SAPфорум.RU https://sapboard.ru/forum/ |
|
Запрет присвоения себе консультантами запрещенных полномочий через отладчик https://sapboard.ru/forum/viewtopic.php?f=14&t=96722 |
Страница 1 из 2 |
Автор: | 12ozmdm [ Чт, авг 16 2018, 14:50 ] |
Заголовок сообщения: | Запрет присвоения себе консультантами запрещенных полномочий через отладчик |
Коллеги, привет. Подскажите, пожалуйста, как можно в разработке разграничить полномочия на отладку (объект авторизации S_DEVELOP, тип объекта DEBUG), чтобы консультанты не могли получить неразрешенные им полномочия через отладчик? Какие есть способы? |
Автор: | ArmAnn [ Чт, авг 16 2018, 17:55 ] |
Заголовок сообщения: | Re: Запрет присвоения себе консультантами запрещенных полномочий через отладчик |
Вроде бы никак. Рабочий вариант - это наладить мониторинг аудит лога с выдачей люлей отличившимся. |
Автор: | Yozhhhhh [ Чт, авг 16 2018, 20:43 ] |
Заголовок сообщения: | Re: Запрет присвоения себе консультантами запрещенных полномочий через отладчик |
Я правильно понимаю, что задача стоит такая: оставить полномочия на отладку, но забрать "карандаш"? Если так, то вроде бы решается. В S_DEVELOP тип объекта DEBUG отвечает именно за полномочия отладки, все верно. При наличии ACTVT = 03 можно отлаживать, но не будет возможности изменять по карандашу. В этом свете не очень понятен смысл ACTVT = 01, потому что 02 отвечает ясно за что - именно за карандаш. 03 дает дебужить и устанавливать точки прерывания и наблюдения (а что еще нужно для счастья). Я поэкспериментировал, удалил 02 - карандаш, разумеется, пропал, но по-прежнему можно спокойно дебужить. Так что если я верно понял вопрос, то ответ такой. А если речь идет о том, чтобы карандаш консам оставить, но запретить только изменение по карандашу своих других полномочий, то тут сложнее, конечно. Хотя, мне кажется, русский человек и не такое ломал Так что рискну предположить, что решить вопрос можно, просто залезть придется слишком глубоко. p.s. - Да не ковыряйтесь вы в носу, детей не будет. - Да я не глубоко (с) КВН |
Автор: | bdmalex [ Пт, авг 17 2018, 01:15 ] |
Заголовок сообщения: | Re: Запрет присвоения себе консультантами запрещенных полномочий через отладчик |
ArmAnn написал: Вроде бы никак. Рабочий вариант - это наладить мониторинг аудит лога с выдачей люлей отличившимся. .. Друзья, окститесь. Это же разработка - пусть развлекаются. Ни капли, не жалко... |
Автор: | 12ozmdm [ Пт, авг 17 2018, 06:03 ] |
Заголовок сообщения: | Re: Запрет присвоения себе консультантами запрещенных полномочий через отладчик |
Спасибо, коллеги! ArmAnn написал: Вроде бы никак. Рабочий вариант - это наладить мониторинг аудит лога с выдачей люлей отличившимся. А можно поподробнее? Как наладить мониторинг? |
Автор: | ArmAnn [ Пт, авг 17 2018, 08:33 ] |
Заголовок сообщения: | Re: Запрет присвоения себе консультантами запрещенных полномочий через отладчик |
bdmalex написал: ArmAnn написал: Вроде бы никак. Рабочий вариант - это наладить мониторинг аудит лога с выдачей люлей отличившимся. .. Друзья, окститесь. Это же разработка - пусть развлекаются. Ни капли, не жалко... Да как бэ... самовольное присвоение sap all даже в разработке тоже не сильно здорово |
Автор: | ArmAnn [ Пт, авг 17 2018, 08:43 ] |
Заголовок сообщения: | Re: Запрет присвоения себе консультантами запрещенных полномочий через отладчик |
12ozmdm написал: Спасибо, коллеги! ArmAnn написал: Вроде бы никак. Рабочий вариант - это наладить мониторинг аудит лога с выдачей люлей отличившимся. А можно поподробнее? Как наладить мониторинг? У нас крутится z-программа, которая смотрит в аудит лог за истекшие сутки и при наличии нежелательных событий шлет уведомление админам. А те уже смотрят насколько событие критично и при необходимости эскалируют. Например изменение данных под отладкой в разработке и тесте - обычное дело, но изменение данных в su01 в той же разработке - уже повод спросить человека чего он хотел добиться. |
Автор: | Skif [ Пт, авг 17 2018, 09:13 ] |
Заголовок сообщения: | Re: Запрет присвоения себе консультантами запрещенных полномочий через отладчик |
ArmAnn написал: [- Настоящий мастер может все! . что мешает изменить z-программу? зюыю будь проще, и люди к тебе потянуться |
Автор: | Kuranov.Dmitry [ Пт, авг 17 2018, 09:43 ] |
Заголовок сообщения: | Re: Запрет присвоения себе консультантами запрещенных полномочий через отладчик |
Skif написал: ArmAnn написал: [- Настоящий мастер может все! . что мешает изменить z-программу? зюыю будь проще, и люди к тебе потянуться незнание её имени?) |
Автор: | ArmAnn [ Пт, авг 17 2018, 09:53 ] |
Заголовок сообщения: | Re: Запрет присвоения себе консультантами запрещенных полномочий через отладчик |
Skif написал: ArmAnn написал: [- Настоящий мастер может все! . что мешает изменить z-программу? Skif написал: зюыю будь проще, и люди к тебе потянуться Комментарий не понятен. Если ты это к тому что 'похрену что там делают в разработке' - то для нас например наличие живой системы разработки очень критично, поток изменений большой. А если люди себе присваивают админские полномочия чтобы поиграться - то есть риск что доиграются до того что положат систему, что означает срывы сроков, не вовремя вылеченные ошибки и тд. Поэтому нафиг-нафиг, лучше я вовремя по голове таким дам. А если уж нужны полномочия для дела - такое решается штатным путем, без особых проблем. |
Автор: | Kuranov.Dmitry [ Пт, авг 17 2018, 10:30 ] |
Заголовок сообщения: | Re: Запрет присвоения себе консультантами запрещенных полномочий через отладчик |
Обернуть код в макрос, и никакой карандаш не поможет |
Автор: | Skif [ Пт, авг 17 2018, 11:24 ] |
Заголовок сообщения: | Re: Запрет присвоения себе консультантами запрещенных полномочий через отладчик |
ArmAnn написал: Комментарий не понятен. вернее было бы - "надо верить людям" т.е. зачем работать с теми, кто может позволить себе такое хамство (даже не знаю как назвать) с заказчиком? |
Автор: | ArmAnn [ Пт, авг 17 2018, 16:44 ] |
Заголовок сообщения: | Re: Запрет присвоения себе консультантами запрещенных полномочий через отладчик |
Skif написал: вернее было бы - "надо верить людям" Оступиться каждый может т.е. зачем работать с теми, кто может позволить себе такое хамство (даже не знаю как назвать) с заказчиком? Кроме того бывают внешние консалтеры - им по большому счету пофиг что будет там с системой, запрашивать доп. полномочия для них это несусветная бюрократия и могут попробовать решить вопрос 'по быстрому'. И решали кстати, откуда собственно и появилась идея мониторинга. |
Автор: | 12ozmdm [ Пт, авг 17 2018, 17:51 ] |
Заголовок сообщения: | Re: Запрет присвоения себе консультантами запрещенных полномочий через отладчик |
ArmAnn написал: У нас крутится z-программа, которая смотрит в аудит лог за истекшие сутки и при наличии нежелательных событий шлет уведомление админам. А те уже смотрят насколько событие критично и при необходимости эскалируют. Например изменение данных под отладкой в разработке и тесте - обычное дело, но изменение данных в su01 в той же разработке - уже повод спросить человека чего он хотел добиться. А можно пример кода или хотя бы в какую сторону копать(BADI, ФМ и т.д.)? |
Автор: | Skif [ Пт, авг 17 2018, 18:21 ] |
Заголовок сообщения: | Re: Запрет присвоения себе консультантами запрещенных полномочий через отладчик |
ArmAnn написал: Кроме того бывают внешние консалтеры - им по большому счету пофиг что будет там с системой, напоминает ужастики про "вездесущих русских хакерах" - "не верю" (с) Станиславский или консалт это - "украл-выпил-в тюрьму"? Да ничего с системой не будет - на то и базис - p.p.s. жара жесть, выходить из кондея страшно |
Страница 1 из 2 | Часовой пояс: UTC + 3 часа |
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group http://www.phpbb.com/ |