Tabelle für Userpasswort und evtl. entschlüsselung
13 Beiträge
•
Seite 1 von 1
13 Beiträge
Seite 1 von 1
Hallo,
ich suche nun die Tabelle, in der die Userpasswörter drin gespeichert sind.
Zudem müsste ich in erfahrung bringen, wie diese Passwörter verschlüsselt sind!
Das benötige ich um die User, welche in einem Verzeichnisdienst lagern in ein SAP System zu laden.
Für die Passwörter brauche ich also eine Möglichkeit diese zu entschlüsseln!
Ich brfürchte ja, das dies kaum machbar ist, bin aber für jeden Tip sehr dankbar.
Ps.: Weiss jemand, ob die Verschlüsselung von SAP LDAP zu Active Directory gleich sind??
Gruß
Patrick
ich suche nun die Tabelle, in der die Userpasswörter drin gespeichert sind.
Zudem müsste ich in erfahrung bringen, wie diese Passwörter verschlüsselt sind!
Das benötige ich um die User, welche in einem Verzeichnisdienst lagern in ein SAP System zu laden.
Für die Passwörter brauche ich also eine Möglichkeit diese zu entschlüsseln!
Ich brfürchte ja, das dies kaum machbar ist, bin aber für jeden Tip sehr dankbar.
Ps.: Weiss jemand, ob die Verschlüsselung von SAP LDAP zu Active Directory gleich sind??
Gruß
Patrick
Mit freundlichen Grüßen
Partick
Partick
gesponsert ⓘ
Stellenangebote auf ABAPforum.com schalten
kostenfrei für Ausbildungsberufe und Werksstudenten
kostenfrei für Ausbildungsberufe und Werksstudenten
Hi Patrick,
die Kennwörter werden in USR02 gesichert (das aktuelle + die 5 vorherigen).
Eine Entschlüsselung ist nicht möglich!
Gruß, Enno
die Kennwörter werden in USR02 gesichert (das aktuelle + die 5 vorherigen).
Eine Entschlüsselung ist nicht möglich!
Gruß, Enno
Die Tabelle heißt USR02. Dort ist der Hash_Key gespeichert.PaddyG hat geschrieben: ich suche nun die Tabelle, in der die Userpasswörter drin gespeichert sind.
DES bzw. Triple-DES.PaddyG hat geschrieben: Zudem müsste ich in erfahrung bringen, wie diese Passwörter verschlüsselt sind!
Das kannst Du ganz getrost vergessen! Dazu bräuchtest Du die von SAP verwendeten Schlüssel und die wird davon sicherlich nicht begeistert seinPaddyG hat geschrieben: Für die Passwörter brauche ich also eine Möglichkeit diese zu entschlüsseln!
Ich brfürchte ja, das dies kaum machbar ist, bin aber für jeden Tip sehr dankbar.
Hermann
Hi,
tausend Dank für die schnelle Antworten.
Habt Ihr evtl. eine Ahnung, wie ich die verschlüsselten passwörter von Active Directory in SAP einlesen kann über LDAP und dabei die Passwörter in SAP verschlüsseln kann???
tausend Dank für die schnelle Antworten.
Habt Ihr evtl. eine Ahnung, wie ich die verschlüsselten passwörter von Active Directory in SAP einlesen kann über LDAP und dabei die Passwörter in SAP verschlüsseln kann???
Das habe ich befürchtet. Aber tausend DankDas kannst Du ganz getrost vergessen! Dazu bräuchtest Du die von SAP verwendeten Schlüssel und die wird davon sicherlich nicht begeistert sein
Mit freundlichen Grüßen
Partick
Partick
Du hattest es zwar schon einmal irgendwo geschrieben, aber was hast Du denn genau vor (finde den Post leider nicht mehr)?
Wenn ich mich recht erinnere hast Du etwas geschrieben von einer Art zentralen Benutzerverwaltung auf einem externen LDAP-Server, stimmt das?
Zum Einlesen von LDAP, schau Dir mal in der SE80 das Paket SLDAP an. Das stellt eine API zur Verfügung. Außerdem Transaktion LDAP.
Hermann
Wenn ich mich recht erinnere hast Du etwas geschrieben von einer Art zentralen Benutzerverwaltung auf einem externen LDAP-Server, stimmt das?
Zum Einlesen von LDAP, schau Dir mal in der SE80 das Paket SLDAP an. Das stellt eine API zur Verfügung. Außerdem Transaktion LDAP.
Hermann
ICh möchte die Benutzer im SAP System zentral über einen Verzeichnisdienst verwalten.
In diesem Fall LDAP.
Die Verbindung, der Kommunikationsuser usw. alles soweit ok.
Nun muss ich das Fieldmapping machen.
Ich muss also sagen, dass z.b. dass das Attribut Username des Verzeichnisdienstes dem Feld <Sysuser> in der SAP Tabelle usr02 entspricht.
Nun möchte ich aber auch die Passwörter mitnehmen, die im Verzeichnisdienst gepflegt sind.
Daszu bräuchte ich eine FB o.ä., welcher dieses en- und decrypting vornehmen kann, oder eine Möglichkeit das ganze selber zu bewerkstelligen.
So dass ich sagen: Nimm das Attribus pass vom Verzeichnisdienst und mappe dessen wert mit dem Feld pass aus der SAP-usr-Tabelle.
In diesem Fall LDAP.
Die Verbindung, der Kommunikationsuser usw. alles soweit ok.
Nun muss ich das Fieldmapping machen.
Ich muss also sagen, dass z.b. dass das Attribut Username des Verzeichnisdienstes dem Feld <Sysuser> in der SAP Tabelle usr02 entspricht.
Nun möchte ich aber auch die Passwörter mitnehmen, die im Verzeichnisdienst gepflegt sind.
Daszu bräuchte ich eine FB o.ä., welcher dieses en- und decrypting vornehmen kann, oder eine Möglichkeit das ganze selber zu bewerkstelligen.
So dass ich sagen: Nimm das Attribus pass vom Verzeichnisdienst und mappe dessen wert mit dem Feld pass aus der SAP-usr-Tabelle.
Mit freundlichen Grüßen
Partick
Partick
Das alles so zu realisieren stelle ich mir recht aufwendig und teilweise problematisch vor. Soweit ich weiß bietet SAP selbst ein zentrales UserManagement an (mit LDAP-Anschluß). Das wird u.a. wohl im Portal eingesetzt.
Bevor ich das alles selbst bauen würde (mit Weiterentwicklung und Korrekturen, etc. an der Backe), würde ich mal bei SAP nachfragen, was das Ding so kann. Vielleicht ist das genau das, was Ihr haben wollt (nur so als Tipp am Rande).
Wenn ich Deine Lösung richtig verstanden habe, erfolgt die Anmeldung über den LDAP-Server? Die Lösung müßte dann aber meiner Ansicht nach so aussehen, daß der Logon über den Verzeichnisdienst erfolgt, dieser ein SSO-Ticket ausstellt und darüber dann eine Anmeldung am SAP-System erfolgt. Das kann man ja so einrichten, daß SSO-Tickets akzeptiert werden. Damit spart man sich jegliche Ver- und Entschlüsselung oder irgendwelches Mapping.
Hermann
Bevor ich das alles selbst bauen würde (mit Weiterentwicklung und Korrekturen, etc. an der Backe), würde ich mal bei SAP nachfragen, was das Ding so kann. Vielleicht ist das genau das, was Ihr haben wollt (nur so als Tipp am Rande).
Wenn ich Deine Lösung richtig verstanden habe, erfolgt die Anmeldung über den LDAP-Server? Die Lösung müßte dann aber meiner Ansicht nach so aussehen, daß der Logon über den Verzeichnisdienst erfolgt, dieser ein SSO-Ticket ausstellt und darüber dann eine Anmeldung am SAP-System erfolgt. Das kann man ja so einrichten, daß SSO-Tickets akzeptiert werden. Damit spart man sich jegliche Ver- und Entschlüsselung oder irgendwelches Mapping.
Hermann
Nun nicht so 100%ig. Ich möchte die SAP user zentral irgendwo ablegen.Wenn ich Deine Lösung richtig verstanden habe, erfolgt die Anmeldung über den LDAP-Server?
Praktisch um das mühselige anlegen von Hand (SU01) zu vermeiden.
Ich lege also die user im Verzeichnisdienst an und importiere ich diese via LDAP in irgendein SAP system, welches diese LDAP verbindung nutzt.
Dabei muss ich username und passwort auslesen können.
Mit freundlichen Grüßen
Partick
Partick
Beitrag
von Frank Dittrich (Expert / 674 / 0 /
15
)
»
Stimmt für CODVN B und CODVN D nicht. SAPs Auskunft "MD5-ähnlich" aus OSS-Hinweis 2467 trifft es da schon eher.Hermann hat geschrieben:DES bzw. Triple-DES.PaddyG hat geschrieben: Zudem müsste ich in erfahrung bringen, wie diese Passwörter verschlüsselt sind!
SAP wird den Algorithmus nicht veröffentlichen.Das kannst Du ganz getrost vergessen! Dazu bräuchtest Du die von SAP verwendeten Schlüssel und die wird davon sicherlich nicht begeistert sein ;-)PaddyG hat geschrieben: Für die Passwörter brauche ich also eine Möglichkeit diese zu entschlüsseln!
Ich brfürchte ja, das dies kaum machbar ist, bin aber für jeden Tip sehr dankbar.
Und selbst wenn Du den Algorithmus kennst, nützt Dir das nicht viel.
Denn es wird ein Hash-Algorithmus verwendet, d.h., es gibt keine Umkehr-Funktion.
Du kannst nur jedes mögliche Passwort ausprobieren und prüfen, ob der berechnete Hashwert mit dem gespeicherten übereinstimmt.
Je nach Rechenzeit kannst Du vermutlich 80-90% der Passworte knacken.
Wenn Du eine Übereinstimmung findest, heißt das nur, dass mit dem gefundenen Passwort eine Anmeldung möglich wäre.
Es heißt nicht, dass Du tatsächlich das vom Anwender vergebene Passwort gefunden hast.
Ich frage mich aber, was überhaupt der Sinn der Übung sein soll. (Von Datenschutz-Belangen mal ganz abgesehen. Da ist das Vorgehen sowieso zweifelhaft.)
Ich bin mir derzeit selber nich sicher, ob das in die richtige Richtung führt.
Ich habe versucht den Ansatz bei der Entschlüsselung des passworts zu machen, doch das war wohl nix.
Zudem versuche ich gerade das userPassword von Active Directory mir in SAP über LDAP abbilden, bzw. anzeigen zu lassen.
Damit meine ich aber nicht das Tatsächliche Passwort, sondern das Verschlüsselte.
Wenn dann dieser Verschlüsselte String (oder Hashcode) dann dem aus SAP entspricht wäre ich schon mal weiter.
Aber ich weis derzeit nicht, wie ich das Attribut userPassword aus Active Directory mir in der TA LDAP über Find anzeigen lassen kann!
Ist das einstellung seiten Active Directory oder eher SAP einstellung, bzw. LDAP einstellung?
Ich habe versucht den Ansatz bei der Entschlüsselung des passworts zu machen, doch das war wohl nix.
Zudem versuche ich gerade das userPassword von Active Directory mir in SAP über LDAP abbilden, bzw. anzeigen zu lassen.
Damit meine ich aber nicht das Tatsächliche Passwort, sondern das Verschlüsselte.
Wenn dann dieser Verschlüsselte String (oder Hashcode) dann dem aus SAP entspricht wäre ich schon mal weiter.
Aber ich weis derzeit nicht, wie ich das Attribut userPassword aus Active Directory mir in der TA LDAP über Find anzeigen lassen kann!
Ist das einstellung seiten Active Directory oder eher SAP einstellung, bzw. LDAP einstellung?
Mit freundlichen Grüßen
Partick
Partick
Hi Paddy,
um ein SAP-Kennwort zu verschlüsseln, gibt es zwei System-Calls (Siehe Funktionsgruppe SUSO):
Gruß, Enno
um ein SAP-Kennwort zu verschlüsseln, gibt es zwei System-Calls (Siehe Funktionsgruppe SUSO):
Code: Alles auswählen.
CALL 'XXPASS'
ID 'CODE' FIELD BCODE_C
ID 'CODX' FIELD XCODE
ID 'NAME' FIELD XU213-USER
ID 'VERS' FIELD XCODVN.Code: Alles auswählen.
if kern_rel = '46D' and kern_pn_i >= 1289.
"different implementation as of 6.10
* new method: perform checks in the kernel ... (if possible)
* kernel will also handle the lock counter
* and submit Security Audit Log entries
call 'PASSWORD' id 'OPCODE' field 'V'
id 'USERNAME' field bname "interface parameter
id 'PASSWORD' field password "interface parameter
id 'PASSFLAG' field pwdstate
id 'PWD_RC' field rc
id 'MSGAREA' field msgid "suppress error msg
id 'MSGNO' field msgno. "suppress error msg
Wenn man nicht gegenüber dem System-Admin in Erklärungsnot geraten möchte, warum man SAP-Passworte knacken wollte, sollte man lieber die Finger davon lassen.ewx hat geschrieben:um ein SAP-Kennwort zu verschlüsseln, gibt es zwei System-Calls (Siehe Funktionsgruppe SUSO)
(Und sein Problem löst Patrick damit auch nicht, auch wenn er SAPs Versuche, Passwort Cracking zu unterbinden, umgeht.)
Seite 1 von 1
Vergleichbare Themen
26
Antw.
Antw.
6880
Views
Views
Evtl. nicht gepflegtes Feld aus Tabelle auslesen
von Beginner014 » 23.09.2014 08:12 • Verfasst in ABAP® für Anfänger
von Beginner014 » 23.09.2014 08:12 • Verfasst in ABAP® für Anfänger
6
Antw.
Antw.
4895
Views
Views
Verschlüsselung und Entschlüsselung
von JoaquinRayces » 04.01.2023 15:18 • Verfasst in ABAP® für Anfänger
von JoaquinRayces » 04.01.2023 15:18 • Verfasst in ABAP® für Anfänger
4
Antw.
Antw.
10035
Views
Views
Aus einer Tabelle Daten einer internen Tabelle filtern - Interne Tabelle ist eine Tabelle ohne Kopfzeile
von Sonne1234 » 09.12.2019 08:29 • Verfasst in ABAP® für Anfänger
von Sonne1234 » 09.12.2019 08:29 • Verfasst in ABAP® für Anfänger
5
Antw.
Antw.
5209
Views
Views
Zeilen von einer generischen Tabelle in eine interne Tabelle schreiben
von BecomingAnAbapGuru » 29.03.2022 10:27 • Verfasst in ABAP® für Anfänger
von BecomingAnAbapGuru » 29.03.2022 10:27 • Verfasst in ABAP® für Anfänger
1
Antw.
Antw.
4819
Views
Views
Werte von Mapping Tabelle in existierende Interne tabelle schreiben
von frankoline » 27.04.2023 10:35 • Verfasst in ABAP® für Anfänger
von frankoline » 27.04.2023 10:35 • Verfasst in ABAP® für Anfänger
Frage die ABAP Experten
Über diesen Beitrag
Unterstütze die Community und teile den Beitrag für mehr Leser und Austausch
Aktuelle Forenbeiträge
Newsletter Anmeldung
Keine Beiträge verpassen! Wöchentlich versenden wir lesenwerte Beiträge aus unserer Community.Die letzte Ausgabe findest du hier.
Aktuelle Forenbeiträge
Unbeantwortete Forenbeiträge
F6862 - Stücklistenpositionen Massenhinzufügen ohne Änderungsnummer
vor einer Woche von Radinator 1 / 1409
vor einer Woche von Radinator 1 / 1409