Fundamentos
Aplicación
Con la gestión de usuarios se pueden establecer y administrar varios usuarios con diferentes permisos para funciones del control numérico. Se pueden asignar roles a los diferentes usuarios según las tareas que desempeñen, p. ej., operador de la máquina o instalador.
El control numérico se suministra con la gestión de usuarios inactiva. Este estado se conoce como Legacy-Mode.
Descripción de la función
La gestión de usuarios aporta una contribución a las siguientes áreas de seguridad, basándose en los requisitos de la familia de normas IEC 62443:
- Seguridad de la aplicación
- Seguridad de la red
- Seguridad de la plataforma
En la gestión de usuarios se distingue entre los conceptos siguientes:
Usuario
La gestión de usuarios ofrece los siguientes tipos de usuarios:
- usuarios de función predefinidos por HEIDENHAIN
- Usuarios de función del constructor de la máquina
- usuario autodefinido
Según la tarea se puede, o bien emplear uno de los usuarios de función predefinidos, o bien se debe crear un nuevo usuario.
Si se desactiva la gestión de usuarios, el control numérico guarda todos los usuarios configurados. De este modo, volverán a estar disponibles al reactivar la gestión de usuarios.
Si se desea borrar el usuario configurado con la desactivación, deberá seleccionarse específicamente durante el proceso de desactivación.
Usuarios de función de HEIDENHAIN
Los usuarios de función de HEIDENHAIN son usuarios predefinidos, que se crean automáticamente al activar la Gestión de usuarios. Las usuarios de función no se pueden modificar.
Al suministrar el control numérico, HEIDENHAIN proporciona cuatro usuarios de función distintos.
- useradmin
El usuario de función useradmin se crea automáticamente al activar la Gestión de usuarios. Con useradmin se puede configurar y editar la gestión de usuarios.
- sys
Con el usuario de función sys se puede acceder a la unidad de disco SYS: del control numérico. Este usuario con función se reserva para el servicio postventa de HEIDENHEIN.
- user
En el Legacy-Mode, al iniciar el control numérico se registra automáticamente en el sistema el usuario con función user. Con la gestión de usuarios activa user no tiene ninguna función. El usuario user registrado no puede cambiarse estando en Legacy-Mode.
- oem
El usuario de función oem es para el constructor de la máquina. Mediante oem se puede acceder a la unidad de disco PLC: del control numérico.
Usuario de función useradmin
El usuario useradmin es comparable con el administrador local de un sistema Windows.
La cuenta useradmin ofrece el siguiente alcance funcional:
- Crear bases de datos
- Adjudicar datos de contraseña
- Activar base de datos LDAP
- Exportar fichero de configuración de servidor LDAP
- Importar fichero de configuración de servidor LDAP
- Acceso de emergencia en caso de destrucción de la base de datos de usuarios
- Modificar a posteriori el enlace de base de datos
- Desactivar la gestión de usuarios
Usuarios de función del constructor de la máquina
El constructor de la máquina define los usuarios de función que son necesarios, p. ej., para el mantenimiento de la máquina.
Mediante la introducción de claves o contraseñas, que reemplazan a claves, se tiene la posibilidad de desbloquear temporalmente derechos de usuarios de función oem.
Los usuarios de función del constructor de la máquina ya pueden estar activos en el Legacy-Mode y reemplazar a claves.
Roles
HEIDENHAIN compendia varios derechos para tareas individuales, en roles. Hay diferentes roles predefinidos con los que se pueden asignar permisos a los usuarios. Las tablas siguientes contienen los derechos individuales de los diferentes roles.
Ventajas de la clasificación en roles:
- Administración más simple
- Diferentes derechos entre diferentes versiones de Software del control numérico y diferentes fabricantes de máquina son compatibles entre sí.
La gestión de usuarios ofrece roles para las siguientes tareas:
- Roles de sistema operativo: Acceso a las funciones del sistema operativo e interfaces
- Roles de operario NC: Acceso a las funciones para programar, configurar y ejecutar programas NC
- Roles de fabricante de máquina (PLC): Acceso a las funciones para configurar y comprobar el control numérico
Cada usuario debe contener como mínimo un rol del ámbito del sistema operativo y del ámbito de la programación.
HEIDENHAIN recomienda conceder a más de una persona el acceso a una cuenta con el rol HEROS.Admin. De este modo se puede garantizar que las necesarias modificaciones en la gestión de usuarios también se puedan realizar en ausencia del administrador.
Inicio de sesión local o remoto
Un rol puede desbloquearse alternativamente para el registro local o para el registro remoto. Un acceso local es un acceso directo desde la pantalla del control numérico. Un acceso remoto (DNC) es una conexión a través de SSH.
Conexión DNC protegida por SSH
Si un rol solo está desbloqueado para el acceso local, se añade Local. al nombre del rol, p. ej. Local.HEROS.Admin en lugar de HEROS.Admin.
Si un rol solo está desbloqueado para el acceso remoto, se añade Remote. al nombre del rol, p. ej. Remote.HEROS.Admin en lugar de HEROS.Admin.
Por consiguiente, los derechos de un usuario pueden depender del acceso mediante el cual el usuario maneja el control numérico.
Permisos
La gestión de usuarios se basa en la gestión de derechos Unix. Los accesos al control numérico se controlan mediante derechos.
Los permisos combinan las funciones del control numérico, p. ej. editar la tabla de herramientas.
La gestión de usuarios ofrece permisos para las siguientes tareas:
- Derechos HEROS
- Derechos NC
- Permisos PLC (fabricante)
Si un usuario obtiene varios roles, obtendrán la suma de todos los derechos contenidos en los mismos.
Prestar atención a que cada uno de los usuarios haya obtenido los derechos de acceso necesarios. Los permisos de acceso son el resultado de las tareas que el usuario lleva a cabo en el control numérico.
Para usuarios de función de HEIDENHAIN, los derechos de acceso se fijan ya al suministrar el control numérico.
Ajustes de contraseña
Si se utiliza una base de datos LDAP, los usuarios con el rol HEROS.Admin pueden definir las exigencias de las contraseñas. Para ello, el control numérico ofrece la pestaña Ajustes de contraseña.
Están disponibles los siguientes parámetros:
Duración de la contraseña
- Duración de validez de contraseña:
Indica el intervalo de tiempo de utilización de la contraseña.
- Advertencia antes del proceso:
A partir del instante definido emite una advertencia sobre la expiración de la contraseña.
Calidad de contraseña
- Longitud mínima de contraseña:
Indica la longitud mínima de la contraseña.
- Cant. mín. de tipos de caract. (may./min., números, caracteres esp.):
Indica la cantidad mínima de las diferentes clases de caracteres en la contraseña.
- Cantidad máxima de repeticiones de caracteres:
Indica la cantidad máxima de caracteres iguales, empleados consecutivamente, en la contraseña.
- Longitud máxima de secuencias de caracteres:
Indica la longitud máxima de secuencias de caracteres empleadas en la contraseña, p. ej. 123.
- Verificación diccionario (cant. coincidencias de caracteres):
Comprueba en la contraseña las palabras empleadas e indica el número de caracteres interrelacionados permitidos.
- Cantidad mínima de caracteres cambiados de la antigua contraseña:
Indica en cuantos caracteres se debe diferenciar la nueva contraseña de la antigua.
El valor de cada parámetro se define con una escala.
Por motivos de seguridad, las contraseñas deben poseer las características siguientes:
- Por lo menos ocho caracteres
- Letras, números y caracteres especiales
- Las palabras y secuencias de caracteres relacionados, p. ej. Ana o 123
Si se utilizan caracteres especiales, debe tenerse en cuenta la distribución del teclado. HEROS está basado en un teclado de EUA y el software NC en un teclado HEIDENHAIN. Se pueden configurar teclados externos.
Directorios adicionales
Unidad de disco HOME:
Para cada usuario, estando activa la gestión de usuarios, se encuentra disponible un directorio privado HOME:, en el que se pueden depositar programas y ficheros.
El directorio HOME: puede visualizarlo el usuario que haya iniciado sesión, así como por los usuarios con el rol HEROS.Admin.
Directorio public
Al activar por primera vez la gestión de usuarios se vincula el directorio public de la unidad de disco TNC:.
El directorio public es accesible para todos los usuarios.
En el directorio public se pueden compartir ficheros con otros usuarios, por ejemplo.
Configurar la gestión de usuarios
Se deberá configurar la gestión de usuarios antes de poder utilizarla.
La configuración contiene los siguientes pasos parciales:
- Abrir la pestaña Gestión de usuarios
- Activar la gestión de usuarios
- Definir la contraseña para el usuario de función useradmin
- Configurar base de datos
- Establecer nuevo usuario
- Existe la posibilidad de abandonar la ventana Gestión de usuarios tras cada paso parcial de la configuración.
- Si se abandona la ventana Gestión de usuarios tras la activación, el control numérico pide una vez que se haga un reinicio.
Abrir la pestaña Gestión de usuarios
Para abrir la ventana Gestión de usuarios, hacer lo siguiente:
|
Activar la gestión de usuarios
Para activar la gestión de usuarios, hacer lo siguiente:
- Seleccionar Gestión de usuarios activa
- El control numérico muestra el mensaje Falta la contraseña para el usuario 'useradmin'.
- Mantener o reactivar el estado activo de la función Anonimizar usuario en datos de acceso
- La función Anonimizar usuario en datos de acceso sirve para la protección de datos y, como estándar, está activa. Si esta función está activada, los datos de los usuarios se anonimizan en los respectivos registros de datos del control numérico.
- Si se abandona la ventana Gestión de usuarios tras la activación, el control numérico pide una vez que se haga un reinicio.
Definir contraseña para el usuario de función useradmin
Cuando se activa la gestión de usuarios por primera vez, debe definirse una contraseña para el usuario de función useradmin.
Si se desea definir una contraseña para el usuario de función useradmin, hacer lo siguiente:
- Seleccionar la Contraseña para useradmin
- El control numérico abre la ventana de transición Contraseña del usuario 'useradmin'.
- Introducir la contraseña para el usuario de función useradmin
- Repetir contraseña
- Seleccionar Establ. nueva contr.
- El control numérico muestra el mensaje Se han modificado los ajustes y la contraseña para 'useradmin'.
Configurar base de datos
Para configurar una base de datos, hacer lo siguiente:
- Seleccionar una base de datos para guardar los datos del usuario, p. ej. Base de datos local LDAP
- Seleccionar Configurar
- El control numérico abre una ventana para configurar la base de datos correspondiente.
- Respetar las indicaciones que muestra el control numérico en la ventana
- Seleccionar APLICAR
Para el almacenamiento de los datos de usuario se dispone de las variantes siguientes:
- Base de datos local LDAP
- LDAP en otro ordenador
- Registro en dominio Windows
Es posible un funcionamiento en paralelo entre dominios de Windows y base de datos LDAP.
Establecer nuevo usuario
Para crear un nuevo usuario, hacer lo siguiente:
- Seleccionar la pestaña Administrar usuarios
- Seleccionar Establecer nuevo usuario
- El control numérico añade un nuevo usuario a la Lista de usuarios.
- En caso necesario, modificar el nombre
- En caso necesario, introducir la contraseña
- En caso necesario, definir foto de perfil
- En caso necesario, introducir descripción
- Seleccionar Añadir rol
- El control numérico abre la ventana Añadir rol.
- Seleccionar rodillo
- Seleccionar Añadir
- Seleccionar Cerrar
- El control numérico cierra la ventana Añadir rol.
- Seleccionar OK
- Seleccionar APLICAR
- El control numérico acepta las modificaciones.
- Seleccionar FINAL
- El control numérico abre la ventana Es necesario reiniciar el sistema.
- Seleccionar Sí
- El control numérico se reiniciará.
El usuario debe cambiar la contraseña al iniciar sesión por primera vez.
Desactivar la Gestión de usuarios
Solo se permite desactivar la gestión de usuario con los siguientes usuarios de función:
- useradmin
- OEM
- SYS
Para desactivar la gestión de usuarios, hacer lo siguiente:
|
Notas
En el caso de un servicio postventa y en otras transferencias de datos de registro, para el contratante existe la posibilidad de ver los datos de usuario. Es su responsabilidad garantizar que existan las normas de protección de datos necesarias para este caso.
- Mantener o reactivar el estado activo de la función Anonimizar usuario en datos de acceso
- Algunas áreas de la gestión de usuarios las configura el fabricante de la máquina. Rogamos consulte el manual de la máquina.
- HEIDENHAIN recomienda la gestión de usuario como parte de un concepto de seguridad de TI.
- Si la gestión de usuarios está activa a la vez que el barrido de pantalla, será necesario introducir la contraseña del usuario actual para desbloquear la pantalla.
- Si se ha establecido una conexión privada mediante Remote Desktop Manager antes de activar la gestión de usuarios, estas conexiones ya no estarán disponibles cuando se active la gestión de usuarios. Debe crearse una copia de seguridad de las conexiones privadas antes de activar la gestión de usuarios.