Комментарии по теме

««Создание быстрого ввода пароля в систему SAP ERP ECC на стороне клиента»»
Сергей Трапезников:
Согласитесь, в случае периодической смены паролей, Ваше решение будет не удобным. если с компа на комп, то тогда лучше использовать WTS (терминальный сервер), как промежуточный слой. По связке...
««Создание быстрого ввода пароля в систему SAP ERP ECC на стороне клиента»»
Сергей Трапезников:
Есть еще третий более простой способ -использование технологии single logon. Sap logon будет использовать windows пароль, очень удобно.
«Введение в бе­зо­па­сно­сть системы SAP*»
Максим Мельник:
Спасибо за статью. В части безопасности SAP есть пожелания:   1. На что обратить при формировании требований? (предположу, что есть специфика. применимая только к SAP-системам) 2. Какие...

База знаний

Безопасный регламент поведения пользователя в системе SAP

1674

Оглавление

Суть проблемы

Рекомендации по настройке параметов безопасного регламента

Параметры профиля для входа в систему и пароля

Параметры, заменяемые политиками безопасности

Суть проблемы

Очень часто, принимая на администрирование новую систему или работая на проекте, где установку и первичную настройку АВАР выполнили ранее, я заметил, что почти всегда параметры, регламентирующие поведение пользователя в системе, остаются почти без изменения. Это приводит к большому количеству дополнительной работы по ведению учетных записей или нарушает безопасность системы. Чтобы такое не случилось со мной, у меня под рукой есть моя «шпаргалка» по основным параметрам, регулирующим поведение пользователя в системе.

Рекомендации по настройке параметров безопасного регламента

Параметры профиля для входа в систему и пароля

Последовательность настройки:

1) login/password_charset – параметр определяет, какие символы может содержать пароль. Значение по умолчанию – 1.

  1. 0 – Пароль может содержать только цифры, буквы (английский алфавит), пробел, апостроф и следующие символы ASCII таблицы !"@ $%&/()=?'*+~#-_,;:{[]}\<>.
  2. 1 – Пароль может содержать любые символы, включая, национальные спец символы. Например: ы – для русского языка или ї – для украинского.
  3. 2 – пароль может содержать любой символ из таблицы UTF-8. Применимо только для систем поддерживающих Unicode.

Чтобы проверить поддерживает ли система UNICODE, достаточно залогиниться в систему и выбрать Система – Статус. Там. В разделе UNICODE будет стоять YES или NO.

2) login/password_downwards_compatibility – определяет уровень обратной совместимости для пароля. Значение по умолчанию – 1. Необходимо быть крайне аккуратным с этим параметром, т.к. при установке значения 0 данного параметра меняется формат, в котором хранятся пароли. В результате этого, старые версии ядра могут быть не в состоянии интерпретировать пароль из нового формата. Как результат – невозможно войти в систему даже вводя правильный пароль. Если такая ситуация возникла, необходимо:

  1. Выключить систему.
  2. Перейти в директорию <SAPMNT>\<SID>\SYS\profile\
  3. Открыть на редактирование профиль инстанции.
  4. Установить значение 1 для этого параметра.
  5. Включить систему.

Возможные значения:

  1. 0 – Сохраняет пароли в формате, который системы с более старыми ядрами не могут интерпретировать. Система генерирует только новые (не обратно совместимые) хэш-значения паролей.
  2. 1 – Система также генерирует обратно-совместимые значения хэшей паролей внутри, но не оценивает их для входа в систему на основе паролей (в свою собственную систему). Этот параметр необходим, если вы используете эту систему в качестве центральной системы централизованного администрирования пользователей, и системы, которые поддерживают только хэш-значения паролей с обратной совместимостью, также подключаются к системной группе.
  3. 2 - Система также генерирует внутренние хэш-значения паролей обратной совместимости, которые она оценивает в случае сбоя входа в систему с новым паролем, несовместимым с предыдущей версией. Таким образом, система проверяет, был ли вход в систему принят с обратно совместимым паролем (усеченный после восьми символов и преобразованный в верхний регистр). Система записывает это в системный журнал. Вход в систему не удается. Этот параметр позволяет идентифицировать проблемы обратной несовместимости.
  4. 3 - Как и пункт 2, но вход в систему считается успешным. Этот параметр позволяет избежать проблем обратной несовместимости.
  5. 4 - Как и в случае с пунктом 3, но система не создает запись в системном журнале.
  6. 5 - Полная обратная совместимость: система создает только обратно совместимые хеш-значения паролей.

3) login/disable_multi_gui_login – разрешает или запрещает множественный вход в систему в один мандант (клиент) под одним логином. Значение по умолчанию – 0.

Возможные значения:

  1. 0 – Разрешает множественный вход в систему.
  2. 1 – Множественный вход запрещен.

4) login/fails_to_session_end - Определяет количество неудачных попыток входа в систему, прежде чем система не разрешит больше попыток входа в систему. Необходимо установить для параметра значение меньше того, которое указано для login/fails_to_user_lock  Значение по умолчанию – 0. Диапазон значений от 0 до 99.

5) login/accept_sso2_ticket – разрешает или запрещает вход в систему используя SSO. Значение по умолчанию – 0.

Возможные значения:

  1. 0 – Запрещает вход в систему используя SSO.
  2. 1 – Разрешает вход в систему используя SSO.

6) login/create_sso2_ticket - разрешает или запрещает генерирование SSO тикетов. Значение по умолчанию – 0. SAP рекомендует установить значение 2.

Возможные значения:

  1. 0 – Генерация тикетов отключена.
  2. 1 – Позволяет сгенерировать SSO тикет с сертификатом.
  3. 2 - Позволяет сгенерировать SSO тикет без сертификатом.

7) login/ticket_expiration_time – определяет период валидности SSO тикета. Здесь значение это время в часах, т.е. указав, к примеру, 24, означает, что тикет будет валидный 24 часа.  Значение по умолчанию – 8.

8) login/ticket_only_by_https - Указывает, как система устанавливает в браузере тикет, сгенерированный при входе в систему с использованием HTTP(S). Значение по умолчанию – 0.

Возможные значения:

  1. 0 – Браузер всегда отправляет тикет.
  2. 1 – Браузер отправляет тикеты только для HTTPS-соединений.

9) login/ticket_only_to_host - Указывает, как система устанавливает в браузере тикет, сгенерированный при входе в систему с использованием HTTP(S). Значение по умолчанию – 0.

Возможные значения:

  1. 0 – отправляет тикет всем серверам в домене.
  2. 1 – при входе через HTTP(S) отправляет тикет только на сервер, который создал заявку.

10) login/disable_cpic – разрешает или запрещает входящие подключения типа CPIC. CPIC (Common Programming Interface for Communication) – специальный протокол SAP используемый для передачи данных между системами. На нем основан коммуникационный интерфейс RFC (Remote Function Call) обладающий большим количеством функций и более простой в использовании. Значение по умолчанию – 0.

Возможные значения:

  1. 0 – Разрешить входящие соединений типа CPIC.
  2. 1 – Запретить входящие соединений типа CPIC. Входящие соединения типа RFC остаются неизменными.

11) login/no_automatic_user_sapstar – управляет пользователем sap*  Значение по умолчанию – 1.

12) login/server_logon_restriction – Отключает возможность входа в систему для пользователей. Это может быть полезно при обслуживании системы. Значение по умолчанию – 0.

Возможные значения:

  1. 0 – Нормальная работа. Пользователи могут войти в систему в обычном режиме        .
  2. 1 – Только пользователи с атрибутом политики безопасности SERVER_LOGON_PRIVILEGE со значением 1 могут войти в систему.
  3. 2 - Пользователи не могут войти в систему.

13) login/system_client - Указывает клиента по умолчанию, который система

Ограниченный доступ

Для прочтения полной версии статьи необходимо зайти как зарегистрированный пользователь.


Любое воспроизведение запрещено.
Копирайт © «Издательство ООО «Эксперт РП»