Základy

Použití

Pomocí Správy uživatelů můžete vytvářet a spravovat různé uživatele s různými právy pro funkce řídicího systému. Různým uživatelům můžete přiřazovat role, které odpovídají jejich úkolům, např. obsluha stroje nebo seřizovač.

Řídicí systém se dodává se správou uživatelů, která není aktivní. Tento stav se označuje jako Legacy-Mode.

Popis funkce

  • Správa uživatelů přispívá v následujících bezpečnostních oblastech na základě požadavků skupiny norem IEC 62443:
  • Bezpečnost aplikací
  • Bezpečnost sítě
  • Bezpečnost platforem
  • Ve správě uživatelů se rozlišují následující pojmy:
  • Uživatel
  • Uživatel

  • Role
  • Role

  • Práva
  • Práva

BenutzerRollenRechte_01

Uživatel

  • Správa uživatelů nabízí následující druhy uživatelů:
  • předem definovaný FunkčníUživatel od fy HEIDENHAIN
  • FunkčníUživatel výrobce stroje
  • samodefinovaný uživatel

Podle úkolu můžete buďto použít předdefinovaného FunkčníhoUživatele nebo musíte založit nového uživatele.

Založení nového uživatele

Pokud správu uživatelů vypnete, tak řízení uloží všechny konfigurované uživatele. Proto jsou opět k dispozici po zapnutí správy uživatelů.

Chcete-li konfigurované uživatele při deaktivaci smazat, musíte to výslovně zvolit během procesu vypínání.

Vypnutí správy uživatelů

FunkčníUživatel od fy HEIDENHAIN

FunkčníUživatelé od HEIDENHAINa jsou předem definovaní uživatelé, kteří se vytváří automaticky při aktivování správy uživatelů. FunkčníUživatele nemůžete změnit.

  • HEIDENHAIN dává při dodávce řídicího systému k dispozici čtyři různé FunkčníUživatele.
  • useradmin
  • FunkčníUživatel useradmin se vytváří automaticky při aktivování správy uživatelů. Pomocí useradmin lze konfigurovat a editovat správu uživatelů.

  • sys
  • Pomocí FunkčníhoUživatele sys lze přistupovat k diskové jednotce SYS: řídicího systému. Tento FunkčníUživatel je vyhrazen pro servis zákaznického servisu HEIDENHAIN.

  • user
  • V režimu Legacy-mode se při náběhu řídicího systému automaticky přihlásí k systému FunkčníUživatel user. Při aktivní správě uživatelů nemá user žádnou funkci. Přihlášeného uživatele user nelze v režimu Legacy-Mode zaměnit.

  • OEM
  • FunkčníUživatel oem je pro výrobce stroje. Pomocí oem lze přistupovat k diskové jednotce PLC: řídicího systému.

FunkčníUživatel useradmin

Uživatel useradmin je srovnatelný s místním Správcem (Administrátorem) systému Windows.

  • Konto useradmin nabízí následující funkce:
  • Zakládání databank
  • Udělování hesel
  • Aktivování LDAP-databank
  • Export konfiguračních souborů LDAP-serveru
  • Import konfiguračních souborů LDAP-serveru
  • Nouzový přístup při zničení databanky uživatelů
  • Dodatečnou změnu připojení databanky
  • Vypnutí správy uživatelů

FunkčníUživatel výrobce stroje

Výrobce vašeho stroje definuje FunkčníUživatele, kteří jsou potřeba např. pro údržbu stroje.

Máte možnost zadáním kódů nebo hesel, která nahradí kódy, povolit dočasná práva FunkčníchUživatelů OEM.

Okno Aktivní uživatel

FunkčníUživatelé výrobce stroje mohou být aktivní již v režimu Legacy-Mode a měnit hesla.

Role

HEIDENHAIN shrnuje několik práv pro jednotlivé oblasti úloh do rolí. Máte několik předdefinovaných rolí, které můžete použít k přiřazení práv uživatelům. Následující tabulky obsahují jednotlivá práva různých rolí.

Seznam rolí

  • Přednosti rozdělení do rolí:
  • Zjednodušená administrace
  • Různá práva mezi různými verzemi softwaru řízení a různými výrobci strojů jsou vzájemně kompatibilní.
  • Správa uživatelů nabízí role pro následující oblasti úkolů:
  • Role operačního systému: Přístup k funkcím a rozhraním operačního systému
  • Role NC operátora: Přístup k funkcím pro programování, seřizování a zpracování NC-programů
  • Role výrobce obráběcího stroje (PLC): Přístup k funkcím pro konfiguraci a zkoušení řídicího systému

Každý uživatel by měl obsahovat alespoň jednu roli z oblasti operačního systému a programování.

HEIDENHAIN doporučuje poskytnout přístup ke kontu více než jedné osobě v roli HEROS.Admin. To umožňuje zajistit, že nezbytné změny správy uživatelů lze také provést v nepřítomnosti Správce.

Místní přihlášení nebo vzdálené přihlášení

Roli lze také povolit pro místní přihlášení nebo dálkové přihlášení. Místní přihlášení je přihlášení se přímo na obrazovce řízení. Dálkové přihlášení (DNC) je připojení přes SSH.

Připojení DNC zabezpečené pomocí SSH

Pokud je role povolena pouze pro místní přihlášení, obdrží přídavek Local. k názvu role, například Local.HEROS.Admin namísto HEROS.Admin.

Pokud je role povolena pouze pro dálkové přihlášení, obdrží přídavek Remote. k názvu role, například Remote.HEROS.Admin namísto HEROS.Admin.

Práva uživatele mohou tedy také záviset na tom, přes který přístup uživatel k řízení přistupuje.

Práva

Správa uživatelů je založena na správě přístupových práv v Unixu. Přístupy řídícího systému jsou řízené pomocí práv.

Práva shrnují funkce řídicího systému, např. editování tabulky nástrojů.

  • Správa uživatelů nabízí práva pro následující oblasti úkolů:
  • Práva HEROSu
  • Práva NC
  • Práva PLC (Výrobce stroje)

Pokud uživatel dostane několik rolí, tak tím dostane všechna v nich obsažená práva.

 
Tip

Dbejte na to, aby každý uživatel dostal všechna potřebná přístupová práva. Přístupová práva vyplývají z úkolů, které uživatel provádí s řídicím systémem.

FunkčníUživatelé od fy HEIDENHAIN mají určená přístupová práva již při dodání řídicího systému.

Seznam práv

Nastavení hesla

Pokud používáte databázi LDAP, mohou uživatelé s rolí HEROS.Admin definovat požadavky na hesla. K tomuto účelu nabízí řídicí systém kartu Nastavení hesla.

Ukládání uživatelských dat

K dispozici jsou následující parametry:

  • Životnost hesla
  • Doba platnosti hesla:
  • Udává dobu použitelnosti hesla.

  • Varování před vypršením:
  • Vydává od definovaného okamžiku varování o vypršení platnosti hesla.

  • Kvalita hesla
  • Minimální délka hesla:
  • Udává minimální délku hesla.

  • Minimální počet tříd znaků (malá/velká, číslice, speciální):
  • Udává minimální počet různých druhů znaků v heslu.

  • Maximální počet opakovaných znaků:
  • Udává maximální počet stejných, za sebou následujících znaků v heslu.

  • Maximální délka sekvencí znaků:
  • Udává maximální délku sekvence znaků použitou v heslu, např. 123.

  • Slovníková kontrola (počet odpovídajících znaků):
  • Kontroluje heslo na použitá slova a vrátí počet povolených souvisejících znaků.

  • Minimální počet změněných znaků oproti předchozímu heslu:
  • Udává o kolik znaků se musí lišit nové heslo od starého.

Hodnotu pro každý parametr definujete se stupnicí.

  • Z bezpečnostních důvodů by hesla měla mít následující vlastnosti:
  • Nejméně osm znaků
  • Písmena, čísla a speciální znaky
  • Vyhněte se složeným slovům a posloupnosti znaků, jako např. Anna nebo 123
 
Tip

Používáte-li speciální znaky, uvědomte si rozložení kláves. HEROS je založen na US-klávesnici, NC-software na klávesnici HEIDENHAINa. Externí klávesnice mohou být konfigurovány libovolně.

Dodatečné adresáře

Jednotka HOME:

Pro každého uživatele je při aktivní správě uživatelů k dispozici soukromý adresář HOME: kde mohou být uloženy soukromé programy a soubory.

Adresář HOME: může přihlášený uživatel vidět.

Adresář public

Při první aktivaci správy uživatelů se připojí adresář public k jednotce TNC:.

Adresář public je přístupný pro každého uživatele.

V adresáři public můžete např. poskytovat soubory jiným uživatelům.

Správa souborů

Konfigurování Správy uživatelů

Dříve než můžete správu uživatelů používat, musíte ji konfigurovat.

  1. Konfigurace znamená následující kroky:
  2. Otevřete okno Správa uživatelů
  3. Aktivujte správu uživatelů
  4. Definujte heslo pro FunkčníhoUživatele useradmin
  5. Seřízení databanky
  6. Založení nového uživatele
 
Tip
  • Máte možnost opustit okno Správa uživatelů po každém částečném kroku konfigurace.
  • Pokud opustíte okno Správa uživatelů po aktivování, vyzve vás řídicí systém jednou k novému startu.

Otevřete okno Správa uživatelů

  1. Okno Správa uživatelů otevřete takto:
  2. Zvolte aplikaci Nastaveni
  3. Zvolte Operační systém
  4. Dvakrát ťukněte nebo klikněte na CurrentUser (Aktuální uživatel)
  5. Řízení otevře okno Správa uživatelů na kartě Nastavení
  6. Okno Správa uživatelů

Aktivujte správu uživatelů

  1. Správu uživatelů aktivujete následovně:
  2. Zvolte Správa uživatelů je aktivní
  3. Řídicí systém ukáže hlášení Heslo pro 'useradmin‘ chybí.
  4. Zachovejte nebo obnovte aktivní stav funkce Anonymita uživatelů v přihlašovacích datech
 
Tip
  • Funkce Anonymita uživatelů v přihlašovacích datech slouží pro ochranu osobních údajů a je standardně aktivní. Když je tato funkce aktivovaná, tak se data uživatelů ve všech protokolech řízení anonymizují.
  • Pokud opustíte okno Správa uživatelů po aktivování, vyzve vás řídicí systém jednou k novému startu.

Definujte heslo pro FunkčníhoUživatele useradmin

Když poprvé aktivujete Správu uživatelů, musíte definovat heslo pro FunkčníhoUživatele useradmin.

Uživatel

  1. Heslo pro FunkčníhoUživatele useradmin definujete takto:
  2. Zvolte Heslo pro useradmin
  3. Řízení otevře překryvné okno Heslo pro 'useradmin‘
  4. Zadejte heslo pro FunkčníhoUživatele useradmin
  5.  
    Tip

    Dodržujte prosím doporučení ohledně hesel.

    Nastavení hesla

  6. Opakujte heslo
  7. Zvolte Nastavte nové heslo
  8. Řídicí systém ukáže hlášení Nastavení a heslo pro 'useradmin‘ se změnily.

Seřízení databanky

  1. Databanku seřídíte takto:
  2. Zvolte databanku pro uložení dat uživatelů, např. Lokální databáze LDAP
  3. Zvolte Konfigurace
  4. Řízení otevře okno pro konfiguraci příslušné databanky.
  5. Postupujte podle pokynů řídicího systému v okně
  6. Zvolte POUŽÍT
 
Tip
  • Pro ukládání vašich dat uživatelů máte k dispozici tyto varianty:
  • Lokální databáze LDAP
  • LDAP na vzdáleném počítači
  • Připojení k doméně Windows

Souběžný provoz mezi doménou Windows a LDAP-databankou je možný.

Ukládání uživatelských dat

Založení nového uživatele

  1. Nového uživatele vytvoříte následovně:
  2. Zvolte kartu Správa uživatelů
  3. Zvolte Vytvořit nového uživatele
  4. Řídicí systém vloží do Seznam uživatelů nového uživatele.
  5. Případně změňte jméno
  6. Případně zadejte heslo
  7. Případně definujte obrázek profilu
  8. Případně zadejte popis
  9. Zvolte Přidat roli
  10. Řízení otevře okno Přidat roli.
  11. Zvolte roli
  12. Zvolte Přidat
  13.  
    Tip

    Role můžete také vkládat pomocí tlačítek Přidat externí přihlášení a Přidat lokální přihlášení.

    Role

  14. Zvolte Zavřít
  15. Řízení zavře okno Přidat roli.
  16. Zvolte OK
  17. Zvolte POUŽÍT
  18. Řídicí systém převezme změny.
  19. Zvolte KONEC
  20. Řízení otevře okno Vyžaduje restart systému.
  21. Zvolte Ano
  22. Řídicí systém se znovu spustí.
 
Tip

Uživatel musí heslo při prvním přihlášení změnit.

Vypnutí správy uživatelů

  • Vypnutí správy uživatelů je povolené pouze pro následující FunkčníUživatele:
  • useradmin
  • OEM
  • SYS

Uživatel

  1. Správu uživatelů deaktivujete následovně:
  2. Přihlaste FunkčníhoUživatele
  3. Otevřete okno Správa uživatelů
  4. Zvolte Správa uživatelů není aktivní
  5. Popř. zaškrtněte Smazat existující databáze uživatelů abyste smazali všechny nakonfigurované uživatele a uživatelské adresáře
  6. Zvolte POUŽÍT
  7. Zvolte KONEC
  8. Řízení otevře okno Vyžaduje restart systému.
  9. Zvolte Ano
  10. Řídicí systém se znovu spustí.

Upozornění

 
Upozornění
Pozor, může dojít k nežádoucímu přenosu dat!
Když vypnete funkci Anonymita uživatelů v přihlašovacích datech tak se zobrazují osobní údaje uživatelů ve všech protokolech řízení.
Při servisu a při jiném předávání protokolů vzniká pro vašeho smluvního partnera možnost nahlédnutí do těchto uživatelských údajů. Zajištění potřebných základů právní ochrany dat ve vašem podniku je v tomto případě na vás.
  1. Zachovejte nebo obnovte aktivní stav funkce Anonymita uživatelů v přihlašovacích datech
  • Některé oblasti správy uživatelů konfiguruje výrobce stroje. Informujte se ve vaší příručce ke stroji!
  • HEIDENHAIN doporučuje Správu uživatelů jako součást IT-bezpečnostního konceptu.
  • Pokud je spořič obrazovky aktivní i při aktivní Správě uživatelů, musíte k odemknutí obrazovky zadat heslo aktuálního uživatele.
  • Menu HEROSu

  • Pokud vytvoříte pomocí Remote Desktop Manageru soukromá spojení před aktivací správy uživatelů, tak tato spojení nejsou již při aktivní správě uživatelů k dispozici. Před aktivací správy uživatelů si soukromá připojení zazálohujte.
  • Okno Remote Desktop Manager (opce #133)