Principes de base de la
Application
La gestion des utilisateurs vous permet de créer et de gérer différents utilisateurs avec différents droits pour les fonctions de la commande. Vous pouvez attribuer aux différents utilisateurs des rôles correspondant à leurs tâches, par exemple opérateur de machine ou installateur.
À la livraison de la commande, la gestion des utilisateurs est inactive. Cet état est appelé mode Héritage.
Description fonctionnelle
- Basée sur les exigences de la série de normes CEI 62443, la gestion des utilisateurs contribue à la sécurité du système au niveau des aspects suivants :
- Sécurité de l'application
- Sécurité du réseau
- Sécurité de la plateforme
- Le gestionnaire des utilisateurs distingue les termes suivants :
- Utilisateur
- Roulis
- Droits
Utilisateur
- Le gestionnaire des utilisateurs propose les types d'utilisateurs suivants :
- Utilisateurs fonctionnels prédéfinis par HEIDENHAIN
- Utilisateurs fonctionnels du constructeur de la machine
- Utilisateurs personnalisés
En fonction de ce ce que vous avez à faire, soit vous utilisez un des utilisateurs fonctionnels prédéfinis, soit vous devrez créer un nouvel utilisateur.
Si vous désactivez la gestion des utilisateurs, la commande mémorise tous les utilisateurs configurés. Ceux-ci sont de nouveau disponibles lors de la réactivation de la gestion des utilisateurs.
Si vous souhaitez supprimer les utilisateurs configurés lors de la désactivation, il vous faudra sélectionner les éléments nécessaires au cours de la procédure de désactivation.
Utilisateurs fonctionnels de HEIDENHAIN
Les utilisateurs fonctionnels de HEIDENHAIN sont des utilisateurs prédéfinis qui sont automatiquement créés à l'activation de la gestion des utilisateurs. Les utilisateurs fonctionnels ne peuvent pas être modifiés.
- HEIDENHAIN met à disposition quatre utilisateurs fonctionnels distincts à la livraison de la commande.
- useradmin
L'utilisateur fonctionnel useradmin est automatiquement créé à l'activation de la gestion des utilisateurs. L'utilisateur useradmin peut configurer et éditer la gestion des utilisateurs.
- sys
L'utilisateur fonctionnel sys permet d'accéder au lecteur SYS: de la commande. Cet utilisateur fonctionnel est réservé au service après-vente de HEIDENHAIN.
- user
En mode Legacy, l'utilisateur fonctionnel user est automatiquement connecté au système de démarrage de la commande. L'utilisateur user n'a aucune fonction si la gestion des utilisateurs est active. L'utilisateur user connecté ne peut pas être modifié en mode Legacy.
- oem
L'utilisateur fonctionnel oem correspond au constructeur de la machine. Le bouton oem permet d'accéder à la partition PLC: de la commande.
Utilisateur fonctionnel useradmin
L'utilisateur useradmin a un rôle comparable à celui de l'administrateur local d'un système Windows.
- Le compte useradmin propose les fonctions suivantes :
- Création de bases de données
- Attribution de données de mots de passe
- Activation de la base de données LDAP
- Exportation de fichiers de configuration du serveur LDAP
- Importation de fichiers de configuration du serveur LDAP
- Accès d'urgence en cas de destruction de la base de données utilisateur
- Modification ultérieure de la connexion à la base de données
- Désactivation de la gestion des utilisateurs
Utilisateur fonctionnel du constructeur de la machine
Le constructeur de votre machine définit les utilisateurs fonctionnels qui sont par exemple nécessaires pour l'entretien de la machine.
Vous avez la possibilité d'activer temporairement des droits d'utilisateurs fonctionnels oem en saisissant des codes ou des mots de passe qui remplacent les codes.
Les utilisateurs fonctionnels du constructeur de la machine peuvent être déjà actifs en mode Héritage et remplacer des codes.
Rôles
HEIDENHAIN regroupe plusieurs droits affectant différentes tâches sous forme de rôles. Vous disposez de plusieurs rôles prédéfinis qui vous permettent d'affecter des droits aux utilisateurs. Les tableaux ci-après listent les droits des différents rôles.
- Avantages de la répartition en rôles :
- Administration simplifiée
- Des droits différents entre diverses versions de logiciel de la commande et divers constructeurs de machines sont compatibles entre eux.
- La gestion des utilisateurs propose des rôles pour les tâches suivantes :
- Rôles du système d'exploitation: accès aux fonctions du système d'exploitation et interfaces
- Rôles des utilisateurs CN: accès aux fonctions de programmation, de configuration et d'exécution des programmes CN
- Rôles du constructeur de machines (PLC): accès aux fonctions de configuration et de contrôle de la commande
Chaque utilisateur doit se voir attribuer au moins un rôle pour le système d'exploitation et un rôle pour la programmation.
HEIDENHAIN recommande d'octroyer l'accès au compte avec le rôle HEROS.Admin à plus d'une personne. Ainsi, vous garantirez la possibilité d'apporter des modifications nécessaires à la gestion des utilisateurs même en l'absence de l'administrateur.
Connexion locale ou distante
Un rôle peut également être activé pour une connexion locale ou pour une connexion à distance. Une connexion locale désigne une connexion directement sur l'écran de la commande. Dans le cas d'une connexion à distance (DNC), il s'agit d'une connexion par protocole SSH.
Connexion DNC dotée du protocole de sécurité SSH
Si un rôle n'est activé que pour une connexion locale, le préfixe Local. est ajouté au nom du rôle, par exemple Local.HEROS.Admin à la place de HEROS.Admin.
Si un rôle n'est activé que pour la connexion à distance, il se voit alors attribuer le préfixe Remote. dans son intitulé, par exemple Remote.HEROS.Admin au lieu de HEROS.Admin.
Il est ainsi possible de définir les droits d'un utilisateur suivant son accès à la commande.
Droits
La gestion des utilisateurs s'effectue sur la base de la gestion des droits Unix. Les accès à la commande sont pilotés par des droits.
Les droits regroupent les fonctions de la commande, par exemple modifier le tableau d'outils.
- La gestion des utilisateurs fournit des droits pour les tâches suivantes :
- Droits HEROS
- Droits CN
- Droits PLC (constructeur de machines)
Si un utilisateur reçoit plusieurs rôles, il bénéficie de la somme des droits de tous ces rôles.
Veillez à ce que chaque utilisateur reçoive les droits d'accès nécessaires. Les droits d'accès attribués dépendent des tâches que l'utilisateur effectue sur la commande.
Les droits d'accès des utilisateurs fonctionnels de HEIDENHAIN sont déjà définis au moment de la livraison de la CN.
Paramètres du mot de passe
Si vous utilisez une base de données LDAP, les utilisateurs dotés du rôle HEROS.Admin peuvent définir les exigences en matière de mot de passe. À cet effet, la commande propose l'onglet Paramètres du mot de passe.
Enregistrement des données utilisateur
Les paramètres suivants sont disponibles :
- Durée de vie du mot de passe
- Durée de validité du mot de passe:
Indique la durée d'utilisation du mot de passe.
- Avertissement avant expiration:
Indique le moment à partir duquel un avertissement d'expiration du mot de passe est émis.
- Qualité du mot de passe
- Longueur minimale du mot de passe:
Indique la longueur minimale du mot de passe.
- Nbre min. de classes de caract. (grands/petits, chiffres, spéciaux):
Indique le nombre minimal de classes de caractères différents dans le mot de passe.
- Nombre maximal de répétitions de caractères:
Indique le nombre maximal de caractères identiques successifs utilisés dans le mot de passe.
- Longueur maximale de séquences de caractères:
Indique la longueur maximale de séquences de caractères dans le mot de passe, par exemple 123.
- Vérification du dictionnaire (concordance du nombre de caractères):
Vérifie les mots utilisés dans le mot de passe et indique le nombre de caractères corrélés admis.
- Nbre min. de caractères modifiés par rapport au mot de passe précédent
Indique le nombre de caractères du nouveau mot de passe qui doivent se distinguer de l'ancien.
Vous définissez la valeur de chaque paramètre avec une échelle.
- Pour des raisons de sécurité, les mots de passe doivent avoir les propriétés suivantes :
- Au moins huit caractères
- Des lettres, des chiffres et des caractères spéciaux
- Pas de mots ou de chaînes de caractères avec un lien logique, par exemple Anna ou 123
Si vous utilisez des caractères spéciaux, tenez compte du type de clavier utilisé. HEROS tient compte d'un clavier américain tandis que le logiciel CN tient compte d'un clavier HEIDENHAIN. Les claviers externes peuvent être librement configurés.
Répertoires supplémentaires
Lecteur HOME:
Lorsque le gestionnaire des utilisateurs est activé, chaque utilisateur a accès à un répertoire privé HOME:, dans lequel il peut enregistrer des programmes et des fichiers privés.
Le répertoire HOME: peut être consulté par l'utilisateur actuellement connecté.
Répertoire public
Lorsque vous activez la gestion des utilisateurs pour la première fois, le répertoire public est lié au lecteur TNC:.
Le répertoire public est accessible par n'importe quel utilisateur.
Dans le répertoire public, vous pouvez, par exemple, mettre les fichiers à la disposition des autres utilisateurs.
Configurer la gestion des utilisateurs
Vous devez configurer la gestion des utilisateurs avant de pouvoir l'utiliser.
- La configuration contient les étapes suivantes :
- Ouvrir la fenêtre Gestion des utilisateurs
- Activer la gestion des utilisateurs
- Définir le mot de passe pour l'utilisateur fonctionnel useradmin
- Configurer une base de données
- Créer un nouvel utilisateur
- Vous avez la possibilité de quitter la fenêtre Gestion des utilisateurs après chaque étape de configuration.
- Si vous quittez la fenêtre Gestion des utilisateurs après l'activation, la commande réclame une fois un redémarrage.
Ouvrir la fenêtre Gestion des utilisateurs
|
Activer la gestion des utilisateurs
- Sélectionnez Gestion des utilisateurs active
- La commande affiche le message Le mot de passe utilisateur pour 'useradmin' manque..
- Conservez la fonction Rendre l'utilisateur anonyme dans les données journalisées à l'état activé ou réactivez-la
- La fonction Rendre l'utilisateur anonyme dans les données journalisées sert à la protection des données et est active par défaut. Si cette fonction est activée, les données utilisateur sont anonymisées dans l'ensemble des données journal de la commande.
- Si vous quittez la fenêtre Gestion des utilisateurs après l'activation, la commande réclame une fois un redémarrage.
Définir le mot de passe de l'utilisateur de fonction useradmin
Lorsque vous activez la gestion des utilisateurs pour la première fois, vous devez définir un mot de passe pour l'utilisateur fonctionnel useradmin.
- Sélectionnez le Mot de passe pour useradmin
- La commande ouvre la fenêtre auxiliaire Mot de passe de l'utilisateur 'useradmin'.
- Saisissez le mot de passe pour l'utilisateur fonnctionnel useradmin
- Répétez le mot de passe
- Sélectionnez Définir un nouveau mot de passe
- La commande affiche le message Les paramétrages et le mot de passe de 'useradmin' ont été modifiés..
Configurer la base de données
- Sélectionnez la base de données pour l'enregistrement des données utilisateur, par exemple Base de données LDAP locale
- Sélectionnez Configurer
- La commande ouvre une fenêtre qui vous permet de configurer la base de données correspondante.
- Suivez les instructions fournies par la commande dans la fenêtre
- Sélectionnez VALIDER
- Vous disposez des variantes suivantes pour l'enregistrement de vos données utilisateur :
- Base de données LDAP locale
- LDAP sur autre ordinateur
- Connexion au domaine Windows
Un fonctionnement parallèle d'un domaine Windows et d'une base de données LDAP est tout à fait possible.
Créer un nouvel utilisateur
- Sélectionnez l'onglet Gérer les utilisateurs
- Sélectionnez Créer un nouvel utilisateur
- La commande ajoute un nouvel utilisateur à la Liste des utilisateurs.
- Au besoin, modifiez le nom
- Au besoin, saisissez le mot de passe
- Au besoin, définissez la photo de profil
- Au besoin, saisissez la description
- Sélectionnez Ajouter un rôle
- La commande ouvre la fenêtre Ajouter un rôle.
- Sélectionnez le rôle
- Sélectionnez Ajouter
- Tip
Vous pouvez également ajouter des rôles à l'aide des boutons Ajouter un login externe et Ajouter un login local.
- Sélectionnez Fermer
- La commande ferme la fenêtre Ajouter un rôle.
- Sélectionnez OK
- Sélectionnez VALIDER
- La commande applique les modifications.
- Sélectionnez FIN
- La commande ouvre la fenêtre Redémarrage système requis.
- Sélectionnez Oui
- La commande redémarre.
L'utilisateur doit modifier le mot de passe à la première connexion.
Désactiver la gestion des utilisateurs
- Seuls les utilisateurs fonctionnels suivants ont la possibilité de désactiver la gestion des utilisateurs :
- useradmin
- OEM
- SYS
|
Remarques
En cas de panne ou en cas de transmission de données journal à caractère exceptionnel, votre partenaire contractuel a la possibilité de visualiser ces données utilisateurs. Dans ce cas, il est de votre responsabilité de garantir le respect de la protection des données nécessaire au sein de votre entreprise.
- Conservez la fonction Rendre l'utilisateur anonyme dans les données journalisées à l'état activé ou réactivez-la
- Certaines parties du gestionnaire des utilisateurs sont configurées par le constructeur de la machine. Consultez le manuel de votre machine !
- HEIDENHAIN recommande la gestion des utilisateurs dans le cadre d'un concept de sécurité informatique.
- Si l'économiseur d'écran s'active alors que la gestion des utilisateurs est active, vous devez saisir le mot de passe de l'utilisateur actuel pour déverrouiller l'écran.
- Si vous avez utilisé Remote Desktop Manager pour créer des connexions privées avant d'activer la gestion des utilisateurs, celles-ci ne seront plus disponibles après avoir activé la gestion des utilisateurs. Sauvegardez les connexions privées avant d'activer le gestionnaire des utilisateurs.