четверг, 21 сентября 2017 г.

Пользователь TMSADM

Ссылка на статью
При начальной конфигурации транспортной системы в AS ABAP любой SAP системы в 000 манданте автоматически создаётся системный пользователь TMSADM.

Данный пользователь имеет тип "Communication" или "System" (рис. 1). Но ни в коем случае не "Диалоговый", то есть вход в систему через SAP GUI ему должен быть запрещен.

Рис. 1. Тип учетной записи TMSADM.

Дело в том, что для работы транспортной системы используются RFC-соединения (рис. 2). Эти RFC-соединения генерируются так же при первоначальной настройке транспортной системы (TMS).

Рис. 2. RFC-соединения, использующиеся в работе транспортной системы.

RFC-соединения используются для обмена информацией между системами транспортного ландшафта (рис. 3).

Рис. 3. Схема настройки RFC для работы транспортной системы.

Как видно из схемы и рис. 2, используется 2 вида RFC-соединений:
  • TMSADM@<SID>.<DOMAIN_NAME> - для аутентификации используется пользователь TMSADM, используется для некритичных операций, прежде всего на чтение информации;
  • TMSSUP@<SID>.<DOMAIN_NAME> - используется для более критичных операций, прежде всего операций записи, для аутентификации требует пару пользователь/пароль.

Эти два вида RFC-соединений создаются в каждой системе, которая подключена к транспортному домену. И пользователь TMSADM есть в каждой, но только в 000 манданте.

Так как пользователь TMSADM генерируется автоматически, то для него хранится стандартный пароль, который знают все системы транспортного ландшафта. В разных версиях SAP систем использовались два вида паролей:
  • PASSWORD;
  • $1Pawd2&.

Начиная с версии системы SAP NetWeaver 7.40, при настройке транспортной системы можно задать свой пароль. Или выбрать один из стандартных вариантов паролей (рис. 4).

Рис. 4. Установка пароля для пользователя TMSADM.

Установка своего пароля удовлетворяет требованиям безопасности, но старые системы в одном ландшафте с такой системой работать не смогут. Хотя ситуация работы систем разных версий в одном ландшафте очень редка, всё равно выбор оставили.

Проверить пароль пользователя TMSADM, не трогая учетную запись, можно через отчёт RSUSR003. Данный отчет проверяет пароли системных пользователей во всех мандантах системы на предмет их безопасности. То есть, в программе есть список хэшей стандартных паролей, которые он сверяет с реальными в системе. Например, для пользователей SAP* и DDIC, про которых я писал в этом посте.

Результатом работы отчета будет список системных пользователей и вердикт по их паролям (рис. 5).

Рис. 5. Проверка паролей системных пользователей.

Если отчёт в системе не отображает информацию по пользователю TMSADM, то необходимо заглянуть в SAP note # 1552894 - RSUSR003: Checking the standard password for user TMSADM. Установив исправления из ноты или соответствующий пакет поддержки для вашей версии системы, получите новую версию отчёта, которая проверяет пароль для пользователя TMSADM. Как работать с SAP нотами я описывал в цикле статей - часть 1, часть 2, часть 3.

Просто так, войдя в транзакцию SU01, изменить пароль для TMSADM нельзя. Как правильно изменить стандартный пароль для пользователя TMSADM описано в SAP note # 1414256 - Changing TMSADM password is too complex.

Дополнительно на данную тему можно найти информацию в курсе SAP "ADM325 - SAP Software Logistics for ABAP" и SAP note # 761637 - Logon restrictions prevent TMSADM logon.

  


понедельник, 18 сентября 2017 г.

Использование транзакции SE03 для поиска запросов/задач

Ссылка на статью
Про транзакцию SE03 я уже писал в двух постах:

Рассмотрим еще некоторые функции этой транзакции. 

С помощью транзакции SE03 можно искать транспортные запросы в системе. Для этого в древовидном меню на главном экране транзакции необходимо выбрать пункт "Инструменты организатора переносов -> Запросы/Задачи -> Поиск запросов" и нажать кнопку "Выполнить" на панели (рис. 1).

Рис.1. Вызов функции по поиску запросов на перенос.

На появившемся экране откроется огромное количество фильтров, используя которые можно ограничить поиск. Для открытия всех параметров необходимо на панели нажать кнопку "Развернуть" и заглянуть в средство поиска "Тип запроса" (рис. 2).  

Рис. 2. Набор фильтров для поиска запросов в системе.

Можно указать номера запросов, одного или список владельцев, даты создания запросов. Список типов запросов включает такие редкие, как запрос на удаление или запрос на копирование манданта. Отдельно можно указать типы для задач. Так же можно указать цель переноса или исходный мандант. Даже можно попробовать указать слова из краткого описания запроса на перенос.

Ну и, конечно же, можно указать в каком состоянии находятся запросы: изменяемо, деблокирован или в процессе деблокирования. 

После указания фильтров и нажатия кнопки "Выполнить" система выдаст список запросов, удовлетворяющих критериям выбора (рис. 3).

Рис. 3. Результаты поиска транспортных запросов.

Следующая функция в данной категории это "Объединение списков объектов" (рис. 4).

Рис. 4. Объединение списков объектов запросов.

Вызываем функцию, нажав на панели кнопку "Выполнить". На следующем экране устанавливаем фильтры для поиска запросов и нажимаем "Выполнить". Затем выделяем необходимые транспортные запросы с помощью кнопки "Выделить ветвь +/-" на панели и нажимаем на той же панели кнопку "Объединить" (рис. 5).

Рис. 5. Объединение объектов двух транспортных запросов.

Указываем существующий или создаем новый транспортный запрос и получаем объединение объектов в одном запросе (рис. 6).

Рис. 6. Создание транспортного запроса для включения объектов.

Так же в транзакции SE03 есть функция снятия блокировки с объектов (рис. 7). Данная операция бывает необходима, например, при импорте пакетов обновлений в систему. Когда импорт обновлений "натыкается" на блокированные в транспортных запросах объекты.

Рис. 7. Снятие блокировки с объектов.

На первом экране программы снятия блокировки с объектов необходимо указать номер запроса или задачи, объекты которого вы хотите разблокировать. Есть несколько опций (рис. 8).

Рис. 8. Разблокирование объектов транспортного запроса.

По-умолчанию, происходит просто разблокирование объектов запроса без изменения статуса самого запроса. Но можно создать новые версии объектов, можно автоматически деблокировать запрос при снятия блокировки с объектов или создать копию транспортного запроса. При снятии блокировки через эту транзакцию необходимо быть очень осторожным. Если это приемлемо, то лучше, в такой ситуации, просто деблокировать запрос на перенос. 




четверг, 14 сентября 2017 г.

Опрос: опыт администрирования SAP систем

Ссылка на статью
Помню в 2004 году, когда я только начинал свой карьерный путь, проработав около двух лет, увидеть в живую консультанта с опытом 6 лет или более было большой редкостью и удачей. Мне тогда они казались зубрами, недосягаемой вершиной. :)

И это было не лишено смысла. Эти люди, на тот момент, были фактически теми, кто стоял у истоков внедрений SAP систем в России. Кто первым окунулся в романтику первых робких внедрений в России. Кто был ветераном на линии немецко-российских отношений между бизнесом и информационными системами для автоматизации этого самого бизнеса.

По прошествии лет пяти ситуация кардинально изменилась: специалистов на рынке труда в России стало больше, людей с большим опытом тоже. И шестью годами опыта в SAP-консалтинге или поддержке никого не удивишь. Сейчас тем более.

В 2011 году я в своём блоге проводил опрос, целью которого было определить опыт администрирования SAP систем среди читателей моего блога. К сожалению, на тот момент я использовал в качестве платформы для опросов средства blogspot.com и результаты опроса пропали. А я их не зафиксировал.

Поэтому давайте проведем опрос еще раз. Буду очень признателен, если Вы примете участие.




Итоги голосования подведём после 13 октября.

Предыдущий опрос: версия SAP ERP завершён.

52 человека приняли участие в опросе. Всем большое спасибо. Результаты получились интересные (рис. 1).

Рис. 1. Результаты опроса.

Подробности в посте "Опрос: версия SAP ERP".


Автор: Шиболов Вячеслав Анатольевич


понедельник, 11 сентября 2017 г.

Полные полномочия в SAP системе

Ссылка на статью

Как я уже отмечал, в AS ABAP SAP системы для разграничения доступа к информации существует набор ролей и полномочий. Исходное правило: что не разрешено, то запрещено. Таким образом, чтобы пользователь смог выполнить действие в системе или получить доступ к информации, необходимо ему назначить роль, с которой ассоциируется профиль полномочий, в котором, в свою очередь, содержатся конкретные полномочия. Подробнее в посте "Как понять каких полномочий не хватает пользователю?".

Для получения полного набора полномочий в ABAP части SAP системы существует 2 готовых профиля полномочий:
  • SAP_ALL - составной профиль полномочий, который содержит все полномочия в SAP системе;
  • SAP_NEW - составной профиль полномочий, который используется при обновлении системы. Обеспечивает достаточный набор полномочий во время операций обновления, таких как установка пакетов поддержки или обновление версии SAP системы. 

Таким образом, для того чтобы создать в системе пользователя со всеми полномочиями, некого Super User, достаточно в транзакции SU01 добавить ему профили полномочий SAP_ALL и SAP_NEW (рис. 1).

Рис. 1. Добавление всех полномочий пользователю в SAP системе.

Начиная с релизов SAP_BASIS 700 и выше, профиль полномочий SAP_NEW был заменен на роль с таким же именем - SAP_NEW. Подробности в SAP note # 1711620 - Role SAP_NEW replaces profile SAP_NEW

Наверное, не стоит говорить, что эти профили не стоит раздавать в системе направо и налево. Так же в целях безопасности необходимо время от времени выявлять пользователей, которые имеют в системе такие неограниченные полномочия. Использовать для этого можно отчет RSUSR002, про который я писал в этом посте. В продуктивной системе вообще никому не рекомендуется присваивать вышеуказанные профили.

SAP ноты на эту тему:

Так же можно посмотреть SAP курсы "ADM 940 - ABAP AS Authorization Concept" и "ADM 950 - Secure SAP System Management".



четверг, 7 сентября 2017 г.

Поиск авторов для написания постов

Ссылка на статью

Я веду этот блог с переменным успехом уже 9 лет. Были периоды, когда по несколько месяцев я ничего не публиковал, но в целом, я считаю, что ресурс держится на своём уровне.

Мою историю того, как я попал в SAP и занялся администрированием SAP систем, вы знаете. Об этом я писал в посте "35 лет или как я попал в SAP". Также я писал о том, что мне приносит написание статей в этом блоге ("Зачем я веду этот блог?").

Читая эти две истории, которые я описал в предыдущих постах, можно вспомнить фразу "время разбрасывать камни и время их собирать". Что означает, что в карьере любого человека есть время, когда он интенсивно впитывает знания, учится и постигает тонкости мастерства. А есть время, когда он сам отдаёт свои знания и делится опытом. Может быть, так и работает глобальный механизм человеческого развития и движения вперед. Причём, передача знаний это сам по себе процесс обучения, но уже на более высоком уровне.

Я предполагаю, что большинство тех, кто читает этот блог занимается администрированием SAP систем, как и я, или работают в смежных областях. И я на 100 % уверен, что хотя сфера занятий у нас одна, у каждого из нас свой путь, который нас привёл в эту профессию. И свой уникальный опыт. Все проекты разные. У компании SAP огромное количество решений и систем, которые в большинстве своём базируются на одной платформе (SAP Basis или SAP NetWeaver), но нюансы у которых разные. Комбинаций систем (особенно, если учитывать версии продуктов), используемых на предприятиях, огромное количество. Даже в рамках одной системы - SAP ERP, на данный момент эксплуатируется огромное количество версий, что показывают результаты недавнего опроса. Задачи, решаемые в рамках проектов, формируют картину вашего неповторимого и уникального опыта.

К чему я это всё веду? Одна голова хорошо, а две лучше. Предлагаю вам поделиться своим опытом и своими знаниями и стать соавторами данного ресурса.

Стоит отметить, что среди почти 300 постов этого блога есть парочка не моих. Это пост "История одного долгоиграющего отчета" от Дмитрия Бондарева и "Что такое SAP?" от Алексея Петрова. Первый был опубликован по инициативе автора, а второй по моей. Но это были единичные случаи. Сейчас же я предлагаю стать постоянными соавторами блога "Записки SAP Basis консультанта". Как я уже упоминал в одном из постов, многие начинают свои блоги, но не многим хватает упорства и вдохновения постоянно их поддерживать. Я же предлагаю соединить наши усилия и создать ресурс, который объединит опыт и знания многих в одной базе знаний по администрированию SAP систем.

Итак, что я предлагаю:
  • ресурс с целевой аудиторией из SAP Basis специалистов в количестве примерно 70-90 читателей в день;
  • помощь с моей стороны в оформлении и написании постов и статей (соавторство);
  • возможность структурировать свои знания, оформив их в читаемый вид;
  • признание сообщества, широкая известность в узких кругах;
  • страница автора с резюме на сайте этого блога (аналог моей) при публикации хотя бы 3-х статей,
  • в случае публикации успешной статьи, возможность выхода на аудиторию SAPLand.ru.

Тему для статьи вы можете выбрать сами: всё что связано с администрированием SAP систем, операционных систем и баз данных, вопросы интеграции, автоматизации задач администратора и так далее. Примерную карту областей знаний SAP Basis администратора можно найти в моей попытке её составления тут.

Все свои темы, предложения и статьи присылайте мне на электронный ящик - shibolov@gmail.com.

Статьи публикую на ресурсе я с обязательной ссылкой на авторство. Я помогаю оформлять статьи, внося корректировки с согласия автора. Даты публикации выбираю я.

Признательность сообщества SAP Basis администраторов и удовлетворение от хорошего дела гарантирую. :)


Автор: Шиболов Вячеслав Анатольевич


понедельник, 4 сентября 2017 г.

Саповские секретики - IV

Ссылка на статью
Секретик 1.

При импорте транспортного запроса в систему через транзакцию STMS можно выбрать 2 режима: синхронный и асинхронный. В первом случае режим SAP GUI будет блокирован до окончания выполнения всех шагов импорта. Во втором случае режим SAP GUI будет сразу освобожден, а импорт транспортного запроса будет происходить в фоне. Выбор режимов происходит в диалоговом окне после выбора пункта меню "Запрос -> Импортировать" во вкладке "Выполнение" (рис. 1).

Рис. 1. Выбор режима импорта транспортного запроса.

Так же можно запланировать импорт транспортного запроса на определенное время. Для этого в диалоговом окне на вкладке "Срок" необходимо указать дату и время выполнения. Рекомендую так же установить время, после которого уже не пытаться запустить процесс импорта. (рис. 2). Данное время необходимо установить на случай недоступности системы или ресурсов (в данном случае фоновых процессов), чтобы импорт не запустился в неподходящее время.

Рис. 2. Планирование импорта транспортного запроса по времени.

После планирования времени импорта в системе будет сформировано фоновое задание (транзакция SM37), которое выполнится в указанное время (рис. 3). У транспортного запроса будет установлен статус "Запланировано" (рис. 4). Данный тип планирования удобен при импорте запросов в нерабочее время, чтобы изменения не коснулись работающих в текущий момент в системе пользователей.

Рис. 3. Фоновое задание по импорту транспортного запроса в систему.

Рис. 4. Статус транспортного запроса после планирования импорта по времени.


Секретик 2.

Еще один нюанс про транспортную систему. Любой транспортный запрос можно переадресовать из очереди одной системы в очередь любой другой системы в рамках транспортного ландшафта вручную. Данное действие можно выполнить вне зависимости от настроенных путей переноса, главное условие: чтобы система была известна в данном ландшафте. Для этого необходимо установить курсор на номер транспортного запроса в очереди на перенос и выбрать пункт меню "Запрос -> Переадресовать -> Система" (рис. 5).

Рис. 5. Переадресация транспортного запроса в другую систему.

В появившемся диалоговом окне указать целевую систему и нажать кнопку "Выполнить" (рис. 6). После этого запрос добавится в очередь на перенос указанной системы.

Рис. 6. Выбор системы для переадресации транспортного запроса.


Секретик 3.

В посте "Стандартные пользователи системы SAP" я писал, что в SAP системе после инсталляции всегда присутствует 000 мандант, который является эталоном. Изменения проводить в нём не рекомендуется. Он используется при создании новых мандантов в системе и для некоторых базисных работ, таких как, обновление системы, установка SAP notes и так далее. Обычно работы, которые проводят в 000 манданте рекомендуют проводить, войдя в систему на английском (EN) языке. Чтобы каждый раз в окне логина не указывать язык EN (что, кстати, легко забывается, так как обычно мы его не указываем, прописав в настройках для всех язык RU, по-умолчанию), я рекомендую в настройках основной записи своего пользователя (транзакция SU01) в 000 манданте сразу указать язык логина EN на вкладке "ПостЗначения" (рис. 7). И входить в 000 мандант всегда на языке EN.

Рис. 7. Установка языка входа для пользователя по умолчанию.


Предыдущие выпуски:
- Саповские секретики - I,
- Саповские секретики - II,
- Саповские секретики - III.


Автор: Шиболов Вячеслав Анатольевич.


четверг, 31 августа 2017 г.

С днем знаний и традиционные скидки!

Ссылка на статью

Поздравляю всех с днём знаний!

Необходимые знания и полезные навыки облегчают жизнь, помогают в работе, улучшают ваше самочувствие и благосостояние. Поэтому желаю вам не терять интерес к жизни, постоянно учиться и узнавать что-то новое.

Ну и по традиции, в связи с праздником, скидка на первый обучающий пакет SAPADM_01.

Тому, кто напишет мне на почтовый ящик shibolov@gmail.com до 23:59 5 сентября 2017 года я отдам его за 5 000* рублей. 
А тому, кто купит все пакеты (а их на данный момент 5), я так же сделаю скидку, и отдам их все за 20 000* рублей.

Условия акции:
* - в случае покупки пакета или пакетов со скидкой, их надо будет оплатить в течении сентября 2017 года.

Подробности про все обучающие пакеты и отзывы по ссылке.

P.S. Хочу напомнить про опрос "Какие версии SAP ERP системы у вас работают?", который скоро завершится. Кто еще не проголосовал, просьба потратить 1 минуту и пополнить статистику. Хочу сообщить, что на данный момент уже проголосовало 42 человека.

Автор: Шиболов Вячеслав Анатольевич