[50507] in SAPr3-news
Re: ZBV mit LDAP-Anbindung: Passwortsync
daemon@ATHENA.MIT.EDU (Christian Zalto)
Mon Jul 5 13:29:01 2004
To: sapr3-news@mit.edu
Date: Mon, 5 Jul 2004 19:17:38 +0200
From: "Christian Zalto" <zalto@t-online.de>
Message-ID: <ccc28t$bkl$02$1@news.t-online.com>
"Werner Flamme" <werner.flamme@ufz.de> schrieb:
> Wir setzen 1 Enterprise Buyer System (Anmeldung ausschließlich über
> den ITS) und 1 R/3-System ein. EBP und ITS auf Linux, R/3 auf
> Windows. Das ist mir Kerberos nicht harmonisch ;-)
>
Im SAP Developer Network gibt's von der TechEd 2003 in Basel
Unterlagen zum Thema "Eliminating Authentication Popups in SAP
Landscapes". IMHO sind das so viele Möglichkeiten, dass eigentlich
jeder Topf seinen Deckel finden sollte.
> zumal wir nur 2 Leute haben, die - neben der gesamten Modulbetreuung -
> auch noch das Usermanagement machen.
>
Manchmal ist weniger mehr, um so eine Umsetzung anzugehen (in
großen Konzernen wäre es schlichtweg unmöglich) aber für eine
derart schlanke Besetzung ist das schon ein ambitioniertes Unterfangen.
> Und ein geänderter Username
> zieht auch Änderungen/Anpassungen in der Org-Struktur nach sich, da
> wird nicht alles brav durchgereicht...
>
Ja, allein schon, dass man nicht zentral den SAP Usernamen ändern
kann, ohne dass das Passwort neu gesetzt werden müsste, ist unschön
und erzeugt Aufwand.
> Sobald die ZBV läuft, wird abteilungsweise das Login von SAP und LDAP
> angepasst. Dann können wir den Leuten noch schlechter verkaufen, warum
> sie nach einer Passwortänderung im LDAP keine Passwortänderung im SAP
> haben...
>
Liesse sich das nicht über eine Applikation abfangen, die das Passwort im
Klartext entgegennimmt, es aber nirgendwo speichert, sondern direkt an
an die angeschlossenen Applikationen übergibt?
> >>Eventuell würde ja auch ein FUBA helfen, der die Passwörter aus dem
> >>LDAP abfragt, nach SAP-Weise hasht und direkt in der Datenbank
> >>(Oracle 9.2) ablegt.
> >
> > Passwörter lassen sich mit LDAP nicht im Klartext abfragen.
> Meinst Du SAP-Passwörter?
>
Sowohl LDAP als auch SAP-Passwörter - eigentlich in überhaupt
keinem System sollten Passwörter im Klartext abrufbar sein.
> Will ich ja nicht, ich will vom LDAP ins SAP
> syncen, nicht anders herum. Und ein Klartextpasswort aus dem LDAP
> ließe sich zur Not über Umwege realisieren...
>
Soso... :)
Gibt es einen FuBa
> "MACHE_HASH_AUS_KLARTEXT"? ;-)
>
Nein, gibt's nicht. In früheren SAP Releases war sowas noch machbar,
prompt gab es die ersten ABAPs für Brute Force Dictionary Attacks
und SAP hat das System dicht gemacht.
--
Mit freundlichen Grüßen,
Christian Zalto
