Basisprincipes
Toepassing
Via de functie voor gebruikersbeheer kunt u verschillende gebruikers met verschillende rechten voor functies van de besturing aanmaken en beheren. U kunt rollen toewijzen aan de verschillende gebruikers die overeenkomen met de taken van de gebruikers, bijvoorbeeld machine-operator of insteller.
De besturing wordt geleverd met uitgeschakeld gebruikersbeheer. Deze status wordt aangeduid als Legacy-Mode.
Functiebeschrijving
Gebruikersbeheer levert een bijdrage op de volgende veiligheidsgebieden, gebaseerd op de vereisten van de reeks normen IEC 62443:
- Toepassingszekerheid
- Netwerkzekerheid
- Platformzekerheid
Gebruikersbeheer maakt onderscheid tussen de volgende begrippen:
- Gebruiker
- Autorisaties
- Rechten
Gebruikersbeheer
Gebruikersbeheer biedt de volgende typen gebruikers:
- voorgedefinieerde functiegebruiker van HEIDENHAIN
- Functiegebruikers van de machinefabrikant
- zelfgedefinieerde gebruikers
Afhankelijk van de taak kunt u een van de voorgedefinieerde functiegebruikers gebruiken of moet u een nieuwe gebruiker aanmaken.
Als u gebruikersbeheer uitschakelt, slaat de besturing alle geconfigureerde gebruikers op. Deze zijn dus weer beschikbaar bij het opnieuw inschakelen van het gebruikersbeheer.
Als u de geconfigureerde gebruikers wilt verwijderen met de deactivering, moet u dit tijdens het deactiveringsproces specifiek selecteren.
Functiegebruikers van HEIDENHAIN
Functiegebruikers van HEIDENHAIN zijn vooraf gedefinieerde gebruikers die automatisch worden aangemaakt wanneer het gebruikersbeheer wordt geactiveerd. Functiegebruikers kunt u niet wijzigen.
HEIDENHAIN biedt vier verschillende functiegebruikers voor de besturing bij aflevering.
- useradmin
De functiegebruiker useradmin wordt bij activering van het gebruikersbeheer automatisch aangemaakt. Via useradmin kan het gebruikersbeheer worden geconfigureerd en bewerkt.
- sys
De functiegebruiker sys kan worden gebruikt om toegang te krijgen tot het station SYS: van de besturing. Deze functiegebruiker is gereserveerd voor de HEIDENHAIN-klantenservice.
- user
In de Legacy-mode wordt bij het opstarten van de besturing automatisch de functiegebruiker user bij het systeem aangemeld. Als gebruikersbeheer is ingeschakeld, heeft user geen functie. De aangemelde gebruiker user kan in Legacy-Mode niet kan worden gewisseld.
- oem
De functiegebruiker oem is bedoeld voor de machinefabrikant. Door middel van oem kan toegang worden verkregen tot het station PLC: van de besturing.
Functiegebruiker useradmin
De gebruiker useradmin is vergelijkbaar met het lokale beheerder van een Windows-systeem.
Het account useradmin biedt de volgende functionaliteit:
- Aanmaken van databases
- Toewijzing van wachtwoordgegevens
- Activeren van de LDAP-database
- Exporteren van LDAP-serverconfiguratiebestanden
- Importeren van LDAP-serverconfiguratiebestanden
- Noodtoegang in geval van vernietiging van de gebruikersdatabase
- Naderhand wijzigen van de databaseverbinding
- Deactiveren van het gebruikersbeheer
Functiegebruikers van de machinefabrikant
Uw machinefabrikant definieert de functiegebruikers die nodig zijn, voor bijvoorbeeld machineonderhoud.
U hebt de mogelijkheid om tijdelijk de rechten van oem-functiegebruikers te ontgrendelen door het invoeren van sleutelgetallen of wachtwoorden die sleutelgetallen vervangen.
Functiegebruikers van de machinefabrikant kunnen al actief zijn in de Legacy-mode en sleutelgetallen vervangen.
Rollen
HEIDENHAIN combineert verschillende rechten voor individuele taakgebieden in rollen. U hebt beschikking over verschillende vooraf gedefinieerde rollen waarmee u rechten aan de gebruikers kunt toekennen. De volgende tabellen bevatten de afzonderlijke rechten van de verschillende rollen.
Voordelen van indeling in rollen:
- Eenvoudiger beheer
- Verschillende rechten tussen verschillende softwareversies van de besturing en verschillende machinefabrikanten zijn compatibel met elkaar.
Gebruikersbeheer biedt rollen voor de volgende taakgebieden:
- Besturingssysteemrollen: toegang tot functies van het besturingssysteem en interfaces
- NC-operatorrollen: toegang tot functies voor het programmeren, instellen en uitvoeren van NC-programma's
- Machinefabrikant(PLC)-rollen: toegang tot functies voor het configureren en controleren van de besturing
Elke gebruiker moet ten minste één rol bevatten uit het besturingssysteemgebied en uit het programmeergebied.
HEIDENHAIN adviseert u om meer dan een persoon toegang te verlenen tot een account met de rol HEROS.Admin. Op deze manier kunt u ervoor zorgen dat de nodige wijzigingen in de gebruikersbeheer ook bij afwezigheid van de beheerder kunnen worden doorgevoerd.
Lokale aanmelding of aanmelding op afstand
Een rol kan ook worden vrijgegeven voor lokale aanmelding of voor externe aanmelding. Een lokale aanmelding is een aanmelding direct op het besturingsscherm. Een remote login (DNC) is een verbinding via SSH.
Als een rol alleen is vrijgegeven voor lokale aanmelding, wordt de toevoeging Local. aan de rolnaam toegevoegd, bijv. Local.HEROS.Admin in plaats van HEROS.Admin.
Als een rol alleen is vrijgegeven voor externe aanmelding, wordt de toevoeging Remote. aan de rolnaam toegevoegd, bijv. Remote.HEROS.Admin in plaats van HEROS.Admin.
Zo kunnen de rechten van een gebruiker ook afhankelijk worden gemaakt van welke toegang hij/zij gebruikt voor de besturing.
Rechten
Gebruikersbeheer is gebaseerd op het Unix-rechtenbeheer. De toegang tot de besturing is gebaseerd op rechten.
Rechten omvatten functies van de besturing, bijv. gereedschapstabel bewerken.
Gebruikersbeheer biedt rechten voor de volgende taakgebieden:
- HEROS-rechten
- NC-rechten
- PLC-rechten (machinefabrikant)
Als een gebruiker meerdere rollen krijgt toegewezen, krijgt hij of zij de som van alle rechten in deze rollen.
Zorg ervoor dat elke gebruiker beschikt over alle noodzakelijke toegangsrechten. De toegangsrechten vloeien voort uit de taken die de gebruiker op de besturing uitvoert.
Toegangsrechten voor gebruikers van de HEIDENHAIN-functie zijn al gedefinieerd wanneer de besturing wordt afgeleverd.
Wachtwoordinstellingen
Als u een LDAP-database gebruikt, kunnen gebruikers met de rol HEROS.Admin aanvragen voor wachtwoorden definiëren. Daarvoor biedt de besturing het tabblad Wachtwoordinstellingen.
De volgende parameters zijn beschikbaar:
Levensduur wachtwoord
- Geldigheidsduur wachtwoord:
Geeft de gebruiksperiode van het wachtwoord aan.
- Waarschuwing voorafgaand aan verlopen:
Geeft vanaf het opgegeven tijdstip een waarschuwing voor het verlopen van het wachtwoord.
Wachtwoordkwaliteit
- Minimale wachtwoordlengte:
Geeft de minimale lengte van het wachtwoord aan.
- Minimaal aantal tekenklassen (groot/klein, cijfers, speciale tekens):
Geeft het minimale aantal verschillende tekenklassen in het wachtwoord aan.
- Maximaal aantal herhalingen van tekens:
Geeft het maximumaantal gelijke, na elkaar gebruikte tekens in het wachtwoord aan.
- Maximale lengte tekenreeksen:
Geeft de maximale lengte van de gebruikte tekenreeksen in het wachtwoord aan, bijv. 123.
- Woordenboekcontrole (overeenstemming qua aantal tekens):
Controleert het wachtwoord op gebruikte woorden en geeft het aantal toegestane samenhangende tekens aan.
- Minimale aantal gewijzigde tekens ten opzichte van vorige wachtwoord:
Geeft aan met hoeveel tekens het nieuwe wachtwoord van het oude moet verschillen.
U definieert de waarde voor elke parameter met een schaalverdeling.
Om veiligheidsredenen moeten wachtwoorden de volgende eigenschappen hebben:
- Minstens acht tekens
- Letters, cijfers en speciale tekens
- Gebruik geen samenhangende woorden of tekenreeksen, zoals Anna of 123.
Als u speciale tekens gebruikt, moet u de toetsenbordindeling in acht nemen. HEROS gaat uit van een Amerikaans toetsenbord, de NC-software van een HEIDENHAIN-toetsenbord. Externe toetsenborden kunnen vrij geconfigureerd zijn.
Extra directory's
Station HOME:
Bij actief gebruikersbeheer is voor elke gebruiker een private directory HOME: beschikbaar, waarin private programma's en bestanden opgeslagen kunnen worden.
De directory HOME: kunnen de aangemelde gebruiker en de gebruiker met de rol HEROS.Admin bekijken.
Directory public
Bij de eerste activering van Gebruikersbeheer wordt de directory Public onder het station TNC: gekoppeld.
De directory public is voor elke gebruiker toegankelijk.
In de directory public kunt u bijvoorbeeld bestanden beschikbaar stellen aan andere gebruikers.
Gebruikersbeheer configureren
U moet gebruikersbeheer configureren voordat u het kunt gebruiken.
De configuratie omvat de volgende stappen:
- Het venster Gebruikersbeheer openen
- Gebruikersbeheer activeren
- Wachtwoord voor de functiegebruiker useradmin definiëren
- Database instellen
- Nieuwe gebruiker aanmaken
- U kunt het venster Gebruikersbeheer na elke deelstap van de configuratie verlaten.
- Als u het venster Gebruikersbeheer na de activering verlaat, vraagt de besturing u eenmalig op een herstart.
Het venster Gebruikersbeheer openen
U opent het venster Gebruikersbeheer als volgt:
|
Gebruikersbeheer activeren
U kunt het gebruikersbeheer als volgt inschakelen:
- Gebruikersbeheer actief selecteren
- De besturing toont de melding Wachtwoord voor gebruiker 'useradmin' ontbreekt.
- Actieve status van de functie Gebruiker in loggegevens anonimiseren behouden of opnieuw inschakelen
- De functie Gebruiker in loggegevens anonimiseren dient ter gegevensbescherming en is standaard ingeschakeld. Wanneer deze functie is ingeschakeld, worden de gebruikersgegevens in alle loggegevens van de besturing geanonimiseerd.
- Als u het venster Gebruikersbeheer na de activering verlaat, vraagt de besturing u eenmalig op een herstart.
Wachtwoord voor functiegebruiker useradmin definiëren
Als u het gebruikersbeheer voor de eerste keer activeert, moet u een wachtwoord voor de functiegebruiker useradmin definiëren.
U definieert een wachtwoord voor de functiegebruiker useradmin als volgt:
- Wachtwoord voor useradmin selecteren
- De besturing opent een aparte venster Wachtwoord voor gebruiker 'useradmin'.
- Wachtwoord voor de functiegebruiker useradmin invoeren
- Wachtwoord herhalen
- Nieuw wachtwoord instellen selecteren
- De besturing toont de melding Instellingen en wachtwoord voor 'useradmin' zijn gewijzigd.
Database instellen
U kunt als volgt een database instellen:
- Database voor de opslag van gebruikersgegevens selecteren, bijv. Lokale LDAP-database
- Configureren selecteren
- De besturing opent een venster voor configuratie van de benodigde database.
- Aanwijzingen van de besturing in het venster volgen
- OVERNEMEN selecteren
Voor opslag van uw gebruikersgegevens zijn de volgende varianten beschikbaar:
- Lokale LDAP-database
- LDAP op een andere computer
- Aanmelding bij Windows-domein
Parallelle werking tussen Windows-domein en LDAP-database is mogelijk.
Nieuwe gebruiker aanmaken
U kunt een nieuwe gebruiker als volgt aanmaken:
- Tabblad Gebruikers beheren selecteren
- Nieuwe gebruiker aanmaken
- De besturing voegt een nieuwe gebruiker toe aan de Gebruikerslijst.
- Evt. naam wijzigen
- Evt. wachtwoord invoeren
- Evt. profielafbeelding definiëren
- Evt. omschrijving invoeren
- Rol toevoegen selecteren
- De besturing opent het venster Rol toevoegen.
- Rol kiezen
- Toevoegen selecteren
- Tip
U kunt ook rollen toevoegen met de knoppen Toevoegen externe aanmelding en Toevoegen lokale aanmelding.
- Sluiten selecteren
- De besturing sluit het venster Rol toevoegen.
- OK selecteren
- OVERNEMEN selecteren
- De besturing neemt de wijzigingen over.
- EINDE selecteren
- De besturing opent het venster Herstart van systeem vereist.
- Ja selecteren
- De besturing start opnieuw.
De gebruiker moet het wachtwoord wijzigen wanneer hij zich de eerste keer aanmeldt.
Gebruikersbeheer deactiveren
Deactiveren van het gebruikersbeheer kan alleen door de volgende functiegebruikers worden uitgevoerd:
- useradmin
- OEM
- SYS
U kunt het gebruikersbeheer als volgt uitschakelen:
|
Instructies
Tijdens een servicebeurt en tijdens andere verzendingen van loggegevens kunnen uw contractpartners deze gebruikersgegevens bekijken. In dat geval bent u er verantwoordelijk voor dat de voorgeschreven gegevensbescherming in uw bedrijf wordt gewaarborgd.
- Actieve status van de functie Gebruiker in loggegevens anonimiseren behouden of opnieuw inschakelen
- Sommige gebieden van het gebruikersbeheer worden geconfigureerd door de machinefabrikant. Raadpleeg uw machinehandboek!
- HEIDENHAIN adviseert om gebruikersbeheer toe te passen als onderdeel van een IT-beveiligingsconcept.
- Als bij actief gebruikersbeheer ook de screensaver actief is, moet u om het beeldscherm te ontgrendelen het wachtwoord van de huidige gebruiker invoeren.
- Als u privéverbindingen hebt gemaakt met behulp van de Remote Desktop Manager voordat u gebruikersbeheer hebt geactiveerd, zijn deze verbindingen niet meer beschikbaar als gebruikersbeheer actief is. Maak een back-up van privéverbindingen voordat u het gebruikersbeheer activeert.