Безопасность SAP - Защита обычных пользователей
При первой установке системы SAP создается несколько пользователей по умолчанию для выполнения административных задач. По умолчанию он создает три клиента в среде SAP, которые:
Клиент 000 - эталонный клиент SAP
Клиент 001 - шаблон клиента от SAP
Клиент 066 - клиент SAP Early Watch
SAP создает стандартных пользователей в вышеупомянутом клиенте в системе. Каждый стандартный пользователь имеет свой собственный пароль по умолчанию при первой установке.
Стандартные пользователи в системе SAP включают следующих пользователей под клиентом по умолчанию:
Пользователь | Детали | Клиент | Пароль по умолчанию |
---|---|---|---|
SAP | Суперпользователь системы SAP | 000, 001, 066 | 6071992 |
Все новые клиенты | ПРОХОДИТЬ | ||
DDIC | Суперпользователь словаря ABAP | 000, 001 | 19920706 |
SAPCPIC | Пользователь CPI-C для SAP | 000, 001 | админ |
РАННЯЯ ЧАСТЬ | Пользователь Early Watch | 66 | служба поддержки |
Это стандартные пользователи клиентов SAP по умолчанию для выполнения задач администрирования и настройки в системе SAP. Чтобы поддерживать безопасность в системе SAP, вы должны защитить этих пользователей -
Вы должны добавить этих пользователей в группу SUPER, чтобы они изменялись только администратором, имеющим право добавлять / изменять пользователей в группу SUPER.
Пароль по умолчанию для обычных пользователей следует изменить.
Как просмотреть список клиентов в системе SAP?
Вы можете увидеть список всех клиентов в вашей среде SAP с помощью транзакции SM30, отобразить таблицу T000.
Когда вы войдете в таблицу и нажмете на Display, он покажет вам список всех клиентов в вашей системе SAP. Эта таблица включает подробную информацию обо всех клиентах по умолчанию и новых клиентах, которые вы создаете в среде для совместного использования ресурсов.
Вы можете использовать отчет RSUSR003 чтобы убедиться, что пользователь SAP был создан во всех клиентах и что стандартные пароли были изменены для SAP, DDIC и SAPCPIC.
Идти к ABAP Editor SE38 введите имя отчета и нажмите ВЫПОЛНИТЬ.
Введите заголовок отчета и нажмите Executeкнопка. Он будет отображать всех клиентов и стандартных пользователей в системе SAP, статус пароля, причину блокировки использования, действительный с и действительный до и т. Д.
Защита суперпользователя системы SAP
Чтобы защитить суперпользователя системы SAP «SAP», вы можете выполнить в системе следующие шаги:
Step 1- Вам необходимо определить нового суперпользователя в системе SAP и деактивировать пользователя SAP. Обратите внимание, что вы не должны удалять пользователя SAP в системе. Чтобы деактивировать жестко запрограммированного пользователя, вы можете использовать параметр профиля:login/no_automatic_user_sapstar.
Если основная запись пользователя SAP * удалена, можно войти в систему с «SAP» и начальным паролем PASS.
Пользователь «SAP» имеет следующие свойства:
Пользователь имеет полные полномочия, поскольку проверки авторизации не выполняются.
Пароль по умолчанию PASS изменить нельзя.
Вы можете использовать параметр профиля login/no_automatic_user_sapstar отключить эти специальные свойства SAP и настроить автоматический вход пользователя SAP *.
Step 2 - Чтобы проверить значение этого параметра, запустите Transaction RZ11 и введите имя параметра.
Values allowed - 0, 1, в котором -
0 - Допускается автоматический пользовательский SAP *.
1 - Автоматический пользовательский SAP * отключен.
Step 3 - В следующей системе вы можете видеть, что значение этого параметра установлено на 1. Это показывает, что суперпользователь «SAP» деактивирован в системе.
Step 4 - Нажмите на Display и вы можете увидеть текущее значение этого параметра.
Чтобы создать нового суперпользователя в системе, определите новую основную запись пользователя и назначьте профиль SAP_ALL этому суперпользователю.
DDIC Защита пользователей
Пользователь DDIC требуется для выполнения определенных задач, связанных с логистикой программного обеспечения, словарем ABAP и задачами, связанными с установкой и обновлением. Чтобы защитить этого пользователя, рекомендуется заблокировать этого пользователя в системе SAP. Вы не должны удалять этого пользователя, чтобы использовать некоторые функции в будущем.
Чтобы заблокировать пользователя, используйте код транзакции: SU01.
Если вы хотите защитить этого пользователя, вы можете назначить SAP_ALL авторизация для этого пользователя во время установки, а затем блокировка.
Защита пользователя SAPCPIC
Пользователь SAPCPIC используется для вызова определенных программ и функциональных модулей в системе SAP и не является пользователем диалога.
Вы должны заблокировать этого пользователя и изменить пароль для этого пользователя, чтобы защитить его. В предыдущих выпусках, когда вы блокируете пользователя SAPCPIC или меняете пароль, это влияет на дополнительные программы RSCOLL00, RSCOLL30 и LSYPGU01.
Защита раннего дозора
Клиент 066 - это называется SAP Early Watch и используется для диагностического сканирования и службы мониторинга в системе SAP, а пользователь EARLYWATCH является интерактивным пользователем службы Early Watch в клиенте 066. Чтобы защитить этого пользователя, вы можете выполнить следующие действия:
- Заблокируйте пользователя EARLYWATCH, пока он не понадобится в среде SAP.
- Измените пароль по умолчанию для этого пользователя.
Ключевые моменты
Чтобы защитить пользователей SAP Standard и защитить клиентов в ландшафте SAP, вы должны учитывать следующие ключевые моменты:
Вы должны правильно поддерживать клиентов в системе SAP и следить за тем, чтобы не было неизвестных клиентов.
Вам необходимо убедиться, что суперпользователь SAP «SAP» существует и деактивирован во всех клиентах.
Вам необходимо убедиться, что пароль по умолчанию изменен для всех стандартных пользователей SAP. Пользователь SAP, DDIC и EARLYWATCH.
Вам необходимо убедиться, что все стандартные пользователи были добавлены в группу SUPER в системе SAP, и единственное лицо, уполномоченное вносить изменения в группу SUPER, может только редактировать этих пользователей.
Вам необходимо убедиться, что пароль по умолчанию для SAPCPIC был изменен, и этот пользователь заблокирован и разблокирован, когда это необходимо.
Все стандартные пользователи SAP должны быть заблокированы и могут быть разблокированы только тогда, когда это необходимо. Пароль должен быть хорошо защищен для всех этих пользователей.
Как изменить пароль обычного пользователя?
Вы должны убедиться, что пароль для всех стандартных пользователей SAP должен быть изменен на всех клиентах, обслуживаемых в Table T000 и пользователь «SAP» должен существовать для всех клиентов.
Чтобы изменить пароль, войдите в систему с суперпользователем. Введите идентификатор пользователя в поле «Имя пользователя», для которого вы хотите изменить пароль. Нажмите на опцию «Изменить пароль», как показано на следующем снимке экрана -
Введите новый пароль, повторите пароль и нажмите Apply. Вы должны повторить тот же процесс для всех стандартных пользователей.