É possível qualifica atributos de usuário por local. Uma nova opção de qualificador para os comandos usermod(1M) e rolemod(1M) podem indicar o host ou o netgroup ao qual os atributos do usuário se aplicam. Por padrão, uma entrada local correspondente ao usuário ou função nomeada possui a precedência mais alta. Se não houver entrada local, uma consulta LDAP será iniciada, a qual retornará a entrada cujo nome de host corresponde ao host atual, ou a primeira entrada correspondente a um dos netgroups do usuário. Caso contrário, os atributos de usuário não qualificados serão usados.
Uma nova política baseada em hora para acesso aos serviços PAM pode ser especificado com a nova palavra-chave access_times do comando useradd(1M). É possível usar essa palavra-chave para especificar os dias e os horários em que cada usuário pode se autenticar a serviços PAM específicos. Por exemplo, o uso do SSH pode ser restringido para o período da manhã.