SAP 슈퍼유저 SAP* 긴급 활성화__Emergency Activating a Super-User SAP* in SAP

SAP 에서 가장 기본이 되는 슈퍼유저는 SAP* 이다.

시스템을 신규 설치했을 때나, 클라이언트를 신규 생성했을 때, 아무런 유저정보가 없는 곳에서도 SAP* 로 접속이 가능하다.

SAP* 계정의 Default Password 는 pass 이다. (예전 버전의 경우 06071992)

이러한 동작이 가능한 이유는 SAP* 는 실존하는 계정이 아니라, 특정한 패스워드를 갖는 SAP 시스템에 하드 코딩된 계정이기 때문이다.

따라서, SAP* 계정은 기본 패스워드만 알면 누구나 접속할 수 있기 때문에 다음과 같은 조치로 접근을 막아야 한다.

1. (ABAP) 프로파일 파라미터 login/no_automatic_user_sapstar 를 통해 SAP* 계정 비활성화

2. (JAVA) Configtool -> (Global server config) -> Services -> com.sap.security.core.ume.services 에서
   ume.superadmin.activated/ ume.superadmin.password 조치

3. 유저 마스터 레코드에 SAP* 계정을 신규로 생성하여 기본 패스워드가 아닌, 새로운 패스워드를 사용하거나 계정 잠금 조치
   (쉽게 설명하여, SAP* 계정을 별도로 만드는 것)

SAP* 계정 비활성화 조치를 한 시스템에서 긴급으로 SAP* 계정에 접속할 일이 생길 수 있다. (라이선스 이슈, 모든 관리자 계정 잠김 등등)

이러한 긴급상황에서 SAP* 계정에 접속하기 위한 방법을 서술한다.

자세한 내용은 아래 Notes 를 참조하기 바란다.

• SAP Notes 2383 - Documentation: description of "super user" SAP*
• SAP Notes 3303172 - Activating a Super-User SAP*
• SAP Notes 68048 - Deactivating the automatic SAP* user

---

1. As ABAP 시스템

1-1. 파라미터 login/no_automatic_user_sapstar 수정

✅ SAP Kernel 700 이상

1. 로그온 하려는 클라이언트에 SAP* 계정이 있다면 해당 계정을 삭제해야 한다.
   삭제는 DB 에 직접 접근해서 처리해야 한다.
   Oracle 의 경우 sapsr3 계정으로 수행하고,
   HANA 의 경우 대상 시스템 TENANT DB SAPHANADB(버전에 따라 SAPABAP1) 계정으로 수행한다.

   DELETE FROM USR02 
    WHERE MANDT = <대상 클라이언트> 
      AND BNAME = 'SAP*';

2. OS 상에서 프로파일 파라미터 수정
   cdpro
vi DEFAULT.PFL 또는 각 인스턴스 프로파일
   login/no_automatic_user_sapstar = 0

3. SAP 서비스 리스타트

4. 서비스 시작 후, SAP* 로그인

5. 조치 후, SAP* 계정 비활성화

---

1-2. 가상 SAP* 계정

✅ SAP Kernel 790 이상

가상 SAP* (Virtual SAP*) 계정은 특정 클라이언트에 시간 제한이 있는 일회용 SAP* 계정이다.

1. OS 에 <SID>adm 으로 로그인
2. DPMON 을 사용하여 클라이언트 별 가상 SAP* 를 활성화 한다.
   유효기간은 10~30분 사이로 선택할 수 있으며, 활성화에 성공하면 일회용 비밀번호를 발급 받게 된다.
3. 발급 받은 일회용 비밀번호를 사용하여 SAP* 로그인

• 발급 받은 일회용 비밀번호는 가상 SAP* 로그인 시도 시, 성공/실패 여부와 관계없이 무효화되므로, 만약 로그인 실패 시, DPMON 에서 다시 활성화 해야 한다.

• 가상 SAP* 는 기존에 유저 마스터 레코드에 SAP* 계정이 있어도, 이를 덮어씌어 활성화되기 때문에, 따로 SAP* 계정을 삭제해줄 필요가 없다.

• DPMON 을 통해서, 어떤 클라이언트에 가상 SAP* 계정이 존재하는지, 일회용 패스워드가 유효한지, 조기에 삭제할 수 있는지 등을 확인할 수 있다.

• 가상 SAP* 활성화 및 사용은 Audit Log 에 기록된다.

---

2. As JAVA 시스템

만약 JAVA+ABAP 스택 시스템이라면, 1번으로도 동일하게 SAP* 에 접속할 수 있다.

JAVA 시스템 Configtool 접속

Configtool 에 대한 자세한 설명은 아래 글을 참조하기 바란다.

• SAP JAVA 시스템 Configtool, Visual Administrator 사용방법

Configtool
-> Global server config
-> Services
-> com.sap.security.core.ume.services

-> ume.superadmin.activated = true
-> ume.superadmin.password = <Password>

설정값 변경 이 후, JAVA 서비스를 리스타트 하면 SAP* 계정이 활성화 된다.

❗❗❗❗ JAVA 시스템에서 SAP* 계정을 활성화하면 다른 모든 사용자들은 비활성화되어 접속할 수 없게 된다. 따라서, 긴급조치 이 후 반드시 SAP* 계정을 다시 비활성화 해줘야 한다.

자세한 사항은 아래 Notes 를 참조하기 바란다.

• SAP Notes 669848 - Unlocking the Administrator User on the J2EE Engine/AS Java