Alapok
Alkalmazás
A felhasználókezeléssel különböző felhasználókat hozhat létre és kezelhet, akik a vezérlő funkcióihoz különféle jogosultságokkal rendelkeznek. A különböző felhasználókhoz olyan szerepköröket rendelhet, amelyek megfelelnek a felhasználó feladatainak, pl. gépkezelő vagy gépbeállító.
A vezérlő inaktív felhasználókezeléssel van kiszállítva. Ezt Legacy mode állapotnak nevezzük.
Funkcióleírás
A felhasználókezelés hozzájárul a következő biztonsági területekhez, az IEC 62443 szabványcsalád követelményei alapján:
- Alkalmazásbiztonság
- Hálózatbiztonság
- Platformbiztonság
A felhasználókezelőben különbség van az alábbi fogalmak között:
- Felhasználó
- Szerepkörök
- Jogosultságok
Felhasználók
A felhasználókezelés a következő felhasználótípusokat ajánlja fel:
- A HEIDENHAIN által előre meghatározott funkciófelhasználó
- A gépgyártó funkciófelhasználója
- Önállóan definiált felhasználók
A feladat függvényében Ön használhat előre definiált funkciófelhasználót, vagy létre kell hoznia egy új felhasználót.
Ha a felhasználókezelést inaktiválja, a vezérlő elmenti az összes konfigurált felhasználót. Így azok a felhasználókezelés újraaktiválásakor ismét rendelkezésre állnak.
Ha a konfigurált felhasználókat az inaktiválással törölni szeretné, akkor azt az inaktiválás közben konkrétan ki kell választania.
A HEIDENHAIN funkcióhasználói
A HEIDENHAIN funkcióhasználói előre definiált felhasználók, melyek a felhasználókezelés aktiválásakor automatikusan létrejönnek. A funkcióhasználókat nem tudja megváltoztatni.
A HEIDENHAIN a vezérlő kiszállításakor négy különböző funkcióhasználót bocsát rendelkezésre.
- useradmin
A useradmin funkcióhasználó a felhasználókezelés aktiválásakor automatikusan létrejön. A useradmin-nal lehet a felhasználókezelést konfigurálni és szerkeszteni.
- sys
A sys funkcióhasználóval lehet a vezérlő SYS: meghajtójához hozzáférni. Ez a funkcióhasználó a HEIDENHAIN ügyfélszolgálatának van fenntartva.
- user
Legacy mode-ban a vezérlő indulásakor automatikusan a user funkcióhasználó jelentkezik be a rendszerbe. Aktív felhasználókezelés esetén a user funkcióhasználónak nincs funkciója. A bejelentkezett user felhasználót Legacy mode-ban nem lehet megváltoztatni.
- oem
Az oem funkcióhasználó a gépgyártóé. Az oem funkcióhasználó segítségével lehet a vezérlő PLC: meghajtójához hozzáférni.
A useradmin funkcióhasználó
A useradmin felhasználó egy helyi Windows-rendszergazdával hasonlítható össze.
A useradmin fiók az alábbi lehetőségeket kínálja:
- Adatbázisok létrehozása
- Jelszóadatok kiadása
- LDAP adatbázis aktiválása
- LDAP szerver konfigurációs fájlok exportálása
- LDAP szerver konfigurációs fájlok importálása
- Felhasználói adatbázis károsodásakor vészhelyzeti hozzáférés
- Adatbázis kapcsolatának utólagos változtatása
- Felhasználókezelés inaktiválása
A gépgyártó funkcióhasználója
A gépgyártó olyan funkciófelhasználókat határoz meg, akik speciális feladatokhoz, pl. a gép karbantartásához szükségesek.
Lehetősége van kulcsszámok vagy kulcsszámok helyettesítésére szolgáló jelszavak megadásával az oem funkcióhasználók jogait ideiglenesen engedélyezni.
A gépgyártó funkcióhasználói már a Legacy mode-ban aktívak lehetnek és kulcsszámokat helyettesíthetnek.
Szerepkörök
A HEIDENHAIN az egyes feladatkörök jogosultságait szerepkörökbe foglalja össze. Különböző előre definiált szerepkörök állnak rendelkezésre, amelyekkel Ön a felhasználóihoz jogosultságokat rendelhet hozzá. Az alábbi táblázatok a különböző szerepkörök egyes jogosultságait tartalmazza.
A szerepkörökbe osztás előnyei:
- Megkönnyített adminisztráció
- Különböző jogosultságok a vezérlő különböző szoftververziói és különböző gépgyártók között kompatibilisek egymással.
A felhasználókezelés a következő feladatkörökhöz kínál szerepköröket:
- Operációs rendszer szerepkörök: Hozzáférés az operációs rendszer és az interfészek funkcióihoz
- NC kezelői szerepkörök: Hozzáférés az NC programok programozásához, beállításához és végrehajtásához szükséges funkciókhoz
- Gépgyártói (PLC) szerepkörök: Hozzáférés a vezérlő konfigurálásához és ellenőrzéséhez szükséges funkciókhoz.
Minden felhasználó legalább egy szerepkört kell, hogy kapjon az operációs rendszer és a programozás területeiből.
HEIDENHAIN azt javasolja, hogy több személynek legyen hozzáférése HEROS.Admin szerepkörű fiókhoz. Így biztosítható, hogy a felhasználókezelésben szükséges változtatásokat az adminisztrátor távollétében is végre lehessen hajtani.
Helyi bejelentkezés vagy távoli bejelentkezés
Egy szerepkört alternatívaként lehet a helyi bejelentkezésre vagy a távoli bejelentkezésre engedélyezni. Helyi bejelentkezés a vezérlő képernyőjén való közvetlen bejelentkezés. Távoli bejelentkezésnél (DNC) az SSH-n keresztüli kapcsolatról van szó.
Ha a szerepkör csak helyi bejelentkezésre van engedélyezve, a Local. kiegészítést kapja a szerepkör nevében, pl. Local.HEROS.Admin a HEROS.Admin helyett.
Ha a szerepkör csak távoli bejelentkezésre van engedélyezve,a Remote. kiegészítést kapja a szerepkör nevében, pl. Remote.HEROS.Admin a HEROS.Admin helyett.
Így a felhasználói jogok függhetnek attól, hogy a felhasználó melyik bemeneten keresztül fér hozzá a vezérlőhöz.
Jogosultságok
A felhasználókezelés az Unix hozzáférési jogokon alapul. A vezérlő hozzáférései jogokon keresztül vannak szabályozva
A jogosultságok a vezérlő funkcióit foglalják össze, pl. szerszámtáblázat szerkesztése.
A felhasználókezelés a következő feladatkörökhöz kínál jogosultságokat:
- HEROS jogosultságok
- NC jogosultságok
- PLC jogosultságok (gépgyártó)
Ha egy felhasználó több szerepkört kap, akkor ezáltal megkapja az összes, azokban meglévő jogosultságot is.
Ügyeljen arra, hogy minden felhasználó megkapja a szükséges hozzáférési jogokat. A hozzáférési jogok azokból a feladatokból adódnak, amiket a felhasználó a vezérlőn végrehajt.
A HEIDENHAIN funkciófelhasználói számára a hozzáférési jogok már a vezérlő kiszállításakor meghatározottak.
Jelszóbeállítások
Ha LDAP adatbázist használ, a HEROS.Admin szerepkörrel rendelkező felhasználók definiálhatják a jelszókövetelményeket. Ehhez kínálja a vezérlő a Jelszóbeállítások fület.
Az alábbi paraméterek állnak rendelkezésre:
A jelszó élettartama
- A jelszó érvényességi ideje:
A jelszó felhasználási időtartamát adja meg.
- Figyelmeztetés a lejárat előtt:
A meghatározott időponttól kezdve a rendszer figyelmeztet a jelszó lejáratára.
A jelszó minősége
- A jelszó minimális hossza:
A jelszó minimális hosszát határozza meg.
- Karakterosztályok minimális száma (nagy/kicsi, számok, különleges):
A különböző karaktertípusok minimális számát határozza meg a jelszóban.
- Karakterismétlések maximális száma:
A jelszóban használható egyező, egymást követő karakterek maximális számát adja meg.
- Karaktersorozatok maximális hossza:
A jelszóban használt karakterszekvenciák maximális hosszát határozza meg, pl. 123.
- Szótárellenőrzés (egyező karakterek száma):
Ellenőrzi a jelszót a felhasznált szavakra és megadja a megengedett összefüggő karakterek számát.
- Változtatott karakterek minimális száma az előző jelszóhoz képest:
Azt határozza meg, hogy hány karakterrel kell az új jelszónak a régitől eltérnie.
Minden paraméter értékét egy skálával definiálja.
Biztonsági okokból a jelszónak az alábbi tulajdonságokkal kell rendelkeznie:
- Legalább nyolc karakter
- Betűk, számok és különleges karakterek
- Ne használjon összefüggő szavakat és számsorokat, pl. Anna vagy 123
Ha különleges karaktereket használna, figyeljen a billentyűzetkiosztásra. A HEROS US billentyűzetből indul ki, az NC szoftver a HEIDENHAIN billentyűzetből. Külső billentyűzetek szabadon konfigurálhatók lehetnek.
További könyvtárak
HOME: meghajtó
Minden felhasználó számára egy saját HOME: könyvtár áll rendelkezésre aktív Felhasználó kezelő esetén, amiben saját programokat vagy fájlokat lehet lementeni.
A HOME: könyvtárat a bejelentkezett felhasználó meg tudja nézni.
public könyvtár
A felhasználókezelés első aktiválásakor a public könyvtár létrejön a TNC: meghajtó alatt.
A public könyvtár minden felhasználó számára hozzáférhető.
A public könyvtárban pl. fájlokat tehet elérhetővé más felhasználók számára.
Felhasználókezelés konfigurálása
Használat előtt konfigurálnia kell a felhasználókezelést.
A konfigurálás az alábbi lépéseket tartalmazza:
- Nyissa meg a Felhasználókezelés ablakot
- Felhasználókezelés aktiválása
- Definiáljon jelszót a useradmin funkcióhasználóhoz
- Adatbázis beállítása
- Új felhasználó létrehozása
- A Felhasználókezelés ablakból a konfigurálás minden egyes része után kiléphet.
- Ha az aktiválás után lép ki a Felhasználókezelés ablakból, akkor a vezérlő egyszeri újraindítást igényel.
Nyissa meg a Felhasználókezelés ablakot
A Felhasználókezelés ablakot a következőképpen nyitja meg:
|
Felhasználókezelés aktiválása
A felhasználókezelést a következőképpen aktiválja:
- Válassza ki a Felhasználókezelés aktív lehetőséget
- A vezérlő megjeleníti A 'useradmin’ felhasználó jelszava hiányzik üzenetet.
- Ha a Felhasználó névtelenítése a naplóadatokban funkció aktív, akkor tartsa meg azt, ha nem aktív, akkor aktiválja újra.
- A Felhasználó névtelenítése a naplóadatokban funkció az adatvédelmet szolgálja, és standard beállításként aktív. Amennyiben aktiválja ezt a funkciót, úgy a vezérlő összes naplófájljában lévő felhasználói adat anonim lesz.
- Ha az aktiválás után lép ki a Felhasználókezelés ablakból, akkor a vezérlő egyszeri újraindítást igényel.
Definiáljon jelszót a useradmin funkcióhasználóhoz
Ha első alkalommal aktiválja a felhasználókezelést, akkor definiálnia kell egy jelszót a useradmin funkcióhasználó részére.
A useradmin funkcióhasználó részére a következőképpen definiál jelszót:
- Válassza a useradmin jelszava lehetőséget
- A vezérlő megnyitja A 'useradmin’ felhasználó jelszava felugró ablakot.
- Adjon meg egy jelszót a useradmin funkcióhasználóhoz
- Jelszó megismétlése
- Válassza ki az Új jelszó létrehozása műveletet
- A vezérlő megjeleníti A 'useradmin’ beállításai és jelszava meg lettek változtatva üzenetet.
Adatbázis létrehozása
Adatbázist a következőképpen hoz létre:
- Adatbázis kiválasztása a felhasználói adatok tárolására, pl. Helyi LDAP adatbank
- Válassza ki a Konfigurálás műveletet
- A vezérlő megnyit egy ablakot a megfelelő adatbázis konfigurálására.
- Kövesse a vezérlő utasításait az ablakban
- ALKALMAZ kiválasztása
Felhasználói adatainak mentésére az alábbi lehetőségek állnak rendelkezésére:
- Helyi LDAP adatbank
- LDAP másik számítógépen
- Bejelentkezés Windows doménre
A Windows domén és az LDAP adatbank közötti párhuzamos üzem lehetséges.
Új felhasználó létrehozása
Új felhasználót a következők szerint hoz létre:
- Válassza ki a Felhasználók kezelése fület
- Válassza az Új felhasználó létrehozása műveletet
- A vezérlő hozzáad egy új felhasználót a Felhasználói lista végéhez.
- Ha szükséges, változtassa meg a nevet
- Ha szükséges, írjon be jelszót
- Ha szükséges, definiáljon profilképet
- Ha szükséges, írjon be egy leírást
- Válassza ki a Szerepkör hozzáadása műveletet
- A vezérlő megnyitja a Szerepkör hozzáadása ablakot.
- Szerepkör kiválasztása
- Válassza a Hozzáadás műveletet
- Tip
Szerepköröket hozzáadhat a Hozzáadás külső be- jelentkezés és a Hozzáadás helyi be- jelentkezés kapcsolófelületekkel is.
- Válassza a Bezár lehetőséget
- A vezérlő bezárja a Szerepkör hozzáadása ablakot.
- Válassza az OK-t
- ALKALMAZ kiválasztása
- A vezérlő átveszi a módosításokat.
- Válassza az VÉGE lehetőséget
- A vezérlő megnyitja A rendszer újraindítása szükséges ablakot.
- Válassza az Igen opciót
- A vezérlő újraindul.
A felhasználónak az első bejelentkezéskor meg kell változtatnia a jelszót.
Felhasználókezelés inaktiválása
A felhasználókezelés inaktiválása kizárólag az alábbi funkcióhasználóknak megengedett:
- useradmin
- OEM
- SYS
A felhasználókezelést a következőképpen inaktiválja:
|
Megjegyzések
Szerviz esetén, vagy a naplófájlok egyéb átadásakor az Ön szerződéses partnerei láthatják a felhasználói adatokat. Ebben az esetben az Ön felelőssége annak biztosítása, hogy az Ön vállalatánál a szükséges adatvédelmi elvek érvényesüljenek.
- Ha a Felhasználó névtelenítése a naplóadatokban funkció aktív, akkor tartsa meg azt, ha nem aktív, akkor aktiválja újra.
- A felhasználók kezelésének bizonyos területeit a gépgyártó konfigurálja. Vegye figyelembe a Gépkönyv előírásait.
- A HEIDENHAIN a felhasználókezelést az IT biztonsági koncepció részeként ajánlja.
- Ha a képernyővédő akkor is aktív, amikor a felhasználókezelés aktív, akkor a képernyő feloldásához meg kell adnia az aktuális felhasználó jelszavát.
- Ha a Remote Desktop Manager segítségével a felhasználókezelés aktiválása előtt privát kapcsolatokat hozott létre, akkor ezek a kapcsolatok már nem lesznek elérhetők, amikor a felhasználókezelés aktív. Mentse el a privát kapcsolatokat a felhasználókezelés aktiválása előtt.