取消授权登录保护

为了在SAP系统中实现安全性，需要监控SAP环境中的不成功登录。当有人尝试使用不正确的密码登录系统时，系统应该锁定用户名一段时间，或者在指定的尝试次数后终止该会话。

可以为未经授权的登录尝试设置各种安全参数 -

现在让我们详细讨论其中的每一个。

当对单个用户 ID 进行多次登录尝试失败时，系统会结束该用户的会话。这应该使用配置文件参数发送 - login/fails_to_session_end。

要更改参数值，请运行事务RZ10并选择配置文件，如以下屏幕截图所示。选择延长维护并单击显示。

选择要更改的参数，然后单击顶部的“参数”按钮，如下所示。

单击“参数”选项卡时，可以在新窗口中更改参数的值。您还可以通过单击“创建”(F5)按钮来创建新参数。

要查看此参数的详细信息，请运行事务代码：RZ11并输入配置文件名称 - login/fails_to_session_end并单击Display Document。

在上面的屏幕截图中，您可以看到该参数的值设置为3，即默认值。3 次登录尝试失败后，单个用户的会话将终止。

如果单个用户 ID 连续尝试登录失败的次数超过设定次数，您还可以对特定用户 ID 进行检查。在配置文件参数中设置允许的无效登录尝试次数：login/fails_to_user_lock。

可以对特定用户 ID 设置锁定。
锁定用户 ID 直至午夜。但是，系统管理员也可以随时手动将其删除。
在 SAP 系统中，您还可以设置一个参数值，允许对用户 ID 进行锁定，直到手动将其删除。参数名称：login/failed_user_auto_unlock。

配置文件参数：login/fails_to_user_lock

每次输入错误的登录密码时，相关用户主记录的失败登录计数器都会增加。登录尝试可以记录在安全审核日志中。如果超过该参数指定的限制，相关用户将被锁定。此过程也会记录在 Syslog 中。

当日结束后，锁定不再有效。（其他条件-登录/failed_user_auto_unlock）

一旦用户使用正确的密码登录，失败登录计数器就会重置。不基于密码的登录对失败登录计数器没有任何影响。但是，每次登录都会检查活动登录锁。

要查看此参数的当前值，请使用T 代码：RZ11。

参数名称- 登录/failed_user_auto_unlock
短文本- 禁止在午夜自动解锁锁定的用户。
参数说明- 控制因错误登录而锁定的用户的解锁。如果该参数设置为 1，则因密码登录尝试失败而设置的锁定仅在同一天应用（作为锁定）。如果该参数设置为 0，则锁定仍然有效。
应用程序区域- 登录。
默认值- 0。

系统管理员还可以启用屏幕保护程序来保护前端屏幕免受任何未经授权的访问。这些屏幕保护程序可以受密码保护。

在 SAP 系统中，您可以使用报告RSUSR006检查系统中是否有用户尝试登录失败。此报告包含有关用户错误登录尝试次数和用户锁定的详细信息，您可以根据您的要求安排此报告。

转到ABAP Editor SE38并输入报告名称，然后单击EXECUTE。

在此报告中，您有不同的详细信息，例如用户名、类型、创建时间、创建者、密码、锁定和不正确的登录详细信息。

在 SAP 系统中，您还可以使用安全审核日志（事务 SM18、SM19 和 SM20）来记录所有成功和不成功的登录尝试。您可以使用SM20事务来分析安全审计日志，但需要在系统中激活安全审计来监控安全审计日志。

注销空闲用户

当用户已登录 SAP 系统并且会话在特定时间内处于非活动状态时，您还可以将其设置为注销以避免任何未经授权的访问。

要启用此设置，您需要在配置文件参数中指定此值：rdisp/gui_auto_logout。

参数说明- 您可以定义非活动 SAP GUI 用户在预定义的时间段后自动从 SAP 系统注销。本次参数配置。SAP系统中的自动注销默认是关闭的（值为0），即用户即使长时间不执行任何操作也不会注销。
允许的值- n [单位]，其中 n >= 0 且单位 = S | 中号 | 哈 | D

要查看参数的当前值，请运行 T-Code: RZ11。

下表显示了 SAP 系统中关键参数的列表、它们的默认值和允许值 -

范围	描述	默认	允许值
登录/会话结束失败	会话结束之前的无效登录尝试次数	3	1-99
登录/用户锁定失败	用户锁定之前的无效登录尝试次数	12	1-99
登录/用户失败自动解锁	设置 t 1 时：锁定在设置当天应用。在用户登录的第二天，锁定将被删除	1	0 或 1
rdsp/gui_auto_output	用户的最大空闲时间（以秒为单位）	0（无限制）	无限制的