Basisprincipes

Toepassing

Via de functie voor gebruikersbeheer kunt u verschillende gebruikers met verschillende rechten voor functies van de besturing aanmaken en beheren. U kunt rollen toewijzen aan de verschillende gebruikers die overeenkomen met de taken van de gebruikers, bijvoorbeeld machine-operator of insteller.

De besturing wordt geleverd met uitgeschakeld gebruikersbeheer. Deze status wordt aangeduid als Legacy-Mode.

Functiebeschrijving

Gebruikersbeheer levert een bijdrage op de volgende veiligheidsgebieden, gebaseerd op de vereisten van de reeks normen IEC 62443:

  • Toepassingszekerheid
  • Netwerkzekerheid
  • Platformzekerheid

Gebruikersbeheer maakt onderscheid tussen de volgende begrippen:

Gebruikersbeheer

Gebruikersbeheer biedt de volgende typen gebruikers:

  • voorgedefinieerde functiegebruiker van HEIDENHAIN
  • Functiegebruikers van de machinefabrikant
  • zelfgedefinieerde gebruikers

Afhankelijk van de taak kunt u een van de voorgedefinieerde functiegebruikers gebruiken of moet u een nieuwe gebruiker aanmaken.

Nieuwe gebruiker aanmaken

Als u gebruikersbeheer uitschakelt, slaat de besturing alle geconfigureerde gebruikers op. Deze zijn dus weer beschikbaar bij het opnieuw inschakelen van het gebruikersbeheer.

Als u de geconfigureerde gebruikers wilt verwijderen met de deactivering, moet u dit tijdens het deactiveringsproces specifiek selecteren.

Gebruikersbeheer deactiveren

Functiegebruikers van HEIDENHAIN

Functiegebruikers van HEIDENHAIN zijn vooraf gedefinieerde gebruikers die automatisch worden aangemaakt wanneer het gebruikersbeheer wordt geactiveerd. Functiegebruikers kunt u niet wijzigen.

HEIDENHAIN biedt vier verschillende functiegebruikers voor de besturing bij aflevering.

  • useradmin
  • De functiegebruiker useradmin wordt bij activering van het gebruikersbeheer automatisch aangemaakt. Via useradmin kan het gebruikersbeheer worden geconfigureerd en bewerkt.

  • sys
  • De functiegebruiker sys kan worden gebruikt om toegang te krijgen tot het station SYS: van de besturing. Deze functiegebruiker is gereserveerd voor de HEIDENHAIN-klantenservice.

  • user
  • In de Legacy-mode wordt bij het opstarten van de besturing automatisch de functiegebruiker user bij het systeem aangemeld. Als gebruikersbeheer is ingeschakeld, heeft user geen functie. De aangemelde gebruiker user kan in Legacy-Mode niet kan worden gewisseld.

  • oem
  • De functiegebruiker oem is bedoeld voor de machinefabrikant. Door middel van oem kan toegang worden verkregen tot het station PLC: van de besturing.

Functiegebruiker useradmin

De gebruiker useradmin is vergelijkbaar met het lokale beheerder van een Windows-systeem.

Het account useradmin biedt de volgende functionaliteit:

  • Aanmaken van databases
  • Toewijzing van wachtwoordgegevens
  • Activeren van de LDAP-database
  • Exporteren van LDAP-serverconfiguratiebestanden
  • Importeren van LDAP-serverconfiguratiebestanden
  • Noodtoegang in geval van vernietiging van de gebruikersdatabase
  • Naderhand wijzigen van de databaseverbinding
  • Deactiveren van het gebruikersbeheer

Functiegebruikers van de machinefabrikant

Uw machinefabrikant definieert de functiegebruikers die nodig zijn, voor bijvoorbeeld machineonderhoud.

U hebt de mogelijkheid om tijdelijk de rechten van oem-functiegebruikers te ontgrendelen door het invoeren van sleutelgetallen of wachtwoorden die sleutelgetallen vervangen.

Venster Actuele gebruiker

Functiegebruikers van de machinefabrikant kunnen al actief zijn in de Legacy-mode en sleutelgetallen vervangen.

Rollen

HEIDENHAIN combineert verschillende rechten voor individuele taakgebieden in rollen. U hebt beschikking over verschillende vooraf gedefinieerde rollen waarmee u rechten aan de gebruikers kunt toekennen. De volgende tabellen bevatten de afzonderlijke rechten van de verschillende rollen.

Lijst met rollen

Voordelen van indeling in rollen:

  • Eenvoudiger beheer
  • Verschillende rechten tussen verschillende softwareversies van de besturing en verschillende machinefabrikanten zijn compatibel met elkaar.

Gebruikersbeheer biedt rollen voor de volgende taakgebieden:

  • Besturingssysteemrollen: toegang tot functies van het besturingssysteem en interfaces
  • NC-operatorrollen: toegang tot functies voor het programmeren, instellen en uitvoeren van NC-programma's
  • Machinefabrikant(PLC)-rollen: toegang tot functies voor het configureren en controleren van de besturing

Elke gebruiker moet ten minste één rol bevatten uit het besturingssysteemgebied en uit het programmeergebied.

HEIDENHAIN adviseert u om meer dan een persoon toegang te verlenen tot een account met de rol HEROS.Admin. Op deze manier kunt u ervoor zorgen dat de nodige wijzigingen in de gebruikersbeheer ook bij afwezigheid van de beheerder kunnen worden doorgevoerd.

Lokale aanmelding of aanmelding op afstand

Een rol kan ook worden vrijgegeven voor lokale aanmelding of voor externe aanmelding. Een lokale aanmelding is een aanmelding direct op het besturingsscherm. Een remote login (DNC) is een verbinding via SSH.

SSH-beveiligde DNC-verbinding

Als een rol alleen is vrijgegeven voor lokale aanmelding, wordt de toevoeging Local. aan de rolnaam toegevoegd, bijv. Local.HEROS.Admin in plaats van HEROS.Admin.

Als een rol alleen is vrijgegeven voor externe aanmelding, wordt de toevoeging Remote. aan de rolnaam toegevoegd, bijv. Remote.HEROS.Admin in plaats van HEROS.Admin.

Zo kunnen de rechten van een gebruiker ook afhankelijk worden gemaakt van welke toegang hij/zij gebruikt voor de besturing.

Rechten

Gebruikersbeheer is gebaseerd op het Unix-rechtenbeheer. De toegang tot de besturing is gebaseerd op rechten.

Rechten omvatten functies van de besturing, bijv. gereedschapstabel bewerken.

Gebruikersbeheer biedt rechten voor de volgende taakgebieden:

  • HEROS-rechten
  • NC-rechten
  • PLC-rechten (machinefabrikant)

Als een gebruiker meerdere rollen krijgt toegewezen, krijgt hij of zij de som van alle rechten in deze rollen.

 
Tip

Zorg ervoor dat elke gebruiker beschikt over alle noodzakelijke toegangsrechten. De toegangsrechten vloeien voort uit de taken die de gebruiker op de besturing uitvoert.

Toegangsrechten voor gebruikers van de HEIDENHAIN-functie zijn al gedefinieerd wanneer de besturing wordt afgeleverd.

Lijst met rechten

Wachtwoordinstellingen

Als u een LDAP-database gebruikt, kunnen gebruikers met de rol HEROS.Admin aanvragen voor wachtwoorden definiëren. Daarvoor biedt de besturing het tabblad Wachtwoordinstellingen.

Gebruikersgegevens opslaan

De volgende parameters zijn beschikbaar:

Levensduur wachtwoord

  • Geldigheidsduur wachtwoord:
  • Geeft de gebruiksperiode van het wachtwoord aan.

  • Waarschuwing voorafgaand aan verlopen:
  • Geeft vanaf het opgegeven tijdstip een waarschuwing voor het verlopen van het wachtwoord.

Wachtwoordkwaliteit

  • Minimale wachtwoordlengte:
  • Geeft de minimale lengte van het wachtwoord aan.

  • Minimaal aantal tekenklassen (groot/klein, cijfers, speciale tekens):
  • Geeft het minimale aantal verschillende tekenklassen in het wachtwoord aan.

  • Maximaal aantal herhalingen van tekens:
  • Geeft het maximumaantal gelijke, na elkaar gebruikte tekens in het wachtwoord aan.

  • Maximale lengte tekenreeksen:
  • Geeft de maximale lengte van de gebruikte tekenreeksen in het wachtwoord aan, bijv. 123.

  • Woordenboekcontrole (overeenstemming qua aantal tekens):
  • Controleert het wachtwoord op gebruikte woorden en geeft het aantal toegestane samenhangende tekens aan.

  • Minimale aantal gewijzigde tekens ten opzichte van vorige wachtwoord:
  • Geeft aan met hoeveel tekens het nieuwe wachtwoord van het oude moet verschillen.

U definieert de waarde voor elke parameter met een schaalverdeling.

Om veiligheidsredenen moeten wachtwoorden de volgende eigenschappen hebben:

  • Minstens acht tekens
  • Letters, cijfers en speciale tekens
  • Gebruik geen samenhangende woorden of tekenreeksen, zoals Anna of 123.
 
Tip

Als u speciale tekens gebruikt, moet u de toetsenbordindeling in acht nemen. HEROS gaat uit van een Amerikaans toetsenbord, de NC-software van een HEIDENHAIN-toetsenbord. Externe toetsenborden kunnen vrij geconfigureerd zijn.

Extra directory's

Station HOME:

Bij actief gebruikersbeheer is voor elke gebruiker een private directory HOME: beschikbaar, waarin private programma's en bestanden opgeslagen kunnen worden.

De directory HOME: kunnen de aangemelde gebruiker en de gebruiker met de rol HEROS.Admin bekijken.

Directory public

Bij de eerste activering van Gebruikersbeheer wordt de directory Public onder het station TNC: gekoppeld.

De directory public is voor elke gebruiker toegankelijk.

In de directory public kunt u bijvoorbeeld bestanden beschikbaar stellen aan andere gebruikers.

Bestandsbeheer

Gebruikersbeheer configureren

U moet gebruikersbeheer configureren voordat u het kunt gebruiken.

De configuratie omvat de volgende stappen:

  1. Het venster Gebruikersbeheer openen
  2. Gebruikersbeheer activeren
  3. Wachtwoord voor de functiegebruiker useradmin definiëren
  4. Database instellen
  5. Nieuwe gebruiker aanmaken
 
Tip
  • U kunt het venster Gebruikersbeheer na elke deelstap van de configuratie verlaten.
  • Als u het venster Gebruikersbeheer na de activering verlaat, vraagt de besturing u eenmalig op een herstart.

Het venster Gebruikersbeheer openen

U opent het venster Gebruikersbeheer als volgt:

  1. Toepassing Instellingen selecteren
  2. Besturingssysteem selecteren
  3. Dubbeltikken of -klikken op CurrentUser
  4. De besturing opent het venster Gebruikersbeheer in het tabblad Instellingen.
  5. Venster Gebruikersbeheer

Gebruikersbeheer activeren

U kunt het gebruikersbeheer als volgt inschakelen:

  1. Gebruikersbeheer actief selecteren
  2. De besturing toont de melding Wachtwoord voor gebruiker 'useradmin' ontbreekt.
  3. Actieve status van de functie Gebruiker in loggegevens anonimiseren behouden of opnieuw inschakelen
 
Tip
  • De functie Gebruiker in loggegevens anonimiseren dient ter gegevensbescherming en is standaard ingeschakeld. Wanneer deze functie is ingeschakeld, worden de gebruikersgegevens in alle loggegevens van de besturing geanonimiseerd.
  • Als u het venster Gebruikersbeheer na de activering verlaat, vraagt de besturing u eenmalig op een herstart.

Wachtwoord voor functiegebruiker useradmin definiëren

Als u het gebruikersbeheer voor de eerste keer activeert, moet u een wachtwoord voor de functiegebruiker useradmin definiëren.

Gebruikersbeheer

U definieert een wachtwoord voor de functiegebruiker useradmin als volgt:

  1. Wachtwoord voor useradmin selecteren
  2. De besturing opent een aparte venster Wachtwoord voor gebruiker 'useradmin'.
  3. Wachtwoord voor de functiegebruiker useradmin invoeren
  4.  
    Tip

    Houd u aan de aanbevelingen voor wachtwoorden.

    Wachtwoordinstellingen

  5. Wachtwoord herhalen
  6. Nieuw wachtwoord instellen selecteren
  7. De besturing toont de melding Instellingen en wachtwoord voor 'useradmin' zijn gewijzigd.

Database instellen

U kunt als volgt een database instellen:

  1. Database voor de opslag van gebruikersgegevens selecteren, bijv. Lokale LDAP-database
  2. Configureren selecteren
  3. De besturing opent een venster voor configuratie van de benodigde database.
  4. Aanwijzingen van de besturing in het venster volgen
  5. OVERNEMEN selecteren
 
Tip

Voor opslag van uw gebruikersgegevens zijn de volgende varianten beschikbaar:

  • Lokale LDAP-database
  • LDAP op een andere computer
  • Aanmelding bij Windows-domein

Parallelle werking tussen Windows-domein en LDAP-database is mogelijk.

Gebruikersgegevens opslaan

Nieuwe gebruiker aanmaken

U kunt een nieuwe gebruiker als volgt aanmaken:

  1. Tabblad Gebruikers beheren selecteren
  2. Nieuwe gebruiker aanmaken
  3. De besturing voegt een nieuwe gebruiker toe aan de Gebruikerslijst.
  4. Evt. naam wijzigen
  5. Evt. wachtwoord invoeren
  6. Evt. profielafbeelding definiëren
  7. Evt. omschrijving invoeren
  8. Rol toevoegen selecteren
  9. De besturing opent het venster Rol toevoegen.
  10. Rol kiezen
  11. Toevoegen selecteren
  12.  
    Tip

    U kunt ook rollen toevoegen met de knoppen Toevoegen externe aanmelding en Toevoegen lokale aanmelding.

    Rollen

  13. Sluiten selecteren
  14. De besturing sluit het venster Rol toevoegen.
  15. OK selecteren
  16. OVERNEMEN selecteren
  17. De besturing neemt de wijzigingen over.
  18. EINDE selecteren
  19. De besturing opent het venster Herstart van systeem vereist.
  20. Ja selecteren
  21. De besturing start opnieuw.
 
Tip

De gebruiker moet het wachtwoord wijzigen wanneer hij zich de eerste keer aanmeldt.

Gebruikersbeheer deactiveren

Deactiveren van het gebruikersbeheer kan alleen door de volgende functiegebruikers worden uitgevoerd:

  • useradmin
  • OEM
  • SYS

Gebruikersbeheer

U kunt het gebruikersbeheer als volgt uitschakelen:

  1. Functiegebruiker aanmelden
  2. Het venster Gebruikersbeheer openen
  3. Gebruikersbeheer niet actief selecteren
  4. Eventueel het selectievakje Bestaande gebruikersdatabases wissen inschakelen om alle geconfigureerde gebruikers en gebruikersspecifieke directory's te verwijderen
  5. OVERNEMEN selecteren
  6. KONIEC selecteren
  7. De besturing opent het venster Herstart van systeem vereist.
  8. Ja selecteren
  9. De besturing start opnieuw.

Instructies

 
Aanwijzing
Let op, ongewenste gegevensoverdracht mogelijk!
Als u de functie Gebruiker in loggegevens anonimiseren deactiveert, worden de gebruikersgegevens in alle loggegevens van de besturing gepersonaliseerd weergegeven.
Tijdens een servicebeurt en tijdens andere verzendingen van loggegevens kunnen uw contractpartners deze gebruikersgegevens bekijken. In dat geval bent u er verantwoordelijk voor dat de voorgeschreven gegevensbescherming in uw bedrijf wordt gewaarborgd.
  1. Actieve status van de functie Gebruiker in loggegevens anonimiseren behouden of opnieuw inschakelen
  • Sommige gebieden van het gebruikersbeheer worden geconfigureerd door de machinefabrikant. Raadpleeg uw machinehandboek!
  • HEIDENHAIN adviseert om gebruikersbeheer toe te passen als onderdeel van een IT-beveiligingsconcept.
  • Als bij actief gebruikersbeheer ook de screensaver actief is, moet u om het beeldscherm te ontgrendelen het wachtwoord van de huidige gebruiker invoeren.
  • HEROS-menu

  • Als u privéverbindingen hebt gemaakt met behulp van de Remote Desktop Manager voordat u gebruikersbeheer hebt geactiveerd, zijn deze verbindingen niet meer beschikbaar als gebruikersbeheer actief is. Maak een back-up van privéverbindingen voordat u het gebruikersbeheer activeert.
  • Venster Remote Desktop Manager (#133 / #3-01-1)