Puede cualificar los atributos de usuario por ubicación. Una nueva opción de cualificador para los comandos usermod(1M) and rolemod(1M) puede indicar que se aplicaron los atributos de usuario de host o de grupo de red. De forma predeterminada, una entrada local que coincide con un rol o un usuario nombrado tiene la máxima prioridad. Si no existe una entrada local, se inicia una consulta LDAP, que devuelve la entrada cuyo nombre de host coincide con el host actual, o la primera entrada que coincide con uno de los grupos de red del usuario. De lo contrario, se utilizan los atributos de usuario no cualificado.
Se puede especificar una nueva política basada en tiempo para acceder a los servicios PAM mediante el uso de una nueva palabra clave access_times del comando useradd(1M). Puede utilizar esta palabra clave para especificar los días y horas en los que cada usuario puede autenticarse en los servicios PAM específicos. Por ejemplo, el uso de SSH se puede restringir a los días de la semana por la mañana.