Základy

Aplikácia

Pomocou správy používateľov môžete vytvárať a spravovať rôznych používateľov s rôznymi právami pre funkcie ovládania. Používateľom môžete priraďovať rôzne roly, ktoré zodpovedajú úlohám používateľov, napr. operátor stroja alebo nastavovač.

Ovládanie sa dodáva s neaktívnou správou používateľov. Tento stav sa označuje ako Legacy-Mode.

Opis funkcie

  • Správa používateľov poskytuje prínos v nasledujúcich bezpečnostných oblastiach, na základe požiadaviek skupiny noriem IEC 62443:
  • Bezpečnosť aplikácií
  • Bezpečnosť siete
  • Bezpečnosť platformy
BenutzerRollenRechte_01

Používatelia

  • Správa používateľov ponúka nasledujúce typy používateľov:
  • Preddefinovaní funkční používatelia spoločnosti HEIDENHAIN
  • Funkční používatelia výrobcu stroja
  • samodefinovaný používateľ

V závislosti od úloh môžete použiť jedného z preddefinovaných funkčných používateľov alebo musíte vytvoriť nového používateľa.

Vytvoriť nového používateľa

Ak deaktivujete správu používateľov, uloží ovládanie všetkých konfigurovaných používateľov. Pri reaktivácii správy používateľov sú preto znova k dispozícii.

Ak chcete vymazať konfigurovaných používateľov pomocou deaktivácie, musíte to konkrétne zvoliť počas procesu deaktivácie.

Deaktivácia správy používateľov

Funkční používatelia spoločnosti HEIDENHAIN

Funkční používatelia spoločnosti HEIDENHAIN sú preddefinovaní používatelia, ktorí sa vytvárajú automaticky pri aktivácii správy používateľov. Funkčných používateľov nemôžete meniť.

  • Spoločnosť HEIDENHAIN poskytuje pri expedovaní ovládania k dispozícii štyroch rôznych funkčných používateľov.
  • useradmin
  • Funkčný používateľ useradmin sa vytvorí automaticky pri aktivácii správy používateľov. Pomocou useradmin je možné konfigurovať a editovať správu používateľov.

  • sys
  • Prostredníctvom funkčného používateľa sys je možné dosiahnuť prístup na jednotku SYS: ovládania. Tento funkčný používateľ je vyhradený pre zákaznícky servis HEIDENHAIN.

  • user
  • V Legacy-Mode sa pri nábehu ovládania automaticky prihlási do systému funkčný používateľ user. S aktívnou správou používateľov nemá user žiadnu funkciu. Prihláseného používateľa user nie je možné zmeniť v Legacy-Mode.

  • oem
  • Funkčný používateľ oem je pre výrobcu stroja. Prostredníctvom oem je možné získať prístup na jednotku PLC: ovládania.

Funkčný používateľ useradmin

Používateľ useradmin je porovnateľný s lokálnym administrátorom systému Windows.

  • Konto useradmin ponúka nasledujúci rozsah funkcií:
  • Vytváranie databáz
  • Zadávanie údajov hesiel
  • Aktivácia databázy LDAP
  • Exportovanie konfiguračných súborov servera LDAP
  • Importovanie konfiguračných súborov servera LDAP
  • Núdzový prístup pri narušení databázy používateľov
  • Dodatočná zmena pripojenia databázy
  • Deaktivácia správy používateľov

Funkční používatelia výrobcu stroja

Výrobca vášho stroja definuje funkčných používateľov, ktorí sú potrební napr. na údržbu stroja.

Zadaním kódových čísel alebo hesiel, ktoré nahrádzajú kódové čísla, môžete dočasne aktivovať oprávnenia funkčných používateľov oem.

Okno Aktuálny používateľ

Funkční používatelia výrobcu stroja môžu byť aktívny už v Legacy-Mode a nahrádzať kódové čísla.

Roly

Spoločnosť HEIDENHAIN zlučuje viaceré oprávnenia pre jednotlivé oblasti úloh do rolí. Máte k dispozícii rôzne vopred definované roly, pomocou ktorých môžete svojim používateľom priradiť oprávnenia. Nasledujúce tabuľky obsahujú jednotlivé oprávnenia rôznych rolí.

Zoznam rolí

  • Výhody začlenenia do rolí:
  • Jednoduchšia administrácia
  • Rôzne oprávnenia medzi rôznymi verziami softvéru ovládania a rôznych výrobcov stroja sú vzájomne kompatibilné.
  • Správa používateľov ponúka roly pre nasledujúce oblasti úloh:
  • Roly operačného systému: prístup k funkciám operačného systému a rozhraniam,
  • Roly NC operátora: prístup k funkciám na programovanie, nastavovanie a spracovanie programov NC,
  • Roly výrobcu stroja (PLC): prístup k funkciám na konfigurovanie a kontrolu riadenia.

Každý používateľ by mal mať minimálne jednu rolu z oblasti operačný systém a z oblasti programovanie.

Spoločnosť HEIDENHAIN odporúča poskytnúť prístup na konto s rolou HEROS.Admin viac ako jednej osobe. Takto môžete zaručiť, že potrebné zmeny v správe používateľov je možné vykonať aj v neprítomnosti administrátora.

Lokálne alebo diaľkové prihlásenie

Rolu je možné alternatívne aktivovať na lokálne prihlásenie alebo na diaľkové prihlásenie. Lokálne prihlásenie je prihlásenie priamo na obrazovke ovládania. Diaľkové prihlásenie (DNC) je pripojenie prostredníctvom SSH.

Spojenia DNC so zabezpečením SSH

Ak je nejaká rola aktivovaná len pre lokálne prihlásenie, tak získa prídavok Local. v názve roly, napr. Local.HEROS.Admin namiesto HEROS.Admin.

Ak je nejaká rola aktivovaná len pre diaľkové prihlásenie, tak získa prídavok Remote. v názve roly, napr. Remote.HEROS.Admin namiesto HEROS.Admin.

Tým môžete upraviť oprávnenia používateľa aj v závislosti od toho, ako získava prístup k ovládaniu.

Oprávnenia

Správa používateľov sa zakladá na správe oprávnení Unix. Prístupy na ovládanie sa ovládajú prostredníctvom oprávnení.

Oprávnenia integrujú funkcie ovládania, napr. editovanie tabuľky nástrojov.

  • Správa používateľov ponúka oprávnenia pre nasledujúce oblasti úloh:
  • oprávnenia HEROS
  • oprávnenia NC
  • oprávnenia PCL (výrobca stroja)

Ak získa používateľ viaceré roly, získa súčasne aj súčet všetkých oprávnení, ktoré sú v nich obsiahnuté.

 
Tip

Dbajte na to, aby každý používateľ získal všetky potrebné prístupové oprávnenia. Prístupové oprávnenia vyplývajú z úloh, ktoré používateľ vykonáva na ovládaní.

Pre funkčného používateľa spoločnosti HEIDENHAIN sú prístupové oprávnenia stanovené už pri expedovaní ovládania.

Zoznam oprávnení

Nastavenia hesla

Keď použijete databázu LDAP, môžu používatelia s rolou HEROS.Admin definovať požiadavky na heslá. Na to ponúka ovládanie kartu Nastavenia hesla.

Uloženie údajov používateľa

K dispozícii sú nasledujúce parametre:

  • Životnosť hesla
  • Doba platnosti hesla:
  • Uvádza dobu používania hesla.

  • Výstraha pred uplynutím platnosti:
  • Od stanoveného časového okamihu generuje výstrahu o uplynutí platnosti hesla.

  • Kvalita hesla
  • Minimálna dĺžka hesla
  • Uvádza minimálnu dĺžku hesla.

  • Min. počet tried znakov (veľké/malé písmená, číslice, špec. znaky):
  • Uvádza minimálny počet rôznych tried znakov v hesle.

  • Maximálny počet opakovaní znakov:
  • Uvádza maximálny počet rovnakých, za sebou použitých znakov v hesle.

  • Maximálna dĺžka sekvencií znakov:
  • Uvádza maximálnu dĺžku použitých sekvencií znakov v hesle, napr. 123.

  • Kontrola slovníka (zhoda počtu znakov):
  • Kontroluje slová použité v hesle a uvádza počet povolených súvisiacich znakov.

  • Minimálny počet zmenených znakov oproti predchádzajúcemu heslu:
  • Uvádza, o koľko znakov sa nové heslo musí líšiť od starého.

Hodnotu každého parametra definujete pomocou stupnice.

  • Heslá by mali mať z bezpečnostných dôvodov nasledujúce vlastnosti:
  • Minimálne osem znakov
  • Písmená, číslice a špeciálne znaky
  • Nepoužívajte žiadne súvisiace slová a postupnosti číslic, napr. Anna alebo 123
 
Tip

Ak použijete špeciálne znaky, rešpektujte ich predlohu klávesnice. HEROS vychádza z americkej klávesnice, softvér NC z klávesnice HEIDENHAIN. Externé klávesnice sa môžu konfigurovať voľne.

Prídavné adresáre

Jednotka HOME:

Pre každého používateľa pri aktívnej správe používateľov je k dispozícii osobný adresár HOME:, do ktorého je možné ukladať osobné programy a súbory.

Do adresára HOME: môže nahliadnuť prihlásený používateľ.

Adresár public

Pri prvej aktivácii správy používateľov sa v rámci jednotky TNC: pripojí adresár public.

Adresár public je prístupný pre každého používateľa.

V adresári public môžete napr. poskytnúť súbory iným používateľom.

Správa súborov

Konfigurácie správy používateľov

Musíte konfigurovať správu používateľov, skôr ako ju budete môcť použiť.

  1. Konfigurácia obsahuje nasledujúce čiastkové kroky:
  2. Otvorte okno Správa používateľov.
  3. Aktivovanie správy používateľov
  4. Definujte heslo pre funkčného používateľa useradmin.
  5. Vytvorenie databázy
  6. Vytvoriť nového používateľa
 
Tip
  • Okno Správa používateľov môžete po každom čiastkovom kroku konfigurácie zatvoriť.
  • Ak okno Správa používateľov po aktivovaní zatvoríte, vyzve vás ovládanie na reštart.

Otvorte okno Správa používateľov.

  1. Okno Správa používateľov otvoríte takto:
  2. Vyberte aplikáciu Settings.
  3. Vyberte Operacny system.
  4. Dvakrát ťuknite alebo kliknite na CurrentUser.
  5. Ovládanie otvorí na karte Nastavenia okno Správa používateľov.
  6. Okno Správa používateľov

Aktivovanie správy používateľov

  1. Správu používateľov aktivujete takto:
  2. Vyberte možnosť Správa používateľov aktívna.
  3. Ovládanie zobrazí hlásenie Chýba heslo pre používateľa „useradmin“.
  4. Zachovajte alebo reaktivujte aktívny stav funkcie Anonymizovať používateľov v údajoch zo súboru denníka
 
Tip
  • Funkcia Anonymizovať používateľov v údajoch zo súboru denníka slúži na ochranu údajov a je štandardne aktívna. Keď je táto funkcia aktivovaná, používateľské údaje vo všetkých údajoch zo súboru denníka ovládania sa anonymizujú.
  • Ak okno Správa používateľov po aktivovaní zatvoríte, vyzve vás ovládanie na reštart.

Definujte heslo pre funkčného používateľa useradmin.

Pri prvom aktivovaní správy používateľov musíte definovať heslo pre funkčného používateľa useradmin.

Používatelia

  1. Heslo definujte pre funkčného používateľa useradmin takto:
  2. Vyberte Heslo pre useradmin
  3. Ovládanie otvorí prekrývacie okno Heslo pre používateľa „useradmin“.
  4. Zadajte heslo pre funkčného používateľa useradmin.
  5.  
    Tip

    Rešpektujte odporúčania pre heslá.

    Nastavenia hesla

  6. Zopakujte heslo
  7. Vyberte možnosť Zadanie nového hesla
  8. Ovládanie zobrazí sa hlásenie Nastavenia a heslo pre „useradmin“ boli zmenené.

Vytvorenie databázy

  1. Databázu vytvoríte takto:
  2. Vyberte databázu na uloženie údajov používateľa, napr. Lokálna databáza LDAP.
  3. Vyberte Konfigurovať.
  4. Ovládanie otvorí okno na konfiguráciu príslušnej databázy.
  5. Postupujte podľa pokynov ovládania v okne.
  6. Vyberte PREVZIAŤ.
 
Tip
  • Na uloženie vašich údajov používateľa máte k dispozícii nasledujúce varianty:
  • Lokálna databáza LDAP
  • LDAP na inom počítači
  • Prihlásenie do domény Windows

Je možná paralelná prevádzka medzi doménou Windows a databázou LDAP.

Uloženie údajov používateľa

Vytvoriť nového používateľa

  1. Nového používateľa vytvoríte takto:
  2. Vyberte kartu Spravovať používateľov
  3. Vyberte Vytvoriť nového používateľa.
  4. Ovládanie pripojí do prvku Zoznam používateľov nového používateľa.
  5. Príp. zmeňte meno.
  6. Príp. zadajte heslo.
  7. Príp. definujte obrázok profilu.
  8. Príp. zadajte opis.
  9. Vyberte položku Pridať rolu.
  10. Ovládanie otvorí okno Pridať rolu.
  11. Výber roly
  12. Vyberte Pridať.
  13.  
    Tip

    Roly môžete pridať aj pomocou tlačidiel Pridať externé prihláseniePridať lokálne prihlásenie.

    Roly

  14. Vyberte Zatvoriť.
  15. Ovládanie zatvorí okno Pridať rolu.
  16. Vyberte možnosť OK
  17. Vyberte PREVZIAŤ.
  18. Ovládanie prevezme zmeny.
  19. Vyberte možnosť KONIEC
  20. Ovládanie otvorí okno Potrebný reštart systému.
  21. Vyberte možnosť Áno
  22. Ovládanie sa reštartuje.
 
Tip

Používateľ si pri prvom prihlásení musí zmeniť heslo.

Deaktivácia správy používateľov

  • Deaktivácia správy používateľov je povolená len s pomocou nasledujúcich funkčných používateľov:
  • useradmin
  • OEM
  • SYS

Používatelia

  1. Správu používateľov deaktivujete takto:
  2. Prihlásenie funkčného používateľa
  3. Otvorte okno Správa používateľov.
  4. Vyberte možnosť Správa používateľov neaktívna
  5. Príp. označte zaškrtávacie políčko Vymazať existujúce databázy používateľov, aby ste mohli vymazať všetkých nakonfigurovaných používateľov a špecifické adresáre používateľov.
  6. Vyberte PREVZIAŤ.
  7. Vyberte možnosť KONIEC
  8. Ovládanie otvorí okno Potrebný reštart systému.
  9. Vyberte možnosť Áno
  10. Ovládanie sa reštartuje.

Upozornenia

 
Upozornenie
Pozor, môže dôjsť k nežiaducemu prenosu údajov!
Keď funkciu Anonymizovať používateľov v údajoch zo súboru denníka deaktivujete, používateľské údaje sa zobrazia vo všetkých údajoch zo súboru denníka ovládania.
V prípade servisu a pri inom prenose údajov zo súboru denníka môžu vaši zmluvní partneri nahliadnuť do týchto používateľských údajov. Zabezpečenie uplatňovania základných zásad ochrany osobných údajov vo vašej prevádzke je v tomto prípade vo vašej zodpovednosti.
  1. Zachovajte alebo reaktivujte aktívny stav funkcie Anonymizovať používateľov v údajoch zo súboru denníka
  • Niektoré oblasti správy používateľov konfiguruje výrobca. Dodržujte pokyny uvedené v príručke stroja!
  • Spoločnosť HEIDENHAIN odporúča správu používateľov ako súčasť konceptu IT bezpečnosti.
  • Ak je pri aktívnej správe používateľov aktívny aj šetrič obrazovky, musíte na odblokovanie obrazovky zadať heslo aktuálneho používateľa.
  • Menu HEROS

  • Ak ste pomocou Remote Desktop Manager vytvorili súkromné pripojenia pred aktivovaním správy používateľov, nie sú už tieto pripojenia pri aktívnej správe používateľov k dispozícii. Zabezpečte súkromné pripojenia pred aktivovaním správy používateľov.
  • Okno Remote Desktop Manager (možnosť č. 133)