Wachtwoorden in het SAP systeem Geregeld krijgen wij vragen van klanten over het instellen van wachtwoorden in SAP systemen. Dit duidt erop dat de diverse (on)mogelijkheden nog niet bekend zijn bij betrokkenen. Wachtwoorden zijn “de sleutel van het slot op de deur” en vereisen bepaalde “spelregels” waar men zich aan moet houden. Terwijl wachtwoorden de sleutel zijn tot waardevolle informatie dient deze informatie niet voor iedereen toegankelijk zijn en alleen voor de personen die hiervoor zijn ‘geautoriseerd’ door middel van een user-id en rollen. Hieronder volgt een uitgebreide uitleg hoe wachtwoorden in te stellen in SAP systemen. SAP wachtwoordbeleid Voordat de wachtwoordinstellingen worden ingesteld moet er een duidelijk beleid zijn. Dit beleid kan worden opgenomen in een overall SAP Security Policy. Iedere gebruiker dient op de hoogte te zijn van het wachtwoordbeleid en de sancties staan op het misbruik hiervan. Het wachtwoordbeleid is een afspiegeling van wat er is ingesteld in de SAP systemen. Uitzonderingen op het beleid worden beargumenteerd, gecontroleerd en gedocumenteerd. SAP wachtwoordinstellingen De SAP wachtwoordinstellingen worden ingesteld door parameters in te vullen. Deze parameters zijn in te stellen voor het globale SAP systeem, alle clients dus. Deze ‘system profile parameters’ zijn te vinden in de standaard DEFAULT.PFL file. Echter om deze parameters voor elk SAP systeem te laten gelden, moet je deze in elke applicatie server van de SAP systemen plaatsen. Het onderhouden van de parameterinstellingen van de SAP systemen is normaliter voorbehouden aan SAP basis consultants of SAP systeembeheerders. Het onderhouden van de parameters gebeurt via transactiecode RZ10. Bereikbaar via CCMS -> Configuration -> Profile maintenance. Het bekijken van de parameterinstellingen van de SAP systemen kan via transactiecode RZ10. Geef de parameter naam op en kies voor de display optie. De pushbutton ‘documentation’ geeft additionele informatie over de betreffende parameter. Het abap programma RSPARAM geeft alle parameterinstellingen weer. SAP wachtwoord parameters In onderstaande tabel zijn de belangrijkste ‘profile parameters’ te vinden die een verband houden met de SAP wachtwoordinstellingen. In de kolom genaamd “Best Practice” vindt u de beste passende parameter instelling. De parameter instellingen moeten in
overeenstemming zijn met het wachtwoordbeleid en mogen afwijken van de SAP standaard instelling en best practice instelling. Nr. Type Description Incorrect Logon, Default Clients and Default Start Menus defines the number of times a user can enter an incorrect password before the system 1 Login/fails_to_session_end terminates the logon attempt. the number of times a user can enter an incorrect password before the system locks the user. If the system locks, an entry is written to the system log, and the lock is released at 2 Login/fails_to_user_lock midnight. unlocks users who are locked by logging on incorrectly. Controls the automatic unlocking of user records at midnight. The default is set at 1, which enables auto unlocking. The locks remain if the 3 Login/failed_user_auto_unlock parameter value is 0. This parameter specifies the default client. This client is automatically filled in on the system logon screen. Users can 4 Login/system_client enter a different client. Since release 3.0E, external security tools such as Kerberos or Secude have managed R/3 System access. If this parameter is set, an additional identification can be specified for each user (in user maintenance) where users log 5 Login/ext_security on to their security system. Maximum time allowed between input from the GUI before the frontend is automatically logged out. The value is set in seconds and the value of zero is used 6 rdisp/gui_auto_logout when this facility is not active.
Best Practice
max. 3
max. 5
0
<production client>
max. 14400
7 Login/disable_password_logon
8 Login/disable_multi_gui_login 9 Login/multi_login_users Password Security 1 Login/min_password_lng
2 Login/password_expiration_time
3 login/min_password_diff 4 login/min_password_digits 5 login/min_password_letters
6 login/password_charset
There are several types of user authentication: - Using password (conventional logon) - Using an external security product (SNC) - Using an X.509 browser certificate (intranet / Internet) - Using a Workplace Single Sign-On (SSO) ticket The default logon method is password user authentication. When using other types of authentication methods (see above), you may want to deactivate the password-based logon option (login/disable_password_logon). Caution: Only deactivate password-based logon, when you are sure that all users can log on using another method (using SNC, X.509, or SSO ticket).
0
If this parameter is set to value 1, multiple dialog logons to the R/3 System (in the same client and under the same user name) are blocked by the system: list of exceptional users: multiple logon allowed <empty> minimum password length. number of days after which a password must be changed. The parameter allows users to keep their passwords without time limit and leaves the value set to the default, 0. min. number of chars which differ between old and new password min. number of digits in passwords min. number of letters in passwords This parameter defines the characters of which a password can consist.
min. 8
max. 90
min. 1 min. 1 min. 1
1
7 login/min_password_specials
min. number of special characters in passwords
8 login/min_password_lowercase
min. number of lower-case characters in passwords
min. number of upper-case characters in passwords When creating a new user, the user administrator assigns the user an initial password. When the user first logs on, they must change the initial password to ensure that only they know their password. You use this parameter to set the maximum interval between the time when the user is created and the first time the user logs on. After this interval has expired, the message "Initial password has expired" is displayed and logon 10 login/password_max_idle_initial is denied. max. 30 The user administrator can reset user passwords. The users must then change this new password at the next logon to ensure that only they know their password. You use this parameter to set the maximum interval between the time the password is reset and the next time the user logs on using this initial password. After this time has expired, the message "Initial password has expired" is 11 login/password_max_idle_productive displayed and logon is denied. 9 login/min_password_uppercase
12 login/password_history_size
13 login/password_change_for_SSO
14 login/password_logon_usergroup Initial Password: Limited Validity
1 login/password_max_new_valid 2 login/password_max_reset_valid
Number of records to be stored in the password history If the user logs on with Single Sign-On, checks whether the user must change his or her password. Controls the deactivation of password-based logon for user groups Defines the validity period of passwords for newly created users. Defines the validity period of reset passwords.
min. 12
SSO Logon Ticket
3 login/ticket_expiration_time
Allows or locks the logon using SSO ticket. Allows the creation of SSO tickets. Defines the validity period of an SSO ticket.
4 login/ticket_only_by_https
The logon ticket is only transferred using HTTP(S).
1 login/accept_sso2_ticket 2 login/create_sso2_ticket
5 login/ticket_only_to_host Other Login Parameters 1 login/disable_cpic
2 login/no_automatic_user_sapstar
3 login/system_client 4 login/update_logon_timestamp Other User Parameters
1 rdisp/gui_auto_logout
When logging on over HTTP(S), sends the ticket only to the server that created the ticket. Refuse inbound connections of type CPIC Controls the emergency user SAP* (SAP Notes 2383 and 68048)
0
1
Specifies the default client. This client is automatically filled in on the system logon screen. Users can type in a different client. Specifies the exactness of the logon timestamp. Defines the maximum idle time for a user in seconds (applies only for SAP GUI connections).
SAP wachtwoord reglement Hieronder beschrijven we de specificaties die gevolgd moeten worden voor wachtwoorden. Deze tabel laat tevens zien of deze regels vooraf gedefinieerd zijn in het SAP systeem of dat deze aangepast kunnen worden. Regel Het wachtwoord moet minstens een X aantal karakters lang zijn. Wachtwoorden kunnen niet meer dan 40 karakters bevatten. Tot en met SAP NetWeaver 6.40 konden wachtwoorden niet meer dan 8 karakters bevatten.
Notitie Profiel parameter login/min_password_lng Vooraf gedefinieerd in het SAP systeem
Tot en met SAP NetWeaver 6.40 kunnen alle karakters van de syntacs karakter set worden gebruikt, alle letters, cijfers en sommige speciale karakters. Het systeem kent geen onderscheidt tussen hoofdletters en kleine letters.
Profiel parameters login/min_password_letters login/min_password_digits login/min_password_specials Zie ook profiel parameter login/password_charset
Vanaf SAP NetWeaver 6.40 kunnen alle unicode karakters worden gebruikt en het systeem kent nu wel onderscheidt tussen hoofdletters en kleine letters. Vanaf SAP Web AS 6.10 kunnen de hoeveelheid cijfers, letters en speciale karakters waar het nieuwe wachtwoord aan moet voldoen worden ingesteld. Het eerste karakter mag niet een Vooraf gedefinieerd in het SAP systeem uitroepteken (!) zijn of een vraagteken (?). De eerste drie karakters mogen niet Vooraf gedefinieerd in het SAP systeem bestaan uit de eerste drie karakters van het user-id in SAP. Deze regel is van kracht op alle systemen tot aan SAP R/3 4.6D. De eerste drie karakters mogen niet allemaal hetzelfde zijn.
Vooraf gedefinieerd in het SAP systeem
De eerste drie karakters mogen geen Vooraf gedefinieerd in het SAP systeem spatie bevatten Deze regel is van kracht op alle systemen tot aan SAP R/3 4.6D. Het wachtwoord mag niet voorkomen in de lijst met niet toegestane wachtwoorden (tabel USR40). Deze lijst bevat karakter combinaties of termen, waar de astriks (*) en vraagteken (?) gebruikt kunnen worden als wildcard. De astriks staat voor een karakterreeks en het vraagteken voor een enkele karakter.
De vooraf gedefinieerde waarde is dat alle wachtwoorden toegestaan zijn, behalve PASS en SAP*. De waarden zijn aan te passen aan het wachtwoordbeleid.
De gebruiker ontvangt alleen een waarschuwing, als hij of zij de wachtwoordregel breekt. De beheerder ontvangt alleen een waarschuwing als hij een wachtwoord instelt dat niet voldoet aan de wachtwoordregel. Het wachtwoord mag nooit PASS of SAP* Vooraf gedefinieerd in het SAP systeem zijn.
Het wachtwoord mag niet veranderd worden in een X aantal vorige wachtwoorden, als de gebruiker het wachtwoord zelf wijzigt.
Profiel parameter login/password_history_size
Tot en met SAP NetWeaver 6.40 had de opgeslagen wachtwoord historie een vaste waarde van 5. Na SAP NetWeaver 6.40 kan de beheerder het aantal opgeslagen wachtwoord historie instellen tot wel 100 wachtwoorden. De beheerder kan een initieel wachtwoord instellen, ook als het wachtwoord is die de laatste keren is ingesteld door de gebruiker. Dit is noodzakelijk, immers de beheerder mag de wachtwoorden van de gebruiker niet weten. De gebruiker wordt onmiddellijk gevraagd zijn wachtwoord te wijzigen bij de eerste aanmelding op het systeem. Het wachtwoord kan alleen maar gewijzigd worden na het correct invoeren van het oude wachtwoord.
Vooraf gedefinieerd in het SAP systeem
Tot en met SAP Web AS 6.10 kan de gebruiker zijn wachtwoord alleen maar aanpassen tijdens de aanmeld procedure. Vanaf SAP Web AS 6.20 kan de gebruiker zijn wachtwoord wijzigen door te kiezen voor, System → User Profiel → Own Data (transactie SU3) Gebruikers mogen alleen hun Profiel parameter wachtwoord veranderen na een bepaalde login/password_change_waittime periode. Tot en met SAP NetWeaver 6.40 was die periode een dag. Een wachtwoord veranderen kon dan pas de volgende dag. Het systeem kan nu alle wachtwoorden afwijzen tijdens die bepaalde periode. Als de beheerder het wachtwoord opnieuw instelt zal de gebruiker het wachtwoord gelijk moeten aanpassen, ongeacht wanneer hij of zij het wachtwoord heeft veranderd. De beheerder kan zo vaak mogelijk
wachtwoorden wijzigen.
Het wachtwoord moet bestaan uit minimaal een x aantal kleine letters.
Profiel parameter login/min_password_lowercase
Tot en met SAP NetWeaver 6.40 was er geen onderscheidt tussen hoofdletters en kleine letters. Het wachtwoord moet bestaan uit minimaal een x aantal hoofdletters.
Profiel parameter login/min_password_uppercase
Tot en met SAP NetWeaver 6.40 was er geen onderscheidt tussen hoofdletters en kleine letters. Minstens een karakter in het nieuwe Profiel parameter wachtwoord moet anders zijn dan van het login/min_password_diff oude wachtwoord. Vanaf SAP Web AS 6.10 kan de beheerder het minimum aantal karakters dat verschillend moet zijn in het oude en nieuwe wachtwoord instellen. Wachtwoorden moeten voldoen aan de huidige wachtwoord reglement. Voldoen wachtwoorden daar niet aan dan moeten ze worden veranderd. Tot en met SAP NetWeaver 6.40 gold het veranderde wachtwoord reglement niet voor oude wachtwoorden, maar voldeden pas na het wijzigen van het wachtwoord.
Profiel parameter login/password_compliance_to_current_policy
Een productief wachtwoord, gekozen Profiel parameter door de gebruiker, is geldig tot een login/password_max_idle_productive maximum van een x aantal dagen, als het niet gebruikt wordt. Beschikbaar vanaf SAP NetWeaver 6.40. Een initieel wachtwoord, ingesteld door Profiel parameter de beheerder, is geldig tot een maximum login/password_max_idle_initial van en x aantal dagen, als het niet gebruikt wordt. Als deze periode is verstreken kan het wachtwoord niet langer meer gebruikt worden voor authenticatie. De beheerder kan het wachtwoord activeren door een nieuw initieel wachtwoord in te stellen. Beschikbaar vanaf SAP NetWeaver 6.40. SAP Wachtwoord tabellen In de onderstaande tabel staan alle tabellen met betrekking tot wachtwoorden in het SAP systeem. Tabel USR40 USRPWDHISTORY USR02 PRGN_CUST USH04 TSAD3T USH02 USREFUS TPFET DBSTATHORA TSAD2
Omschrijving Table for illegal password Password History Logon Data (Kernel-Side Use) Customizing settings for authorization process Change history for authorizations Titles (Texts) (Business Address Services) Change history for logon data Reference user for internet applications Table of profile parameters Actual size of tables on the database (history) Academic Title (Business Address Services) Audit: Audit configuration parameters (audit RSAUPROF profile) FIEB_PASSWORD Passwords (stored in encrypted form) ICFSECPASSWD ICF: ICF password Repository (Service)
SAP Notes In de onderstaande tabel staan belangrijke sap notes met betrekking tot wachtwoorden. SAP Note 2467 721119 735356 862989 874738 991968 1023437 1237762
Omschrijving Password rules and preventing incorrect logons Logon with (delivered) default user fails Special character in passwords; reactivation not possible New password rules as of SAP NetWeaver 2004s New password hash calculation procedure (code version E) Value list for login/password_hash_algorithm Downwardly incompatible passwords since NW2004s Protection against password hash attacks CUA - New password hash procedures - Background 1300104 information 1458262 Recommended settings for password hash algorithms 1484692 Protect read access to password hash value tables
Deze tip is aangeleverd door Integrc Netherlands B.V. (www.integrc.com). Voor verdere vragen of informatie over dit onderwerp kunt u contact opnemen met Rob Oldenhof ([email protected]). Voor andere vragen op het gebied van SAP GRC kunt u contact opnemen met Werner van Haelst ([email protected]). En volg Integrc via LinkedIn, Twitter, Blogs, Google+ en Facebook. 2014, Integrc Netherlands B.V.