Académique Documents
Professionnel Documents
Culture Documents
¿Qué son los parámetros de seguridad en SAP R/3? Es la manera que nos provee el
sistema para determinar diferentes configuraciones del mismo ya sea de funcionamiento
o performance (BASIS), como de seguridad… y estás últimas son las que más nos
interesan.
En este post estaremos identificando siempre los parámetros con las versiones más
actualizadas de SAP a la fecha… es posible que en versiones anteriores a SAP ECC 5
no se encuentren todos los aquí enunciados o tengan modificaciones en sus valores
posibles.
Estos son los parámetros de definición de las contraseñas que tiene SAP, en el próximo
post vamos a incluir los respectivos a logueo de errores de logon, multilples loguins y
otros varios.
Siguiendo con el post del día de ayer nos quedaron algunos parámetros para seguir con
las recomendaciones de “las mejores prácticas”:
Multiloguin
CONFIGURACIÓN DE CONTRASEÑA
login/failed_user_auto_unlock = Esto debe ser (0) para evitar que los usuarios
bloqueados se habiliten automáticamente. Como mecanismo de control es importante la
participación y control por parte del administrador para desbloquearlo.
Otros parámetros
La lista no trata de ser exhaustiva, y tiene fines didácticos e incluso está abierta a la
discusión por parte de ustedes si así lo desean en los comments.
CONFIGURACIÓN DE CONTRASEÑA
PERFIL: P01_DVEBMGS01_SAPPRO
login/password_expiration_time
login/multi_login_users
login/disable_multi_gui_login
login/no_automatic_user_sapstar
rdisp/gui_auto_logout
Hoy vamos a hablar de los usuarios por defecto del sistema SAP. Habitualmente estos
usuarios los podemos encontrar no solo en R/3 si no que, en principio, también están
presentes en los otros sistemas (BW, PI, Solution Manager, etc)
Estos usuarios existen por diversos motivos, principalmente vinculados con el propio
funcionamiento del sistema, la instalación o la configuración del mismo.
DDIC
EARLYWATCH
Este usuario si bien no posee permisos tan amplios como DDIC permite el acceso al
sistema con una contraseña por defecto: SUPPORT. Este usuario es utilizado para el
proceso de revisión periódica del sistema por parte de SAP, en donde revisa la
performance del equipo de manera remota, las licencias, etc a través de un acceso por
SAPRouter. Es recomendable cambiar la contraseña de este usuario en el mandante
066 (al que accede SAP para estas evaluaciones)
SAPCPIC
Usuario utilizado para los procesos de comunicación entre sistemas y el cual también
posee permisos amplios, la política es similar a la del usuario DDIC y es de cambiar su
contraseña por defecto ADMIN
SAP*
Un caso parecido a DDIC, y tal vez el más grave ocurre con el usuario SAP*, el cual es
el usuario con el que por primera vez iniciaremos el sistema después de la instalación, y
que posee amplios permisos sobre la aplicación. En versiones anteriores a las ECC 5 de
SAP la contraseña por defecto era 06071992, pero a partir de la misma se pregunta
CONFIGURACIÓN DE CONTRASEÑA
durante la instalación la contraseña inicial. Este usuario tampoco debe ser eliminado ya
que es de utilidad en determinadas ocasiones para aplicaciones de parches, updates,
upgrades y algunas tareas en particular que lamentablemente tienen este usuario
hardcodeado como el único que puede ejecutarlas.
Las precauciones con el usuario SAP* deben extremarse ya que en caso de borrarse el
usuario de sistema la aplicación tiene un BUG o mecanismo de seguridad en donde se
genera un nuevo usuario SAP* con contraseña por defecto PASS. De esta manera si
borramos el usuario SAP* estaremos abriendo un agujero de seguridad aún más grande
ya que no podría cambiarse la contraseña por defecto.
Recomendaciones Finales:
Cualquier usuario creado por defecto por el sistema implica un riesgo, ya que a los
mismos se les conocen habitualmente varias vulnerabilidades. Lo primordial: cambiar
sus contraseñas por defecto y de ser posible bloquear los usuarios sin borrarlos (caso
SAP*). Una buena forma de verificar preventivamente esto es ejecutar desde la
transacción SA38 el report RSUSR003, el cual nos brindará la información sobre las
contraseñas por defecto de estos usuarios.
CONFIGURACIÓN DE CONTRASEÑA
Para hacer que los parámetros a nivel mundial eficaz en un sistema SAP
( parámetros del sistema de perfil) , las puso en el perfil predeterminado
DEFAULT.PFL sistema. Sin embargo , para que sean específico de la instancia ,
debe establecer en los perfiles de cada servidor de aplicaciones en su sistema
SAP.
Para mostrar la documentación de uno de los parámetros , elija Instrumentos CCMS
Configuración El perfil de Mantenimiento ( RZ10 transacción) , especifique el nombre del
parámetro y elija Mostrar. En la siguiente pantalla , elegir el Documentación pulsador.
Contraseña cheques
Parámetro Explicación
login/min_password_lng Define la longitud mínima de la contraseña.
Valor por defecto: 3; los valores permitidos :
3a8
login/min_password_digits Define el número mínimo de dígitos (0-9) en
las contraseñas.
Valor por defecto: 0; valores permitidos : 0 a
8
Disponible a partir del SAP Web AS 6.10
login/min_password_letters Define el número mínimo de letras (AZ ) en
las contraseñas.
Valor por defecto: 0; valores permitidos : 0 a
8
Disponible a partir del SAP Web AS 6.10
login/min_password_specials Define el número mínimo de caracteres
especiales en la contraseña permitidos los
caracteres especiales se $%&/()=?'`*+~#-
_.,;:{[]} \ < > │ y el espacio
Valor por defecto: 0; valores permitidos : 0 a
8
Disponible a partir del SAP Web AS 6.10
login/password_charset Este parámetro define el carácter de las
cuales puede consistir en una contraseña .
Los valores permitidos :
● 0 (Restrictiva ): La contraseña puede
consistir solamente de dígitos , las
letras, y la siguiente (ASCII )
caracteres especiales: ! @ $%&/
()=?'`*+~#-_.,;:{[]} \ < > | y en el
espacio
● 1 ( compatible con versiones
anteriores , el valor por defecto) : La
contraseña puede constar de los
CONFIGURACIÓN DE CONTRASEÑA
datos Ficha
Disponible a partir del SAP Web AS 6.10, a
partir del 4,6 por SAP Basis Support
Package
login/password_logon_usergroup Controla la desactivación de inicio de sesión
basada en contraseñas para grupos de
usuarios
Disponible a partir del SAP Web AS 6.10, a
partir del 4,6 por SAP Basis Support
Package
Múltiples de inicio de sesión
Parámetro Explicación
login/disable_multi_gui_login Controla la desactivación de múltiples inicios
de sesión de diálogo
Disponible como de SAP Basis 4.6
login/multi_login_users Lista de usuarios exceptuados, es decir, los
usuarios que tienen permiso para iniciar
sesión en el sistema de más de una vez .
Disponible como de SAP Basis 4.6
Inicio de sesión incorrecto
Parámetro Explicación
login/fails_to_session_end Define el número de intentos de inicio de
sesión sin éxito antes de que el sistema no
permite que cualquier intento de inicio de
sesión más. El parámetro se establece en un
valor inferior al valor del parámetro
entrada / fails_to_user_lock.
Valor por defecto: 3; valores admisibles : 1 -99
login/fails_to_user_lock Define el número de intentos de inicio de
sesión sin éxito antes de que el sistema se
bloquea el usuario. De forma
predeterminada , el bloqueo se aplica hasta la
medianoche.
Valor por defecto: 12; valores admisibles : 1
-99
login/failed_user_auto_unlock Define si el usuario bloquea debido a los
intentos de inicio de sesión sin éxito que se
eliminará automáticamente a la medianoche.
Valor por defecto: 1 ( bloqueo se aplica
solamente en el mismo día) , los valores
permitidos : 0, 1
Contraseña inicial : validez limitada
Parámetro Explicación
login/password_max_new_valid Define el período de validez de las
contraseñas para los usuarios recién creados .
Disponible a partir del SAP Web AS 6.10, a
partir del 4,6 por SAP Basis Support Package
login/password_max_reset_valid Define el período de validez de restablecer
contraseñas .
CONFIGURACIÓN DE CONTRASEÑA