- 5. April 2013

SAP User gesperrt: Analyse und Ursachenforschung am Beispiel XI/PI

sap-rfc-sicherheit

Im SAP XI/PI sperrt sich nach einer Passwortänderung für einen technischen User der Benutzer (XIAPPL / PIAPPL USER) in regelmäßigen Abständen immer wieder selbst. Was nun, wenn der SAP User gesperrt ist?

Alle an das XI/PI angebundenen Systeme, die diesen Benutzer zur Kommunikation verwenden müssen auf das neue Kennwort umgestellt werden um eine Sperrung durch fehlerhafte Kennwortanmeldung zu vermeiden. Hierfür dient folgender Hinweis als Hilfe, er zeigt auf an welchen Stellen technische XI / PI User zum Einsatz kommen können und wo die Änderungen gepflegt werden müssen: https://service.sap.com/sap/support/notes/999962

  • Transaktion SU01 im R/3-System
  • Exchange Profile
  • SLDAPICUST
  • SM59-Destination INTEGRATION_DIRECTORY_HMI
  • SM59-Destination SAPXIPP*
  • Data Supplier des SLD in der J2EE
  • PMI-Store-Destination in der J2EE
  • RFC-Destinationen in der J2EE
  • Destination in J2EE für die sichere Kommunikation zwischen ABAP und Java
  • SM59-Verbindungen für End-to-End-Monitoring
  • SM59-Verbindungen für das GRMG-Monitoring
  • Verbindungen von sendenden Business-Systemen

Wenn die Änderungen vorgenommen wurden sind und das Problem, wie in diesem Fall, noch immer auftritt, stellt sich die Frage

‚ Wie bekomme ich heraus, von welchen Systemen die fehlerhaften Benutzeranmeldungen noch kommen? ‚

hierzu hilft folgender SAP Hinweis https://service.sap.com/sap/support/notes/1665838

Transaktion SM21 (Systemlog) ausführen

Zeitpunkt auswählen Zeitpunkt herum, an dem der SAP User gesperrt wurde -> SysLog neulesen

SM21 Systemlog prüfen - SAP User gesperrt

Syslog anzeigen

Benutzer XIAPPLUSER durch Falschanmeldungen gesperrt

SAP SM21 Systemlog - Benutzer XIAPPLUSER gesperrt

Der Benutzer SAPJSF deutet darauf hin, dass der User „XIAPPLUSER“ von einer JAVA-Anwendung gesperrt wird. SAPJSF ist ein interner UME Benutzer, der für die Kommunikation zwischen Java und ABAP verantwortlich ist.

  • Auf Betriebssystem Ebene navigiert man nun zu den LogFiles, die sich unter folgendem Verzeichnis befinden: /usr/sap/<SID>/<inst#>/j2ee/cluster/server#/log/system/httpaccess/responses*.trc

In aktuellsten der Dateien ist nun nach häufigem Auftreten von folgenden Fehlern zu suchen:

Unauthorized HTTP Responses im HTTP-Response-Protokol

[Mar 19, 2013 9:50:05 AM  ] – 11.22.33.44 : POST /sld/cimom HTTP/1.1 401 1734 [95]

[Mar 19, 2013 9:50:07 AM  ] – 11.22.33.44 : POST /sld/cimom HTTP/1.1 401 1734 [18]

[Mar 19, 2013 9:50:09 AM  ] – 11.22.33.44 : POST /sld/cimom HTTP/1.1 401 1734 [27]

[Mar 19, 2013 9:50:11 AM  ] – 11.22.33.44 : POST /sld/cimom HTTP/1.1 401 1734 [21]

[Mar 19, 2013 9:50:13 AM  ] – 11.22.33.44 : POST /sld/cimom HTTP/1.1 401 1734 [21]

HTTP/1.1 401 weißt auf den Error 401 hin, der auf unautorisierten Zugriff schließen lässt. Mithilfe der IP Adresse in diesem Beispiel 11.22.33.44 wird versucht von diesem System eine Verbindung mit falschen User Credentials aufzubauen. Es ist abhängig von der Systemkonfiguration, wann ein User nach fehlerhaften Anmeldeversuchen gesperrt wird (Standard 6 Versuche).

Überprüfung des CIM-Clients

Je nach Anwendung variiert die URL, in diesem Beispiel wird die falsche Kombination von Benutzername und Kennwort über die URL „/sld/cimom“ genutzt. Hierfür prüfen Sie die Einstellungen des CIM-Clients auf dem Host  11.22.33.44. Sie enthalten ein falsches Kennwort für XIAPPLUSER / PIAPPLUSER. Damit haben Sie den Übeltäter für die Benutzersperrung ausfindig gemacht und können die korrekten Benutzerdaten einpflegen. Sollten Sie Fragen zu einzelnen URLs haben, kontaktieren Sie uns, wir helfen Ihnen gerne.

  • Eine Möglichkeit die Abhängigkeiten anderer Systeme zu vermeiden besteht darin einen eigenen technischen User für jedes System anzulegen und vom XIAPPLUSER / PIAAPPLUSER zu kopieren. Hierbei kann eine Erweiterung des Usernamens in der Form von XIAPPL<SYSID> / PIAPPL<SYSID> erfolgen (z.B. XIAPPLABC für SID=ABC).

Andernfalls hat die Sperrung des zentralen XIAPPLUSERS Einfluss auf alle beteiligten Systeme, dass die Kommunikation gestört wird.

Das bringt den Vorteil, dass die Systeme autark voneinander sind und eine Sperrung eines allgemein gültigen technischen Users, sich nicht auf andere angeschlossenen Systeme auswirkt.

Referenzen SAP Notes

#999962 – PI 7.10: Ändern der Kennwörter von PI-Service-Benutzern

#1665838 – Ursache für Sperrung eines technischen PI-Benutzers herausfinden

#1493272 – Benutzer wird automatisch gesperrt

Was sind ihre Erfahrungen, wenn ein SAP User gesperrt ist?

Jetzt das kostenlose E-Book zum Thema SAP Basis herunterladen:

Jetzt das kostenlose E-Book mit ausgewählten Fachartikeln herunterladen:


SHARE



Schreiben Sie einen Kommentar

Bitte füllen Sie alle mit * gekennzeichneten Felder aus. Ihre E-Mail Adresse wird nicht veröffentlicht.