SSH で保護された DNC 接続

用途

ユーザー管理が有効な場合、権限が正しく割り当てられるように、外部アプリケーションもユーザーを認証する必要があります。

RPC または LSV2 プロトコルを使用する DNC 接続の場合、接続は SSH トンネルを経由します。この機構により、リモートユーザーが、コントローラ上で設定されたユーザーに割り当てられ、その権限を入手します。

条件

  • TCP/IP ネットワーク
  • SSH クライアントとしての外部コンピュータ
  • SSH サーバーとしてのコントローラ
  • キーペアの構成:
    • 秘密鍵
    • 公開鍵

機能説明

SSH トンネルを介する転送の原理

SSH 接続は、常に SSH クライアントと SSH サーバーとの間で行われます。

接続を確保するために、キーペアを使用します。このキーペアが、クライアント上で生成されます。キーペアは、秘密鍵と公開鍵とからなります。秘密鍵は、クライアント側にとどまります。公開鍵は、設定時に、サーバーへと運ばれ、そこで特定ユーザーに割り当てられます。

クライアントは、設定されたユーザー名のもとで、サーバーへの接続を試みます。サーバーは、接続要求者が帰属の秘密鍵を有するかどうかを、公開鍵でテストします。そうであれば、サーバーは SSH 接続を受け入れ、そのユーザーに接続を割り当て、ログインが行われます。その場合、通信はこの SSH 接続により「トンネル」されます。

外部アプリケーションでの使用

ハイデンハインが提供する PC ツール、例えば、TNCremo (バージョン v3.3 以降) は、SSH トンネルを介して安全な接続を設定、確立、および管理するための機能すべてを提供します。

接続を設定する際には、必要なキーペアが生成され、公開鍵がコントローラに転送されます。

同じことが、通信に向けて、ハイデンハイン DNC コンポーネントが RemoTools SDK から使用するアプリケーションにも当てはまります。その際、既存のクライアントアプリケーションの調整は必要ありません。

 
Tip

帰属の CreateConnections ツールを使って接続設定を拡張するためには、HEIDENHAIN DNC v1.7.1 へのアップデートが必要です。その際、アプリケーションソースコードの調整は必要ありません。

SSH で保護された DNC 接続のセットアップ

ログインしたユーザーに対して、SSH で保護された DNC 接続を次のように設定します:

  1. 設定」アプリケーションを選択します
  2. ネットワーク/リモートアクセス」を選択します
  3. DNC を選択します
  4. セットアップが許可されました」スイッチを有効にします
  5. 安全な接続 (TCP secure) を設定するために、TNCremo を使用します。
  6.  
    Manual

    詳細情報は、TNCremo の統合型ヘルプシステムをご覧ください。

  7. TNCremo がコントローラにパブリックキーを転送します。
  8.  
    Tip

    最適なセキュリティを保証するためには、保管に続き、パスワード認証を許可機能を再び無効にします。

  9. セットアップが許可されました」スイッチを無効にします

安全な接続を削除する

コントローラのプライベートキーを削除すると、ユーザーが安全に接続できなくなります。

以下のようにキーを削除します:

  1. 設定」アプリケーションを選択します
  2. オペレーティングシステム」を選択します
  3. Current User」をダブルクリックまたはダブルタップします
  4. アクティブユーザー」ウィンドウが開きます。
  5. 証明書 と キー」を選択します
  6. 削除するキーを選択します
  7. SSHキーを削除」を選択します
  8. 選択したキーが削除されます。

注意事項

  • SSH トンネルの際に使用される暗号化によりさらに、攻撃者に対して通信が守られます。 
  • OPC UA 接続の場合は、保存されているユーザー認証により認証を行います。
  • OPC UA NC サーバー (#56-61 / #3-02-1*)

  • ユーザー管理が有効な場合は、SSH または OPC UA (#56-61 / #3-02-1*) による安全なネットワーク接続のみ作成できます。安全でない既存のネットワーク接続を安全な接続として再作成する必要があります。
  • ユーザー管理が無効になっている場合、コントローラは安全でない LSV2 または RPC 接続も自動的にロックします。機械メーカーはオプションの機械パラメータ allowUnsecureLsv2 (No. 135401) および allowUnsecureRpc (No. 135402) で、コントローラが安全でない接続を許可するかどうかを定義できます。

  • 接続設定は、一度設定された後は、すべてのハイデンハイン PC ツールで接続の確立に共通利用できます。
  • USB デバイスまたはネットワークドライブを使用して、パブリックキーを転送することもできます。
  • 証明書 と キー」ウィンドウの「外部管理のSSHキーファイル」エリアで、追加のパブリック SSH キー付きファイルを選択できます。これにより、コントローラに転送しなくても SSH キーを使用できます。