取消授权登录保护
取消授权登录保护
为了在 SAP 系统中实现安全性,需要监控 SAP 环境中的不成功登录。当有人尝试使用不正确的密码登录系统时,系统应该将用户名锁定一段时间,或者在定义的尝试次数后终止该会话。
可以为未经授权的登录尝试设置各种安全参数 –
- 终止会话
- 锁定用户
- 激活屏幕保护程序
- 监视不成功的登录尝试
- 记录登录尝试
现在让我们详细讨论其中的每一个。
终止会话
当对单个用户 ID 进行多次不成功的登录尝试时,系统将结束该用户的会话。这应该使用配置文件参数发送 – login/fails_to_session_end。
要更改参数值,请运行事务RZ10并选择配置文件,如下面的屏幕截图所示。选择扩展维护并单击显示。
选择要更改的参数,然后单击顶部的参数按钮,如下所示。
当您单击“参数”选项卡时,您可以在新窗口中更改参数值。您还可以通过单击创建 (F5)按钮来创建新参数。
要查看此参数的详细信息,请运行 Transaction Code: RZ11并输入配置文件名称 – login/fails_to_session_end并单击Display Document。
-
参数– login/fails_to_session_end
-
短文本– 会话结束前的无效登录尝试次数。
-
参数说明– 在登录过程终止之前,可以使用用户主记录进行的无效登录尝试次数。
-
应用领域– 登录
-
默认值– 3
-
允许谁进行更改?− 客户
-
操作系统限制– 无
-
数据库系统限制– 无
-
其他参数是否受到影响或依赖?– 无
-
允许的值– 1 – 99
在上面的截图中,你可以看到这个参数的值被设置为3,也就是默认值。在 3 次登录尝试失败后,单个用户的会话将被终止。
锁定用户
您还可以检查特定的用户 ID,如果在单个用户 ID 下超过了设定的连续登录尝试失败次数。设置配置文件参数中允许的无效登录尝试次数:login/fails_to_user_lock。
-
可以对特定用户 ID 设置锁定。
-
锁定在用户 ID 上应用到午夜。但是,系统管理员也可以随时手动删除它。
-
在 SAP 系统中,您还可以设置一个参数值,允许锁定用户 ID,直到它们被手动删除。参数名称:login/failed_user_auto_unlock。
配置文件参数:login/fails_to_user_lock
每次输入错误的登录密码时,相关用户主记录的失败登录计数器都会增加。登录尝试可以记录在安全审计日志中。如果超过此参数指定的限制,则相关用户将被锁定。此过程也记录在 Syslog 中。
当前日期结束后,锁定不再有效。(其他条件 -login/failed_user_auto_unlock)
一旦用户使用正确的密码登录,失败的登录计数器就会重置。非基于密码的登录对失败的登录计数器没有任何影响。但是,每次登录都会检查活动登录锁。
-
允许的值– 1 – 99
要查看此参数的当前值,请使用T-Code: RZ11。
-
参数名称– login/failed_user_auto_unlock
-
短文本– 在午夜禁用锁定用户的自动解锁。
-
参数说明– 控制因错误登录而锁定的用户的解锁。如果该参数设置为 1,则由于密码登录尝试失败而设置的锁定仅在同一天应用(与锁定相同)。如果该参数设置为 0,则锁定仍然有效。
-
应用领域– 登录。
-
默认值– 0。
激活屏幕保护程序
系统管理员还可以启用屏幕保护程序来保护前端屏幕免受任何未经授权的访问。这些屏幕保护程序可以受密码保护。
监控不成功的登录尝试并记录登录尝试
在 SAP 系统中,您可以使用报告RSUSR006来检查系统中是否存在尝试任何不成功登录尝试的用户。此报告包含有关用户和用户锁定的错误登录尝试次数的详细信息,您可以根据需要安排此报告。
转到ABAP Editor SE38并输入报告名称,然后单击EXECUTE。
在此报告中,您有不同的详细信息,例如用户名、类型、创建时间、创建者、密码、锁定和不正确的登录详细信息。
在 SAP 系统中,您也可以使用安全审计日志(事务 SM18、SM19 和 SM20)来记录所有成功和不成功的登录尝试。您可以使用SM20事务来分析安全审计日志,但是需要在系统中激活安全审计来监控安全审计日志。
注销空闲用户
当用户已经登录到 SAP 系统并且会话在特定时间段内处于非活动状态时,您还可以将他们设置为注销以避免任何未经授权的访问。
要启用此设置,您需要在配置文件参数中指定此值:rdisp/gui_auto_logout。
-
参数说明– 您可以定义非活动的 SAP GUI 用户在预定义的时间段后自动从 SAP 系统注销。本次配置参数。默认情况下,SAP 系统中的自动注销处于禁用状态(值为 0),即用户即使在较长时间内未执行任何操作也不会注销。
-
允许的值– n [单位],其中 n >= 0 且单位 = S | 男 | H | D
要查看参数的当前值,请运行 T-Code: RZ11。
下表显示了 SAP 系统中的关键参数列表、它们的默认值和允许值 –
| Parameter | 描述 | 默认 | 允许值 |
|---|---|---|---|
| Login/fails_to_session_end | 会话结束前的无效登录尝试次数 | 3 | 1-99 |
| Login/fails_to_user_lock | 用户锁定前的无效登录尝试次数 | 12 | 1-99 |
| Login/failed_user_auto_unlock | 当设置 t 1 时:锁定在设置当天应用。在用户登录的第二天删除它们 | 1 | 0 或 1 |
| rdisp/gui_auto_output | 用户的最大空闲时间(以秒为单位) | 0(无限制) | 不受限制的 |
