dl-breadcrumbs__homedl-breadcrumb-item__separator配置和编程dl-breadcrumb-item__separator编程与 CODESYSdl-breadcrumb-item__separator...dl-breadcrumb-item__separatorCODESYS Development Systemdl-breadcrumb-item__separator将应用程序下载到 PLCdl-breadcrumb-item__separator处理设备用户管理
dl-pagination__prev-inactivedl-pagination__prev-activedl-pagination__next-inactivedl-pagination__next-active
处理设备用户管理dl-permalink__symbolPermalink
注意

注意
注意
注意

注意

注意

关于数据保护的建议

为了最大限度地降低数据安全违规的风险,我们建议对运行应用程序的系统采取以下组织和技术措施。尽可能避免将 PLC 和控制网络暴露在开放网络和互联网上。使用额外的数据链路层进行保护,如用于远程访问的 VPN。安装防火墙机制。限制授权人员访问。使用高强度密码。在调试前后定期更改默认密码。

使用CODESYS 和相应控制器支持的安全功能,如加密与控制器的通信和有意限制用户访问。

对于支持设备用户管理的设备,设备编辑器包括“用户和组” 选项卡和“访问权限” 。设备提供此功能时,您可以在此查看设备的用户管理,并在同步模式(非联机模式)下对其进行编辑。在这里,您可以向定义的用户组授予或拒绝授予控制器上的特定权限。

设备用户管理可在设备描述中设置。

请注意Online  Security 菜单中的命令。您可以在当前登录的控制器上轻松添加、编辑或删除用户账户。

要使“访问权限” 选项卡在设备编辑器中可用,必须在设备编辑器中选择相应的CODESYS 选项,并在设备描述中解锁。如果没有设备编辑器,请联系控制器制造商。

要向用户组授予访问权限,首先必须在设备编辑器的“Users and Groups” 选项卡上配置用户和用户组。在控制器上配置访问权限之前,首先要在控制器上设置用户管理。如果设备的用户管理功能尚未启用,可以通过以下方式启用:通过“Users and Groups(用户和组)” 标签切换到同步模式,或通过Online  Security(安全)  Add Device User(添加设备用户) 命令添加新用户。

关于设备用户管理的通用信息

CODESYS Control 设备默认执行用户管理。

访问权限只能授予组,而不能授予单个用户。因此,每个用户都必须是某个组的成员。

可以为在控制器的各个对象上执行的下列操作授予访问权限:

  • 添加/删除

  • 修改

  • 查看

  • 执行

控制器上的一个对象通常只分配给一个控制器组件。

每个对象都可以使用列出的所有操作,但通常只需要在对象上使用以下操作的权限:

  • “查看”

  • “Modify”

对象以树形结构组织。两种对象有两个根对象:

  • 运行时对象  设备 :在这些对象中,所有对象都是在控制器中进行在线访问的管理对象,因此必须控制访问权限。

  • 文件系统对象  / :在这些对象中,可以对控制器当前执行目录下的文件夹授予权限。

子对象继承根对象(也称“设备” 或 "“/”")的访问权限。如果拒绝或明确授予父对象的用户组权限,则会影响所有子对象。

可以明确授予或拒绝单项权限(绿色加号或红色减号),也可以保持 "中立"(浅灰色字符)。中立 "是指既没有明确授予也没有拒绝授予权限。在这种情况下,父对象的权限适用。

如果在对象的整个层次结构中没有明确授予或拒绝任何权限,那么根据定义,它就是被拒绝的。因此,所有权限最初都会被拒绝(例外:“View” 操作的访问权限)。最初,在“设备” 运行时对象和 "“/”" 文件系统对象上,都会为每个用户组明确授予该权限。这允许对所有对象进行读取访问,除非子对象明确拒绝。

有关对象概览表,请参阅 "选项卡'访问权限'"一章。

有关如何处理设备用户管理编辑器,请参阅以下说明:

首次登录控制器,以便编辑或查看其用户管理

要求:与控制器的连接已配置。控制器支持设备用户管理,但尚未激活。

  1. 双击设备树中的控制器设备对象。

    设备编辑器打开。

  2. 单击“Users and Groups” 选项卡。

  3. 单击_cds_icon_update_framed

    打开一个对话框,提示是否应激活设备用户管理。

  4. 单击“Yes” 确认对话框提示。

    “添加设备用户” 对话框将打开。

  5. 现在创建一个设备用户,以便以该用户身份编辑用户管理。在这种情况下,只有“Administrator” 组可用。为用户指定“Name”“Password” 。显示密码强度。还请注意有关密码更改的设置选项。默认情况下,用户可以随时更改密码。单击“OK” 进行确认。

    “设备用户登录” 对话框将打开。

  6. 为刚刚定义的用户指定“用户名”“密码”

    单击“OK” 确认后,设备用户管理将显示在编辑器视图中。其中包含您刚刚定义的管理员组的用户。该用户的名称也会显示在窗口的任务栏中,如“设备用户”

在控制器的用户管理中设置新用户

要求:控制器具有设备用户管理功能。您拥有相应的访问数据。

  1. 双击设备树中的控制器设备对象。

    设备编辑器打开。

  2. 单击“Users and Groups” 选项卡。

  3. 单击_cds_icon_update_framed (同步),将用户管理配置从控制器加载到编辑器。如果尚未登录设备,则会打开“设备用户登录” 对话框,用于输入用户名和密码。

    设备的用户管理配置显示在编辑器中。

  4. “用户” 视图中,单击“添加”

    “添加用户” 对话框将打开。

  5. 指定新用户的名称,并将用户分配到一个组。这也是用户所需的最低默认组别。稍后可将该用户分配到其他组。为用户定义并确认“密码” 。定义用户是否可以更改密码,以及用户是否必须在首次登录时更改密码。单击“OK” 进行确认。

    新用户在“用户” 视图中显示为一个新节点,在“组” 视图中显示为所选默认组的一个新子条目。

在控制器的用户管理中更改控制器对象的访问权限

要求:控制器具有设备用户管理功能。您拥有相应的访问数据。

  1. 双击设备树中的控制器设备对象。

    设备编辑器打开。

  2. 单击“访问权限” 选项卡。

  3. 单击_cds_icon_update_framed (同步)将权限管理配置从控制器加载到编辑器。如果尚未登录设备,则会打开“设备用户登录” 对话框,用于输入访问数据。

    设备的访问权限管理配置显示在编辑器中。

    _cds_img_device_user_management_access_rights

  4. 在对象树中向左选择要更改访问权限的对象。

    “Rights” 视图中,一个表格显示了所有已配置用户组对该对象的访问权限。

  5. 双击表格中要更改的右侧。

    如果对象有子对象,则对话框会提示您是否要修改子对象的权限。

  6. 单击“Yes”“No” 关闭提示。

    权限从 "允许 "_cds_icon_grant 切换为 "不允许 "_cds_icon_right_denied ,或者相反。表格单元格中的符号也会相应改变。明确设置的权限在表中显示为绿色或红色符号。从父对象继承的权限显示为灰色符号。

将脱机模式下保存的用户管理从 DUM2 文件传输并启用到控制器

在 V3.5 SP16 及更高版本中,导出用户管理时使用的是带密码的加密文件 (*.dum2)。

  1. 双击设备树中的控制器设备对象。

    设备编辑器打开。

  2. 单击“Users and Groups” 选项卡。

  3. 单击_cds_icon_open_file_framed

    打开从本地文件系统选择文件的对话框。

  4. 从本地文件系统中选择具有所需用户管理的文件 (‎<file name>.dum2‎) 并单击“打开” 确认。

    “输入密码” 对话框将打开。

  5. 指定导出用户管理文件时分配的密码(可通过_cds_icon_save_to_disc_framed 按钮)。

    小心:通过‎*.dum2‎ 文件导入设备用户管理会完全覆盖设备上现有的用户管理。之后要再次登录设备,需要最近导入的用户管理中的身份验证数据。

    密码输入正确后,下载的用户管理文件中的配置就会显示在编辑器视图中。

  6. 随心所欲地编辑配置。例如,更改用户密码或添加新用户。

    每次更改都会立即下载到设备上。

另见

配置密码策略和登录锁

您可以为运行系统配置密码策略和登录锁。使用这两种机制可确保为控制器配置的凭据尽可能安全,攻击者无法通过反复尝试猜到凭据。默认情况下,密码策略未启用。默认情况下,管理员用户组启用了登录锁,因为该用户组需要满足更高的安全标准,也应受到更好的保护。当登录尝试次数超过最大值时,用户将在配置的时间内(默认为 3600 秒)被锁定。

解锁锁定的用户

以下选项可用于解锁已被锁定一段时间的用户:

  • 管理员或对锁定用户的用户组有写入权限的用户组成员为该用户分配新密码。

  • 运行系统重新启动。

启用和更改密码策略

  1. 在设备树中,双击控制器。

    设备编辑器打开。显示“通讯设置” 选项卡。

  2. 在标题中,单击“扫描网络” 按钮,然后在“选择设备” 对话框中选择所需的设备。然后点击“OK”

    通往控制器的活动路径已设定。

  3. “设备” 菜单中选择“更改运行时系统密码策略”

  4. “Change Runtime System Password Policy” 对话框中,选择“Password Policy is active” 选项。

    显示密码设置的密码策略已启用。

    详细的默认密码设置请参见对话框说明。

  5. 根据需要更改个人密码设置。

  6. 单击“OK” 确认所做更改。

    在创建新用户和更改现有用户密码时,会立即应用配置的密码策略。只能创建符合密码策略的新密码。

配置登录锁

  1. 在设备树中,双击控制器。

    设备编辑器打开。显示“通讯设置” 选项卡。

  2. 在标题中,单击“扫描网络” 按钮,然后在“选择设备” 对话框中选择所需的设备。然后点击“OK”

    通往控制器的活动路径已设定。

  3. “设备” 菜单中选择“更改运行时系统密码策略”

  4. “更改运行时系统密码策略” 对话框中,可以更改登录锁的默认设置或禁用登录锁。

  5. 单击“OK” 确认所做更改。

    “Scope” 中所选用户组的用户登录设备用户管理时,会立即应用配置的登录锁。

    当超过“Maximal Retries” 字段中指定的登录尝试次数时,用户将在“Lock duration” 字段中指定的时间内被锁定。