SSH で保護された DNC 接続
条件
- TCP/IP ネットワーク
- SSH クライアントとしての外部コンピュータ
- SSH サーバーとしてのコントローラ
- キーペアの構成:
- 秘密鍵
- 公開鍵
機能説明
SSH トンネルを介する転送の原理
SSH 接続は、常に SSH クライアントと SSH サーバーとの間で行われます。
接続を確保するために、キーペアを使用します。このキーペアが、クライアント上で生成されます。キーペアは、秘密鍵と公開鍵とからなります。秘密鍵は、クライアント側にとどまります。公開鍵は、設定時に、サーバーへと運ばれ、そこで特定ユーザーに割り当てられます。
クライアントは、設定されたユーザー名のもとで、サーバーへの接続を試みます。サーバーは、接続要求者が帰属の秘密鍵を有するかどうかを、公開鍵でテストします。そうであれば、サーバーは SSH 接続を受け入れ、そのユーザーに接続を割り当て、ログインが行われます。その場合、通信はこの SSH 接続により「トンネル」されます。
外部アプリケーションでの使用
ハイデンハインが提供する PC ツール、例えば、TNCremo (バージョン v3.3 以降) は、SSH トンネルを介して安全な接続を設定、確立、および管理するための機能すべてを提供します。
接続を設定する際には、必要なキーペアが生成され、公開鍵がコントローラに転送されます。
同じことが、通信に向けて、ハイデンハイン DNC コンポーネントが RemoTools SDK から使用するアプリケーションにも当てはまります。その際、既存のクライアントアプリケーションの調整は必要ありません。
帰属の CreateConnections ツールを使って接続設定を拡張するためには、HEIDENHAIN DNC v1.7.1 へのアップデートが必要です。その際、アプリケーションソースコードの調整は必要ありません。
SSH で保護された DNC 接続のセットアップ
ログインしたユーザーに対して、SSH で保護された DNC 接続を次のように設定します:
- 「設定」アプリケーションを選択します
- 「ネットワーク/リモートアクセス」を選択します
- DNC を選択します
- 「セットアップが許可されました」スイッチを有効にします
- 安全な接続 (TCP secure) を設定するために、TNCremo を使用します。
- Manual
詳細情報は、TNCremo の統合型ヘルプシステムをご覧ください。
- TNCremo がコントローラにパブリックキーを転送します。
- Tip
最適なセキュリティを保証するためには、保管に続き、パスワード認証を許可機能を再び無効にします。
- 「セットアップが許可されました」スイッチを無効にします
安全な接続を削除する
コントローラのプライベートキーを削除すると、ユーザーが安全に接続できなくなります。
以下のようにキーを削除します:
- 「設定」アプリケーションを選択します
- 「オペレーティングシステム」を選択します
- 「Current User」をダブルクリックまたはダブルタップします
- 「アクティブユーザー」ウィンドウが開きます。
- 「証明書 と キー」を選択します
- 削除するキーを選択します
- 「SSHキーを削除」を選択します
- 選択したキーが削除されます。
注意事項
- SSH トンネルの際に使用される暗号化によりさらに、攻撃者に対して通信が守られます。
- OPC UA 接続の場合は、保存されているユーザー認証により認証を行います。
- ユーザー管理が有効な場合は、SSH または OPC UA (#56-61 / #3-02-1*) による安全なネットワーク接続のみ作成できます。安全でない既存のネットワーク接続を安全な接続として再作成する必要があります。
ユーザー管理が無効になっている場合、コントローラは安全でない LSV2 または RPC 接続も自動的にロックします。機械メーカーはオプションの機械パラメータ allowUnsecureLsv2 (No. 135401) および allowUnsecureRpc (No. 135402) で、コントローラが安全でない接続を許可するかどうかを定義できます。
- 接続設定は、一度設定された後は、すべてのハイデンハイン PC ツールで接続の確立に共通利用できます。
- USB デバイスまたはネットワークドライブを使用して、パブリックキーを転送することもできます。
- 「証明書 と キー」ウィンドウの「外部管理のSSHキーファイル」エリアで、追加のパブリック SSH キー付きファイルを選択できます。これにより、コントローラに転送しなくても SSH キーを使用できます。