Připojení DNC zabezpečené pomocí SSH

Použití

Při aktivní správě uživatelů musí také externí aplikace ověřit uživatele, aby bylo možné přiřadit správná práva.

Při DNC-spojení přes RPC nebo LSV2-protokol je spojení vedeno přes SSH-tunel. S tímto mechanismem je vzdálený uživatel přiřazen k uživateli nastavenému v řízení a obdrží jeho práva.

Příbuzná témata

  • Zakázat nezabezpečená spojení
  • Firewall

  • Role pro vzdálené přihlášení
  • Role

Předpoklady

  • Síť TCP/IP
  • Externí počítač jako SSH-klient
  • Řídicí systém jako SSH-server
  • Pár klíčů sestávající z:
    • soukromého klíče
    • veřejného klíče

Popis funkce

Princip přenosu přes SSH-tunel

SSH-spojení se vždy provádí mezi SSH-klientem a SSH-serverem.

Dvojice klíčů slouží k zabezpečení připojení. Tento pár klíčů je generován u klienta. Dvojice klíčů se skládá ze soukromého klíče a veřejného klíče. Soukromý klíč zůstává u klienta. Veřejný klíč je přenesen při seřizování na server, a přiřazen konkrétnímu uživateli.

Klient se pokusí připojit k serveru pod daným uživatelským jménem. Server může použít veřejný klíč k ověření, zda má žadatel o připojení příslušný soukromý klíč. Pokud ano, přijímá SSH-připojení a přiřadí jej uživateli, pro kterého je provedeno přihlášení. Komunikace pak může procházet "tunelem" prostřednictvím tohoto SSH-spojení.

SSH-Verbindung fuer DNC

Použití u externích aplikací

PC-nástroje nabízené fou Heidenhain, jako je například TNCremo od verze v3.3, poskytují všechny funkce pro nastavení, sestavení a správu bezpečného připojení přes SSH-tunel.

Při sestavování připojení se generuje požadovaná dvojice klíčů a veřejný klíč je přenesen do řídicího systému.

Totéž platí i pro aplikace, které používají pro komunikaci HEIDENHAIN DNC-komponenty z RemoTools SDK. Není třeba přizpůsobovat stávající zákaznické aplikace.

 
Tip

Pro rozšíření konfigurace spojení pomocí příslušného nástroje CreateConnections je nutná aktualizace na HEIDENHAIN DNC v1.7.1. Není třeba přizpůsobovat zdrojové kódy zákaznické aplikace.

Seřízení DNC-spojení, zabezpečeného s SSH

  1. SSH-zabezpečené DNC-připojení pro přihlášeného uživatele seřídíte takto:
  2. Zvolte aplikaci Nastaveni
  3. Zvolte Network/Remote Access
  4. Zvolte DNC
  5. Aktivujte přepínač Setup permitted (Nastavení povoleno)
  6. Použijte TNCremo k sestavení zabezpečeného spojení (TCP Secure).
  7.  
    Manual

    Podrobné informace najdete v integrovaném systému nápovědy TNCremo.

  8. TNCremo přenese veřejný klíč do řídicího systému.
  9.  
    Tip

    Aby bylo zajištěno optimální zabezpečení, tak funkci Povolit autentizaci hesla zase vypněte po uložení klíče.

  10. Deaktivujte přepínač Setup permitted (Nastavení povoleno)

Odstranění zabezpečeného spojení

Pokud smažete soukromý klíč v řídicím systému, odstraníte tím možnost zabezpečeného spojení pro uživatele.

  1. Klíč smažete následovně:
  2. Zvolte aplikaci Nastaveni
  3. Zvolte Operační systém
  4. Dvakrát ťukněte nebo klikněte na Current User (Aktuální uživatel)
  5. Řízení otevře okno Aktivní uživatel.
  6. Zvolte Certifikát a klíče
  7. Zvolte klíč ke smazání
  8. Zvolte Smazat SSH klíč
  9. Řízení smaže vybraný klíč.

Upozornění

  • Šifrování, použité v tunelu SSH, také zabezpečuje komunikaci proti útočníkům. 
  • Při OPC UA-spojní se provádí ověření pomocí uloženého uživatelského certifikátu.
  • OPC UA NC Server (opce #56 - #61)

  • Pokud je správa uživatelů aktivní, můžete vytvářet zabezpečená síťová připojení pouze prostřednictvím SSH. Řídicí systém automaticky blokuje připojení LSV2 přes sériová rozhraní (COM1 a COM2) i síťová spojení bez identifikace uživatele.
  • Strojními parametry allowUnsecureLsv2 (č. 135401) a allowUnsecureRpc (č. 135402) výrobce stroje definuje, zda řídicí systém zablokuje nezabezpečená spojení LSV2 nebo RPC také při vypnuté správě uživatelů. Tyto strojní parametry jsou obsažené v datovém objektu CfgDncAllowUnsecur (135400).

  • Konfigurace připojení lze používat společně všemi PC-nástroji HEIDENHAIN k navázání spojení, jakmile byly zřízeny.
  • Veřejný klíč můžete přenést do řídicího systému také pomocí USB flash disku nebo síťového disku.
  • V okně Certifikát a klíče můžete v oblasti Externě spravovaný soubor klíče SSH zvolit soubor s dalšími veřejnými klíči SSH. Tak můžete používat SSH-klíč bez nutnosti přenášet ho do řídicího systému.