usuario DDIC
Este usuario es responsable de mantener el Diccionario ABAP (ABAP Dictionary) y la logistica de software. Cuando instalamos el sistema, un registro maestro de usuario se crea automaticamente en el cliente 000 (y 001 si aplica) para el usuario DDIC.
Con este usuario tambien, se nos requerira cambiar la contraseña estandar durante la instalacion. Ciertas autorizaciones son predefinidas en el codigo del sistema para el usuario DDIC, lo que significa que por ejemplo, solo el usuario DDIC puede realizar un logon al sistema durante la instalacion de una nueva version (upgrade).
En versiones anteriores las contraseñas que tenian por defecto los usuarios SAP* y DDIC eran 06071992 Y 19920706 respectivamente. Luego era necesario modificar estas contraseñas una vez instalado el sistema.
El usuario EarlyWatch
El usuario EarlyWatch se crea en el cliente 066 y esta protegido con la contraseña support. Los expertos de SAP del servicio EarlyWatch son quienes utilizan este usuario. Este usuario no debe ser borrado ni la contraseña debe ser cambiada.
Este usuario solo debe ser utilizado para las funciones de EarlyWatch: monitoreo y performance. Las autorizaciones necesrias para este usuario ya son provistas durante la creacion del mismo en el proceso de instalacion.
Caracteristicas especiales de SAP*
Si copias un cliente, el usuario SAP* siempre esta disponible. Este usuario no tiene un registro maestro de usuario y esta programado en codigo del sistema ( kernel ). Para proteger el sistema contra accesos no autorizados, debemos crear un registro de usuario para este usuario estandar.
Crea un usuario SAP* con autorizaciones totales en el sistema (perfil SAP_ALL).
Si borramos el registro de usuario SAP* (tabla USR02), la contraseña inicial pass con las propiedades vuelven a ser validas nuevamente: el usuario tiene autorizaciones totales ya que no se realizan verificaciones de autorizacion para este usuario.
La contraseña estandar no puede ser cambiada.
¿De que manera podemos proteger el sistema contra este potencial riesgo de acceso no autorizado?
Se puede desactivar el usuario SAP* que viene incluido en el sistema. Para esto, debemos configurar el parametro del sistema login/no_automatic_user_sapstar con el valor 1. Si el parametro esta activo, o sea con el valor 1, SAP* no es valido en el sistema. Si el registro maestro de usuario de SAP* es borrado, el logon con la contraseña PASS no funciona.
Si quisieramos reinstalar el comportamiento anterior de SAP*, debemos cambiar el parametro con el valor 0 y reiniciar el sistema.
Es conveniente activar el parametro en el perfil global del sistema DEFAULT.PFL para que tenga efecto en todas las instancias del sistema (de todas formas si existiera el parametro tambien en un perfil de instancia con el valor 0, este sobrescribe el que esta en el perfil global).
Tambien crear el registro maestro de usuario SAP* en todas las instancias y asi asegurar que no se podra ingresar con el usuario pass si el parametro es desactivado (valor 0).
 
 
 
2 Agradecimientos:
Han agradecido este aporte: Silvana Garc?s Ulloa, Hugo Ocaranza
2 Favoritos:
Está publicación ha sido agregada a sus favoritos por: Silvana Garc?s Ulloa, Hugo Ocaranza
#1 / 17 de Oct de 2014 / Hugo Ocaranza: |
Sobre el autor
Publicación académica de Meyer Macabeo, en su ámbito de estudios para la Carrera Consultor Basis NetWeaver.
Meyer Macabeo
Profesión: Consultor Sap Basis - Mexico - Legajo: BE53Z
✒️Autor de: 65 Publicaciones Académicas
🎓Cursando Actualmente: Consultor en SAP BASIS Nivel Avanzado
🎓Egresado del módulo:
Certificación Académica de Meyer Macabeo