Текущее время: Вс, янв 20 2019, 14:38

Часовой пояс: UTC + 4 часа


Правила форума


ВНИМАНИЕ! Прежде чем задавать вопрос, ознакомьтесь со ссылками ниже:

Вопросы по отличиям версий SAP, Add-On, EHP - сюда
Вопросы по SAP Front End (SAPlogon, SAPgui, guiXT и т.д.) - сюда
Вопросы по LSMW - сюда
Вопросы по архивации в SAP - сюда
Вопросы по SAP GRC - сюда
Вопросы по SAP Business Workplace (почте SAP) и SAP Office - сюда
Вопросы по miniSAP (SAP mini basis) - сюда
Вопросы по SAP HANA - сюда
Вопросы по лицензированию продуктов SAP - сюда



Начать новую тему Ответить на тему  [ Сообщений: 18 ]  На страницу 1, 2  След.
Автор Сообщение
 Заголовок сообщения: Запрет присвоения себе консультантами запрещенных полномочий через отладчик
СообщениеДобавлено: Чт, авг 16 2018, 15:50 
Гуру-эксперт
Гуру-эксперт
Аватара пользователя

Зарегистрирован:
Ср, фев 09 2011, 08:19
Сообщения: 722
Откуда: Сибирь
Пол: Мужской
Коллеги, привет.
Подскажите, пожалуйста, как можно в разработке разграничить полномочия на отладку (объект авторизации S_DEVELOP, тип объекта DEBUG), чтобы консультанты не могли получить неразрешенные им полномочия через отладчик? Какие есть способы?

_________________
ешьте рыбу - в ней фосфор.


Принять этот ответ
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Запрет присвоения себе консультантами запрещенных полномочий через отладчик
СообщениеДобавлено: Чт, авг 16 2018, 18:55 
Гуру-модератор
Гуру-модератор
Аватара пользователя

Зарегистрирован:
Пн, окт 11 2004, 21:32
Сообщения: 2454
Пол: Мужской
Вроде бы никак.
Рабочий вариант - это наладить мониторинг аудит лога с выдачей люлей отличившимся.

_________________
- Может ли настоящий мастер кунг-фу получить по морде?
- Настоящий мастер может все!


Принять этот ответ
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Запрет присвоения себе консультантами запрещенных полномочий через отладчик
СообщениеДобавлено: Чт, авг 16 2018, 21:43 
Почетный гуру
Почетный гуру
Аватара пользователя

Зарегистрирован:
Ср, фев 21 2007, 09:50
Сообщения: 1055
Откуда: Москва
Пол: Мужской
Я правильно понимаю, что задача стоит такая: оставить полномочия на отладку, но забрать "карандаш"? Если так, то вроде бы решается.
В S_DEVELOP тип объекта DEBUG отвечает именно за полномочия отладки, все верно.
При наличии ACTVT = 03 можно отлаживать, но не будет возможности изменять по карандашу.
В этом свете не очень понятен смысл ACTVT = 01, потому что 02 отвечает ясно за что - именно за карандаш.
03 дает дебужить и устанавливать точки прерывания и наблюдения (а что еще нужно для счастья).
Я поэкспериментировал, удалил 02 - карандаш, разумеется, пропал, но по-прежнему можно спокойно дебужить.
Так что если я верно понял вопрос, то ответ такой.

А если речь идет о том, чтобы карандаш консам оставить, но запретить только изменение по карандашу своих других полномочий, то тут сложнее, конечно.
Хотя, мне кажется, русский человек и не такое ломал :mrgreen: Так что рискну предположить, что решить вопрос можно, просто залезть придется слишком глубоко.

p.s.
- Да не ковыряйтесь вы в носу, детей не будет.
- Да я не глубоко
(с) КВН


Принять этот ответ
Вернуться к началу
 Профиль Отправить email  
 
 Заголовок сообщения: Re: Запрет присвоения себе консультантами запрещенных полномочий через отладчик
СообщениеДобавлено: Пт, авг 17 2018, 02:15 
Модератор
Модератор

Зарегистрирован:
Пт, окт 06 2006, 16:20
Сообщения: 250
Откуда: Москва
Пол: Мужской
ArmAnn написал:
Вроде бы никак.
Рабочий вариант - это наладить мониторинг аудит лога с выдачей люлей отличившимся.

..
Друзья, окститесь. Это же разработка - пусть развлекаются. Ни капли, не жалко...


Принять этот ответ
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Запрет присвоения себе консультантами запрещенных полномочий через отладчик
СообщениеДобавлено: Пт, авг 17 2018, 07:03 
Гуру-эксперт
Гуру-эксперт
Аватара пользователя

Зарегистрирован:
Ср, фев 09 2011, 08:19
Сообщения: 722
Откуда: Сибирь
Пол: Мужской
Спасибо, коллеги!

ArmAnn написал:
Вроде бы никак.
Рабочий вариант - это наладить мониторинг аудит лога с выдачей люлей отличившимся.

А можно поподробнее? Как наладить мониторинг?

_________________
ешьте рыбу - в ней фосфор.


Принять этот ответ
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Запрет присвоения себе консультантами запрещенных полномочий через отладчик
СообщениеДобавлено: Пт, авг 17 2018, 09:33 
Гуру-модератор
Гуру-модератор
Аватара пользователя

Зарегистрирован:
Пн, окт 11 2004, 21:32
Сообщения: 2454
Пол: Мужской
bdmalex написал:
ArmAnn написал:
Вроде бы никак.
Рабочий вариант - это наладить мониторинг аудит лога с выдачей люлей отличившимся.

..
Друзья, окститесь. Это же разработка - пусть развлекаются. Ни капли, не жалко...

Да как бэ... самовольное присвоение sap all даже в разработке тоже не сильно здорово

_________________
- Может ли настоящий мастер кунг-фу получить по морде?
- Настоящий мастер может все!


Последний раз редактировалось ArmAnn Пт, авг 17 2018, 09:43, всего редактировалось 1 раз.

Принять этот ответ
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Запрет присвоения себе консультантами запрещенных полномочий через отладчик
СообщениеДобавлено: Пт, авг 17 2018, 09:43 
Гуру-модератор
Гуру-модератор
Аватара пользователя

Зарегистрирован:
Пн, окт 11 2004, 21:32
Сообщения: 2454
Пол: Мужской
12ozmdm написал:
Спасибо, коллеги!

ArmAnn написал:
Вроде бы никак.
Рабочий вариант - это наладить мониторинг аудит лога с выдачей люлей отличившимся.

А можно поподробнее? Как наладить мониторинг?

У нас крутится z-программа, которая смотрит в аудит лог за истекшие сутки и при наличии нежелательных событий шлет уведомление админам. А те уже смотрят насколько событие критично и при необходимости эскалируют. Например изменение данных под отладкой в разработке и тесте - обычное дело, но изменение данных в su01 в той же разработке - уже повод спросить человека чего он хотел добиться.

_________________
- Может ли настоящий мастер кунг-фу получить по морде?
- Настоящий мастер может все!


Принять этот ответ
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Запрет присвоения себе консультантами запрещенных полномочий через отладчик
СообщениеДобавлено: Пт, авг 17 2018, 10:13 
Почетный гуру
Почетный гуру
Аватара пользователя

Зарегистрирован:
Вт, авг 31 2004, 15:57
Сообщения: 5137
Откуда: Ростов невеликий
Пол: Мужской
ArmAnn написал:
[- Настоящий мастер может все! .

что мешает изменить z-программу? 8)

зюыю будь проще, и люди к тебе потянуться

_________________
Нет сегодняшних проблем -
есть вчерашние ошибки
(с)


Принять этот ответ
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Запрет присвоения себе консультантами запрещенных полномочий через отладчик
СообщениеДобавлено: Пт, авг 17 2018, 10:43 
Старший специалист
Старший специалист
Аватара пользователя

Зарегистрирован:
Ср, сен 06 2017, 00:56
Сообщения: 388
Skif написал:
ArmAnn написал:
[- Настоящий мастер может все! .

что мешает изменить z-программу? 8)

зюыю будь проще, и люди к тебе потянуться

незнание её имени?)


Принять этот ответ
Вернуться к началу
 Профиль Отправить email  
 
 Заголовок сообщения: Re: Запрет присвоения себе консультантами запрещенных полномочий через отладчик
СообщениеДобавлено: Пт, авг 17 2018, 10:53 
Гуру-модератор
Гуру-модератор
Аватара пользователя

Зарегистрирован:
Пн, окт 11 2004, 21:32
Сообщения: 2454
Пол: Мужской
Skif написал:
ArmAnn написал:
[- Настоящий мастер может все! .
что мешает изменить z-программу? 8)
Никто естественно. Но когда нибудь это выяснится

Skif написал:
зюыю будь проще, и люди к тебе потянуться
Комментарий не понятен.
Если ты это к тому что 'похрену что там делают в разработке' - то для нас например наличие живой системы разработки очень критично, поток изменений большой.
А если люди себе присваивают админские полномочия чтобы поиграться - то есть риск что доиграются до того что положат систему, что означает срывы сроков, не вовремя вылеченные ошибки и тд. Поэтому нафиг-нафиг, лучше я вовремя по голове таким дам.
А если уж нужны полномочия для дела - такое решается штатным путем, без особых проблем.

_________________
- Может ли настоящий мастер кунг-фу получить по морде?
- Настоящий мастер может все!


Принять этот ответ
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Запрет присвоения себе консультантами запрещенных полномочий через отладчик
СообщениеДобавлено: Пт, авг 17 2018, 11:30 
Старший специалист
Старший специалист
Аватара пользователя

Зарегистрирован:
Ср, сен 06 2017, 00:56
Сообщения: 388
Обернуть код в макрос, и никакой карандаш не поможет


Принять этот ответ
Вернуться к началу
 Профиль Отправить email  
 
 Заголовок сообщения: Re: Запрет присвоения себе консультантами запрещенных полномочий через отладчик
СообщениеДобавлено: Пт, авг 17 2018, 12:24 
Почетный гуру
Почетный гуру
Аватара пользователя

Зарегистрирован:
Вт, авг 31 2004, 15:57
Сообщения: 5137
Откуда: Ростов невеликий
Пол: Мужской
ArmAnn написал:
Комментарий не понятен.
вернее было бы - "надо верить людям" :)
т.е. зачем работать с теми, кто может позволить себе такое хамство (даже не знаю как назвать) с заказчиком?

_________________
Нет сегодняшних проблем -
есть вчерашние ошибки
(с)


Принять этот ответ
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Запрет присвоения себе консультантами запрещенных полномочий через отладчик
СообщениеДобавлено: Пт, авг 17 2018, 17:44 
Гуру-модератор
Гуру-модератор
Аватара пользователя

Зарегистрирован:
Пн, окт 11 2004, 21:32
Сообщения: 2454
Пол: Мужской
Skif написал:
вернее было бы - "надо верить людям" :)
т.е. зачем работать с теми, кто может позволить себе такое хамство (даже не знаю как назвать) с заказчиком?
Оступиться каждый может :)
Кроме того бывают внешние консалтеры - им по большому счету пофиг что будет там с системой, запрашивать доп. полномочия для них это несусветная бюрократия и могут попробовать решить вопрос 'по быстрому'. И решали кстати, откуда собственно и появилась идея мониторинга.

_________________
- Может ли настоящий мастер кунг-фу получить по морде?
- Настоящий мастер может все!


Принять этот ответ
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Запрет присвоения себе консультантами запрещенных полномочий через отладчик
СообщениеДобавлено: Пт, авг 17 2018, 18:51 
Гуру-эксперт
Гуру-эксперт
Аватара пользователя

Зарегистрирован:
Ср, фев 09 2011, 08:19
Сообщения: 722
Откуда: Сибирь
Пол: Мужской
ArmAnn написал:
У нас крутится z-программа, которая смотрит в аудит лог за истекшие сутки и при наличии нежелательных событий шлет уведомление админам. А те уже смотрят насколько событие критично и при необходимости эскалируют. Например изменение данных под отладкой в разработке и тесте - обычное дело, но изменение данных в su01 в той же разработке - уже повод спросить человека чего он хотел добиться.

А можно пример кода или хотя бы в какую сторону копать(BADI, ФМ и т.д.)?

_________________
ешьте рыбу - в ней фосфор.


Принять этот ответ
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Запрет присвоения себе консультантами запрещенных полномочий через отладчик
СообщениеДобавлено: Пт, авг 17 2018, 19:21 
Почетный гуру
Почетный гуру
Аватара пользователя

Зарегистрирован:
Вт, авг 31 2004, 15:57
Сообщения: 5137
Откуда: Ростов невеликий
Пол: Мужской
ArmAnn написал:
Кроме того бывают внешние консалтеры - им по большому счету пофиг что будет там с системой,

напоминает ужастики про "вездесущих русских хакерах" - "не верю" (с) Станиславский

или консалт это - "украл-выпил-в тюрьму"?

Да ничего с системой не будет - на то и базис -

p.p.s. жара жесть, выходить из кондея страшно :pivo:

_________________
Нет сегодняшних проблем -
есть вчерашние ошибки
(с)


Принять этот ответ
Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 18 ]  На страницу 1, 2  След.

Часовой пояс: UTC + 4 часа


Кто сейчас на конференции

Сейчас этот форум просматривают: Google [Bot]


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
cron
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
Русская поддержка phpBB