Perusteet

Sovellus

Käyttäjähallinnan avulla voit luoda ja hallita erilaisia käyttäjiä erilaisilla oikeuksilla ohjauksen toimintoihin. Voit osoittaa käyttäjille erilaisia rooleja, jotka vastaavat käyttäjän tehtäviä, esim. koneen käyttäjä tai asentaja.

Ohjaus toimitetaan passiivisella käyttäjähallinnalla. Tätä tilaa nimitetään Legacy-tilaksi.

Toiminnon kuvaus

  • Käyttäjähallinta tukee seuraavia turvallisuusalueita, jotka perustuvat IEC 62443 -standardiperheen vaatimuksiin:
  • Sovellusturvallisuus
  • Verkkoturvallisuus
  • Alustaturvallisuus
BenutzerRollenRechte_01

Käyttäjä

  • Käyttäjähallinta mahdollistaa seuraavat tavat taulukoiden avulla:
  • HEIDENHAINin esimäärittelemä toimintokäyttäjä
  • Koneen valmistajan toimintokäyttäjä
  • Itsemääritelty käyttäjä

Tehtävämäärittelystä riippuen voidaan joko esimääritellä toimintokäyttäjä tai sinun täytyy luoda uusi käyttäjä.

Uuden käyttäjän asetus

Kun käyttäjähallinta on voimassa, ohjaus tallentaa kaikki konfiguroidut käyttäjät. Ne tulevat sitten uudelleen käyttöön käyttäjähallinnan uudelleenaktivoinnin yhteydessä:

Jos haluat poistaa konfiguroidun käyttäjän deaktivoimalla, se on valittava konkreettisesti deaktivointivaiheen aikana.

Käyttäjähallinnan deaktivointi

HEIDENHAINin toimintokäyttäjä

HEIDENHAINin toimintokäyttäjät ovat esimääriteltyjä käyttäjiä, jotka luodaan automaattisesti käyttäjähallinnan aktivoinnin yhteydessä. Toimintokäyttäjää ei voi muuttaa.

  • Ohjauksen toimituksen yhteydessä HEIDENHAIN asettaa käyttöön neljä erilaista toimintokäyttäjää.
  • useradmin
  • Toimintokäyttäjä useradmin luodaan automaattisesti käyttäjähallinnan aktivoinnin yhteydessä. Käyttäjän useradmin oikeuksilla voidaan konfiguroida ja muokata käyttäjähallintaa.

  • sys
  • Toimintokäyttäjällä sys voidaan päästä ohjauksen levyasemaan SYS:. Tämä toimintokäyttäjä on pidätetty HEIDENHAIN-asiakaspalvelua varten.

  • user
  • Legacy-tilassa ohjauksen käynnistymisen yhteydessä toimintokäyttäjä user kirjautuu automaattisesti järjestelmään. Aktiivisella käyttäjähallinnalla user ei sisällä mitään toimintoa. Kirjautunutta käyttäjää user voi voi vaihtaa Legacy-tilassa.

  • oem
  • Toimintokäyttäjä oem on koneen valmistajaa varten. oem mahdollistaa pääsyn ohjauksen levyasemaan PLC:.

Toimintokäyttäjä useradmin

Käyttäjä useradmin vastaa samaa kuin Windows-järjestelmien paikallinen järjestelmänvalvoja.

  • Tili useradmin tarjoaa seuraavan toimintoympäristön:
  • Tietokantojen määrittely
  • Salasanatietojen luovutus
  • LDAP-tietokannan aktivointi
  • LDAP-palvelimen konfiguraatiotiedostojen vienti
  • LDAP-palvelimen konfiguraatiotiedostojen tuonti
  • Varakäyttö käyttäjätietokannan häiriön yhteydessä
  • Tietokantayhteyden muuttaminen jälkeenpäin
  • Käyttäjähallinnan deaktivointi

Koneen valmistajan toimintokäyttäjä

Koneen valmistaja määrittelee toimintokäyttäjän, jota tarvitaan esim. koneen huoltamiseen.

Sinulla on mahdollisuus määritellä avainlukujen ja salasanojen avulla, mitkä avainluvut korvaavat toimintokäyttäjien oem oikeudet.

Ikkuna Nykyinen käyttäjä

Koneen valmistajan toimintokäyttäjät voivat olla valmiiksi aktiivisia Legacy-tilassa ja korvata avainluvun käytön.

Roolit

HEIDENHAIN kokoaa useampia yksittäisten tehtäväalueiden oikeuksia rooleihin. Sinulla on käytettävissä erilaisia esimääriteltyjä rooleja, joiden avulla käyttäjät voivat määritellä käyttäjille oikeuksia. Seuraavat taulukot sisältävät erilaisten roolien yksittäisiä oikeuksia.

Roolien luettelo

  • Roolien jaottelun edut:
  • Helpompi hallinta
  • Eriaiset oikeudet ohjauksen eri ohjelmistoversioiden ja eri konevalmistaien välillä ovat yhteensopivia.
  • Käyttäjähallinta tarjoaa rooleja seuraaville tehtäväalueille:
  • Käyttöjärjestelmän roolit: Pääsy käyttöjärjestelmän toimintoihin ja liitäntöihin
  • NC-käyttäjän roolit: Pääsy NC-toimintojen ohjelmoinnin, asetuksen ja toteutuksen toimintoihin.
  • Koneen valmistajan (PLC)-roolit: Pääsy ohjauksen konfiguraation ja tarkastuksen toimintoihin

Jokaisella käyttäjällä pitäisi olla vähintään yksi rooli käyttöjärjestelmän alueelta ja ohjelmoinnin alueelta.

HEIDENHAIN suosittelee, että useammalla kuin yhdellä ihmisellä olisi roolina HEROS.Admin. Näin voidaan varmistaa, että tarvittavat muutokset käyttäjähallintaan voitaisiin suorittaa myös silloin, kun järjestelmänvalvoja ei ole paikalla.

Paikallinen kirjautuminen tai etäkirjautuminen

Roolille voidaan hyväksyä vaihtoehtoisesti joko paikallinen kirjautuminen tai etäkirjautuminen. Paikallinen kirjautuminen tarkoittaa suoraa kirjautumista ohjauksen näyttöruudulla. Etäkirjautuminen (DNC) tarkoittaa yhteydenottoa SSH-protokollan kautta.

SSH-varmennettu DNC-yhteys

Jos rooli on hyväksytty paikallista kirjautumista varten, roolinimessä on liite Local., esim. Local.HEROS.Admin eikä vain HEROS.Admin.

Jos rooli on hyväksytty etäkirjautumista varten, roolinimessä on liite Remote. esim. Remote.HEROS.Admin eikä HEROS.Admin.

Näin voit perustaa käyttäjän oikeudet myös riippuen siitä, minkä käyttöoikeuden avulla käyttäjä pääsee ohjaukseen.

Oikeudet

Käyttäjähallinta perustuu Unixin käyttöoikeuksien hallintaan. Ohjaukseen pääsyä ohjataan oikeuksien kautta.

Oikeudet yhdistävät ohjauksen toimintoja, mm. työkalutaulukon muokkaus.

  • Käyttäjähallinta tarjoaa oikeudet seuraaville tehtäväalueille:
  • HEROS-oikeudet
  • NC-oikeudet
  • PLC-oikeudet (koneen valmistaja)

Kun käyttäjä saa useampia rooleja, hänelle annetaan näin kaikkiin rooleihin sisältyvät oikeudet.

 
Tip

Huomioi tällöin, että kukin käyttäjä saa kaikki tarvittavat pääsyoikeudet. Pääsyoikeudet antavat tehtäviä, joita käyttäjä suorittaa ohjauksella.

HEIDENHAININ toimintokäyttäjää varten on jo asetettu käyttöoikeudet ohjauksen toimituksen yhteydessä.

Oikeuksien luettelo

Salasanan asetukset

Kun käytät LDAP-tietokantaa, käyttäjä voi määritellä salasanojen vaatimukset roolilla HEROS.Admin. Tätä varten ohjaus tarjoaa välilehden Salasanan asetukset.

Käyttäjätietojen tallennus

Käytettävissä ovat seuraavat parametrit:

  • Salasanan kestoaika
  • Salasana voimassaoloaika:
  • Ilmoittaa salasanan käyttöaikajakson.

  • Varoitus ennen toimintaa:
  • Antaa määriteltynä ajankohtana varoituksen salasanan voimassaolon päättymisestä.

  • Salasanan laatu
  • Salasanan minimipituus:
  • Ilmoittaa salasanan minimipituuden.

  • Merkkiluokkien minimilukumäärä (suuri/pieni, numerot, erikoismerkit):
  • Ilmoittaa salasanan eri merkkiluokkien merkkien minimilukumäärän.

  • Merkkitoistojen maksimilukumäärä:
  • Ilmoittaa salasanan eri merkkien peräkkäisten toistojen minimilukumäärän.

  • Merkkisarjojen maksimipituus:
  • Ilmoittaa salasanan eri merkkisarjojen, esim. 123, maksimipituuden.

  • Sanakirjatarkastus (merkkitäsmäysten lukumäärä):
  • Tarkastaa salasanassa käytetyt sanat ja ilmoittaa sallittujen yhdistettyjen merkkien lukumäärän.

  • Edellisen salasanan suhteen muuttuneiden merkkien lukumäärä:
  • Ilmoittaa, kuinka monta eri merkkiä uudessa salasanassa pitää olla vanhaan verrattuna.

Tämä arvo on määriteltävä jokaista parametria varten asteikon avulla.

  • Turvallisuussyistä salasanan tulee sisältää seuraavaa:
  • Vähintään kahdeksan merkkiä
  • Kirjaimia, numeroita ja erikoismerkkejä
  • Vältä pääteltävissä olevia sanoja ja merkkisarjoja, esim. Anna tai 123.
 
Tip

Kun käytät erikoismerkkejä, huomioi näppäimistön sijoittelu. HEROS olettaa, että HEIDENHAIN-näppäimistön NC-ohjelmiston lähtökohtana on US-näppäimistö. Ulkoiset näppäimistöt voidaan konfiguroida vapaasti.

Lisähakemistot

Levyasema HOME:

Jokaista käyttäjää varten on aktiivisella käyttäjähallinalla käytettävissä yksityinen hakemisto HOME:, johon voidaan tallentaa yksityisiä ohjelmia ja tiedostoja.

Hakemisto HOME: voi olla näkyvissä kullekin sisäänkirjautuneelle käyttäjälle.

Hakemisto public

Kun käyttäjähallinta ensimmäisen kerran aktivoidaan, hakemisto public liitetään TNC:n alle.

Hakemisto public on kaikkien käyttäjien käytettävissä.

Hakemistossa public voit asettaa käyttöön tiedostoja esim. muille käyttäjille.

Tiedostonhallinta

Käyttäjähallinnan konfiguraatio

Sinun on konfiguroitava käyttäjähallinta, ennenkuin töitä voidaan jatkaa.

  1. Konfiguraatio sisältää seuraavia osavaiheita:
  2. Ikkunan Käyttäjähallinta avaaminen
  3. Käyttäjähallinnan aktivointi
  4. Toimintokäyttäjän useradmin salasanan määrittely
  5. Tietokannan asetus
  6. Uuden käyttäjän asetus
 
Tip
  • Sinulla on mahdollisuus poistua ikkunasta Käyttäjähallinta konfiguraation jokaisen osavaiheen jälkeen.
  • Kun poistut ikkunasta Käyttäjähallinta aktivoinnin jälkeen, ohjaus pyytää käynnistämään uudelleen yhden kerran.

Ikkunan Käyttäjähallinta avaaminen

  1. Voit avata ikkunan Käyttäjähallinta seuraavasti:
  2. Valitse sovellus Settings.
  3. Valitse Käyttöjärjestelmä.
  4. Kaksoisnapauta tai napsauta CurrentUser.
  5. Ohjaus avaa ikkunan Käyttäjähallinta välilehdessä Asetukset.
  6. Ikkuna Käyttäjähallinta

Käyttäjähallinnan aktivointi

  1. Aktivoi käyttäjähallinta seuraavasti:
  2. Valitse Käyttäjähallinta aktiivinen.
  3. Ohjaus antaa näytölle ilmoituksen Käyttäjän 'useradmin' salasana puuttuu.
  4. Toiminnon Käyttäjän anonymisointi lokitiedoissa aktiivisen tilan säilyttäminen ja uudelleenaktivointi
 
Tip
  • Toiminto Käyttäjän anonymisointi lokitiedoissa toimii tietosuojana ja on yleensä aktiivinen. Kun tämä toiminto aktivoidaan, käyttäjätiedot anonymisoidaan ohjauksen kaikissa lokitiedoissa.
  • Kun poistut ikkunasta Käyttäjähallinta aktivoinnin jälkeen, ohjaus pyytää käynnistämään uudelleen yhden kerran.

Määrittele käyttäjähallinnan useradmin salasana.

Kun aktivoit käyttäjähallinnan ensimmäistä kertaa, sinun on määriteltävä salasana toimintokäyttäjälle useradmin.

Käyttäjä

  1. Toimintokäyttäjän useradmin salasana määritellään seuraavasti:
  2. Valitse Salasana useradmin.
  3. Ohjaus avaa ponnahdusikkunan Käyttäjän 'useradmin' salasana.
  4. Syötä sisään toimintokäyttäjän useradmin salasana.
  5.  
    Tip

    Noudata salasanojen suosituksia.

    Salasanan asetukset

  6. Toista salasana
  7. Valitse Uuden salasanan asetus.
  8. Ohjaus näyttää viestin Käyttäjän 'useradmin' asetuksia ja salasanaa on muutettu.

Tietokannan asetus

  1. Tietokanta asetetaan seuraavasti:
  2. Valitse tietokanta käyttäjätietojen tallennusta varten, esim. Paikallinen LDAP-tietokanta
  3. Valitse Konfiguroi.
  4. Ohjaus avaa ikkunan vastaavan tietokannan konfiguraatiota varten.
  5. Seuraa ohjauksen antamia ohjeita.
  6. Valitse PÄTEÄ.
 
Tip
  • Käyttäjätietojen tallentamiseen on olemassa seuraavat vaihtoehdot:
  • Paikallinen LDAP-tietokanta
  • LDAP toiseen tietokoneeseen
  • Kirjautuminen Windows-toimialueelle

Windows-toimialueiden ja LDAP-tietokannan rinnakkaiskäyttö on mahdollista.

Käyttäjätietojen tallennus

Uuden käyttäjän asetus

  1. Määrittele uusi käyttäjä seuraavasti:
  2. Valitse välilehti Käyttäjän hallinta.
  3. Valitse Uuden käyttäjän asetus.
  4. Ohjaus avaa uuden käyttäjän Käyttäjälista.
  5. Tarvittaessa muuta nimeä.
  6. Tarvittaessa syötä sisään salasana.
  7. Tarvittaessa määrittele profiilikuva
  8. Tarvittaessa syötä sisään kuvaus
  9. Valitse Roolin lisäys.
  10. Ohjaus avaa ikkunan Roolin lisäys.
  11. Valitse rooli
  12. Valitse Lisää.
  13.  
    Tip

    Voit lisätä rooleja myös painikkeilla Ulkoisetn kirjautum. lisäys ja Paikallisen kirjautum. lisäys.

    Roolit

  14. Valitse Sulje.
  15. Ohjaus sulkee ikkunan Roolin lisäys.
  16. Valitse OK.
  17. Valitse PÄTEÄ.
  18. Ohjaus vastaanottaa muutokset.
  19. Valitse LOPPU.
  20. Ohjaus avaa ikkunan Järjestelmän uusi käynnistys vaaditaan.
  21. Valitse Kyllä.
  22. Ohjaus käynnistyy uudelleen.
 
Tip

Käyttäjän täytyy muuttaa salasanansa ensimmäisen kirjautumisen yhteydessä.

Käyttäjähallinnan deaktivointi

  • Käyttäjähallinnan deaktivointi voidaan suorittaa vain seuraavilla toimintokäyttäjillä:
  • useradmin
  • OEM
  • SYS

Käyttäjä

  1. Deaktivoi käyttäjähallinta seuraavasti:
  2. Kirjaudu sisään toimintokäyttäjänä.
  3. Ikkunan Käyttäjähallinta avaaminen
  4. Valitse Käyttäjähallinta ei voimassa.
  5. Aktivoi tarvittaessa valintaruutu asetukselle Olemassa olevan käyttäjätietokannan poisto kaikkien konfiguroitavien ja käyttäjäkohtaisten hakemistojen poistaiseksi.
  6. Valitse PÄTEÄ.
  7. Valitse LOPPU.
  8. Ohjaus avaa ikkunan Järjestelmän uusi käynnistys vaaditaan.
  9. Valitse Kyllä.
  10. Ohjaus käynnistyy uudelleen.

Ohjeet

 
Ohje
Varoitus, ei-toivottuja tietoja voi hävitä!
Kun toiminto Käyttäjän anonymisointi lokitiedoissa deaktivoidaan, käyttäjätiedot personoidaan ohjauksen kaikissa lokitiedoissa.
Huoltotöiden yhteydessä ja vastaavissa lokitietojen käsittelyissä sopimuskumppanilla on mahdollisuus tarkastella näitä käyttäjätietoja. Tässä tapauksessa tietosuojalakiin perustuvien tietojen varmistaminen sinun yrityksessäsi on sinun vastuullasi.
  1. Toiminnon Käyttäjän anonymisointi lokitiedoissa aktiivisen tilan säilyttäminen ja uudelleenaktivointi
  • Koneen valmistaja konfiguroi käyttäjähallinnnan tietyt alueet. Katso koneen käyttöohjekirjaa!
  • HEIDENHAIN suosittelee käyttäjähallintaa IT-turvakonseptin rakenneosana.
  • Kun aktiivisella käyttäjähallinnalla myös näytönsäästäjä on aktiivinen, sinun on syötettävä voimassa oleva salasana näytön vapauttamiseksi.
  • HEROS-valikko

  • Jos olet luonut Remote Desktop Managerin avulla yksityisiä yhteyksiä ennen käyttäjähallinnan aktivointia, ne eivät ole enää käytettävissä aktiivisella käyttäjähallinnalla. Varmista yksityiset yhteydet ennen käyttäjähallinnan aktivointia.
  • Ikkuna Remote Desktop Manager (optio #133)