基本原理

應用

使用者管理可讓您以對控制器許多功能不同的存取權限,來建立並管理不同的使用者。您可將角色分配給反映其各自任務的各種使用者,例如工具機操作員或設定技師。

使用者管理在控制器出廠預設設定中為關閉。此狀態稱為Legacy-Mode

功能說明

根據IEC 62443系列標準的要求,使用者管理在以下安全領域為您提供支援:

  • 應用程式安全性
  • 網路安全性
  • 平台安全性

使用者管理區分以下術語:

使用者

使用者管理提供以下使用者類型:

  • 功能使用者由HEIDENHAIN預先定義
  • 功能使用者由工具機製造商預先定義
  • 自定義使用者

根據指派的任務,您可使用預先定義的功能使用者之一或建立新使用者。

建立新使用者

若關閉使用者管理,則控制器儲存所有已設置的使用者。如此當使用者管理再次啟動,這些就可再次可用。

若要在關閉時刪除已設置的使用者,則需要在關閉使用者管理時明確設定。

關閉使用者管理

海德漢功能使用者

海德漢功能使用者為預先定義的使用者,在使用者管理啟動時自動建立。功能使用者無法編輯。

海德漢提供在控制器的出廠預設設定中提供四種不同的功能使用者。

  • useradmin
  • 在使用者管理啟動時,自動建立useradmin功能使用者。useradmin功能使用者允許您設置和編輯使用者管理員。

  • sys
  • sys功能使用者允許您存取控制器的SYS:磁碟。此功能使用者保留供海德漢維修人員使用。

  • 使用者
  • 傳統模式內,user功能使用者在控制器啟動期間自動登入系統。當使用者管理啟動,user功能使用者無效。user類型的登入使用者在傳統模式內無法變更。

  • oem
  • oem功能使用者適用於工具機製造商。oem功能使用者允許您存取控制器的PLC:磁碟。

useradmin功能使用者

useradmin使用者等同於Windows系統的本機管理員。

useradmin帳號提供以下的功能:

  • 建立資料庫
  • 指派密碼資料
  • 啟動LDAP資料庫
  • 匯出LDAP伺服器組態檔
  • 匯入LDAP伺服器組態檔
  • 若使用者資料庫已毀損時緊急存取
  • 追溯資料庫連線的變更
  • 關閉使用者管理

功能使用者由工具機製造商預先定義

工具機製造商定義例如工具機保養這類特定任務所需的功能使用者。

通過輸入代碼編號或取代代碼編號的密碼,可暫時啟用oem功能使用者的權限。

啟用的使用者視窗

工具機製造商的功能使用者在傳統模式內已經啟動,並且取代代碼編號。

角色

海德漢將個別任務區的許多權限結合給角色。可使用不同的預先定義角色來指派權限給使用者。下表說明不同角色的個別權限。

角色清單

角色分類的優點:

  • 簡化的管理
  • 不同權限相容於控制器的不同版本與不同的工具機製造商之間。

使用者管理提供角色用於以下任務:

  • 作業系統角色:存取作業系統的功能和介面
  • NC操作員角色:存取編寫、設定和執行NC程式的功能
  • 工具機製造商(PLC)角色:存取用於設置和檢查控制器的功能

每個使用者都應該具有至少一個來自作業系統區的角色,以及至少一個來自編寫區的角色。

HEIDENHAIN建議允許超過一個人存取具有HEROS.Admin角色的帳號。這確保對使用者管理的必要變更在管理員缺席時也能進行。

本地或遠端註冊

您可啟用一個角色用於本機登入或遠端登入。在本機登入時,使用者直接從控制器螢幕登入控制器。遠端登入(DNC)為透過SSH的連線。

SSH安全DNC連線

若一個角色只能用於本機登入,則Local.新增至角色名稱(例如Local.HEROS.Admin取代HEROS.Admin)。

若一個角色只能用於遠端登入,則Remote.新增至角色名稱(例如Remote.HEROS.Admin取代HEROS.Admin)。

因此,也可根據用來操作控制器的存取,來製作使用者權限。

權限

使用者管理係根據Unix權限管理。通過權限控制對於控制器的存取。

權限集合控制器的許多功能(例如編輯刀具資料表)。

使用者管理提供權限用於以下任務:

  • HEROS權限
  • NC權限
  • PLC權限(工具機製造商)

若超過一個角色指派給使用者,他將取得這些角色內含的所有權限。

 
Tip

確定將需要的存取權限指派給每個使用者。存取權限來自於使用者在控制器上以及使用控制器執行的任務。

HEIDENHAIN功能使用者的存取權限已經預先定義在控制器的出廠預設設定中。

權限清單

密碼設定

如果您使用LDAP資料庫,具有HEROS.Admin角色的使用者可定義密碼需求。對此,控制器提供 密碼設定分頁。

儲存使用者資料

以下為可使用的參數:

密碼壽命

  • 密碼有效週期:
  • 在此,可指示密碼可使用多久。

  • 過期之前警告:
  • 從定義時間,將發出密碼即將過期的警告。

密碼品質

  • 最短密碼長度:
  • 在此,可指示最短密碼長度。

  • 字元等級的最少數量(大寫/小寫、數字、特殊符號):
  • 在此,可指示密碼內所需不同字元等級的最少數量。

  • 重複字元的最大數量:
  • 在此,可指示密碼內重複連續字元的最大數量。

  • 字元順序的最大長度:
  • 在此,可指示密碼內所使用字元順序的最大長度(例如123)。

  • 字典檢查(匹配字元數):
  • 在此,可啟用檢查密碼是否內含已知字詞並指定有意義字元的允許數量。

  • 與先前密碼比較所變更的最少字元數:
  • 在此,可指定新密碼內有多少字元必須與舊密碼不同。

定義用於光學尺上每一參數之值。

為了安全,密碼應該符合以下標準:

  • 最少八個字元
  • 字母、數字與特殊字元
  • 避免使用整個字或字元順序(例如Anna或123)
 
Tip

若要使用特殊字元,請注意關鍵字配置。HEROS使用US鍵盤,NC軟體使用HEIDENHAIN鍵盤。外接鍵盤可自由設置。

額外目錄

HOME:磁碟

當啟動使用者管理,每個使用者都有一個私人HOME:目錄,可讓您儲存私人程式與檔案。

HOME:目錄可由個別登入的使用者以及使用HEROS.Admin角色來檢視。

public目錄

在第一次啟動使用者管理時,將連線TNC:磁碟底下的public目錄。

任何使用者都可存取public目錄。

public目錄中,可例如使檔案可讓其他使用者使用。

檔案管理

設置使用者管理

使用者管理在使用之前需要設置。

執行以下步驟來設置:

  1. 開啟使用者管理視窗
  2. 啟動使用者管理
  3. 定義密碼給useradmin功能使用者
  4. 設定資料庫
  5. 建立新使用者
 
Tip
  • 您可在每一組態步驟之後離開使用者管理視窗。
  • 若在已啟動使用者管理之後直接離開 使用者管理視窗,則控制器將提示您重新啟動。

開啟使用者管理視窗

開啟使用者管理視窗

  1. 選擇 設定應用
  2. 選擇作業系統
  3. 雙擊或按兩下CurrentUser
  4. 控制器開啟設定分頁內的使用者管理視窗。
  5. 使用者管理視窗

啟動使用者管理

若要啟動使用者管理:

  1. 選擇使用者管理啟動
  2. 控制器顯示使用者「useradmin」的密碼遺失訊息。
  3. 維持或重新啟動 在登入資料中匿名使用者功能的啟動狀態
 
Tip
  • 在登入資料中匿名使用者功能的目的在於資料隱私;此功能預設為啟動。啟動此功能後,控制器所有日誌檔案中的使用者資料都將匿名。
  • 若在已啟動使用者管理之後直接離開 使用者管理視窗,則控制器將提示您重新啟動。

定義密碼給useradmin功能使用者

若正在第一次啟動使用者管理,您必須定義密碼給useradmin功能使用者。

使用者

若要定義密碼給useradmin功能使用者:

  1. 選擇useradmin的密碼
  2. 控制器開啟使用者「useradmin」的密碼突現式視窗。
  3. 輸入密碼給useradmin功能使用者
  4.  
    Tip

    請遵守密碼建議。

    密碼設定

  5. 再次輸入密碼
  6. 選擇設定新密碼
  7. 控制器顯示「useradmin」的設定與密碼已變更訊息。

設定資料庫

若要設定資料庫:

  1. 選擇用來儲存使用者資料的資料庫(例如本機LDAP資料庫)
  2. 選擇組態
  3. 控制器開啟用於設定相應資料庫的視窗。
  4. 遵照來自視窗內控制器的指示
  5. 選擇套用
 
Tip

以下選項可用於儲存您的使用者資料:

  • 本機LDAP資料庫
  • 遠端電腦上的LDAP
  • 連線至Windows網域

Windows使用者與來自LDAP資料庫的使用者可同時操作。

儲存使用者資料

建立新使用者

若要建立新使用者:

  1. 選擇 使用者管理分頁
  2. 選擇建立 新 使用者
  3. 控制器新增新使用者至 使用者清單
  4. 依需要變更名稱
  5. 依需要編輯密碼
  6. 依需要定義描述影像
  7. 依需要輸入描述
  8. 選擇新增 角色
  9. 控制器開啟新增角色視窗。
  10. 選擇角色
  11. 選擇
  12.  
    Tip

    您也可使用 新增 外部 登入新增 本機 登入按鈕新增角色。

    角色

  13. 選擇關閉
  14. 控制器關閉新增角色視窗。
  15. 選擇確定
  16. 選擇套用
  17. 控制器調整該改變。
  18. 選擇結尾
  19. 控制器開啟系統需要重新開機視窗。
  20. 選擇
  21. 控制器重新啟動。
 
Tip

第一次登入時,使用者必須變更密碼。

關閉使用者管理

使用者管理只能由以下功能使用者關閉:

  • useradmin
  • OEM
  • SYS

使用者

若要關閉使用者管理:

  1. 以功能使用者登入
  2. 開啟使用者管理視窗
  3. 選擇使用者管理未啟動
  4. 若想要,請檢查刪除現有的使用者資料庫,來刪除所有已設置的使用者和使用者專屬目錄
  5. 選擇套用
  6. 選擇結束
  7. 控制器開啟系統需要重新開機視窗。
  8. 選擇確定
  9. 控制器重新啟動。

備註

 
注意事項
小心:可能傳輸不要的資料!
若關閉在登入資料中匿名使用者功能,系統將在所有控制器日誌檔案中顯示個人化使用者資料。
若必須維修或有其他原因需要傳輸日誌檔案,合約方將可看見此使用者資料。在此狀況下,確定公司有進行所有需要的資料保護準備是您的責任。
  1. 維持或重新啟動 在登入資料中匿名使用者功能的啟動狀態
  • 某些使用者管理區域由工具機製造商設置。 請參考您的工具機手冊。
  • 海德漢建議啟動使用者管理當成IT安全概念一部分。
  • 如果使用者管理和螢幕保護程式都啟用,則必須輸入當前使用者的密碼才能解除螢幕鎖定。
  • HEROS功能表

  • 若在啟動使用者管理之前使用遠端桌面管理員建立私用連線,則在使用者管理啟動之後,這些連接不再可用。 在啟動使用者管理之前,請儲存您的私用連線。
  • 遠端桌面管理員視窗 (#133 / #3-01-1)