SAP User gesperrt: Analyse und Ursachenforschung am Beispiel XI/PI

Autor: Tobias Harmes | 5. April 2013

17 | #SU01

Im SAP XI/PI sperrt sich nach einer Passwortänderung für einen technischen User der Benutzer (XIAPPL / PIAPPL USER) in regelmäßigen Abständen immer wieder selbst. Was nun, wenn der SAP User gesperrt ist?

Alle an das XI/PI angebundenen Systeme, die diesen Benutzer zur Kommunikation verwenden müssen auf das neue Kennwort umgestellt werden um eine Sperrung durch fehlerhafte Kennwortanmeldung zu vermeiden. Hierfür dient folgender Hinweis als Hilfe, er zeigt auf an welchen Stellen technische XI / PI User zum Einsatz kommen können und wo die Änderungen gepflegt werden müssen: https://service.sap.com/sap/support/notes/999962

  • Transaktion SU01 im R/3-System
  • Exchange Profile
  • SLDAPICUST
  • SM59-Destination INTEGRATION_DIRECTORY_HMI
  • SM59-Destination SAPXIPP*
  • Data Supplier des SLD in der J2EE
  • PMI-Store-Destination in der J2EE
  • RFC-Destinationen in der J2EE
  • Destination in J2EE für die sichere Kommunikation zwischen ABAP und Java
  • SM59-Verbindungen für End-to-End-Monitoring
  • SM59-Verbindungen für das GRMG-Monitoring
  • Verbindungen von sendenden Business-Systemen

Wenn die Änderungen vorgenommen wurden sind und das Problem, wie in diesem Fall, noch immer auftritt, stellt sich die Frage:

Wie bekomme ich heraus, von welchen Systemen die fehlerhaften Benutzeranmeldungen noch kommen?

Hierzu hilft folgender SAP Hinweis: https://service.sap.com/sap/support/notes/1665838

Transaktion SM21 (Systemlog) ausführen

Zeitpunkt auswählen Zeitpunkt herum, an dem der SAP User gesperrt wurde -> SysLog neulesen

SM21 Systemlog prüfen - SAP User gesperrt

Syslog anzeigen

Benutzer XIAPPLUSER durch Falschanmeldungen gesperrt

SAP SM21 Systemlog - Benutzer XIAPPLUSER gesperrt

Der Benutzer SAPJSF deutet darauf hin, dass der User “XIAPPLUSER” von einer JAVA-Anwendung gesperrt wird. SAPJSF ist ein interner UME Benutzer, der für die Kommunikation zwischen Java und ABAP verantwortlich ist.

  • Auf Betriebssystem Ebene navigiert man nun zu den LogFiles, die sich unter folgendem Verzeichnis befinden: /usr/sap/<SID>/<inst#>/j2ee/cluster/server#/log/system/httpaccess/responses*.trc

In aktuellsten der Dateien ist nun nach häufigem Auftreten von folgenden Fehlern zu suchen:

Unauthorized HTTP Responses im HTTP-Response-Protokol

[Mar 19, 2013 9:50:05 AM  ] – 11.22.33.44 : POST /sld/cimom HTTP/1.1 401 1734 [95]

[Mar 19, 2013 9:50:07 AM  ] – 11.22.33.44 : POST /sld/cimom HTTP/1.1 401 1734 [18]

[Mar 19, 2013 9:50:09 AM  ] – 11.22.33.44 : POST /sld/cimom HTTP/1.1 401 1734 [27]

[Mar 19, 2013 9:50:11 AM  ] – 11.22.33.44 : POST /sld/cimom HTTP/1.1 401 1734 [21]

[Mar 19, 2013 9:50:13 AM  ] – 11.22.33.44 : POST /sld/cimom HTTP/1.1 401 1734 [21]

HTTP/1.1 401 weißt auf den Error 401 hin, der auf unautorisierten Zugriff schließen lässt. Mithilfe der IP Adresse in diesem Beispiel 11.22.33.44 wird versucht von diesem System eine Verbindung mit falschen User Credentials aufzubauen. Es ist abhängig von der Systemkonfiguration, wann ein User nach fehlerhaften Anmeldeversuchen gesperrt wird (Standard 6 Versuche).

SAP Basis Berater - gesamte Projekte oder Berater auf Zeit

Sie suchen Unterstützung durch SAP Basis Berater? Wir bieten mehr als nur einen gewöhnlichen Berater auf Zeit. Informieren Sie sich über Ihre Vorteile!

informieren

Überprüfung des CIM-Clients

Je nach Anwendung variiert die URL, in diesem Beispiel wird die falsche Kombination von Benutzername und Kennwort über die URL “/sld/cimom” genutzt. Hierfür prüfen Sie die Einstellungen des CIM-Clients auf dem Host  11.22.33.44. Sie enthalten ein falsches Kennwort für XIAPPLUSER / PIAPPLUSER. Damit haben Sie den Übeltäter für die Benutzersperrung ausfindig gemacht und können die korrekten Benutzerdaten einpflegen. Sollten Sie Fragen zu einzelnen URLs haben, kontaktieren Sie uns, wir helfen Ihnen gerne.

  • Eine Möglichkeit die Abhängigkeiten anderer Systeme zu vermeiden besteht darin einen eigenen technischen User für jedes System anzulegen und vom XIAPPLUSER / PIAAPPLUSER zu kopieren. Hierbei kann eine Erweiterung des Usernamens in der Form von XIAPPL<SYSID> / PIAPPL<SYSID> erfolgen (z.B. XIAPPLABC für SID=ABC).

Andernfalls hat die Sperrung des zentralen XIAPPLUSERS Einfluss auf alle beteiligten Systeme, dass die Kommunikation gestört wird.

Das bringt den Vorteil, dass die Systeme autark voneinander sind und eine Sperrung eines allgemein gültigen technischen Users, sich nicht auf andere angeschlossenen Systeme auswirkt.

Referenzen SAP Notes

#999962 – PI 7.10: Ändern der Kennwörter von PI-Service-Benutzern

#1665838 – Ursache für Sperrung eines technischen PI-Benutzers herausfinden

#1493272 – Benutzer wird automatisch gesperrt

Was sind ihre Erfahrungen, wenn ein SAP User gesperrt ist?

Sie benötigen Unterstützung bei der Umsetzung? Unser Autor ist Berater für dieses Thema. Fragen Sie ihn an über das RZ10.de Partnerprodukt Berater für SAP Basis


Artikel war hilfreichArtikel empfehlen

Dieser Beitrag ist auch als Download verfügbar:
Tobias Harmes

Autor

Tobias Harmes

Experte, Speaker, Herausgeber rz10.de

Fragen? Anmerkungen?
Kontaktieren Sie mich

Kommentar verfassen


Weitere Beiträge:

SAP Basis

HowTo: IDoc Status durch einen SAP-Report manuell ändern

Der IDoc Status eines bestimmtes IDocs soll manuell verändert werden. Dieses Ziel kann mithilfe eines Standard SAP-Reports erreicht werden. Wir zeigen wie!
8
Artikel lesen
SAP Basis

Falsche Nachrichtenverarbeitung: PI-Komponenten fehlen im SLD

Es kann vorkommen, dass einige der PI-Komponenten nicht mehr im PI registriert sind. Das kann zu Fehlern in der Nachrichtenverarbeitung führen. Und nun?
Artikel lesen
SAP Basis

HowTo: CIM-Modell aktualisieren - Schritt für Schritt-Anleitung

HowTo: Das CIM-Modell aktualisieren (cimsap & crdelta) gehört zu einer wiederkehrenden Aufgabe für alle Basis Administratoren. Hier im Detail erklärt.
Artikel lesen
SAP Basis

SAP Benutzersperren: Funktionen und Best Practices

In einem SAP-System gibt es verschiedene Arten von SAP Benutzersperren. Welche Funktionen dabei wichtig sind und welche Erfahrungen wir gemacht haben.
8 #Initialkennwort, #Profilparameter
Artikel lesen

Unsere Top-Downloads

E-Book

E-Book SAP Security und Berechtigungen

Kostenloses E-Book
SAP Security& Berechtigungen
Download
Circa 250 Fachartikel aus rund neun Jahren auf rund 1.000 Seiten – Tipps, Tricks und Tutorials mit Screenshots aus echten SAP Systemen.
kostenlos downloaden
E-Book

E-Book SAP Berechtigungstools

Kostenloses E-Book
Unser E-Book zum Thema SAP Berechtigungstools
Download
So wählen Sie Ihr SAP Berechtigungstool aus – in 3 Schritten zum neuen Berechtigungstool.
#podcast, #story
kostenlos downloaden
E-Book

E-Book SAP Solution Manager

Kostenloses E-Book
SAP Solution Manager
Download
Dieses E-Book beinhaltet für Sie von uns ausgewählte Fachartikel rund um das Thema SAP Solution Manager.
kostenlos downloaden
Kontaktieren Sie uns!
Renate Burg Kundenservice
0211 9462 8572-25 renate.burg@rz10.de Ihre Anfrage