Profilparameter zu Anmeldung und Kennwort (Login-Parameter)

Folgende Tabellen führen die Profilparameter auf, mit denen Sie Kennwort- und Anmelderegeln einstellen können. Diese Profilparameter setzen die Minimalanforderungen für Kennwörter fest. Obergrenzen für Kennwortregeln können Sie dagegen nicht setzen. Ausgenommen davon sind nur einige generierte Kennwörter wie unter Customizing-Schalter für generierte Kennwörter beschrieben. Die Benutzer können z.B. bei Beachtung der übrigen Kennwortregeln beliebig viele Sonderzeichen verwenden. Die Vorgehensweise wie Sie Profilparameter ändern, finden Sie unter Profilparameter ändern und umschalten.

Die durch Sicherheitsrichtlinien abgelösten Profilparameter finden Sie in der letzte Tabelle. Sie können diese Parameter zwar weiterhin anstelle der Sicherheitsrichtlinien verwenden, allerdings können Sie das Systemverhalten dann nicht benutzerspezifisch steuern.

Hinweis Hinweis

Damit die Parameter im ganzen ABAP-System gültig sind (Systemprofilparameter), müssen Sie sie im Standardsystemprofil DEFAULT.PFL setzen. Sollen die Parameter dagegen nur für eine bestimmte Instanz gelten, setzen Sie die Parameter in den Profilen der Systemanwendungsserver.

Ende des Hinweises

Um die Parameterdokumentation anzuzeigen, geben Sie in der Pflege der Profilparameter (Transaktion RZ11) den Parameternamen an und wählen Anzeigen. Wählen Sie auf dem folgenden Bild die Drucktaste Dokumentation.

Kennwortregeln

Parameter	Wert	Beschreibung
login/password_charset	Standard: 1 Zulässige Werte: 0: Restriktiv. Das Kennwort darf nur aus Ziffern, Buchstaben und folgenden (ASCII-)Sonderzeichen bestehen: !"@ $%&/()=?'*+~#-_.,;:{[]}\<> sowie dem Leerzeichen und dem Accent grave. 1: Abwärtskompatibel. Das Kennwort darf aus beliebigen Zeichen, einschließlich nationaler Sonderzeichen (z. B. ä, ç, ß aus ISO Latin-1, 8859-1), bestehen. Allerdings werden alle Zeichen, die nicht in der oben genannten Menge (bei Wert = `0`) enthalten sind, auf das gleiche Sonderzeichen abgebildet und daher nicht unterschieden. 2: Nicht abwärtskompatibel. Das Kennwort darf aus beliebigen Zeichen bestehen. Es wird intern in das Unicode-Format UTF-8 konvertiert. Wenn Ihr System Unicode nicht unterstützt, können Sie auf dem Anmeldebild möglicherweise nicht alle Zeichen eingeben. Diese Einschränkung ist durch die von der Systemsprache vorgegebene Codepage bedingt.	Dieser Parameter legt fest, aus welchen Zeichen ein Kennwort bestehen darf. Im Standard ab Release 6.40 verfügbar. Achtung Bei login/password_charset = 2 sichert das System Kennwörter in einer Form, die Systeme mit älterem Kernel nicht interpretieren können. Stellen Sie daher erst sicher, dass alle beteiligten Systeme die neue Kennwortkodierung unterstützen, bevor Sie den Profilparameter auf den Wert `2` setzen. Ende der Warnung.

Parameter

Wert

Beschreibung

Standard: 1

Zulässige Werte:

0:
Restriktiv. Das Kennwort darf nur aus Ziffern, Buchstaben und folgenden (ASCII-)Sonderzeichen bestehen: !"@ $%&/()=?'*+~#-_.,;:{[]}\<> sowie dem Leerzeichen und dem Accent grave.
1:
Abwärtskompatibel. Das Kennwort darf aus beliebigen Zeichen, einschließlich nationaler Sonderzeichen (z. B. ä, ç, ß aus ISO Latin-1, 8859-1), bestehen. Allerdings werden alle Zeichen, die nicht in der oben genannten Menge (bei Wert = 0) enthalten sind, auf das gleiche Sonderzeichen abgebildet und daher nicht unterschieden.
2:
Nicht abwärtskompatibel. Das Kennwort darf aus beliebigen Zeichen bestehen. Es wird intern in das Unicode-Format UTF-8 konvertiert. Wenn Ihr System Unicode nicht unterstützt, können Sie auf dem Anmeldebild möglicherweise nicht alle Zeichen eingeben. Diese Einschränkung ist durch die von der Systemsprache vorgegebene Codepage bedingt.

Dieser Parameter legt fest, aus welchen Zeichen ein Kennwort bestehen darf.

Im Standard ab Release 6.40 verfügbar.

Achtung Achtung

Bei login/password_charset = 2 sichert das System Kennwörter in einer Form, die Systeme mit älterem Kernel nicht interpretieren können. Stellen Sie daher erst sicher, dass alle beteiligten Systeme die neue Kennwortkodierung unterstützen, bevor Sie den Profilparameter auf den Wert 2 setzen.

Ende der Warnung.

Kennwortanmeldung

Parameter	Wert	Beschreibung
login/password_max_new_valid	Standard: 0 Zulässige Werte: 0 - 24.000 0: Initialkennwort ist unbegrenzte Zeit lang gültig. 1: Initialkennwort ist nur am selben Tag gültig. x: Nach x Tagen lehnt das System die Anmeldung mit initialem Kennwort ab.	Legt die Gültigkeitsdauer des Kennworts für neu angelegte Benutzer fest. Nur in SAP Web Application Server 6.20 und 6.40 verfügbar.
login/password_max_reset_valid	Standard: 0 Zulässige Werte: 0 - 24.000 0: Initialkennwort ist unbegrenzte Zeit lang gültig. 1: Initialkennwort ist nur am selben Tag gültig. x: Nach x Tagen lehnt das System die Anmeldung mit initialem Kennwort ab.	Legt die Gültigkeitsdauer zurückgesetzter Kennwörter fest. Nur in SAP Web Application Server 6.20 und 6.40 verfügbar.

Parameter

Wert

Beschreibung

Standard: 0

Zulässige Werte: 0 - 24.000

0: Initialkennwort ist unbegrenzte Zeit lang gültig.
1: Initialkennwort ist nur am selben Tag gültig.
x: Nach x Tagen lehnt das System die Anmeldung mit initialem Kennwort ab.

Legt die Gültigkeitsdauer des Kennworts für neu angelegte Benutzer fest.

Nur in SAP Web Application Server 6.20 und 6.40 verfügbar.

Standard: 0

Zulässige Werte: 0 - 24.000

0: Initialkennwort ist unbegrenzte Zeit lang gültig.
1: Initialkennwort ist nur am selben Tag gültig.
x: Nach x Tagen lehnt das System die Anmeldung mit initialem Kennwort ab.

Legt die Gültigkeitsdauer zurückgesetzter Kennwörter fest.

Nur in SAP Web Application Server 6.20 und 6.40 verfügbar.

Kennwort-Hash

Parameter	Wert	Beschreibung
login/password_downwards_compatibility	Standard: 1 Zulässige Werte: 0: Sichert Kennwörter in einer Form, die Systeme mit älterem Kernel nicht interpretieren können. Das System erzeugt nur neue (nicht abwärtskompatible) Kennwort-Hash-Werte. 1: System erzeugt intern zusätzlich abwärtskompatible Kennwort-Hash-Werte, wertet diese aber nicht bei der Anmeldung mit Kennwort (am eigenen System) aus. Diese Einstellung ist erforderlich, wenn Sie dieses System als Zentralsystem einer Zentralen Benutzerverwaltung betreiben und auch Systeme, die nur abwärtskompatible Kennwort-Hash-Werte unterstützen, am Systemverbund angeschlossen sind. 2: System erzeugt intern zusätzlich abwärtskompatible Kennwort-Hash-Werte, die es auswertet, wenn eine Anmeldung mit dem neuen, nicht abwärtskompatiblen Kennwort fehlschlug. Damit prüft das System, ob es die Anmeldung mit dem abwärtskompatiblen Kennwort (nach 8 Zeichen abgeschnitten und in Großbuchstaben konvertiert) akzeptiert hätte. Dies zeichnet das System im Systemprotokoll auf. Die Anmeldung schlägt fehl. Diese Einstellung dient der Erkennung von Abwärtsinkompatibilitätsproblemen. 3: Wie bei 2, die Anmeldung gilt aber als erfolgreich. Diese Einstellung dient zur Umgehung von Abwärtsinkompatibilitätsproblemen. 4: Wie bei 3, das System legt aber keinen Eintrag im Systemprotokoll an. 5: Vollständige Abwärtskompatibilität: Das System stellt nur abwärtskompatible Kennwort-Hash-Werte aus.	Legt den Grad der Abwärtskompatibilität fest. Verfügbar ab SAP NetWeaver 7.0 Achtung Bei login/password_downwards_compatibility = 0 sichert das System Kennwörter in einer Form, die Systeme mit älterem Kernel nicht interpretieren können. Stellen Sie daher erst sicher, dass alle beteiligten Systeme die neue Kennwortkodierung unterstützen, bevor Sie den Profilparameter auf den Wert `0` setzen. Ende der Warnung.
login/password_hash_algorithm	Standardwert: Abhängig von der Kernel-Version Zulässige Werte: siehe SAP-Hinweis 991968 (Einheit: spezielle Zeichenkette)	Gibt bei der Berechnung neuer Kennwort-Hash-Werte das Hash-Verfahren und das Kodierungsformat an. Normalerweise brauchen Sie den vom Kernel vorgegebenen Vorschlagswert nicht zu ändern. Hinweis Wenn der Profilparameter login/password_downwards_compatibility den Wert 5 hat, sind nur abwärtskompatible Kennwörter zulässig. Damit wäre der Parameter login/password_hash_algorithm bedeutungslos. Ende des Hinweises Nach SAP NetWeaver 7.0 verfügbar.

Parameter

Wert

Beschreibung

Standard: 1

Zulässige Werte:

0:
Sichert Kennwörter in einer Form, die Systeme mit älterem Kernel nicht interpretieren können. Das System erzeugt nur neue (nicht abwärtskompatible) Kennwort-Hash-Werte.
1:
System erzeugt intern zusätzlich abwärtskompatible Kennwort-Hash-Werte, wertet diese aber nicht bei der Anmeldung mit Kennwort (am eigenen System) aus. Diese Einstellung ist erforderlich, wenn Sie dieses System als Zentralsystem einer Zentralen Benutzerverwaltung betreiben und auch Systeme, die nur abwärtskompatible Kennwort-Hash-Werte unterstützen, am Systemverbund angeschlossen sind.
2:
System erzeugt intern zusätzlich abwärtskompatible Kennwort-Hash-Werte, die es auswertet, wenn eine Anmeldung mit dem neuen, nicht abwärtskompatiblen Kennwort fehlschlug. Damit prüft das System, ob es die Anmeldung mit dem abwärtskompatiblen Kennwort (nach 8 Zeichen abgeschnitten und in Großbuchstaben konvertiert) akzeptiert hätte. Dies zeichnet das System im Systemprotokoll auf. Die Anmeldung schlägt fehl. Diese Einstellung dient der Erkennung von Abwärtsinkompatibilitätsproblemen.
3:
Wie bei 2, die Anmeldung gilt aber als erfolgreich. Diese Einstellung dient zur Umgehung von Abwärtsinkompatibilitätsproblemen.
4:
Wie bei 3, das System legt aber keinen Eintrag im Systemprotokoll an.
5:
Vollständige Abwärtskompatibilität: Das System stellt nur abwärtskompatible Kennwort-Hash-Werte aus.

Legt den Grad der Abwärtskompatibilität fest.

Verfügbar ab SAP NetWeaver 7.0

Achtung Achtung

Bei login/password_downwards_compatibility = 0 sichert das System Kennwörter in einer Form, die Systeme mit älterem Kernel nicht interpretieren können. Stellen Sie daher erst sicher, dass alle beteiligten Systeme die neue Kennwortkodierung unterstützen, bevor Sie den Profilparameter auf den Wert 0 setzen.

Ende der Warnung.

Standardwert: Abhängig von der Kernel-Version

Zulässige Werte: siehe SAP-Hinweis 991968 (Einheit: spezielle Zeichenkette)

Gibt bei der Berechnung neuer Kennwort-Hash-Werte das Hash-Verfahren und das Kodierungsformat an. Normalerweise brauchen Sie den vom Kernel vorgegebenen Vorschlagswert nicht zu ändern.

Hinweis Hinweis

Wenn der Profilparameter login/password_downwards_compatibility den Wert 5 hat, sind nur abwärtskompatible Kennwörter zulässig. Damit wäre der Parameter login/password_hash_algorithm bedeutungslos.

Ende des Hinweises

Nach SAP NetWeaver 7.0 verfügbar.

Mehrfachanmeldung

Parameter	Wert	Beschreibung
login/disable_multi_gui_login	Standardwert: 0 Zulässige Werte: 0, 1 1: Das System blockt mehrere Dialoganmeldungen im selben Mandanten und unter demselben Benutzernamen ab.	Steuert die Deaktivierung der mehrfachen Dialoganmeldung. Verfügbar ab Release 4.6
login/multi_login_users	Standardwert: <leere_Liste>	Liste der Ausnahmebenutzer, d.h. der Benutzer, die sich mehrfach am System anmelden dürfen. Verfügbar ab Release 4.6

Parameter

Wert

Beschreibung

Standardwert: 0

Zulässige Werte: 0, 1

1: Das System blockt mehrere Dialoganmeldungen im selben Mandanten und unter demselben Benutzernamen ab.

Steuert die Deaktivierung der mehrfachen Dialoganmeldung.

Verfügbar ab Release 4.6

Standardwert: <leere_Liste>

Liste der Ausnahmebenutzer, d.h. der Benutzer, die sich mehrfach am System anmelden dürfen.

Verfügbar ab Release 4.6

Falschanmeldung

Parameter	Wert	Beschreibung
login/fails_to_session_end	Standardwert: 3 Zulässige Werte: 1 - 99	Legt die Anzahl der erfolglosen Anmeldeversuche fest, bevor das System keine neuen Anmeldeversuche mehr zulässt. Sie sollten den Parameter auf einen niedrigeren Wert setzen als der des Parameters login/fails_to_user_lock.

Parameter

Wert

Beschreibung

Standardwert: 3

Zulässige Werte: 1 - 99

Legt die Anzahl der erfolglosen Anmeldeversuche fest, bevor das System keine neuen Anmeldeversuche mehr zulässt. Sie sollten den Parameter auf einen niedrigeren Wert setzen als der des Parameters login/fails_to_user_lock.

Anmeldung mit SSO-Ticket

Parameter	Wert	Beschreibung
login/accept_sso2_ticket	Standardwert: 0 Zulässige Werte: 0: Anmeldung per SSO-Ticket ist deaktiviert. 1: Anmeldung mit SSO-Ticket ist zugelassen	Lässt die Anmeldung per SSO-Ticket zu oder sperrt sie. Verfügbar ab Release 4.6D, per Support Package ab Release 4.0
login/create_sso2_ticket	Standardwert: 0 Zulässige Werte: 0: Ticket-Erzeugung ist deaktiviert 1: SSO-Ticket einschl. Zertifikat 2: SSO-Ticket ohne Zertifikat	Lässt die Erzeugung von SSO-Tickets zu. Verfügbar ab Release 4.6D Empfehlung SAP empfiehlt Ihnen, den Wert auf 2 zu setzen. Die SSO-Tickets sind ohne das Zertifikat wesentlich kleiner und haben somit weniger Overhead. Ende der Empfehlung.
login/ticket_expiration_time	Standardwert: 8, Einheit: Stunden	Legt die Gültigkeitsdauer eines SSO-Tickets fest. Verfügbar ab Release 4.6D
login/ticket_only_by_https	Standardwert: 0 Zulässige Werte: 0: Browser schickt Ticket immer mit. 1: Browser schickt Ticket nur bei HTTPS- Verbindungen mit.	Gibt an wie das beim Anmelden über HTTP(S) erzeugte Anmeldeticket auf dem Browser gesetzt wird. Verfügbar ab Release 4.6D
login/ticket_only_to_host	Standardwert: 0 Zulässige Werte: 0: Sendet das Ticket an alle Server in der Domäne. 1: Sendet das Ticket, beim Anmelden über HTTP(S), nur an den Server, der das Ticket erzeugt hat.	Gibt an wie das beim Anmelden über HTTP(S) erzeugte Anmeldeticket auf dem Browser gesetzt wird. Verfügbar ab Release 4.6D

Weitere Anmeldeparameter

Parameter	Wert	Beschreibung
login/disable_cpic	Standardwert: 0 Zulässige Werte: 0, 1 (Einheit: Boolesch) 1: Lehnt ankommende Verbindungen vom Typ CPIC ab. Ankommende Verbindungen vom Typ RFC bleiben unbeeinflusst.	Ablehnung ankommender Verbindungen vom Typ CPIC
login/no_automatic_user_sapstar	Standardwert: 1, d.h. Sie müssen den Notfallbenutzer explizit aktivieren Zulässige Werte: 0, 1	Kontrolle des Notfallbenutzers SAP* (SAP-Hinweise 2383, 68048)
login/system_client	Standardwert: 000 Zulässige Werte: 000 - 999	Gibt den Standardmandanten an, den das System automatisch im Anmeldebildschirm einträgt. Die Benutzer können die Vorgabe allerdings mit einem anderen Mandanten überschreiben
login/update_logon_timestamp	Standardwert: m Zulässige Werte: d: auf den Tag genau h: auf die Stunde genau m : auf die Minute genau s : auf die Sekunde genau (abwärtskompatibel)	Gibt die Genauigkeit des Anmeldezeitstempels an. Verfügbar ab Release 4.6

Benutzerparameter

Parameter	Wert	Beschreibung
rdisp/gui_auto_logout	Standardwert: 0 (keine Beschränkung) Zulässige Werte: beliebiger numerischer Wert	Legt die maximale Leerlaufzeit für einen Benutzer in Sekunden fest (gilt nur für SAP-GUI-Verbindungen).

Parameter

Wert

Beschreibung

rdisp/gui_auto_logout

Standardwert: 0 (keine Beschränkung)

Zulässige Werte: beliebiger numerischer Wert

Legt die maximale Leerlaufzeit für einen Benutzer in Sekunden fest (gilt nur für SAP-GUI-Verbindungen).

Durch Sicherheitsrichtlinien abgelöste Parameter

Parameter	Sicherheitsrichtlinienattribut	Wert	Beschreibung
login/min_password_lng	SECPOL_MIN_PWD_LENGTH	Standardwert: 6 Zulässige Werte: 3 - 40	Legt die Mindestlänge des Kennworts fest. Bis einschließlich SAP NetWeaver 6.40 bis 8 Zeichen.
login/min_password_digits	SECPOL_MIN_PWD_DIGITS	Standardwert: 0 Zulässige Werte: 0 - 40	Legt die Mindestanzahl von Ziffern (0 - 9)in Kennwörtern fest. Verfügbar ab Release 6.10 (bis einschließlich SAP NetWeaver 6.40 bis 8 Zeichen.)
login/min_password_letters	SECPOL_MIN_PWD_LETTERS	Standardwert: 0 Zulässige Werte: 0 - 40	Legt die Mindestanzahl von Buchstaben (A - Z) in Kennwörtern fest. Verfügbar ab Release 6.10 (bis einschließlich SAP NetWeaver 6.40 bis 8 Zeichen.)
login/min_password_lowercase	SECPOL_MIN_PWD_LOWERCASE	Standardwert: 0 Zulässige Werte: 0 - 40	Gibt an, wie viele Zeichen in Kleinbuchstaben ein Kennwort enthalten muss. Verfügbar nach SAP NetWeaver 6.40
login/min_password_uppercase	SECPOL_MIN_PWD_UPPERCASE	Standardwert: 0 Zulässige Werte: 0 - 40	Gibt an, wie viele Zeichen in Großbuchstaben ein Kennwort enthalten muss. Verfügbar nach SAP NetWeaver 6.40
login/min_password_specials	SECPOL_MIN_PWD_SPECIALS	Standardwert: 0 Zulässige Werte: 0 - 40	Legt die Mindestanzahl von Sonderzeichen in Kennwörtern fest. Zulässige Sonderzeichen sind !"@ $%&/()=?'*+~#-_.,;:{[]}\<>│ und das Leerzeichen sowie der Accent grave. Nach SAP NetWeaver 6.40 gelten alle Zeichen als Sonderzeichen, die weder Ziffern noch Buchstaben sind. Verfügbar ab Release 6.10 (bis einschließlich SAP NetWeaver 6.40 bis 8 Zeichen.)
login/password_compliance_to_current_policy	SECPOL_PWDCHG_FOR_POLICY_COMPL	Standardwert: 0 Zulässige Werte: 0: Keine Prüfung 1: Das System prüft während der Kennwortanmeldung, ob das aktuelle Kennwort den aktuellen Kennwortregeln entspricht. Ist dies nicht der Fall erzwingt es eine Kennwortänderung.	Verfügbar nach SAP NetWeaver 6.40
login/disable_password_logon	SECPOL_DISABLE_PASSWORD_LOGON	Standardwert: 0 Zulässige Werte: 0: Kennwortanmeldung ist möglich 1: Kennwortanmeldung ist nur für Benutzer der in Parameter login/password_logon_usergroup angegebenen Gruppe möglich. 2: Kennwortanmeldung ist generell nicht mehr möglich.	Steuert die Deaktivierung der kennwortbasierten Anmeldung. Der Benutzer kann sich dann nicht mehr mit dem Kennwort anmelden, sondern nur noch mit Single-Sign-On-Varianten (X.509-Zertifikat, Anmeldeticket). Siehe Registerkarte Logondaten. Verfügbar ab Release 6.10, per Support Package ab Release 4.6
login/password_logon_usergroup	SECPOL_DISABLE_PASSWORD_LOGON	Standardwert: <leere_Zeichenkette>	Steuert die Deaktivierung kennwortbasierter Anmeldung für Benutzergruppen. Verfügbar ab Release 6.10, per Support Package ab Release 4.6
login/password_max_idle_productive	SECPOL_MAX_PWD_IDLE_PRODUCTIVE	Standardwert: 0: die Prüfung ist deaktiviert Zulässige Werte: 0 - 24.000 (Einheit: Tage)	Gibt die maximale Frist an, in der ein ungenutztes Produktivkennwort (vom Benutzer gewähltes Kennwort) gültig bleibt. Nachdem diese Frist abgelaufen ist, kann der Benutzer das Kennwort nicht mehr zur Authentifizierung verwenden. Der Benutzeradministrator kann die Kennwortanmeldung durch Zuweisen eines neuen Initialkennworts reaktivieren. Verfügbar nach SAP NetWeaver 6.40
login/password_max_idle_initial	SECPOL_MAX_PWD_IDLE_INITIAL	Standardwert: 0: die Prüfung ist deaktiviert Zulässige Werte: 0 - 24.000 (Einheit: Tage)	Gibt die maximale Frist an, in der ein ungenutztes Produktivkennwort (vom Benutzer gewähltes Kennwort) gültig bleibt. Nachdem diese Frist abgelaufen ist, kann der Benutzer das Kennwort nicht mehr zur Authentifizierung verwenden. Der Benutzeradministrator kann die Kennwortanmeldung durch Zuweisen eines neuen Initialkennworts reaktivieren. Dieser Parameter ersetzt die Profilparameter login/password_max_new_valid und login/password_max_reset_valid. Verfügbar nach SAP NetWeaver 6.40
login/min_password_diff	SECPOL_MIN_PWDCHG_DIFFERENCE	Standardwert: 1 Zulässige Werte: 1 - 40	Definiert die Mindestanzahl Zeichen, die im neuen Kennwort im Vergleich zum alten anders sein müssen. Verfügbar ab Release 6.10 (bis einschließlich SAP NetWeaver 6.40 bis 8 Zeichen.)
login/password_expiration_time	SECPOL_PWDCHG_REGULAR_INTERVAL	Standardwert: 0 Zulässige Werte: 0 - 1000	Legt die Gültigkeitsdauer von Kennwörtern in Tagen fest.
login/password_change_for_SSO	SECPOL_PWDCHG_FOR_SSO	Standardwert: 1 Zulässige Werte: 0: Kennwortänderungspflicht wird ignoriert (abwärtskompatibel) 1: Dialogfenster mit Auswahl 2 oder 3 (Benutzer entscheidet) 2: Nur Kennwortänderungsdialog (Eingabe: altes und neues Kennwort) 3: Deaktivierung des Kennworts (automatisch, kein Dialogfenster)	Überprüft bei Anmeldung mit Single Sign-On, ob der Benutzer sein Kennwort ändern muss. Verfügbar ab Release 6.10, per Support Package ab Release 4.6
login/password_change_waittime	SECPOL_MIN_PWDCHG_WAITTIME	Standardwert: 5 Zulässige Werte: 1 - 100 (Einheit: Anzahl Einträge)	Gibt die Anzahl der (vom Benutzer, nicht vom Administrator gewählten) Kennwörter an, die das System ablegt und die der Benutzer nicht wieder verwenden darf. Verfügbar nach SAP NetWeaver 7.0
login/password_change_waittime	SECPOL_MIN_PWDCHG_WAITTIME	Standardwert: 1 Zulässige Werte: 1 - 1.000 (Einheit: Tage)	Gibt die Anzahl Tage an, die ein Benutzer bis zur nächsten Kennwortänderung warten muss. Verfügbar nach SAP NetWeaver 6.40
login/fails_to_user_lock	SECPOL_MAX_PWD_FAILED_ATTEMPTS	Standardwert: 5 Zulässige Werte: 1 - 99	Legt die Anzahl der erfolglosen Anmeldeversuche fest, bevor das System den Benutzer sperrt.
login/failed_user_auto_unlock	SECPOL_PWD_LOCK_EXPIRATION	Standardwert: 0: Sperren aufgrund von Falschanmeldungen bleiben unbegrenzt lange gültig Zulässige Werte: 0, 1	Legt fest, ob das System Benutzersperren aufgrund erfolgloser Anmeldeversuche um Mitternacht automatisch wieder aufhebt.