大家好，

在本博客中，我将举例说明在我们的环境中使用CUA系统以及某些连接的子系统时，在为用户更改密码时，我是如何遇到并排序以下错误日志的"密码哈希被拒绝；密码被停用"，然后通过SAP最新哈希程序iSSHA-1保护景观。

现在错误"密码哈希被拒绝；密码被停用"可能是由于许多情况而导致的，这取决于SAP内核版本和参数login/password\donwards\u兼容性（参数将在后面讨论）。

我们将寻找一种常见的情况，即CUA中央系统处于较低版本7.00或7.01，而子系统处于较高版本release>=7.02.

首先我们将看到对哈希算法的简短介绍。

基础知识

SAP使用许多（取决于内核版本）加密算法来管理密码。这些算法所做的是，在用户创建新的/重置的纯文本密码时，将转换为特定文本的唯一签名，称为哈希。

请注意，哈希本身不是加密。它是通过加密函数生成的特定文本的唯一字符串（由特殊字符/数字/字母组成）。唯一的哈希值无法转换回原始文本。

在SAP中，此哈希值存储在表USR02中，并根据其代码版本进行分类。代码版本定义如何计算密码散列。

每当用户执行基于密码的身份验证时，免费企业管理软件，输入的散列值将与存储的散列值进行比较，并基于匹配授予/拒绝访问。

根据下表，代码版本可以从A-I&X.

现在代码版本A-E对MD5（消息摘要算法5）哈希算法进行分类。生成的哈希值存储在表列BCODE中。

在SAP内核版本=7.02，则参数值0将要求子系统仅使用最新支持的算法，即iSSHA-1（PWDSALTEDHASH），用于版本>=7.02。

对于版本>=7.02，您可以使用参数login/password\u hash\u算法检查内核设置的哈希过程的默认值。您不需要更改此值。

在这种情况下，来自中央系统的哈希值将被拒绝，密码将被停用，即代码版本设置为X。

情况C：子系统具有login/password\u donwards\u compatibility=1

为避免情况B哈希拒绝，可以在子系统中设置login/password\u donwards\u compatibility=1。这样子系统从入站IDOC传输所有哈希值，并将其存储在本地。

例如：

对于用户的密码重置，下面是从基础版本为7.01的中央系统生成的出站IDOC。

由于子系统处于更高版本>=7.02，参数值login/password\u donwards\u compatibility=1允许它可以在本地存储传输的哈希值和代码版本"F"。

使用初始密码，个人用云服务器，一旦密码在子系统中生效，所有支持的哈希值（BCODE；PASSCODE&PWDSALTEDHASH）都将被计算和存储。

但是，在密码登录期间（在子系统中），旧的哈希值不会被评估，仅计算最新哈希值，即PWDSALTEDHASH&Code version设置为i.

如果参数值设置为0，子系统（基于其7.31版）预期会从中央系统获得PWDSALTEDHASH，并拒绝旧的哈希值密码，云服务器租用，错误如下：

尽管设置login/password\u donwards\u compatibility=1选项有效，但会阻止子系统使用最安全的设置，大数据视频，即登录/密码\u donwards \u兼容性=0.

为了避免这种潜在的安全风险，中央系统内核版本必须更新为>=7.02。

一旦所有中央系统和子系统处于同一版本>=7.02，我们可以设置参数值login/password\u donwards\u compatibility=0，并通过执行report CLEANUP\u password\u hash\u values清除旧的哈希值。然后，整个场景将使用代码版本为H的iSSHA-1算法。

注意：

如果为参数login/password\u donwards\u兼容性设置了值5，则参数login/password\u hash\u算法将无效。由于系统只生成最大向下兼容的哈希值，大数据算法，即BCODE.

因此，出于安全原因，不使用值5.

希望您能找到有用的信息。