基本事項
用途
ユーザー管理を使用すると、コントローラの機能に対してさまざまな権限を持つさまざまなユーザーを作成し、管理することができます。さまざまなユーザーに、ユーザーのタスクに対応したロールを割り当てることができます (機械オペレータや設定者など)。
コントローラは、ユーザー管理が無効の状態で供給されます。この状態は Legacy-Mode と呼ばれます。
機能説明
ユーザー
ユーザ-管理は、以下のユーザーの種類を提供します。
- ハイデンハインの事前定義の機能ユーザー
- 機械メーカーの機能ユーザー
- 自己定義のユーザー
タスクに応じて、事前定義の機能ユーザーを使用するか、または新規ユーザーを作成します。
ユーザー管理を無効にすると、コントローラは設定されたすべてのユーザーを保存します。従って、ユーザー管理を再び有効にすると、それらを再度使用することができます。
設定されたユーザーを無効化と一緒に削除したい場合、無効化のプロセス中にそれを具体的に選択しなければなりません。
ハイデンハインの機能ユーザー
ハイデンハインの機能ユーザーは、ユーザー管理を有効化すると自動的に作成される事前定義の機能ユーザーです。機能ユーザーを変更することはできません。
ハイデンハインは、コントローラを供給する際に、4 つの異なる機能ユーザーを用意しています。
- useradmin
機能ユーザー useradmin は、ユーザー管理を有効化すると自動的に作成されます。useradmin により、ユーザー管理を設定し編集できます。
- sys
sys 機能ユーザーにより、コントローラの SYS: ドライブにアクセスできます。この機能ユーザーは、ハイデンハインのカスタマーサービス用に確保されています。
- user
Legacy-Mode では、コントローラの起動時に、機能ユーザー user が自動的にシステムにログインされます。ユーザー管理が有効な状態では user には機能はありません。ログインしたユーザー user は、Legacy-Mode では変更できません。
- oem
機能ユーザー oem は、機械メーカー用です。oem により、コントローラの PLC: ドライブにアクセスできます。
機能ユーザー useradmin
ユーザー useradmin は、Windows システムのローカル管理者に匹敵します。
useradmin アカウントは、次の機能範囲を提供します。
- データベースの作成
- パスワードデータの割当て
- LDAP データベースの有効化
- LDAP サーバー設定ファイルのエクスポート
- LDAP サーバー設定ファイルのインポート
- ユーザーデータベースが破壊された際の緊急アクセス
- データベース接続の事後変更
- ユーザー管理の無効化
機械メーカーの機能ユーザー
機械メーカーは、機械のメンテナンスやサードパーティシステムのセットアップと操作のためなどに最大 32 人の機能ユーザーを定義できます。
機械メーカーの機能ユーザーは、コード番号の代わりとしても機能します。機能ユーザーのパスワードを使用して、これらの追加権限を一時的に有効にすることができます。
機械メーカーの機能ユーザーは、Legacy-Mode ですでに有効であり、コード番号の代理をします。
ロール
ハイデンハインは、個々の機能範囲に関する複数の権限をロールにまとめます。事前定義されたさまざまなロールが提供され、これを使って、ユーザーに権限を割り当てます。次の表は、異なるロールの個々の権限を含みます。
ロールを配分する利点:
- 簡略管理
- コントローラのさまざまなソフトウェアバージョンと異なる機械メーカーとの間の異なる権限が互いに互換性であること。
ユーザー管理には、次のタスク範囲のロールがあります:
- オペレーションシステムの役割:オペレーティングシステムとインターフェースの機能へのアクセス
- NCオペレータの役割:NC プログラムのプログラミング、設定、処理機能へのアクセス
- 工作機械メーカー(PLC)の役割:コントローラの構成と点検機能へのアクセス
どのユーザーも、オペレーティングシステムエリアおよびプログラミングエリアから、少なくとも 1 つのロールを含みます。
HEROS.Admin ロールをもつアカウントへのアクセスを 2 名以上のスタッフに与えることをお勧めします。そうすることで、ユーザー管理への不可欠の変更が、管理者が不在の場合にも行えるよう確保されます。
ローカルログインまたはリモートログイン
ロールは、選択的に、ローカルログインに対して、またはリモートログインに対して許可できます。ローカルログインは、コントローラスクリーンで直接行うログインです。リモートログイン (DNC) は、SSH による接続です。
ロールが、ローカルログインに対してのみ承認される場合、そのロールでは、ロール名に Local. が追加され、例えば、HEROS.Admin の代わりに Local.HEROS.Admin となります。
ロールがリモートログインに対してのみ承認される場合、そのロールでは、ロール名に Remote. が追加され、例えば HEROS.Admin の代わりに Remote.HEROS.Admin となります。
したがって、ユーザーの権限は、どのアクセスを介してユーザーがコントローラを操作するかに依存させることも可能です。
権限
ユーザー管理は、Unix 権限管理に基づきます。コントローラへのアクセスは、権限を介して制御されます。
権限は、コントローラの機能をまとめるものです (工具表の編集など)。
ユーザー管理には、次のタスク範囲の権限があります:
- HEROS 権限
- NC 権限
- PLC 権限 (機械メーカー)
あるユーザーが複数のロールを得ると、そのユーザーは、その中に含まれるすべての権限を得ます。
各ユーザーが必要なすべてのアクセス権を得ているか注意してください。アクセス権は、ユーザーがコントローラで行うタスクから生じます。
ハイデンハインの機能ユーザーには、コントローラの供給時にすでにアクセス権が指定されています。
パスワード設定
LDAP データベースを使用する場合、HEROS.Admin ロールを持つユーザーはパスワードへの要件を定義できます。そのために、「パスワード設定」タブがあります。
以下のパラメータが使用できます。
パスワードの有効期間
- パスワードの有効期間:
パスワードの使用期間を指定します。
- 期限切れ前の警告:
定義した期間を過ぎるとパスワード有効期限超過の警告が表示されます。
パスワードの質
- パスワードの最小長さ:
パスワードの最低長さを指定します。
- 文字クラスの最小種類数(大/小文字、数字、特殊文字):
パスワード内で使用するさまざまな文字の最低数を指定します。
- 繰り返し文字の最大数:
パスワード内で同じ文字を連続で使用できる最大数を指定します。
- 文字列の最大長さ:
パスワード内で使用できる連続文字 (例えば 123) の最大数を指定します。
- 辞書チェック(合致文字の数):
パスワードの使用文字を確認し、許可される関連文字の数を指定します。
- 以前のパスワードから変更する最低文字数:
新しいパスワードが旧パスワードと異なっていなければならない文字数を指定します。
スケールを使用して各パラメータの値を定義します。
安全上の理由から、パスワードは次の属性をもちます。
- 少なくとも 8 文字
- 文字、数字、および特殊記号
- 関連のある単語や文字列、例えば Anna または 123 は使用しない
特殊記号を使用する場合は、キーボード配列に注意してください。HEROS は US キーボードを、NC ソフトウェアはハイデンハインキーボードを想定しています。外部キーボードは自由に設定可能です。
追加のディレクトリ
ドライブ HOME:
ユーザー管理が有効である場合、すべてのユーザーにプライベートディレクトリ HOME: が提供され、そこにはプライベートなプログラムやファイルを保存できます。
「HOME:」ディレクトリはログインしたユーザーおよび「HEROS.Admin」ロールを持つユーザーを表示できます。
ディレクトリ public
ユーザー管理を最初に有効にしたときに、ディレクトリ public がドライブ TNC: と接続されます。
ディレクトリ public には、どのユーザーもアクセスできます。
ディレクトリ public では、例えば他のユーザーがファイルを利用できるようにすることができます。
ユーザー管理を設定する
ユーザー管理を設定してから、これを使用する必要があります。
設定には次のサブステップが含まれます:
- 「ユーザー管理」ウィンドウを開く
- ユーザー管理を有効にする
- 機能ユーザー useradmin 用のパスワードを定義する
- データベースを設定する
- 新規ユーザーを作成する
- ウィンドウ「ユーザー管理」は、設定のどのステップの後でも閉じることができます。
- 有効化の後にウィンドウ「ユーザー管理」を閉じると、一度再起動が要求されます。
- ユーザー管理が有効な場合は、SSH または OPC UA (#56-61 / #3-02-1*) による安全なネットワーク接続のみ作成できます。安全でない既存のネットワーク接続を安全な接続として再作成する必要があります。
「ユーザー管理」ウィンドウを開く
次のように「ユーザー管理」ウィンドウを開きます:
|
ユーザー管理を有効にする
次のようにユーザー管理を有効にします:
- 「ユーザー管理有効」を選択します
- メッセージ「ユーザーの「useradmin」がない場合のパスワード」が表示されます。
- ログインデータでユーザーを匿名化機能を有効な状態に維持するか、再び有効にします。
- 「ログインデータでユーザーを匿名化」機能はデータ保護に使用され、デフォルトで有効になっています。この機能が有効になっている場合、ユーザーデータはすべてのログデータ内で匿名になります。
- 有効化の後にウィンドウ「ユーザー管理」を閉じると、一度再起動が要求されます。
- ユーザー管理が有効な場合は、SSH または OPC UA (#56-61 / #3-02-1*) による安全なネットワーク接続のみ作成できます。安全でない既存のネットワーク接続を安全な接続として再作成する必要があります。
機能ユーザー useradmin 用のパスワードを定義する
データベースを設定する
次のようにデータベースを設定します:
- ユーザーデータを保存するためのデータベース (ローカルLDAPデータベースなど) を選択します
- 「構成」を選択します
- 該当するデータベースを構成するためのウィンドウが開きます。
- ウィンドウ内の指示に従います
- 「適用」を選択します
ユーザーデータの保存には、次のバリエーションが用意されています。
- ローカルLDAPデータベース
- リモートコンピュータ上のLDAP
- Windowsドメインへの接続:
Windows ドメインと LDAP データベースとの間の並行モードが可能です。
新規ユーザーを作成する
以下のように新しいユーザーを作成します:
- 「ユーザー管理」タブを選択します
- 「新規 ユーザーの 作成」を選択します
- ユーザーリストに新規ユーザーが追加されます。
- 必要に応じて、名前を変更します
- 必要に応じて、パスワードを入力します
- 必要に応じて、プロフィール画像を定義します
- 必要に応じて、説明を入力します
- 「役割 の追加」を選択します
- 「役割の追加」ウィンドウが開きます。
- ロールを選択します
- 「追加」を選択します
- 「閉じる」を選択します
- 「役割の追加」ウィンドウが閉じます。
- OK を選択します
- 「適用」を選択します
- 変更が適用されます。
- 「終了」を選択します
- ウィンドウ「システムの再起動が必要です」が開きます。
- 「対応」を選択します
- 再起動されます。
ユーザーは、そのパスワードを初回ログイン時に変更する必要があります。
ユーザー管理を無効にする
ユーザー管理の無効化は、以下の機能ユーザーのみ実行できます:
- useradmin
- OEM
- SYS
次のようにユーザー管理を無効にします:
|
注意事項
サービス時およびその他のログデータ伝送時に、契約パートナーがこのユーザーデータを見れるようになります。この場合、データ保護法関連の必要な企業内措置の確保については、自己責任となります。
- ログインデータでユーザーを匿名化機能を有効な状態に維持するか、再び有効にします。
- ユーザー管理のいくつかのエリアは、機械メーカーが設定します。 機械のマニュアルを参照してください。
- ハイデンハインは、IT セキュリティコンセプトの一部としてユーザー管理を推奨しています。
- ユーザー管理が有効なときにスクリーンセーバーも有効になっている場合は、現在のユーザーのパスワードを入力して画面のロックを解除する必要があります。
- Remote Desktop Manager を使って、ユーザー管理を有効にする前にプライベート接続を作成すると、この接続は、ユーザー管理が有効な場合は使用できなくなります。 ユーザー管理を有効にする前にプライベート接続をバックアップしてください。