ich bin darüber gestolpert, dass es eine Reihe von FBs im Namensbereich BAPU_USER_* gibt, mit denen man User umfassend ändern kann. Ich frage mich, ob man diese einfach so nutzen kann bzw. wie das sicherheitstechnisch zu bewerten ist.
Wenn wir z.B. man den FB BAPI_USER_CHANGE nehmen. Damit kann man u.a. das Passwort und den Referenzbenutzer eines Users ändern. Damit könnte man nach meinen naiven Überlegungen sich per Passwortänderung eigentlich Zugriff auf jede Userkennung verschaffen oder dem eigenen User einen Referenzbenutzer zuordnen, der mit feisten Rechten ausgestattet ist und die man dann erbt. Kann jedes x-beliebige externe System, das den SAP-Server per RFC erreichen kann, diese Bausteine nutzen? Wie ist das sicherheitstechnisch zu bewerten?
mit diesen Bausteinen kann man via RFC ziemlich viele Schweinereien anstellen, sofern der in der RFC-Verbindung eingetragene User über die erforderlichen Berechtigungen verfügt. Diese Berechtigungen sollten zumindest auf Produktiv-Systemen recht sparsam verteilt werden.
Diese RFC-Aufrufe werden aber auch in den Monitoring-Daten protokolliert (siehe ST03). Somit kann man auch nachvollziehen, wer was von welchem System aus rumgeferkelt hat.
Dann haste auf Deinem ZBV-System einen Protokolleintrag, dass der Batchuser vom Produktivsystem zugegriffen hat, und dann stehste da wie die Kuh vor'm neuen Tor.