RSUSRAUTH
Security Automation bei SAP Security Checks
Der Sicherheitscheck zeigt ebenfalls, wenn kein Redesign notwendig ist, da die gefundenen Berechtigungen mit dem aktuellen Konzept vereinbar sind. Durch die Checks lassen sich fehlerhafte Berechtigungen erkennen und ohne ein Redesign beheben.
Das Berechtigungsobjekt S_RFCACL wird durch das Einspielen des SAP-Hinweises 1416085 aus dem Profil SAP_ALL entfernt. Dieser Hinweis ist in allen neueren Support Packages für die Basiskomponente enthalten; dies betrifft also alle Systeme bis herunter zum Basisrelease 4.6C. Grund für diese Änderung ist, dass das Berechtigungsobjekt S_RFCACL und vor allem die Ausprägung Gesamtberechtigung (*) für dessen Felder RFC_SYSID, RFC_CLIENT und RFC_USER als besonders kritisch eingestuft wird. Diese Felder legen fest, aus welchen Systemen und Mandanten bzw. für welche Benutzerkennungen Anmeldungen am Zielsystem erlaubt sein sollen. Die Gesamtberechtigung für diese Felder erlaubt also die Anmeldung aus beliebigen Systemen und Mandanten bzw. für beliebige Benutzer und erzeugt dadurch erhebliche Sicherheitsrisiken.
SAP Code Vulnerability Analyzer verwenden
Bei den Einträgen in der Tabelle SPTH sollten Sie beachten, dass die Anwendung definiert, ob auf eine Datei mit oder ohne Angabe des Pfads zugegriffen wird. So verhalten sich die verwandten Transaktionen ST11 (Fehlerprotokolldateien) und AL11 (SAP-Verzeichnisse) unterschiedlich. Während ST11 fast alle Dateien ohne Pfad öffnet (sie befinden sich ohnehin im Verzeichnis DIR_HOME), benutzt AL11 grundsätzlich voll spezifizierte Dateinamen mit Pfad. Ein Eintrag in der Tabelle SPTH mit PATH = / ist daher irreführend. Er legt fest, dass die definierten Zugriffbeschränkungen für alle mit Pfad angegebenen Dateien gelten. Dies greift aber nur bei Anwendungen, die mit spezifiziertem Pfad auf Dateien zugreifen. Für Anwendungen, die ohne Pfadangabe auf Dateien zugreifen, gilt diese Zugriffsbeschränkung hingegen nicht; Dateien im Verzeichnis DIR_HOME sind also möglicherweise ausgenommen.
Die zweite Möglichkeit ist die Pflege der HANA-Benutzer über die Transaktion SU01. Diese Möglichkeit besteht seit SAP NetWeaver 7.40 SP 6 (siehe SAP-Hinweis 1927767). Dazu richten Sie über die Transaktion DBCO eine Verbindung zur Datenbank ein, die Sie über den Report ADBC_TEST_CONNECTION testen können. Dieser Report wird mit dem SAP-Hinweis 1750722 ausgeliefert. Im nächsten Schritt tragen Sie die Datenbankverbindung und den Mandanten, in dem die Funktionalität zur Verfügung stehen soll, in die Tabelle USR_DBMS_SYSTEM ein. Nun steht Ihnen die neue Funktionalität in der Transaktion SU01 über die Registerkarte DBMS zur Verfügung. Mit der Anlage des ABAP-Benutzers wird automatisch ein Benutzer in der Datenbank angelegt und eine Zuordnung zwischen ABAP-Benutzer und Datenbankbenutzer gespeichert. Dem Datenbankbenutzer (DBMS Benutzer) können Sie dann in der Spalte Datenbankmanagementsystem-Rolle Datenbankrollen zuweisen.
Die Möglichkeit der Zuweisung von Berechtigungen im Go-Live kann durch den Einsatz von "Shortcut for SAP systems" zusätzlich abgesichert werden.
Nun können Sie die Objekte über den Menüpfad Validierung > Transport in einen Transportauftrag einbinden.
Über den Profilparameter auth/new_buffering ist mit dem Wert 4 eingestellt, dass die Berechtigungen, d. h. die Änderungen am Benutzerstamm oder an den Rollen bzw. Profilen sofort aktualisiert und in die Datenbanktabelle USRBF2 geschrieben werden, ohne dass eine Neuanmeldung erforderlich ist.