SAP 시스템에서 정기 PM 이나 유지보수 작업 등으로 인해서 사용자의 접속을 제한해야 할 때가 있다.
관리자 계정을 제외하고 모든 계정을 잠금 처리함으로써 사용자의 접속을 막을 수 있지만,
해당 방법은 잠금 이력을 관리하기가 힘들고 (기 잠금된 계정들에 대해서 따로 기록이 필요함), 사용자 계정이 많다면, 잠금/ 잠금 해제 시에 약간의 시간이 소요된다.
따라서, 보안 정책(Security Policy) 를 통해서 유지보수 작업 시, 사용자의 로그인을 제한할 수 있는 방법에 대해서 서술한다.
✅ 해당 방법은 SAP Kernel 721, 740, 741 이상 및 SAP_BASIS 731 이상에서 적용 가능하다.
자세한 사항은 아래 Notes 를 참고하기 바란다.
SAP Notes 1891583 - Restricting logon to the application server
SAP Notes 2065596 - Restricting logons to application server
Tcode : SECPOL
-> 상단 메뉴 Display->Change(Ctrl+F1) 클릭
-> 좌측 메뉴트리 Dialog Structure 에서 Security Policy 선택
-> 상단 메뉴 New Entries 클릭
-> 신규 보안 정책 이름 및 설명 입력 후, 저장
-> 우측 Security Policy 에서 신규 생성한 보안 정책 선택
-> 좌측 Dialog Structure 에서 Attributes 더블 클릭
-> 상단 메뉴 New Entries 클릭
-> Attributes - Policy Attribute Name : SERVER_LOGON_PRIVILEGE
-> Attributes - Attrib. Value : 1
-> 저장
Tcode : SU10 (또는 SU01)
Tcode SU10 , 또는 SU01 을 사용해 계정 정보 Logon Data - Security Policy 에 1번에서 생성한 신규 보안 정책 할당
1번 2번을 통해 사전 작업은 완료되었고,
이제 프로파일 파라미터 login/server_logon_restriction 의 값 변경을 통해 사용자들의 접근을 제한할 수 있다.
파라미터 login/server_logon_restriction 는 Dynamic 파라미터이기 때문에 바로바로 값 변경이 적용된다.
파라미터 login/server_logon_restriction 에 설정할 수 있는 값은 다음과 같다.
0 : 제한 없음.
1 : 보안 정책의 속성 값(Attribute) SERVER_LOGON_PRIVILEGE 이 1인 사용자만 로그인 가능
2 : 모든 사용자 로그인 차단
✅ 아래 3, 4 값은 SAP Kernel 741 이상 및 SAP_BASIS 740 SP5 이상에서 적용 가능
3 : 보안 정책의 속성 값(Attribute) SERVER_LOGON_PRIVILEGE 이 1인 사용자만 외부에서 시스템으로 로그인 가능
4 : 모든 사용자 외부 로그인 차단
외부 로그인은 다음을 제외한 모든 로그인을 뜻한다.
- Batch/job step
- Session restore
- Switchback
- ABAP Puch Channel
- Internal RFC (Remote Function Call)
- HTTP Security Session
또한 아래와 같은 사항에 대해서도 참고하기 바란다.
파라미터 login/server_logon_restriction 를 동적으로 변경해도, 기존에 접속해 있던 사용자는 로그오프 되지 않으며, 신규 로그인만 차단된다.
SAP* 계정은 어떤 경우에도 접속이 가능하다.