基本事項

用途

ユーザー管理を使用すると、コントローラの機能に対してさまざまな権限を持つさまざまなユーザーを作成し、管理することができます。さまざまなユーザーに、ユーザーのタスクに対応したロールを割り当てることができます (機械オペレータや設定者など)。

コントローラは、ユーザー管理が無効の状態で供給されます。この状態は Legacy-Mode と呼ばれます。

機能説明

ユーザー管理は、規格群 IEC 62443 の要件に基づく、次の安全領域において貢献します。

  • アプリケーションセキュリティ
  • ネットワークセキュリティ
  • プラットフォームセキュリティ

ユーザー管理では、次の用語を区別します。

ユーザー

ユーザ-管理は、以下のユーザーの種類を提供します。

  • ハイデンハインの事前定義の機能ユーザー
  • 機械メーカーの機能ユーザー
  • 自己定義のユーザー

タスクに応じて、事前定義の機能ユーザーを使用するか、または新規ユーザーを作成します。

新規ユーザーを作成する

ユーザー管理を無効にすると、コントローラは設定されたすべてのユーザーを保存します。従って、ユーザー管理を再び有効にすると、それらを再度使用することができます。

設定されたユーザーを無効化と一緒に削除したい場合、無効化のプロセス中にそれを具体的に選択しなければなりません。

ユーザー管理を無効にする

ハイデンハインの機能ユーザー

ハイデンハインの機能ユーザーは、ユーザー管理を有効化すると自動的に作成される事前定義の機能ユーザーです。機能ユーザーを変更することはできません。

ハイデンハインは、コントローラを供給する際に、4 つの異なる機能ユーザーを用意しています。

  • useradmin
  • 機能ユーザー useradmin は、ユーザー管理を有効化すると自動的に作成されます。useradmin により、ユーザー管理を設定し編集できます。

  • sys
  • sys 機能ユーザーにより、コントローラの SYS: ドライブにアクセスできます。この機能ユーザーは、ハイデンハインのカスタマーサービス用に確保されています。

  • user
  • Legacy-Mode では、コントローラの起動時に、機能ユーザー user が自動的にシステムにログインされます。ユーザー管理が有効な状態では user には機能はありません。ログインしたユーザー user は、Legacy-Mode では変更できません。

  • oem
  • 機能ユーザー oem は、機械メーカー用です。oem により、コントローラの PLC: ドライブにアクセスできます。

機能ユーザー useradmin

ユーザー useradmin は、Windows システムのローカル管理者に匹敵します。

useradmin アカウントは、次の機能範囲を提供します。

  • データベースの作成
  • パスワードデータの割当て
  • LDAP データベースの有効化
  • LDAP サーバー設定ファイルのエクスポート
  • LDAP サーバー設定ファイルのインポート
  • ユーザーデータベースが破壊された際の緊急アクセス
  • データベース接続の事後変更
  • ユーザー管理の無効化

機械メーカーの機能ユーザー

機械メーカーは、機械のメンテナンスやサードパーティシステムのセットアップと操作のためなどに最大 32 人の機能ユーザーを定義できます。

機械メーカーの機能ユーザーは、コード番号の代わりとしても機能します。機能ユーザーのパスワードを使用して、これらの追加権限を一時的に有効にすることができます。

「アクティブユーザー」ウィンドウ

機械メーカーの機能ユーザーは、Legacy-Mode ですでに有効であり、コード番号の代理をします。

ロール

ハイデンハインは、個々の機能範囲に関する複数の権限をロールにまとめます。事前定義されたさまざまなロールが提供され、これを使って、ユーザーに権限を割り当てます。次の表は、異なるロールの個々の権限を含みます。

ロールのリスト

ロールを配分する利点:

  • 簡略管理
  • コントローラのさまざまなソフトウェアバージョンと異なる機械メーカーとの間の異なる権限が互いに互換性であること。

ユーザー管理には、次のタスク範囲のロールがあります:

  • オペレーションシステムの役割:オペレーティングシステムとインターフェースの機能へのアクセス
  • NCオペレータの役割:NC プログラムのプログラミング、設定、処理機能へのアクセス
  • 工作機械メーカー(PLC)の役割:コントローラの構成と点検機能へのアクセス

どのユーザーも、オペレーティングシステムエリアおよびプログラミングエリアから、少なくとも 1 つのロールを含みます。

HEROS.Admin ロールをもつアカウントへのアクセスを 2 名以上のスタッフに与えることをお勧めします。そうすることで、ユーザー管理への不可欠の変更が、管理者が不在の場合にも行えるよう確保されます。

ローカルログインまたはリモートログイン

ロールは、選択的に、ローカルログインに対して、またはリモートログインに対して許可できます。ローカルログインは、コントローラスクリーンで直接行うログインです。リモートログイン (DNC) は、SSH による接続です。

SSH で保護された DNC 接続

ロールが、ローカルログインに対してのみ承認される場合、そのロールでは、ロール名に Local. が追加され、例えば、HEROS.Admin の代わりに Local.HEROS.Admin となります。

ロールがリモートログインに対してのみ承認される場合、そのロールでは、ロール名に Remote. が追加され、例えば HEROS.Admin の代わりに Remote.HEROS.Admin となります。

したがって、ユーザーの権限は、どのアクセスを介してユーザーがコントローラを操作するかに依存させることも可能です。

権限

ユーザー管理は、Unix 権限管理に基づきます。コントローラへのアクセスは、権限を介して制御されます。

権限は、コントローラの機能をまとめるものです (工具表の編集など)。

ユーザー管理には、次のタスク範囲の権限があります:

  • HEROS 権限
  • NC 権限
  • PLC 権限 (機械メーカー)

あるユーザーが複数のロールを得ると、そのユーザーは、その中に含まれるすべての権限を得ます。

 
Tip

各ユーザーが必要なすべてのアクセス権を得ているか注意してください。アクセス権は、ユーザーがコントローラで行うタスクから生じます。

ハイデンハインの機能ユーザーには、コントローラの供給時にすでにアクセス権が指定されています。

権限のリスト

パスワード設定

LDAP データベースを使用する場合、HEROS.Admin ロールを持つユーザーはパスワードへの要件を定義できます。そのために、「パスワード設定」タブがあります。

ユーザーデータの保存

以下のパラメータが使用できます。

パスワードの有効期間

  • パスワードの有効期間:
  • パスワードの使用期間を指定します。

  • 期限切れ前の警告:
  • 定義した期間を過ぎるとパスワード有効期限超過の警告が表示されます。

パスワードの質

  • パスワードの最小長さ:
  • パスワードの最低長さを指定します。

  • 文字クラスの最小種類数(大/小文字、数字、特殊文字):
  • パスワード内で使用するさまざまな文字の最低数を指定します。

  • 繰り返し文字の最大数:
  • パスワード内で同じ文字を連続で使用できる最大数を指定します。

  • 文字列の最大長さ:
  • パスワード内で使用できる連続文字 (例えば 123) の最大数を指定します。

  • 辞書チェック(合致文字の数):
  • パスワードの使用文字を確認し、許可される関連文字の数を指定します。

  • 以前のパスワードから変更する最低文字数:
  • 新しいパスワードが旧パスワードと異なっていなければならない文字数を指定します。

スケールを使用して各パラメータの値を定義します。

安全上の理由から、パスワードは次の属性をもちます。

  • 少なくとも 8 文字
  • 文字、数字、および特殊記号
  • 関連のある単語や文字列、例えば Anna または 123 は使用しない
 
Tip

特殊記号を使用する場合は、キーボード配列に注意してください。HEROS は US キーボードを、NC ソフトウェアはハイデンハインキーボードを想定しています。外部キーボードは自由に設定可能です。

追加のディレクトリ

ドライブ HOME:

ユーザー管理が有効である場合、すべてのユーザーにプライベートディレクトリ HOME: が提供され、そこにはプライベートなプログラムやファイルを保存できます。

HOME:」ディレクトリはログインしたユーザーおよび「HEROS.Admin」ロールを持つユーザーを表示できます。

ディレクトリ public

ユーザー管理を最初に有効にしたときに、ディレクトリ public がドライブ TNC: と接続されます。

ディレクトリ public には、どのユーザーもアクセスできます。

ディレクトリ public では、例えば他のユーザーがファイルを利用できるようにすることができます。

ファイルマネージャ

ユーザー管理を設定する

ユーザー管理を設定してから、これを使用する必要があります。

設定には次のサブステップが含まれます:

  1. ユーザー管理」ウィンドウを開く
  2. ユーザー管理を有効にする
  3. 機能ユーザー useradmin 用のパスワードを定義する
  4. データベースを設定する
  5. 新規ユーザーを作成する
 
Tip
  • ウィンドウ「ユーザー管理」は、設定のどのステップの後でも閉じることができます。
  • 有効化の後にウィンドウ「ユーザー管理」を閉じると、一度再起動が要求されます。
  • ユーザー管理が有効な場合は、SSH または OPC UA (#56-61 / #3-02-1*) による安全なネットワーク接続のみ作成できます。安全でない既存のネットワーク接続を安全な接続として再作成する必要があります。

ユーザー管理」ウィンドウを開く

次のように「ユーザー管理」ウィンドウを開きます:

  1. 設定」アプリケーションを選択します
  2. オペレーティングシステム」を選択します
  3. CurrentUser」をダブルタップまたはダブルクリックします
  4. 設定」タブで「ユーザー管理」ウィンドウが開きます。
  5. 「ユーザー管理」ウィンドウ

ユーザー管理を有効にする

次のようにユーザー管理を有効にします:

  1. ユーザー管理有効」を選択します
  2. メッセージ「ユーザーの「useradmin」がない場合のパスワード」が表示されます。
  3. ログインデータでユーザーを匿名化機能を有効な状態に維持するか、再び有効にします。
 
Tip
  • ログインデータでユーザーを匿名化」機能はデータ保護に使用され、デフォルトで有効になっています。この機能が有効になっている場合、ユーザーデータはすべてのログデータ内で匿名になります。
  • 有効化の後にウィンドウ「ユーザー管理」を閉じると、一度再起動が要求されます。
  • ユーザー管理が有効な場合は、SSH または OPC UA (#56-61 / #3-02-1*) による安全なネットワーク接続のみ作成できます。安全でない既存のネットワーク接続を安全な接続として再作成する必要があります。

機能ユーザー useradmin 用のパスワードを定義する

ユーザー管理を初めて有効にするときは、機能ユーザー useradmin 用のパスワードを定義する必要があります。

ユーザー

次のように機能ユーザー useradmin 用のパスワードを定義します:

  1. useradmin 用パスワードを選択します
  2. ポップアップウィンドウ「ユーザー「useradmin」のパスワード」が開きます。
  3. 機能ユーザー useradmin 用のパスワードを入力します
  4.  
    Tip

    パスワードの推奨事項に従ってください。

    パスワード設定

  5. パスワードを再入力します
  6. 新しいパスワードの設定」を選択します
  7. メッセージ「「useradmin」の設定とパスワードが変更されました。」が表示されます。

データベースを設定する

次のようにデータベースを設定します:

  1. ユーザーデータを保存するためのデータベース (ローカルLDAPデータベースなど) を選択します
  2. 構成」を選択します
  3. 該当するデータベースを構成するためのウィンドウが開きます。
  4. ウィンドウ内の指示に従います
  5. 適用」を選択します
 
Tip

ユーザーデータの保存には、次のバリエーションが用意されています。

  • ローカルLDAPデータベース
  • リモートコンピュータ上のLDAP
  • Windowsドメインへの接続:

Windows ドメインと LDAP データベースとの間の並行モードが可能です。

ユーザーデータの保存

新規ユーザーを作成する

以下のように新しいユーザーを作成します:

  1. ユーザー管理」タブを選択します
  2. 新規 ユーザーの 作成」を選択します
  3. ユーザーリストに新規ユーザーが追加されます。
  4. 必要に応じて、名前を変更します
  5. 必要に応じて、パスワードを入力します
  6. 必要に応じて、プロフィール画像を定義します
  7. 必要に応じて、説明を入力します
  8. 役割 の追加」を選択します
  9. 役割の追加」ウィンドウが開きます。
  10. ロールを選択します
  11. 追加」を選択します
  12.  
    Tip

    外部 ログイン の追加」および「ローカル ログイン の追加」ボタンでもロールを追加できます。

    ロール

  13. 閉じる」を選択します
  14. 役割の追加」ウィンドウが閉じます。
  15. OK を選択します
  16. 適用」を選択します
  17. 変更が適用されます。
  18. 終了」を選択します
  19. ウィンドウ「システムの再起動が必要です」が開きます。
  20. 対応」を選択します
  21. 再起動されます。
 
Tip

ユーザーは、そのパスワードを初回ログイン時に変更する必要があります。

ユーザー管理を無効にする

ユーザー管理の無効化は、以下の機能ユーザーのみ実行できます:

  • useradmin
  • OEM
  • SYS

ユーザー

次のようにユーザー管理を無効にします:

  1. 機能ユーザーでログインします
  2. ユーザー管理」ウィンドウを開く
  3. ユーザー管理無効」を選択します
  4. 必要に応じて、「既存のユーザーデータベースを削除」チェックボックスを有効にし、設定したすべてのユーザーおよびユーザー固有のディレクトリを削除します
  5. 適用」を選択します
  6. 終わり」を選択します
  7. ウィンドウ「システムの再起動が必要です」が開きます。
  8. はい」を選択します
  9. 再起動されます。

注意事項

 
注意事項
望まないデータ転送が行われる可能性があるため注意してください。
ログインデータでユーザーを匿名化機能を無効にすると、ユーザーデータはすべてのログデータで個人が特定できるように表示されます。
サービス時およびその他のログデータ伝送時に、契約パートナーがこのユーザーデータを見れるようになります。この場合、データ保護法関連の必要な企業内措置の確保については、自己責任となります。
  1. ログインデータでユーザーを匿名化機能を有効な状態に維持するか、再び有効にします。
  • ユーザー管理のいくつかのエリアは、機械メーカーが設定します。 機械のマニュアルを参照してください。
  • ハイデンハインは、IT セキュリティコンセプトの一部としてユーザー管理を推奨しています。
  • ユーザー管理が有効なときにスクリーンセーバーも有効になっている場合は、現在のユーザーのパスワードを入力して画面のロックを解除する必要があります。
  • HEROS メニュー

  • Remote Desktop Manager を使って、ユーザー管理を有効にする前にプライベート接続を作成すると、この接続は、ユーザー管理が有効な場合は使用できなくなります。 ユーザー管理を有効にする前にプライベート接続をバックアップしてください。
  • 「Remote Desktop Manager」ウィンドウ (#133 / #3-01-1)