- SAP安全教程
- SAP安全 - 首頁
- SAP安全 - 概述
- 使用者認證與管理
- 網路通訊安全
- 保護標準使用者
- 取消授權登入保護
- 系統授權概念
- SAP安全 - Unix平臺
- SAP安全 - Windows平臺
- SAP安全 - 資料庫
- 使用者認證與單點登入
- SAP安全 - 登入票據
- SAP安全有用資源
- SAP安全 - 快速指南
- SAP安全 - 有用資源
- SAP安全 - 討論
取消授權登入保護
為了在SAP系統中實施安全措施,需要監控SAP環境中不成功的登入嘗試。當有人嘗試使用錯誤密碼登入系統時,系統應該鎖定使用者名稱一段時間,或者在達到預定義的嘗試次數後終止該會話。
可以為未授權的登入嘗試設定各種安全引數:
- 終止會話
- 鎖定使用者
- 啟用螢幕保護程式
- 監控不成功的登入嘗試
- 記錄登入嘗試
現在讓我們詳細討論每一個。
終止會話
當對單個使用者ID進行多次不成功的登入嘗試時,系統將終止該使用者的會話。這應使用配置檔案引數login/fails_to_session_end傳送。
要更改引數值,請執行事務RZ10並選擇配置檔案,如下面的螢幕截圖所示。選擇“擴充套件維護”,然後單擊“顯示”。
選擇要更改的引數,然後單擊頂部的“引數”按鈕,如下所示。
單擊“引數”選項卡後,您可以在新視窗中更改引數的值。您也可以透過單擊“建立(F5)”按鈕來建立新引數。
要檢視此引數的詳細資訊,請執行事務程式碼:RZ11,輸入配置檔名稱 – login/fails_to_session_end,然後單擊“顯示文件”。
引數 – login/fails_to_session_end
簡短文字 – 無效登入嘗試次數,直到會話結束。
引數描述 – 使用使用者主記錄可以進行的無效登入嘗試次數,直到登入過程終止。
應用領域 – 登入
預設值 – 3
誰被允許進行更改? – 客戶
作業系統限制 – 無
資料庫系統限制 – 無
其他引數是否受影響或依賴? – 無
允許的值 – 1 - 99
在上圖中,您可以看到此引數的值設定為3,這也是預設值。3次不成功的登入嘗試後,將終止單個使用者的會話。
鎖定使用者
您也可以檢查特定使用者ID,如果在單個使用者ID下超過預設數量的連續不成功登入嘗試,則設定配置檔案引數中允許的無效登入嘗試次數:login/fails_to_user_lock。
可以對特定使用者ID設定鎖定。
鎖定應用於使用者ID,直到午夜。但是,系統管理員也可以隨時手動將其移除。
在SAP系統中,您還可以設定一個引數值,允許對使用者ID進行鎖定,直到手動將其移除。引數名稱:login/failed_user_auto_unlock。
配置檔案引數:login/fails_to_user_lock
每次輸入錯誤的登入密碼時,相關使用者主記錄的失敗登入計數器都會增加。登入嘗試可以記錄在安全審計日誌中。如果超過此引數指定的限制,則相關使用者將被鎖定。此過程也會記錄在Syslog中。
當天結束後,鎖定將不再有效。(其他條件 - login/failed_user_auto_unlock)
一旦使用者使用正確的密碼登入,失敗登入計數器將被重置。非基於密碼的登入不會對失敗登入計數器產生任何影響。但是,每次登入都會檢查活動的登入鎖定。
允許的值 – 1 – 99
要檢視此引數的當前值,請使用T-Code:RZ11。
引數名稱 – login/failed_user_auto_unlock
簡短文字 – 在午夜停用自動解鎖被鎖定的使用者。
引數描述 – 控制由於登入錯誤而被鎖定的使用者的解鎖。如果引數設定為1,則由於失敗的密碼登入嘗試而設定的鎖定僅適用於同一天(與鎖定日期相同)。如果引數設定為0,則鎖定將保持有效。
應用領域 – 登入。
預設值 – 0。
啟用螢幕保護程式
系統管理員還可以啟用螢幕保護程式來保護前端螢幕免受任何未經授權的訪問。這些螢幕保護程式可以設定密碼保護。
監控不成功的登入嘗試和記錄登入嘗試
在SAP系統中,您可以使用報表RSUSR006來檢查系統中是否存在嘗試過不成功登入嘗試的使用者。此報表包含有關使用者錯誤登入嘗試次數、使用者鎖定以及您可以根據需要安排此報表的詳細資訊。
轉到ABAP編輯器SE38,輸入報表名稱,然後單擊“執行”。
在此報表中,您有不同的詳細資訊,例如使用者名稱、型別、建立時間、建立者、密碼、鎖定和錯誤登入詳細資訊。
在SAP系統中,還可以使用安全審計日誌(事務SM18、SM19和SM20)來記錄所有成功和不成功的登入嘗試。您可以使用SM20事務分析安全審計日誌,但應在系統中啟用安全審計以監控安全審計日誌。
登出空閒使用者
當用戶已登入SAP系統且會話在特定時間段內處於非活動狀態時,您還可以將其設定為登出以避免任何未經授權的訪問。
要啟用此設定,您需要在配置檔案引數中指定此值:rdisp/gui_auto_logout。
引數描述 – 您可以定義在預定義時間段後自動從SAP系統登出非活動的SAP GUI使用者。該引數配置此時間。SAP系統中的自動登出預設情況下處於停用狀態(值0),也就是說,即使使用者長時間不執行任何操作,也不會登出使用者。
允許的值 – n [單位],其中n >= 0且單位 = S | M | H | D
要檢視引數的當前值,請執行T-Code:RZ11。
下表顯示了SAP系統中關鍵引數的列表、它們的預設值和允許值:
| 引數 | 描述 | 預設值 | 允許值 |
|---|---|---|---|
| Login/fails_to_session_end | 無效登入嘗試次數,直到會話結束 | 3 | 1-99 |
| Login/fails_to_user_lock | 無效登入嘗試次數,直到使用者鎖定 | 12 | 1-99 |
| Login/failed_user_auto_unlock | 設定為1時:鎖定應用於設定它們的當天。使用者登入的第二天將被移除 | 1 | 0或1 |
| rdisp/gui_auto_output | 使用者的最大空閒時間(以秒為單位) | 0(無限制) | 無限制 |