Grundlagen

Anwendung

Mit der Benutzerverwaltung können Sie verschiedene Benutzer mit unterschiedlichen Rechten für Funktionen der Steuerung anlegen und verwalten. Sie können den verschiedenen Benutzern Rollen zuweisen, die den Aufgaben der Anwender entsprechen, z. B. Maschinenbediener oder Einrichter.

Die Steuerung wird mit inaktiver Benutzerverwaltung ausgeliefert. Dieser Zustand wird als Legacy-Mode bezeichnet.

Funktionsbeschreibung

  • Die Benutzerverwaltung leistet einen Beitrag in den folgenden Sicherheitsbereichen, basierend auf den Forderungen der Normenfamilie IEC 62443:
  • Applikationssicherheit
  • Netzwerksicherheit
  • Plattformsicherheit
  • In der Benutzerverwaltung wird zwischen folgenden Begriffen unterschieden:
  • Benutzer
  • Benutzer

  • Rollen
  • Rollen

  • Rechte
  • Rechte

BenutzerRollenRechte_01

Benutzer

  • Die Benutzerverwaltung bietet folgende Arten von Benutzern:
  • vordefinierte Funktionsbenutzer von HEIDENHAIN
  • Funktionsbenutzer des Maschinenherstellers
  • selbstdefinierte Benutzer

Je nach Aufgabenstellung können Sie entweder einen der vordefinierten Funktionsbenutzer verwenden oder Sie müssen einen neuen Benutzer erstellen.

Neuen Benutzer anlegen

Wenn Sie die Benutzerverwaltung deaktivieren, speichert die Steuerung alle konfigurierten Benutzer. Sie stehen somit bei einer Reaktivierung der Benutzerverwaltung wieder zur Verfügung.

Wenn Sie die konfigurierten Benutzer mit der Deaktivierung löschen möchten, müssen Sie dies während des Vorgangs der Deaktivierung konkret wählen.

Benutzerverwaltung deaktivieren

Funktionsbenutzer von HEIDENHAIN

Funktionsbenutzer von HEIDENHAIN sind vordefinierte Benutzer, die bei Aktivierung der Benutzerverwaltung automatisch erstellt werden. Funktionsbenutzer können Sie nicht verändern.

  • HEIDENHAIN stellt bei der Auslieferung der Steuerung vier verschiedene Funktionsbenutzer zur Verfügung.
  • useradmin
  • Der Funktionsbenutzer useradmin wird bei Aktivierung der Benutzerverwaltung automatisch erstellt. Mit useradmin kann die Benutzerverwaltung konfiguriert und editiert werden.

  • sys
  • Mit dem Funktionsbenutzer sys kann auf das Laufwerk SYS: der Steuerung zugegriffen werden. Dieser Funktionsbenutzer ist für den HEIDENHAIN-Kundendienst vorbehalten.

  • user
  • Im Legacy-Mode wird beim Starten der Steuerung automatisch der Funktionsbenutzer user am System angemeldet. Mit aktiver Benutzerverwaltung hat user keine Funktion. Der angemeldete Benutzer user kann im Legacy-Mode nicht gewechselt werden.

  • oem
  • Der Funktionsbenutzer oem ist für den Maschinenhersteller. Mittels oem kann auf das Laufwerk PLC: der Steuerung zugegriffen werden.

Funktionsbenutzer useradmin

Der Benutzer useradmin ist vergleichbar mit dem lokalen Administrator eines Windows-Systems.

  • Das Konto useradmin bietet folgenden Funktionsumfang:
  • Anlegen von Datenbanken
  • Vergabe der Passwortdaten
  • Aktivieren der LDAP-Datenbank
  • Exportieren von LDAP-Server-Konfigurationsdateien
  • Importieren von LDAP-Server-Konfigurationsdateien
  • Notzugang bei Zerstörung der Benutzerdatenbank
  • Nachträgliches Ändern der Datenbankanbindung
  • Deaktivieren der Benutzerverwaltung

Funktionsbenutzer des Maschinenherstellers

Ihr Maschinenhersteller definiert Funktionsbenutzer, die z. B. für die Maschinenwartung notwendig sind.

Sie haben die Möglichkeit durch die Eingabe von Schlüsselzahlen oder Passwörtern, welche Schlüsselzahlen ersetzen, temporär Rechte von oem Funktionsbenutzern freizuschalten.

Fenster Aktueller Benutzer

Funktionsbenutzer des Maschinenherstellers können bereits im Legacy-Mode aktiv sein und Schlüsselzahlen ersetzen.

Rollen

HEIDENHAIN fasst mehrere Rechte für einzelne Aufgabenbereiche zu Rollen zusammen. Ihnen stehen verschiedene vordefinierte Rollen zur Verfügung, mit denen Sie den Benutzern Rechte zuweisen können. Die nachfolgende Tabellen enthalten die einzelnen Rechte der unterschiedlichen Rollen.

Liste der Rollen

  • Vorteile der Einteilung in Rollen:
  • Erleichterte Administration
  • Unterschiedliche Rechte zwischen verschiedenen Software-Versionen der Steuerung und unterschiedlicher Maschinenhersteller sind zueinander kompatibel.
  • Die Benutzerverwaltung bietet Rollen für folgende Aufgabenbereiche:
  • Betriebssystem-Rollen: Zugriff auf Funktionen des Betriebssystems und Schnittstellen
  • NC-Bediener-Rollen: Zugriff auf Funktionen zum Programmieren, Einrichten und Abarbeiten von NC-Programmen
  • Maschinenhersteller(PLC)-Rollen: Zugriff auf Funktionen zum Konfigurieren und Überprüfen der Steuerung

Jeder Benutzer sollte mindestens eine Rolle aus dem Bereich Betriebssystem und aus dem Bereich der Programmierung enthalten.

HEIDENHAIN empfiehlt, mehr als einer Person Zugriff zu einem Konto mit der Rolle HEROS.Admin zu gewähren. So können Sie gewährleisten, dass notwendige Änderungen an der Benutzerverwaltung auch in Abwesenheit des Administrators durchgeführt werden können.

Lokale Anmeldung oder Fernanmeldung

Eine Rolle kann alternativ für die lokale Anmeldung oder für die Remote-Anmeldung freigeschaltet werden. Eine lokale Anmeldung ist eine Anmeldung direkt am Steuerungsbildschirm. Eine Remote-Anmeldung (DNC) ist eine Verbindung durch SSH.

SSH-gesicherte DNC-Verbindung

Wenn eine Rolle nur für die lokale Anmeldung freigegeben ist, erhält sie den Zusatz Local. im Rollennamen, z. B. Local.HEROS.Admin anstelle von HEROS.Admin.

Wenn eine Rolle nur für die Remote-Anmeldung freigegeben ist, erhält sie den Zusatz Remote. im Rollennamen, z. B. Remote.HEROS.Admin anstelle von HEROS.Admin.

Somit können die Rechte eines Benutzers auch davon abhängig gemacht werden, über welchen Zugang der Benutzer auf die Steuerung zugreift.

Rechte

Die Benutzerverwaltung basiert auf der Unix Rechteverwaltung. Zugriffe der Steuerung werden über Rechte gesteuert.

Rechte fassen Funktionen der Steuerung zusammen, z. B. Werkzeugtabelle editieren.

  • Die Benutzerverwaltung bietet Rechte für folgende Aufgabenbereiche:
  • HEROS-Rechte
  • NC-Rechte
  • PLC-Rechte (Maschinenhersteller)

Wenn ein Benutzer mehrere Rollen erhält, so erhält er dadurch die Summe aller darin enthaltenen Rechte.

 
Tip

Achten Sie darauf, dass jeder Benutzer alle notwendigen Zugriffsrechte erhält. Die Zugriffsrechte ergeben sich aus den Aufgaben, die der Anwender an der Steuerung durchführt.

Für Funktionsbenutzer von HEIDENHAIN sind die Zugriffsrechte schon bei Auslieferung der Steuerung festgelegt.

Liste der Rechte

Passworteinstellungen

Wenn Sie eine LDAP-Datenbank verwenden, können Benutzer mit der Rolle HEROS.Admin Anforderungen an die Passwörter definieren. Dafür bietet die Steuerung den Reiter Passworteinstellungen.

Speichern der Benutzerdaten

Folgende Parameter stehen zur Verfügung:

  • Passwortlebensdauer
  • Gültigkeitsdauer Passwort:
  • Gibt den Verwendungszeitraum des Passworts an.

  • Warnung vor Ablauf:
  • Gibt ab dem definierten Zeitpunkt eine Warnung zum Passwortablauf aus.

  • Passwortqualität
  • Minimale Passwortlänge:
  • Gibt die minimale Länge des Passworts an.

  • Minimale Anzahl Zeichenklassen (Groß/Klein, Ziffern, Sonderzeichen):
  • Gibt die minimale Anzahl verschiedener Zeichenklassen im Passwort an.

  • Maximale Anzahl Zeichenwiederholungen:
  • Gibt die maximale Anzahl der gleichen, nacheinander verwendeten Zeichen im Passwort an.

  • Maximale Länge Zeichensequenzen:
  • Gibt die maximale Länge der verwendeten Zeichensequenzen im Passwort z. B. 123 an.

  • Wörterbuchprüfung (Anzahl Zeichen Übereinstimmung):
  • Prüft das Passwort auf verwendete Wörter und gibt die Anzahl der erlaubten zusammenhängenden Zeichen an.

  • Mindestanzahl geänderte Zeichen zum vorigen Passwort:
  • Gibt an, um wie viele Zeichen sich das neue Passwort vom alten unterscheiden muss.

Sie definieren den Wert für jeden Parameter mit einer Skala.

  • Aus Sicherheitsgründen sollten Passwörter folgende Eigenschaften besitzen:
  • Mindestens acht Zeichen
  • Buchstaben, Zahlen und Sonderzeichen
  • Keine zusammenhängenden Wörter und Zeichenfolgen, z. B. Anna oder 123
 
Tip

Wenn Sie Sonderzeichen verwenden, beachten Sie das Tastaturlayout. HEROS geht von einer US-Tastatur aus, die NC-Software von einer HEIDENHAIN-Tastatur. Externe Tastaturen können frei konfiguriert sein.

Zusätzliche Verzeichnisse

Laufwerk HOME:

Für jeden Benutzer steht bei aktiver Benutzerverwaltung ein privates Verzeichnis HOME: zur Verfügung, auf dem private Programme und Dateien abgelegt werden können.

Das Verzeichnis HOME: kann der jeweilig angemeldete Benutzer einsehen.

Verzeichnis public

Bei der erstmaligen Aktivierung der Benutzerverwaltung wird das Verzeichnis public unter dem Laufwerk TNC: angebunden.

Das Verzeichnis public ist für jeden Benutzer zugänglich.

Im Verzeichnis public können Sie z. B. anderen Benutzern Dateien zur Verfügung stellen.

Dateiverwaltung

Benutzerverwaltung konfigurieren

Sie müssen die Benutzerverwaltung konfigurieren, bevor Sie sie verwenden können.

  1. Die Konfiguration enthält folgende Teilschritte:
  2. Fenster Benutzerverwaltung öffnen
  3. Benutzerverwaltung aktivieren
  4. Passwort für den Funktionsbenutzer useradmin definieren
  5. Datenbank einrichten
  6. Neuen Benutzer anlegen
 
Tip
  • Sie haben die Möglichkeit, das Fenster Benutzerverwaltung nach jedem Teilschritt der Konfiguration zu verlassen.
  • Wenn Sie das Fenster Benutzerverwaltung nach der Aktivierung verlassen, fordert Sie die Steuerung einmalig zu einem Neustart auf.

Fenster Benutzerverwaltung öffnen

  1. Sie öffnen das Fenster Benutzerverwaltung wie folgt:
  2. Anwendung Einstellungen wählen
  3. Betriebssystem wählen
  4. CurrentUser doppelt tippen oder klicken
  5. Die Steuerung öffnet das Fenster Benutzerverwaltung im Reiter Einstellungen.
  6. Fenster Benutzerverwaltung

Benutzerverwaltung aktivieren

  1. Sie aktivieren die Benutzerverwaltung wie folgt:
  2. Benutzerverwaltung aktiv wählen
  3. Die Steuerung zeigt die Meldung Passwort für Benutzer 'useradmin' fehlt.
  4. Aktiven Zustand der Funktion Benutzer in Logdaten anonymisieren beibehalten oder reaktivieren
 
Tip
  • Die Funktion Benutzer in Logdaten anonymisieren dient dem Datenschutz und ist standardmäßig aktiv. Wenn diese Funktion aktiviert ist, werden die Benutzerdaten in sämtlichen Log-Daten der Steuerung anonymisiert.
  • Wenn Sie das Fenster Benutzerverwaltung nach der Aktivierung verlassen, fordert Sie die Steuerung einmalig zu einem Neustart auf.

Passwort für Funktionsbenutzer useradmin definieren

Wenn Sie die Benutzerverwaltung zum ersten Mal aktivieren, müssen Sie ein Passwort für den Funktionsbenutzer useradmin definieren.

Benutzer

  1. Sie definieren ein Passwort für den Funktionsbenutzer useradmin wie folgt:
  2. Passwort für useradmin wählen
  3. Die Steuerung öffnet das Überblendfenster Passwort für Benutzer 'useradmin'.
  4. Passwort für den Funktionsbenutzer useradmin eingeben
  5.  
    Tip

    Beachten Sie die Empfehlungen für Passwörter.

    Passworteinstellungen

  6. Passwort wiederholen
  7. Neues Passwort setzen wählen
  8. Die Steuerung zeigt die Meldung Einstellungen und Passwort für 'useradmin' wurden verändert.

Datenbank einrichten

  1. Sie richten eine Datenbank wie folgt ein:
  2. Datenbank für die Speicherung der Benutzerdaten wählen, z. B. Lokale LDAP Datenbank
  3. Konfigurieren wählen
  4. Die Steuerung öffnet ein Fenster zur Konfiguration der entsprechenden Datenbank.
  5. Anweisungen der Steuerung im Fenster folgen
  6. ÜBERNEHMEN wählen
 
Tip
  • Für die Speicherung Ihrer Benutzerdaten stehen Ihnen folgende Varianten zur Verfügung:
  • Lokale LDAP Datenbank
  • LDAP auf anderem Rechner
  • Anmeldung an Windows Domäne

Ein Parallelbetrieb zwischen Windows-Domäne und LDAP-Datenbank ist möglich.

Speichern der Benutzerdaten

Neuen Benutzer anlegen

  1. Sie legen einen neuen Benutzer wie folgt an:
  2. Reiter Benutzer verwalten wählen
  3. Neuen Benutzer anlegen wählen
  4. Die Steuerung fügt der Benutzerliste einen neuen Benutzer hinzu.
  5. Ggf. Name ändern
  6. Ggf. Passwort eingeben
  7. Ggf. Profilbild definieren
  8. Ggf. Beschreibung eingeben
  9. Rolle hinzufügen wählen
  10. Die Steuerung öffnet das Fenster Rolle hinzufügen.
  11. Rolle wählen
  12. Hinzufügen wählen
  13.  
    Tip

    Sie können Rollen auch mit den Schaltflächen Hinzufügen externer Login und Hinzufügen lokaler Login hinzufügen.

    Rollen

  14. Schließen wählen
  15. Die Steuerung schließt das Fenster Rolle hinzufügen.
  16. OK wählen
  17. ÜBERNEHMEN wählen
  18. Die Steuerung übernimmt die Änderungen.
  19. ENDE wählen
  20. Die Steuerung öffnet das Fenster Systemneustart erforderlich.
  21. Ja wählen
  22. Die Steuerung startet neu.
 
Tip

Der Benutzer muss das Passwort beim ersten Login ändern.

Benutzerverwaltung deaktivieren

  • Das Deaktivieren der Benutzerverwaltung ist nur mit folgenden Funktionsbenutzern erlaubt:
  • useradmin
  • OEM
  • SYS

Benutzer

  1. Sie deaktivieren die Benutzerverwaltung wie folgt:
  2. Funktionsbenutzer anmelden
  3. Fenster Benutzerverwaltung öffnen
  4. Benutzerverwaltung inaktiv wählen
  5. Ggf. Checkbox Vorhandene Benutzerdatenbanken löschen aktivieren, um alle konfigurierten Benutzer und benutzerspezifischen Verzeichnisse zu löschen
  6. ÜBERNEHMEN wählen
  7. ENDE wählen
  8. Die Steuerung öffnet das Fenster Systemneustart erforderlich.
  9. Ja wählen
  10. Die Steuerung startet neu.

Hinweise

 
Hinweis
Achtung, unerwünschte Datenübertragung möglich!
Wenn Sie die Funktion Benutzer in Logdaten anonymisieren deaktivieren, werden die Benutzerdaten in sämtlichen Log-Daten der Steuerung personalisiert angezeigt.
Im Servicefall und bei der sonstigen Übermittlung von Log-Daten besteht für Ihre Vertragspartner die Möglichkeit, diese Benutzerdaten einzusehen. Die Sicherstellung der notwendigen datenschutzrechtlichen Grundlagen in Ihrem Betrieb für diesen Fall liegt in Ihrer Verantwortung.
  1. Aktiven Zustand der Funktion Benutzer in Logdaten anonymisieren beibehalten oder reaktivieren
  • Einige Bereiche der Benutzerverwaltung werden vom Maschinenhersteller konfiguriert. Beachten Sie Ihr Maschinenhandbuch!
  • HEIDENHAIN empfiehlt die Benutzerverwaltung als Bestandteil eines IT-Sicherheitskonzepts.
  • Wenn bei aktiver Benutzerverwaltung auch der Bildschirmschoner aktiv ist, müssen Sie zum Entsperren des Bildschirms das Passwort des aktuellen Benutzers eingeben.
  • HEROS-Menü

  • Wenn Sie mithilfe des Remote Desktop Manager vor der Aktivierung der Benutzerverwaltung private Verbindungen erstellt haben, sind diese Verbindungen bei aktiver Benutzerverwaltung nicht mehr verfügbar. Sichern Sie private Verbindungen vor Aktivierung der Benutzerverwaltung.
  • Fenster Remote Desktop Manager (Option #133)