Conexiune DNC securizată cu SSH
Aplicaţie
Dacă administrarea utilizatorilor este activă, aplicaţiile externe trebuie, de asemenea, să autentifice un utilizator astfel încât să poată fi alocate drepturile adecvate.
Pentru conexiunile DNC care utilizează protocolul RPC sau LSV2, conexiunea este direcţionată printr-un tunel SSH. Această metodă alocă utilizatorul de la distanţă la un utilizator configurat pe sistemul de control, ale cărui drepturi sunt alocate utilizatorului de la distanţă.
Cerinţe
- Reţeaua TCP/IP
- Computerul de la distanţă acţionează ca un client SSH
- Sistemul de control acţionează ca un server SSH
- Pereche de chei constând în
- Cheie privată
- Cheie publică
Descrierea funcţiilor
Conceptul de transmisie printr-un tunel SSH
O conexiune SSH este întotdeauna configurată între un client SSH şi un server SSH.
O pereche de chei este utilizată pentru protejarea conexiunii. Această pereche de chei este generată în client. Perechea de chei constă într-o cheie privată şi una publică. Cheia privată rămâne la client. În timpul configurării, cheia publică este transferată la server şi alocată unui anumit utilizator.
Clientul încearcă să se conecteze la server folosind numele de utilizator predefinit. Serverul poate utiliza cheia publică pentru a verifica dacă autorul interogării conexiunii deţine cheia privată asociată. Dacă da, serverul acceptă conexiunea SSH şi o alocă utilizatorului folosit pentru autentificare. Comunicaţiile pot apoi fi transmise prin această conexiune tip „tunel” SSH.
Utilizare în aplicaţii externe
Instrumentele PC disponibile de la HEIDENHAIN, cum ar fi TNCremo cu versiunea v3.3 sau mai nouă, oferă toate funcţiile pentru configurarea, crearea şi administrarea conexiunilor securizate printr-un tunel SSH.
După configurarea conexiunii, perechea de chei necesară este generată în TNCremo, iar cheia publică este transferată sistemului de control.
Acest lucru este valabil și pentru aplicațiile care folosesc componenta HEIDENHAIN DNC de la RemoTools SDK pentru comunicare. Nu este necesară adaptarea aplicațiilor existente ale clientului.
Pentru extinderea configuraţiei conexiunii cu ajutorul instrumentului asociat CreateConnections, este necesar să actualizaţi software-ul la versiunea HEIDENHAIN DNC v1.7.1. Nu este necesară modificarea codului sursă al aplicaţiei.
Configurarea conexiunilor DNC securizate cu SSH
- Selectaţi aplicaţia Setări
- Selectaţi Rețea/Acces de la dist.
- Selectaţi DNC
- Activaţi comutatorul Permiteți ajustarea
- Utilizaţi TNCremo pentru a configura conexiunea securizată (prin TCP).
- Manual
Pentru detalii, consultaţi sistemul integrat de asistenţă al TNCremo.
- TNCremo transmite cheia publică către sistemul de control.
- Tip
Pentru a asigura o securitate maximă, dezactivaţi funcţia Permite autentificarea cu parolă după ce cheia publică a fost stocată.
- Dezactivaţi comutatorul Permiteți ajustarea
Eliminarea unei conexiuni securizate
Dacă ştergeţi o cheie privată din sistemul de control, utilizatorul respectiv nu mai are posibilitatea unei conexiuni securizate.
- Selectaţi aplicaţia Setări
- Selectaţi Sistem de operare
- Atingeţi de două ori sau faceţi dublu clic pe Current User
- Sistemul de control deschide fereastra Utilizator actual.
- Selectaţi Certificate şi chei
- Selectaţi cheia care va fi ştearsă
- Selectaţi Ştergeţi cheia SSH
- Sistemul de control şterge cheia selectată.
Note
- Criptarea utilizată în tunelul SSH protejează comunicaţiile împotriva atacatorilor.
- Pentru conexiunile OPC UA, se utilizează un certificat de utilizator memorat pentru autentificare.
- Când administrarea utilizatorilor este activă, puteți să configurați doar conexiuni de rețea securizate prin SSH. Sistemul de control dezactivează automat conexiunile LSV2 prin intermediul interfețelor seriale (COM1 și COM2) și conexiunile de rețea fără identificarea utilizatorului.
Producătorul maşinii utilizează parametrii maşinii allowUnsecureLsv2 (nr. 135401) şi allowUnsecureRpc (nr. 135402) pentru a defini dacă sistemul de control dezactivează conexiunile LSV2 sau RPC nesecurizate, chiar dacă gestionarea utilizatorilor nu este activă. Aceşti parametri ai maşinii sunt incluşi în obiectul de date CfgDncAllowUnsecur (135400).
- După configurarea setărilor de conectare create, acestea pot fi partajate între toate instrumentele PC HEIDENHAIN pentru crearea unei conexiuni.
- De asemenea, puteţi transmite o cheie publică către sistemul de control utilizând un dispozitiv USB sau o unitate de reţea.
- În fereastra Certificate şi chei puteţi selecta un fişier cu chei SSH publice suplimentare în zona Fișier cod SSH administrat extern. Acest lucru vă permite să utilizaţi cheile SSH fără a fi nevoie să le transmiteţi către sistemul de control.