SSH-varmennettu DNC-yhteys

Sovellus

Aktiivisessa käyttäjähallinnassa täytyy myös ulkoisten sovellusten todentaa käyttäjä, jotta asianmukaiset oikeudet voidaan määritellä.

RPC- tai LSV2-protokollaa käyttäville DNC-yhteyksille reititetään yhteys SSH-tunnelin kautta. Tämän mekanismin kautta etäkäyttäjäksi määritellään ohjaukseen asetettu käyttäjä ja se sille annetaan nämä oikeudet.

Käytetyt aiheet

  • Vaarallisten yhteyksien kieltäminen
  • Palomuuri

  • Etäkirjautumisen roolit
  • Roolit

Alkuehdot

  • TCP/IP-verkko
  • Ulkoinen tietokone SSH-asiakkaana
  • Ohjaus SSH-palvelimena
  • Avainparin sisältö:
    • Yksityinen avain
    • Julkinen avain

Toiminnon kuvaus

SSH-tunnelin kautta tapahtuvan tiedonsiirron periaate

SSH-yhteys tapahtuu aina SSH-asiakkaan ja SSH-palvelimen välillä.

Yhteyden varmistukseen käytetään avainparia. Tämä avainpari luodaan asiakasohjelmaan. Avainpari käsittää yksityisen avaimen ja julkisen avaimen. Yksityisavain pysyy asiakasohjelmalla. Julkinen avain siirretään asetuksen yhteydessä palvelimeen ja sille määritellään siellä tietty käyttäjä.

Asiakas yrittää yhteydenottoa palvelimeen määritellyllä käyttäjänimellä. Palvelin voi testata julkisella avaimella, josko yhteyden pyytäjällä on siihen liittyvä yksityinen avain. Jos on, SSH-yhteys hyväksyy sen ja määrittelee käyttäjän, jolle kirjautuminen tehdään. Yhteys voidaan tunneloida tämän SSH-yhteyden avulla.

SSH-Verbindung fuer DNC

Käyttö ulkoisesta sovelluksesta

HEIDENHAINin tarjoamat PC-työkalut, kuten esim. TNCremo versiosta v3.3 lähtien mahdollistavat kaikki toiminnot SSH-tunnelin kautta toteutettavan turvallisen yhteyden asetusta, muodostusta ja hallintaa varten.

Yhteyden asetuksen yhteydessä luodaan tarvittava avainpari ja julkinen avain siirretään ohjaukseen.

Sama pätee myös sovelluksia, joita HEIDENHAINin DNC-komponentit käyttävät kommunikointiin toiminnoista RemoTools SDK. Olemassa olevan asiakassovelluksen mukautusta ei tällöin tarvita.

 
Tip

Yhteyskonfiguraation laajentaminen asianomaisella CreateConnections-työkalulla vaatii päivityksen versioon HEIDENHAIN DNC v1.7.1. Sovelluslähdekoodin mukautusta ei tällöin tarvita.

SSH-suojattujen DNC-yhteyksien asetus

  1. SSH-turvallinen DNC-yhteys asetetaan kirjautuneelle käyttäjälle seuraavasti:
  2. Valitse sovellus Settings.
  3. Valitse Verkko/etäyhteydenotto.
  4. Valitse DNC.
  5. Aktivoi kytkin Setup permitted.
  6. Käytä TNCremoa turvallisen yhteyden (TCP secure) asettamiseen.
  7.  
    Manual

    Yksityiskohtaiset tiedot ovat TNCremon sisäisessä ohjejärjestelmässä.

  8. TNCremo siirtää julkisen avaimen ohjaukseen.
  9.  
    Tip

    Optimaalisen turvallisuuden varmistamiseksi deaktivoidaan toiminto Sallittu varmennus salasanalla heti tallennuksen päättymisen jälkeen.

  10. Deaktivoi kytkin Setup permitted.

Turvallisen yhteyden poistaminen

Avaimen poistamiseksi ohjauksesta ja sitä kautta käyttäjälle turvallisen yhteyden mahdollisuuden poistamiseksi toimi seuraavien ohjeiden mukaisesti.

  1. Avain poistetaan seuraavalla tavalla:
  2. Valitse sovellus Settings.
  3. Valitse Käyttöjärjestelmä.
  4. Kaksoisnapauta tai napsauta Current User.
  5. Ohjaus avaa ikkunan Nykyinen käyttäjä.
  6. Valitse Sertifik. ja avain.
  7. Valitse poistettava avain.
  8. Valitse SSH-avaimen poisto.
  9. Ohjaus poistaa valitun avaimen.

Ohjeet

  • SSH-tunnelin kautta asetetulla salauksella varmistetaan myös kommunikointi tunkeutujia vastaan. 
  • OPC UA -liitännällä todennus tapahtuu tallennetun käyttäjäsertifikaatin kautta.
  • OPC UA NC Server (optiot #56 - #61)

  • Jos käyttäjähallinta on aktiivinen, voit luoda suojattuja verkkoyhteyksiä vain SSH:n kautta. Ohjaus estää automaattisesti LSV2-yhteydet sarjaliitäntöjen (COM1 ja COM2) kautta sekä verkkoyhteydet ilman käyttäjän tunnistamista.
  • Koneparametrien allowUnsecureLsv2 (nro 135401) ja allowUnsecureRpc (nro 135402) avulla koneen valmistaja määrittelee, estääkö ohjaus epävarmat LSV2- tai RPC-yhteydet myös ei-aktiivisella käyttäjähallinnalla. Nämä koneparametrit sisältyvät dataobjektiin CfgDncAllowUnsecur (135400).

  • Kun ne on kerran asetettu, yhteyskonfiguraatioita voidaan käyttää yhdessä kaikkien HEIDENHAIN PC-työkalujen kanssa yhteyden muodostamiseen.
  • Voit myös siirtää julkisen avaimen ohjaukseen USB-laitteen tai verkkoaseman avulla.
  • Ikkunassa Sertifik. ja avain voit alueella Externally administered SSH key file valita tiedoston julkisilla SSH-lisäavaimilla. Näin voit käyttää SSH-avainta ilman, että se siirrettäisiin ohjaukseen.