Połączenie DNC zabezpieczone przez SSH

Zastosowanie

W przypadku aktywnego menedżera użytkowników aplikacje zewnętrzne muszą identyfikować użytkownika, aby zostały mu przyporządkowane odpowiednie prawa.

W przypadku połączenia DNC przez protokół RPC bądź LSV2 jest ono tunelowane przez SSH. Poprzez ten mechanizm użytkownik Remote zostaje przyporządkowany do skonfigurowanego w sterowaniu użytkownika i otrzymuje jego prawa.

Spokrewnione tematy

  • Zablokowanie niezabezpieczonych połączeń
  • Firewall

  • Role dla zdalnego logowania
  • Role

Warunki

  • Sieć TCP/IP
  • Zewnętrzny komputer jako SSH-Client
  • Sterowanie jako serwer SSH
  • Para kodów liczbowych składająca się z:
    • prywatnego kodu
    • publicznego kodu

Opis funkcji

Zasad transmisji przez tunel SSH

Połączenie SSH następuje zawsze między klientem SSH i serwerem SSH.

W celu zabezpieczenia połączenia stosowana jest para kodów. Ta para kluczy jest generowana na koncie Client. Para kodów składa się z prywatnego kodu i publicznego kodu. Prywatny kod pozostaje u klienta (Client). Publiczny kod jest przesyłany przy konfigurowaniu na serwer i zostaje tam przyporządkowany do określonego użytkownika.

Client próbuje połączyć się z serwerem używając zadanej z góry nazwy użytkownika. Serwer może przy pomocy kodu publicznego testować, czy żądający połączenia użytkownik posiada przynależny prywatny kod. Jeśli tak, to serwer akceptuje połączenie SSH i przyporządkowuje je do użytkownika, dla którego następuje zalogowanie. Komunikacja może wówczas być "tunelowana" przez połączenie SSH.

SSH-Verbindung fuer DNC

Wykorzystywanie zewnętrznych aplikacji

Oferowane przez HEIDENHAIN programy narzędziowe dla PC, jak np.  TNCremo od wersji v3.3, oferują wszystkie funkcje dla konfigurowania bezpiecznych połączeń poprzez tunel SSH, ich generowania i organizowania.

Przy konfigurowaniu połączenia generowana jest konieczna para kodów a publiczny kod jest przesyłany do sterowania.

To obowiązuje także dla aplikacji, wykorzystujących do komunikacji komponenty DNC HEIDENHAIN z RemoTools SDK. Dopasowanie już dostępnych aplikacji klientowskich nie jest przy tym konieczne.

 
Tip

Dla rozszerzenia konfiguracji połączenia z przynależnym narzędziem CreateConnections, konieczna jest aktualizacja na HEIDENHAIN DNC v1.7.1. Dopasowanie kodu źródłowego aplikacji nie jest przy tym konieczne.

Konfigurowanie połączenia DNC zabezpieczonego przez SSH

  1. Konfigurujesz połączenie DNC zabezpieczone przez SSH dla zalogowanego użytkownika w następujący sposób:
  2. Wybrać aplikację Settings
  3. Sieć/dostęp zdalny wybrać
  4. DNC wybrać
  5. Włącz przełącznik Setup permitted
  6. Stosować aplikację TNCremo, aby skonfigurować bezpieczne połączenie (TCP secure).
  7.  
    Manual

    Szczegółowe informacje, jak należy to wykonać, znajdują się w zintegrowanym systemie pomocy TNCremo.

  8. TNCremo przesyła publiczny kod do sterowania.
  9.  
    Tip

    Aby zapewnić optymalne zabezpieczenie, należy dezaktywować ponownie funkcję Zezwolić autoryzację z hasłem po zakończeniu operacji zachowania w pamięci.

  10. Wyłącz przełącznik Setup permitted

Kasowanie bezpiecznego połączenia

Gdy skasujesz prywatny kod na sterowaniu, to usuwasz tym samym możliwość używania zabezpieczonego połączenia dla użytkownika.

  1. Usuwasz kod w następujący sposób:
  2. Wybrać aplikację Settings
  3. System operacyjny wybrać
  4. Current User podwójnie kliknąć
  5. Sterowanie otwiera okno Aktualny użytkownik.
  6. Certyfikaty i kody wybrać
  7. Wybór przewidzianego do skasowania kodu
  8. Usuwanie kodu SSH wybrać
  9. Sterowanie usuwa wybrany kod.

Wskazówki

  • Dzięki wykorzystywanemu w tunelu SSH zakodowaniu komunikacja jest dodatkowo zabezpieczona od ataków. 
  • W przypadku połączeń OPC UA identyfikacja następuje poprzez zdeponowany certyfikat użytkownika (user).
  • OPC UA NC Server (opcje #56 - #61)

  • Jeśli menedżer użytkowników jest aktywny, to możesz utworzyć bezpieczne połączenia sieciowe tylko poprzez SSH. Sterowanie blokuje automatycznie połączenia LSV2 przez szeregowe interfejsy (COM1 i COM2) a także połączenia sieciowe bez identyfikacji użytkownika.
  • Za pomocą parametrów maszynowych allowUnsecureLsv2 (nr 135401) i allowUnsecureRpc (nr 135402) producent maszyny definiuje, czy sterowanie ma zablokować niepewne połączenia LSV2 bądź RPC także, kiedy menedżer użytkowników nie jest aktywny. Te parametry maszynowe są zawarte w obiekcie danych CfgDncAllowUnsecur (135400).

  • Konfiguracje połączenia, zaraz po ich skonfigurowaniu, mogą być wykorzystywane przez wszystkie programy narzędziowe na HEIDENHAIN PC do utworzenia połączenia.
  • Publiczny kod możesz przesłać do sterowania także za pomocą urządzenia USB bądź napędu sieciowego.
  • W oknie Certyfikaty i kody możesz w sekcji Externally administered SSH key file wybrać plik z dodatkowymi publicznymi kodami SSH. Dzięki temu możesz używać kodów SSH, bez konieczności przesyłania ich do sterowania.