Show TOC

FunktionsdokumentationAnmelde- und Kennwortsicherheit für SAP GUI Dieses Dokument in der Navigationsstruktur finden

 

Dieser Abschnitt enthält Informationen zur Konfiguration der Anmelde- und Kennwortsicherheit im AS ABAP.

Integration

Ab SAP NetWeaver 04 können Sie stärkere Hash-Algorithmen für die Speicherung und Übertragung der Authentifizierungs-Credentials für SAP-GUI-Benutzer verwenden. Wenn Ihre Sicherheitsanforderungen die ausschließliche Verwendung der nicht abwärtskompatiblen Kennwörter des neuen Typs verlangt, wirkt sich dies auf folgende Komponenten aus:

  • Kommunikations-Frameworks (RFC, ICF), die Kennwörter übertragen oder ablegen

  • Zentrale Benutzerverwaltung, die Kennwort-Hash-Werte verteilt

Bei Verwendung nicht abwärtskompatibler Kennwörter ist es prinzipiell nicht mehr möglich, mit älteren Systemen (wobei das ältere System das neuere System aufruft) zu kommunizieren und eine Zentrale Benutzerverwaltung, die aus alten und neuen Systemen besteht, gemeinsam zu nutzen. Weitere Informationen finden Sie im SAP-Hinweis 792850.

Funktionsumfang

Zur Erhöhung der Authentifizierungssicherheit im AS ABAP werden Kennwörter nur als Hash-Werte gespeichert und übertragen. Ab SAP NetWeaver 6.40 wurde der Kennwort-Hash-Algorithmus von SHA-1 auf MD5 umgestellt. Somit können sicherere Hash-Werte, die nicht abwärtskompatibel sind und Reverse-Engineering-Angriffe erschweren, erzeugt werden.

Nach einem Upgrade wirken sich die neuen Funktionen zunächst nicht aus: Der Betrieb des Systems und die Kennwortabfragen laufen wie gewohnt ab. Die Kennwörter des neuen Typs lösen nach und nach die Kennwörter des alten Typs ab.

Initialkennwort

Wenn Sie einen Benutzerstammsatz anlegen, müssen Sie dem Benutzer ein Kennwort zuweisen. Wenn sich der Benutzer zum ersten Mal am System anmeldet, muss er das Kennwort ändern. Dazu gibt er einmal das alte und anschließend zweimal das neue Kennwort ein. Bei der Eingabe des neuen Kennworts werden sämtliche von SAP und vom Administrator definierten Kennwortregeln geprüft.

Das Kennwort muss nicht nur die internen Anforderungen des SAP-Systems sondern auch Ihren eigenen Vorgaben erfüllen. Weitere Informationen zur Konfiguration von Kennwörtern finden Sie unter Kennwortregeln.

Die folgenden Regeln gelten nicht für Administrationsbenutzer:

  • Liste ungültiger Kennwörter oder Kennwortmuster in Tabelle USR040

  • Kennworthistorie, d.h. das Kennwort darf auch eines der letzten fünf vom Benutzer verwendeten Kennwörter sein

  • Mindestanzahl der Zeichen, die sich vom alten im Vergleich zum neuen Kennwort unterscheiden

Kennwortprüfungen

  • Kennwortprüfungen bei kennwortbasierter Anmeldung

    Bei jeder fehlgeschlagenen Kennwortprüfung wird der Falschanmeldezähler für den betroffenen Benutzerstammsatz erhöht. Wenn der Benutzer sein Kennwort ändert, überprüft das System zuerst das aktuelle Kennwort. Schlägt diese Prüfung fehl, setzt es den Falschanmeldezähler ebenfalls hoch.

    Bei Überschreiten der durch Profilparameter login/fails_to_user_lock vorgegebenen Grenze für falsche Kennwörter wird der Benutzer gesperrt. Dieser Vorgang wird im Security-Audit-Log und zusätzlich im Syslog protokolliert. Bei gesetzter Sperre werden nachfolgende Kennwortprüfungen sofort abgebrochen (ohne eine Aussage über die Korrektheit des Kennworts zu liefern).

    Die Sperre wird nach Ablauf des aktuellen Tages als ungültig angesehen. (Ausnahme: siehe Profilparameter login/failed_user_auto_unlock.)

    Der Falschanmeldezähler wird bei erfolgreicher Kennwortanmeldung oder Kennwortänderung wieder zurückgesetzt. Auch dies wird im Security-Audit-Log protokolliert. Nicht-kennwortbasierte Anmeldungen wirken sich nicht auf den Falschanmeldezähler aus. Aktive Anmeldesperren, d.h. Sperren, die der Administrator in Transaktion SU01 gesetzt hat, werden aber bei jeder Anmeldung oder Kennwortänderung geprüft.

  • Kennwortprüfung bei nicht-kennwortbasierter Anmeldung

    Wenn Sie SAP GUI zur Anmeldung verwenden, überprüft das System bei nicht-kennwortbasierten Anmeldevarianten (SSO: SNC, X.509, PAS, Anmeldeticket), ob der Benutzer ein Kennwort besitzt, das geändert werden muss.

    Zusätzlich können Administratorbenutzer mit Profilparameter login/password_change_for_SSO und dessen Parametern verschiedene Dialogfenster anzeigen. Informationen dazu erhalten Sie in der Dokumentation des Profilparameters über Transaktion RZ11.

Anmeldefehler

Wenn der Benutzer das Kennwort nicht richtig eingegeben hat, kann er den Anmeldeversuch wiederholen. Unternimmt er weitere Anmeldeversuche mit einem falschen Kennwort, wird die SAP-GUI-Verbindung getrennt. Dies ist im Standard nach drei aufeinanderfolgenden Anmeldeversuchen mit einem falschen Kennwort der Fall. Sie können mithilfe des Parameters login/fails_to_user_session_end angeben, wie viele Anmeldeversuche möglich sind, bevor die Verbindung getrennt wird. Weitere Informationen finden Sie im Abschnitt Profilparameter zu Anmeldung und Kennwort (Login-Parameter).

Der Benutzer kann den Anmeldeversuch so oft wiederholen, bis er eine gültige Benutzerkennung eingibt oder bis die Anzahl zulässiger Anmeldeversuche (Parameter login/fails_to_user_lock) erreicht ist. Ab SAP NetWeaver 04 berücksichtigt das System Groß- und Kleinschreibung.

Die Sperre eines Benutzers aufgrund fehlerhafter Anmeldeversuche mit einem Kennwort ist nur am gleichen Tag gültig (siehe Parameter login/fails_user_auto_unlock). Der Benutzeradministrator kann die Sperre jedoch auch schon zu einem früheren Zeitpunkt wieder aufheben.