Skip to main content

Gestión de usuarios en el PLC

Uso de una contraseña, una política de contraseñas y un bloqueo de inicio de sesión

La contraseña es el tipo más simple de protección de acceso.

Configuración de una contraseña, cambio de contraseña, uso de un administrador de contraseñas

Los usuarios del dispositivo necesitan el Nombre de usuario y Contraseña configurado en el Gestión de usuarios de dispositivos para iniciar sesión en el controlador. Los usuarios del dispositivo que hayan iniciado sesión pueden cambiar su contraseña utilizando el En líneaSeguridadCambiar contraseña del dispositivo Usuario comando. Nota: Actualmente, un usuario todavía requiere permiso de lectura para la administración de usuarios del dispositivo.

Puede guardar la contraseña para iniciar sesión con un usuario del dispositivo en administrador de contraseñas. _cds_icon_password_manager.png el botón está disponible en Device User Logon cuadro de diálogo. Para usar el administrador de contraseñas, consulte: Cómo: Proteger un proyecto con contraseña

Gestión de la política de contraseñas y el bloqueo de inicio de sesión

Al usar una política de contraseñas y un bloqueo de inicio de sesión, puede asegurarse de que las credenciales del controlador estén configuradas de la manera más segura posible y de que los atacantes no puedan adivinar las credenciales intentándolas repetidamente.

Importante

De forma predeterminada, la política de contraseñas está habilitada y no se recomienda deshabilitarla. La configuración se puede editar en el editor del dispositivo tal y como se describe a continuación. La entrada correspondiente para la activación en el archivo de configuración del dispositivo es:

[CmpUserMgr] 
SECURITY.UserMgmt.PasswordPolicy=ENABLED
procedimiento. Cambiar la política de contraseñas

  1. En el árbol de dispositivos, haga doble clic en el mando.

    Se abre el editor de dispositivos. Configuración de comunicación se muestra la pestaña.

  2. En el encabezado, haga clic en Escanear red botón. En el Seleccione el dispositivo cuadro de diálogo, seleccione el dispositivo deseado. A continuación, haga clic OK.

    Se establece la ruta activa al controlador.

  3. En el Dispositivo menú, haga clic en Cambie la política de contraseñas del sistema Runtime comando. Nota: El menú de comandos solo está activo cuando no ha iniciado sesión.

  4. En el Cambiar la política de contraseñas del sistema Runtime cuadro de diálogo, puede cambiar la configuración predeterminada del bloqueo de inicio de sesión o deshabilitar el bloqueo de inicio de sesión (El bloqueo de inicio de sesión está activo opción). Para obtener más información, consulte: Cuadro de diálogo: Cambiar la política de seguridad en tiempo de ejecución

    De forma predeterminada, se habilita un bloqueo de inicio de sesión para Administrator grupo de usuarios porque este grupo de usuarios debe cumplir con criterios de seguridad más estrictos y también debería estar mejor protegido. Cuando se supere el número máximo de intentos de inicio de sesión, el usuario quedará bloqueado durante el tiempo configurado (3600 segundos de forma predeterminada). Para desbloquear a un usuario bloqueado, consulta las instrucciones que aparecen a continuación

  5. Haga clic OK para confirmar los cambios realizados.

    El bloqueo de inicio de sesión configurado se aplica inmediatamente al iniciar sesión en la administración de usuarios del dispositivo para los usuarios del grupo de usuarios seleccionado en el Alcance.

    Cuando el número de intentos de inicio de sesión especificado en Número máximo de reintentos si se supera este campo, el usuario permanecerá bloqueado durante el tiempo especificado en el Duración del bloqueo campo.

. Desbloquear un usuario bloqueado

Una vez que el bloqueo de inicio de sesión haya bloqueado a un usuario durante un período de tiempo específico, puede volver a desbloquearlo mediante una de las siguientes opciones alternativas:

  • Un administrador o un miembro de un grupo de usuarios con permiso de escritura para el grupo de usuarios del usuario bloqueado asigna una nueva contraseña al usuario.

  • Reinicie el sistema de ejecución.

Configuración de un inicio de sesión interactivo

Si el dispositivo de destino lo admite, puede habilitar un interactivo Modo de inicio de sesión para evitar que el usuario inicie sesión accidentalmente en el dispositivo de destino incorrecto.

  • En el árbol de dispositivos, seleccione el objeto del dispositivo y, en el menú contextual, abra el Propiedades cuadro de diálogo. Cambie al Opciones pestaña.

    Si el dispositivo de destino lo admite, hay varios modos de inicio de sesión interactivos disponibles.

Para obtener más información sobre el cuadro de diálogo, consulte: Diálogo: Propiedades: Opciones

Cómo: Gestionar la administración de usuarios y los permisos del dispositivo

Para los dispositivos que admiten la administración de usuarios de dispositivos, el editor de dispositivos incluye Usuarios y grupos y Derechos de acceso pestañas. Si el dispositivo lo ofrece, aquí puede ver la administración de usuarios del dispositivo y editarla en modo de sincronización (no en modo en línea). Aquí puede conceder o denegar permisos específicos en el controlador a los grupos de usuarios definidos. A continuación, los usuarios necesitan las credenciales definidas aquí para iniciar sesión en el controlador.

La gestión de usuarios del dispositivo ya se puede configurar en la descripción del dispositivo.

Nota

Para CODESYS Control for <device> SL con la versión >= 3.5 SP17, la administración de usuarios es impuesta como política de comunicación por defecto. Para las versiones anteriores que se remontan a la 3.5 SP14, debe habilitarse y aplicarse de forma explícita. Incluso las versiones anteriores solo ofrecen una gestión de usuarios muy sencilla

Sugerencia

Tenga en cuenta los comandos en el En línea → Seguridad. Puede agregar, editar o eliminar fácilmente una cuenta de usuario en el controlador donde está conectado actualmente.

Sugerencia

Para que Derechos de acceso pestaña que estará disponible en el editor del dispositivo, la correspondiente CODESYS la opción debe estar habilitada en el editor del dispositivo y desbloqueada en la descripción del dispositivo. Si el cuadro de diálogo del editor del dispositivo no está disponible, póngase en contacto con el proveedor del controlador

Los permisos solo se pueden conceder a grupos, no a usuarios individuales. Por lo tanto, todos los usuarios deben ser miembros de un grupo. Hay grupos de usuarios predeterminados predefinidos (consulte a continuación). Estos y otros grupos y usuarios se configuran en el editor de dispositivos del Usuarios y grupos pestaña. Una vez configurada la administración de usuarios en el controlador, puede configurar los permisos para acceder a él.

Si la administración de usuarios de un dispositivo aún no está «activa», se puede habilitar mediante una de las siguientes acciones:

Sugerencia

Para el CODESYS Control dispositivos, se aplica una gestión de usuarios de forma predeterminada.

Grupos de usuarios predeterminados en la administración de usuarios del dispositivo de CODESYS Control

Existen los siguientes grupos de usuarios predefinidos:

  • Administrador: todos los permisos.

    Cuando inicie sesión en el PLC por primera vez, se le indicará que habilite la administración de usuarios del dispositivo y, a continuación, que cree un usuario en ¿Administrador grupo. Como este usuario, puede configurar usuarios y grupos adicionales y conceder permisos.

  • Desarrollador: permisos de descarga, cambio en línea, depuración y forzamiento

  • Servicio: copia de seguridad y restauración de la aplicación IEC, actualización de la aplicación IEC (transferencia de proyectos de arranque), pero sin programación ni depuración de la aplicación IEC

  • Ver: Solo lectura

Permisos

Se pueden otorgar derechos de acceso para las siguientes acciones que se ejecutan en los objetos individuales del controlador:

  • Agregar eliminar

  • Modificar

  • Vista

  • Ejecutar

Un objeto en el controlador generalmente se asigna a un solo componente del controlador.

Cada objeto puede usar todas las acciones enumeradas, pero normalmente solo se necesitan los permisos para las siguientes acciones en un objeto:

  • Vista

  • Modificar

Los objetos están organizados en una estructura de árbol. Hay dos objetos raíz para los dos tipos de objetos:

  • Laufzeitsystemobjekte → Device: Estos objetos administran todos los objetos que tienen acceso en línea al controlador y, por lo tanto, deben controlar los derechos de acceso. También hay un objeto Dispositivo → Administración de usuarios y un objeto debajo de cada uno Access Rights, un objeto Groups y un objeto Users. Debajo del objeto Groups Hay todos los grupos de usuarios definidos a los que, a continuación, se pueden asignar las autorizaciones para los grupos de usuarios. Para obtener más información, consulte Descripción general de los objetos.

  • File system objects → /: En estos objetos, los permisos se pueden conceder a las carpetas del directorio de ejecución actual del controlador.

Los objetos secundarios heredan los derechos de acceso del objeto raíz (también Device o "/"). Si se deniega o se otorga explícitamente un permiso de un grupo de usuarios a un objeto principal, esto afecta a todos los objetos secundarios.

Se puede conceder o denegar explícitamente un solo permiso (signo más verde o signo menos rojo) o permanecer "neutral" (carácter gris claro). Neutral significa que el permiso no se ha concedido ni denegado explícitamente. En este caso, se aplica el permiso del objeto padre.

Si no se ha concedido o denegado ningún permiso explícitamente en toda la jerarquía del objeto, por definición se deniega. Como resultado, todos los permisos se niegan inicialmente (excepción: el derecho de acceso para el View acción). Inicialmente, este permiso se otorga explícitamente para cada grupo de usuarios tanto en el Device objeto de tiempo de ejecución, así como en el "/" objeto del sistema de archivos. Esto permite el acceso de lectura a todos los objetos, a menos que se niegue explícitamente en los objetos secundarios.

Para obtener una tabla general de los objetos, consulte: Pestaña: Derechos de acceso.

Consulte las siguientes instrucciones para trabajar en el editor para la administración de usuarios de dispositivos:

Inicio de sesión por primera vez en el controlador para editar o ver su gestión de usuarios

Requisito: La conexión al controlador está configurada. El controlador admite la administración de usuarios de un dispositivo, pero uno aún no está activo.

  1. Primero configure la comunicación con el controlador como «cifrada» para que no revele ninguna credencial a otros participantes de la red al transferir la administración de usuarios. Esto es posible en el editor de dispositivos del Ajustes de comunicación pestaña o en la Pantalla de seguridad vista. Para obtener más información, consulte: Cómo: Cifrar la comunicación con un certificado y cambiar la política de seguridad.

  2. En el árbol de dispositivos, haga doble clic en el objeto del controlador y, en el editor de dispositivos, seleccione Usuarios y grupos pestaña. Haga clic en _rdncy_icon_update_framed.png botón.

    Se abre un cuadro de diálogo que indica si la administración de usuarios del dispositivo debe ser activado.

  3. Hacer clic para confirmar el mensaje de diálogo.

    El Agregar usuario de dispositivo se abre el cuadro de diálogo.

  4. Ahora cree un usuario del dispositivo para editar la administración de usuarios como este usuario. En este caso, solo el Administrador el grupo está disponible. Defina un Nombre y Contraseña para el usuario. Se muestra la seguridad de la contraseña. Tenga en cuenta también las opciones configuradas en relación con el cambio de contraseña. De forma predeterminada, el usuario puede cambiar la contraseña en cualquier momento. Utilice el _cds_icon_password_manager.png botón para almacenar las credenciales en el administrador de contraseñas.

    Haga clic OK para confirmar.

    El Inicio de sesión de usuario del dispositivo se abre el cuadro de diálogo.

  5. Especifique un Nombre de usuario y Contraseña para el usuario que acaba de definir.

    Después de hacer clic OK para confirmar, la administración de usuarios del dispositivo se muestra en la vista del editor. Contiene el usuario del Administrator grupo que acabas de definir. El nombre de usuario también se muestra en la barra de tareas de la ventana Usuario del dispositivo.

Configuración de un nuevo usuario en la gestión de usuarios del controlador

Requisito: El controlador tiene una gestión de usuarios de dispositivos. Tienes los datos de acceso correspondientes.

  1. En el árbol de dispositivos, haga doble clic en el objeto del dispositivo controlador. Seleccione el Usuarios y grupos pestaña.

  2. Haga clic en el _rdncy_icon_update_framed.png (Sincronización) para cargar la configuración de gestión de usuarios desde el controlador al editor. Si aún no ha iniciado sesión en el dispositivo, entonces el Inicio de sesión de usuario del dispositivo Se abre el cuadro de diálogo para introducir el nombre de usuario y la contraseña.

    En el editor se muestra la configuración de gestión de usuarios del dispositivo.

  3. En el Usuarios ver, hacer clic Agregar.

    El Agregar usuario se abre el cuadro de diálogo.

  4. Especifique el nombre del nuevo usuario y asígnelo a un grupo. Esto cuenta como el "grupo predeterminado" mínimo requerido por el usuario. El usuario puede ser asignado a otros grupos más tarde. Definir y confirmar un Contraseña para el usuario Defina si el usuario puede cambiar la contraseña y si el usuario tiene que cambiar la contraseña en el primer inicio de sesión. Hacer clic OK para confirmar.

    El nuevo usuario aparece en la Usuarios ver como un nuevo nodo y en el Grupos ver como una nueva subentrada del grupo predeterminado seleccionado.

Sugerencia

De acuerdo con estas instrucciones, también se pueden agregar nuevos grupos de usuarios en el Grupos vista. Se crea automáticamente un objeto de sistema en tiempo de ejecución para cada grupo de usuarios y se muestra en el Derechos de acceso pestaña debajo de la UserManagement objeto. Esto permite configurar grupos de administradores graduados o restringidos. Por ejemplo, se puede configurar un grupo de administradores de visualización que solo puede agregar usuarios existentes al grupo de usuarios de visualización, pero no puede crear nuevos usuarios ni cambiar las contraseñas de los usuarios existentes.

Para obtener más información, consulte: Descripción general de los objetos.

Modificación de los derechos de acceso a los objetos del controlador en la gestión de usuarios del controlador

Requisito: El controlador tiene una gestión de usuarios de dispositivos. Tienes los datos de acceso correspondientes.

  1. En el árbol de dispositivos, haga doble clic en el objeto del dispositivo controlador. Haga clic en Derechos de acceso pestaña.

  2. Haga clic en el _rdncy_icon_update_framed.png (Sincronización) para cargar la configuración de gestión de derechos desde el controlador al editor. Si aún no ha iniciado sesión en el dispositivo, entonces el Inicio de sesión de usuario del dispositivo Se abre el cuadro de diálogo para introducir los datos de acceso.

    La configuración de permisos del dispositivo se muestra en el editor.

    _cds_img_device_user_management_access_rights.png

  3. Seleccione el objeto cuyo derecho de acceso desea cambiar a la izquierda en el árbol de objetos.

    En el permisos vista, una tabla muestra los permisos para este objeto para todos los grupos de usuarios configurados.

  4. Haga doble clic en el lado derecho de la tabla que desea cambiar.

    Si el objeto tiene objetos secundarios, aparecerá un cuadro de diálogo que le preguntará si desea modificar los permisos de los objetos secundarios.

  5. Hacer clic o No para cerrar el aviso.

    Los permisos se cambian de _cds_icon_grant.png "Concedido a _cds_icon_right_denied.png "denegado", o al revés. El símbolo en la celda de la tabla cambia en consecuencia. Los permisos establecidos explícitamente aparecen en la tabla como símbolos verdes o rojos. Los derechos que se heredan de un objeto principal aparecen como símbolos grises.

Transferencia y habilitación de una gestión de usuarios guardada en modo fuera de línea desde un archivo DUM2 a un controlador

Sugerencia

En V3.5 SP16 y superior, se utiliza un archivo (*.dum2) para cifrar con una contraseña para exportar una gestión de usuarios.

  1. Haga doble clic en el objeto del dispositivo controlador en el árbol de dispositivos.

    Se abre el editor de dispositivos.

  2. Haga clic en el Usuarios y Grupos pestaña.

  3. Haga clic en el _cds_icon_open_file_framed.png botón.

    Se abre el cuadro de diálogo para seleccionar un archivo del sistema de archivos local.

  4. Seleccione el archivo (<file name>.dum2) con la gestión de usuarios deseada desde el sistema de archivos local y haga clic en Abierto para confirmar.

    El Introducir la contraseña se abre el cuadro de diálogo.

  5. Especifique la contraseña que se asignó cuando se exportó el archivo de administración de usuarios (posible mediante el _cds_icon_save_to_disc_framed.png botón).

    ATENCIÓN: La importación de una gestión de usuarios de dispositivos mediante un *.dum2 El archivo sobrescribe por completo la administración de usuarios existente en el dispositivo. Para volver a iniciar sesión en el dispositivo después, necesita datos de autenticación de la administración de usuarios importada recientemente.

    Cuando la contraseña se ingresa correctamente, la configuración del archivo de administración de usuarios descargado ahora se muestra en la vista del editor.

  6. Edita la configuración como quieras. Por ejemplo, cambie la contraseña del usuario o agregue un nuevo usuario.

    Cada cambio se descarga inmediatamente en el dispositivo.

Desactivación de la administración de usuarios

Importante

Tras deshabilitar la administración de usuarios, todos los miembros de la red del controlador volverán a tener acceso a su controlador. Por lo tanto, solo debe hacerlo en casos excepcionales justificados o si los clientes utilizados no admiten la administración de usuarios

Sugerencia

Para habilitar la administración de usuarios, al menos un CODESYS Es necesario el sistema de desarrollo V3.5 SP16. Esto significa que, en el caso de una administración de usuarios forzada que aún no esté habilitada, no podrá conectarse a un sistema de desarrollo anterior

Para restablecer una administración de usuarios activa y forzada a «Opcional», proceda de la siguiente manera:

  1. En el árbol de dispositivos, haga doble clic en el mando. En el Configuración de comunicación pestaña, haga clic Escanear red y, a continuación, conéctese a su mando.

  2. En el Configuración de comunicación pestaña, selecciona la DispositivoCambiar la política de seguridad en tiempo de ejecución comando. Nota: El menú solo está disponible mientras no haya iniciado sesión en el dispositivo.

  3. En el Cambiar la política de seguridad en tiempo de ejecución cuadro de diálogo, en el Administración de usuarios de dispositivos área, seleccione Administración de usuarios opcional como Nueva política y haga clic OK.

    La política de seguridad para la administración de usuarios de dispositivos se establece en «Opcional».

  4. Conéctese al controlador y al En línea haga clic en el menú Restablecer el dispositivo Origin comando. Esto elimina la administración de usuarios aún activa y configura la configuración de que el controlador solo debe tener una administración de usuarios opcional. Nota: CODESYS Con la versión 3.5.16.20 y versiones posteriores, puedes excluir la aplicación de arranque de la operación de eliminación cuando la ejecutes Restablecer el dispositivo Origin.

Restablecer la administración de usuarios en los grupos de usuarios predefinidos por CODESYS y sus permisos predefinidos

  1. Establezca una conexión con el controlador.

  2. Abra el Derechos de acceso pestaña. En primer lugar, compruebe si el grupo de usuarios correspondiente (por ejemplo, el Administrador grupo) tiene al menos el Ver y Añadir/eliminar permisos en el Device objeto. (El Device el objeto es el nodo superior del árbol de permisos del objetos de tiempo de ejecución). Si el grupo de usuarios no tiene estos permisos, conceda estos permisos al grupo de usuarios. Si este grupo aún no tiene un usuario, asigne un usuario al grupo.

  3. En el menú contextual del mando, en el árbol de dispositivos, seleccione Restablecer el dispositivo Origin comando para restablecer la administración de usuarios. Es posible que tenga que volver a iniciar sesión en el controlador. En este caso, utilice un usuario del grupo configurado en el paso 2.

  4. Ahora, la próxima vez que inicie sesión en el controlador, los grupos y los permisos predeterminados se restaurarán al crear un usuario en el Administrador grupo por primera vez.

En esta sección: