Fundamentos

Aplicación

Con la gestión de usuarios se pueden establecer y administrar varios usuarios con diferentes permisos para funciones del control numérico. Se pueden asignar roles a los diferentes usuarios según las tareas que desempeñen, p. ej., operador de la máquina o instalador.

El control numérico se suministra con la gestión de usuarios inactiva. Este estado se conoce como Legacy-Mode.

Descripción de la función

La gestión de usuarios aporta una contribución a las siguientes áreas de seguridad, basándose en los requisitos de la familia de normas IEC 62443:

  • Seguridad de la aplicación
  • Seguridad de la red
  • Seguridad de la plataforma

En la gestión de usuarios se distingue entre los conceptos siguientes:

Usuario

La gestión de usuarios ofrece los siguientes tipos de usuarios:

  • usuarios de función predefinidos por HEIDENHAIN
  • Usuarios de función del constructor de la máquina
  • usuario autodefinido

Según la tarea se puede, o bien emplear uno de los usuarios de función predefinidos, o bien se debe crear un nuevo usuario.

Establecer nuevo usuario

Si se desactiva la gestión de usuarios, el control numérico guarda todos los usuarios configurados. De este modo, volverán a estar disponibles al reactivar la gestión de usuarios.

Si se desea borrar el usuario configurado con la desactivación, deberá seleccionarse específicamente durante el proceso de desactivación.

Desactivar la Gestión de usuarios

Usuarios de función de HEIDENHAIN

Los usuarios de función de HEIDENHAIN son usuarios predefinidos, que se crean automáticamente al activar la Gestión de usuarios. Las usuarios de función no se pueden modificar.

Al suministrar el control numérico, HEIDENHAIN proporciona cuatro usuarios de función distintos.

  • useradmin
  • El usuario de función useradmin se crea automáticamente al activar la Gestión de usuarios. Con useradmin se puede configurar y editar la gestión de usuarios.

  • sys
  • Con el usuario de función sys se puede acceder a la unidad de disco SYS: del control numérico. Este usuario con función se reserva para el servicio postventa de HEIDENHEIN.

  • user
  • En el Legacy-Mode, al iniciar el control numérico se registra automáticamente en el sistema el usuario con función user. Con la gestión de usuarios activa user no tiene ninguna función. El usuario user registrado no puede cambiarse estando en Legacy-Mode.

  • oem
  • El usuario de función oem es para el constructor de la máquina. Mediante oem se puede acceder a la unidad de disco PLC: del control numérico.

Usuario de función useradmin

El usuario useradmin es comparable con el administrador local de un sistema Windows.

La cuenta useradmin ofrece el siguiente alcance funcional:

  • Crear bases de datos
  • Adjudicar datos de contraseña
  • Activar base de datos LDAP
  • Exportar fichero de configuración de servidor LDAP
  • Importar fichero de configuración de servidor LDAP
  • Acceso de emergencia en caso de destrucción de la base de datos de usuarios
  • Modificar a posteriori el enlace de base de datos
  • Desactivar la gestión de usuarios

Usuarios de función del constructor de la máquina

El constructor de la máquina define los usuarios de función que son necesarios, p. ej., para el mantenimiento de la máquina.

Mediante la introducción de claves o contraseñas, que reemplazan a claves, se tiene la posibilidad de desbloquear temporalmente derechos de usuarios de función oem.

Ventana Usuario actual

Los usuarios de función del constructor de la máquina ya pueden estar activos en el Legacy-Mode y reemplazar a claves.

Roles

HEIDENHAIN compendia varios derechos para tareas individuales, en roles. Hay diferentes roles predefinidos con los que se pueden asignar permisos a los usuarios. Las tablas siguientes contienen los derechos individuales de los diferentes roles.

Lista de roles

Ventajas de la clasificación en roles:

  • Administración más simple
  • Diferentes derechos entre diferentes versiones de Software del control numérico y diferentes fabricantes de máquina son compatibles entre sí.

La gestión de usuarios ofrece roles para las siguientes tareas:

  • Roles de sistema operativo: Acceso a las funciones del sistema operativo e interfaces
  • Roles de operario NC: Acceso a las funciones para programar, configurar y ejecutar programas NC
  • Roles de fabricante de máquina (PLC): Acceso a las funciones para configurar y comprobar el control numérico

Cada usuario debe contener como mínimo un rol del ámbito del sistema operativo y del ámbito de la programación.

HEIDENHAIN recomienda conceder a más de una persona el acceso a una cuenta con el rol HEROS.Admin. De este modo se puede garantizar que las necesarias modificaciones en la gestión de usuarios también se puedan realizar en ausencia del administrador.

Inicio de sesión local o remoto

Un rol puede desbloquearse alternativamente para el registro local o para el registro remoto. Un acceso local es un acceso directo desde la pantalla del control numérico. Un acceso remoto (DNC) es una conexión a través de SSH.

Conexión DNC protegida por SSH

Si un rol solo está desbloqueado para el acceso local, se añade Local. al nombre del rol, p. ej. Local.HEROS.Admin en lugar de HEROS.Admin.

Si un rol solo está desbloqueado para el acceso remoto, se añade Remote. al nombre del rol, p. ej. Remote.HEROS.Admin en lugar de HEROS.Admin.

Por consiguiente, los derechos de un usuario pueden depender del acceso mediante el cual el usuario maneja el control numérico.

Permisos

La gestión de usuarios se basa en la gestión de derechos Unix. Los accesos al control numérico se controlan mediante derechos.

Los permisos combinan las funciones del control numérico, p. ej. editar la tabla de herramientas.

La gestión de usuarios ofrece permisos para las siguientes tareas:

  • Derechos HEROS
  • Derechos NC
  • Permisos PLC (fabricante)

Si un usuario obtiene varios roles, obtendrán la suma de todos los derechos contenidos en los mismos.

 
Tip

Prestar atención a que cada uno de los usuarios haya obtenido los derechos de acceso necesarios. Los permisos de acceso son el resultado de las tareas que el usuario lleva a cabo en el control numérico.

Para usuarios de función de HEIDENHAIN, los derechos de acceso se fijan ya al suministrar el control numérico.

Lista de permisos

Ajustes de contraseña

Si se utiliza una base de datos LDAP, los usuarios con el rol HEROS.Admin pueden definir las exigencias de las contraseñas. Para ello, el control numérico ofrece la pestaña Ajustes de contraseña.

Guardar los datos de usuario

Están disponibles los siguientes parámetros:

Duración de la contraseña

  • Duración de validez de contraseña:
  • Indica el intervalo de tiempo de utilización de la contraseña.

  • Advertencia antes del proceso:
  • A partir del instante definido emite una advertencia sobre la expiración de la contraseña.

Calidad de contraseña

  • Longitud mínima de contraseña:
  • Indica la longitud mínima de la contraseña.

  • Cant. mín. de tipos de caract. (may./min., números, caracteres esp.):
  • Indica la cantidad mínima de las diferentes clases de caracteres en la contraseña.

  • Cantidad máxima de repeticiones de caracteres:
  • Indica la cantidad máxima de caracteres iguales, empleados consecutivamente, en la contraseña.

  • Longitud máxima de secuencias de caracteres:
  • Indica la longitud máxima de secuencias de caracteres empleadas en la contraseña, p. ej. 123.

  • Verificación diccionario (cant. coincidencias de caracteres):
  • Comprueba en la contraseña las palabras empleadas e indica el número de caracteres interrelacionados permitidos.

  • Cantidad mínima de caracteres cambiados de la antigua contraseña:
  • Indica en cuantos caracteres se debe diferenciar la nueva contraseña de la antigua.

El valor de cada parámetro se define con una escala.

Por motivos de seguridad, las contraseñas deben poseer las características siguientes:

  • Por lo menos ocho caracteres
  • Letras, números y caracteres especiales
  • Las palabras y secuencias de caracteres relacionados, p. ej. Ana o 123
 
Tip

Si se utilizan caracteres especiales, debe tenerse en cuenta la distribución del teclado. HEROS está basado en un teclado de EUA y el software NC en un teclado HEIDENHAIN. Se pueden configurar teclados externos.

Directorios adicionales

Unidad de disco HOME:

Para cada usuario, estando activa la gestión de usuarios, se encuentra disponible un directorio privado HOME:, en el que se pueden depositar programas y ficheros.

El directorio HOME: puede visualizarlo el usuario que haya iniciado sesión, así como por los usuarios con el rol HEROS.Admin.

Directorio public

Al activar por primera vez la gestión de usuarios se vincula el directorio public de la unidad de disco TNC:.

El directorio public es accesible para todos los usuarios.

En el directorio public se pueden compartir ficheros con otros usuarios, por ejemplo.

Gestión de ficheros

Configurar la gestión de usuarios

Se deberá configurar la gestión de usuarios antes de poder utilizarla.

La configuración contiene los siguientes pasos parciales:

  1. Abrir la pestaña Gestión de usuarios
  2. Activar la gestión de usuarios
  3. Definir la contraseña para el usuario de función useradmin
  4. Configurar base de datos
  5. Establecer nuevo usuario
 
Tip
  • Existe la posibilidad de abandonar la ventana Gestión de usuarios tras cada paso parcial de la configuración.
  • Si se abandona la ventana Gestión de usuarios tras la activación, el control numérico pide una vez que se haga un reinicio.

Abrir la pestaña Gestión de usuarios

Para abrir la ventana Gestión de usuarios, hacer lo siguiente:

  1. Seleccionar la aplicación Configuraciones
  2. Seleccionar Sistema operativo
  3. Pulsar o hacer clic dos veces en CurrentUser
  4. El control numérico abre la ventana Gestión de usuarios en la pestaña Ajustes.
  5. Ventana Gestión de usuarios

Activar la gestión de usuarios

Para activar la gestión de usuarios, hacer lo siguiente:

  1. Seleccionar Gestión de usuarios activa
  2. El control numérico muestra el mensaje Falta la contraseña para el usuario 'useradmin'.
  3. Mantener o reactivar el estado activo de la función Anonimizar usuario en datos de acceso
 
Tip
  • La función Anonimizar usuario en datos de acceso sirve para la protección de datos y, como estándar, está activa. Si esta función está activada, los datos de los usuarios se anonimizan en los respectivos registros de datos del control numérico.
  • Si se abandona la ventana Gestión de usuarios tras la activación, el control numérico pide una vez que se haga un reinicio.

Definir contraseña para el usuario de función useradmin

Cuando se activa la gestión de usuarios por primera vez, debe definirse una contraseña para el usuario de función useradmin.

Usuario

Si se desea definir una contraseña para el usuario de función useradmin, hacer lo siguiente:

  1. Seleccionar la Contraseña para useradmin
  2. El control numérico abre la ventana de transición Contraseña del usuario 'useradmin'.
  3. Introducir la contraseña para el usuario de función useradmin
  4.  
    Tip

    Tener en cuenta las recomendaciones para las contraseñas.

    Ajustes de contraseña

  5. Repetir contraseña
  6. Seleccionar Establ. nueva contr.
  7. El control numérico muestra el mensaje Se han modificado los ajustes y la contraseña para 'useradmin'.

Configurar base de datos

Para configurar una base de datos, hacer lo siguiente:

  1. Seleccionar una base de datos para guardar los datos del usuario, p. ej. Base de datos local LDAP
  2. Seleccionar Configurar
  3. El control numérico abre una ventana para configurar la base de datos correspondiente.
  4. Respetar las indicaciones que muestra el control numérico en la ventana
  5. Seleccionar APLICAR
 
Tip

Para el almacenamiento de los datos de usuario se dispone de las variantes siguientes:

  • Base de datos local LDAP
  • LDAP en otro ordenador
  • Registro en dominio Windows

Es posible un funcionamiento en paralelo entre dominios de Windows y base de datos LDAP.

Guardar los datos de usuario

Establecer nuevo usuario

Para crear un nuevo usuario, hacer lo siguiente:

  1. Seleccionar la pestaña Administrar usuarios
  2. Seleccionar Establecer nuevo usuario
  3. El control numérico añade un nuevo usuario a la Lista de usuarios.
  4. En caso necesario, modificar el nombre
  5. En caso necesario, introducir la contraseña
  6. En caso necesario, definir foto de perfil
  7. En caso necesario, introducir descripción
  8. Seleccionar Añadir rol
  9. El control numérico abre la ventana Añadir rol.
  10. Seleccionar rodillo
  11. Seleccionar Añadir
  12.  
    Tip

    Asimismo, se pueden añadir roles con los botones Añadir login externo y Añadir login local.

    Roles

  13. Seleccionar Cerrar
  14. El control numérico cierra la ventana Añadir rol.
  15. Seleccionar OK
  16. Seleccionar APLICAR
  17. El control numérico acepta las modificaciones.
  18. Seleccionar FINAL
  19. El control numérico abre la ventana Es necesario reiniciar el sistema.
  20. Seleccionar
  21. El control numérico se reiniciará.
 
Tip

El usuario debe cambiar la contraseña al iniciar sesión por primera vez.

Desactivar la Gestión de usuarios

Solo se permite desactivar la gestión de usuario con los siguientes usuarios de función:

  • useradmin
  • OEM
  • SYS

Usuario

Para desactivar la gestión de usuarios, hacer lo siguiente:

  1. Iniciar sesión con usuario con función
  2. Abrir la pestaña Gestión de usuarios
  3. Seleccionar Gestión de usuarios inactiva
  4. En caso necesario, activar la casilla de verificación Borrar la base de datos de usuario disponible para borrar todos los usuarios configurados y sus directorios específicos
  5. Seleccionar APLICAR
  6. Seleccionar FIN
  7. El control numérico abre la ventana Es necesario reiniciar el sistema.
  8. Seleccionar
  9. El control numérico se reiniciará.

Notas

 
Indicación
¡Atención: Peligro de transmisión de datos!
Si se desactiva la función Anonimizar usuario en datos de acceso, los datos de usuario se visualizan personalizados en datos de registro completos del control numérico.
En el caso de un servicio postventa y en otras transferencias de datos de registro, para el contratante existe la posibilidad de ver los datos de usuario. Es su responsabilidad garantizar que existan las normas de protección de datos necesarias para este caso.
  1. Mantener o reactivar el estado activo de la función Anonimizar usuario en datos de acceso
  • Algunas áreas de la gestión de usuarios las configura el fabricante de la máquina. Rogamos consulte el manual de la máquina.
  • HEIDENHAIN recomienda la gestión de usuario como parte de un concepto de seguridad de TI.
  • Si la gestión de usuarios está activa a la vez que el barrido de pantalla, será necesario introducir la contraseña del usuario actual para desbloquear la pantalla.
  • Menú HEROS

  • Si se ha establecido una conexión privada mediante Remote Desktop Manager antes de activar la gestión de usuarios, estas conexiones ya no estarán disponibles cuando se active la gestión de usuarios. Debe crearse una copia de seguridad de las conexiones privadas antes de activar la gestión de usuarios.
  • Ventanas Remote Desktop Manager (#133 / #3-01-1)