Speicherbereiche der SAP-Instanz
SPDD SPDD-Auswahl und Start
Es ist daher also nicht unüblich, dass im Rahmen einer Revision oder durch externe Prüfer eine regelmäßige Überprüfung der Berechtigungszuordnungen gefordert wird. Dies ist mit SAPStandardmitteln ein sehr mühsamer Prozess. Ein Berechtigungsadministrator müsste in diesem Szenario zunächst manuell jeden Mitarbeiter einem bestimmten Vorgesetzten zuordnen und deren Rollen ermitteln. Danach müsste ein Export dieser Rollen aus dem System passieren (beispielsweise in eine Excel-Datei) und diese wiederum dem Vorgesetzten vorgelegt werden, sodass dieser entscheiden kann, ob die Rollenzuordnung passend ist oder nicht.
Die Authentifizierung eines Anwenders erfolgt in den meisten Fällen durch die Eingabe eines Benutzernamens und dem dazugehörigen Passwort. Diese Informationen werden als user credentials bezeichnet und sollten nur dem jeweiligen Anwender bekannt sein, sodass sich kein Dritter unter einer falschen Identität Zugang zum System verschaffen kann. Wie der Passwortschutz eines Benutzers umgangen werden kann und wie Sie dies verhindern können, erfahren Sie in diesem Beitrag. Altlasten des SAP Systems Die Anmeldedaten eines Benutzers, inklusive Passwort, werden in der Datenbanktabelle USR02 gesichert. Das Passwort liegt jedoch nicht im Klartext, sondern verschlüsselt als Hashwert vor. Für jeden Benutzer gibt es jedoch nicht nur einen, sondern bis zu drei erzeugte Passwort-Hashes. Zur Berechnung dieser Werte werden verschiedene Algorithmen verwendet, von denen jedoch nur der Salted SHA1 als ausreichend sicher angesehen werden kann. Tabellenabzug USR02 Der sichere Passwort-Hash befindet sich in der fünften Spalte des abgebildeten Tabellenabzugs mit der Überschrift Kennwort-Hashwert. Das zugehörige Datenfeld der Spalte heißt PWDSALTEDHASH. Risiken durch schwache Passwort-Hashes Sie verfügen über ein gutes und funktionierendes Berechtigungskonzept, welches sicherstellt, dass keine Prozesse oder Daten manipuliert oder gestohlen werden können. Ein potenzieller Angreifer verfügt nun über die Möglichkeit Ihre Datenbank mit den Passwort-Hashes auszulesen. Die Hashwerte werden über Passwort-Cracker, die im Internet zuhauf erhältlich sind, zurückgerechnet und der Angreifer verfügt nun über eine lange Liste mit user credentials. Um Ihrem System Schaden zuzufügen sucht sich dieser nun den Benutzer mit den passenden Berechtigungen aus und führt seinen Angriff unter falscher Identität aus. Den tatsächlichen Angreifer nun zu ermitteln ist quasi unmöglich. Prüfen Sie, ob auch Ihr System angreifbar ist Ihr System generiert die schwachen Hashwerte, wenn der Profilparameter login/password_downwards_compatibility einen Wert ungleich 0 besitzt. Profilparameter login/password_downwards_compatibility.
Überwachung der Dispatcher-Queue
Die Laufzeitanalyse weist die Brutto- und/oder Nettozeit einzelner Aufrufe in Mikrosekunden (μs) aus. Die Bruttozeit ist die Gesamtzeit, die für einen Aufruf benötigt wird. Dazu gehören die Zeiten aller Modularisierungseinheiten und ABAP-Anweisungen dieses Aufrufes. Die Nettozeit ist die Bruttozeit abzüglich der Zeit, die für die aufgerufenen Modularisierungseinheiten (MODULE, PERFORM, CALL FUNCTION, CALL SCREEN, CALL TRANSACTION, CALL DIALOG, SUBMIT) und separat angegebene ABAP-Anweisungen benötigt wird, falls für diese die Protokollierung eingeschaltet wurde. Für »elementare« Anweisungen wie APPEND oder SORT ist die Bruttozeit gleich der Nettozeit. Wenn die Brutto- und Nettozeiten für einen Aufruf voneinander abweichen, enthält der Aufruf andere Aufrufe oder Modularisierungseinheiten. Wenn z. B. bei einer Unterroutine eine Bruttozeit von 100.000 μs und eine Nettozeit von 80.000 μs angezeigt wird, dann bedeutet dies, dass 80.000 μs für die Abarbeitung der Routine selbst gemessen wurden und 20.000 μs weiteren Anweisungen in der Routine zugeordnet worden sind, die getrennt protokolliert wurden. Die Eclipse-basierte Auswertungsoberfläche verwendet synonym die Begriffe Total Time und Own Time.
An einem Beispiel stellen wir dar, wie Sie dabei mit dem SAP Solution Manager arbeiten. Nehmen wir dazu an, dass Ihre Überwachung feststellt, dass zahlreiche teure SQL-Anweisungen Ihre Datenbank belasten und regelmäßig zu Engpässen führen. Der SAP EarlyWatch Alert identifiziert die betreffenden Anweisungen und empfiehlt gleichzeitig, einen Service zur SQL-Anweisungsoptimierung durchzuführen. Dieser Service kann ebenso vom SAP Support Portal auf den SAP Solution Manager heruntergeladen und im SAP Solution Manager durchgeführt werden. Der SAP Solution Manager interagiert dabei zum einen mit Ihrer Systemlandschaft, um die benötigten Statistiken und sonstige Daten zu laden, und zum anderen mit dem Bearbeiter, der den Service durchführt, um so in einem iterativen Verfahren zu einer Lösung und somit zu einer Performanceverbesserung zu kommen. Es ist sofort klar, dass ein derartiges Serviceprogramm viel detaillierter sein kann als z. B. dieses Buch oder ein Training. Der hier beispielhaft genannte Service zur SQL-Anweisungsoptimierung umfasst über 500 einzelne Optimierungsmöglichkeiten – angefangen bei bekannten Fehlern oder »Features« in der Datenbanksoftware über Empfehlungen zur Optimierung von Indizes bis hin zu Empfehlungen zur Neuformulierung von SQL-Anweisungen (von diesen 500 Schritten bekommt der Bearbeiter natürlich nur die Schritte zu sehen, die auf sein Problem zutreffen).
Für Administratoren steht im Bereich der SAP Basis ein nützliches Produkt - "Shortcut for SAP Systems" - zur Verfügung.
Falls beim Transport etwas schiefgeht, können Objekte ganz einfach neu gesammelt oder hinzugefügt werden.
Auf www.sap-corner.de finden Sie ebenfalls viele nützliche Informationen zum Thema SAP Basis.
Es dürfen keine unvollständig eingespielten Support Packages in Ihrem System sein.