Truco 8. Parametros de control mas importantes en un sistema Sap.

Muchos aspectos de control en nuestro sistema Sap estn determinados por los parmetros de la instancia, que configuran como se comporta el sistema en aspectos tan variopintos como el mandante e idioma por defecto (que se nos propone cuando nos conectamos al sistema), el nmero de modos que podemos tener abiertos, si podemos tener o no multilogon (entrar varias veces al sistema con el mismo usuario), la caducidad de las contraseas, la estructura y valores permitidos para estas, tiempo mximo de proceso en dialogo, tiempo de espiracin de las sesiones inactivas, etc.

La configuracin de estos valores es una labor de los consultores Basis o BC y se realiza sobre los ficheros de configuracin de Sap con la transaccin RZ10 (en el fichero de parmetros de la instancia). La modificacin de estos valores implica en la mayora de los casos el reinicio de la instancia Sap para que sean efectivos. Es importante que esta labor solo la realice el administrador del sistema, y por tanto os recomiendo conocer los parmetros y sus posibilidades de cara a los requerimientos de los clientes, pero

siempre dejar su mantenimiento en manos de un experto, ya que la modificacin inapropiada de valores en la configuracin puede ocasionar problemas en el arranque de Sap. Vamos a ver algunos de los parmetros ms interesantes:

Idioma por defecto al conectarnos al sistema: determina el lenguaje utilizado por defecto al conectarnos al sistema. Se establece con el parmetro zcsa/system_language. Por ejemplo, para el idioma espaol, pondremos un valor S. Es condicin para poder utilizarlo que el idioma este instalado (transaccin SMLT) y habilitado el idioma en la instancia con el parmetro zcsa/installed_languages. Por defecto al instalar Sap, estn disponibles los idiomas Ingles y Alemn. Mandante por defecto: con el parmetro login/system_client indicamos el mandante por defecto que se nos va a proponer al hacer logon. Mximo nmero de modos permitidos: podemos configurar el nmero de modos abiertos que puede tener abiertos un usuario con el parmetro rdisp/max_alt_modes. Por defecto, tiene un valor de 6, aunque podemos modificarlo para reducirlo o incrementarlo (hasta 16). Tener en cuenta siempre a la hora de modificar este parmetro, que los procesos de impresin requieren un modo, y por tanto, no es recomendable nunca indicar un valor 1. Deshabilitar el multilogon en el sistema: con el parmetro login/disable_multi_gui_login podemos establecer que el multilogon no este permitido (no se podr conectar un usuario dos veces al mismo mandante con el mismo identificador de usuario). Por defecto, tiene el valor 0 (esta habilitado el multilogon), aunque con el valor 1 se deshabilitar.

Multilogon permitido en determinados usuarios: tanto si el multilogon esta habilitado o no a nivel general, con el parmetro login/multi_login_users podemos forzar a que algunos usuarios si lo tengan permitido. En el caso de varios usuarios, introduciremos todos los valores separados por coma. A los usuarios que estn en la lista no se les presentar el tedioso dilogo que aparece al entrar una segunda vez al sistema. Mximo tiempo de ejecucin en procesos de dilogo: con el parmetro rdisp/max_wprun_time podemos limitar el tiempo de ejecucin de un proceso de usuario en dialogo. Puede ser interesante para prevenir problemas de rendimiento por ejecuciones de procesos demasiado pesados por los usuarios (sera conveniente realizarlos en procesos d fondo para que no afecten al performance del sistema). Por defecto, se indican los valores en segundos, aunque tambien se pueden indicar en minutos (p.e. 30 M sera media hora o 3H seria 3 horas). Tiempo de expiracin de sesiones inactivas: podemos configurar con el parmetro rdisp/gui_auto_logout el tiempo de inactividad permitido en las sesiones del Sapgui. Una vez superado este tiempo, el sistema desconecta la sesin. Es un mecanismo de seguridad para cerrar sesiones olvidadas, sin duda. Uso permitido del usuario SAP* para tareas de configuracin: en todas las instalaciones Sap existe un usuario SAP* (mientras no este creado como tal a propsito), que tiene la contrasea por defecto PASS y todas las autorizaciones disponibles (SAP_ALL). Esto es un agujero de seguridad grave que Sap soluciono con el parmetro login/no_automatic_user_sapstar. Por defecto, el parmetro vale 1 e impide utilizar este usuario. Para poder activarlo, habr que poner el valor 0. Lo lgico es activarlo para tareas de configuracin, y una vez terminado el proceso, volver a desactivarlo. Este usuario es HARDCODED. Parametros de control de contraseas: ademas de poder introducir en la tabla USR40 la lista de contraseas que no vamos a permitir, disponemos de igualmente de multitud de parmetros para establecer unas polticas de seguridad en cuanto a las contraseas y los accesos (podes obtener informacin adicional en las notas 2467 y 862989 del OSS): o Longitud mnima de la contrasea: se establece con el parmetro login/min_password_lng. El valor por defecto es 3. Se recomiendan valores ms largos. o Nmero mnimo de caracteres diferentes entre la contrasea anterior y la actual: parmetro login/min_password_diff .

o o o o o o

o o o

Nmero mnimo de dgitos en la contrasea: parmetro login/min_password_digits. Nmero mnimo de letras en la contrasea: parmetro login/min_password_letters. Nmero mnimo de minsculas en la contrasea: parmetro login/min_password_lowercase. Nmero mnimo de maysculas en la contrasea: parmetro login/min_password_uppercase. Nmero mnimo de caracteres especiales en la contrasea: parmetro login/min_password_specials. Nmero de intentos fallidos para cerrar la sesin: con el parmetro login/fails_to_session_end indicamos el nmero de intentos de conexin errneos permitidos antes de cerrar la sesin. No significa que se bloquee el usuario. Nmero de intentos fallidos para bloquear el usuario: con el parmetro login/fails_to_user_lock determinamos el nmero de accesos incorrectos permitidos hasta que se bloquea un usuario en el sistema. Desbloqueo automtico diario de usuarios: con el parmetro login/failed_user_auto_unlock podemos forzar a que en la medianoche de cada da se desbloqueen de forma automticas los usuarios que se bloquearon por intentos de acceso incorrectos. Nmero de das a partir del cual se puede cambiar la contrasea: con el parmetro login/password_change_waittime. Nmero de das a partir del cual se debe de cambiar la contrasea (el sistema nos obliga): con el parmetro login/password_expiration_time. Nmero de contraseas almacenadas (que no se podrn repetir): con el parmetro login/password_history_size. Si indicamos, por ejemplo, el valor 5, no se podrn repetir en el usuario las ltimas 5 contraseas. Solo se almacenan las contraseas introducidas por el usuario, no por el administrador.

Nmero de das maximos de inactividad de una contrasea indicada por el administrador: parmetro login/password_max_idle_initial. Superado el nmero de das indicado, sino se ha utilizado la contrasea (el usuario no ha entrado el sistema), esta se bloquea. o Nmero de das mximos de inactividad de una contrasea indicada por el usuario: parmetro login/password_max_idle_productive. Superado el
o

nmero de das indicado, sino se ha utilizado la contrasea (el usuario no ha entrado el sistema), esta se bloquea.

Uso permitido de fieldexit: las fieldexit son una tecnologa un tanto obsoleta de Sap que permite introducir verificaciones adicionales en el sistema a nivel de campos en las dynpro estandar. Hablaremos en otra entrada de la forma de configurarlas, pero para poder utilizarlas es necesario que el parmetro abap/fieldexit tenga el valor yes (por defecto tiene el valor no, y estn deshabilitadas). Deshabilitar la verificacin de autorizaciones en transacciones de analisis SU53 y SU56: con las transacciones SU53 y SU56 podemos revisar problemas en las autorizaciones asignadas a los usuarios. Con el parmetro auth/tcodes_not_checked podemos indicar que estas transacciones estn disponibles siempre a los usuarios, independientemente si las tienen o no en sus perfiles de autorizacin (el valor se indicar de la forma SU53, SU56, SU53 SU56 ).

Ejemplo de uso de la transaccin SU56 Aadir para terminar que mediante esta transaccin se configuran otros muchos parmetros de control, como son los tamaos de buffers, reas de memoria, nmero de procesos de trabajo de cada tipo (dialogo, fondo, actualizacin), configuracin de estadsticas, directorios, spool, pasarela de correo, servidor http. En definitiva, es el corazn del sistema Sap, se pueden ajustar muchos valores para mejorar el rendimiento o cambiar el comportamiento del sistema y es, por tanto, una tarea muy delicada de realizar, como ya os he indicado.