Profilparameter zu Anmeldung und Kennwort (Login-Parameter)

Verwenden Sie Profilparameter zum Setzen der Kennwort- und Anmelderegeln.

Diese Profilparameter setzen die Minimalanforderungen für Kennwörter fest. Mit Ausnahme von generierten Kennwörtern können Sie für Kennwortregeln Obergrenzen festlegen. Die Benutzer können z.B. bei Beachtung der übrigen Kennwortregeln beliebig viele Sonderzeichen verwenden.

Die durch Sicherheitsrichtlinien abgelösten Profilparameter finden Sie in der letzten Tabelle. Sie können diese Parameter weiterhin anstelle der Sicherheitsrichtlinien verwenden. Sie können in diesem Fall jedoch das Systemverhalten nicht benutzerspezifisch steuern.

Hinweis

Damit die Parameter im ganzen ABAP-System gültig sind (Systemprofilparameter), müssen Sie sie im Standardsystemprofil DEFAULT.PFL setzen. Sollen die Parameter dagegen nur für eine bestimmte Instanz gelten, setzen Sie die Parameter in den Profilen der Systemanwendungsserver.

Um die Parameterdokumentation anzuzeigen, geben Sie in der Pflege der Profilparameter (Transaktion RZ11) den Parameternamen an und wählen Anzeigen. On the next screen, choose the Documentation button.

Tabelle 1: Kennwortregeln
Parameter	Wert	Beschreibung
login/password_charset	Standard: 1 Zulässige Werte: 0: Restriktiv. Das Kennwort darf nur aus Ziffern, Buchstaben und folgenden (ASCII-)Sonderzeichen bestehen: !"@ $%&/()=?'*+~#-_.,;:{[]}\<>, and space and the grave accent. 1: Abwärtskompatibel. Das Kennwort darf aus beliebigen Zeichen, einschließlich nationaler Sonderzeichen (z. B. ä, ç, ß aus ISO Latin-1, 8859-1), bestehen. Allerdings werden alle Zeichen, die nicht in der oben genannten Menge (bei Wert = 0) enthalten sind, auf das gleiche Sonderzeichen abgebildet und daher nicht unterschieden. 2: Nicht abwärtskompatibel. Das Kennwort darf aus beliebigen Zeichen bestehen. Es wird intern in das Unicode-Format UTF-8 konvertiert. Wenn Ihr System Unicode nicht unterstützt, können Sie auf dem Anmeldebild möglicherweise nicht alle Zeichen eingeben. Diese Einschränkung ist durch die von der Systemsprache vorgegebene Codepage bedingt.	Dieser Parameter legt fest, aus welchen Zeichen ein Kennwort bestehen darf. Achtung With login/password_charset = 2, the system stores passwords in a format that systems with older kernels cannot interpret. Stellen Sie daher erst sicher, dass alle beteiligten Systeme die neue Kennwortkodierung unterstützen, bevor Sie den Profilparameter auf den Wert 2 setzen.

Tabelle 2: Kennwort-Hash
Parameter	Value	Description
login/password_downwards_compatibility	Default: 1 Permissible values: 0: Sichert Kennwörter in einer Form, die Systeme mit älterem Kernel nicht interpretieren können. Das System erzeugt nur neue (nicht abwärtskompatible) Kennwort-Hash-Werte. 1: System erzeugt intern zusätzlich abwärtskompatible Kennwort-Hash-Werte, wertet diese aber nicht bei der Anmeldung mit Kennwort (am eigenen System) aus. Diese Einstellung ist erforderlich, wenn Sie dieses System als Zentralsystem einer Zentralen Benutzerverwaltung betreiben und auch Systeme, die nur abwärtskompatible Kennwort-Hash-Werte unterstützen, am Systemverbund angeschlossen sind. 2: System erzeugt intern zusätzlich abwärtskompatible Kennwort-Hash-Werte, die es auswertet, wenn eine Anmeldung mit dem neuen, nicht abwärtskompatiblen Kennwort fehlschlug. Damit prüft das System, ob es die Anmeldung mit dem abwärtskompatiblen Kennwort (nach 8 Zeichen abgeschnitten und in Großbuchstaben konvertiert) akzeptiert hätte. Dies zeichnet das System im Systemprotokoll auf. Die Anmeldung schlägt fehl. Diese Einstellung dient der Erkennung von Abwärtsinkompatibilitätsproblemen. 3: Wie bei 2, die Anmeldung gilt aber als erfolgreich. Diese Einstellung dient zur Umgehung von Abwärtsinkompatibilitätsproblemen. 4: Wie bei 3, das System legt aber keinen Eintrag im Systemprotokoll an. 5: Vollständige Abwärtskompatibilität: Das System stellt nur abwärtskompatible Kennwort-Hash-Werte aus.	Legt den Grad der Abwärtskompatibilität fest. Achtung With login/password_downwards_compatibility = 0, the system stores passwords in a format that systems with older kernels cannot interpret. Stellen Sie daher erst sicher, dass alle beteiligten Systeme die neue Kennwortkodierung unterstützen, bevor Sie den Profilparameter auf den Wert 0 setzen.
login/password_hash_algorithm	Standard: Abhängig von der Kernel-Version Permissible values: see 991968 (unit: spezielle Zeichenfolge).	Gibt bei der Berechnung neuer Kennwort-Hash-Werte das Hash-Verfahren und das Kodierungsformat an. Normalerweise brauchen Sie den vom Kernel vorgegebenen Vorschlagswert nicht zu ändern. Hinweis If the profile parameter login/password_downwards_compatibility has the value 5, only backward compatible passwords are permissible. This means that the parameter login/password_hash_algorithm would be meaningless.

Tabelle 3: Mehrfachanmeldung
Parameter	Value	Description
login/disable_multi_gui_login	Default: 0 Permissible values: 0, 1 1: Das System blockt mehrere Dialoganmeldungen im selben Mandanten und unter demselben Benutzernamen ab.	Steuert die Deaktivierung der mehrfachen Dialoganmeldung.
login/multi_login_users	Standard: `<empty_list>`	Liste der Ausnahmebenutzer, d.h. der Benutzer, die sich mehrfach am System anmelden dürfen.

Tabelle 4: Falschanmeldung
Parameter	Value	Description
login/fails_to_session_end	Default: 3 Permissible values: 1 - 99	Legt die Anzahl der erfolglosen Anmeldeversuche fest, bevor das System keine neuen Anmeldeversuche mehr zulässt. Sie sollten den Parameter auf einen niedrigeren Wert setzen als der des Parameters login/fails_to_user_lock.

Tabelle 5: Anmeldung mit Single-Sign-On-(SSO)-Ticket
Parameter	Value	Description
login/accept_sso2_ticket	Default: 0 Permissible values: 0: Anmeldung per SSO-Ticket ist deaktiviert. 1: Anmeldung per SSO-Ticket ist zulässig.	Lässt die Anmeldung per SSO-Ticket zu oder sperrt sie.
login/create_sso2_ticket	Default: 0 Permissible values: 0: Ticket-Erzeugung ist deaktiviert 1: SSO-Ticket einschließlich Zertifikat 2: SSO-Ticket ohne Zertifikat	Lässt die Erzeugung von SSO-Tickets zu. Empfehlung SAP empfiehlt Ihnen, dies auf 2 zu setzen. Die SSO-Tickets sind ohne das Zertifikat bedeutend kleiner und haben somit weniger Overhead.
login/ticket_expiration_time	Standardwert: 8 (in hours)	Legt die Gültigkeitsdauer eines SSO-Tickets fest.
login/ticket_only_by_https	Default: 0 Permissible values: 0: Browser schickt Ticket immer mit. 1: Browser schickt Ticket nur bei HTTPS- Verbindungen mit.	Gibt an, wie das beim Anmelden über HTTP(S) erzeugte Anmeldeticket auf dem Browser gesetzt wird.
login/ticket_only_to_host	Default: 0 Permissible values: 0: Sendet das Ticket an alle Server in der Domäne. 1: Sendet das Ticket beim Anmelden über HTTP(S) nur an den Server, der das Ticket erzeugt hat.	Specifies how the system sets the logon ticket, generated at logon using HTTP(S), in the browser.

Tabelle 6: Weitere Anmeldeparameter
Parameter	Value	Description
login/disable_cpic	Default: 0 Permissible values: 0, 1 (Boolean) 1: Lehnt ankommende Verbindungen vom Typ CPIC ab. Ankommende Verbindungen vom Typ RFC bleiben unbeeinflusst.	Ablehnung ankommender Verbindungen vom Typ CPIC
login/no_automatic_user_sapstar	Standard: 1, d.h. Sie müssen den Notfallbenutzer explizit aktivieren Permissible values: 0, 1	Aktivieren Sie den Notfallbenutzer SAP*. For more information, see 2383 and 68048 )
login/server_logon_restriction	Default: 0 Permissible values: 0: Normaler Betrieb. Benutzer können sich normal am System anmelden. 1: Only users with the security policy attribute SERVER_LOGON_PRIVILEGE with the value 1 can log on to the system. 2: Es können sich keine Benutzer am System anmelden.	Verwenden Sie diesen Profilparameter, um zu verhindern, dass sich andere Benutzer am System anmelden. Dies kann während Systemwartungen hilfreich sein. Diese Funktion erfordert spezifische Kernel-Releases. Weitere Informationen finden Sie unter 1891583 .
login/system_client	Default: 000 Permissible values: 000 - 999	Gibt den Standardmandanten an, den das System automatisch im Anmeldebildschirm einträgt. Die Benutzer können die Vorgabe allerdings mit einem anderen Mandanten überschreiben.
login/update_logon_timestamp	Standard: m Permissible values: d: auf den Tag genau h: auf die Stunde genau m: auf die Minute genau s: auf die Sekunde genau (abwärtskompatibel)	Gibt die Genauigkeit des Anmeldezeitstempels an.

Tabelle 7: Benutzerparameter
Parameter	Value	Description
rdisp/gui_auto_logout	Default: 0 (unrestricted) Zulässige Werte: beliebiger numerischer Wert	Defines the maximum idle time for a user in seconds (applies only for SAP GUI connections).

Tabelle 8: Durch Sicherheitsrichtlinien abgelöste Parameter
Parameter	Sicherheitsrichtlinienattribut	Value	Description
login/min_password_lng	MIN_PASSWORD_LENGTH	Default: 6 Permissible values: 3 - 40	Legt die Mindestlänge des Kennworts fest.
login/min_password_digits	MIN_PASSWORD_DIGITS	Standardwert: 0 Permissible values: 0 - 40	Legt die Mindestanzahl von Ziffern (0 - 9) in Kennwörtern fest.
login/min_password_letters	MIN_PASSWORD_LETTERS	Default Value: 0 Zulässige Werte: 0 - 40	Legt die Mindestanzahl von Buchstaben (A - Z) in Kennwörtern fest.
login/min_password_lowercase	MIN_PASSWORD_LOWERCASE	Default Value: 0 Permissible Values: 0 - 40	Gibt an, wie viele Zeichen in Kleinbuchstaben ein Kennwort enthalten muss.
login/min_password_uppercase	MIN_PASSWORD_UPPERCASE	Default Value: 0 Permissible Values: 0 - 40	Gibt an, wie viele Zeichen in Großbuchstaben ein Kennwort enthalten muss.
login/min_password_specials	MIN_PASSWORD_SPECIALS	Default Value: 0 Permissible Values: 0 - 40	Legt die Mindestanzahl von Sonderzeichen in Kennwörtern fest. Alle Zeichen, die weder Ziffern noch Buchstaben sind, gelten als Sonderzeichen.
login/password_compliance_to_current_policy	PASSWORD_COMPLIANCE_TO_CURRENT_POLICY	Default: 0 Permissible values: 0: Keine Prüfung 1: Das System prüft während der Kennwortanmeldung, ob das aktuelle Kennwort den aktuellen Kennwortregeln entspricht. Ist dies nicht der Fall, erzwingt es eine Kennwortänderung.	Wird verwendet, um zu überprüfen, dass das Kennwort den aktuellen Sicherheitsrichtlinien entspricht.
login/disable_password_logon	DISABLE_PASSWORD_LOGON	Default: 0 Permissible values: 0: Kennwortanmeldung ist möglich 1: Kennwortanmeldung ist nur für Benutzer der in Parameter login/password_logon_usergroup angegebenen Gruppe möglich. 2: Kennwortanmeldung ist generell nicht mehr möglich.	Steuert die Deaktivierung der kennwortbasierten Anmeldung. Der Benutzer kann sich dann nicht mehr mit dem Kennwort anmelden, sondern nur noch mit Single-Sign-On-Varianten (X.509-Zertifikat, Anmeldeticket). Siehe Registerkarte Logondaten.
login/password_logon_usergroup	DISABLE_PASSWORD_LOGON	Standard: `<empty_character_string>`	Steuert die Deaktivierung kennwortbasierter Anmeldung für Benutzergruppen.
login/password_max_idle_productive	MAX_PASSWORD_IDLE_PRODUCTIVE	Default: 0: Die Prüfung ist deaktiviert Permissible Values: 0 - 24,000 (in days)	Specifies the maximum period for which an unused productive password (a password set by the user) remains valid. After this period has expired, the user can no longer use the password for authentication. Der Benutzeradministrator kann die Kennwortanmeldung durch Zuweisen eines neuen Initialkennworts reaktivieren.
login/password_max_idle_initial	MAX_PASSWORD_IDLE_INITIAL	Default: 0: the check is deactivated Permissible Values: 0 - 24,000 (in days)	Gibt die maximale Frist an, in der ein ungenutztes Initialkennwort (vom Benutzeradministrator gewähltes Kennwort) gültig bleibt. Nachdem diese Frist abgelaufen ist, kann der Benutzer das Kennwort nicht mehr zur Authentifizierung verwenden. Der Benutzeradministrator kann die Kennwortanmeldung durch Zuweisen eines neuen Initialkennworts reaktivieren. This parameter replaces the profile parameters login/password_max_new_valid and login/password_max_reset_valid.
login/min_password_diff	MIN_PASSWORD_DIFFERENCE	Default: 1 Permissible values: 1 - 40	Definiert die Mindestanzahl an Zeichen, die im neuen Kennwort im Vergleich zum alten anders sein müssen.
login/password_expiration_time	PASSWORD_CHANGE_INTERVAL	Default: 0 Permissible Values: 0 - 1000 (in days)	Legt die Gültigkeitsdauer von Kennwörtern in Tagen fest.
login/password_change_for_SSO	PASSWORD_CHANGE_FOR_SSO	Default: 1 Permissible values: 0: Kennwortänderungspflicht wird ignoriert (abwärtskompatibel) 1: Dialog box with options 2 and 3 (user decides) 2: Nur Kennwortänderungsdialog (Eingabe: altes und neues Kennwort) 3: Deaktivierung des Kennworts (automatisch, kein Dialogfenster)	Überprüft bei Anmeldung mit Single Sign-On, ob der Benutzer sein Kennwort ändern muss.
login/password_change_waittime	MIN_PASSWORD_CHANGE_WAITTIME	Default: 5 Permissible values: 1 - 100 (number of entries)	Gibt die Anzahl der (vom Benutzer, nicht vom Administrator gewählten) Kennwörter an, die das System ablegt und die der Benutzer nicht wieder verwenden darf.
login/password_change_waittime	MIN_PASSWORD_CHANGE_WAITTIME	Default: 1 Permissible values: 1 - 1000 (in days)	Gibt die Anzahl der Tage an, die ein Benutzer bis zur nächsten Kennwortänderung warten muss.
login/fails_to_user_lock	MAX_FAILED_PASSOWRD_LOGON_ATTEMPTS	Default: 5 Permissible values: 1 - 99	Legt die Anzahl der erfolglosen Anmeldeversuche fest, bevor das System den Benutzer sperrt.
login/failed_user_auto_unlock	PASSWORD_LOCK_EXPIRATION	Standard: 0: Sperren aufgrund von Falschanmeldungen bleiben unbegrenzt lange gültig Permissible values: 0, 1	Legt fest, ob das System Benutzersperren aufgrund erfolgloser Anmeldeversuche um Mitternacht automatisch wieder aufhebt.