Mostrando las entradas con la etiqueta BASIS. Mostrar todas las entradas
// // 8 comentarios

Consulta: ¿cómo ser un excelente Basis?

SAP BASIS - Consultoria
Este tema lo sugiero porque quiza muchas personas como yo quieren llegar a ser Consultores BASIS y/o Netweaver y no sabemos que temas ir estudiando para lograr ser no solo consultores sino excelentes.

Desde lo personal como ya lo mencioné en la presentacion tengo dos cursos online sobre SAP BASIS NIVEL INICIAL Y AVANZADO, sin embargo considero hace falta mucha practica y de este modo ir adquiriendo por decirlo asi destreza.

No se que posibiidad exista de que aca uno de los miembros del foro sea un excelente BASIS y desee compartir pautas o guias de como se convirtieron a hoy en lo que son, es decir, que me puedan decir, ey Tatiana empieza a estudiar sobre esto, etc etc, porque se que para ser Basis no solo es la parte de SAP sino otros aspectos de sistemas.

Gracias

* * *
Leer más ...
// // 3 comentarios

La Matriz de Roles en SAP

Muchas veces es necesaria una matriz de usuarios SAP, será una matriz de roles, funciones, transacciones, usuarios, usuarios clave, y por qué no, consultores (si los hubiese de forma interna en la organización en cuestión).

A continuación ampliaremos conceptos sobre las matrices de seguridad SAP que cada uno de los miembros de nuestra comunidad ha usado, y/o experimentado. No ingresaremos en el ámbito del SAP GRC, sino algo más general desde la administración de sistemas SAP (SAP BASIS).

Leer más ...
// // Escribe un comentario

Disponibilidad del Consultor SAP Basis

Consultor SAP Basis

No recuerdo bien en dónde leí una consulta sobre si el rol del consultor Basis era muy explotado en la mayoría de las empresas.
... comentaban que Basis requiere disponibilidad 24 x 7, o sea full time / full week. La mayoria renegaba mucho de esto e inclusive algunos intentaban irse a otros modulos. A mi en lo personal no me molesta, siempre y cuando me lo retribuyan de alguna manera. ¿esto es verdad? ¿es tan desgastante el trabajo en Basis?

A mi modo de ver eso dependerá de:
  1. La empresa que te contrate (si es la empresa que tiene SAP, o si es una consultora que trabaja para la empresa, y te manda como consultor externo). 
  2. El equipo de trabajo, no será lo mismo que seas el único BASIS (la unica persona con el rol), o que sean 5 personas. 
  3. Lo que arregles con quien te contrate (puedes arreglar cómo vas a cobrar las hs extras, etc). Aquí dependerá de tu poder de negociación y lo perspicaz que seas. 
Leer más ...
// // 7 comentarios

SAP ABAP, Basis, WAS y Netweaver

Algunos consultores SAP piensan que es lo mismo hablar de SAP Basis o SAP Netweaver.
Otros en cambio, plantean diferencias entre lo que significan ambos conceptos.

Buscando sobre este tema, me ha llamado la atención la opinión de un consultor SAP a través del SCN que dijo que no es justo comparar SAP Basis con SAP Netweaver, ya que éste último es una tecnología que agrupa una serie de componentes de SAP, por ejemplo: EP, BI, MDM, WAS, MI, etc.

Según éste usuario, es más justo comparar Basis con WAS (que es sin ir más lejos Web Application Server). El trabajo del BASIS es más como un trabajo de administración, actúa como middleware, al igual que WAS. La diferencia viene aquí en términos de WEB y otros componentes nuevos que se comenzó a usar, que antes no estaba plenamente respaldado por BASIS.

Leer más ...
// // 31 comentarios

Manual SAP Basis: TADM10, TADM12 y TADM51

Administrar SAP
¿Buscando cómo administrar de forma eficiente SAP? ¿Deseas ser Consultor Basis o Netweaver? Ésta es tu oportunidad. Recuerda que por tiempo limitado (como todas las descargas directas) podrás descargar desde aquí los manuales necesarios para aprender SAP Basis. En ésta oportunidad los PDF son cinco archivos, y están en inglés.

Recuerda consultar nuestra sección de descargas para ver más manuales SAP (algunos en español).

Los manuales Basis (NetWeaver) que compartimos a través de este artículo son:
  • TADM10 (parte 1)
  • TADM10 (parte 2)
  • TADM12 (parte 1)
  • TADM12 (parte 2)
  • TADM51

SAP Basis

Hablemos un poco sobre BASIS.
Como sabrán, SAP Basis hace referencia a la parte técnica de SAP. Por lo tanto ya no estamos en una rama funcional, sino que si estás leyendo ésto eres de la parte técnica. (Leer diferencias entre consultor funcional o consultor técnico)

Basis o Netweaver

Cuando las personas hablan de BASIS, es una forma clásica de hablar de la administración de sistemas operativos SAP. La forma "moderna" es denominar al Basis como consultor Netweaver. Lo importante aquí es que ambos apuntan a lo mismo.

Pasemos a los manuales...




TADM10 #1: SAP Netweaver AS Implementation & Operation I

Unidad 1: The big picture
Unidad 2: Navigation
Unidad 3: The system kernel
Unidad 4: Starting and Stopping SAP Systems
Unidad 5: Introduction to System Configuration
Unidad 6: Implementation of SSL for SAP Netweaver AS Java
Unidad 7: Software Development in SAP Systems

TADM10 #2: SAP Netweaver AS Implementation & Operation I

Unidad 1: Technology Components for Browser-Based User Dialogs
Unidad 2: Basics of User Administration AS ABAP
Unidad 3: User and Authorization Concept AS Java
Unidad 4: RFC Connections
Unidad 5: Communications and Integration Technologies
Unidad 6: Working with SAP Solution Manager
Unidad 7: System Monitoring and Troubleshooting AS ABAP
Unidad 8: Monitoring AS Java


TADM12 #1: SAP Netweaver AS Implementation & Operation II

Unidad 1: SAP ERP Application Architecture
Unidad 2: Planning the Installation of SAP ERP Central Component
Unidad 3: Preparing for the Installation of SAP ERP CC
Unidad 4: Installing SAP GUI
Unidad 5: Installing Components of SAP ERP
Unidad 6: Performing Post-Installation Activities
Unidad 7: Further Software Lifecycle Tasks
Unidad 8: SAP Patch Day
Unidad 9: Access to Help
Unidad 10: Printer Connection in AS ABAP
Unidad 11: Scheduling Background Tasks
Unidad 12: Technical Aspects of External Communication

TADM12 #2: SAP Netweaver AS Implementation & Operation II

Unidad 1: Introduction to SAP Software Logistics
Unidad 2: Setting Up an SAP System Landscape
Unidad 3: Creating and Exporting Transport Request
Unidad 4: Importing Transport Request
Unidad 5: Client Tools
Unidad 6: SAP Note Assistant, Support Packages, SAP System upgrades, and Enhancement Packages
Unidad 7: Advanced User Administration Topics

TADM51: Database Administration Oracle

Unidad 1: Database Overview
Unidad 2: Backup, Restore, and Recovery
Unidad 3: Monitors and Tools
Unidad 4: Storage Management
Unidad 5: Introduction to Oracle cache management
Unidad 6: Monitoring of the database instance
Unidad 7: Appendix: Monitoring of the database instance
Unidad 8: Analyzing application design
Unidad 9: Index management and optimization
Unidad 10: Cost Based Optimizer
Unidad 11: Analyzing physical and logical layout
Unidad 12: Analyzing memory configuration
Unidad 13: Appendix: Analyzing memory configuration

Finalmente los archivos en PDF


  1. Unirte a la lista #1 de SAP +1, sumate ahora!
  2. Dale "me gusta" a nuestra página de Consultoria-SAP en Facebook.

    Y no te olvides de seguirnos en las redes sociales para no perderte ninguna novedad:
  3. Copia la URL de éste artículo, e ingresa al foro de Ayuda SAP en español, ve a la parte de Manuales-SAP, y abre un tema nuevo explicando por qué te interesa aprender más sobre SAP, pega ahí la URL que has copiado, para que sepamos que estás cumpliendo estos tres puntos.

    Recuerda que en nuestra comunidad de Ayuda SAP no es solo "pedir" y nada más, lee las normas de solicitudes que tendrás que cumplir para descargar gratis.

    No te pierdas los beneficios de ser VIP en Consultoria-SAP

Si la descarga se ha caído, notifíquen a través de un comentario y analizarémos cómo volver a compartir éstos manuales.


Más información SAP

Leer más ...
// // Escribe un comentario

Problemas de Rendimiento SAP

Memoria SAP clases
Dudo que alguno de los consultores SAP, o bien administradores de sistemas SAP no hayan tenido nunca problemas de rendimiento, o lo que se conoce comúnmente como "performance" SAP.

Si bien no es mi especialidad, me he visto envuelto en más de una ocación con este tipo de problemas que son comúnes para áreas específicas de SAP bajo el módulo BASIS. He leído mucho al respecto y en varias ocaciones he encontrado excelente material de otros bloggers que comparten este tipo de información que hoy me gustaría re-transmitirles (y también dejarme a mí mismo un post recordatorio de este conocimiento).
Debo aclararles que este artículo tendrá una gran carga técnica.

Es muy importante cuando hablamos de rendimiento o performance SAP, entender la gestión de memoria que hace SAP. Los administradores de sistemas, o consultores BASIS tendrán que hacer cambios en los parámetros internos de SAP para mejorar el rendimiento del sistema. Pero antes de hacer esos cambios, deben conocer qué estan tocando. Este artículo hablará de los principales conceptos sobre la administración de la memoria en SAP.
Leer más ...
// // Escribe un comentario

Why Back Up the Database

Split-Mirror Backup

Why Back Up the #SAP's Database?
For large global organizations spanning operations in many countries, a robust Information Technology Infrastructure supporting 24x7 365 days a year has become absolutely necessarily. Non-availability of Information Systems for however short time would cause these organization losses in Millions. The loss of Data due to system failures would even result in closure of these organizations. In such a scenario it is become absolutely necessary to not only have a mechanism to efficiently take Backup of the systems but also to be able to do it without any downtime and performance degradation.

The Split-Mirror technology helps in achieving High Availability of Database, by letting a system quickly take backup, typically in seconds, and it also helps in eliminating the use of System Resources of the Database Server for backing up the database, thus efficiently avoids System degradation (often experienced) while Backups are running.
Leer más ...
// // Escribe un comentario

Authorization Objects for ALE EDI

Following is a list of some of the authorization objects used for carrying out ALE & EDI development. Contact your Basis Administrator to set up your user-id for ALE and EDI functions.

Object ALE/EDI: Maintaining logical systemsAuthorization B_ALE_LS_ALL
————————————————————————-
| Field Values
| Logical system
| *
————————————————————————-

Object ALE/EDI: Distributing master dataAuthorization B_ALE_MA_ALL
————————————————————————-
| Field Values
————————————————————————-
| Logical message type
| *
————————————————————————-

Leer más ...
// // 1 comentario

SAP PM: authorisation objects

How to get the authorisation objects for SAP PM?


Check this for the common PM authorisation objects:
  • I_ILOA - Change location and accounting data in the order
  • I_CCM_ACT - Configuration Control authorization object
  • I_ALM_ME - Mobile Asset Management

  • I_VORG_MEL - PM/QM: Business Operation for Notifications
  • I_QMEL - PM/QM: Notification Types
  • I_BEGRP - PM: Authorization Group
Leer más ...
// // 3 comentarios

Guia de Upgrade SAP

Upgrade Master Guide for SAP ERP

Encontré en la web un manual para hacer un upgrade de SAP.
Al ser documentación oficial, está PDF, y en inglés.

Les comentaré -a grandes rasgos- cómo deben usar este documento, y de qué se trata, para que puedan hacerse una idea del alcance, antes de descargarlo.

Es una guía central para realizar un upgrade técnico a SAP ERP versión 6.0. Contiene todas las actividades para realizar la actualización, y las configuraciones que son necesarias para SAP ERP 6.0 y los componentes requeridos por otras aplicaciones como por ejemplo SAP Netweaver 7.0 y SAP Business Suite. Dependiendo de la envergadura de la empresa que quiera actualizar SAP ERP, se tendrá que tener en cuenta cuantos key-users (usuarios clave) se van a contactar para la actualización, tanto del ERP, como de otros componentes como SAP HR, por ejemplo. La guía está dividida en secciones, que posibilitan una mejor comprensión de los pasos a seguir y evaluar mejor los riesgos durante el proceso de actualización. Sin lugar a dudas, es una guía que todo consultor SAP debe tener bajo el bolsillo, y es por ello que la comparto con ustedes.
Leer más ...
// // 7 comentarios

Transacciones utiles SAP BASIS

Me descargué las transacciones más comunes de la administración Basis desde el Wiki oficial de SAP, y me pareció mejor buscar el equivalente en español, o sea... me tomé el pequeño trabajo de traducirles qué era cada transacción. :)

IMPORTANTE: si tienes problemas con la administración del sistema SAP, estamos respondiendo a todas las consultas de SAP BASIS a través de nuestra comunidad. Puedes leer consultas SAP (respondidas) aquí, o bien leer los debates sobre administración de sistemas SAP en nuestro foro.
 
Para los casos en que SAP ECC 6.0 no presenta descripción, le dejé la descripción en ingles que dice en esta página: Useful SAP System Administration Transactions
  • AL01: SAP Alert Monitor
  • AL02: Database alert monitor
  • AL03: Operating system alert monitor
  • AL04: Monitor call distribution
  • AL05: Monitor current workload
Leer más ...
// // Escribe un comentario

Tablas: claves SAP

Alguna de las tablas donde se guardan claves de SAP son:

  • DEVACCESS: Registra todas las claves de desarrolladores
  • ADIRACCESS: Registra todas las claves de los objetos modificados
  • TDEVC y vista V_TDEVC: Registra todas las clases de desarrollos o paquetes


Fuente consultada: Sap-adm.blogspot.com

Leer más ...
// // 1 comentario

Security tables

Table Description Reports

  • USR02 Users Data (logon data) RSUSR020
  • USR04 User master authorization (one row per user)
  • UST04 User profiles (multiple rows per user)
  • USR10 Authorisation profiles (i.e. &_SAP_ALL)
  • UST10C Composit profiles (i.e. profile has sub profile)
  • USR11 Text for authorisation profiles
  • USR12 Authorisation values RSUSR030
  • USR13 Short text for authorisation
  • USR40 Tabl for illegal passwords
  • USGRP User groups
  • USGRPT Text table for USGRP
  • USH02 Change history for logon data
  • USR01 User Master (runtime data)
  • USER_ADDR Address Data for users
  • AGR_1016 Role and Profile RSUSR020
  • AGR_1016B Role and Profile
  • AGR_1250 Role and Authorization data
  • AGR_1251 Role Object, Authorization, Field and Value RSUSR040
  • AGR_1252 Organizational elements for authorizations
  • AGR_AGRS Roles in Composite Roles
  • AGR_DEFINE To See All Roles (Role definition) RSUSR070
  • AGR_HIER2 Menu structure information - Customer vers
  • AGR_HIERT Role menu texts
  • AGR_OBJ Assignment of Menu Nodes to Role
  • AGR_PROF Profile name for role
  • AGR_TCDTXT Assignment of roles to Tcodes
  • AGR_TEXTS File Structure for Hierarchical Menu – Cus
  • AGR_TIME Time Stamp for Role: Including profile
  • AGR_USERS Assignment of roles to users
  • USOBT Relation transaction to authorization object (SAP)
  • USOBT_C Relation Transaction to Auth. Object (Customer)
  • USOBX Check table for table USOBT
  • USOBXFLAGS Temporary table for storing USOBX/T* chang
  • USOBX_C Check Table for Table USOBT_C
  • TSTCA Transaction Code, Object, Field and Value

More User/Security tables

  • DEVACCESS Table of development users including dev access key
  • USR02 Logon data
  • USR04 User master authorization (one row per user)
  • UST04 User profiles (multiple rows per user)
  • USR10 Authorisation profiles (i.e. &_SAP_ALL)
  • UST10C Composit profiles (i.e. profile has sub profile)
  • USR11 Text for authorisation profiles
  • USR12 Authorisation values
  • USR13 Short text for authorisation
  • USR40 Tabl for illegal passwords
  • OBJT Authorisation objetc table
Leer más ...
// // Escribe un comentario

Función TH_POPUP mensajes

Con la transacción SM02 podemos poner un mensaje en el sistema, para avisar de posibles reinicios, posibles intervenciones... o demás incidencias que puedan afectar al servicio normal del servidor.

¿Pero como avisar a un usuario especifico de algo en particular?, muy fácil disponemos de una función que podemos ejecutar desde la SM37, la TH_POPUP que nos brinda esta opción.

Más información sobre el uso de la función en nuestros foros de ayuda SAP en español.
Leer más ...
// // Escribe un comentario

Gestion Autorizaciones HR

Gestión de autorizaciones a través de la estructura organizativa en SAP HR

Con esta autorización se limita la rama de la estructura organizativa a la cual pueden acceder los usuarios.

Es una autorización standard de SAP que por defecto asigna a todos los usuarios la rama principal de la estructura organizativa activa.

Para refinar estas autorizaciones, hay que seguir dos pasos:

1.- Definir perfiles estructurales (ramas de la estructura organizativa y tipos de objetos)

2.- Asignar perfiles estructurales a los usuarios.

Estas actividades se pueden ejecutar en la SPRO en la rama “Gestión de personal – Gestión de personal – Herramientas – Gestión de autorizaciones – Autorizaciones estructurales de la gestión de organización” . El funcionamiento en detalle se explica en el manual de SAP HR940 – Authorizations in HR – Unidad 7.

Definir perfiles estructurales

Esta actividad se corresponde a la transacción OOSP.

Se entiende como perfil un grupo de ramas de la estructura organizativa que se podrán asignar después a los usuarios.

Por defecto, existe un perfil “ALL” que se refiere a la rama principal de la estructura organizativa y es el que se asigna por defecto a los usuarios. Es decir, por defecto, los usuarios tienen acceso a la rama principal de la estructura organizativa.

Si queremos filtrar las ramas a las que pueden acceder los usuarios, tenemos que crear perfiles propios definiendo las ramas a las que pueden acceder.

Asignar autorizaciones estructurales

Esta actividad se corresponde a la transacción OOSB.

En esta actividad se asignan los usuarios a los perfiles que se hayan creado.

Hay una entrada standard SAP* a la cual se le aplica el perfil ALL. Esta entrada es la que hace que si un usuario no tiene un perfil concreto asociado, se le aplica este y tiene visibilidad completa de la estructura organizativa.

En esta tabla hay que indicar:

- Usuario

- Perfil asociado

- Fecha de inicio para aplicar el perfil

- Fecha de fin para aplicar el perfil

- Exclusión ( para hacer autorizaciones inversas )

También se dispone de un botón de “Visualizar objetos” con el que podemos validar el nivel de visibilidad de un usuario con un perfil asociado.

Reblogueado desde XiscoRoca

Leer más ...
// // Escribe un comentario

SAPehpi for support pack upgrade

Since end of October 2010 a new version of SAP enhancement package installer is general available for customers via SAP Service Marketplace. You can use new SAPehpi for pure support pack upgrade:

We used SAPehpi to upgrade support pack in Solution Manager, ECC6.0 EHP4 dual stack, SRM,SUS and Net weaver components like BI and cFolders.

Following are the lesson learns during support pack upgrade:

  • SAPOSCOL will not be copied by SAPehpi. Make sure after upgrade you manually copy SAPOSCOL to exe directory.

  • Keep only relevant profiles in profile directory.

  • Before starting downtime phase system prompts for offline backup, if you have dual stack (ABAP+Java), it does not come after backup because ABAP stack is locked for upgrade
  • Don’t click back button after queue calculation. SAPehpi will not refresh the queue, and it will create inconsistency and prompt errors.
  • During upgrade SAP Kernel is overwritten. Make sure you created copy of existing kernel before upgrade for any third party executables.
  • Refer Note “1399846 - Deploy_online_Depl fails:No Qeueue with sapjup-queue id” before upgrade.

  • Keep latest kernel in the download directory SAPehpi will automatically implement it.

  • Create user in client ‘000’ before starting upgrade with development access.

  • Make sure you have sufficient desk space in /usr/sap and download directory

  • <sid>adm has require permission in download directory

  • Don’t stop or start shadow instance manually. During upgrade SAPehpi will automatically shutdown or restart instance if required.

Sanjay Hanspal Active Contributor Bronze: 250-499 points Specialist Master in Deloitte Consulting.

Reblogged from SDN SAP Blogs.

Leer más ...
// // Escribe un comentario

Sap_All vs. Sap_New

Most of the times you might have question in your mind that why you give sap_all and sap_new everytime we create admin user (Altough some people used to give sap_all to every one). So here i am sharing my knowledge about differnce between these 2 :

SAP_NEW:-
SAP_NEW is a SAP standard Profile which is usually assigned to system users temporarily during an upgrade to ensure that the activities and operations of SAP users is not hindered, during the Upgrade. It contains all the necessary objects and transactions for the users to continue their work during the upgrade. It should be withdrawn once all upgrade activities is completed, and replaced with the now modified Roles as it has extensive authorizations than required.

SAP_ALL:-
SAP_ALL is a SAP standard profile, which is used on need basis, to resolve particular issues which may arise during the usage of SAP. It is used by Administrators/Developers only and is applied on a need to use basis, then withdrawn. It contains all SAP system objects and Transactions. SAP_ALL is very critical and only SAP* contains SAP_ALL attached to it in the production system. No other dialog users have SAP_ALL attached to them.
SAP_NEW is used in the Production environment during a version upgrade whereas SAP_ALL shouldn’t be or not allowed be used in Production except where necessary, in a controlled manner with all proper approvals from the customer.

Reblogg from: SapTechies
Leer más ...
// // Escribe un comentario

Agregar texto en el logon de SAP

Me pareció interesantísimo el artículo para la consultoría SAP en general, saber como modificar el log-on de SAP. Creo que es importante para dejarle información de contacto (tal como voy a pasar a explicar) en la pantalla de acceso de todos los usuarios finales de SAP en la empresa.

Yo recomiendo que lean atentamente nuestro tutorial, y después accedan al sistema (recomiendo en ingles), para hacer los cambios.

Paso por paso tenemos que hacer lo siguiente:

1. Entrar a SAP.
2. Ejecutar la transacción SE61.

Cambiar la siguiente configuración:
  • En “Document Class” ponemos “Generat Text”
  • El “Language” lo podemos cambiar, o no. Yo dejo English.
  • En “Name” ponemos ZLOGIN_SCREEN_INFO
Después de eso, hacemos clic en el botón “CHANGE”.

3. Aquí tenemos que agregar la información que queremos que aparezca:

4. Hacemos “CTRL+S” y Activamos con “CTRL+F12” cuando hayamos terminado.
5. Salimos de SAP (cerramos todo, podemos usar “/nex” y darle enter)
Cuando volvamos a querer loguearnos en SAP, veremos la información que pusimos así:

Y eso es todo.
Espero que sepan aprovecharlo.
Saludos, ^Osw.


Imágenes y fuente de: FreeSapTutorial
Leer más ...
// // Escribe un comentario

SE16N: The security implications

Why you should not do this in any productive system, or any system that you don't wish to restore because you've messed up referential integrity....

  • Reason 1: If you are ISO certified, then you will be going against their instructions
  • Reason 2: If you are bound by SOX compliance then you will not be adhering to it
  • Reason 3: You can cause data inconsistencies between tables that have relationships with each other. It will not maintain referential integrity between the tables.
  • Reason 4: SAP will not support any inconsistencies brought about by this method


Regarding security around this feature here are some points to note:

  1. It can be protected by the developer authorization S_DEVELOP (object type DEBUG activity 03 and 02 and 01). The user needs access to both SE16N and DEBUG before it's available.
  2. All changes to table contents are updated in seperate change document tables. These tables are:
    - SE16N_CD_KEY : Change Documents Header - Stores the user, the modification date and time
    - SE16N_CD_DATA : Change Documents Data
  3. In addition you can apply notes 503274 and 597117 to specify a display transaction only, which does not allow table changes.
  4. If you are paranoid then block the transaction via SM01
  5. If you are crazy paranoid then remove the transaction from table TSTC ;)


Lastly a comment from Julius:


"For other readers, please also see SAP note 587410. With this authorization, you can use SE16N's function modules to go *accross client boundaries* and turn the change authorization checks on S_DEVELOP and S_TABU_DIS OFF (!) when calling the FM."


Suggestions for use:


I only use this on Z tables in a development environment where I do not wish to have table maintenance generated and I understand the referential integrity associated with the table.


Any thoughts and comments go to http://forumsa.sdn.sap.com/thread.jspa?threadID=1504272

Kevin Wilson Active Contributor Silver: 500-1,499 points is a Sr. SAP Solution Engineer for QData USA Inc. and founder of ERPGenie.COM




Reblogged from Sdn.sap.com
Leer más ...
// // Escribe un comentario

Transaction SE16N vulnerability

Please restrict access to SE16N in your production systems.  If you're sufficiently paranoid, you may want to remove the transaction it completely

I've known for a while that, in some releases of SAP, transaction SE16N can be used to change SAP tables, regardless of authorisations or security settings. It's not something I've been keen to see widely disseminated, as there are major systemic risks in making changes this way. More dangerously, it provides a way to override authorisations by giving your userid (or your accomplice's userid) the SAP_ALL role.

SE16N, before entering &SAP_EDIT in the command field

Essentially, you run transaction SE16N, then type &SAP_EDIT into the command field and press enter.

SE16N, AFTER entering &SAP_EDIT in the command field

In the example below, I've changed the User Group to SUPER.

SE16N, changing User Group to SUPER

Personally, I'd recommend making the transaction unavailable (perhaps even removing it from TSTC ?) in your production system - Your firefighter userid can be given authorisation to allow the appropriate people to add it back in, if necessary.

The reason for mentioning it at all is that SAP Mental Notes and IT-Toolbox SAP on DB2 for z/OS have stated that changes using this method are permanently logged in the tables listed below:


SE16N_CD_KEY : Change Documents – Header
SE16N_CD_DATA : Change Documents – Data

This means, in theory, that you can can query these tables to audit the usage of SE16N to change data. My attitude is that it's all well and good knowing Joe Bloggs has broken your system, but I would rather not have to deal with the broken system in the first place. However, there's a bigger issue.....

When I tested this out on an ECC6 IDES system (DB2 on Windows 2003), the SE16N_CD* tables were not updated.

SE16N, ECC6 IDES, does not appear to update the SE16N_CD* tables

1 - The knowledge of this method of changing data, which is available on production systems to anyone with access to the SE16N transaction is being more widely disseminated.

2 - There appears to be at least one major platform / release that does not support audit of the method of changing data.

Martin English Active Contributor Silver: 500-1,499 points - I am a Netweaver Technical Consultant for CSC Australia, supporting the complete SAP lifecycle from pre-sales planning through to decommissioning. The opinions expressed here very rarely coincide with those of my employer, customers, or indeed any one else. This is written by me, not them.

Reblogged from Sdn.sap.com
Leer más ...