Profilparameter zu Anmeldung und Kennwort
(Login-Parameter)
Folgende Tabellen führen die
Profilparameter auf, mit denen Sie Kennwort- und Anmelderegeln einstellen
können. Diese Profilparameter setzen die Minimalanforderungen an Kennwörter
fest, z. B. dass das Kennwort mindestens drei Sonderzeichen enthalten
muss. Obergrenzen für Kennwortregeln können nicht gesetzt werden, z. B.
können die Benutzer unter Beachtung der übrigen Kennwortregeln beliebig viele
Sonderzeichen verwenden. Die Vorgehensweise wie Sie Profilparameter ändern,
finden Sie unter
Profilparameter ändern
und umschalten.
Damit die Parameter im ganzen SAP-System gültig sind (Systemprofilparameter), müssen Sie sie im Standardsystemprofil DEFAULT.PFL setzen. Sollen die Parameter dagegen nur für eine bestimmte Instanz gelten, setzen Sie sie in den Profilen der Anwendungsserver im SAP-System.
Um die Dokumentation zu einem der Parameter anzuzeigen, wählen Sie Werkzeuge ® CCMS ® Konfiguration ® Profilpflege (Transaktion RZ10), geben den Parameternamen an und wählen Anzeigen. Auf dem folgenden Bild wählen Sie die Drucktaste Dokumentation.
Kennwortregeln
Parameter |
Bedeutung |
login/min_password_lng |
Legt die Mindestlänge des Kennworts fest. Standardwert: 6; zulässige Werte: 3 – 40 Bis einschließlich SAP NetWeaver 6.40 bis 8 Zeichen. |
login/min_password_digits |
Legt die Mindestanzahl von Ziffern (0 - 9) in Kennwörtern fest. Standardwert: 0; zulässige Werte: 0 – 40 Verfügbar ab Release 6.10. (Bis einschließlich SAP NetWeaver 6.40 bis 8 Zeichen.) |
login/min_password_letters |
Legt die Mindestanzahl von Buchstaben (A - Z) in Kennwörtern fest. Standardwert 0; zulässige Werte: 0 – 40 Verfügbar ab Release 6.10. (Bis einschließlich SAP NetWeaver 6.40 bis 8 Zeichen.) |
login/min_password_lowercase |
Gibt an, wie viele Zeichen in Kleinbuchstaben ein Kennwort enthalten muss. Zulässige Werte: 0 - 40; Vorschlagswert 0 Verfügbar nach SAP NetWeaver 6.40 |
login/min_password_uppercase |
Gibt an, wie viele Zeichen in Großbuchstaben ein Kennwort enthalten muss. Zulässige Werte: 0 - 40; Vorschlagswert 0 Verfügbar nach SAP NetWeaver 6.40 |
login/min_password_specials |
Legt die Mindestanzahl von Sonderzeichen in Kennwörtern fest. Zulässige Sonderzeichen sind insbesondere !"@ $%&/()=?’*+~#-_.,;:{[]}\<>│und das Leerzeichen sowie der Accent grave. Nach SAP NetWeaver 6.40 gelten alle Zeichen als Sonderzeichen, die weder Ziffern noch Buchstaben sind. Standardwert: 0; Zulässige Werte: 0 – 40 Verfügbar ab Release 6.10. (Bis einschließlich SAP NetWeaver 6.40 bis 8 Zeichen.) |
login/password_charset |
Dieser Parameter legt fest, aus welchen Zeichen ein Kennwort bestehen darf. Zulässige Werte: ● 0 (restriktiv): Das Kennwort darf nur aus Ziffern, Buchstaben und folgenden (ASCII-)Sonderzeichen bestehen: !"@ $%&/()=?’*+~#-_.,;:{[]}\<>│ sowie dem Leerzeichen und dem Accent grave ● 1 (abwärtskompatibel, Vorgabewert): Das Kennwort darf aus beliebigen Zeichen, einschließlich nationaler Sonderzeichen (z. B. ä, ç, ß aus ISO Latin-1, 8859-1), bestehen. Allerdings werden alle Zeichen, die nicht in der oben genannten Menge (bei Wert = 0) enthalten sind, auf das gleiche Sonderzeichen abgebildet und daher nicht unterschieden. ● 2 (nicht abwärtskompatibel): Das Kennwort darf aus beliebigen Zeichen bestehen. Es wird intern in das Unicode-Format UTF-8 konvertiert. Wenn Ihr System Unicode nicht unterstützt, können Sie auf dem Anmeldebild möglicherweise nicht alle Zeichen eingeben. Diese Einschränkung ist durch die von der Systemsprache vorgegebene Codepage bedingt.
Durch login/password_charset = 2 werden Kennwörter in einer Form gespeichert, die Systeme mit älterem Kernel nicht interpretieren können. Erst nachdem Sie sichergestellt haben, dass alle beteiligten Systeme die neue Kennwortkodierung unterstützten, dürfen Sie den Profilparameter auf den Wert 2 setzen. Im Standard ab Release 6.40 verfügbar. |
Kennwortanmeldung |
|
login/password_compliance_to_current_policy |
Zulässige Werte: 0 - Keine Prüfung; 1 - Das System prüft während der Kennwortanmeldung, ob das aktuelle Kennwort den aktuellen Kennwortregeln entspricht und erzwingt eine Kennwortänderung, wenn dies nicht der Fall ist. Vorschlagswert: 0 Verfügbar nach SAP NetWeaver 6.40 |
login/disable_password_logon |
Steuert die Deaktivierung der kennwortbasierten Anmeldung. Der Benutzer kann sich dann nicht mehr mit dem Kennwort anmelden, sondern nur noch mit Single-Sign-On-Varianten (X.509-Zertifikat, Anmeldeticket). Siehe Registerkarte Logondaten. Verfügbar ab Release 6.10, per Support Package ab Release 4.6 |
login/password_logon_usergroup |
Steuert die Deaktivierung kennwortbasierter Anmeldung für Benutzergruppen. Verfügbar ab Release 6.10, per Support Package ab Release 4.6 |
login/password_max_idle_productive |
Gibt die maximale Frist an, in der ein produktives Kennwort (vom Benutzer gewähltes Kennwort) gültig bleibt, wenn es nicht benutzt wird. Nachdem diese Frist abgelaufen ist, kann das Kennwort nicht mehr zur Authentifizierung verwendet werden. Der Benutzeradministrator kann die Kennwortanmeldung durch Zuweisen eines neuen Initialkennworts reaktivieren. Zulässige Werte: 0 - 24.000 (Einheit: Tage); Vorschlagswert 0, d. h. die Prüfung ist deaktiviert Verfügbar nach SAP NetWeaver 6.40 |
login/password_max_idle_initial |
Gibt die maximale Frist an, in der ein Initialkennwort (vom Benutzeradministrator gewähltes Kennwort) gültig bleibt, wenn es nicht benutzt wird. Nachdem diese Frist abgelaufen ist, kann das Kennwort nicht mehr zur Authentifizierung verwendet werden. Der Benutzeradministrator kann die Kennwortanmeldung durch Zuweisen eines neuen Initialkennworts reaktivieren. Dieser Parameter ersetzt die Profilparameter login/password_max_new_valid und login/password_max_reset_valid. Zulässige Werte: 0 - 24.000 (Einheit: Tage); Vorschlagswert 0, d. h. die Prüfung ist deaktiviert Verfügbar nach SAP NetWeaver 6.40 |
login/password_max_new_valid |
Legt die Gültigkeitsdauer des Kennworts für neu angelegte Benutzer fest. Nur in SAP Web Application Server 6.20 und 6.40 verfügbar. |
login/password_max_reset_valid |
Legt die Gültigkeitsdauer zurückgesetzter Kennwörter fest. Nur in SAP Web Application Server 6.20 und 6.40 verfügbar. |
Kennwortänderungen |
|
login/min_password_diff |
Definiert die Mindestanzahl Zeichen, die im neuen Kennwort im Vergleich zum alten anders sein müssen. Standardwert: 1; zulässige Werte: 1 – 40 Verfügbar ab Release 6.10. (Bis einschließlich SAP NetWeaver 6.40 bis 8 Zeichen.) |
login/password_expiration_time |
Legt die Gültigkeitsdauer von Kennwörtern in Tagen fest. Standardwert: 0; zulässige Werte: 0 - 1000 |
login/password_change_for_SSO |
Überprüft bei Anmeldung mit Single Sign-On, ob der Benutzer sein Kennwort ändern muss. Verfügbar ab Release 6.10, per Support Package ab Release 4.6 |
login/password_history_size |
Gibt die Anzahl der (vom Benutzer, nicht vom Administrator gewählten) Kennwörter an, die das System ablegt und die der Benutzer nicht wieder verwenden kann. Zulässige Werte: 1 - 100 (Einheit: Anzahl Einträge); Vorschlagswert: 5 Verfügbar nach SAP NetWeaver 6.40 |
login/password_change_waittime |
Gibt die Anzahl Tage an, die ein Benutzer bis zur nächsten Kennwortänderung warten muss. Zulässige Werte: 1 - 1.000 (Einheit: Tage); Vorschlagswert: 1 Verfügbar nach SAP NetWeaver 6.40 |
Weitere Kennwortprofilparameter |
|
login/password_downwards_compatibility |
Legt den Grad der zu erreichenden Abwärtskompatibilität fest. Der Vorschlagswert ist 1, wobei die Werte folgende Bedeutung haben: 0
Durch login/password_downwards_compatibility = 0 werden Kennwörter in einer Form gespeichert, die Systeme mit älterem Kernel nicht interpretieren können. Das System erzeugt nur neue (abwärtsinkompatible) Kennwort-Hash-Werte. 1 System erzeugt intern zusätzlich abwärtskompatible Kennwort-Hash-Werte, wertet diese aber nicht bei der Anmeldung mit Kennwort (am eigenen System) aus. Diese Einstellung ist erforderlich, wenn dieses System als Zentralsystem einer Zentralen Benutzerverwaltung verwendet wird und auch Systeme, die nur abwärtskompatible Kennwort-Hash-Werte unterstützen, am Systemverbund angeschlossen sind. 2 System erzeugt intern zusätzlich abwärtskompatible Kennwort-Hash-Werte, die es auswertet, wenn eine Anmeldung mit dem neuen, nicht abwärtskompatiblen Kennwort fehlgeschlug. Damit prüft das System, ob die Anmeldung mit dem abwärtskompatiblen Kennwort (nach 8 Zeichen abgeschnitten und in Großbuchstaben konvertiert) akzeptiert worden wäre. Dies wird im Systemprotokoll aufgezeichnet. Die Anmeldung schlägt fehl. Diese Einstellung dient zur Erkennung von Abwärtsinkompatibilitätsproblemen. 3 wie bei 2; die Anmeldung wird aber als erfolgreich betrachtet. Diese Einstellung dient zur Umgehung von Abwärtsinkompatibilitätsproblemen. 4 wie bei 3; es wird aber kein Eintrag im Systemprotokoll angelegt. 5 vollständige Abwärtskompatibilität: System stellt nur abwärtskompatible Kennwort-Hash-Werte aus. Verfügbar nach SAP NetWeaver 6.40 |
Mehrfachanmeldung
Parameter |
Bedeutung |
login/disable_multi_gui_login |
Steuert die Deaktivierung der mehrfachen Dialoganmeldung. Verfügbar ab Release 4.6 |
login/multi_login_users |
Liste der Ausnahmebenutzer, d. h. der Benutzer, die sich mehrfach am System anmelden dürfen. Verfügbar ab Release 4.6 |
Falschanmeldung
Parameter |
Bedeutung |
login/fails_to_session_end |
Legt die Anzahl der erfolglosen Anmeldeversuche fest, bevor das System keine neuen Anmeldeversuche mehr zulässt. Der Parameter sollte auf einen niedrigeren Wert gesetzt werden, als der des Parameters login/fails_to_user_lock. Standardwert: 3; zulässige Werte: 1 - 99 |
login/fails_to_user_lock |
Legt die Anzahl der erfolglosen Anmeldeversuche fest, bevor das System den Benutzer sperrt. Standardwert: 5; zulässige Werte: 1 - 99 |
login/failed_user_auto_unlock |
Legt fest, ob Benutzersperren aufgrund erfolgloser Anmeldeversuche um Mitternacht automatisch wieder aufgehoben werden. Standardwert: 0 (Sperren auf Grund von Falschanmeldungen bleiben unbegrenzt lange gültig); zulässige Werte: 0, 1 |
Anmeldung SSO-Ticket
Parameter |
Bedeutung |
login/accept_sso2_ticket |
Lässt die Anmeldung per SSO-Ticket zu oder sperrt sie. Verfügbar ab Release 4.6D, per Support Package ab Release 4.0 |
login/create_sso2_ticket |
Lässt die Erzeugung von SSO-Tickets zu. Verfügbar ab Release 4.6D |
login/ticket_expiration_time |
Legt die Gültigkeitsdauer eines SSO-Tickets fest. Standardwert: 8, Einheit: Stunden Verfügbar ab Release 4.6D |
login/ticket_only_by_https |
Das Anmeldeticket wird nur über http(s) übertragen. Verfügbar ab Release 4.6D |
login/ticket_only_to_host |
Sendet das Ticket, beim Anmelden über http(s), nur an den Server, der das Ticket erzeugt hat. Verfügbar ab Release 4.6D |
Weitere Login-Parameter
Parameter |
Bedeutung |
login/disable_cpic |
Ablehnung ankommender Verbindungen vom Typ CPIC |
login/no_automatic_user_sapstar |
Kontrolle des Notfall-Benutzers SAP* (Hinweise 2383 und 68048) Standardwert: 1, d. h. der Notfallbenutzer muss explizit aktiviert werden Zulässige Werte: 0, 1 |
login/system_client |
Gibt den Standardmandanten an, der automatisch im Anmeldebildschirm eingetragen wird. Die Benutzer können die Vorgabe allerdings mit einem anderen Mandanten überschreiben |
login/update_logon_timestamp |
Gibt die Genauigkeit des Anmeldezeitstempels an. Verfügbar ab Release 4.6 |
Weitere Benutzerparameter
Parameter |
Bedeutung |
rdisp/gui_auto_logout |
Legt die maximale Leerlaufzeit für einen Benutzer in Sekunden fest (gilt nur für SAP-GUI-Verbindungen). Standardwert: 0 (keine Beschränkung); zulässige Werte: beliebiger numerischer Wert |