Skip to main content

Gestione degli utenti sul PLC

Utilizzo di una password, una politica sulla password e un blocco di accesso

Una password è il tipo più semplice di protezione dell'accesso.

Configurazione di una password, modifica di una password, utilizzo di un gestore di password

Gli utenti del dispositivo hanno bisogno del Nome utente E Password configurato nel Gestione utenti del dispositivo per accedere al controller. Gli utenti del dispositivo che hanno effettuato l'accesso possono cambiare la propria password utilizzando il OnlineSicurezzaCambiare la password dell'utente del dispositivo comando. Nota: attualmente, un utente necessita ancora dell'autorizzazione di lettura per la gestione degli utenti del dispositivo.

È possibile memorizzare la password per l'accesso di un utente del dispositivo nel gestore di password. _cds_icon_password_manager.png il pulsante è disponibile in Device User Logon finestra di dialogo. Per utilizzare il gestore di password, consulta: Come proteggere con password un progetto

Gestione della politica delle password e del blocco dell'accesso

Utilizzando una politica di password e un blocco di accesso, puoi assicurarti che le credenziali del controller siano configurate nel modo più sicuro possibile e che gli aggressori non possano indovinare le credenziali provando ripetutamente.

Importante

Per impostazione predefinita, è abilitata una politica relativa alle password e non è consigliabile disabilitarla. Le impostazioni possono essere modificate nell'editor del dispositivo come descritto di seguito. La voce corrispondente per l'abilitazione nel file di configurazione del dispositivo è

[CmpUserMgr] 
SECURITY.UserMgmt.PasswordPolicy=ENABLED
Procedura. Modifica della politica sulla password

  1. Nell'albero dei dispositivi, fate doppio clic sul controller.

    Si apre l'editor dei dispositivi. Impostazioni di comunicazione viene visualizzata la scheda.

  2. Nell'intestazione, fai clic su Scansiona la rete pulsante. Seleziona dispositivo finestra di dialogo, seleziona il dispositivo desiderato. Quindi fai clic OK.

    Il percorso attivo verso il controller è impostato.

  3. Nel Dispositivo menu, fai clic su Modifica la politica delle password del sistema Runtime comando. Nota: il menu dei comandi è attivo solo quando non si è connessi

  4. Nel Modifica la politica delle password del sistema Runtime finestra di dialogo, è possibile modificare le impostazioni predefinite per il blocco dell'accesso o disabilitare il blocco dell'accesso (Il blocco dell'accesso è attivo opzione). Per ulteriori informazioni, vedere: Finestra di dialogo: Modifica la politica di sicurezza del runtime

    Per impostazione predefinita, è abilitato un blocco di accesso per Administrator gruppo di utenti perché questo gruppo di utenti deve soddisfare criteri di sicurezza più elevati e dovrebbe anche essere protetto meglio. Quando viene superato il numero massimo di tentativi di accesso, l'utente verrà bloccato per il periodo di tempo configurato (3600 secondi per impostazione predefinita). Per sbloccare un utente bloccato, consulta le istruzioni riportate di seguito

  5. Clicca OK per confermare le modifiche apportate.

    Il blocco di accesso configurato viene applicato immediatamente quando si accede alla gestione degli utenti del dispositivo per gli utenti del gruppo di utenti selezionato nella Ambito.

    Quando il numero di tentativi di accesso specificato nella Numero massimo di tentativi se il campo viene superato, l'utente verrà bloccato per il periodo di tempo specificato nella Durata del blocco campo.

. Sbloccare un utente bloccato

Dopo che un utente è stato bloccato per un determinato periodo di tempo dal blocco dell'accesso, puoi sbloccarlo nuovamente utilizzando una delle seguenti opzioni alternative:

  • Un amministratore o un membro di un gruppo di utenti con autorizzazione di scrittura per il gruppo di utenti dell'utente bloccato assegna una nuova password per l'utente.

  • Riavviare il sistema runtime.

Configurazione di un login interattivo

Se supportato dal dispositivo di destinazione, puoi abilitare un interattivo Modalità di accesso per evitare che l'utente acceda accidentalmente al dispositivo di destinazione sbagliato.

  • Nell'albero dei dispositivi, selezionate l'oggetto del dispositivo e nel menu contestuale aprite il Proprietà dialogo. Passa a Opzioni scheda.

    Se supportate dal dispositivo di destinazione, sono disponibili varie modalità di accesso interattive.

Per ulteriori informazioni sulla finestra di dialogo, vedere: Finestra di dialogo: Proprietà: Opzioni

Come fare: Gestire gli utenti e le autorizzazioni per il dispositivo

Per i dispositivi che supportano la gestione degli utenti dei dispositivi, l'editor dei dispositivi include Utenti e gruppi e Diritti di accesso schede. Se offerta dal dispositivo, è possibile visualizzare qui la gestione degli utenti del dispositivo e modificarla in modalità sincronizzazione (non in modalità online). Qui è possibile concedere o negare autorizzazioni specifiche sul controller ai gruppi di utenti definiti. Quindi gli utenti hanno bisogno delle credenziali definite qui per accedere al controller

La gestione degli utenti del dispositivo può già essere impostata nella descrizione del dispositivo.

Nota

Per CODESYS Control for <device> SL con la versione >= 3.5 SP17, la gestione degli utenti è applicato come politica di comunicazione di default. Per le versioni precedenti alla 3.5 SP14, deve essere abilitato e applicato in modo esplicito. Anche le versioni precedenti offrono solo una gestione degli utenti molto semplice

Suggerimento

Nota i comandi in In linea → Sicurezza. Puoi facilmente aggiungere, modificare o rimuovere un account utente sul controller a cui sei attualmente connesso.

Suggerimento

Affinché il Diritti di accesso la scheda sarà disponibile nell'editor del dispositivo, la corrispondente CODESYS l'opzione deve essere abilitata nell'editor del dispositivo e sbloccata nella descrizione del dispositivo. Se la finestra di dialogo dell'editor del dispositivo non è disponibile, contatta il fornitore del controller

Le autorizzazioni possono essere concesse solo ai gruppi, non ai singoli utenti. Pertanto, ogni utente deve essere membro di un gruppo. Esistono gruppi di utenti predefiniti (vedi sotto). Questi e altri gruppi e utenti sono configurati nell'editor dei dispositivi in Utenti e gruppi scheda. Dopo aver impostato la gestione degli utenti sul controller, è possibile configurarne le autorizzazioni

Se la gestione degli utenti di un dispositivo non è ancora «attiva», può essere abilitata mediante una delle seguenti azioni:

Suggerimento

Per il CODESYS Control dispositivi, per impostazione predefinita viene applicata una gestione degli utenti.

Gruppi di utenti predefiniti nella gestione degli utenti del dispositivo di CODESYS Control

Esistono i seguenti gruppi di utenti predefiniti:

  • Amministratore: tutte le autorizzazioni.

    Quando si accede al PLC per la prima volta, viene richiesto di abilitare la gestione degli utenti del dispositivo e quindi creare un utente nel Amministratore gruppo. In qualità di utente, puoi configurare utenti e gruppi aggiuntivi e concedere autorizzazioni

  • Sviluppatore: autorizzazioni per il download, la modifica online, il debug e la forzatura

  • Servizio: backup e ripristino dell'applicazione IEC, aggiornamento dell'applicazione IEC (trasferimento dei progetti di avvio), ma nessuna programmazione/debug dell'applicazione IEC

  • Guarda: Sola lettura

Autorizzazioni

I diritti di accesso possono essere concessi per le seguenti azioni eseguite sui singoli oggetti del controller:

  • Aggiungi Rimuovi

  • Modificare

  • Visualizzazione

  • Eseguire

Un oggetto sul controller è solitamente assegnato a un solo componente del controller.

Ogni oggetto può utilizzare tutte le azioni elencate, ma in genere sono necessarie solo le autorizzazioni per le seguenti azioni su un oggetto:

  • Visualizzazione

  • Modificare

Gli oggetti sono organizzati in una struttura ad albero. Esistono due oggetti radice per i due tipi di oggetti:

  • Runtime objects → Device: in questi oggetti, vengono gestiti tutti gli oggetti che hanno accesso online nel controller e devono quindi controllare le autorizzazioni. A Dispositivo → Gestione utenti un oggetto esiste anche qui e sotto Access Rights oggetto, a Groups oggetto e un Users oggetto. Sotto il Groups oggetto, ci sono tutti i gruppi di utenti definiti, ai quali possono quindi essere concesse le autorizzazioni per i gruppi di utenti. Per ulteriori informazioni, vedere Panoramica degli oggetti.

  • File system objects → /: in questi oggetti, le autorizzazioni possono essere concesse alle cartelle della directory di esecuzione corrente del controller.

Gli oggetti figli ereditano i diritti di accesso dall'oggetto radice (anche Device O "/"). Se un'autorizzazione di un gruppo di utenti viene negata o concessa esplicitamente a un oggetto padre, ciò influisce su tutti gli oggetti figlio.

Una singola autorizzazione può essere esplicitamente concessa o negata (segno più verde o segno meno rosso) o rimanere "neutra" (carattere grigio chiaro). Neutrale significa che l'autorizzazione non è stata né esplicitamente concessa né negata. In questo caso, si applica l'autorizzazione dell'oggetto padre.

Se nessuna autorizzazione è stata esplicitamente concessa o negata nell'intera gerarchia dell'oggetto, allora è per definizione negata. Di conseguenza, tutte le autorizzazioni vengono inizialmente negate (eccezione: il diritto di accesso per il file View azione). Inizialmente, questa autorizzazione viene concessa in modo esplicito per ogni gruppo di utenti sia su Device oggetto di runtime così come sul "/" oggetto file system. Ciò consente l'accesso in lettura a tutti gli oggetti, a meno che non sia esplicitamente negato negli oggetti figlio.

Per una tabella riassuntiva degli oggetti, vedere: Scheda: Diritti di accesso.

Consulta le seguenti istruzioni per lavorare nell'editor per la gestione degli utenti del dispositivo:

Primo accesso al controller per modificarne o visualizzarne la gestione utenti

Requisito: la connessione al controller è configurata. Il controller supporta la gestione degli utenti del dispositivo, ma una non è ancora attiva.

  1. Imposta innanzitutto la comunicazione con il controller su «crittografata» in modo da non rivelare alcuna credenziale agli altri partecipanti alla rete durante il trasferimento della gestione degli utenti. Ciò è possibile nell'editor dei dispositivi di Impostazioni di comunicazione scheda o nel Schermata di sicurezza vista. Per ulteriori informazioni, vedere: Come fare: crittografare la comunicazione con un certificato e modificare i criteri di sicurezza.

  2. Nell'albero dei dispositivi, fate doppio clic sull'oggetto controller e nell'editor dei dispositivi selezionate Utenti e gruppi scheda. Fai clic su _rdncy_icon_update_framed.png pulsante.

    Si apre una finestra di dialogo che richiede se la gestione degli utenti del dispositivo deve essere attivato.

  3. Clic per confermare la richiesta di dialogo.

    Il Aggiungi utente dispositivo si apre la finestra di dialogo.

  4. Ora crea un utente del dispositivo per modificare la gestione degli utenti come questo utente. In questo caso, solo Amministratore il gruppo è disponibile. Definire un Nome e Password per l'utente. Viene visualizzata la sicurezza della password. Nota anche le opzioni impostate relative alla modifica della password. Per impostazione predefinita, la password può essere modificata dall'utente in qualsiasi momento. Usa il _cds_icon_password_manager.png pulsante per memorizzare le credenziali nel gestore di password.

    Clicca OK per confermare.

    Il Accesso utente dispositivo si apre la finestra di dialogo.

  5. Specificare un Nome utente e Parola d'ordine per l'utente che hai appena definito.

    Dopo aver fatto clic OK per confermare, la gestione degli utenti del dispositivo viene visualizzata nella vista dell'editor. Contiene l'utente del Administrator gruppo che hai appena definito. Il nome utente viene visualizzato anche nella barra delle applicazioni della Utente del dispositivo.

Configurazione di un nuovo utente nella gestione utenti del controller

Requisito: il controller dispone di una gestione utenti del dispositivo. Hai i dati di accesso corrispondenti.

  1. Nell'albero dei dispositivi, fate doppio clic sull'oggetto dispositivo controller. Selezionate il Utenti e gruppi scheda.

  2. Clicca il _rdncy_icon_update_framed.png pulsante (Sincronizzazione) per caricare la configurazione di gestione utenti dal controller all'editor. Se non hai ancora effettuato l'accesso al dispositivo, allora il Accesso utente dispositivo si apre la finestra di dialogo per l'immissione del nome utente e della password.

    Nell'editor viene visualizzata la configurazione della gestione utenti del dispositivo.

  3. Nel Utenti visualizzare, fare clic Aggiungere.

    Il Aggiungi utente si apre la finestra di dialogo.

  4. Specificare il nome del nuovo utente e assegnare l'utente a un gruppo. Questo conta come il "gruppo predefinito" minimo richiesto dall'utente. L'utente può essere assegnato ad altri gruppi in un secondo momento. Definire e confermare a Parola d'ordine per l'utente. Definire se l'utente può modificare la password e se deve modificare la password al primo accesso. Clic ok per confermare.

    Il nuovo utente appare nel Utenti visualizzare come un nuovo nodo e nel Gruppi visualizzare come una nuova voce secondaria del gruppo predefinito selezionato.

Suggerimento

In base a queste istruzioni, è possibile aggiungere anche nuovi gruppi di utenti nel file Gruppi visualizzazione. Un oggetto di sistema runtime viene creato automaticamente per ogni gruppo di utenti e visualizzato nel file Diritti di accesso scheda sotto il UserManagement oggetto. Ciò consente di configurare gruppi di amministratori graduati o ristretti. Ad esempio, è possibile impostare un gruppo di amministratori della visualizzazione che può solo aggiungere utenti esistenti al gruppo utenti della visualizzazione, ma non può creare nuovi utenti o modificare le password degli utenti esistenti.

Per ulteriori informazioni, vedere: Panoramica degli oggetti.

Modifica dei diritti di accesso agli oggetti del controller nella gestione utenti del controller

Requisito: il controller dispone di una gestione utente del dispositivo. Hai i dati di accesso corrispondenti.

  1. Nell'albero dei dispositivi, fate doppio clic sull'oggetto dispositivo controller. Fate clic su Diritti di accesso scheda.

  2. Clicca il _rdncy_icon_update_framed.png pulsante (Sincronizzazione) per caricare la configurazione di gestione dei diritti dal controller all'editor. Se non hai ancora effettuato l'accesso al dispositivo, allora il file Accesso utente dispositivo si apre la finestra di dialogo per l'immissione dei dati di accesso.

    La configurazione delle autorizzazioni del dispositivo viene visualizzata nell'editor.

    _cds_img_device_user_management_access_rights.png

  3. Selezionare l'oggetto di cui si desidera modificare il diritto di accesso a sinistra nell'albero degli oggetti.

    Nel Permessi vista, una tabella mostra le autorizzazioni per questo oggetto per tutti i gruppi di utenti configurati.

  4. Fare doppio clic a destra nella tabella che si desidera modificare.

    Se l'oggetto ha oggetti figlio, viene visualizzata una finestra di dialogo in cui viene richiesto se si desidera modificare le autorizzazioni per gli oggetti figlio.

  5. Clic o No per chiudere il prompt.

    Le autorizzazioni vengono commutate da _cds_icon_grant.png "concesso" a _cds_icon_right_denied.png "negato", o viceversa. Il simbolo nella cella della tabella cambia di conseguenza. Le autorizzazioni impostate in modo esplicito vengono visualizzate nella tabella come simboli verdi o rossi. I diritti ereditati da un oggetto padre vengono visualizzati come simboli grigi.

Trasferimento e abilitazione di una gestione utente salvata in modalità offline da un file DUM2 a un controller

Suggerimento

In V3.5 SP16 e versioni successive, per l'esportazione di una gestione utenti viene utilizzato un file (*.dum2) da crittografare con una password.

  1. Fare doppio clic sull'oggetto dispositivo controller nella struttura dei dispositivi.

    Si apre l'editor del dispositivo.

  2. Clicca il Utenti e Gruppi scheda.

  3. Clicca il _cds_icon_open_file_framed.png pulsante.

    Si apre la finestra di dialogo per la selezione di un file dal file system locale.

  4. Seleziona il file (<file name>.dum2) con la gestione utenti desiderata dal file system locale e fare clic su Aprire per confermare.

    Il Inserire la password si apre la finestra di dialogo.

  5. Specificare la password che è stata assegnata al momento dell'esportazione del file di gestione utenti (possibile tramite il _cds_icon_save_to_disc_framed.png pulsante).

    ATTENZIONE: L'importazione di una gestione utente del dispositivo tramite a *.dum2 file sovrascrive completamente la gestione utenti esistente sul dispositivo. Per accedere nuovamente al dispositivo in seguito, sono necessari i dati di autenticazione dalla gestione utenti importata di recente.

    Quando la password è stata inserita correttamente, la configurazione dal file di gestione utenti scaricato viene ora visualizzata nella vista dell'editor.

  6. Modifica la configurazione come preferisci. Ad esempio, modificare la password dell'utente o aggiungere un nuovo utente.

    Ogni modifica viene scaricata immediatamente sul dispositivo.

Disattivazione della gestione degli utenti

Importante

Dopo aver disabilitato la gestione degli utenti, il controller è nuovamente accessibile per tutti gli utenti della rete del controller. Pertanto, è necessario farlo solo in casi eccezionali giustificati o se i client utilizzati non supportano alcuna gestione degli utenti

Suggerimento

Per abilitare la gestione degli utenti, almeno uno CODESYS sistema di sviluppo V3.5 SP16. Ciò significa che, in caso di gestione forzata degli utenti che non è stata ancora abilitata, non è possibile connettersi a un sistema di sviluppo precedente

Per reimpostare una gestione utente attiva e forzata su «Opzionale», procedi come segue:

  1. Nell'albero dei dispositivi, fate doppio clic sul controller. Impostazioni di comunicazione scheda, fai clic Scansione della rete e quindi connettiti al controller.

  2. Sul Impostazioni di comunicazione scheda, seleziona DispositivoModifica la politica di sicurezza di Runtime comando. Nota: il menu è disponibile solo se non si è connessi al dispositivo

  3. Nel Modifica la politica di sicurezza di Runtime finestra di dialogo, in Gestione degli utenti del dispositivo area, seleziona Gestione degli utenti opzionale come Nuova politica e fai clic OK.

    La politica di sicurezza per la gestione degli utenti del dispositivo è impostata su «Opzionale».

  4. Connettiti al controller e nel Online nel menu fai clic su Reimposta il dispositivo Origin comando. Questo elimina la gestione degli utenti ancora attiva e configura l'impostazione secondo cui il controller dovrebbe avere solo una gestione utente opzionale. Nota: CODESYS V3.5.16.20 e versioni successive, è possibile escludere l'applicazione di avvio dall'operazione di eliminazione durante l'esecuzione Reimposta il dispositivo Origin.

Reimposta la gestione degli utenti sui gruppi di utenti predefiniti da CODESYS e le relative autorizzazioni predefinite

  1. Stabilire una connessione con il controller.

  2. Aprire il Diritti di accesso scheda. Per prima cosa controlla se il gruppo di utenti pertinente (ad esempio, Amministratore gruppo) ha almeno il Visualizza e Aggiungi/Rimuovi autorizzazioni su Device oggetto. (Il Device object è il nodo superiore nell'albero delle autorizzazioni di oggetti di runtime). Se il gruppo di utenti non dispone di queste autorizzazioni, concedi queste autorizzazioni al gruppo di utenti. Se questo gruppo non ha ancora un utente, assegna un utente al

  3. Nel menu contestuale del controller nell'albero dei dispositivi, seleziona Reimposta il dispositivo Origin comando per ripristinare la gestione degli utenti. Potrebbe essere necessario accedere nuovamente al controller. In questo caso, utilizzare un utente del gruppo configurato nel passaggio 2.

  4. Ora, quando accederai al controller la prossima volta, i gruppi e le autorizzazioni predefinite verranno ripristinati quando crei un utente nel Amministratore gruppo per la prima volta.

In questa sezione: