SSH-säkrad DNC-anslutning

Användningsområde

Vid aktiv användarförvaltning behöver även externa tillämpningar autentisera en användare för att rätt behörighet ska kunna tilldelas.

För DNC-anslutningar via RPC- eller LSV2-protokollet leds anslutningen genom en SSH-tunnel. Genom denna mekanism kommer en fjärranvändare att tilldelas en användare som är upplagd i styrsystemet och och erhåller dess behörighet.

Relaterade ämnen

  • Förbjuda osäkra anslutningar
  • Firewall

  • Roller för fjärranslutning
  • Roller

Förutsättningar

  • TCP/IP nätverk
  • Extern dator som SSH-client
  • Styrsystemet som SSH-server
  • Nyckelpar består av:
    • privat nyckel
    • offentlig nyckel

Funktionsbeskrivning

Princip för överföringen via en SSH-tunnel

En SSH-anslutning sker alltid mellan en SSH-client och en SSH-server.

För att säkra anslutningen används ett nyckelpar. Detta nyckelpar genereras hos klienten. Nyckelparet består av en privat nyckel och en offentlig nyckel. Den privata nyckel förblir hos klienten. Den offentliga nyckeln transporteras till servern vid inställningen och allokeras där till en specifik användare.

Klienten försöker ansluta till servern under det angivna användarnamnet. Servern kan använda den offentliga nyckeln för att testa om den som begär anslutningen har den tillhörande privata nyckeln. Om så är fallet accepterar den SSH-anslutningen och tilldelar den till den användare som loggade in. Kommunikationen kan sedan sändas i en ”tunnel” av denna SSH-anslutning.

SSH-Verbindung fuer DNC

Användning i externa tillämpningar

De PC-verktyg som HEIDENHAIN erbjuder, t.ex. TNCremo fr.o.m. version v3.3, har alla funktioner för att ställa in, skapa och administrera säkra anslutningar via en SSH-tunnel.

Vid inställning av anslutningen genereras det nödvändiga nyckelparet och den offentliga nyckeln överförs till styrsystemet.

Samma sak gäller även för tillämpningar som använder sig av HEIDENHAIN DNC-komponenter från RemoTools SDK för kommunikationen. En anpassning av befintliga kundapplikationer behövs därför inte.

 
Tip

För att utöka anslutningskonfigurationen med den tillhörande CreateConnections Tool, krävs en uppdatering till HEIDENHAIN DNC v1.7.1. En anpassning av applikationens källkod behövs inte.

Upprätta SSH-säkrade DNC-anslutningar

  1. Gör på följande sätt för att upprätta en SSH-säkrad DNC-anslutning för den inloggade användaren:
  2. Välj tillämpningen Inställningar
  3. Välj Nätverk/fjärråtkomst
  4. DNC väljs
  5. Aktivera funktionsknappen Setup permitted
  6. Använd TNCremo för att upprätta den säkra anslutningen (TCP secure).
  7.  
    Manual

    Detaljerad information hittar du i det integrerade hjälpsystemet i TNCremo.

  8. TNCremo överför den offentliga nyckeln till styrsystemet.
  9.  
    Tip

    För att säkerställa optimal säkerhet avaktiverar du funktionen Tillåt autentisering med lösenord efter att lagringen har avslutats.

  10. Avaktivera funktionsknappen Setup permitted

Ta bort en säker anslutning

Om du raderar en privat nyckel från styrsystemet tar du bort möjligheten till en säker anslutning för användaren.

  1. Du raderar en nyckel på följande sätt:
  2. Välj tillämpningen Inställningar
  3. Välj Operativsystem
  4. Tryck två gånger eller dubbelklicka på Current User
  5. Styrsystemet öppnar fönstret Aktuell användare.
  6. Välj Certifikat och nyckel
  7. Välj nyckeln som skall raderas
  8. Välj Radera SSH-nyckel
  9. Styrsystemet raderar den valda nyckeln.

Anmärkning

  • Genom den kryptering som används för SSH-tunneln skyddas kommunikationen mot angripare. 
  • För OPC UA-anslutningar sker autentiseringen via ett registrerat användarcertifikat.
  • OPC UA NC-server (alternativ 56 - 61)

  • Om användaradministration är aktiv, kan du endast skapa säkra nätverksanslutningar via SSH. Styrsystemet spärrar LSV2-anslutningarna och nätverksanslutningarna genom seriella gränssnitt (COM1 och COM2) automatiskt utan användaridentifikation.
  • Med maskinparametrarna allowUnsecureLsv2 (nr 135401) och allowUnsecureRpc (nr 135402) definierar maskintillverkaren om styrsystemet ska spärra osäkra LSV2- eller RPC-anslutningar även när användaradministrationen är avaktiverad. De här maskinparametrarna ingår i dataobjektet CfgDncAllowUnsecur (135400).

  • När anslutningskonfigurationerna en gång har ställts in kan de användas av alla HEIDENHAIN-datorverktyg för att upprätta en anslutning.
  • Du kan även överföra en offentlig nyckel till styrsystemet med hjälp av en USB-enhet eller en nätverksenhet.
  • I fönstret Certifikat och nyckel kan du i området Externally administered SSH key file välja en fil med ytterligare offentliga SSH-nycklar. På så sätt kan du använda SSH-nycklar utan att behöva överföra dem till styrsystemet.