Netzwerk-Security: Authentifizierung mit Benutzerrolle und Kennwort
Diese Thema enthält folgende Abschnitte:
Benutzerrollen bei PLCnext Technology-Steuerungen
Hinweis
Wenn die Steuerung einen Embedded OPC UA-Server enthält, so wird die OPC Server-Client-Kommunikation separat durch ein Serverzertifikat abgesichert. Weitere Informationen hierzu finden Sie im Kapitel "OPC UA-Serverkonfiguration". |
Um die Steuerung, d.h. die Steuerungskonfiguration und die Betriebsart vor unerlaubtem Zugriff zu schützen, lassen sich für PLCnext Technology-Steuerungen Benutzerrollen mit bestimmten Zugriffsrechten konfigurieren. Um den Manipulationsschutz zu erhöhen, sind die Benutzerrollen (und die Rechte, die jeder Rolle zugewiesen sind) nicht in PLCnext Engineer definiert, sondern über die WBM-Schnittstelle (Web Based Management) direkt auf der Steuerung.
Die Benutzerrolle, mit der Sie sich bei der Steuerung anmelden, legt die (Art von) Operationen fest, die Sie auf der Steuerung durchführen dürfen.
Liste der exemplarischen, vordefinierten Benutzerrollen und Zugriffsrechte
Nachfolgend sind die vordefinierten Benutzerrollen aufgelistet. Die Rollen wurden möglicherweise für Ihre Steuerung verändert, gelöscht oder erweitert. Siehe nachfolgenden Abschnitt "So definieren/bearbeiten Sie eine Benutzerrolle und das Kennwort für die Steuerung".
| Benutzerrolle | Berechtigungen |
| Nicht authentifiziert | Keine Berechtigungen, außer zur Authentifizierung. |
| Admin | Vollzugriff auf das Gerät, beinhaltet die Berechtigungen aller anderen Benutzerrollen. |
| Usermanager | Geräteadministrator mit der Berechtigung zum Definieren von Anwendern, die Zugriff haben.Berechtigungen:
- Anwender hinzufügen/entfernen
- Kennwörter festlegen und ändern
- Rollenzuordnungen für Anwender definieren
|
| Engineer | Projektentwickler (meistens Ingenieure) sind berechtigt, Geräte voreinzustellen, zu programmieren und zu debuggen.Berechtigungen:
- Dateien auf die Steuerung schreiben bzw. von dort lesen
- Variablen lesen, schreiben, forcen
- Fehlerkatalog auf der Steuerung lesen und löschen
- Debuggen mit Hilfe von Breakpoints, Stepping und Stackprüfung
- Status der Steuerung definieren und steuern
|
| Commissioner | Personal, welches die Geräteinstallation vor Ort durchführt.Berechtigungen:
- Dateien auf die Steuerung schreiben bzw. von dort lesen
- Status der Steuerung definieren und steuern
|
| Service | Servicepersonal, welches für die Wartung, Inspektion und/oder Fehlerbehebung bei einem Gerät oder einer kompletten Maschine verantwortlich ist.Berechtigungen:
- Dateien auf die Steuerung schreiben bzw. von dort lesen
- Variablen lesen, schreiben, forcen
- Fehlerkatalog auf der Steuerung lesen und löschen
- Debuggen mit Hilfe von Breakpoints, Stepping und Stackprüfung
- Status der Steuerung definieren und steuern
|
| DataViewer | Eingeschränkter Zugriff mit Lesezugriff auf alle Variablen.Berechtigungen:
- Variablen lesen (kein Schreiben und Forcen)
- Fehlerkatalog auf der Steuerung lesen (kein Löschen)
|
| DataChanger | Eingeschränkter Zugriff mit Lese- und Schreibzugriff auf alle Variablen.Berechtigungen:
- Variablen lesen und schreiben (kein Forcen)
- Fehlerkatalog auf der Steuerung lesen (kein Löschen)
|
| Viewer | Eingeschränkter Zugriff mit Lesezugriff auf alle Dateien, alle Variablen und den Status der Steuerung.Berechtigungen:
- Dateien aus der Steuerung lesen
- Variablen lesen (kein Schreiben und Forcen)
- Fehlerkatalog auf der Steuerung lesen (kein Löschen)
- Status der Steuerung lesen (kein Steuern)
|
| EHmiLevel1 bis EHmiLevel10 | Zugriffsebenen via HMI: Das HMI-Projekt legt fest, welche Rolle welche Berechtigungen hat.
Weitere Infos
Weitere Informationen finden Sie in der Beschreibung der Funktionsbausteine zur Anwenderverwaltung. |
|
| FileReader | Definiert die Zugriffsrechte eines OPC UA-Clients auf das (Linux-) Dateisystem auf der PLCnext Technology-Steuerung. Mit dieser Benutzerrolle kann der OPC UA-Client über den im PLCnext Technology-Gerät integrierten OPC UA-Server die Daten im Steuerungsdateisystem lesen, indem er dafür OPC UA-Standardmechanismen nutzt.Welche Verzeichnisse und Dateien generell über den OPC UA-Server sichtbar und durchsuchbar sind, muss auf der Editorseite 'Dateisystem' des 'OPC UA'-Knotens in der ANLAGE definiert werden. Details hierzu finden Sie im Thema "Einstellungen zum OPC UA-Dateisystem". |
| FileWriter | Definiert die Zugriffsrechte eines OPC UA-Clients auf das (Linux-) Dateisystem auf der PLCnext Technology-Steuerung. Mit dieser Benutzerrolle kann der OPC UA-Client über den im PLCnext Technology-Gerät integrierten OPC UA-Server die Daten im Steuerungsdateisystem lesen und schreiben, indem er dafür OPC UA-Standardmechanismen nutzt.Welche Verzeichnisse und Dateien generell über den OPC UA-Server sichtbar und durchsuchbar sind, muss auf der Editorseite 'Dateisystem' des 'OPC UA'-Knotens in der ANLAGE definiert werden. Details hierzu finden Sie im Thema "Einstellungen zum OPC UA-Dateisystem". |
| EHmiViewer | Der Benutzer kann HMI-Daten anzeigen, aber nicht schreiben, d.h. Variablen können nur gelesen werden. |
| EHmiChanger | Der Benutzer hat Lese- und Schreibzugriff auf HMI-Daten, d.h. Variablen können gelesen und geschrieben werden. |
Möglichkeiten zum An-/Abmelden
Im Kontextmenü der Steuerung in der ANLAGE sowie im Cockpit gibt es einen Befehl zum An-/Abmelden:
Wenn Sie im abgemeldeten Zustand einen Befehl ausführen, der die Anmeldung auf der Steuerung erfordert (wie 'Verbinden' oder 'Projekt schreiben und starten'), erscheint automatisch die Anmeldemaske zur Authentifizierung.
Um sich anzumelden, geben Sie in diese Maske einen Anwendernamen (der einer bestimmten Benutzerrolle mit spezifischen Zugriffsrechten entspricht) und das zugehörige Kennwort ein. Während Sie angemeldet sind, können Sie mit dem Befehl 'Benutzer wechseln...' im Kontextmenü des Steuerungsknotens oder im Cockpit die Anwenderrolle wechseln. Siehe nachfolgende Vorgehensweise.
Hinweis
Stellen Sie sicher, dass die eingegebene Benutzerrolle ausreichende Zugriffsrechte für die beabsichtigten Operationen besitzt. |
Benutzer-Anmeldedaten für die Steuerung speichern
Die Kombination aus Benutzername und Kennwort zum Anmelden auf der Steuerung lässt sich auf Ihrem PC speichern.
Gespeicherte Benutzernamen werden beim nächsten Anmelden auf der Steuerung in einer Auswahlliste angeboten, sofern es sich um denselben Windows-Anwender handelt. Nach dem Auswählen eines Benutzernamens aus der Liste in der Anmeldemaske wird das zugehörige Kennwort automatisch eingetragen. (Hinter einem automatisch eingetragenen Kennwort erscheint der Text "Kennwort aus Kennwort-Manager".)
Hinweis
Gespeicherte Benutzernamen sind nur verfügbar und Kennwörter werden nur dann automatisch eingetragen, wenn derselbe Windows-Anwender auf demselben PC eingeloggt ist und sich bei derselben Steuerung anmeldet. |
Zum Speichern der Anmeldedaten markieren Sie in der Anmeldemaske (oder in der Maske zum Ändern des Kennworts) das Kästchen 'Anmeldedaten speichern', bevor Sie <Eingabe> drücken oder auf das Anmeldesymbol klicken:
Dabei gilt Folgendes:
- Die Kennwörter werden in einer Datei verschlüsselt gespeichert.
- Das Speichern der Kombination aus Benutzername und Kennwort erfolgt Windows-anwenderspezifisch und PC-abhängig. D.h. es wird für jeden Windows-Anwender auf jedem PC eine separate Aufbewahrungsdatei angelegt.
- Gespeicherte Anmeldedaten können auch nach dem Ändern der Windows-Anmeldedaten weiter verwendet werden.
- Wenn Sie ein automatisch eingetragenes Kennwort ändern während das Kästchen 'Anmeldedaten speichern' markiert ist, dann wird das gespeicherte Kennwort durch das neu eingegebene ersetzt.
- Wenn Sie die Anmeldemaske bestätigen während das Kästchen 'Anmeldedaten speichern' nicht markiert ist, werden alle gespeicherten Anmeldedaten gelöscht.
PLCnext Engineer ermöglicht das Löschen aller Benutzername/Kennwort-Kombinationen, die unter Ihrem Windows Account gespeichert sind:
- Wählen Sie 'Extras > Optionen'.
- Im 'Optionen'-Dialog öffnen Sie die Kategorie 'Administration | Kennwort-Manager' und klicken dort auf 'Löschen'.
Schildsymbol in der ANLAGE zeigt den Anmeldestatus an
Das Schildsymbol neben dem Steuerungssymbol in der ANLAGE zeigt den Login-Status an:
 (schwarz) | nicht angemeldet bei der Steuerung |
 (grün) | bei der Steuerung angemeldet |
 | Ungesicherte Verbindung nach einem Authentifizierungsfehler während des Verbindungsaufbaus und nachdem Sie PLCnext Engineer instruiert haben, die Verbindung trotzdem herzustellen.
Lesen siehe hierzu den Abschnitt "Akzeptieren eines abgelehnten Steuerungszertifikats...". |
Beachten Sie Folgendes:
- Wenn Sie die Maus über das Steuerungssymbol bewegen, erscheint ein Tooltip mit den Anmeldeinformationen.
- Während die Authentifizierungsmaske für die Anmeldung geöffnet ist, ist das Schild orange.
- Wird kein Schildsymbol neben dem Steuerungssymbol angezeigt, implementiert die Steuerung das hier beschriebene Security-Konzept nicht.
- Während Sie auf der Steuerung angemeldet sind, führt eine unerwartete Verbindungstrennung zu einer automatischen Abmeldung, die durch die Desktop-Benachrichtigung "Anmeldeinformationen gelöscht" angezeigt wird. In diesem Fall müssen Sie sich wie nachfolgend beschrieben erneut anmelden.
Während der Simulationsmodus in PLCnext Engineer aktiv ist (im Cockpit ist als Target die Steuerungssimulation ausgewählt), erscheint in der ANLAGE der Knoten 'Simulation' anstelle des Steuerungsknotens. Das Schildsymbol neben dem Knoten unterscheidet sich von dem Schild, welches die Verbindung zur echten Steuerung anzeigt.
Security-Einstellungen
Bei PLCnext Technology-Steuerungen, die ein Security-Konzept unterstützen, ist in den 'Einstellungen' der Steuerung der Editor 'IT-Sicherheit' verfügbar.
- Doppelklicken Sie in der ANLAGE auf die Steuerung, um deren Eigenschaften im Editorenbereich zu öffnen.
- Öffnen Sie im Editorenbereich den Editor 'Einstellungen'.
Beispiel
In der aktuellen Version sind die Security-Einstellungen schreibgeschützt und zeigen das implementierte Sicherheitsprotokoll, die Authentifizierungsmethode und die Sicherheitsversion an.
TLS-Sicherheitsprotokoll
TLS bedeutet Transport Layer Security und ist ein hybrides Verschlüsselungsprotokoll zur sicheren Datenübertragung im Internet.
TLS ist besser bekannt als SSL (Secure Sockets Layer). SSL ist der Vorgänger von TLS mit der neuesten Version 3.0. Nach dieser Version wurde SSL weiterentwickelt und unter dem Namen TLS veröffentlicht. Bekannte Implementierungen des TLS/SSL-Protokolls sind OpenSSL und GnuTLS.
Was möchten Sie tun?
Benutzerrolle und Steuerungskennwort definieren/bearbeiten
Benutzerrollen werden nicht in PLCnext Engineer definiert. Um eine Benutzerrolle zu erstellen oder zu bearbeiten und sie mit Zugriffsrechten zu versehen, melden Sie sich über die WBM-Schnittstelle (Web-based Management) auf der Steuerung an und bearbeiten Sie die Benutzerrolle direkt auf der Steuerung.
Auf der Steuerung anmelden (anmelden = verbinden)
Wenn Sie nicht auf der Steuerung angemeldet sind (schwarzes Schild neben dem Steuerungssymbol in der ANLAGE), öffnet das Ausführen eines Befehls, der eine Anmeldung erfordert, automatisch die Anmeldemaske zur Authentifizierung. Dies kann z.B. der Befehl 'Verbinden' oder 'Projekt schreiben und starten' sein oder das Aktivieren des Debug-Modus.
Sie können sich auch anmelden, indem Sie in der ANLAGE auf das Steuerungssymbol rechtsklicken und den Befehl 'Anmelden/Abmelden' auswählen oder das Cockpit öffnen und dort das gleichnamige Symbol anklicken.
So öffnen Sie das 'Cockpit'
- Doppelklicken Sie in der ANLAGE auf die Steuerung, um deren Eigenschaften im Editorenbereich zu öffnen.
- Öffnen Sie im Editorenbereich den 'Cockpit'-Editor.
Im Falle eines Authentifizierungsfehlers erscheint ein Dialog, in dem Sie PLCnext Engineer instruieren können, die Verbindung trotzdem herzustellen. Lesen siehe hierzu den Abschnitt "Akzeptieren eines abgelehnten Steuerungszertifikats...".
Nach der erfolgreichen Authentifizierung (oder nach dem Akzeptieren einer ungesicherten Verbindung) erscheint die Anmeldemaske.
Wählen Sie in der Anmeldemaske aus der Auswahlliste einen zuvor gespeicherten Benutzernamen. Das zugehörige Kennwort wird dann automatisch eingetragen. Weitere Informationen finden Sie im Abschnitt "Speichern der Anmeldedaten...".
Falls noch keine Anmeldedaten gespeichert sind: Geben Sie den Benutzernamen der gewünschten und passenden Benutzerrolle (mit ausreichenden Rechten) sowie das entsprechende Kennwort ein. Markieren Sie das Kästchen 'Anmeldedaten speichern', wenn Sie die Kombination aus Benutzername und Kennwort für zukünftige Anmeldevorgänge lokal auf Ihrem PC speichern möchten.
Drücken Sie <Eingabe> oder klicken Sie auf folgendes Symbol, um sich anzumelden:
Das Anmelden bei der Steuerung baut wie der Befehl 'Verbinden' automatisch die Kommunikationsverbindung auf.
- Wenn Sie die Anmeldemaske beenden, indem Sie außerhalb der Maske oder auf das
-Symbol klicken, werden Sie nicht angemeldet und der Befehl wird nicht ausgeführt. Dasselbe gilt, wenn Sie eine falsche Kombination aus Benutzernamen und Kennwort eingeben. Es erscheint eine entsprechende Desktop-Benachrichtigung (z.B. "Fehlende Anmeldeinformationen").
- Wenn die eingegebene Benutzerrolle nicht genügend Rechte für den auszuführenden Befehl besitzt, erscheint eine entsprechende Desktop-Benachrichtigung. Sie sind dann zwar angemeldet, der Befehl wird aber nicht ausgeführt.
Solange Sie bei der Steuerung angemeldet sind, ist das Schild neben dem Steuerungssymbol in der ANLAGE grün dargestellt . Wenn Sie die Maus über das Steuerungssymbol bewegen, erscheint ein Tooltip mit den Anmeldeinformationen.
Beispiel:
Falls während des Verbindungsaufbaus ein Authentifizierungsfehler auftrat und Sie PLCnext Engineer angewiesen haben, die Verbindung trotzdem herzustellen, wird die "ungesicherte" Verbindung durch folgendes Schildsymbol angezeigt:
Lesen siehe hierzu den Abschnitt "Akzeptieren eines abgelehnten Steuerungszertifikats...".
Sie bleiben angemeldet,
- bis Sie sich abmelden
- oder Sie wegen Inaktivität automatisch abgemeldet werden
- oder das Projekt schließen
- oder bis die Kommunikationsverbindung unbeabsichtigt unterbrochen wird und Neuverbinden unmöglich ist.
Weitere Informationen zum Abmelden von der Steuerung finden Sie im nachfolgenden Abschnitt.
Benutzerrolle wechseln
Das Wechseln der Benutzerrolle entspricht dem Abmelden von der aktuellen Rolle und Anmelden mit einer anderen Rolle.
- Um die Benutzerrolle zu wechseln, rechtsklicken Sie in der ANLAGE auf das Steuerungssymbol und wählen 'Benutzer wechseln...' aus dem Kontextmenü. Der Befehl ist auch als Schaltfläche im Cockpit der Steuerung verfügbar:
Es erscheint die Anmeldemaske.
- Wählen Sie in der Anmeldemaske aus der Auswahlliste einen zuvor gespeicherten Benutzernamen. Das zugehörige Kennwort wird dann automatisch eingetragen. Weitere Informationen finden Sie im Abschnitt "Speichern der Anmeldedaten...".Falls noch keine Anmeldedaten gespeichert sind: Geben Sie den Benutzernamen der gewünschten und passenden Benutzerrolle (mit ausreichenden Rechten) sowie das entsprechende Kennwort ein. Markieren Sie das Kästchen 'Anmeldedaten speichern', wenn Sie die Kombination aus Benutzername und Kennwort für zukünftige Anmeldevorgänge lokal auf Ihrem PC speichern möchten.Drücken Sie <Eingabe> oder klicken Sie auf folgendes Symbol, um sich anzumelden:
Wenn Sie die Anmeldemaske schließen, indem Sie außerhalb der Maske oder auf das -Symbol klicken, oder wenn Sie eine nicht existierende Benutzerrolle oder ein falsches Kennwort eingeben, wird die Benutzerrolle nicht gewechselt.
In diesem Fall erscheint eine Desktop-Benachrichtigung, die Sie über den gescheiterten Rollenwechsel informiert.
Kennwort des aktuell bei der Steuerung angemeldeten Benutzers ändern
Um das Kennwort des aktuell bei der Steuerung angemeldeten Benutzers zu ändern, gehen Sie folgendermaßen vor:
- Rechtsklicken Sie in der ANLAGE auf den Steuerungsknoten und wählen Sie 'Kennwort ändern' aus dem Kontextmenü. Der Befehl ist auch als Schaltfläche im Cockpit der Steuerung verfügbar:
Es erscheint die Maske zum Ändern des Kennworts.
- Geben Sie den Benutzernamen, das aktuelle Kennwort sowie das neue Kennwort ein. (Mit dem "Auge"-Symbol können Sie das eingegebene Kennwort anzeigen.) Geben Sie das gewünschte neue Kennwort in das letzte Feld ein.
- Markieren Sie das Kästchen 'Anmeldedaten speichern', wenn Sie die Kombination aus Benutzername und Kennwort für zukünftige Anmeldevorgänge lokal auf Ihrem PC speichern möchten. Weitere Informationen hierzu finden Sie im Abschnitt "Speichern der Anmeldedaten...".
- Bestätigen Sie, indem Sie auf den Pfeil rechts neben dem letzten Feld klicken.Sie können die Operation abbrechen, indem Sie außerhalb der Maske klicken oder das Schließen-Symbol in der rechten oberen Ecke der Maske verwenden.
Von der Steuerung abmelden (abmelden = Verbindung trennen)
Es gibt einen Befehl zum Abmelden im Kontextmenü des Steuerungssymbols in der ANLAGE sowie im Cockpit:
Öffnen des Cockpits:
- Doppelklicken Sie in der ANLAGE auf die Steuerung, um deren Eigenschaften im Editorenbereich zu öffnen.
- Öffnen Sie im Editorenbereich den 'Cockpit'-Editor.
Durch das Abmelden wird PLCnext Engineer automatisch von der Steuerung getrennt, d.h. die Kommunikationsverbindung wird beendet.
Hinweis
Während Sie auf der Steuerung angemeldet sind, führt eine unerwartete Verbindungstrennung zu einer automatischen Abmeldung, die durch die Desktop-Benachrichtigung "Anmeldeinformationen gelöscht" angezeigt wird. In diesem Fall müssen Sie sich wie nachfolgend beschrieben erneut anmelden. |
Während Sie von der Steuerung abgemeldet sind, ist das Schild neben dem Steuerungssymbol schwarz:
