dl-breadcrumbs__homedl-breadcrumb-item__separatorKonfiguration und Programmierungdl-breadcrumb-item__separatorProgrammieren mit CODESYSdl-breadcrumb-item__separator...dl-breadcrumb-item__separatorCODESYS Development Systemdl-breadcrumb-item__separatorApplikation auf die SPS übertragendl-breadcrumb-item__separatorGerätebenutzerverwaltung handhaben
dl-pagination__prev-inactivedl-pagination__prev-activedl-pagination__next-inactivedl-pagination__next-active
Gerätebenutzerverwaltung handhabendl-permalink__symbolPermanentlink
HINWEIS

HINWEIS
HINWEIS
HINWEIS

HINWEIS

HINWEIS

Empfehlungen zur Datensicherheit

Um das Risiko von Datensicherheitsverletzungen zu minimieren, empfehlen wir die folgenden organisatorischen und technischen Maßnahmen für das System, auf dem Ihre Applikationen laufen: Vermeiden Sie soweit als möglich, die SPS und die Steuerungsnetzwerke offenen Netzwerken und dem Internet auszusetzen. Verwenden Sie zum Schutz zusätzliche Sicherungsschichten, wie ein VPN für Remote-Zugriffe. Installieren Sie Firewall-Mechanismen. Beschränken Sie den Zugriff auf autorisierte Personen. Verwenden Sie Passwörter mit hoher Stärke. Ändern Sie eventuell vorhandene Standard-Passwörter bei der ersten Inbetriebnahme und auch danach regelmäßig.

Verwenden Sie die von CODESYS und dem betreffenden Steuerungsgerät unterstützten Security-Funktionalitäten, wie Verschlüsselung der Kommunikation mit dem Steuerungsgerät und gezielt eingeschränkten Benutzerzugriff.

Für Geräte, die eine Gerätebenutzerverwaltung unterstützen, gibt es im Geräteeditor die Registerkarten „Benutzer und Gruppen“ und „Zugriffsrechte“. Wenn das Gerät es zulässt, können Sie hier die Benutzerverwaltung für das Gerät nicht nur einsehen, sondern im Synchronisierungsbetrieb (nicht im Offlinebetrieb) auch bearbeiten. Hier können Sie den definierten Benutzergruppen bestimmte Rechte auf der Steuerung zugewiesen oder verweigert werden.

Die Gerätebenutzerverwaltung kann bereits durch die Gerätebeschreibung vordefiniert sein.

Beachten Sie die Befehle des Menüs Online  Sicherheit. Sie erlauben in vereinfachter Weise das Hinzufügen, Bearbeiten oder Entfernen eines Benutzerkontos auf der Steuerung, auf der Sie gerade eingeloggt sind.

Damit die Registerkarte „Zugriffsrechte“ im Geräteeditor verfügbar ist, muss die entsprechende CODESYS-Option für den Geräteeditor aktiviert sein und auch in der Gerätebeschreibung freigeschaltet sein. Wenn also der Geräteeditor nicht verfügbar sein sollte, wenden Sie sich an den Hersteller der Steuerung.

Um einer Benutzergruppe Zugriffsrechte zuordnen zu können, müssen zuerst Benutzer und Benutzergruppen in der Registerkarte „Benutzer und Gruppen“ des Geräteeditors konfiguriert werden. Auf dem Steuerungsgerät muss eine Benutzerverwaltung zuerst eingerichtet sein, bevor die Zugriffsrechte darauf gesteuert werden können. Falls die Benutzerverwaltung eines Geräts noch nicht aktiv sein sollte, kann sie auf folgende Weise aktiviert werden: Durch Umschalten in den synchronisierten Betrieb auf der Seite „Benutzer und Gruppen“, oder durch das Hinzufügen eines neues Benutzers mit dem Befehl Online  Sicherheit  Gerätebenutzer hinzufügen.

Allgemeine Informationen zur Gerätebenutzerverwaltung

Für die CODESYS Control-Geräte ist eine Benutzerverwaltung standardmäßig erzwungen.

Zugriffsrechte können nur Gruppen zugewiesen werden können, nicht einzelnen Benutzern. Deshalb muss jeder Benutzer Mitglied einer Gruppe sein.

Zugriffsrechte können für die folgenden Aktionen vergeben werden, die auf die einzelnen Objekte der Steuerung ausgeführt werden:

  • Hinzufügen/Entfernen

  • Ändern

  • Ansehen

  • Ausführen

Ein Objekt auf der Steuerung ist meist einer einzelnen Steuerungskomponente zugeordnet.

Jedes Objekt kann alle der aufgelisteten Aktionen nutzen, aber meist werden auf einem Objekt nur die Rechte für folgende Aktionen benötigt:

  • „Ansehen“

  • „Ändern“

Die Objekte sind in einer Baumstruktur organisiert. Es gibt 2 Wurzelobjekte für die 2 Arten von Objekten:

  • Laufzeitsystemobjekte  Device: In diesen Objekten werden alle Objekte verwaltet, die einen Onlinezugang in der Steuerung besitzen und die damit die Zugriffsrechte steuern müssen

  • Dateisystemobjekte  /: In diesen Objekten können die Rechte auf Ordner des aktuellen Ausführungsverzeichnisses der Steuerung vergeben werden

Die Zugriffsrechte werden vom Wurzelobjekt (also „Device“ oder "„/“") an die Unterobjekte vererbt. Wenn Sie auf einem übergeordneten Objekt ein Recht einer Benutzergruppe entziehen oder explizit vergeben, dann wirkt dies auf alle Unterobjekte.

Ein einzelnes Recht kann explizit erteilt oder verweigert sein (grünes Pluszeichen oder rotes Minuszeichen), oder es ist "neutral" (hellgraues Zeichen). Neutral bedeutet, dass das Recht weder explizit erteilt noch verweigert wurde. In diesem Fall wirkt dann das Recht des übergeordneten Objekts.

Wenn in der gesamten Hierarchie der Objekte kein Recht explizit erteilt oder verweigert wurde, dann ist es per Definition verweigert. Damit sind zunächst alle Rechte verweigert, mit Ausnahme des Zugriffsrechts für die Aktion „Ansehen“: Dieses Recht ist zunächst für jede Benutzergruppe sowohl auf dem Laufzeitsystemobjekt „Device“ als auch auf dem Dateisystemobjekt "„/“" erteilt. Damit ist lesender Zugriff auf alle Objekte initial erlaubt, es sei denn, es wird in Unterobjekten explizit entzogen.

Eine Übersichtstabelle für die Objekte finden Sie auf der Hilfeseite "Registerkarte 'Zugriffsrechte'".

Sehen Sie die nachfolgenden Anleitungen zur Handhabung des Editors für die Gerätebenutzerverwaltung:

Erstmaliges Anmelden auf der Steuerung, um deren Benutzerverwaltung zu bearbeiten oder anzusehen

Voraussetzung: Die Verbindung zur Steuerung ist konfiguriert. Die Steuerung unterstützt eine Gerätebenutzerverwaltung, es ist aber noch keine aktiv.

  1. Doppelklicken Sie auf das Steuerungsgeräteobjekt im Gerätebaum.

    Der Geräteeditor öffnet.

  2. Wählen Sie die Registerkarte „Benutzer und Gruppen“.

  3. Klicken Sie auf die Schaltfläche _cds_icon_update_framed.

    Ein Dialog erscheint mit der Abfrage, ob die Gerätebenutzerverwaltung aktiviert werden soll.

  4. Bestätigen Sie die Abfrage mit „Ja“.

    Der Dialog „Gerätebenutzer hinzufügen“ öffnet sich.

  5. Legen Sie jetzt einen Gerätebenutzer an, um als dieser Benutzer die Benutzerverwaltung bearbeiten zu können. In diesem Fall steht nur die Gruppe „Administrator“ zur Verfügung. Definierten Sie für den Benutzer „Name“ und „Passwort“. Die Passwortstärke wird angezeigt. Beachten Sie auch die eingestellten Optionen bezüglich einer Passwortänderung. Standardmäßig kann das Passwort vom Benutzer zu einer beliebigen Zeit geändert werden. Bestätigen Sie mit „OK“.

    Der Dialog „Gerätebenutzeranmeldung“ öffnet sich.

  6. Geben Sie für den gerade definierten Benutzer „Benutzername“ und „Passwort“ ein.

    Nach Bestätigung mit „OK“ wird die Gerätebenutzerverwaltung im Editorfenster dargestellt. Sie enthält den gerade definierten Benutzer der Gruppe Administrator. Dessen Name erscheint auch in der Taskleiste des Fensters als „Gerätebenutzer“.

Neuen Benutzer in der Benutzerverwaltung des Steuerungsgeräts einrichten

Voraussetzung: Die Steuerung hat eine Gerätebenutzerverwaltung. Sie haben entsprechende Zugangsdaten.

  1. Doppelklicken Sie auf das Steuerungsgeräteobjekt im Gerätebaum.

    Der Geräteeditor öffnet.

  2. Wählen Sie die Registerkarte „Benutzer und Gruppen“.

  3. Klicken Sie die Schaltfläche _cds_icon_update_framed (Synchronisierung), um die Benutzerverwaltungskonfiguration vom Steuerungsgerät in den Editor zu laden. Wenn Sie noch nicht auf dem Gerät eingeloggt sind, erhalten Sie zunächst den Dialog „Gerätebenutzeranmeldung“ zur Eingabe des Benutzernamens und Passworts.

    Die Benutzerverwaltungskonfiguration des Geräts wird im Editor dargestellt.

  4. Klicken Sie im Fenster „Benutzer“ auf die Schaltfläche „Hinzufügen“.

    Der Dialog „Benutzer hinzufügen“ öffnet sich.

  5. Geben Sie den Namen des neuen Benutzers ein und ordnen Sie ihn einer Gruppe zu. Diese gilt als seine - minimal erforderliche - "Standardgruppe". Der Benutzer kann später noch weiteren Gruppen zugeordnet werden. Definieren und bestätigen Sie ein „Passwort“ für den Benutzer. Legen Sie fest, ob er das Passwort selbst ändern kann und ob er es beim ersten Einloggen ändern muss. Bestätigen Sie mit „OK“.

    Der neue Benutzer erscheint im Fenster „Benutzer“ als neuer Knoten, und im Fenster „Gruppen“ als neuer Untereintrag der gewählten Standardgruppe.

Zugriffsrechte auf Steuerungsobjekte in der Benutzerverwaltung des Steuerungsgeräts verändern

Voraussetzung: Die Steuerung hat eine Gerätebenutzerverwaltung. Sie haben entsprechende Zugangsdaten.

  1. Doppelklicken Sie auf das Steuerungsgeräteobjekt im Gerätebaum.

    Der Geräteeditor öffnet.

  2. Wählen Sie die Registerkarte „Zugriffsrechte“.

  3. Klicken Sie die Schaltfläche _cds_icon_update_framed (Synchronisierung), um die Rechteverwaltungskonfiguration vom Steuerungsgerät in den Editor zu laden. Wenn Sie noch nicht auf dem Gerät eingeloggt sind, erhalten Sie zunächst den Dialog „Gerätebenutzeranmeldung“ zur Eingabe Ihrer Zugangsdaten.

    Die Zugriffsrechtekonfiguration des Geräts erscheint im Editor.

    _cds_img_device_user_management_access_rights

  4. Selektieren Sie links im Objektebaum das Objekt, für das Sie die Zugriffsrechte ändern wollen.

    Im Fenster„ Rechte“ zeigt eine Tabelle die Zugriffsrechte auf dieses Objekt für jede der konfigurierten Benutzergruppen an.

  5. Doppelklicken Sie in der Tabelle auf das Recht, das Sie verändern wollen.

    Wenn das Objekt Kindobjekte hat, öffnet sich ein Dialog mit der Abfrage, ob Sie das Recht auch für die Kindobjekte verändern wollen.

  6. Schließen Sie die Abfrage mit „Ja“ oder „Nein“.

    Das Recht wird von "erlaubt" _cds_icon_grant auf "nicht erlaubt" _cds_icon_right_denied umgeschaltet oder umgekehrt. Das Symbol in der Tabellenzelle ändert sich entsprechend. Explizit gesetzte Rechte erscheinen in der Tabelle als grüne oder rote Symbole, vom Elternobjekt geerbte Rechte erscheinen als graue Symbole.

Im Offlinebetrieb eine gespeicherte Benutzerverwaltung aus einer DUM2-Datei auf eine Steuerung übertragen und dort aktivieren

Ab V3.5 SP16 wird für den Export einer Benutzerverwaltung eine mit einem Passwort zu verschlüsselnde Datei *.dum2 verwendet.

  1. Doppelklicken Sie auf das Steuerungsgeräteobjekt im Gerätebaum.

    Der Geräteeditor öffnet.

  2. Wählen Sie die Registerkarte „Benutzer und Gruppen“.

  3. Klicken Sie auf die Schaltfläche _cds_icon_open_file_framed.

    Der Dialog zur Auswahl einer Datei vom lokalen Dateisystem erscheint.

  4. Wählen Sie die Datei (‎<Dateiname>.dum2‎) mit der gewünschten Benutzerverwaltung aus und bestätigen Sie mit „Öffnen“.

    Der Dialog „Passwort eingeben“ erscheint.

  5. Geben Sie das Passwort ein, das beim Exportieren der Benutzerverwaltungsdatei (möglich über die Schaltfläche _cds_icon_save_to_disc_framed) vergeben wurde.

    ACHTUNG: Der Import einer Gerätebenutzerverwaltung über eine ‎*.dum2‎-Datei überschreibt die bestehende Benutzerverwaltung auf dem Gerät komplett! Um danach wieder auf dem Gerät einloggen zu können, benötigen Sie Authentifizierungsdaten aus der neu importierten Benutzerverwaltung.

    Bei korrekter Passworteingabe wird die Konfiguration aus der geladenen Benutzerverwaltungsdatei nun im Editorfenster dargestellt.

  6. Bearbeiten Sie die Konfiguration wie gewünscht. Beispielsweise durch Ändern eines Benutzerpassworts, Hinzufügen neuer Benutzer etc.

    Jede Änderung wird sofort auf das Gerät geladen.

Siehe auch