Grunder

Användningsområde

Med användaradministrationen kan du skapa och hantera användare med olika behörigheter till styrsystemets funktioner. Du kan tilldela de olika användarna roller som motsvarar användarens uppgifter, t.ex. maskinoperatör eller maskinställare.

Styrsystemet levereras med inaktiverad användarförvaltning. Denna status kallas Legacy-Mode.

Funktionsbeskrivning

  • Användarförvaltningen bidrar till följande säkerhetsområden, baserat på kraven i standard IEC 62443:
  • Applikationssäkerhet
  • Nätverkssäkerhet
  • Plattformssäkerhet
BenutzerRollenRechte_01

Användare

  • Användaradministrationen omfattar följande typer av användare:
  • Fördefinierad funktionsanvändare från HEIDENHAIN
  • Maskintillverkarens funktionsanvändare
  • Egendefinierad användare

Beroende på uppgiften kan du antingen använda en av de fördefinierade funktionsanvändarna eller skapa en ny användare.

Lägg till ny användare

När du avaktiverar användaradministrationen sparar styrsystemet alla konfigurerade användare. På så sätt är de tillgängliga igen när användaradministrationen aktiveras igen.

Om du vill radera de konfigurerade användarna i och med avaktiveringen måste du välja detta konkret under avaktiveringen.

Avaktivera användarförvaltningen

Funktionsanvändare från HEIDENHAIN

Funktionsanvändare från HEIDENHAIN är fördefinierade användare som skapas automatiskt vid aktivering av användarförvaltningen. Funktionsanvändare kan du inte ändra.

  • HEIDENHAIN tillhandahåller flera olika funktionsanvändare vid leverans av styrsystemet.
  • useradmin
  • Funktionsanvändaren useradmin skapas automatiskt vid aktivering av användarförvaltningen. Med useradmin kan användarförvaltningen konfigureras och editeras.

  • sys
  • Med funktionsanvändaren sys går det att få åtkomst till styrsystemets enhet SYS:. Den här funktionsanvändaren är reserverad för HEIDENHAINs kundtjänst.

  • user
  • I Legacy-Mode loggas funktionsanvändaren user in i systemet automatiskt när styrsystemet startas. Vid aktiv användarförvaltning har user ingen funktion. Den inloggade användaren user kan inte växla till Legacy-mode.

  • oem
  • Funktionsanvändare oem är avsedd för maskintillverkaren. Via oem går det att få åtkomst till styrsystemets enhet PLC:.

Funktionsanvändaren useradmin

Användaren useradmin är jämförbar med den lokala administratören i ett Windows-system.

  • Kontot useradmin erbjuder följande funktioner:
  • Lägga upp databaser
  • Tilldelning av lösenordsdata
  • Aktivering av LDAP-databas
  • Exportera LDAP-server-konfigurationsfiler
  • Importera LDAP-server-konfigurationsfiler
  • Nödåtkomst vid korrupt användardatabas
  • Ändring av databasanslutningen i efterhand
  • Deaktivering av användarförvaltningen

Maskintillverkarens funktionsanvändare

Din maskintillverkare definierar funktionsanvändare som t.ex. är nödvändiga för maskinunderhåll.

Genom inmatning av kodnummer eller lösenord, vilka ersätter kodnummer, har du möjlighet att aktivera tillfälliga rättigheter för oem-funktionsanvändare.

Fönstret Aktuell användare

Maskintillverkarens funktionsanvändare kan redan vara aktiva i Legacy-mode och ersätter då kodnummer.

Roller

HEIDENHAIN sammanfattar flera rättigheter för olika typer av arbetsuppgifter i form av roller. Det finns flera fördefinierade roller som du kan använda för att tilldela dina användare behörigheter. Följande tabeller innehåller de olika rättigheterna för de olika rollerna.

Lista över roller

  • Fördelar med indelningen i roller:
  • Förenklad administration
  • Olika rättigheter mellan olika software-versioner av styrsystemet och olika maskintillverkare är kompatibla med varandra.
  • Användaradministrationen har roller för följande typer av arbetsuppgifter:
  • Operativsystem-roller: åtkomst till operativsystemsfunktioner och gränssnitt
  • NC-operatör-roller: åtkomst till funktioner för programmering, inställning och exekvering av NC-program
  • Maskintillverkare(PLC)-roller: åtkomst till funktioner för konfigurering och kontroll av styrsystemet

Varje användare skall ha åtminstone en roll från området operativsystem och från området programmering.

HEIDENHAIN rekommenderar att ge fler än en person tillgång till ett konto med rollen HEROS.Admin. På detta sätt kan du säkerställa att nödvändiga ändring i användarförvaltningen kan genomföras även om administratören inte är tillgänglig.

Lokal inloggning eller fjärrinloggning

En roll kan antingen friges för en lokal inloggning eller för en remote-inloggning. En lokal inloggning är en inloggning direkt på styrsystemets bildskärm. En remote-inloggning (DNC) är en anslutning via SSH.

SSH-säkrad DNC-anslutning

Om en roll endast är aktiverad för lokal inloggning, erhåller den tillägget Local. i rollnamnet, t.ex. Local.HEROS.Admin i stället för HEROS.Admin.

Om en roll endast är aktiverad för remote-inloggning, får den tillägget Remote. i rollnamnet, t.ex. Remote.HEROS.Admin i stället för HEROS.Admin.

Därmed kan en användares rättigheter också göras beroende av på vilket sätt åtkomsten till styrsystemet sker.

Behörigheter

Användarförvaltningen baseras på Unix rättighetsadministration. Åtkomst till styrsystemet regleras via rättigheter.

Behörigheter delar in styrsystemets funktioner, t.ex. Redigera verktygstabell.

  • Användaradministrationen tillhandahåller behörigheter för följande typer av arbetsuppgifter:
  • HEROS-rättigheter
  • NC-rättigheter
  • PLC-behörigheter (maskintillverkaren)

När en användare har flera roller får denne summan av alla erhållna behörigheter.

 
Tip

Se till att varje användare får alla nödvändiga åtkomstbehörigheter. Åtkomstbehörigheterna beror på vilka arbeten användaren utför på styrsystemet.

För funktionsanvändare från HEIDENHAIN är åtkomstbehörigheten redan bestämd när styrsystemet levereras.

Lista över behörigheter

Lösenordsinställning

Om du använder en LDAP-databas kan användare med rollen HEROS.Admin definiera krav på lösenorden. För detta tillhandahåller styrsystemet fliken Lösenordsinställning.

Spara användardata

Följande parametrar står till förfogande:

  • Lösenord livslängd
  • Giltighetstid lösenord:
  • Anger lösenordets användningsperiod.

  • Varning innan det löper ut:
  • Genererar fr.o.m. den definierade tidpunkten ett varningsmeddelande om att lösenordet snart går ut.

  • Lösenordskvalitet
  • Minimal lösenordslängd:
  • Anger lösenordets minsta längd.

  • Minimalt antal teckenklasser (stora/små, siffror, specialtecken):
  • Anger det minsta antalet olika teckenklasser i lösenordet.

  • Maximalt antal teckenupprepningar:
  • Anger det maximala antalet likadana tecken som får användas i följd i lösenordet.

  • Maximal längd teckensekvenser:
  • Anger den maximala längden på teckenföljden som används i lösenordet, t.ex. 123.

  • Ordbokskontroll (antal tecken som överensstämmer):
  • Kontrollerar vilka ord som används i lösenordet och anger antalet tillåtna sammanhängande tecken.

  • Minsta antal ändrade tecken för tidigare lösenord:
  • Anger med hur många tecken det nya lösenordet måste skilja sig åt från det gamla.

Du definierar värdet för varje parameter med en skala.

  • Av säkerhetsskäl skall lösenord ha följande egenskaper:
  • Minst åtta tecken
  • Bokstäver, siffror och specialtecken
  • Inga sammanhängande ord och strängar, t.ex. Anna eller 123
 
Tip

Om du använder specialtecken ska du vara uppmärksam på tangentbordslayouten. HEROS baseras på ett amerikanskt tangentbord och NC-programvaran på ett HEIDENHAIN-tangentbord. Externa tangentbord kan konfigureras fritt.

Ytterligare kataloger

Enheten HOME:

För varje användare står vid aktiv användarförvaltning en privat katalog HOME: till förfogande där privata program och filer kan sparas.

Den inloggade användaren kan se katalogen HOME:.

Katalogen public

Vid första aktiveringen av användaradministrationen kopplas katalogen public under enheten TNC:.

Katalogen public är tillgänglig för alla användare.

I katalogen public kan du t.ex. tillhandahålla andra användare filer.

Filhantering

Konfigurera användaradministration

Du måste konfigurera användaradministrationen innan du kan använda den.

  1. Konfigurationen innehåller följande delar:
  2. Öppna fönstret Användaradministration
  3. Aktivera användarförvaltningen
  4. Definiera ett lösenord för funktionsanvändaren useradmin
  5. Konfigurera databasen
  6. Lägg till ny användare
 
Tip
  • Du kan stänga fönstret Användaradministration efter varje delsteg i konfigureringen.
  • Om du stänger fönstret Användaradministration efter aktiveringen, begär du en omstart av styrsystemet.

Öppna fönstret Användaradministration

  1. Du öppnar fönstret Användaradministration så här:
  2. Välj tillämpningen Inställningar
  3. Välj Operativsystem
  4. Tryck två gånger eller dubbelklicka på CurrentUser
  5. Styrsystemet öppnar fönstret Användaradministration på fliken Inställningar.
  6. Fönstret Användaradministration

Aktivera användarförvaltningen

  1. Du aktiverar användaradministrationen på följande sätt:
  2. Välj Användaradministration aktiv
  3. Styrsystemet visar meddelandet Lösenord för användare 'useradmin' saknas.
  4. Bibehåll eller återaktivera aktiv status för funktionen Anonymisera användare i loggdata
 
Tip
  • Funktionen Anonymisera användare i loggdata används för att skydda personuppgifter och är aktiv som standard. Om den här funktionen är aktiverad anonymiseras användardata i styrsystemets samtliga loggdata.
  • Om du stänger fönstret Användaradministration efter aktiveringen, begär du en omstart av styrsystemet.

Definiera lösenordet för funktionsanvändaren useradmin

När du aktiverar användaradministrationen för första gången måste du definiera ett lösenord för funktionsanvändaren useradmin.

Användare

  1. Du definierar ett lösenord för funktionsanvändaren useradmin på följande sätt:
  2. Välj Lösenord för useradmin
  3. Styrsystemet öppnar popupfönstret Lösenord för användare 'useradmin'.
  4. Ange lösenordet för funktionsanvändaren useradmin
  5.  
    Tip

    Följ rekommendationerna för lösenord.

    Lösenordsinställning

  6. Upprepa lösenord
  7. Välj Ställ in nytt lösenord
  8. Styrsystemet visar meddelandet Inställningar och lösenord för 'useradmin' har ändrats.

Konfigurera databasen

  1. Du ställer in en databas på följande sätt:
  2. Välj databas för lagring av användardata, t.ex. Lokal LDAP databas
  3. Välj Konfigurering .
  4. Styrsystemet öppnar ett fönster för konfigurering av databasen i fråga.
  5. Följ styrsystemets instruktioner i fönstret
  6. Välj ÖVERFÖR
 
Tip
  • För lagring av dina användardata står följande varianter till förfogande:
  • Lokal LDAP databas
  • LDAP på annan dator
  • Inloggning på Windows domän

Parallelldrift mellan Windows-domän och LDAP-databas är möjlig.

Spara användardata

Lägg till ny användare

  1. Du skapar en ny användare på följande sätt:
  2. Välj fliken Konfigurera användare
  3. Välj Skapa ny användare
  4. Styrsystemet lägger till en ny användare i Användarlista.
  5. Ändra ev. namnet
  6. Ange ev. ett lösenord
  7. Definiera ev. profilbilden
  8. Ange ev. en beskrivning
  9. Välj Lägg till roll
  10. Styrsystemet öppnar fönstret Lägg till roll.
  11. Välj roll
  12. Välj Addera
  13.  
    Tip

    Du kan även lägga till roller med knapparna Lägg till extern login och Lägg till lokal login.

    Roller

  14. Välj Stäng
  15. Styrsystemet stänger fönstret Lägg till roll.
  16. Välj OK
  17. Välj ÖVERFÖR
  18. Styrsystemet tar över ändringarna.
  19. Välj SLUT
  20. Styrsystemet öppnar fönstret Styrsystemsomstart krävs.
  21. Välj Ja
  22. Styrsystemet startas om.
 
Tip

Användaren måste ändra lösenordet vid den första inloggningen.

Avaktivera användarförvaltningen

  • Användaradministrationen får bara avaktiveras med följande funktionsanvändare:
  • useradmin
  • OEM
  • SYS

Användare

  1. Du avaktiverar användaradministrationen på följande sätt:
  2. Logga in som funktionsanvändare
  3. Öppna fönstret Användaradministration
  4. Välj Användarförvaltning inaktiv
  5. Markera ev. kryssrutan Radera befintlig användardatabas om du vill radera alla konfigurerade användare och användarspecifika kataloger
  6. Välj ÖVERFÖR
  7. Välj SLUT
  8. Styrsystemet öppnar fönstret Styrsystemsomstart krävs.
  9. Välj Ja
  10. Styrsystemet startas om.

Anmärkning

 
Hänvisning
Obs! Risk för oönskad dataöverföring!
Om du avaktiverar funktionen Anonymisera användare i loggdata visas användardata med personuppgifter i styrsystemets samtliga loggdata.
Vid underhåll och annan överföring av loggdata kan dina avtalspartner se dessa användardata. Du bär själv ansvaret för att vidta nödvändiga åtgärder för att skydda personuppgifter i din verksamhet i sådana situationer.
  1. Bibehåll eller återaktivera aktiv status för funktionen Anonymisera användare i loggdata
  • Vissa delar av användarförvaltningen konfigureras av maskintillverkaren. Beakta anvisningarna i Er maskinhandbok!
  • HEIDENHAIN rekommenderar användaradministrationen som en del av ett IT-säkerhetskoncept.
  • När användaradministrationen är aktiverad och skärmsläckare används, måste du ange lösenordet för den aktuella användaren för att låsa upp skärmen igen.
  • HEROS-meny

  • Om du har skapat privata anslutningar med hjälp av Remote Desktop Manager innan du aktiverade användaradministrationen är dessa anslutningar inte längre tillgängliga när användaradministrationen aktiveras. Säkerhetskopiera privata anslutningar innan du aktiverar användaradministrationen.
  • Fönster Remote Desktop Manager (alternativ 133)