SAP-Stern freischalten – Notfallbenutzer SAP* in SAP NetWeaver aktivieren

Autor: Andre Tenbuss | 26. November 2014

3 | 10

Haben Sie sich schon einmal aus dem SAP System ausgeschlossen und nach einem Weg gesucht, den Notfallbenutzer SAP-Stern freischalten zu können (Benutzer SAP*)? Möglicherweise kennen Sie folgendes Szenario: Im Rahmen der Vorbereitungen für eine Wartung sollen alle Benutzer in den Produktivmandanten gesperrt werden. Das ist z.B. mit Hilfe der SU10 schnell gemacht. Vergisst man nun z.B. den DDIC-Benutzer aus der Liste zu entfernen oder ist dieser beispielsweise durch zu viele Falschanmeldungen gesperrt, dann ist man aus dem System ausgesperrt.

Es gibt zahlreiche Gründe, welche die Ursache für einen Mandanten ohne ungesperrten Benutzer sein können. Im besten Fall lässt sich das Sperrkennzeichen bei einem Benutzer direkt aus der Datenbank löschen. Was ist aber zu tun, wenn die Kennwörter der Administrator-Benutzer nicht bekannt sind? Auch dafür gibt es einen Weg, welchen ich Ihnen heute gerne vorstellen möchte.

Mit dem Notfallbenutzer SAP* kann man sich an ABAP-Systemen anmelden, auch wenn alle Benutzer gesperrt oder gelöscht wurden. Dieser Standardbenutzer ist im Programmcode des Systems definiert und verfügt über uneingeschränkte Zugriffsberechtigungen. Bevor Sie weitere Schritte versuchen, sollten Sie in jedem Fall testen, ob das Standardkennwort des Benutzers (PASS) funktioniert [Anmerkung: Aus Sicherheitsgründen sollten Sie die Standardkennwörter der Standardbenutzer dringend ändern!]

Der Kernel-Benutzer SAP* kann über einen Profilparameter aktiviert werden. Bei der Installation eines Systems wird automatisch in jedem Mandanten ein Benutzerstamm für SAP* angelegt.

Es gibt zwei Schutzmechanismen:

  1. Der Benutzer kann über Profilparameter aktiviert werden.
  2. Über einen gleichnamigen Benutzerstamm für SAP* kann dieser überlagert werden.

Nachfolgend wird beschrieben, welche Schritte Sie ausführen müssen, um den Notfallbenutzer SAP-Stern freischalten zu können (Benutzer SAP*).

Profilparameter

Um den Benutzer zu aktivieren muss der Profilparameter login/no_automatic_user_sapstar auf den Wert 0 gesetzt werden. Dies kann bspw. über die Transaktion RZ10 ausgeführt werden. Das System muss anschließend neu gestartet werden.

Lösung: SAP Konsistenzprüfung

Unsere Konsistenzprüfung hilft Ihnen bei der Erkennung und Behebung von Schiefständen im System durch eine Tool-gestützte Analyse auf inkonsistente Objekte.

informieren

Benutzerstamm

Damit eine Anmeldung am System möglich ist, muss sichergestellt werden, dass der Notfallbenutzer nicht von einem gleichnamigen Benutzer SAP* übersteuert wird. Falls das so ist, muss der gleichnamige Benutzer via SU01 umbenannt werden.

E-Book SAP Basis

Mehr als 100 ausgewählte SAP Basis Fachartikel von rz10.de seit 2011! Auf über 800 Seiten Tipps, Tricks und Tutorials mit Screenshots aus echten SAP-Systemen.

Jetzt anfordern

SAP-Stern freischalten

Falls eine Anmeldung am System jedoch nicht möglich ist, kann dies auch direkt per SQL in der Datenbank geändert werden. Mit folgenden Befehl kann für einen bestimmten Mandanten der Name des Benutzers SAP* aus dem Benutzerstamm geändert werden:

update [SCHEMA].usr02
set BNAME="SAP*_old"
where BNAME="SAP*" and MANDT="[Zielmandant]"

Für das <SCHEMA> der Tabelle USR02 muss die System-ID eingetragen werden. Alternativ kann der existierende Benutzerstamm auch gelöscht werden. Bitte beachten Sie, dass das SQL-Kommando unter Umständen an das jeweilige Datenbank-Management-System angepasst werden muss. Bitte prüfen Sie den Befehl genau, bevor Sie das Kommando ausführen.

Sobald Sie den Benutzer SAP-Stern freischalten konnten, ist eine Anmeldung mit dem Standardkennwort PASS möglich. Dieses Password ist im Programmcode festgesetzt und kann nicht geändert werden.

Nach der Reparatur muss der Profilparameter login/no_automatic_user_sapstar wieder auf einen Wert größer 0 gesetzt werden und ggf. ein Benutzerstamm SAP* mit generiertem Kennwort angelegt werden. Dieser sollte der Benutzergruppe SUPER angehören, gesperrt sein und über keine Berechtigungen verfügen.

Haben Sie noch weitere Tipps oder Ergänzungen? Ich freue mich auf Ihr Feedback!

Sie benötigen Unterstützung bei der Umsetzung? Unser Autor ist Berater für dieses Thema. Fragen Sie ihn an über das RZ10.de Partnerprodukt Berater für SAP Basis


Artikel war hilfreichArtikel empfehlen

Dieser Beitrag ist auch als Download verfügbar:
Andre Tenbuss

Autor

Andre Tenbuss

B.Sc. Wirtschaftsinformatik

Fragen? Anmerkungen?
Kontaktieren Sie mich

3 Kommentare zu "SAP-Stern freischalten – Notfallbenutzer SAP* in SAP NetWeaver aktivieren"

Stephan Goldstein
2. Dezember 2014 um 11:05 Antworten

Der Initialuser SAP* ist eine Systemschwachstelle im SAP (schon zu R2-Zeiten) und muss gesondert unter Kontrolle gehalten werden. Der Verweis auf die absolute Notfall-Lösung über SQL ist schon fast ein Anreiz zum Ausleben von krimineller Energie! So etwas sollte nicht veröffentlicht werden!

Tobias Harmes
26. Januar 2015 um 12:21 Antworten

Hallo Herr Goldstein.

Vielen Dank für Ihren Hinweis. Ich stimme Ihnen absolut zu bei dem Hinweis, dass der sap*-User besonders kontrolliert werden muss (am Besten automatisiert). Unsere Anleitung unterstreicht die Notwendigkeit dafür. Unsere Sicherheitskonzepte, die wir für Kunden entwickeln, weisen auch immer darauf hin, dass “die Sache gelaufen ist” wenn jemand das Level des SQL-Zugriff in Produktion erreicht.

Mit freundlichen Grüßen,
Tobias Harmes

Harald Rautemann
16. Oktober 2019 um 23:16 Antworten

Hallo,
ich bin vor wenigen Tagen auf zwei Artikel mit gleicher bzw. ähnlicher Thematik gestoßen und da ist mir gleich wieder dieser Artikel bei rz10 eingefallen, zumal hier auch ein Vorwurf bzgl. der Veröffentlichung sicherheitskritischer Interna geäußert wurde. Nun, wenn das so sein sollte, der oder die Autoren der neulich gelesenen Artikel haben definitiv weniger Skrupel als der Autor dieses Artikels bzgl. sicherheitsrelevanter Informationen zu SAP-Systemen.
Die Artikel befassen sich mit einem Bypass-Verfahren des SAP*-Users bzw. des Profilparameters login/no_automatic… sowie der Ausnutzung einer Schwachstelle bei dem Hash-Verfahren der Passwort-Verschlüsselung. Nachzulesen auf shortcut-it.com, und dort im Blog. Ich fand das schon etwas bedenklich… vielleicht aber auch bekannt.
Bei der Gelegenheit aber auch ein Danke an rz10, hier habe ich schon viele nützliche Infos gefunden!

Kommentar verfassen


Weitere Beiträge:

SAP Basis

Alle SAP Hinweise im Support Package einfach anzeigen lassen

Wie kann man sich schnell und einfach alle SAP Hinweise anzeigen lassen, die im Support Package enthalten sind? Wir zeigen es im Beitrag!
1
Artikel lesen
SAP Basis

HowTo: IDoc Status durch einen SAP-Report manuell ändern

Der IDoc Status eines bestimmtes IDocs soll manuell verändert werden. Dieses Ziel kann mithilfe eines Standard SAP-Reports erreicht werden. Wir zeigen wie!
8
Artikel lesen
SAP Basis

Pakete im Download Basket bestätigen ohne MOPZ

Im Beitrag zeigen wir wie Pakete aus dem SAP-Net im Download Basket ohne MOPZ bestätigt werden können. Das eignet sich besonders für kleinere ERP-Systeme.
Artikel lesen

Unsere Top-Downloads

E-Book

E-Book SAP Security und Berechtigungen

Kostenloses E-Book
Download
Circa 250 Fachartikel aus rund neun Jahren auf rund 1.000 Seiten – Tipps, Tricks und Tutorials mit Screenshots aus echten SAP Systemen.
kostenlos downloaden
E-Book

E-Book SAP Berechtigungstools

Kostenloses E-Book
Unser E-Book zum Thema SAP Berechtigungstools
Download
So wählen Sie Ihr SAP Berechtigungstool aus – in 3 Schritten zum neuen Berechtigungstool.
#podcast, #story
kostenlos downloaden
E-Book

E-Book SAP Solution Manager

Kostenloses E-Book
Download
Dieses E-Book beinhaltet für Sie von uns ausgewählte Fachartikel rund um das Thema SAP Solution Manager.
kostenlos downloaden
Angebot anfordern
Preisliste herunterladen
Expert Session
Support