Текущее время: Пт, мар 29 2024, 10:02

Часовой пояс: UTC + 3 часа


Правила форума


ВНИМАНИЕ! Прежде чем задавать вопрос, ознакомьтесь со ссылками ниже:

Вопросы по отличиям версий SAP, Add-On, EHP - сюда
Вопросы по SAP Front End (SAPlogon, SAPgui, guiXT и т.д.) - сюда
Вопросы по LSMW - сюда
Вопросы по архивации в SAP - сюда
Вопросы по SAP GRC - сюда
Вопросы по SAP Business Workplace (почте SAP) и SAP Office - сюда
Вопросы по miniSAP (SAP mini basis) - сюда
Вопросы по SAP HANA - сюда
Вопросы по лицензированию продуктов SAP - сюда



Начать новую тему Ответить на тему  [ Сообщений: 18 ]  На страницу 1, 2  След.
Автор Сообщение
 Заголовок сообщения: Запрет присвоения себе консультантами запрещенных полномочий через отладчик
СообщениеДобавлено: Чт, авг 16 2018, 14:50 
Гуру-эксперт
Гуру-эксперт
Аватара пользователя

Зарегистрирован:
Ср, фев 09 2011, 07:19
Сообщения: 752
Откуда: Сибирь
Пол: Мужской
Коллеги, привет.
Подскажите, пожалуйста, как можно в разработке разграничить полномочия на отладку (объект авторизации S_DEVELOP, тип объекта DEBUG), чтобы консультанты не могли получить неразрешенные им полномочия через отладчик? Какие есть способы?

_________________
Ешьте рыбу, в ней фосфор.
__
Чат в Telegram по SAP BW: http://t.me/BW_SAP


Принять этот ответ
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Запрет присвоения себе консультантами запрещенных полномочий через отладчик
СообщениеДобавлено: Чт, авг 16 2018, 17:55 
Гуру-модератор
Гуру-модератор
Аватара пользователя

Зарегистрирован:
Пн, окт 11 2004, 20:32
Сообщения: 2470
Пол: Мужской
Вроде бы никак.
Рабочий вариант - это наладить мониторинг аудит лога с выдачей люлей отличившимся.

_________________
- Может ли настоящий мастер кунг-фу получить по морде?
- Настоящий мастер может все!


Принять этот ответ
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Запрет присвоения себе консультантами запрещенных полномочий через отладчик
СообщениеДобавлено: Чт, авг 16 2018, 20:43 
Почетный гуру
Почетный гуру
Аватара пользователя

Зарегистрирован:
Ср, фев 21 2007, 08:50
Сообщения: 1570
Откуда: Пермь
Пол: Мужской
Я правильно понимаю, что задача стоит такая: оставить полномочия на отладку, но забрать "карандаш"? Если так, то вроде бы решается.
В S_DEVELOP тип объекта DEBUG отвечает именно за полномочия отладки, все верно.
При наличии ACTVT = 03 можно отлаживать, но не будет возможности изменять по карандашу.
В этом свете не очень понятен смысл ACTVT = 01, потому что 02 отвечает ясно за что - именно за карандаш.
03 дает дебужить и устанавливать точки прерывания и наблюдения (а что еще нужно для счастья).
Я поэкспериментировал, удалил 02 - карандаш, разумеется, пропал, но по-прежнему можно спокойно дебужить.
Так что если я верно понял вопрос, то ответ такой.

А если речь идет о том, чтобы карандаш консам оставить, но запретить только изменение по карандашу своих других полномочий, то тут сложнее, конечно.
Хотя, мне кажется, русский человек и не такое ломал :mrgreen: Так что рискну предположить, что решить вопрос можно, просто залезть придется слишком глубоко.

p.s.
- Да не ковыряйтесь вы в носу, детей не будет.
- Да я не глубоко
(с) КВН

_________________
Алё, это Пакистан? Нам нужен один килограмм


Принять этот ответ
Вернуться к началу
 Профиль Отправить email  
 
 Заголовок сообщения: Re: Запрет присвоения себе консультантами запрещенных полномочий через отладчик
СообщениеДобавлено: Пт, авг 17 2018, 01:15 
Модератор
Модератор

Зарегистрирован:
Пт, окт 06 2006, 15:20
Сообщения: 338
Откуда: Москва
Пол: Мужской
ArmAnn написал:
Вроде бы никак.
Рабочий вариант - это наладить мониторинг аудит лога с выдачей люлей отличившимся.

..
Друзья, окститесь. Это же разработка - пусть развлекаются. Ни капли, не жалко...


Принять этот ответ
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Запрет присвоения себе консультантами запрещенных полномочий через отладчик
СообщениеДобавлено: Пт, авг 17 2018, 06:03 
Гуру-эксперт
Гуру-эксперт
Аватара пользователя

Зарегистрирован:
Ср, фев 09 2011, 07:19
Сообщения: 752
Откуда: Сибирь
Пол: Мужской
Спасибо, коллеги!

ArmAnn написал:
Вроде бы никак.
Рабочий вариант - это наладить мониторинг аудит лога с выдачей люлей отличившимся.

А можно поподробнее? Как наладить мониторинг?

_________________
Ешьте рыбу, в ней фосфор.
__
Чат в Telegram по SAP BW: http://t.me/BW_SAP


Принять этот ответ
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Запрет присвоения себе консультантами запрещенных полномочий через отладчик
СообщениеДобавлено: Пт, авг 17 2018, 08:33 
Гуру-модератор
Гуру-модератор
Аватара пользователя

Зарегистрирован:
Пн, окт 11 2004, 20:32
Сообщения: 2470
Пол: Мужской
bdmalex написал:
ArmAnn написал:
Вроде бы никак.
Рабочий вариант - это наладить мониторинг аудит лога с выдачей люлей отличившимся.

..
Друзья, окститесь. Это же разработка - пусть развлекаются. Ни капли, не жалко...

Да как бэ... самовольное присвоение sap all даже в разработке тоже не сильно здорово

_________________
- Может ли настоящий мастер кунг-фу получить по морде?
- Настоящий мастер может все!


Последний раз редактировалось ArmAnn Пт, авг 17 2018, 08:43, всего редактировалось 1 раз.

Принять этот ответ
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Запрет присвоения себе консультантами запрещенных полномочий через отладчик
СообщениеДобавлено: Пт, авг 17 2018, 08:43 
Гуру-модератор
Гуру-модератор
Аватара пользователя

Зарегистрирован:
Пн, окт 11 2004, 20:32
Сообщения: 2470
Пол: Мужской
12ozmdm написал:
Спасибо, коллеги!

ArmAnn написал:
Вроде бы никак.
Рабочий вариант - это наладить мониторинг аудит лога с выдачей люлей отличившимся.

А можно поподробнее? Как наладить мониторинг?

У нас крутится z-программа, которая смотрит в аудит лог за истекшие сутки и при наличии нежелательных событий шлет уведомление админам. А те уже смотрят насколько событие критично и при необходимости эскалируют. Например изменение данных под отладкой в разработке и тесте - обычное дело, но изменение данных в su01 в той же разработке - уже повод спросить человека чего он хотел добиться.

_________________
- Может ли настоящий мастер кунг-фу получить по морде?
- Настоящий мастер может все!


Принять этот ответ
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Запрет присвоения себе консультантами запрещенных полномочий через отладчик
СообщениеДобавлено: Пт, авг 17 2018, 09:13 
Почетный гуру
Почетный гуру
Аватара пользователя

Зарегистрирован:
Вт, авг 31 2004, 14:57
Сообщения: 5257
Откуда: Ростов невеликий
Пол: Мужской
ArmAnn написал:
[- Настоящий мастер может все! .

что мешает изменить z-программу? 8)

зюыю будь проще, и люди к тебе потянуться

_________________
Нет сегодняшних проблем -
есть вчерашние ошибки
(с)


Принять этот ответ
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Запрет присвоения себе консультантами запрещенных полномочий через отладчик
СообщениеДобавлено: Пт, авг 17 2018, 09:43 
Менеджер
Менеджер
Аватара пользователя

Зарегистрирован:
Вт, сен 05 2017, 23:56
Сообщения: 537
Skif написал:
ArmAnn написал:
[- Настоящий мастер может все! .

что мешает изменить z-программу? 8)

зюыю будь проще, и люди к тебе потянуться

незнание её имени?)


Принять этот ответ
Вернуться к началу
 Профиль Отправить email  
 
 Заголовок сообщения: Re: Запрет присвоения себе консультантами запрещенных полномочий через отладчик
СообщениеДобавлено: Пт, авг 17 2018, 09:53 
Гуру-модератор
Гуру-модератор
Аватара пользователя

Зарегистрирован:
Пн, окт 11 2004, 20:32
Сообщения: 2470
Пол: Мужской
Skif написал:
ArmAnn написал:
[- Настоящий мастер может все! .
что мешает изменить z-программу? 8)
Никто естественно. Но когда нибудь это выяснится

Skif написал:
зюыю будь проще, и люди к тебе потянуться
Комментарий не понятен.
Если ты это к тому что 'похрену что там делают в разработке' - то для нас например наличие живой системы разработки очень критично, поток изменений большой.
А если люди себе присваивают админские полномочия чтобы поиграться - то есть риск что доиграются до того что положат систему, что означает срывы сроков, не вовремя вылеченные ошибки и тд. Поэтому нафиг-нафиг, лучше я вовремя по голове таким дам.
А если уж нужны полномочия для дела - такое решается штатным путем, без особых проблем.

_________________
- Может ли настоящий мастер кунг-фу получить по морде?
- Настоящий мастер может все!


Принять этот ответ
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Запрет присвоения себе консультантами запрещенных полномочий через отладчик
СообщениеДобавлено: Пт, авг 17 2018, 10:30 
Менеджер
Менеджер
Аватара пользователя

Зарегистрирован:
Вт, сен 05 2017, 23:56
Сообщения: 537
Обернуть код в макрос, и никакой карандаш не поможет


Принять этот ответ
Вернуться к началу
 Профиль Отправить email  
 
 Заголовок сообщения: Re: Запрет присвоения себе консультантами запрещенных полномочий через отладчик
СообщениеДобавлено: Пт, авг 17 2018, 11:24 
Почетный гуру
Почетный гуру
Аватара пользователя

Зарегистрирован:
Вт, авг 31 2004, 14:57
Сообщения: 5257
Откуда: Ростов невеликий
Пол: Мужской
ArmAnn написал:
Комментарий не понятен.
вернее было бы - "надо верить людям" :)
т.е. зачем работать с теми, кто может позволить себе такое хамство (даже не знаю как назвать) с заказчиком?

_________________
Нет сегодняшних проблем -
есть вчерашние ошибки
(с)


Принять этот ответ
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Запрет присвоения себе консультантами запрещенных полномочий через отладчик
СообщениеДобавлено: Пт, авг 17 2018, 16:44 
Гуру-модератор
Гуру-модератор
Аватара пользователя

Зарегистрирован:
Пн, окт 11 2004, 20:32
Сообщения: 2470
Пол: Мужской
Skif написал:
вернее было бы - "надо верить людям" :)
т.е. зачем работать с теми, кто может позволить себе такое хамство (даже не знаю как назвать) с заказчиком?
Оступиться каждый может :)
Кроме того бывают внешние консалтеры - им по большому счету пофиг что будет там с системой, запрашивать доп. полномочия для них это несусветная бюрократия и могут попробовать решить вопрос 'по быстрому'. И решали кстати, откуда собственно и появилась идея мониторинга.

_________________
- Может ли настоящий мастер кунг-фу получить по морде?
- Настоящий мастер может все!


Принять этот ответ
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Запрет присвоения себе консультантами запрещенных полномочий через отладчик
СообщениеДобавлено: Пт, авг 17 2018, 17:51 
Гуру-эксперт
Гуру-эксперт
Аватара пользователя

Зарегистрирован:
Ср, фев 09 2011, 07:19
Сообщения: 752
Откуда: Сибирь
Пол: Мужской
ArmAnn написал:
У нас крутится z-программа, которая смотрит в аудит лог за истекшие сутки и при наличии нежелательных событий шлет уведомление админам. А те уже смотрят насколько событие критично и при необходимости эскалируют. Например изменение данных под отладкой в разработке и тесте - обычное дело, но изменение данных в su01 в той же разработке - уже повод спросить человека чего он хотел добиться.

А можно пример кода или хотя бы в какую сторону копать(BADI, ФМ и т.д.)?

_________________
Ешьте рыбу, в ней фосфор.
__
Чат в Telegram по SAP BW: http://t.me/BW_SAP


Принять этот ответ
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Запрет присвоения себе консультантами запрещенных полномочий через отладчик
СообщениеДобавлено: Пт, авг 17 2018, 18:21 
Почетный гуру
Почетный гуру
Аватара пользователя

Зарегистрирован:
Вт, авг 31 2004, 14:57
Сообщения: 5257
Откуда: Ростов невеликий
Пол: Мужской
ArmAnn написал:
Кроме того бывают внешние консалтеры - им по большому счету пофиг что будет там с системой,

напоминает ужастики про "вездесущих русских хакерах" - "не верю" (с) Станиславский

или консалт это - "украл-выпил-в тюрьму"?

Да ничего с системой не будет - на то и базис -

p.p.s. жара жесть, выходить из кондея страшно :pivo:

_________________
Нет сегодняшних проблем -
есть вчерашние ошибки
(с)


Принять этот ответ
Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 18 ]  На страницу 1, 2  След.

Часовой пояс: UTC + 3 часа


Кто сейчас на конференции

Сейчас этот форум просматривают: Google [Bot]


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
cron
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
Русская поддержка phpBB