Spojenia DNC so zabezpečením SSH

Aplikácia

Pri aktívnej správe používateľov musia aj externé aplikácie autentifikovať používateľa, aby bolo možné priradiť správne oprávnenia.

Pri spojeniach DNC pomocou protokolu RPC alebo LSV2 sa spojenie presmeruje cez tunel SSH. Pomocou tohto mechanizmu sa diaľkový používateľ priradí používateľovi vytvorenému na ovládaní a získa jeho oprávnenia.

Súvisiace témy

  • Zakázanie nezabezpečených spojení
  • Firewall

  • Roly na diaľkové prihlásenie
  • Roly

Predpoklady

  • TCP/IP sieť
  • Externý počítač ako klient SSH
  • Ovládanie ako server SSH
  • Kódový pár, ktorý sa skladá z:
    • osobného kódu
    • verejného kódu

Opis funkcie

Princíp prenášania prostredníctvom tunela SSH

Pripojenie SSH sa vykonáva vždy medzi klientom SSH a serverom SSH.

Na zabezpečenie spojenia sa použije kódový pár. Tento kódový pár sa vytvára na klient. Kódový pár sa skladá z osobného kódu a verejného kódu. Osobný kód zostáva klientovi. Verejný kód sa pri vytvorení prenesie na server a tam sa priradí určitému používateľovi.

Klient sa pokúša pripojiť sa na server pomocou zadaného používateľského mena. Server môže pomocou verejného kódu testovať, či osoba žiadajúca o spojenie vlastní príslušný osobný kód. Ak áno, akceptuje pripojenie SSH a priradí ho používateľovi, pre ktorého sa vykonáva prihlásenie. Komunikácia môže byť prostredníctvom tohto spojenia SSH „tunelovaná“.

SSH-Verbindung fuer DNC

Používanie v externých aplikáciách

Nástroje PC-Tools ponúkané spoločnosťou HEIDENHAIN, ako napr. TNCremo od verzie v3.3, ponúkajú všetky funkcie na nastavenie, vytvorenie a správu bezpečného spojenia prostredníctvom tunela SSH.

Pri vytváraní spojenia sa vygeneruje potrebný kódový pár a verejný kód sa prenesie do ovládania.

To isté platí aj pre aplikácie, ktoré na komunikáciu používajú komponent HEIDENHAIN DNC z RemoTools SDK. Úprava existujúcich zákazníckych aplikácií pritom nie je potrebná.

 
Tip

Na rozšírenie konfigurácie spojenia s príslušným nástrojom CreateConnections je potrebná aktualizácia na HEIDENHAIN DNC v1.7.1. Úprava zdrojového kódu aplikácie pritom nie je potrebná.

Vytvorenie spojenia DNC so zabezpečením SSH

  1. Spojenie DNC so zabezpečením SSH nastavíte pre prihláseného používateľa takto:
  2. Vyberte aplikáciu Settings.
  3. Vyberte Siet/dialkovy pristup.
  4. Vyberte DNC.
  5. Aktivujte spínač Setup permitted.
  6. Použite TNCremo, aby ste vytvorili bezpečné pripojenie (TCP secure).
  7.  
    Manual

    Podrobné informácie nájdete v integrovanom systéme pomocníka TNCremo.

  8. TNCremo prenesie verejný kľúč do ovládania.
  9.  
    Tip

    Na zaručenie optimálnej bezpečnosti znova deaktivujte funkciu Povoľ autentifikáciu s heslom po ukončení ukladania.

  10. Deaktivujte spínač Setup permitted.

Odstránenie zabezpečeného spojenia

Keď v ovládaní vymažete súkromný kľúč, odstránite tým pre používateľa možnosť zabezpečeného spojenia.

  1. Kľúč vymažete takto:
  2. Vyberte aplikáciu Settings.
  3. Vyberte Operacny system.
  4. Dvakrát kliknite alebo ťuknite na Current User.
  5. Ovládanie otvorí okno Aktuálny používateľ.
  6. Vyberte Certifikáty a kľúč.
  7. Vyberte kód, ktorý chcete vymazať
  8. Vyberte Vymazať kľúč SSH.
  9. Ovládanie vymaže vybraný kľúč.

Upozornenia

  • Prostredníctvom kódovania používaného pri tuneli SSH sa komunikácia dodatočne zabezpečuje proti útokom. 
  • Pri pripojeniach OPC UA sa autentifikácia uskutočňuje prostredníctvom uloženého certifikátu používateľa.
  • Server OPC UA NC (možnosti č. 56 – č. 61)

  • Keď je aktívna správa používateľov, môžete vytvárať bezpečné sieťové pripojenia len prostredníctvom SSH. Ovládanie automaticky blokuje pripojenia LSV2 cez sériové rozhrania (COM1 a COM2), ako aj sieťové pripojenia bez identifikácie používateľa.
  • Pomocou parametrov stroja allowUnsecureLsv2 (č. 135401) a allowUnsecureRpc (č. 135402) výrobca stroja definuje, či ovládanie blokuje nezabezpečené spojenia LSV2 alebo RPC aj pri neaktívnej správe používateľov. Tieto parametre stroja sú súčasťou dátového objektu CfgDncAllowUnsecur (135400).

  • Konfigurácie spojenia môžu, ak už boli vytvorené, používať spoločne všetky nástroje PC-Tools HEIDENHAIN na vytvorenie spojenia.
  • Na prenos verejného kľúča do ovládania môžete použiť aj USB zariadenie alebo sieťovú jednotku.
  • V okne Certifikáty a kľúč môžete v sekcii Externally administered SSH key file vybrať súbor s ďalšími verejnými kľúčmi SSH. Vďaka tomu môžete kľúče SSH používať aj bez nutnosti ich prenosu do ovládania.