✒️SAP BASIS Los parámetros de logon y los usuarios estándar
SAP BASIS Los parámetros de logon y los usuarios estándar
Parámetros de logon y usuarios estándar
1-Parámetros del sistema para logon de usuarios
Podemos especificar la longitud mínima de la contraseña con el parámetro login/min_password_Ing. El parámetro login/min_password_digits, login/min_password_letters, login/min_password_lowercase, login/min_password_uppercase, y login/min_password_especials especifican el número de digitos, letras (mayúsculas y minúsculas) o caracteres especiales que una contraseña puede contener, el rango de valores es entre 1 y 40.
El parámetro login/password_expiration_time especifica el número de días en los cuales un usuario debe cambiar su contraseña. Si el parametro se configura en 0, el usuario no necesita cambiar su contraseña.
Una contraseña:
- Debe ser al menos de 6 caracteres de largo
- No puede comenzar con ? o !
- No puede ser pass
- La nueva contraseña debe diferir de la anterior al menos en 1 caracter
La configuración que determina que los usuarios deben crear una nueva que difiera de las 5 anteriores no es más mandataria, se puede utilizar el parámetro login/password_history_size para configurar el historial entre 1 y 100, el valor por defecto es 5.
SAP Web Application Server 6.20 y 6.40 ofrecían los parámetros login/password_max_new_valid y login/password_max_reset_valid, estos parámetros especificaban por cuanto tiempo una contraseña inicial para un usuario creado o una contraseña recreada por el administrador del sistema para un usuario era válida. Con SAP Netweaver AS 7.0, estos parámmetros han sido reemplazados por login/password_max_idle_initial, este indica por cuánto tiempo una contraseña nueva (seleccionada por un administrador) permanece válida si no es utilizada.
El administrador de usuarios puede reactivar la contraseña asignando nuevamente una contraseña inicial. Otro parámetro login/password_max_idle_productive, este indica el máximo tiempo que una contraseña productiva (contraseña seleccionada por el usuario) permanece válida cuando esta no es usada.
Con login/min_password_diff, el administrador puede determinar el número de caracteres diferentes que una nueva contraseña debe poseer en comparación con la contraseña anterior, este parámetro no tiene efecto cuando la contraseña del usuario es creada o reactivada.
Se puede configurar el número de intentos fallidos de logon después de los cuales SAP GUI se cierra usando el parámetro login/fails_to_session_end, si el usuario quiere intentarlo de nuevo, deberá reiniciar SAP GUI. Se puede configurar el número de intento fallidos de logon después de los cuales el usuario se bloquea en el sistema SAP usando el parámetro login/fails_to_user_lock, este se reinicia después de un intento exitoso de logon.
Si el parámetro login/disable_multi_gui_loguin se configura con el valor 1, un usuario no puede ingresar a un cliente más de una vez, o sea con más de una sesión. Esto es útil por razones de seguridad del sistema, si el parámetro está configurado en 1, el usuario tendrá las siguientes opciones cuando abre mas de una sesión:
- Continuar con este logon y finalizar cualquier otro logon en el sistema.
- Terminar este logon.
Podemos excluir este parámetro a los usuarios que especifiquemos en el parámetro login/multi_login_users, separados por coma y sin espacio.
2-Usuarios estándar
Hay dos tipos de usuarios estándar: aquellos creados por la instalación del sistema SAP y aquellos creados durante la copia de un cliente.
Durante la instalación del sistema, el cliente 000 y 006 son creados (el cliente 001 no siempre es creado durante la instalación, es creado durante la instalación de un sistema ERP 6.0).
Usuarios estándar son predefinidos en los clientes, como estos nombres de usuarios y sus contraseñas son estándar, pueden ser conocidos por otras personas por lo tanto es aconsejable que como administradores del sistema protejamos estos usuarios de acceso no autorizado.
El usuario estándar del sistema SAP
SAP* es el único usuario para el cual no se requiere un registro maestro de usuario(no existe una entrada en las tablas de usuarios) ya que está definido en el kernel del sistema. SAP* tiene por defecto la contraseña pass y autorización de acceso irrestricto para el sistema.
Cuando instalamos SAP, un registro maestro de usuario se crea automáticamente para SAP*en el cliente 000 (y 001 si existe). Durante el proceso de instalación se nos solicitará indicar una contraseña. La instalación solo nos permitirá continuar una vez que una contraseña se ha ingresado para el usuario SAP*.
El usuario DDIC
Es responsable de mantener el Directorio ABAP (ABAP Dictionary) y la lgística de software. Cuando instalamos el sistema, un registro maestro de usuario se crea automáticamente en el cliente 000 (y 001 si existe).
Con este usuario, se nos requerirá cambiar la contraseña estándar durante la instalación, ciertas autorizaciones son predefinidas en el código del sistema para el usuario DDIC, lo que significa que por ejemplo, solo el usuario DDIC puede realizar un logon al sistema durante la instalación de una nueva versión (upgrade).
En versiones anteriores las contraseñas que tenían por defecto los usuarios SAP* y DDIC eran 06071992.
El usuario EarlyWatch
Se crea en el cliente 006 y está protegido con la contraseña support. Los expertos de SAP del servicio EarlyWatch son quienes utilizan este usuario, no debe ser borrado ni la contraseña debe ser cambiada.
Solo debe ser utilizado para las funciones de EarlyWatch: monitoreo y performance. Las autorizaciones necesarias para este usuario ya son provistas durante la creación del mismo en el proceso de instalación.
Si borramos el registro de usuario SAP* (tabla USR02), la contraseña inicial pass con las propiedades vuelven a ser válidas nuevamente: el usuario tiene autorizaciones totales ya que no no se realizan verificaciones de autorización para este usuario. La contraseña no puede ser cambiada.
De que manera podemos proteger el sistema contra este potencial riesgo de acceso no autorizado?
Se puede desactivar el usuario SAP* que viene incluido en el sistema. Para esto, debemos configurar el parámetro del sistema login/no_automatic_user_sapstar con el valor 1. Si el parámetro esta activo, o sea con el valor 1, SAP* no es válido en el sistema. Si el registro maestro de usuario de SAP* es borrado, el logon con la contraeña PASS no funciona.
 
 
 
Sobre el autor
Publicación académica de Madelin Peralta, en su ámbito de estudios para la Carrera Consultor Basis NetWeaver.
Madelin Peralta
Republica Dominicana - Legajo: DV19L
✒️Autor de: 48 Publicaciones Académicas
🎓Egresado del módulo:
Certificación Académica de Madelin Peralta