SSH-zavarovana DNC-povezava

Uporaba

Pri aktivnem upravljanju uporabnikov je treba preveriti tudi zunanje aplikacije uporabnika, da je mogoče dodeliti pravilne pravice.

Pri povezavah DNC prek protokola RPC ali LSV2 je povezava speljana skozi tunel SSH. S tem mehanizmom je daljinski uporabnik dodeljen uporabniku, ki je ustvarjen na krmiljenju, in prejme te pravice.

Pogoji

  • Omrežje TCP/IP
  • Zunanji računalnik kot odjemalec SSH
  • Krmiljenje kot strežnik SSH
  • Par ključev je sestavljen iz:
    • zasebnega ključa
    • javnega ključa

Opis funkcije

Načelo prenosa prek kanala SSH

Povezava SSH se vedno izvaja med odjemalcem SSH in strežnikom SSH.

Za zaščito povezave je uporabljen par ključev. Ta par ključev se ustvari na odjemalcu. Par ključev je sestavljen iz zasebnega ključa in javnega ključa. Zasebni ključ ostane pri odjemalcu. Javni ključ se pri ustvarjanju prenese na strežnik in je tam dodeljen določenemu uporabniku.

Odjemalec se poskuša pod določenim imenom uporabnika povezati s strežnikom. Strežnik lahko z javnim ključem preveri, ali tisti, ki zahteva povezavo, poseduje pripadajoč zasebni ključ. Če da, potem sprejme povezavo SSH in jo dodeli uporabniku, za katerega se izvede prijava. Komunikacija lahko potem poteka prek te povezave SSH.

Uporaba v zunanjih aplikacijah

Računalniška orodja, ki jih ponuja podjetje HEIDENHAIN, kot npr. TNCremo od različice v3.3, ponujajo vse funkcije za nastavitev, vzpostavitev in upravljanje varnih povezav prek kanala SSH.

Pri ustvarjanju povezave bo ustvarjen potreben par ključev in javni ključ bo prenesen na krmiljenje.

Enako velja tudi za aplikacije, ki za komunikacijo uporabljajo komponento DNC HEIDENHAIN iz RemoTools SDK. Prilagoditev obstoječih aplikacij stranke pri ni potrebna.

 
Tip

Za razširitev konfiguracije povezave s pripadajočim orodjem CreateConnections je potrebna posodobitev na HEIDENHAIN DNC v1.7.1. Prilagoditev izvorne kode aplikacije pri ni potrebna.

Ustvarjanje SSH-zavarovanih DNC-povezav

SSH-zavarovano DNC-povezavo za prijavljenega uporabnika ustvarite na naslednji način:

  1. Izberite aplikacijo Nastavitve
  2. Izberite možnost Omrežje/oddaljen dostop
  3. Izberite možnost DNC
  4. Aktivirajte stikalo Nastavitev je dovoljena
  5. Uporabite aplikacijo TNCremo, da vzpostavite varno povezavo (TCP secure).
  6.  
    Manual

    Podrobnejše informacije najdete v integriranem pomožnem sistemu aplikacije TNCremo.

  7. TNCremo javni ključ prenese v krmiljenje.
  8.  
    Tip

    Za zagotovitev optimalne varnosti, znova deaktivirajte funkcijo Dovoli preverjanje pristnosti z geslom po zaključku shranjevanja.

  9. Deaktivirajte stikalo Nastavitev je dovoljena

Odstranitev varne povezave

Če na krmiljenju izbrišete zasebni ključ, s tem odstranite možnost varne povezave za uporabnika.

Ključ izbrišete na naslednji način:

  1. Izberite aplikacijo Nastavitve
  2. Izberite možnost Operacijski sistem
  3. Dvakrat kliknite ali se dotaknite možnosti Current User
  4. Krmiljenje odpre okno Trenutni uporabnik.
  5. Izberite možnost Certifikati in ključi
  6. Izberite ključ za brisanje
  7. Izberite možnost Izbriši ključ SSH
  8. Krmiljenje izbriše izbrani ključ.

Napotki

  • Prek v kanalu SSH uporabljenega šifriranja je poleg tega tudi komunikacija zaščitena pred napadi. 
  • Pri povezavah OPC UA se potrjevanje izvaja prek shranjenega uporabniškega certifikata.
  • Strežnik OPC UA NC (#56-61 / #3-02-1*)

  • Ko je upravljanje uporabnikov aktivno, lahko ustvarjate samo še varne omrežne povezave prek SSH. Krmiljenje samodejno blokira povezave LSV2 prek serijskih vmesnikov (COM1 in COM2) ter omrežne povezave brez identifikacije uporabnika.
  • Ob nedejavnem upravljanju uporabnikov krmiljenje tudi samodejno blokira nezaščitene povezave LSV2 ali RPC. Z izbirnima strojnima parametroma allowUnsecureLsv2 (št. 135401) in allowUnsecureRpc (št. 135402) lahko proizvajalec stroja določi, ali krmiljenje dovoljuje nevarne povezave. Ti strojni parametri se nahajajo v podatkovnem objektu CfgDncAllowUnsecur (135400).

  • Konfiguracije povezave lahko, takoj ko so bile ustvarjene, skupaj z vsemi računalniškimi orodji HEIDENHAIN uporabljajo za vzpostavitev povezave.
  • Javni ključ lahko v krmiljenje prenesete tudi s pomočjo USB-naprave ali omrežnega pogona.
  • V oknu Certifikati in ključi lahko v območju Zunanje upravljana datoteka ključa SSH izberete datoteko z dodatnimi javnimi SSH-ključi. Na ta način lahko uporabite ključ SSH, brez da bi ga prenesli v krmiljenje.