✒️SAP BASIS Los parámetros de logon y los usuarios estándar
SAP BASIS Los parámetros de logon y los usuarios estándar
PARAMTROS DE LOGON Y USUARIOS ESTANDAR
PARAMETROS DEL SISTEMA PARA LOGON DE USUARIOS
Parámetros del sistema de perfiles Valor defecto Rangos
Longitud mina de la contraseña
login/min_password_lng 6 1-40 car.
Periodo de validez de la contraseña
login/password_expiration_time 0 .0-1000 días
Dity peridod de contraseñas iniciales no utilizados
login/password_max_idel_initial 0 0-24000 días
Idity periodo para contraseñas de usuarios no utilizadas
login/password_max_idle_productive 0 0-24000 días
Inum diferencia de caracteres de la contraseña
login/min_password_diff 1 1-40 car.
Historial de contraseñas
login/password_history_size 5 1-100
Finalizar el procedimiento de inicio de sesión
login/fails_to_sesion_end .3 1-99
Número máximo de intentos de inicio de sesión fallidos
login/fails_to_user_lock 5 1-99
Desactivación del desbloqueo automático
login/failed_user_auto_unlock. 0 0-1
Desactivación de diálogo. Inicio de sesión múltiple
login/disable_multi_gui_login 0 0-1
Usuarios especiales (inicio de sesión múltiple)
login/multi_login_users .alfanumérico
Existen algunas reglas generales sobre las contraseñas que no pueden desactivarse:
Lo configuración que determina que los usuarios deben crear una nueva contraseña que difiera de las 5 últimas no es mandatorio.
SAP WEB Aplication Server 6.20 y 6.40 ofrecían los parámetros login/passowrd_max_new_valid y login/password_max_reset_valid. Estos especificaban por cuanto tiempo una contraseña inicial para un usuario creado o una contraseña recreada por el administrador del sistema para un usuario son válidas.
Para SAP Netweaver AS 7.0, estos parámetros han sido remplazados por login/password_max_idle_intial. Una vez superado el tiempo, la contraseña no es válida y se debería restablecer.
Otro parámetro introducido después de la 6.40 es login/password_max_idle_productive. Indica el tiempo máximo de una contraseña productiva que es válido mientras esta no es usada. Una vez superado el tiempo esta contraseña ya no es válida y el administrador debe reasignar una nueva inicial.
Se pueden definir restricciones adicionales en la tabla USR40.
A medianoche hora del servidor, los usuarios que se bloquearon como resultado de intentos incorrectos de logón, no son desbloqueados automáticamente por el sistema, este es el valor por defecto de la versión SAP Netweaver 7.0. Se puede reactivar este desbloqueo automático con el parámetro: login/failed_user_auto_unlock = 1.
Mediante la transacción SU01, se puede bloquear, desbloquear, restablecer contraseña a los usuarios.
Si el parámetro login/disable_multi_gui_login está en 0, el usuario no puede ingresar a más de un cliente a la vez. Si está en 1, el sistema le pregunta:
Tenemos la opción de excluir de este parámetro a los usuarios que especifiquemos en el parámetro login/multi_login_users separados por comas y sin espacios.
USUARIOS ESTANDAR
Hay dos tipos de usuarios estándar:
Durante la instalación del SAP, el cliente 000 y 066 son creados (el cliente 001 no siempre es creado durante la instalación. Si por ejemplo en la instalación de la versión ERP 6.0)
Hay usuarios estándar predefinidos en los clientes.
Estos nombres de usuarios y sus contraseñas son estándar, pueden ser conocidos por otras personas, por lo tanto es aconsejable como administradores que protejamos estos usuarios de accesos no autorizados.
EL USUARIO ESTANDAR DEL SISTEMA: SAP
SAP* es el único usuario para el cual no se requiere registro maestro de usuario (no existe e una entrada en las tablas de usuarios) está definido en el kernel del sistema.
Tiene por defecto la contraseña PASS y autorización de acceso total al sistema.
Cuando se instala un sistema SAP, se crea un registro maestro de usuario para SAP* en el cliente 000 (y 001 si existe). Durante el proceso de instalación se nos solicita la contraseña.
La instalación solo continua si hemos ingresado la contraseña para el usuario SAP*
El registro maestro de usuario creado para SAP* desactiva las propiedades especiales de SAP*, por lo que solo las autorizaciones y contraseñas definidas en el registro maestro del usuario aplican ahora.
EL USUARIO ESTANDAR: DDIC
Usuario responsable de mantener el diccionario ABAP y la logística de software.
Un registro maestro se crea automáticamente en el cliente 000 (y 001 si aplica) para el usuario DDIC.
Se nos requerirá cambiar la contraseña de este usuario durante la instalación.
Ciertas autorización son predefinidas en el código del sistema para este usuario, por ejemplo el usuario DDIC puede realizar un logón al sistema durante la instalación de una nueva versión (upgrade).
USUARIO ESTANDAR EARLYWATCH
Se crea en el cliente 066 y está protegido con la contraseña Support.
Los expertos de SAP del servicio EarlyWatch son quienes utilizan este usuario.
Este usuario no debe ser borrado ni la contraseña debe ser cambiada.
Este usuario solo debe de utilizar para las funciones de EarlyWatch: monitoreo y performance.
Las autorizaciones necesarias para este usuario ya se hacen durante la creación del mismo en el proceso de instalación.
La contraseña estándar no puede ser cambiada.
Si borramos el registro de usuario SAP* (tabla USR02), la contraseña inicial PASS con las propiedades vuelven a ser validas nuevamente: el usuario tiene autorizaciones totales ya que no se realizan verificaciones de autorización para este usuario.
COMO PROTEGER ELSISTEMA CONTRA EL RIESGO POTENCIAL DE ACCESO NO AUTORIZADO CON EL USUARIO SAP*
Se puede desactivar el usuario SAP*.
Modificamos el parámetro login/no_automatic_user_sapstar con el valor 1.
Si el parámetro está activo, SAP* no es válido en el sistema.
Si el registro maestro del usuario de SAP* es borrado, el logón con la contraseña PASS no funciona.
Si quisiéramos reinstalar el comportamiento anterior de SAP*, cambiamos el parámetro al valor 0 y reiniciamos el sistema.
IMPORTANTE: Es conveniente activar el parámetro en el perfil global del sistema DEFAULT.PFL para que tenga efecto en todas las instancias del sistema (de todas formas si existiera el parámetro también en un perfil de instancia con el valor 0, este sobre escribe el que está en el perfil global). También crear el registro maestro de usuario SAP* en todas las instancias y así asegurar que no se podrá ingresar con la clave PASS si el parámetro es desactivado (valor 0).
 
 
 
Sobre el autor
Publicación académica de Marcos Garcia, en su ámbito de estudios para la Carrera Consultor Basis NetWeaver.
Marcos Garcia
Profesión: Técnico - Argentina - Legajo: JK77E
✒️Autor de: 31 Publicaciones Académicas
🎓Egresado del módulo:
Certificación Académica de Marcos Garcia