Princípios básicos
Aplicação
Com a gestão de utilizadores, é possível criar e administrar diferentes utilizadores com diversas permissões para funções do comando. Podem ser atribuídas aos vários utilizadores as funções correspondendo às respetivas tarefas, p. ex., operador da máquina ou instalador.
O comando é fornecido com a gestão de utilizadores inativa. Este estado é designado de Legacy Mode.
Descrição das funções
A gestão de utilizadores contribui para as seguintes áreas de segurança, com base nos requisitos da família de normas IEC 62443
- Segurança de aplicações
- Segurança de redes
- Segurança de plataformas
Na gestão de utilizadores, faz-se a distinção entre os seguintes conceitos:
- Utilizador
- Funções
- Permissões
Utilizador
O gestão de utilizadores oferece os seguintes tipos de utilizadores:
- Utilizador de funções predefinido da HEIDENHAIN
- Utilizadores de funções do fabricante da máquina
- Utilizador definido por si próprio
Dependendo dos requisitos de desempenho, tanto se pode empregar um utilizador de funções predefinido, como se deve criar um novo utilizador.
Se desativar a gestão de utilizadores, o comando guarda todos os utilizadores configurados. Dessa maneira, estarão novamente à disposição ao reativar a gestão de utilizadores.
Se desejar eliminar os utilizadores configurados com a desativação, deve escolher especificamente esta opção durante o processo de desativação.
Utilizadores de funções da HEIDENHAIN
Os utilizadores de funções da HEIDENHAIN são utilizadores predefinidos que são criados automaticamente ao ativar a gestão de utilizadores. Os utilizadores de funções não podem ser alterados.
No momento do fornecimento do comando, a HEIDENHAIN disponibiliza quatro utilizadores de funções diferentes.
- useradmin
O utilizador de funções useradmin é criado automaticamente ao ativar a gestão de utilizadores. Mediante useradmin, é possível configurar e editar a gestão de utilizadores.
- sys
Com o utilizador de funçõessys, é possível aceder à unidade de dados SYS do comando. Este utilizador de funções está reservado para o serviço de assistência técnica HEIDENHAIN.
- user
No Legacy Mode, ao iniciar o comando, o utilizador de funções user inicia sessão automaticamente no sistema. Com a gestão de utilizadores ativa, user não tem qualquer função. O utilizador user com sessão iniciada não pode ser trocado no Legacy Mode.
- oem
O utilizador de funções oem é para o fabricante da máquina. Mediante oem, é possível aceder à unidade de dados PLC: do comando.
Utilizador de funções useradmin
O utilizador useradmin pode comparar-se a um administrador local de um sistema Windows.
A conta useradmin oferece as seguintes funções:
- Criar bases de dados
- Predefinir dados de palavra-passe
- Ativar a base de dados LDAP
- Exportar ficheiros de configuração de servidor LDAP
- Importar ficheiros de configuração de servidor LDAP
- Acesso de emergência em caso de destruição da base de dados de utilizadores
- Alteração posterior da ligação à base de dados
- Desativação da gestão de utilizadores
Utilizadores de funções do fabricante da máquina
O fabricante da máquina define os utilizadores de funções, que são necessários, p. ex., para a manutenção da máquina.
Através da introdução de códigos numéricos ou palavras-passe que substituem códigos numéricos, é possível ativar temporariamente permissões de utilizadores de funções oem.
Os utilizadores de funções do fabricante da máquina podem já estar ativos no Legacy Mode e substituir códigos numéricos.
Funções
A HEIDENHAIN reúne em funções as várias permissões para áreas de atividade diferentes. Tem à disposição diferentes funções predefinidas, com as quais pode atribuir permissões aos utilizadores. As tabelas seguintes apresentam as diversas permissões das diferentes funções.
Vantagens da distribuição por funções:
- Administração facilitada
- Permissões diferentes entre várias versões de software do comando e vários fabricantes de máquinas são compatíveis entre si.
A gestão de utilizadores proporciona funções para as seguintes áreas de atividade:
- Funções do sistema operativo: Acesso a funções do sistema operativo e interfaces
- Funções do operador NC:Acesso a funções para a programação, ajuste e execução de programas NC
- Funções do fabricante da máquina (PLC): Acesso a funções de configuração e verificação do comando
Cada utilizador deverá ter, pelo menos, uma função da área do sistema operativo e outra da área da programação.
A HEIDENHAIN recomenda que se conceda o acesso a uma conta com a função HEROS.Admin a mais do que uma pessoa. Dessa maneira, garante-se a possibilidade de proceder a alterações necessárias na gestão de utilizadores também em caso de ausência do administrador.
Início de sessão local ou remoto
Uma função pode ser ativada alternadamente para o início de sessão local ou para o início de sessão remoto. O início de sessão local é uma operação realizada diretamente no ecrã do comando. Um início de sessão remoto é uma ligação através de SSH.
Se uma função estiver habilitada apenas para um início de sessão local, recebe o suplemento Local. no nome de função, p. ex., Local.HEROS.Admin em lugar de HEROS.Admin.
Se uma função estiver habilitada apenas para um início de sessão remoto, recebe o suplemento Remote. no nome da função, p. ex., Remote.HEROS.Admin em lugar de HEROS.Admin.
Dessa maneira, as permissões de um utilizador também podem ficar a depender do acesso através do qual o utilizador entra no comando.
Permissões
A gestão de utilizadores baseia-se na administração de permissões Unix. Os acessos ao comando são controlados mediante permissões.
As permissões reúnem funções do comando, p. ex., a edição da tabela de ferramentas.
A gestão de utilizadores proporciona permissões para as seguintes áreas de atividade:
- Permissões HEROS
- Permissões NC
- Permissões PLC (fabricante da máquina)
Quando um utilizador recebe várias funções, com isso recebe a soma de todas as permissões que aquelas contenham.
Preste atenção a que cada utilizador receba todas as permissões de acesso necessárias. As permissões de acesso dependem das tarefas que o utilizador realiza no comando.
Para os utilizadores de funções da HEIDENHAIN, as permissões de acesso já estão determinadas quando o comando é fornecido.
Definições da palavra-passe
Caso se utilize uma base de dados LDAP, os utilizadores com a função HEROS.Admin podem definir requisitos para as palavras-passe. Para esse efeito, o comando disponibiliza o separador Definições da palavra-passe.
Guardar os dados do utilizador
Estão disponíveis os seguintes parâmetros:
Tempo de vida da palavra-passe
- Prazo de validade da palavra-passe:
Indica o período de utilização da palavra-passe.
- Aviso antes da execução:
Emite um aviso de expiração da palavra-passe a partir do momento definido.
Qualidade da palavra-passe
- Comprimento mínimo da palavra-passe:
Indica o comprimento mínimo da palavra-passe.
- N.ºmín. classes caracteres (maiúsc./minúsc., algarismos, c.especiais):
Indica a quantidade mínima de diferentes classes de caracteres na palavra-passe.
- Número máximo de algarismos repetidos:
Indica a quantidade máxima de caracteres iguais utilizados consecutivamente na palavra-passe.
- Comprimento máximo das sequências de caracteres:
Indica o comprimento máximo das sequências de caracteres utilizadas na palavra-passe, p. ex., 123.
- Verificação do dicionário (número de caracteres de coincidência):
Verifica a palavra-passe quanto a palavras utilizadas e indica o número de caracteres relacionados permitidos.
- Número mínimo de caracteres alterados da palavra-passe anterior:
Indica com quantos caracteres a palavra-passe nova se deve diferenciar da antiga.
O valor para cada parâmetro é definido com uma escala.
Por motivos de segurança, as palavras-passe devem possuir as seguintes características:
- No mínimo, 8 caracteres
- Letras, algarismos e caracteres especiais
- Nenhumas palavras coerentes e sequências numéricas, p. ex., Ana ou 123
Se utilizar caracteres especiais, tenha em conta a configuração do teclado. O HEROS é originário de um teclado QWERTY, o software NC de um teclado HEIDENHAIN. Os teclados externos podem ser livremente configurados.
Diretórios adicionais
Unidade de dados HOME:
Com a gestão de utilizadores ativa, cada utilizador tem à disposição o diretório particular HOME:, onde se podem guardar programas e ficheiros privados.
O diretório HOME: pode ser visualizado por cada utilizador com sessão iniciada.
Diretório public
Ao ativar-se pela primeira vez a gestão de utilizadores, o diretório public é integrado na unidade de dados TNC:.
O diretório public é acessível a todos os utilizadores.
No diretório public é possível, p. ex., colocar ficheiros à disposição de outros utilizadores.
Configurar gestão de utilizadores
Necessita de configurar a gestão de utilizadores antes de poder utilizá-la.
A configuração compõe-se das seguintes etapas:
- Abrir a janela Gestão de utilizadores
- Ativar a gestão de utilizadores
- Definir a palavra-passe para o utilizador de funções useradmin
- Preparar a base de dados
- Criar novo utilizador
- Tem a possibilidade de sair da janela Gestão de utilizadores após cada etapa da configuração.
- Se sair da janela Gestão de utilizadores após a ativação, o comando pede-lhe uma vez que proceda a um reinício.
Abrir a janela Gestão de utilizadores
Para abrir a janela Gestão de utilizadores, proceda da seguinte forma:
|
Ativar a gestão de utilizadores
Para ativar a gestão de utilizadores, proceda da seguinte forma:
- Selecionar Gestão de utilizadores ativa
- O comando mostra a mensagem Falta palavra-passe para o utilizador 'useradmin'.
- Manter ou reativar o estado ativo da função Anonimizar o utilizador em dados de log
- A função Anonimizar o utilizador em dados de log serve para proteger os dados e, por norma, está ativa. Quando esta função é ativada, os dados dos utilizadores são anonimizados em todos os dados de log do comando.
- Se sair da janela Gestão de utilizadores após a ativação, o comando pede-lhe uma vez que proceda a um reinício.
Definir a palavra-passe para o utilizador de funções useradmin
Ao ativar a gestão de utilizadores pela primeira vez, é necessário definir uma palavra-passe para o utilizador useradmin.
Para definir uma palavra-passe para o utilizador de funções useradmin, proceda da seguinte forma:
- Selecionar Palavra-passe para useradmin
- O comando abre a janela sobreposta Palavra-passe para o utilizador 'useradmin'.
- Introduzir a palavra-passe para o utilizador de funções useradmin
- Repetir a palavra-passe
- Selecionar Definir nova palavra-passe
- O comando mostra a mensagem As definições e a palavra-passe de 'useradmin' foram alteradas.
Preparar a base de dados
Para preparar uma base de dados, proceda da seguinte forma:
- Selecionar a base de dados para o armazenamento dos dados dos utilizadores, p. ex., Base de dados LDAP local
- Selecionar Configurar
- O comando abre uma janela para a configuração da respetiva base de dados.
- Seguir as instruções do comando na janela
- Selecionar APLICAR
Para guardar os seus dados de utilizador, tem à disposição as seguintes variantes:
- Base de dados LDAP local
- LDAP noutro computador
- Início de sessão em domínio Windows
É possível o modo paralelo entre o domínio Windows e a base de dados LDAP.
Criar novo utilizador
Para criar um novo utilizador, proceda da seguinte forma:
- Selecionar o separador Administrar utilizadores
- Selecionar Criar novo utilizador
- O comando adiciona um novo utilizador à Lista de utilizadores.
- Se necessário, alterar o nome
- Se necessário, introduzir a palavra-passe
- Se necessário, definir a imagem de perfil
- Se necessário, introduzir a descrição
- Selecionar Adicionar função
- O comando abre a janela Adicionar função.
- Selecionar função
- Selecionar Adicionar
- Tip
Também é possível adicionar funções com os botões do ecrã Adicionar login externo e Adicionar login local.
- Selecionar Fechar
- O comando fecha a janela Adicionar função.
- Selecionar OK
- Selecionar APLICAR
- O comando assume as alterações.
- Selecionar FIM
- O comando abre a janela Reinício do sistema necessário.
- Selecionar Sim
- O comando reinicia.
O utilizador deve alterar a sua palavra-passe na primeira vez que inicie sessão.
Desativar a gestão de utilizadores
A desativação da gestão de utilizadores só é permitida com os seguintes utilizadores de funções:
- useradmin
- OEM
- SYS
Para desativar a gestão de utilizadores, proceda da seguinte forma:
|
Avisos
Em caso de assistência ou outra transmissão de dados de log, o seu parceiro de negócio tem a possibilidade de ver estes dados de utilizador. É da sua inteira responsabilidade assegurar os necessários princípios básicos de proteção de dados para este caso.
- Manter ou reativar o estado ativo da função Anonimizar o utilizador em dados de log
- Algumas áreas da gestão de utilizadores são configuradas pelo fabricante da máquina. Consulte o manual da sua máquina!
- A HEIDENHAIN recomenda a gestão de utilizadores como componente de um conceito de segurança informática.
- Se, com a gestão de utilizadores ativa, também a proteção do ecrã estiver ativa, para desbloquear o ecrã, é necessário introduzir a palavra-passe do utilizador atual.
- Se tiver criado ligações privadas por meio de Remote Desktop Manager antes de ativar a gestão de utilizadores, estas ligações deixam de estar disponíveis com a gestão de utilizadores ativa. Faça uma cópia de segurança das ligações privadas antes de ativar a gestão de utilizadores.