Добрый день.

Может кто-нибудь знает, как узнать пароль текущего пользователя в SAP и использовать его для запуска внешних программ. Необходимо запустить внешнее приложение, передав ему в качестве параметра строку подключения к ORACLE. Иначе, каждый раз при запуске внешнего приложения постоянно приходится вводить имя пользователя и пароль.

Дык это, а кто тебе сказал, что логин/пароль пользователя в R/3 подойдет для подключения к ораклу? Там вообще-то стандартно один пользователь в оракле типа sapr3

Необходимо выполнить подключению не к экземпляру оракла SAP, а совсем к другому экземпляру оракла и совсем к другой системе.

А как же безопасность?
Заведите служебного пользователя специально для данного подключения с фиксированным паролем и ограниченными полномочиями.

Надо использовать Single-Sign-One - эта концепция как раз и предназначена для ввода пароля в одно место.
Вопрос только вот поможет ли он в данном случае?

Вообще-то не все так просто с паролями пользователей в славной системе SAP. Они эффективно шифруются современными криптоалгоритмами. Можно лишь посоветовать по sy определить логин пользователя, а потом идти в таблицу USR02 где хранятся данные входа в систему и использовать там поле BCODE с хэшем пароля. Его потом надо будет де-хэшировать с использование электронного ключа. Но заморочек - не оберетесь!

Лучше заведите свою таблицу типа USR02.

Неужели парол все-таки можно определить? Я уж думал раз хеш так и все тут . Вроде бы хеш пароля существует только чтобы его сравнивать с введенным (и преобразованным в такой же хеш). А если пароль можно дехешировать то это слабое место системы безопасности.

теоретически - можно
но при современных алгоритмах это мягко говоря займет весьма продолжительное время. Настолько продолжительное, что вы плюнете на это дело и займетесь чем нибудь более полезным

Господа, де-хэшировать ключ просто так практически НЕВОЗМОЖНО. То есть теоретически такая возможность есть, но себестоимость такого взлома не имеет смысла даже при взломе банковского ключа.

Если в двух словах, то система выглядит так. Есть пароль. Есть ключ (или, что более распространенно, два ключа). Пароль шифруется с помощью (первого) ключа по определенному алгоритму. Ключ которым зашифрован пароль может быть общедоступным - по нему пароль не восстановить. Для восстановления пароля надо знать второй ключ. у такой криптосистемы очень высокая степень надежности и говорить о каких то "дырах" бессмысленно.

К слову о защищенности пароля. У нас на работе проводились в частном порядке эксперименты по взлому пароля в R/3 (4.0B). Результаты примерно следующие. Пароль в зашифрованном виде хранится в таблице USR02. Там же хранятся еще несколько последних паролей. Полную историю по паролям можно найти в таблице USH02. Для шифрования пароля в R/3 есть функция ядра XXPASS. Как она работает и каким методом шифрует пока найти не удалось. Где-то в интернете было упоминание, что это модифицированный MD5. Теоретически, получить пароль можно только перебором. Но в R/3 это не так долго, т.к. максимальная длина пароля 8 символов, и при этом регистр не учитывается. Кроме того, пользователи часто не используют все 8 символов. Программа, написанная на ABAP, вскрыла пароль из 5 символов за неполных 2 дня (суббота-воскресенье). Полагаю, оптимизация и распараллеливание дадут хорошие результаты.
Есть и обходные пути. К примеру, иногда администраторами в качестве начального выдается всегда один и тот же пароль. В этом случае, можно просто в истории найти самый первый пароль и поставить его в качестве текущего. Впрочем, этот путь простым пользователям недоступен.