✒️SAP BASIS Los parámetros de logon y los usuarios estándar
SAP BASIS Los parámetros de logon y los usuarios estándar
Unidad 5. Lección 4. Parámetros de Logon y Usuarios Estandar.
Se analizaran parametros importantes para la administración de usuarios, como en el logon.
1. Parámetros del sistema para logon de usuarios.
- login/min_password_Ing. Para especificar la longitud minima de la contraseña.
- Parametros login/min_password digits, login/min_password_letters, login/min_password_lowercase, login/min_password_uppercase, login/min_password_specials: especifican el numero de digitos, letras (mayusculas y minusculas) o caracteres especiales que una contraseña pueden contener. El rango de valores es entre 1 y 40.
- login/min_password_expiration_time: especifica el nuero de dias en los que el usuario debe cambiar su contraseña. Si se pone 0, el usuario no necesitara cambiar contraseña.
Reglas generales para contraseñas que no pueden desactivarse:
- Debe ser de al menos 6 caracteres
- No debe comenzar con ? o !
- No puede ser pass
- La nueva contraseña debe diferir de la anterior al menos en 1 caracter.
Nota: La configuracion que determina que los usuarios deben crear una nueva contraseña que difiera de las 5 ultimas no es mas mandataria. Se puede utiliza el parametro login/password_history_size para configurar el historial entre 1 y 100. El valor propuesto por defecto se mantiene en 5.
En la tabla USR40 se pueden definir restricciones adicionales.
- login/password_max_idle_initial indica por cuanto tiempo una contraseña nueva (seleccionada por un administrador) permanece valida si no es utilizada. Una vez que el periodo se cumple, la contraseña no puede ser utilizada para la autentificación en el sistema.
- login/password_max_idle_productive. Este indica el maximo tiempo que una contraseña productiva (contraseña elegida por el usuario) permanece valida cuando esta no es usada. Una vez que el periodo ha caducado, la contraseña no puede ser utilizada para autentificacion. El administrador de usuarios puede reactivar la contraseña mediante la asignación de una nueva contraseña inicial.
- login/min_password_diff: permite que el administrador determine el numero de caracteres diferentes que una contraseña nueva debe tener, en comparación con la contraseña anterior. Este parametro no tiene efecto cuando la contraseña del usuario es creada o reactivada.
- login/fails_to_session_end. Sirve para configurar el numero de intentos fallidos de logon, despues de los cuales SAP GUI se cierra. Si el usuario quiere intentar de nuevo, debera iniciar SAP GUI.
- login/fails_to_user_lock. Permite configurar el numero de intentos fallidos de logon despues de los cuales el usuario se bloquea en el sistema SAP. El contador de intentos fallidos se reinicia despues de un intento exitoso de logon.
RECORDATORIO. A media noche de la hora del servidor, los usuarios que se bloquearon como resultado de intentos incorrectos de logon no son desbloqueados automaticamente por el sistema, valor por defecto desde la version SAP Netweaver 7.0. Se puede reactivar este desbloqueo automatico con el parametro login/failed_user_auto_unlock = 1.
El administrador puede desbloquear, bloquear o asingar una nueva contraseña a los usuarios en la Tx SU01, mantenimiento de usuarios.
- login/disable_multi_gui_login. Si este parametro se configura con el valor 1, el usuario no puede ingresar a un lciente mas de una vez, o sea con mas de una sesión. Esto puede ser util por razones de seguridad. Si el usuario trata de abrir otra sesión le apareceran las siguientes opciones: 1. Continuar con este logon y finalizar cualquierotro logon en el sistema. 2. Terminar este logon.
2. Usuarios estandar.
Existen dos tipos:
- Usuarios creados por la instalación SAP: El cliente 000 y el 066 (el 001 no siempre es creado durante la instalación. Es creado por ejemplo durante la instalación de un sistema ERP 6.0)
- Usuarios creados durante la copia de un cliente.
Los usuarios estandar son predefinidos en los clientes. Como son estadar pueden ser conocidos por otras personas, por lo que es aconsejable que como administradores del sistma protejamos estos usuarios de accesos no autorizados.
El usuario estandar del sistema SAP*.
- SAP* es el unico usuario para el cual no se requiere un registro maestro de usuario (no existe una entrada en las tablas de usuarios) ya que está definido en el kernel del sistema.
- SAP* tiene por default la contraseña pass y autorizacion de acceso irrestricto para el sistema.
- Con la instalacion de SAP, se crea un registro maestro de usuario para SAP* en el cliente 000 ( y 001 si existe). En la instalacion se nos solicitara una contraseña, y solo se continuara en la instalacion cuando se haya ingresado la contraseña.
- El registro maestro de usuario creado para el usuario SAP* desactiva las propieadades especiales de SAP*, porque solo las autorizaciones y contraseñas definidas en el registro maestro del usuario aplican ahora.
Caracteristicas especiales de SAP*.
Si copias un cliente, el usuario SAP* siempre esta disponible. Este usuario no tiene un registro maestro de usuario y está programado en código del sistema (kernel). Para proteger el sistema contra accesos no autorizados, debemos crear un registro de usuario para este usuario estandar. Crea un usuario SAP* con autorizacioines totales en el sistema (perfil SAP_ALL)
Si se borra el registro de usuario SAP* (USR02), la contraseña pass con las propiedades, vuelven a ser validas nuevamente: el usuario tiene autorizaciones totales ya que no se realizan verificaciones de autorizacion para este usuario. La contraseña estandar no puede ser cambiada.
El usuario DDIC.
Usuario responsable de mantener el Diccionario ABAP (ABAP Dictionary) y la logistica del Sw. Cuando se instala el sistema un registro maestro de usuario se crea en el cliente 000 (y 001 si aplica) para este usuario.
Tambien con este usuario se nos pedira cambiar la contraseña estandar durante la instalación. Algunas autorizaciones son predefinidas en el codigo del sistema para el usuario DDIC, por ejemplo que solo el usuario DDIC puede realizar un logon al sistema durante la instalación de una nueva versión (upgrade)
NOTA: En versiones anteriores las contraseñas que tenian por defecto los usuarios SAP* y DDIC eran 06071992 y 19920706 respectivamente. Luego era necesario modificar estas contraseñas una vez instalado el sistema.
El usuario EarlyWatch.
- Se crea en el cliente 066 y tiene contraseña support. Los expertos del servicio EarlyWatch son quienes utilizan este usuario. Este usuario no debe ser borrado ni la contraseña debe ser cambiada.
- Solo debe ser usado para las funciones EarlyWatch: monitoreo y performance.
- Las autorizaciones necesarias ya son provistas durante la instalacion.
¿Como proteger el sistema contra el potencial riesgo de acceso no autorizado?
Se puede desactivar el usuario SAP*, configurando el parametro del sistema login/no_automatic_user_sapstar con el valor 1. Con este valor, el usuario SAP* no es valido en el sistema. Si el registro maestro de usuario de SAP* es borrado, el logon con la contraseña PASS no funciona.
Para reestablecer el usuario SAP*, debemos cambiar el parametro con el valor 0 y reiniciar el sistema.
TIP. Es conveniente activar el parametro en el perfil global del sistema DEFAULT.PFL para que tenga efecto en todas las instancias del sistema (de todas formas si existiera el parametro tambien en un perfil de instancia con el valor 0, este sobrescribe el que esta en el perfil global)
Tambien crear el registro maestro de usuario SAP* en todas las instancias y asi asegurar que no se podrá ingresar con el usuario pass si el parametro esta desactivado (valor 0)
 
 
 
Sobre el autor
Publicación académica de Marybell Adriana Hernandez Robles, en su ámbito de estudios para la Carrera Consultor Basis NetWeaver.
Marybell Adriana Hernandez Robles
Profesión: Ing. en Sistemas Computacionales / Mti - Mexico - Legajo: SC27M
✒️Autor de: 50 Publicaciones Académicas
🎓Egresado del módulo:
Certificación Académica de Marybell Hernandez