Текущее время: Вт, мар 19 2024, 08:26

Часовой пояс: UTC + 3 часа


Правила форума


ВНИМАНИЕ! Прежде чем задавать вопрос, ознакомьтесь со ссылками ниже:

Вопросы по отличиям версий SAP, Add-On, EHP - сюда
Вопросы по SAP Front End (SAPlogon, SAPgui, guiXT и т.д.) - сюда
Вопросы по LSMW - сюда
Вопросы по архивации в SAP - сюда
Вопросы по SAP GRC - сюда
Вопросы по SAP Business Workplace (почте SAP) и SAP Office - сюда
Вопросы по miniSAP (SAP mini basis) - сюда
Вопросы по SAP HANA - сюда
Вопросы по лицензированию продуктов SAP - сюда



Начать новую тему Ответить на тему  [ Сообщений: 18 ]  На страницу 1, 2  След.
Автор Сообщение
 Заголовок сообщения: Запрет присвоения себе консультантами запрещенных полномочий через отладчик
СообщениеДобавлено: Чт, авг 16 2018, 14:50 
Гуру-эксперт
Гуру-эксперт
Аватара пользователя

Зарегистрирован:
Ср, фев 09 2011, 07:19
Сообщения: 752
Откуда: Сибирь
Пол: Мужской
Коллеги, привет.
Подскажите, пожалуйста, как можно в разработке разграничить полномочия на отладку (объект авторизации S_DEVELOP, тип объекта DEBUG), чтобы консультанты не могли получить неразрешенные им полномочия через отладчик? Какие есть способы?

_________________
Ешьте рыбу, в ней фосфор.
__
Чат в Telegram по SAP BW: http://t.me/BW_SAP


Принять этот ответ
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Запрет присвоения себе консультантами запрещенных полномочий через отладчик
СообщениеДобавлено: Чт, авг 16 2018, 17:55 
Гуру-модератор
Гуру-модератор
Аватара пользователя

Зарегистрирован:
Пн, окт 11 2004, 20:32
Сообщения: 2470
Пол: Мужской
Вроде бы никак.
Рабочий вариант - это наладить мониторинг аудит лога с выдачей люлей отличившимся.

_________________
- Может ли настоящий мастер кунг-фу получить по морде?
- Настоящий мастер может все!


Принять этот ответ
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Запрет присвоения себе консультантами запрещенных полномочий через отладчик
СообщениеДобавлено: Чт, авг 16 2018, 20:43 
Почетный гуру
Почетный гуру
Аватара пользователя

Зарегистрирован:
Ср, фев 21 2007, 08:50
Сообщения: 1565
Откуда: Пермь
Пол: Мужской
Я правильно понимаю, что задача стоит такая: оставить полномочия на отладку, но забрать "карандаш"? Если так, то вроде бы решается.
В S_DEVELOP тип объекта DEBUG отвечает именно за полномочия отладки, все верно.
При наличии ACTVT = 03 можно отлаживать, но не будет возможности изменять по карандашу.
В этом свете не очень понятен смысл ACTVT = 01, потому что 02 отвечает ясно за что - именно за карандаш.
03 дает дебужить и устанавливать точки прерывания и наблюдения (а что еще нужно для счастья).
Я поэкспериментировал, удалил 02 - карандаш, разумеется, пропал, но по-прежнему можно спокойно дебужить.
Так что если я верно понял вопрос, то ответ такой.

А если речь идет о том, чтобы карандаш консам оставить, но запретить только изменение по карандашу своих других полномочий, то тут сложнее, конечно.
Хотя, мне кажется, русский человек и не такое ломал :mrgreen: Так что рискну предположить, что решить вопрос можно, просто залезть придется слишком глубоко.

p.s.
- Да не ковыряйтесь вы в носу, детей не будет.
- Да я не глубоко
(с) КВН

_________________
Алё, это Пакистан? Нам нужен один килограмм


Принять этот ответ
Вернуться к началу
 Профиль Отправить email  
 
 Заголовок сообщения: Re: Запрет присвоения себе консультантами запрещенных полномочий через отладчик
СообщениеДобавлено: Пт, авг 17 2018, 01:15 
Модератор
Модератор

Зарегистрирован:
Пт, окт 06 2006, 15:20
Сообщения: 338
Откуда: Москва
Пол: Мужской
ArmAnn написал:
Вроде бы никак.
Рабочий вариант - это наладить мониторинг аудит лога с выдачей люлей отличившимся.

..
Друзья, окститесь. Это же разработка - пусть развлекаются. Ни капли, не жалко...


Принять этот ответ
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Запрет присвоения себе консультантами запрещенных полномочий через отладчик
СообщениеДобавлено: Пт, авг 17 2018, 06:03 
Гуру-эксперт
Гуру-эксперт
Аватара пользователя

Зарегистрирован:
Ср, фев 09 2011, 07:19
Сообщения: 752
Откуда: Сибирь
Пол: Мужской
Спасибо, коллеги!

ArmAnn написал:
Вроде бы никак.
Рабочий вариант - это наладить мониторинг аудит лога с выдачей люлей отличившимся.

А можно поподробнее? Как наладить мониторинг?

_________________
Ешьте рыбу, в ней фосфор.
__
Чат в Telegram по SAP BW: http://t.me/BW_SAP


Принять этот ответ
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Запрет присвоения себе консультантами запрещенных полномочий через отладчик
СообщениеДобавлено: Пт, авг 17 2018, 08:33 
Гуру-модератор
Гуру-модератор
Аватара пользователя

Зарегистрирован:
Пн, окт 11 2004, 20:32
Сообщения: 2470
Пол: Мужской
bdmalex написал:
ArmAnn написал:
Вроде бы никак.
Рабочий вариант - это наладить мониторинг аудит лога с выдачей люлей отличившимся.

..
Друзья, окститесь. Это же разработка - пусть развлекаются. Ни капли, не жалко...

Да как бэ... самовольное присвоение sap all даже в разработке тоже не сильно здорово

_________________
- Может ли настоящий мастер кунг-фу получить по морде?
- Настоящий мастер может все!


Последний раз редактировалось ArmAnn Пт, авг 17 2018, 08:43, всего редактировалось 1 раз.

Принять этот ответ
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Запрет присвоения себе консультантами запрещенных полномочий через отладчик
СообщениеДобавлено: Пт, авг 17 2018, 08:43 
Гуру-модератор
Гуру-модератор
Аватара пользователя

Зарегистрирован:
Пн, окт 11 2004, 20:32
Сообщения: 2470
Пол: Мужской
12ozmdm написал:
Спасибо, коллеги!

ArmAnn написал:
Вроде бы никак.
Рабочий вариант - это наладить мониторинг аудит лога с выдачей люлей отличившимся.

А можно поподробнее? Как наладить мониторинг?

У нас крутится z-программа, которая смотрит в аудит лог за истекшие сутки и при наличии нежелательных событий шлет уведомление админам. А те уже смотрят насколько событие критично и при необходимости эскалируют. Например изменение данных под отладкой в разработке и тесте - обычное дело, но изменение данных в su01 в той же разработке - уже повод спросить человека чего он хотел добиться.

_________________
- Может ли настоящий мастер кунг-фу получить по морде?
- Настоящий мастер может все!


Принять этот ответ
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Запрет присвоения себе консультантами запрещенных полномочий через отладчик
СообщениеДобавлено: Пт, авг 17 2018, 09:13 
Почетный гуру
Почетный гуру
Аватара пользователя

Зарегистрирован:
Вт, авг 31 2004, 14:57
Сообщения: 5257
Откуда: Ростов невеликий
Пол: Мужской
ArmAnn написал:
[- Настоящий мастер может все! .

что мешает изменить z-программу? 8)

зюыю будь проще, и люди к тебе потянуться

_________________
Нет сегодняшних проблем -
есть вчерашние ошибки
(с)


Принять этот ответ
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Запрет присвоения себе консультантами запрещенных полномочий через отладчик
СообщениеДобавлено: Пт, авг 17 2018, 09:43 
Менеджер
Менеджер
Аватара пользователя

Зарегистрирован:
Вт, сен 05 2017, 23:56
Сообщения: 537
Skif написал:
ArmAnn написал:
[- Настоящий мастер может все! .

что мешает изменить z-программу? 8)

зюыю будь проще, и люди к тебе потянуться

незнание её имени?)


Принять этот ответ
Вернуться к началу
 Профиль Отправить email  
 
 Заголовок сообщения: Re: Запрет присвоения себе консультантами запрещенных полномочий через отладчик
СообщениеДобавлено: Пт, авг 17 2018, 09:53 
Гуру-модератор
Гуру-модератор
Аватара пользователя

Зарегистрирован:
Пн, окт 11 2004, 20:32
Сообщения: 2470
Пол: Мужской
Skif написал:
ArmAnn написал:
[- Настоящий мастер может все! .
что мешает изменить z-программу? 8)
Никто естественно. Но когда нибудь это выяснится

Skif написал:
зюыю будь проще, и люди к тебе потянуться
Комментарий не понятен.
Если ты это к тому что 'похрену что там делают в разработке' - то для нас например наличие живой системы разработки очень критично, поток изменений большой.
А если люди себе присваивают админские полномочия чтобы поиграться - то есть риск что доиграются до того что положат систему, что означает срывы сроков, не вовремя вылеченные ошибки и тд. Поэтому нафиг-нафиг, лучше я вовремя по голове таким дам.
А если уж нужны полномочия для дела - такое решается штатным путем, без особых проблем.

_________________
- Может ли настоящий мастер кунг-фу получить по морде?
- Настоящий мастер может все!


Принять этот ответ
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Запрет присвоения себе консультантами запрещенных полномочий через отладчик
СообщениеДобавлено: Пт, авг 17 2018, 10:30 
Менеджер
Менеджер
Аватара пользователя

Зарегистрирован:
Вт, сен 05 2017, 23:56
Сообщения: 537
Обернуть код в макрос, и никакой карандаш не поможет


Принять этот ответ
Вернуться к началу
 Профиль Отправить email  
 
 Заголовок сообщения: Re: Запрет присвоения себе консультантами запрещенных полномочий через отладчик
СообщениеДобавлено: Пт, авг 17 2018, 11:24 
Почетный гуру
Почетный гуру
Аватара пользователя

Зарегистрирован:
Вт, авг 31 2004, 14:57
Сообщения: 5257
Откуда: Ростов невеликий
Пол: Мужской
ArmAnn написал:
Комментарий не понятен.
вернее было бы - "надо верить людям" :)
т.е. зачем работать с теми, кто может позволить себе такое хамство (даже не знаю как назвать) с заказчиком?

_________________
Нет сегодняшних проблем -
есть вчерашние ошибки
(с)


Принять этот ответ
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Запрет присвоения себе консультантами запрещенных полномочий через отладчик
СообщениеДобавлено: Пт, авг 17 2018, 16:44 
Гуру-модератор
Гуру-модератор
Аватара пользователя

Зарегистрирован:
Пн, окт 11 2004, 20:32
Сообщения: 2470
Пол: Мужской
Skif написал:
вернее было бы - "надо верить людям" :)
т.е. зачем работать с теми, кто может позволить себе такое хамство (даже не знаю как назвать) с заказчиком?
Оступиться каждый может :)
Кроме того бывают внешние консалтеры - им по большому счету пофиг что будет там с системой, запрашивать доп. полномочия для них это несусветная бюрократия и могут попробовать решить вопрос 'по быстрому'. И решали кстати, откуда собственно и появилась идея мониторинга.

_________________
- Может ли настоящий мастер кунг-фу получить по морде?
- Настоящий мастер может все!


Принять этот ответ
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Запрет присвоения себе консультантами запрещенных полномочий через отладчик
СообщениеДобавлено: Пт, авг 17 2018, 17:51 
Гуру-эксперт
Гуру-эксперт
Аватара пользователя

Зарегистрирован:
Ср, фев 09 2011, 07:19
Сообщения: 752
Откуда: Сибирь
Пол: Мужской
ArmAnn написал:
У нас крутится z-программа, которая смотрит в аудит лог за истекшие сутки и при наличии нежелательных событий шлет уведомление админам. А те уже смотрят насколько событие критично и при необходимости эскалируют. Например изменение данных под отладкой в разработке и тесте - обычное дело, но изменение данных в su01 в той же разработке - уже повод спросить человека чего он хотел добиться.

А можно пример кода или хотя бы в какую сторону копать(BADI, ФМ и т.д.)?

_________________
Ешьте рыбу, в ней фосфор.
__
Чат в Telegram по SAP BW: http://t.me/BW_SAP


Принять этот ответ
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Запрет присвоения себе консультантами запрещенных полномочий через отладчик
СообщениеДобавлено: Пт, авг 17 2018, 18:21 
Почетный гуру
Почетный гуру
Аватара пользователя

Зарегистрирован:
Вт, авг 31 2004, 14:57
Сообщения: 5257
Откуда: Ростов невеликий
Пол: Мужской
ArmAnn написал:
Кроме того бывают внешние консалтеры - им по большому счету пофиг что будет там с системой,

напоминает ужастики про "вездесущих русских хакерах" - "не верю" (с) Станиславский

или консалт это - "украл-выпил-в тюрьму"?

Да ничего с системой не будет - на то и базис -

p.p.s. жара жесть, выходить из кондея страшно :pivo:

_________________
Нет сегодняшних проблем -
есть вчерашние ошибки
(с)


Принять этот ответ
Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 18 ]  На страницу 1, 2  След.

Часовой пояс: UTC + 3 часа


Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
cron
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
Русская поддержка phpBB