Profilparameter zu Anmeldung und Kennwort (Login-Parameter)

Folgende Tabellen führen die Profilparameter auf, mit denen Sie Kennwort- und Anmelderegeln einstellen können. Diese Profilparameter setzen die Minimalanforderungen für Kennwörter fest. Sie können allerdings keine Obergrenzen für Kennwortregeln setzen. Die Benutzer können z.B. bei Beachtung der übrigen Kennwortregeln beliebig viele Sonderzeichen verwenden. Die Vorgehensweise wie Sie Profilparameter ändern, finden Sie unter Profilparameter ändern und umschalten.

Hinweis Hinweis

Damit die Parameter im ganzen ABAP-System gültig sind (Systemprofilparameter), müssen Sie sie im Standardsystemprofil DEFAULT.PFL setzen. Sollen die Parameter dagegen nur für eine bestimmte Instanz gelten, setzen Sie die Parameter in den Profilen der Systemanwendungsserver.

Ende des Hinweises.

Um die Parameterdokumentation anzuzeigen, geben Sie in der Pflege der Profilparameter (Transaktion RZ11) den Parameternamen an und wählen Anzeigen. Wählen Sie auf dem folgenden Bild die Drucktaste Dokumentation.

Kennwortregeln

Parameter	Wert	Beschreibung
login/min_password_lng	Standardwert: 6 Zulässige Werte: 3 - 40	Legt die Mindestlänge des Kennworts fest. Bis einschließlich SAP NetWeaver 6.40 bis 8 Zeichen.
login/min_password_digits	Standardwert: 0 Zulässige Werte: 0 - 40	Legt die Mindestanzahl von Ziffern (0 - 9) in Kennwörtern fest. Verfügbar ab Release 6.10. (Bis einschließlich SAP NetWeaver 6.40 bis 8 Zeichen.)
login/min_password_letters	Standardwert: 0 Zulässige Werte: 0 - 40	Legt die Mindestanzahl von Buchstaben (A - Z) in Kennwörtern fest. Verfügbar ab Release 6.10. (Bis einschließlich SAP NetWeaver 6.40 bis 8 Zeichen.)
login/min_password_lowercase	Standardwert: 0 Zulässige Werte: 0 - 40	Gibt an, wie viele Zeichen in Kleinbuchstaben ein Kennwort enthalten muss. Verfügbar nach SAP NetWeaver 6.40
login/min_password_uppercase	Standardwert: 0 Zulässige Werte: 0 - 40	Gibt an, wie viele Zeichen in Großbuchstaben ein Kennwort enthalten muss. Verfügbar nach SAP NetWeaver 6.40
login/min_password_specials	Standardwert: 0 Zulässige Werte: 0 - 40	Legt die Mindestanzahl von Sonderzeichen in Kennwörtern fest. Zulässige Sonderzeichen sind insbesondere !"@ $%&/()=?'*+~#-_.,;:{[]}\<>│und das Leerzeichen sowie der Accent grave. Nach SAP NetWeaver 6.40 gelten alle Zeichen als Sonderzeichen, die weder Ziffern noch Buchstaben sind. Verfügbar ab Release 6.10. (Bis einschließlich SAP NetWeaver 6.40 bis 8 Zeichen.)
login/password_charset	Standardwert: 1 Zulässige Werte: 0: Restriktiv. Das Kennwort darf nur aus Ziffern, Buchstaben und folgenden (ASCII-)Sonderzeichen bestehen: !"@ $%&/()=?'*+~#-_.,;:{[]}\<>│sowie dem Leerzeichen und dem Accent grave. 1: Abwärtskompatibel. Das Kennwort darf aus beliebigen Zeichen, einschließlich nationaler Sonderzeichen (z. B. ä, ç, ß aus ISO Latin-1, 8859-1), bestehen. Allerdings werden alle Zeichen, die nicht in der oben genannten Menge (bei Wert = `0`) enthalten sind, auf das gleiche Sonderzeichen abgebildet und daher nicht unterschieden. 2: Nicht abwärtskompatibel. Das Kennwort darf aus beliebigen Zeichen bestehen. Es wird intern in das Unicode-Format UTF-8 konvertiert. Wenn Ihr System Unicode nicht unterstützt, können Sie auf dem Anmeldebild möglicherweise nicht alle Zeichen eingeben. Diese Einschränkung ist durch die von der Systemsprache vorgegebene Codepage bedingt.	Dieser Parameter legt fest, aus welchen Zeichen ein Kennwort bestehen darf. Im Standard ab Release 6.40 verfügbar. Achtung Bei `login/password_charset = 2` sichert das System Kennwörter in einer Form, die Systeme mit älterem Kernel nicht interpretieren können. Stellen Sie daher erst sicher, dass alle beteiligten Systeme die neue Kennwortkodierung unterstützen, bevor Sie den Profilparameter auf den Wert `2` setzen. Ende der Warnung.

Parameter

Wert

Beschreibung

Standardwert: 6

Zulässige Werte: 3 - 40

Legt die Mindestlänge des Kennworts fest.

Bis einschließlich SAP NetWeaver 6.40 bis 8 Zeichen.

Standardwert: 0

Zulässige Werte: 0 - 40

Legt die Mindestanzahl von Ziffern (0 - 9) in Kennwörtern fest.

Verfügbar ab Release 6.10. (Bis einschließlich SAP NetWeaver 6.40 bis 8 Zeichen.)

Standardwert: 0

Zulässige Werte: 0 - 40

Legt die Mindestanzahl von Buchstaben (A - Z) in Kennwörtern fest.

Verfügbar ab Release 6.10. (Bis einschließlich SAP NetWeaver 6.40 bis 8 Zeichen.)

Standardwert: 0

Zulässige Werte: 0 - 40

Gibt an, wie viele Zeichen in Kleinbuchstaben ein Kennwort enthalten muss.

Verfügbar nach SAP NetWeaver 6.40

Standardwert: 0

Zulässige Werte: 0 - 40

Gibt an, wie viele Zeichen in Großbuchstaben ein Kennwort enthalten muss.

Verfügbar nach SAP NetWeaver 6.40

Standardwert: 0

Zulässige Werte: 0 - 40

Legt die Mindestanzahl von Sonderzeichen in Kennwörtern fest. Zulässige Sonderzeichen sind insbesondere !"@ $%&/()=?'*+~#-_.,;:{[]}\<>│und das Leerzeichen sowie der Accent grave.

Nach SAP NetWeaver 6.40 gelten alle Zeichen als Sonderzeichen, die weder Ziffern noch Buchstaben sind.

Verfügbar ab Release 6.10. (Bis einschließlich SAP NetWeaver 6.40 bis 8 Zeichen.)

Standardwert: 1

Zulässige Werte:

0:
Restriktiv. Das Kennwort darf nur aus Ziffern, Buchstaben und folgenden (ASCII-)Sonderzeichen bestehen: !"@ $%&/()=?'*+~#-_.,;:{[]}\<>│sowie dem Leerzeichen und dem Accent grave.
1:
Abwärtskompatibel. Das Kennwort darf aus beliebigen Zeichen, einschließlich nationaler Sonderzeichen (z. B. ä, ç, ß aus ISO Latin-1, 8859-1), bestehen. Allerdings werden alle Zeichen, die nicht in der oben genannten Menge (bei Wert = 0) enthalten sind, auf das gleiche Sonderzeichen abgebildet und daher nicht unterschieden.
2:
Nicht abwärtskompatibel. Das Kennwort darf aus beliebigen Zeichen bestehen. Es wird intern in das Unicode-Format UTF-8 konvertiert. Wenn Ihr System Unicode nicht unterstützt, können Sie auf dem Anmeldebild möglicherweise nicht alle Zeichen eingeben. Diese Einschränkung ist durch die von der Systemsprache vorgegebene Codepage bedingt.

Dieser Parameter legt fest, aus welchen Zeichen ein Kennwort bestehen darf.

Im Standard ab Release 6.40 verfügbar.

Achtung Achtung

Bei login/password_charset = 2 sichert das System Kennwörter in einer Form, die Systeme mit älterem Kernel nicht interpretieren können. Stellen Sie daher erst sicher, dass alle beteiligten Systeme die neue Kennwortkodierung unterstützen, bevor Sie den Profilparameter auf den Wert 2 setzen.

Ende der Warnung.

Kennwortanmeldung

Parameter	Wert	Beschreibung
login/password_compliance_to_current_policy	Standardwert: 0 Zulässige Werte: 0: Keine Prüfung 1: Das System prüft während der Kennwortanmeldung, ob das aktuelle Kennwort den aktuellen Kennwortregeln entspricht. Ist dies nicht der Fall erzwingt es eine Kennwortänderung.	Verfügbar nach SAP NetWeaver 6.40
login/disable_password_logon	Standardwert: 0 Zulässige Werte: 0: Kennwortanmeldung ist möglich 1: Kennwortanmeldung ist nur für Benutzer der in Parameter `login/password_logon_usergroup` angegebenen Gruppe möglich. 2: Kennwortanmeldung ist generell nicht mehr möglich.	Steuert die Deaktivierung der kennwortbasierten Anmeldung. Der Benutzer kann sich dann nicht mehr mit dem Kennwort anmelden, sondern nur noch mit Single-Sign-On-Varianten (X.509-Zertifikat, Anmeldeticket). Siehe Registerkarte Logondaten. Verfügbar ab Release 6.10, per Support Package ab Release 4.6
login/password_logon_usergroup	Standardwert: <leere_Zeichenkette>	Steuert die Deaktivierung kennwortbasierter Anmeldung für Benutzergruppen. Verfügbar ab Release 6.10, per Support Package ab Release 4.6
login/password_max_idle_productive	Standardwert: 0; die Prüfung ist deaktiviert Zulässige Werte: 0 - 24.000 (Einheit: Tage)	Gibt die maximale Frist an, in der ein ungenutztes Produktivkennwort (vom Benutzer gewähltes Kennwort) gültig bleibt. Nachdem diese Frist abgelaufen ist, kann der Benutzer das Kennwort nicht mehr zur Authentifizierung verwenden. Der Benutzeradministrator kann die Kennwortanmeldung durch Zuweisen eines neuen Initialkennworts reaktivieren. Verfügbar nach SAP NetWeaver 6.40
login/password_max_idle_initial	Standardwert: 0; die Prüfung ist deaktiviert Zulässige Werte: 0 - 24.000 (Einheit: Tage)	Gibt die maximale Frist an, in der ein ungenutztes Initialkennwort (vom Benutzeradministrator gewähltes Kennwort) gültig bleibt. Nachdem diese Frist abgelaufen ist, kann der Benutzer das Kennwort nicht mehr zur Authentifizierung verwenden. Der Benutzeradministrator kann die Kennwortanmeldung durch Zuweisen eines neuen Initialkennworts reaktivieren. Dieser Parameter ersetzt die Profilparameter `login/password_max_new_valid` und `login/password_max_reset_valid`. Verfügbar nach SAP NetWeaver 6.40
login/password_max_new_valid	Standardwert: 0 Zulässige Werte: 0 - 24.000 0: Initialkennwort ist unbegrenzte Zeit lang gültig. 1: Initialkennwort ist nur am selben Tag gültig. x: Nach x Tagen lehnt das System die Anmeldung mit initialem Kennwort ab.	Legt die Gültigkeitsdauer des Kennworts für neu angelegte Benutzer fest. Nur in SAP Web Application Server 6.20 und 6.40 verfügbar.
login/password_max_reset_valid	Standardwert: 0 Zulässige Werte: 0 - 24.000 0: Initialkennwort ist unbegrenzte Zeit lang gültig. 1: Initialkennwort ist nur am selben Tag gültig. x: Nach x Tagen lehnt das System die Anmeldung mit initialem Kennwort ab.	Legt die Gültigkeitsdauer zurückgesetzter Kennwörter fest. Nur in SAP Web Application Server 6.20 und 6.40 verfügbar.

Kennwortänderungen

Parameter	Wert	Beschreibung
login/min_password_diff	Standardwert: 1 Zulässige Werte: 1 - 40	Definiert die Mindestanzahl Zeichen, die im neuen Kennwort im Vergleich zum alten anders sein müssen. Verfügbar ab Release 6.10. (Bis einschließlich SAP NetWeaver 6.40 bis 8 Zeichen.)
login/password_expiration_time	Standardwert: 0 Zulässige Werte: 0 - 1000	Legt die Gültigkeitsdauer von Kennwörtern in Tagen fest.
login/password_change_for_SSO	Standardwert: 1 Zulässige Werte: 0: Kennwortänderungspflicht wird ignoriert (abwärtskompatibel) 1: Dialogfenster mit Auswahl 2 oder 3 (Benutzer entscheidet) 2: Nur Kennwortänderungsdialog (Eingabe: altes und neues Kennwort) 3: Deaktivierung des Kennworts (automatisch, kein Dialogfenster)	Überprüft bei Anmeldung mit Single Sign-On, ob der Benutzer sein Kennwort ändern muss. Verfügbar ab Release 6.10, per Support Package ab Release 4.6
login/password_history_size	Standardwert: 5 Zulässige Werte: 1 - 100 (Einheit: Anzahl Einträge)	Gibt die Anzahl der (vom Benutzer, nicht vom Administrator gewählten) Kennwörter an, die das System ablegt und die der Benutzer nicht wieder verwenden darf. Verfügbar nach SAP NetWeaver 6.40
login/password_change_waittime	Standardwert: 1 Zulässige Werte: 1 - 1.000 (Einheit: Tage)	Gibt die Anzahl Tage an, die ein Benutzer bis zur nächsten Kennwortänderung warten muss. Verfügbar nach SAP NetWeaver 6.40

Weitere Kennwortprofilparameter

Parameter	Wert	Beschreibung
login/password_downwards_compatibility	Standardwert: 1 Zulässige Werte: 0: Sichert Kennwörter in einer Form, die Systeme mit älterem Kernel nicht interpretieren können. Das System erzeugt nur neue (nicht abwärtskompatible) Kennwort-Hash-Werte. 1: System erzeugt intern zusätzlich abwärtskompatible Kennwort-Hash-Werte, wertet diese aber nicht bei der Anmeldung mit Kennwort (am eigenen System) aus. Diese Einstellung ist erforderlich, wenn Sie dieses System als Zentralsystem einer Zentralen Benutzerverwaltung betreiben und auch Systeme, die nur abwärtskompatible Kennwort-Hash-Werte unterstützen, am Systemverbund angeschlossen sind. 2: System erzeugt intern zusätzlich abwärtskompatible Kennwort-Hash-Werte, die es auswertet, wenn eine Anmeldung mit dem neuen, nicht abwärtskompatiblen Kennwort fehlschlug. Damit prüft das System, ob es die Anmeldung mit dem abwärtskompatiblen Kennwort (nach 8 Zeichen abgeschnitten und in Großbuchstaben konvertiert) akzeptiert hätte. Dies zeichnet das System im Systemprotokoll auf. Die Anmeldung schlägt fehl. Diese Einstellung dient der Erkennung von Abwärtsinkompatibilitätsproblemen. 3: Wie bei 2, die Anmeldung gilt aber als erfolgreich. Diese Einstellung dient zur Umgehung von Abwärtsinkompatibilitätsproblemen. 4: Wie bei 3, das System legt aber keinen Eintrag im Systemprotokoll an. 5: Vollständige Abwärtskompatibilität: Das System stellt nur abwärtskompatible Kennwort-Hash-Werte aus.	Legt den Grad der Abwärtskompatibilität fest. Verfügbar nach SAP NetWeaver 6.40 Achtung Bei `login/password_downwards_compatibility = 0` sichert das System Kennwörter in einer Form, die Systeme mit älterem Kernel nicht interpretieren können. Stellen Sie daher erst sicher, dass alle beteiligten Systeme die neue Kennwortkodierung unterstützen, bevor Sie den Profilparameter auf den Wert `0` setzen. Ende der Warnung.

Parameter

Wert

Beschreibung

Standardwert: 1

Zulässige Werte:

0:
Sichert Kennwörter in einer Form, die Systeme mit älterem Kernel nicht interpretieren können. Das System erzeugt nur neue (nicht abwärtskompatible) Kennwort-Hash-Werte.
1:
System erzeugt intern zusätzlich abwärtskompatible Kennwort-Hash-Werte, wertet diese aber nicht bei der Anmeldung mit Kennwort (am eigenen System) aus. Diese Einstellung ist erforderlich, wenn Sie dieses System als Zentralsystem einer Zentralen Benutzerverwaltung betreiben und auch Systeme, die nur abwärtskompatible Kennwort-Hash-Werte unterstützen, am Systemverbund angeschlossen sind.
2:
System erzeugt intern zusätzlich abwärtskompatible Kennwort-Hash-Werte, die es auswertet, wenn eine Anmeldung mit dem neuen, nicht abwärtskompatiblen Kennwort fehlschlug. Damit prüft das System, ob es die Anmeldung mit dem abwärtskompatiblen Kennwort (nach 8 Zeichen abgeschnitten und in Großbuchstaben konvertiert) akzeptiert hätte. Dies zeichnet das System im Systemprotokoll auf. Die Anmeldung schlägt fehl. Diese Einstellung dient der Erkennung von Abwärtsinkompatibilitätsproblemen.
3:
Wie bei 2, die Anmeldung gilt aber als erfolgreich. Diese Einstellung dient zur Umgehung von Abwärtsinkompatibilitätsproblemen.
4:
Wie bei 3, das System legt aber keinen Eintrag im Systemprotokoll an.
5:
Vollständige Abwärtskompatibilität: Das System stellt nur abwärtskompatible Kennwort-Hash-Werte aus.

Legt den Grad der Abwärtskompatibilität fest.

Verfügbar nach SAP NetWeaver 6.40

Achtung Achtung

Bei login/password_downwards_compatibility = 0 sichert das System Kennwörter in einer Form, die Systeme mit älterem Kernel nicht interpretieren können. Stellen Sie daher erst sicher, dass alle beteiligten Systeme die neue Kennwortkodierung unterstützen, bevor Sie den Profilparameter auf den Wert 0 setzen.

Ende der Warnung.

Mehrfachanmeldung

Parameter	Wert	Beschreibung
login/disable_multi_gui_login	Standardwert: 0 Zulässige Werte: 0, 1 1: Das System blockt mehrere Dialoganmeldungen im selben Mandanten und unter demselben Benutzernamen ab.	Steuert die Deaktivierung der mehrfachen Dialoganmeldung. Verfügbar ab Release 4.6
login/multi_login_users	Standardwert: <leere_Liste>	Liste der Ausnahmebenutzer, d.h. der Benutzer, die sich mehrfach am System anmelden dürfen. Verfügbar ab Release 4.6

Parameter

Wert

Beschreibung

Standardwert: 0

Zulässige Werte: 0, 1

1: Das System blockt mehrere Dialoganmeldungen im selben Mandanten und unter demselben Benutzernamen ab.

Steuert die Deaktivierung der mehrfachen Dialoganmeldung.

Verfügbar ab Release 4.6

Standardwert: <leere_Liste>

Liste der Ausnahmebenutzer, d.h. der Benutzer, die sich mehrfach am System anmelden dürfen.

Verfügbar ab Release 4.6

Falschanmeldung

Parameter	Wert	Beschreibung
login/fails_to_session_end	Standardwert: 3 Zulässige Werte: 1 - 99	Legt die Anzahl der erfolglosen Anmeldeversuche fest, bevor das System keine neuen Anmeldeversuche mehr zulässt. Sie sollten den Parameter auf einen niedrigeren Wert setzen als der des Parameters login/fails_to_user_lock.
login/fails_to_user_lock	Standardwert: 5 Zulässige Werte: 1 - 99	Legt die Anzahl der erfolglosen Anmeldeversuche fest, bevor das System den Benutzer sperrt.
login/failed_user_auto_unlock	Standardwert: 0; Sperren aufgrund von Falschanmeldungen bleiben unbegrenzt lange gültig Zulässige Werte: 0, 1	Legt fest, ob das System Benutzersperren aufgrund erfolgloser Anmeldeversuche um Mitternacht automatisch wieder aufhebt.

Parameter

Wert

Beschreibung

Standardwert: 3

Zulässige Werte: 1 - 99

Legt die Anzahl der erfolglosen Anmeldeversuche fest, bevor das System keine neuen Anmeldeversuche mehr zulässt. Sie sollten den Parameter auf einen niedrigeren Wert setzen als der des Parameters login/fails_to_user_lock.

Standardwert: 5

Zulässige Werte: 1 - 99

Legt die Anzahl der erfolglosen Anmeldeversuche fest, bevor das System den Benutzer sperrt.

Standardwert: 0; Sperren aufgrund von Falschanmeldungen bleiben unbegrenzt lange gültig

Zulässige Werte: 0, 1

Legt fest, ob das System Benutzersperren aufgrund erfolgloser Anmeldeversuche um Mitternacht automatisch wieder aufhebt.

Anmeldung mit SSO-Ticket

Parameter	Wert	Beschreibung
login/accept_sso2_ticket	Standardwert: 0 Zulässige Werte: 0: Anmeldung per SSO-Ticket ist deaktiviert. 1: Anmeldung mit SSO-Ticket ist zugelassen	Lässt die Anmeldung per SSO-Ticket zu oder sperrt sie. Verfügbar ab Release 4.6D, per Support Package ab Release 4.0
login/create_sso2_ticket	Standardwert: 0 Zulässige Werte: 0: Ticket-Erzeugung ist deaktiviert 1: SSO-Ticket einschl. Zertifikat 2: SSO-Ticket ohne Zertifikat	Lässt die Erzeugung von SSO-Tickets zu. Verfügbar ab Release 4.6D Empfehlung Wir empfehlen Ihnen, den Wert auf 2 zu setzen. Die SSO-Tickets sind ohne das Zertifikat wesentlich kleiner und haben somit weniger Overhead. Ende der Empfehlung.
login/ticket_expiration_time	Standardwert: 8, Einheit: Stunden	Legt die Gültigkeitsdauer eines SSO-Tickets fest. Verfügbar ab Release 4.6D
login/ticket_only_by_https	Standardwert: 0 Zulässige Werte: 0: Browser schickt Ticket immer mit. 1: Browser schickt Ticket nur bei HTTPS- Verbindungen mit.	Gibt an wie das beim Anmelden über HTTP(S) erzeugte Anmeldeticket auf dem Browser gesetzt wird. Verfügbar ab Release 4.6D
login/ticket_only_to_host	Standardwert: 0 Zulässige Werte: 0: Sendet das Ticket an alle Server in der Domäne. 1: Sendet das Ticket, beim Anmelden über HTTP(S), nur an den Server, der das Ticket erzeugt hat.	Gibt an wie das beim Anmelden über HTTP(S) erzeugte Anmeldeticket auf dem Browser gesetzt wird. Verfügbar ab Release 4.6D

Weitere Login-Parameter

Parameter	Wert	Beschreibung
login/disable_cpic	Standardwert: 0 Zulässige Werte: 0, 1 (Einheit: Boolesch) 1: Lehnt ankommende Verbindungen vom Typ CPIC ab. Ankommende Verbindungen vom Typ RFC bleiben unbeeinflusst.	Ablehnung ankommender Verbindungen vom Typ CPIC
login/no_automatic_user_sapstar	Standardwert: 1, d.h. Sie müssen den Notfallbenutzer explizit aktivieren Zulässige Werte: 0, 1	Kontrolle des Notfallbenutzers SAP* (SAP-Hinweise 2383 und 68048)
login/system_client	Standardwert: 000 Zulässige Werte: 000 - 999	Gibt den Standardmandanten an, den das System automatisch im Anmeldebildschirm einträgt. Die Benutzer können die Vorgabe allerdings mit einem anderen Mandanten überschreiben
login/update_logon_timestamp	Standardwert: m Zulässige Werte: d: tagesgenau h: stundengenau m: minutengenau s: sekundengenau (abwärtskompatibel)	Gibt die Genauigkeit des Anmeldezeitstempels an. Verfügbar ab Release 4.6

Weitere Benutzerparameter

Parameter	Wert	Beschreibung
rdisp/gui_auto_logout	Standardwert: 0 (keine Beschränkung) Zulässige Werte: beliebiger numerischer Wert	Legt die maximale Leerlaufzeit für einen Benutzer in Sekunden fest (gilt nur für SAP-GUI-Verbindungen).

Parameter

Wert

Beschreibung

rdisp/gui_auto_logout

Standardwert: 0 (keine Beschränkung)

Zulässige Werte: beliebiger numerischer Wert

Legt die maximale Leerlaufzeit für einen Benutzer in Sekunden fest (gilt nur für SAP-GUI-Verbindungen).