Основы
Применение
Управление пользователями позволяет Вам создавать и управлять различными пользователями с различными правами на выполнение функций системы ЧПУ. Вы можете присваивать различные пользовательские роли, соответствующих их задачам, например, оператор станка или наладчик.
Система ЧПУ поставляется с неактивным управлением пользователями. Данное состояние обозначается как Legacy-Mode
Описание функций
Управления пользователями вносит вклад в следующие сферы безопасности, на основе требований семейства стандартов IEC 62443:
- Безопасность приложений
- Безопасность сети
- Безопасность платформы
В управлении пользователями различают следующие понятия:
- Пользоват.
- боковая качка.
- Права
Пользователь.
Управление пользователями предлагает следующие типы пользователей:
- предопределённый функциональный пользователь HEIDENHAIN
- Функциональный пользователь производителя станка
- определенный самостоятельно пользователь.
В зависимости от постановки задач можно использовать предварительно определенного функционального пользователя или создать нового пользователя.
Если вы деактивируете управление пользователями, система ЧПУ сохранит всех настроенных пользователей. Таким образом, они снова станут доступными после повторной активации управления пользователями.
Если вы хотите удалить настроенных пользователей вместе деактивацией, то вы должны выбрать это специально во время процесса деактивации.
Функциональный пользователь HEIDENHAIN
Функциональный пользователь HEIDENHAIN — это предварительно определенный пользователь, который автоматически создается при активации управления пользователями. Вы не можете изменить функционального пользователя.
При поставке системы ЧПУ HEIDENHAIN предоставляет в распоряжение четыре различных функциональных пользователя.
- useradmin
Функциональный пользователь useradmin автоматически создается при активации управления пользователями. Посредством useradmin может быть сконфигурировано и отредактировано управление пользователями.
- sys
Функциональный пользователь sys может получить доступ к диску SYS: системы ЧПУ. Данный функциональный пользователь зарезервирован для сервисной службы HEIDENHAIN.
- user
В Legacy-Mode при запуске системы ЧПУ в системе автоматически регистрируется функциональный пользователь user. У пользователя user нет функций в режиме активного управления пользователями. Зарегистрированного пользователя типа user можно не менять в режиме наследования.
- oem
Функциональный пользователь oem предназначен для производителя станка. С помощью oem может быть получен доступ к разделу PLC: системы ЧПУ.
Функциональный пользователь useradmin
Пользователь useradmin сопоставим с локальным администратором системы Windows.
Учетная запись useradmin предлагает следующий объем функциональных возможностей:
- Создание баз данных
- Выдача данных по паролям
- Активация LDAP-базы данных
- Экспорт файлов конфигурации LDAP-сервера
- Импорт файлов конфигурации LDAP-сервера
- Экстренный доступ при разрушении базы данных пользователей
- Последующее изменение доступа к базе данных
- Деактивация управления пользователями
Функциональный пользователь производителя станка
Производитель станка определяет функционального пользователей, который, например, нужен для сервисного обслуживания станка.
С помощью указания кодовых чисел или паролей можно активировать, какие кодовые числа заменяют временно права функциональных пользователей oem.
Функциональные пользователи производителя станка могут быть активными уже в режиме наследования и заменять кодовые числа.
Роли
HEIDENHAIN объединяет несколько прав для отдельных областей задач в т.н. роли. Вам доступны различные предварительно определенные роли, с которыми вы можете присвоить права пользователям. Следующие таблицы содержат отдельные права различных ролей.
Преимущества разделения ролей:
- Упрощенное администрирование.
- Различные права для различных версий ПО системы ЧПУ и для различных производителей станков совместимы друг с другом.
Управление пользователями предлагает роли для следующих областей задач:
- Роли операционной системы: доступ к функциям и интерфейсам операционной системы
- Роли оператора УП: доступ к функциям для программирования, наладки и отработки управляющих программ.
- Роли производителя станка (PLC): доступ к функциям для конфигурирования и проверки системы ЧПУ
У каждого пользователя должна быть как минимум одна роль из области операционной системы и из области программирования.
Компания HEIDENHAIN рекомендует дать доступ к учетной записи с ролью HEROS.Admin более чем одному человеку. Так будет обеспечиваться возможность внесения изменений в управление пользователями даже при отсутствии администратора.
Локальная или удаленная регистрация
Роль может быть активирована только для локальной регистрации или для удаленной регистрации. Локальная регистрация - это регистрация прямо на экране системы ЧПУ. Удаленная регистрация (DNC) - это соединение через SSH.
SSH защищенное DNC-соединение .
Если роль активирована только для локальной регистрации, она получает приписку Local. в имени роли, например, Local.HEROS.Admin вместо HEROS.Admin.
Если роль активирована только для удаленной регистрации, она получает приписку Remote. в имени роли, например Remote.HEROS.Admin вместо HEROS.Admin.
Таким образом, права одного из пользователей могут зависеть от того, какой вид доступа пользователь использует для входа в систему ЧПУ.
Права.
Управление пользователями основывается на управлении правами ОС Unix. Доступ системы ЧПУ управляется в соответствии с правами.
Права обобщают функции системы ЧПУ, например, редактирование таблицы инструментов.
Управление пользователями предлагает права для следующих областей задач:
- Права HEROS
- Права УП
- Права PLC (производитель станка)
Если один пользователь получает несколько ролей, то вместе с этим он получает и все соответствующие права.
Следите за тем, чтобы каждый пользователь получал все необходимые права доступа. Права доступа вытекают из задач, которые пользователь выполняет в системе ЧПУ.
Права доступа функциональных пользователей HEIDENHAIN определены уже при поставке системы ЧПУ.
Настройка пароля
Если вы используете базу данных LDAP, пользователи с ролью HEROS.Admin могут определить требования к паролям. Для этого система ЧПУ предлагает вкладку Настройка пароля.
Сохранение данных пользователя
Доступны следующие параметры.
Срок службы пароля
- Срок действия пароля:
Установите срок действия пароля.
- Предупреждения при истечении:
Задайте определённый временной интервал предупреждения об окончании действия пароля.
Качество пароля
- Минимальная длина пароля:
Задайте минимальную длину пароля.
- Мин. число групп символов (строчные/прописные, цифры, спец. символы):
Введите минимальное число различных классов символов в пароле.
- Максимальное число повторных знаков:
Введите максимальное число одинаковых следующих подряд символов в пароле.
- Максимальная длина последовательности символов:
Введите максимальную длину используемой последовательности знаков в пароле. например 123.
- Проверка словарём (кол-во совпадающих символов):
Проверьте пароль на используемые слова и задайте число разрешённых взаимосвязанных символов.
- Мин. кол-во измененных символов по отношению к предыдущему паролю:
Задайте, на какое количество знаков, новый пароль должен отличаться от старого.
Вы определяете значение для каждого параметра с помощью шкалы.
Пароли должны обладать следующими характеристиками, исходя из соображений безопасности:
- Минимум 8 символов
- Буквы, цифры и специальные символы
- без смысловых слов и последовательностей символов, например, Anna или 123
Если вы используете специальные символы, обратите внимание на раскладку клавиатуры. HEROS работает на раскладке клавиатуре США, программное обеспечение ЧПУ - на клавиатуре HEIDENHAIN. Внешние клавиатуры можно свободно настраивать.
Дополнительные директории
Диск HOME:
При активном управлении пользователями каждому пользователю предоставляется в распоряжение личная директория HOME:, где можно хранить личные программы и файлы.
Любой зарегистрированный пользователь может просматривать директорию HOME:.
Директория public
При первой активации управления пользователями директория public создаётся на диске TNC:.
Директория public открыта для доступа каждому пользователю.
В каталоге public, например, вы можете сделать файлы доступными для других пользователей.
Настройка управления пользователями
Вы должны настроить управление пользователями, прежде чем сможете его использовать.
Конфигурация содержит следующие шаги:
- Откройте окно Управление пользователями
- Активируйте управление пользователями
- Определите пароль для пользователя функции useradmin .
- Настройка базы данных
- Создать нового пользователя
- Вы имеете возможность закрыть окно Управление пользователями после каждого этапа конфигурации.
- Если вы закрываете окно Управление пользователями после активации, система ЧПУ запрашивает перезагрузку.
Откройте окно Управление пользователями
Вы открываете окно Управление пользователями следующим образом:
|
Активация управления пользователями
Для активации управления пользователями выполните следующее:
- Выберите Активировать управление пользователями
- Система ЧПУ покажет сообщение Отсутствует пароль для пользователя 'useradmin'.
- Сохраняйте активное состояние функции Анонимизировать пользователя в файлах журнала или активируйте её заново
- Функция Анонимизировать пользователя в файлах журнала служит защите данных и активна по умолчанию. Если эта функция активирована, данные пользователе во всех лог-данных системы ЧПУ будут анонимизированы.
- Если вы закрываете окно Управление пользователями после активации, система ЧПУ запрашивает перезагрузку.
Определите пароль для функционального пользователя useradmin
Когда вы впервые активизируете администрирование пользователей, вы должны определить пароль для функционального пользователя useradmin .
Вы определяете пароль для функционального пользователя useradmin следующим образом:
- Выберите Пароль для пользователя useradmin
- Система ЧПУ откроет всплывающее окно Пароль для пользователя 'useradmin'.
- Введите пароль для функционального пользователя useradmin
- Повторите пароль
- Выберите Установить новый пароль
- Система ЧПУ покажет сообщение Настройки и пароль для 'useradmin' были изменены
Настройка базы данных
Вы настраиваете базу данных следующим образом:
- Выберите базу данных для хранения пользовательских данных, например, Локальная база данных LDAP Локальная база данных LDAP.
- Выберите Настроить
- Система ЧПУ открывает окно для конфигурирования соответствующей базы данных.
- Следуйте инструкциям системы ЧПУ в окне
- Нажмите ПРИМЕНИТЬ
Для сохранения соответствующих данных пользователя в распоряжении имеются следующие возможности:
- Локальная база данных LDAP
- LDAP на другом ПК
- Регистрация в домене Windows
Параллельная эксплуатация между доменами Windows и базой данных LDAP возможна.
Создание нового пользователя
Для создания нового пользователя выполните следующее:
- Выберите закладку Управление пользователями
- Выберите Создать нового пользоват.
- Система ЧПУ добавляет нового пользователя в Список пользователей.
- Измените имя, если необходимо
- Введите пароль, если необходимо
- Определите картинку профиля, если необходимо
- Введите описание, если необходимо
- Выберите Добавить роль
- Система ЧПУ откроет окно Добавить роль.
- Выберите роль
- Выберите Добавить
- Tip
Вы также можете добавлять роли, используя экранные клавиши Добавить внешний логин и Добавить локальн. логин.
- Выберите Закрыть
- Система ЧПУ закроет окно Добавить роль.
- Нажмите OK
- Нажмите ПРИМЕНИТЬ
- Система ЧПУ сохранит изменения.
- Нажмите КОНЕЦ
- Система ЧПУ откроет окно Необходима перезагрузка системы.
- Выберите Да.
- Система ЧПУ перезапускается.
Пользователь должен изменить пароль при первом входе в систему.
Деактивация управления пользователями
Деактивация управления пользователями может быть выполнена только следующими функциональными пользователями:
- useradmin
- OEM
- SYS
Для деактивации управления пользователями выполните следующее:
|
Рекомендации
В сервисном случае и при прочей передаче лог-данных партнеры по договору получают возможность увидеть эти данные пользователей. Обеспечение необходимых принципов защиты данных на вашем предприятии находится в этом случае в вашей области ответственности.
- Сохраняйте активное состояние функции Анонимизировать пользователя в файлах журнала или активируйте её заново
- Отдельные области управления пользователями конфигурируются производителем станка. Следуйте указаниям инструкции по обслуживанию станка!
- HEIDENHAIN рекомендует управление пользователями, как часть концепции ИТ-безопасности.
- Если при активном управлении пользователями также активна экранная заставка, то для разблокировки экрана вы должны ввести пароль текущего пользователя.
- Если вы с помощью Remote Desktop Manager создали частные подключения до активации управления пользователями, то эти подключения больше не будут доступны при активном управлении пользователями. Сохраните частные соединения перед активацией администрирования пользователей.