Posts Tagged ‘R/3’

Parámetros de Seguridad (Parte II)

Friday, February 20th, 2009

Continuamos la lista que comenzamos a armar ayer con algunos de los últimos parámetros del sistema SAP:

Multiloguin

login/disable_multi_gui_login = Determina si el sistema permite logins desde más de un GUI. (o permite, 1 deshabilita). Es utilizado para evitar riesgos no detectados que un usuario sea utilizado desde más de una terminal, para ahorrar en términos de performance y para evitar problemas de licencias con SAP)

login/multi_login_users = En el se definen separados por comas, las excepciones al parámetro anterior, osea quienes pueden loguearse desde más de un gui independientemente de la definición del otro parámetro.

login/failed_user_auto_unlock = Aquí entre 0 y 1 se define si después de la medianoche los usuarios bloqueados por errores de contraseña se desbloquean automáticamente. Lo recomendable es que esto no suceda a diferencia del valor por defecto de SAP.

login/fails_to_session_end = En este caso se define la cantidad de errores en el ingreso de contraseña hasta que la sesión de un usuario llegué a su fin (pero no se bloquea el usuario, solo se lo desconecta del SAP GUI)

login/fails_to_user_lock = Este parámetro determina la cantidad de errores consecutivos en el ingreso de la contraseña a partir del cual se bloquea el usuario, el cual debe ser desbloqueado por el administrador salvo que el parámetro logins/failed_user_auto_unlock tenga un valor distinto de 0.

Otros parámetros

login/disable_cpic = A partir del mismo se deshabilitan las conexiones por el viejo protocolo CPIC.

login/no_automatic_user_sapstar = Este parámetro deshabilita el usuario harcodeado SAP* con contraseña PASS en caso que se borre el usuario SAP* del maestro de usuarios. (0 habilitado, 1 deshabilita). Para más información ver el artículo:  http://www.seguridadsap.com/sap/usuarios-por-defecto-sap-ddic-earlywatch-etc/.

rdisp/gui_auto_logout = Mediante este parámetro se determina en segundos la cantidad de tiempo de inactividad antes que se terminé la sesión del usuario (0 deshabilitado)

login/system_client = El mismo define el mandante por defecto que nos aparecerá propuesto.

El presente post y su parte uno fueron una enumeración de los principales parámetros vinculados con la seguridad de SAP, respecto a los valores recomendados probablemente en breve hagamos una entrada nueva en este blog definiéndolos, aunque siempre teniendo en cuenta que es muy personal de cada instalación.

VN:F [1.8.2_1042]
Rating: 0.0/5 (0 votes cast)
VN:F [1.8.2_1042]
Rating: 0 (from 0 votes)

Tags: , , , , , , ,
Posted in Contraseña | No Comments »

Parámetros de configuración de Seguridad

Thursday, February 19th, 2009

¿Qué son los parámetros de seguridad en SAP R/3? Es la manera que nos provee el sistema para determinar diferentes configuraciones del mismo ya sea de funcionamiento o performance (BASIS), como de seguridad… y estás últimas son las que más nos interesan.

A través de los mismos podremos definir cosas como el largo de la contraseña, la cantidad de dígitos obligatorios, tiempo de caducidad, entre otras opciones. La configuración de los mismos se hace a través de las transacciones RZ10 y RZ11 (perfiles globales, de instancia, o modificación dinámica).

En este post estaremos identificando siempre los parámetros con las versiones más actualizadas de SAP a la fecha… es posible que en versiones anteriores a SAP ECC 5 no se encuentren todos los aquí enunciados o tengan modificaciones en sus valores posibles.

Parámetros de restricción a las contraseñas:

login/min_password_lng = El cual permite definir el tamaño mínimo de la contraseña que va desde 3 a 40 (en las versiones más nuevas de SAP, anteriormente solamente hasta 8 )

login/min_password_lowercase = Cantidad mínima de caracteres en mínusculas.

login/min_password_uppercase = Cantidad mínima de caracteres en mayúsculas.

login/min_password_specials = Cantidad mínima de caracteres especiales (no 0 a 9, tampoco A-Z, ni a-z)

login/min_password_letters = Cantidad mínima de caracterés del alfabeto en la contraseña.

login/min_password_digits = Cantidad mínima de dígitos obligatorios en la contraseña (0-9)

login/min_password_diff = Cantidad de caracteres que deben diferenciarse entre la nueva contraseña y la anterior (para cambios de contraseña realizados por el usuario)

login/password_history_size = Cantidad de contraseña guardadas como historial de manera que no puedan repetirse las últimas “n” contraseñas (Mínimo 1 y Máximo 100).

login/password_expiration_time = Cantidad de tiempo definida en días que transcurre antes que expiré la contraseña del usuario y el sistema solicite un cambio de la misma. (el valor mínimo es 0 que significa sin caducidad y 1000)

login/password_change_waittime = Cantidad de días que deben transcurrir antes que el usuario pueda cambiar por sus propios medios nuevamente una contraseña. (Es para impedir que se evite el control de historial de contraseñas cambiando numerosas veces una misma contraseña)

login/password_compliance_with_current_policy = Este parámetro determina que durante los nuevos logins se verifique si la contraseña cumple con el estándar actualmente definido. (o no chequea, 1 chequea) De esta manera las modificaciones de parámetros de seguridad impactarán inmediatamente en los usuarios requiriendo que los mismos realicen un cambio de contraseñas en su próximo loguin si no cumplen la política actual.

login/password_max_idle_initial = Máximo número de días que la contraseña definida por el administrador (inicial) puede permanecer habilitada para que el usuario la utilice. (0 a 1000). Es utilizado para evitar que los usuarios sean dados de alta con contraseñas iniciales pero nunca ingresen al sistema dejando una puerta semi-abierta en el mismo sistema (contraseñas iniciales débiles)

login/password_max_idle_production = Similar al anterior pero aplicable a los cambios realizados por los mismos usuarios.

login/disable_password_logon = Permite desactivar el logueo por contraseña si se utiliza otro medio como ser SSO o SNC, para acceder al sistema.

login/password_logon_usergroup = Grupo de usuarios que podrá loguearse con contraseña a pesar de haber usado el parámetro login/disable_password_logon.

login/password_change_for_SSO = Define el comportamiento de la solicitud de cambio de contraseñas para sistemas con SSO (o a 3)

Estos son los parámetros de definición de las contraseñas que tiene SAP, en el próximo post vamos a incluir los respectivos a logueo de errores de logon, multilples loguins y otros varios.

VN:F [1.8.2_1042]
Rating: 0.0/5 (0 votes cast)
VN:F [1.8.2_1042]
Rating: 0 (from 0 votes)

Tags: , , , , , , ,
Posted in Contraseña | No Comments »

Usuarios por defecto (SAP*, DDIC, EARLYWATCH, etc)

Wednesday, February 18th, 2009

Hoy vamos a hablar de los usuarios por defecto del sistema SAP. Habitualmente estos usuarios los podemos encontrar no solo en R/3 si no que, en principio, también están presentes en los otros sistemas (BW, PI, Solution Manager, etc)

Estos usuarios existen por diversos motivos, principalmente vinculados con el propio funcionamiento del sistema, la instalación o la configuración del mismo.

DDIC

Podemos encontrar en principio el usuario DDIC, el cual es el utilizado para la gestión del diccionario de datos, modificación de estructuras de datos, upgrades del sistema, etc. Por estos motivos el usuario no debe ser eliminado del sistema si no que por el contrario debe ser modificada su contraseña de origen la cual viene por defecto definida como 19920607, ya que dejar este usuario con la contraseño por defecto nos expondría a riesgos asociados con los permisos amplios del mismo para operar con el sistema.

EARLYWATCH

Este usuario si bien no posee permisos tan amplios como DDIC permite el acceso al sistema con una contraseña por defecto: SUPPORT. Este usuario es utilizado para el proceso de revisión periódica del sistema por parte de SAP, en donde revisa la performance del equipo de manera remota, las licencias, etc a través de un acceso por SAPRouter. Es recomendable cambiar la contraseña de este usuario en el mandante 066 (al que accede SAP para estas evaluaciones)

SAPCPIC

Usuario utilizado para los procesos de comunicación entre sistemas y el cual también posee permisos amplios, la política es similar a la del usuario DDIC y es de cambiar su contraseña por defecto ADMIN

SAP*

Un caso parecido a DDIC, y tal vez el más grave ocurre con el usuario SAP*, el cual es el usuario con el que por primera vez iniciaremos el sistema después de la instalación, y que posee amplios permisos sobre la aplicación. En versiones anteriores a las ECC 5 de SAP la contraseña por defecto era 06071992, pero a partir de la misma se pregunta durante la instalación la contraseña inicial. Este usuario tampoco debe ser eliminado ya que es de utilidad en determinadas ocasiones para aplicaciones de parches, updates, upgrades y algunas tareas en particular que lamentablemente tienen este usuario hardcodeado como el único que puede ejecutarlas.

Borrar el usuario SAP*

Las precauciones con el usuario SAP* deben extremarse ya que en caso de borrarse el usuario de sistema la aplicación tiene un BUG o mecanísmo de seguridad en donde se genera un nuevo usuario SAP* con contraseña por defecto PASS. De esta manera si borramos el usuario SAP* estaremos abriendo un agujero de seguridad aún más grande ya que no podría cambiarse la contraseña por defecto.

La solución a este problema viene dado por un parámetro seteable en la transacción RZ11 de nombre (login/no_automatic_user_sapstar) el cual para no permitir este agujero de seguridad debe estar definido con el valor 1. (Ver artículo sobre parámetros)

Preventivamente es recomendable bloquear al usuario SAP* y desbloquearlo solo en caso de necesidad explícita de uso.

Recomendaciones Finales:

Cualquier usuario creado por defecto por el sistema implica un riesgo, ya que a los mismos se les conocen habitualmente varias vulnerabilidades. Lo primordial: cambiar sus contraseñas por defecto y de ser posible bloquear los usuarios sin borrarlos (caso SAP*). Una buena forma de verificar preventivamente esto es ejecutar desde la transacción SA38 el report RSUSR003, el cual nos brindará la información sobre las contraseñas por defecto de estos usuarios.

VN:F [1.8.2_1042]
Rating: 4.0/5 (1 vote cast)
VN:F [1.8.2_1042]
Rating: 0 (from 0 votes)

Tags: , , , , , ,
Posted in Contraseña, autorización | 7 Comments »

SAP y las tres capas

Thursday, January 22nd, 2009

SAP, en versiones anteriores era llamado como SAP R/3 haciendo referencia esta sigla a las 3 capas con las que trabajaba.

El concepto de 3 capas o three layers está hace bastante tiempo con nosotros y basicamente consiste en armar una aplicación dividiendo los datos en una capa (Base de datos), las reglas de negocio (Application Server), y la presentación de la información (el SAP GUI).

Esto se vio reflejado en al artículo sobre las instancias y los ambientes.

La capa de base de datos para SAP es un servidor de base de datos, el cual conceptualmente puede ser cualquiera (con determinados requisitos) siendo muchas veces utilizado Oracle, DB2, SQL Server, entre otros.

La capa de aplicación, son los application servers, los cuales también pueden ser ejecutados en distintas plataformas de sistema operativo. Esta capa es la que se encarga del procesamiento de los datos, la ejecución de los programas ABAP o JAVA, la validación de permisos, la comunicación con otras plataformas, entre varias cosas, y básicamente es la de mayor carga de procesamiento.

La capa de presentación por excelencia es el SAP GUI, y es el cliente que se encarga de dibujar la interfaz para con el usuario final. Actualmente existe la tendencia a llevar funcionalidades de SAP al explorador o mediante otras herramientas como ser el SAP Portal como capa intermedia.

VN:F [1.8.2_1042]
Rating: 0.0/5 (0 votes cast)
VN:F [1.8.2_1042]
Rating: 0 (from 0 votes)

Tags: , , , ,
Posted in introducción | No Comments »

Instancias y Ambientes

Thursday, January 22nd, 2009

En otros posts vimos como era un landscape estandar de SAP, con sus ambientes de desarrollo, testing (pruebas), producción. Pero aún nos falta profundizar el tema un poco más introduciendo algunos nuevos conceptos.

Cada ambiente (desarrollo, testing, producción) es una instalación distinta de SAP, a cada instalación se las llama instancia.

Básicamente a la instancia, la podemos definir como un sistema SAP independiente de otro, salvo por las conexiones que nosotros específicamente definamos. Entonces en este ejemplo, un ambiente de desarrollo, uno de testing y otro de producción son independientes entre si salvo que nosotros explícitamente conectemos estas instancias.

Estas instancias son instalaciones que pueden compartir un mismo equipo como en el caso de el presente gráfico:

servidor

Como también pueden encontrarse en equipos distintos, cada uno ejecutando una instancia:

servidores

El tema es aún más complejo… podríamos encontrar en un mismo equipo o en varios equipos distribuidas varias instancias que podemos llamar application servers y que atiendan a un mismo sistema de manera de poder distribuir la carga de transacciones entre distintos application servers.

servidores-2

Adicionalmente y para sumar complejidad, cada sistema debe tener su propia base de datos, de manera que un sistema productivo estándar podría tener un servidor productivo con una instancia de Application Server más un servidor de base de datos. O infinitas variantes con la base de datos instalada en el mismo application entre otras opciones posibles.

En un próximo post profundizaremos más en el tema y hablaremos también específicamente sobre el concepto de 3 capas.

VN:F [1.8.2_1042]
Rating: 5.0/5 (3 votes cast)
VN:F [1.8.2_1042]
Rating: +1 (from 1 vote)

Tags: , , , , ,
Posted in introducción | No Comments »

¿Cómo funciona SAP? (Parte I)

Tuesday, May 8th, 2007
Alguien puede pensar, cómo contestar algo así en una pequeña entrada de blog, y puede que tenga razón, la idea es explicar básicamente en consiste una instalación SAP, como se lo usa, y demás informaciones que toda persona que vaya a trabajar con SAP (principalmente implementándolo) debería saber y MUCHAS veces NO sabe. Así que vamos a empezar con una breve pero “espero” útil Introducción a SAP

Lo primero que vamos a aclarar es específicamente como funciona la herramienta, como es un landscape típico de SAP y después vemos como seguimos avanzando.

Lo primero que hay que entender es que SAP es un sistema cliente/servidor en tres capas, de ahí el nombre original SAP R/3.

¿Ahora que significa que un sistema es de 3 capas?

Significa que los datos (toda la información que surge de operar el sistema) está almacenada en una base de datos y esta es una capa, la lógica del negocio (los programas que dicen que se va a hacer con esos datos) están en otra capa separada, y la presentación de la información está en una tercer capa y es la que le muestra al usuario el resultado de esos programas y su interfaz de usuario.

¿Que son las capas o layers?
Son divisiones, que pueden ser tanto lógicas como físicas y que para nuestro mayor entendimiento significan que las capas a modo de ejemplo serían:

Capa de Datos: Un servidor exclusivamente dedicado a una Base de Datos Oracle (muy comúnmente utilizada en instalaciones de SAP aunque podría ser DB2, SQLServer, etc)

Capa de lógica de negocio: Uno o más servidores dedicados a almacenar los programas (el sistema SAP en si mismo) que en la terminología de SAP se llaman “Application Server y que normalmente son servidores Unix o Linux
Capa de presentación: La interfaz del usuario propiamente dicha y lo que ve el usuario que interactúa con el sistema. Este aplicativo se llama SAPGUI y es el que el usuario ejecuta en su menu de inicio de Windows, a través del SAP Logon (el cual se encarga de a validar el usuario y su contraseña)
Entonces, resumiendo, un landscape típico (landscape se le suele llamar a como está compuesto un ambiente, por cuantos servidores, con qué aplicativos, etc, etc) estaría conformado por un servidor de Base de Datos Unix corriendo Oracle, uno o más “Application Servers” corriendo Unix y la instalación de SAP, y n usuarios finales conectándose con el Application Server a través del SAP Logon y SAP GUI.
Cualquier duda que tengan, espero comentarios y trataré de aclararla a la brevedad.
En la parte 2 de este artículo podemos esperar algunas definiciones básicas de términos que todo el mundo que trabaje con SAP ERP necesita conocer.
VN:F [1.8.2_1042]
Rating: 5.0/5 (2 votes cast)
VN:F [1.8.2_1042]
Rating: +2 (from 2 votes)

Tags: , , ,
Posted in introducción | No Comments »