Wachtwoorden in het SAP systeem



Vergelijkbare documenten
MyDHL+ Van Non-Corporate naar Corporate

Maillijsten voor medewerkers van de Universiteit van Amsterdam

MobiDM App Handleiding voor Windows Mobile Standard en Pro

General info on using shopping carts with Ingenico epayments

Handleiding beheer lijst.hva.nl. See page 11 for Instruction in English

Handleiding Installatie ADS

Het beheren van mijn Tungsten Network Portal account NL 1 Manage my Tungsten Network Portal account EN 14

Leeftijdcheck (NL) Age Check (EN)

Handleiding Digipass DP310

Settings for the C100BRS4 MAC Address Spoofing with cable Internet.

Hoe te verbinden met NDI Remote Office (NDIRO): Apple OS X How to connect to NDI Remote Office (NDIRO): Apple OS X

MyDHL+ Uw accountnummer(s) delen

Activant Prophet 21. Prophet 21 Version 12.0 Upgrade Information

LDAP Server on Yeastar MyPBX & tiptel 31xx/32xx series

EM6250 Firmware update V030507

L.Net s88sd16-n aansluitingen en programmering.

2019 SUNEXCHANGE USER GUIDE LAST UPDATED

Hoe met Windows 8 te verbinden met NDI Remote Office (NDIRO) How to connect With Windows 8 to NDI Remote Office (NDIRO

Handleiding Zuludesk Parent

MyDHL+ Tarief berekenen

L.Net s88sd16-n aansluitingen en programmering.

FOD VOLKSGEZONDHEID, VEILIGHEID VAN DE VOEDSELKETEN EN LEEFMILIEU 25/2/2016. Biocide CLOSED CIRCUIT

MyDHL+ ProView activeren in MyDHL+

The first line of the input contains an integer $t \in \mathbb{n}$. This is followed by $t$ lines of text. This text consists of:

/ /

liniled Cast Joint liniled Gietmof liniled Castjoint

Beste ouder / verzorger, Welkom bij Mijnschoolinfo, het communicatie platform voor basisonderwijs.

Firewall van de Speedtouch 789wl volledig uitschakelen?

After that, the digits are written after each other: first the row numbers, followed by the column numbers.

Shipment Centre EU Quick Print Client handleiding [NL]

Multi user Setup. Firebird database op een windows (server)

Intermax backup exclusion files

Beste ouder / verzorger, Welkom bij Mijnschoolinfo, het communicatie platform voor basisonderwijs.

Telenet Hotspot: login flow. Baalse Hei

WHITE PAPER. by Default Reasoning

Veel gestelde vragen nieuwe webloginpagina

My Benefits My Choice applicatie. Registratie & inlogprocedure

Veilig samenwerken. November 2010

NCTS - INFORMATIE INZAKE NIEUWIGHEDEN VOOR 2010

FOR DUTCH STUDENTS! ENGLISH VERSION NEXT PAGE. Toets Inleiding Kansrekening 1 8 februari 2010

DALISOFT. 33. Configuring DALI ballasts with the TDS20620V2 DALI Tool. Connect the TDS20620V2. Start DALISOFT

! GeoNetwork INSPIRE Atom!

RUCKUS GUEST ACCESS. Technote. Alcadis Vleugelboot CL Houten Versie: 1.0 Auteur: Thomas Snijder Datum:

Registratie- en activeringsproces voor de Factuurstatus Service NL 1 Registration and activation process for the Invoice Status Service EN 10

bla bla Guard Gebruikershandleiding

ZorgMail Address Book SE Documentation

Engels op Niveau A2 Workshops Woordkennis 1

Procedure Reset tv-toestellen:

Functioneel Ontwerp / Wireframes:

Bijlage 2: Informatie met betrekking tot goede praktijkvoorbeelden in Londen, het Verenigd Koninkrijk en Queensland

Genetic code. Assignment

Registratie- en activeringsproces voor de Factuurstatus Service NL 1 Registration and activation process for the Invoice Status Service EN 11

HANDLEIDING VOOR HET GEBRUIK VAN UW INTERNET BANKIEREN (IB)-PASS

1. Voor het installeren wordt geadviseerd een backup te maken van uw database en bestanden.

Contents. Introduction Problem Definition The Application Co-operation operation and User friendliness Design Implementation

Calculator spelling. Assignment

De SAP Cloud Connector 2.0 maakt SAPUI5 ontwikkeling via de WEB-IDE mogelijk met data uit je eigen backend systeem.

Aangescherpte inlogprocedure privacygevoelige systemen

PLUS & PRO. Addendum installatie aanvullende MID 65A kwh-meter - Addendum installation additional MID 65A kwh-meter SET

FOR DUTCH STUDENTS! ENGLISH VERSION NEXT PAGE

MULTIFUNCTIONELE DIGITALE SYSTEMEN. Windows Server 2003, Server 2008 & Scan-to-file

Cameramanager LSU Installation Guide

Installatie instructies

AVG / GDPR -Algemene verordening gegevensbescherming -General data Protection Regulation

Apparaten en Azure AD: wie, wat en waar? Sander Berkouwer SCCT

CENTEXBEL CLIENT WEB

en DMS koppelvlak Utrecht, 14 april 2011

Internet Explorer certificaat management

EM7680 Firmware Update by OTA

GS1 Data Source. Guide to the Management of Digital Files for Suppliers

CENTEXBEL CLIENTS WEB

FRAME [UPRIGHT MODEL] / [DEPTH] / [HEIGHT] / [FINISH] TYPE OF BASEPLATE P Base plate BP80 / E alternatives: ZINC finish in all cases

EM7680 Firmware Auto-Update for Kodi 17.2

[BP-ebMS-H-000] Welke versie van Hermes moet er gebruikt worden?

Gebruikershandleiding / User manual. Klappers bestellen in de webshop Ordering readers from the webshop

Datum 15 juni 2006 Versie Exchange Online. Handleiding voor gebruiker Release 1.0

CBSOData Documentation

TOEGANG VOOR NL / ENTRANCE FOR DUTCH : lator=c&camp=24759

Plotten. technisch tekenwerk AUTOCAD 2000

Hoe kan ik extern werken?

AE1103 Statics. 25 January h h. Answer sheets. Last name and initials:

B1 Woordkennis: Spelling

Online request form for requesting articles, books and / or theses: Erasmus MC - employees

Persoonsgegevens personal details

Add the standing fingers to get the tens and multiply the closed fingers to get the units.

The genesis of the game is unclear. Possibly, dominoes originates from China and the stones were brought here by Marco Polo, but this is uncertain.

Vrijgeven van volledige gedetailleerde technische cookies

Inhoud KAS-WEB: HANDLEIDING IDG OPERATOR

Security Les 1 Leerling: Marno Brink Klas: 41B Docent: Meneer Vagevuur

VPN Remote Dial In User. DrayTek Smart VPN Client

Building the next economy met Blockchain en real estate. Lelystad Airport, 2 november 2017 BT Event

Standard Parts Installatie Solid Edge ST3

HANDLEIDING VOOR HET GEBRUIK VAN UW INTERNET BANKIEREN (IB)-PASS

HANDLEIDING VOOR HET GEBRUIK VAN UW INTERNETBANKIEREN (IB)-PASS

Windchill Document Management. - Digitaliseren van documenten en processen -

Hoe kan ik extern werken?

SAMPLE 11 = + 11 = + + Exploring Combinations of Ten + + = = + + = + = = + = = 11. Step Up. Step Ahead

DBMS. DataBase Management System. Op dit moment gebruiken bijna alle DBMS'en het relationele model. Deze worden RDBMS'en genoemd.

EM7680 Firmware Update by Micro SD card

Opgave 2 Geef een korte uitleg van elk van de volgende concepten: De Yield-to-Maturity of a coupon bond.

Transcriptie:

Wachtwoorden in het SAP systeem Geregeld krijgen wij vragen van klanten over het instellen van wachtwoorden in SAP systemen. Dit duidt erop dat de diverse (on)mogelijkheden nog niet bekend zijn bij betrokkenen. Wachtwoorden zijn de sleutel van het slot op de deur en vereisen bepaalde spelregels waar men zich aan moet houden. Terwijl wachtwoorden de sleutel zijn tot waardevolle informatie dient deze informatie niet voor iedereen toegankelijk zijn en alleen voor de personen die hiervoor zijn geautoriseerd door middel van een user-id en rollen. Hieronder volgt een uitgebreide uitleg hoe wachtwoorden in te stellen in SAP systemen. SAP wachtwoordbeleid Voordat de wachtwoordinstellingen worden ingesteld moet er een duidelijk beleid zijn. Dit beleid kan worden opgenomen in een overall SAP Security Policy. Iedere gebruiker dient op de hoogte te zijn van het wachtwoordbeleid en de sancties staan op het misbruik hiervan. Het wachtwoordbeleid is een afspiegeling van wat er is ingesteld in de SAP systemen. Uitzonderingen op het beleid worden beargumenteerd, gecontroleerd en gedocumenteerd. SAP wachtwoordinstellingen De SAP wachtwoordinstellingen worden ingesteld door parameters in te vullen. Deze parameters zijn in te stellen voor het globale SAP systeem, alle clients dus. Deze system profile parameters zijn te vinden in de standaard DEFAULT.PFL file. Echter om deze parameters voor elk SAP systeem te laten gelden, moet je deze in elke applicatie server van de SAP systemen plaatsen. Het onderhouden van de parameterinstellingen van de SAP systemen is normaliter voorbehouden aan SAP basis consultants of SAP systeembeheerders. Het onderhouden van de parameters gebeurt via transactiecode RZ10. Bereikbaar via CCMS -> Configuration -> Profile maintenance. Het bekijken van de parameterinstellingen van de SAP systemen kan via transactiecode RZ10. Geef de parameter naam op en kies voor de display optie. De pushbutton documentation geeft additionele informatie over de betreffende parameter. Het abap programma RSPARAM geeft alle parameterinstellingen weer. SAP wachtwoord parameters In onderstaande tabel zijn de belangrijkste profile parameters te vinden die een verband houden met de SAP wachtwoordinstellingen. In de kolom genaamd Best Practice vindt u de beste passende parameter instelling. De parameter instellingen moeten in

overeenstemming zijn met het wachtwoordbeleid en mogen afwijken van de SAP standaard instelling en best practice instelling. Nr. Type Description Best Practice Incorrect Logon, Default Clients and Default Start Menus defines the number of times a user can enter an incorrect password before the system 1 Login/fails_to_session_end terminates the logon attempt. max. 3 2 Login/fails_to_user_lock the number of times a user can enter an incorrect password before the system locks the user. If the system locks, an entry is written to the system log, and the lock is released at midnight. max. 5 3 Login/failed_user_auto_unlock unlocks users who are locked by logging on incorrectly. Controls the automatic unlocking of user records at midnight. The default is set at 1, which enables auto unlocking. The locks remain if the parameter value is 0. 0 This parameter specifies the default client. This client is automatically filled in on the system logon screen. Users can <production 4 Login/system_client enter a different client. client> 5 Login/ext_security Since release 3.0E, external security tools such as Kerberos or Secude have managed R/3 System access. If this parameter is set, an additional identification can be specified for each user (in user maintenance) where users log on to their security system. 6 rdisp/gui_auto_logout Maximum time allowed between input from the GUI before the frontend is automatically logged out. The value is set in seconds and the value of zero is used when this facility is not active. max. 14400

7 Login/disable_password_logon There are several types of user authentication: - Using password (conventional logon) - Using an external security product (SNC) - Using an X.509 browser certificate (intranet / Internet) - Using a Workplace Single Sign-On (SSO) ticket The default logon method is password user authentication. When using other types of authentication methods (see above), you may want to deactivate the password-based logon option (login/disable_password_logon). Caution: Only deactivate password-based logon, when you are sure that all users can log on using another method (using SNC, X.509, or SSO ticket). 0 8 Login/disable_multi_gui_login If this parameter is set to value 1, multiple dialog logons to the R/3 System (in the same client and under the same user name) are blocked by the system: 1 9 Login/multi_login_users list of exceptional users: multiple logon allowed <empty> Password Security 1 Login/min_password_lng minimum password length. min. 8 2 Login/password_expiration_time number of days after which a password must be changed. The parameter allows users to keep their passwords without time limit and leaves the value set to the default, 0. max. 90 3 login/min_password_diff min. number of chars which differ between old and new password min. 1 4 login/min_password_digits min. number of digits in passwords min. 1 5 login/min_password_letters min. number of letters in passwords min. 1 6 login/password_charset This parameter defines the characters of which a password can consist.

7 login/min_password_specials 8 login/min_password_lowercase 9 login/min_password_uppercase 10 login/password_max_idle_initial 11 login/password_max_idle_productive 12 login/password_history_size 13 login/password_change_for_sso 14 login/password_logon_usergroup Initial Password: Limited Validity 1 login/password_max_new_valid 2 login/password_max_reset_valid min. number of special characters in passwords min. number of lower-case characters in passwords min. number of upper-case characters in passwords When creating a new user, the user administrator assigns the user an initial password. When the user first logs on, they must change the initial password to ensure that only they know their password. You use this parameter to set the maximum interval between the time when the user is created and the first time the user logs on. After this interval has expired, the message "Initial password has expired" is displayed and logon is denied. max. 30 The user administrator can reset user passwords. The users must then change this new password at the next logon to ensure that only they know their password. You use this parameter to set the maximum interval between the time the password is reset and the next time the user logs on using this initial password. After this time has expired, the message "Initial password has expired" is displayed and logon is denied. Number of records to be stored in the password history min. 12 If the user logs on with Single Sign-On, checks whether the user must change his or her password. Controls the deactivation of password-based logon for user groups Defines the validity period of passwords for newly created users. Defines the validity period of reset passwords.

SSO Logon Ticket 1 login/accept_sso2_ticket 2 login/create_sso2_ticket 3 login/ticket_expiration_time 4 login/ticket_only_by_https 5 login/ticket_only_to_host Other Login Parameters 1 login/disable_cpic 2 login/no_automatic_user_sapstar 3 login/system_client 4 login/update_logon_timestamp Other User Parameters 1 rdisp/gui_auto_logout Allows or locks the logon using SSO ticket. Allows the creation of SSO tickets. Defines the validity period of an SSO ticket. The logon ticket is only transferred using HTTP(S). When logging on over HTTP(S), sends the ticket only to the server that created the ticket. Refuse inbound connections of type CPIC 0 Controls the emergency user SAP* (SAP Notes 2383 and 68048) 1 Specifies the default client. This client is automatically filled in on the system logon screen. Users can type in a different client. Specifies the exactness of the logon timestamp. Defines the maximum idle time for a user in seconds (applies only for SAP GUI connections). SAP wachtwoord reglement Hieronder beschrijven we de specificaties die gevolgd moeten worden voor wachtwoorden. Deze tabel laat tevens zien of deze regels vooraf gedefinieerd zijn in het SAP systeem of dat deze aangepast kunnen worden. Regel Het wachtwoord moet minstens een X aantal karakters lang zijn. Wachtwoorden kunnen niet meer dan 40 karakters bevatten. Tot en met SAP NetWeaver 6.40 konden wachtwoorden niet meer dan 8 karakters bevatten. Notitie login/min_password_lng

Tot en met SAP NetWeaver 6.40 kunnen alle karakters van de syntacs karakter set worden gebruikt, alle letters, cijfers en sommige speciale karakters. Het systeem kent geen onderscheidt tussen hoofdletters en kleine letters. Vanaf SAP NetWeaver 6.40 kunnen alle unicode karakters worden gebruikt en het systeem kent nu wel onderscheidt tussen hoofdletters en kleine letters. s login/min_password_letters login/min_password_digits login/min_password_specials Zie ook profiel parameter login/password_charset Vanaf SAP Web AS 6.10 kunnen de hoeveelheid cijfers, letters en speciale karakters waar het nieuwe wachtwoord aan moet voldoen worden ingesteld. Het eerste karakter mag niet een uitroepteken (!) zijn of een vraagteken (?). De eerste drie karakters mogen niet bestaan uit de eerste drie karakters van het user-id in SAP. Deze regel is van kracht op alle systemen tot aan SAP R/3 4.6D. De eerste drie karakters mogen niet allemaal hetzelfde zijn. De eerste drie karakters mogen geen spatie bevatten Deze regel is van kracht op alle systemen tot aan SAP R/3 4.6D. Het wachtwoord mag niet voorkomen in de lijst met niet toegestane wachtwoorden (tabel USR40). Deze lijst bevat karakter combinaties of termen, waar de astriks (*) en vraagteken (?) gebruikt kunnen worden als wildcard. De astriks staat voor een karakterreeks en het vraagteken voor een enkele karakter. De vooraf gedefinieerde waarde is dat alle wachtwoorden toegestaan zijn, behalve PASS en SAP*. De waarden zijn aan te passen aan het wachtwoordbeleid. De gebruiker ontvangt alleen een waarschuwing, als hij of zij de wachtwoordregel breekt. De beheerder ontvangt alleen een waarschuwing als hij een wachtwoord instelt dat niet voldoet aan de wachtwoordregel. Het wachtwoord mag nooit PASS of SAP* zijn.

Het wachtwoord mag niet veranderd worden in een X aantal vorige wachtwoorden, als de gebruiker het wachtwoord zelf wijzigt. login/password_history_size Tot en met SAP NetWeaver 6.40 had de opgeslagen wachtwoord historie een vaste waarde van 5. Na SAP NetWeaver 6.40 kan de beheerder het aantal opgeslagen wachtwoord historie instellen tot wel 100 wachtwoorden. De beheerder kan een initieel wachtwoord instellen, ook als het wachtwoord is die de laatste keren is ingesteld door de gebruiker. Dit is noodzakelijk, immers de beheerder mag de wachtwoorden van de gebruiker niet weten. De gebruiker wordt onmiddellijk gevraagd zijn wachtwoord te wijzigen bij de eerste aanmelding op het systeem. Het wachtwoord kan alleen maar gewijzigd worden na het correct invoeren van het oude wachtwoord. Tot en met SAP Web AS 6.10 kan de gebruiker zijn wachtwoord alleen maar aanpassen tijdens de aanmeld procedure. Vanaf SAP Web AS 6.20 kan de gebruiker zijn wachtwoord wijzigen door te kiezen voor, System User Profiel Own Data (transactie SU3) Gebruikers mogen alleen hun wachtwoord veranderen na een bepaalde periode. Tot en met SAP NetWeaver 6.40 was die periode een dag. Een wachtwoord veranderen kon dan pas de volgende dag. Het systeem kan nu alle wachtwoorden afwijzen tijdens die bepaalde periode. Als de beheerder het wachtwoord opnieuw instelt zal de gebruiker het wachtwoord gelijk moeten aanpassen, ongeacht wanneer hij of zij het wachtwoord heeft veranderd. De beheerder kan zo vaak mogelijk login/password_change_waittime

wachtwoorden wijzigen. Het wachtwoord moet bestaan uit minimaal een x aantal kleine letters. login/min_password_lowercase Tot en met SAP NetWeaver 6.40 was er geen onderscheidt tussen hoofdletters en kleine letters. Het wachtwoord moet bestaan uit minimaal een x aantal hoofdletters. login/min_password_uppercase Tot en met SAP NetWeaver 6.40 was er geen onderscheidt tussen hoofdletters en kleine letters. Minstens een karakter in het nieuwe wachtwoord moet anders zijn dan van het oude wachtwoord. Vanaf SAP Web AS 6.10 kan de beheerder het minimum aantal karakters dat verschillend moet zijn in het oude en nieuwe wachtwoord instellen. Wachtwoorden moeten voldoen aan de huidige wachtwoord reglement. Voldoen wachtwoorden daar niet aan dan moeten ze worden veranderd. login/min_password_diff login/password_compliance_to_current_policy Tot en met SAP NetWeaver 6.40 gold het veranderde wachtwoord reglement niet voor oude wachtwoorden, maar voldeden pas na het wijzigen van het wachtwoord.

Een productief wachtwoord, gekozen door de gebruiker, is geldig tot een maximum van een x aantal dagen, als het niet gebruikt wordt. Beschikbaar vanaf SAP NetWeaver 6.40. Een initieel wachtwoord, ingesteld door de beheerder, is geldig tot een maximum van en x aantal dagen, als het niet gebruikt wordt. login/password_max_idle_productive login/password_max_idle_initial Als deze periode is verstreken kan het wachtwoord niet langer meer gebruikt worden voor authenticatie. De beheerder kan het wachtwoord activeren door een nieuw initieel wachtwoord in te stellen. Beschikbaar vanaf SAP NetWeaver 6.40. SAP Wachtwoord tabellen In de onderstaande tabel staan alle tabellen met betrekking tot wachtwoorden in het SAP systeem. Tabel Omschrijving USR40 Table for illegal password USRPWDHISTORY Password History USR02 Logon Data (Kernel-Side Use) PRGN_CUST Customizing settings for authorization process USH04 Change history for authorizations TSAD3T Titles (Texts) (Business Address Services) USH02 Change history for logon data USREFUS Reference user for internet applications TPFET Table of profile parameters DBSTATHORA Actual size of tables on the database (history) TSAD2 Academic Title (Business Address Services) Audit: Audit configuration parameters (audit RSAUPROF profile) FIEB_PASSWORD Passwords (stored in encrypted form) ICFSECPASSWD ICF: ICF password Repository (Service)

SAP Notes In de onderstaande tabel staan belangrijke sap notes met betrekking tot wachtwoorden. SAP Note Omschrijving 2467 Password rules and preventing incorrect logons 721119 Logon with (delivered) default user fails 735356 Special character in passwords; reactivation not possible 862989 New password rules as of SAP NetWeaver 2004s 874738 New password hash calculation procedure (code version E) 991968 Value list for login/password_hash_algorithm 1023437 Downwardly incompatible passwords since NW2004s 1237762 Protection against password hash attacks CUA - New password hash procedures - Background 1300104 information 1458262 Recommended settings for password hash algorithms 1484692 Protect read access to password hash value tables Deze tip is aangeleverd door Integrc Netherlands B.V. (www.integrc.com). Voor verdere vragen of informatie over dit onderwerp kunt u contact opnemen met Rob Oldenhof (rob.oldenhof@integrc.com). Voor andere vragen op het gebied van SAP GRC kunt u contact opnemen met Werner van Haelst (werner.vanhaelst@integrc.com). En volg Integrc via LinkedIn, Twitter, Blogs, Google+ en Facebook. 2014, Integrc Netherlands B.V.

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback