¿Qué son los parámetros de seguridad en SAP R/3?
Es la manera que nos provee el sistema para determinar diferentes configuraciones del mismo ya sea de funcionamiento o performance (BASIS), como de seguridad… y estás últimas son las que más nos interesan.
A través de los mismos podremos definir cosas como el largo de la contraseña, la cantidad de dÃgitos obligatorios, tiempo de caducidad, entre otras opciones. La configuración de los mismos se hace a través de las transacciones RZ10 y RZ11 (perfiles globales, de instancia, o modificación dinámica).
En este post estaremos identificando siempre los parámetros con las versiones más actualizadas de SAP a la fecha… es posible que en versiones anteriores a SAP ECC 5 no se encuentren todos los aquà enunciados o tengan modificaciones en sus valores posibles.
Parámetros de restricción a las contraseñas:
login/min_password_lng = El cual permite definir el tamaño mÃnimo de la contraseña que va desde 3 a 40 (en las versiones más nuevas de SAP, anteriormente solamente hasta 8 )
login/min_password_lowercase = Cantidad mÃnima de caracteres en mÃnusculas.
login/min_password_uppercase = Cantidad mÃnima de caracteres en mayúsculas.
login/min_password_specials = Cantidad mÃnima de caracteres especiales (no 0 a 9, tampoco A-Z, ni a-z)
login/min_password_letters = Cantidad mÃnima de caracterés del alfabeto en la contraseña.
login/min_password_digits = Cantidad mÃnima de dÃgitos obligatorios en la contraseña (0-9)
login/min_password_diff = Cantidad de caracteres que deben diferenciarse entre la nueva contraseña y la anterior (para cambios de contraseña realizados por el usuario)
login/password_history_size = Cantidad de contraseña guardadas como historial de manera que no puedan repetirse las últimas “n†contraseñas (MÃnimo 1 y Máximo 100).
login/password_expiration_time = Cantidad de tiempo definida en dÃas que transcurre antes que expiré la contraseña del usuario y el sistema solicite un cambio de la misma. (el valor mÃnimo es 0 que significa sin caducidad y 1000)
login/password_change_waittime = Cantidad de dÃas que deben transcurrir antes que el usuario pueda cambiar por sus propios medios nuevamente una contraseña. (Es para impedir que se evite el control de historial de contraseñas cambiando numerosas veces una misma contraseña)
login/password_compliance_with_current_policy = Este parámetro determina que durante los nuevos logins se verifique si la contraseña cumple con el estándar actualmente definido. (o no chequea, 1 chequea) De esta manera las modificaciones de parámetros de seguridad impactarán inmediatamente en los usuarios requiriendo que los mismos realicen un cambio de contraseñas en su próximo loguin si no cumplen la polÃtica actual.
login/password_max_idle_initial = Máximo número de dÃas que la contraseña definida por el administrador (inicial) puede permanecer habilitada para que el usuario la utilice. (0 a 1000). Es utilizado para evitar que los usuarios sean dados de alta con contraseñas iniciales pero nunca ingresen al sistema dejando una puerta semi-abierta en el mismo sistema (contraseñas iniciales débiles)
login/password_max_idle_production = Similar al anterior pero aplicable a los cambios realizados por los mismos usuarios.
login/disable_password_logon = Permite desactivar el logueo por contraseña si se utiliza otro medio como ser SSO o SNC, para acceder al sistema.
login/password_logon_usergroup = Grupo de usuarios que podrá loguearse con contraseña a pesar de haber usado el parámetro login/disable_password_logon.
login/password_change_for_SSO = Define el comportamiento de la solicitud de cambio de contraseñas para sistemas con SSO (o a 3)
Estos son los parámetros de definición de las contraseñas que tiene SAP.
Parámetros respectivos a logueo de errores de logon, multilples loguins y otros varios:
Multiloguin
login/disable_multi_gui_login = Determina si el sistema permite logins desde más de un GUI. (o permite, 1 deshabilita). Es utilizado para evitar riesgos no detectados que un usuario sea utilizado desde más de una terminal, para ahorrar en términos de performance y para evitar problemas de licencias con SAP)
login/multi_login_users = En el se definen separados por comas, las excepciones al parámetro anterior, osea quienes pueden loguearse desde más de un gui independientemente de la definición del otro parámetro.
login/failed_user_auto_unlock = Aquà entre 0 y 1 se define si después de la medianoche los usuarios bloqueados por errores de contraseña se desbloquean automáticamente. Lo recomendable es que esto no suceda a diferencia del valor por defecto de SAP.
login/fails_to_session_end = En este caso se define la cantidad de errores en el ingreso de contraseña hasta que la sesión de un usuario llegué a su fin (pero no se bloquea el usuario, solo se lo desconecta del SAP GUI)
login/fails_to_user_lock = Este parámetro determina la cantidad de errores consecutivos en el ingreso de la contraseña a partir del cual se bloquea el usuario, el cual debe ser desbloqueado por el administrador salvo que el parámetro logins/failed_user_auto_unlock tenga un valor distinto de 0.
Otros parámetros
login/disable_cpic = A partir del mismo se deshabilitan las conexiones por el viejo protocolo CPIC.
login/no_automatic_user_sapstar = Este parámetro deshabilita el usuario harcodeado SAP* con contraseña PASS en caso que se borre el usuario SAP* del maestro de usuarios. (0 habilitado, 1 deshabilita). Para más información ver el artÃculo: http://www.seguridadsap.com/sap/usuarios-por-defecto-sap-ddic-earlywatch-etc/.
rdisp/gui_auto_logout = Mediante este parámetro se determina en segundos la cantidad de tiempo de inactividad antes que se terminé la sesión del usuario (0 deshabilitado)
login/system_client = El mismo define el mandante por defecto que nos aparecerá propuesto.
Fuente: www.seguridadsap.com
Fuente: Cryptex