TROUBLE-SHOOTING
SUIM Benutzerinformationssystem
Wenn Sie in der Voranalyse hohe Paging-Raten auf mehreren Rechnern beobachten, sollten Sie den von den SAP-Instanzen und der Datenbank allokierten Hauptspeicher berechnen (siehe Abschnitt 2.4.3, »Anzeige des allokierten Speichers«, und Abschnitt 2.3.2, »Analyse des Datenbankhauptspeichers «). Vergleichen Sie diesen mit dem physisch vorhandenen Hauptspeicher. Bei den Betriebssystemen Microsoft Windows und Oracle Solaris kann die Auswertung der Paging-Rate auf dem Datenbankserver zu Fehlinterpretationen führen, da dort Schreib-/Leseoperationen (I/O) unter gewissen Umständen ebenfalls als Paging gezählt werden. Vergleichen Sie dazu die SAP-Hinweise 124199 (Solaris) und 689818 (Windows).
Die Authentifizierung eines Anwenders erfolgt in den meisten Fällen durch die Eingabe eines Benutzernamens und dem dazugehörigen Passwort. Diese Informationen werden als user credentials bezeichnet und sollten nur dem jeweiligen Anwender bekannt sein, sodass sich kein Dritter unter einer falschen Identität Zugang zum System verschaffen kann. Wie der Passwortschutz eines Benutzers umgangen werden kann und wie Sie dies verhindern können, erfahren Sie in diesem Beitrag. Altlasten des SAP Systems Die Anmeldedaten eines Benutzers, inklusive Passwort, werden in der Datenbanktabelle USR02 gesichert. Das Passwort liegt jedoch nicht im Klartext, sondern verschlüsselt als Hashwert vor. Für jeden Benutzer gibt es jedoch nicht nur einen, sondern bis zu drei erzeugte Passwort-Hashes. Zur Berechnung dieser Werte werden verschiedene Algorithmen verwendet, von denen jedoch nur der Salted SHA1 als ausreichend sicher angesehen werden kann. Tabellenabzug USR02 Der sichere Passwort-Hash befindet sich in der fünften Spalte des abgebildeten Tabellenabzugs mit der Überschrift Kennwort-Hashwert. Das zugehörige Datenfeld der Spalte heißt PWDSALTEDHASH. Risiken durch schwache Passwort-Hashes Sie verfügen über ein gutes und funktionierendes Berechtigungskonzept, welches sicherstellt, dass keine Prozesse oder Daten manipuliert oder gestohlen werden können. Ein potenzieller Angreifer verfügt nun über die Möglichkeit Ihre Datenbank mit den Passwort-Hashes auszulesen. Die Hashwerte werden über Passwort-Cracker, die im Internet zuhauf erhältlich sind, zurückgerechnet und der Angreifer verfügt nun über eine lange Liste mit user credentials. Um Ihrem System Schaden zuzufügen sucht sich dieser nun den Benutzer mit den passenden Berechtigungen aus und führt seinen Angriff unter falscher Identität aus. Den tatsächlichen Angreifer nun zu ermitteln ist quasi unmöglich. Prüfen Sie, ob auch Ihr System angreifbar ist Ihr System generiert die schwachen Hashwerte, wenn der Profilparameter login/password_downwards_compatibility einen Wert ungleich 0 besitzt. Profilparameter login/password_downwards_compatibility.
Backup und Recovery
In der Transaktion PFUD (siehe Bild oben) können Sie den Benutzerabgleich manuell für alle Rollen (oder ausgewählte Rollen) durchführen. Sie können zwischen den Abgleicharten Profilabgleich, Abgleich indirekter Zuordnungen aus Sammelrollen und Abgleich HR-Organisationsmanagement wählen. Die Abgleiche unterscheiden sich laut SAP Dokumentation wie folgt: Profilabgleich: "Das Programm vergleicht die aktuell gültigen Benutzerzuordnungen der ausgewählten Einzelrollen mit den Zuordnungen der zugehörigen generierten Profile und führt notwendige Anpassungen der Profilzuordnungen durch. Abgleich indirekter Zuordnungen aus Sammelrollen: Benutzerzuordnungen zu Sammelrollen führen zu indirekten Zuordnungen für die in der Sammelrolle enthaltenen Einzelrollen. Diese Abgleichart passt die indirekten Zuordnungen der ausgewählten Einzelrollen an die Benutzerzuordnungen aller Sammelrollen an, in denen die Einzelrollen enthalten sind. Enthält die Selektionsmenge Sammelrollen, findet der Abgleich für alle darin enthaltenen Einzelrollen statt. Abgleich HR-Organisationsmanagement: Diese Abgleichart aktualisiert die indirekten Zuordnungen aller ausgewählten Einzel- und Sammelrollen, die mit Elementen des HROrganisationsmanagements verknüpft sind. Der HR-Abgleich ist inaktiv und nicht selektierbar, wenn keine aktive Planvariante existiert oder durch Einstellung des Customizing- Schalters HR_ORG_ACTIVE = NO in Tabelle PRGN_CUST eine globale Deaktivierung vorgenommen wurde. Weiterhin ist die Option "Bereinigung durchführen" interessant, die unabhängig von den drei Abgleicharten ausgewählt werden kann und sich nicht auf die Rollenselektion bezieht. Mit der Funktion Bereinigung durchführen können Datenreste beseitigt werden, die durch unvollständige Löschung von Rollen und den zugehörigen generierten Profilen entstanden sind.
Beachten Sie in diesem Zusammenhang, dass die angegebenen Richtwerte nur Faustregeln sind. In Einzelfällen kann eine Datenbankinstanz auch mit einer scheinbar minderen Pufferqualität gut laufen. Untersuchen Sie daher mit der Workload-Analyse die Antwortzeiten der Datenbank, bevor Sie weitere Zeit und Mühe in die Optimierung der Pufferqualität investieren.
Einige fehlende Funktionen in der Basisadministration werden durch "Shortcut for SAP Systems" ergänzt.
Sobald die Session mit dem Notfallbenutzer beendet wurde, erhalten die Verantwortlichen eine weitere Email mit den protokollierten Aktivitäten des Users mit den erweiterten Berechtigungen.
Einige nützliche Tipps aus der Praxis zum Thema SAP Basis finden Sie auch auf der Seite www.sap-corner.de.
In dem nachfolgenden Kapitel möchte ich Ihnen gerne unsere Best-Practice Herangehensweise zur Umsetzung eines Notfallbenutzerkonzepts erklären.