SAP User gesperrt: Analyse und Ursachenforschung am Beispiel XI/PI
Autor: Tobias Harmes | 5. April 2013
Im SAP XI/PI sperrt sich nach einer Passwortänderung für einen technischen User der Benutzer (XIAPPL / PIAPPL USER) in regelmäßigen Abständen immer wieder selbst. Was nun, wenn der SAP User gesperrt ist?
Alle an das XI/PI angebundenen Systeme, die diesen Benutzer zur Kommunikation verwenden müssen auf das neue Kennwort umgestellt werden um eine Sperrung durch fehlerhafte Kennwortanmeldung zu vermeiden. Hierfür dient folgender Hinweis als Hilfe, er zeigt auf an welchen Stellen technische XI / PI User zum Einsatz kommen können und wo die Änderungen gepflegt werden müssen: https://service.sap.com/sap/support/notes/999962
- Transaktion SU01 im R/3-System
- Exchange Profile
- SLDAPICUST
- SM59-Destination INTEGRATION_DIRECTORY_HMI
- SM59-Destination SAPXIPP*
- Data Supplier des SLD in der J2EE
- PMI-Store-Destination in der J2EE
- RFC-Destinationen in der J2EE
- Destination in J2EE für die sichere Kommunikation zwischen ABAP und Java
- SM59-Verbindungen für End-to-End-Monitoring
- SM59-Verbindungen für das GRMG-Monitoring
- Verbindungen von sendenden Business-Systemen
Wenn die Änderungen vorgenommen wurden sind und das Problem, wie in diesem Fall, noch immer auftritt, stellt sich die Frage:
Wie bekomme ich heraus, von welchen Systemen die fehlerhaften Benutzeranmeldungen noch kommen?
Hierzu hilft folgender SAP Hinweis: https://service.sap.com/sap/support/notes/1665838
Transaktion SM21 (Systemlog) ausführen
Zeitpunkt auswählen Zeitpunkt herum, an dem der SAP User gesperrt wurde -> SysLog neulesen
Syslog anzeigen
Benutzer XIAPPLUSER durch Falschanmeldungen gesperrt
Der Benutzer SAPJSF deutet darauf hin, dass der User “XIAPPLUSER” von einer JAVA-Anwendung gesperrt wird. SAPJSF ist ein interner UME Benutzer, der für die Kommunikation zwischen Java und ABAP verantwortlich ist.
- Auf Betriebssystem Ebene navigiert man nun zu den LogFiles, die sich unter folgendem Verzeichnis befinden: /usr/sap/<SID>/<inst#>/j2ee/cluster/server#/log/system/httpaccess/responses*.trc
In aktuellsten der Dateien ist nun nach häufigem Auftreten von folgenden Fehlern zu suchen:
Unauthorized HTTP Responses im HTTP-Response-Protokol
[Mar 19, 2013 9:50:05 AM ] – 11.22.33.44 : POST /sld/cimom HTTP/1.1 401 1734 [95]
[Mar 19, 2013 9:50:07 AM ] – 11.22.33.44 : POST /sld/cimom HTTP/1.1 401 1734 [18]
[Mar 19, 2013 9:50:09 AM ] – 11.22.33.44 : POST /sld/cimom HTTP/1.1 401 1734 [27]
[Mar 19, 2013 9:50:11 AM ] – 11.22.33.44 : POST /sld/cimom HTTP/1.1 401 1734 [21]
[Mar 19, 2013 9:50:13 AM ] – 11.22.33.44 : POST /sld/cimom HTTP/1.1 401 1734 [21]
HTTP/1.1 401 weißt auf den Error 401 hin, der auf unautorisierten Zugriff schließen lässt. Mithilfe der IP Adresse in diesem Beispiel 11.22.33.44 wird versucht von diesem System eine Verbindung mit falschen User Credentials aufzubauen. Es ist abhängig von der Systemkonfiguration, wann ein User nach fehlerhaften Anmeldeversuchen gesperrt wird (Standard 6 Versuche).
SAP Basis Berater - gesamte Projekte oder Berater auf Zeit
Sie suchen Unterstützung durch SAP Basis Berater? Wir bieten mehr als nur einen gewöhnlichen Berater auf Zeit. Informieren Sie sich über Ihre Vorteile!
Überprüfung des CIM-Clients
Je nach Anwendung variiert die URL, in diesem Beispiel wird die falsche Kombination von Benutzername und Kennwort über die URL “/sld/cimom” genutzt. Hierfür prüfen Sie die Einstellungen des CIM-Clients auf dem Host 11.22.33.44. Sie enthalten ein falsches Kennwort für XIAPPLUSER / PIAPPLUSER. Damit haben Sie den Übeltäter für die Benutzersperrung ausfindig gemacht und können die korrekten Benutzerdaten einpflegen. Sollten Sie Fragen zu einzelnen URLs haben, kontaktieren Sie uns, wir helfen Ihnen gerne.
- Eine Möglichkeit die Abhängigkeiten anderer Systeme zu vermeiden besteht darin einen eigenen technischen User für jedes System anzulegen und vom XIAPPLUSER / PIAAPPLUSER zu kopieren. Hierbei kann eine Erweiterung des Usernamens in der Form von XIAPPL<SYSID> / PIAPPL<SYSID> erfolgen (z.B. XIAPPLABC für SID=ABC).
Andernfalls hat die Sperrung des zentralen XIAPPLUSERS Einfluss auf alle beteiligten Systeme, dass die Kommunikation gestört wird.
Das bringt den Vorteil, dass die Systeme autark voneinander sind und eine Sperrung eines allgemein gültigen technischen Users, sich nicht auf andere angeschlossenen Systeme auswirkt.
Referenzen SAP Notes
#999962 – PI 7.10: Ändern der Kennwörter von PI-Service-Benutzern
#1665838 – Ursache für Sperrung eines technischen PI-Benutzers herausfinden
#1493272 – Benutzer wird automatisch gesperrt
Was sind ihre Erfahrungen, wenn ein SAP User gesperrt ist?