Skip to main content

Registerkarte: Zugriffsrechte

Empfehlungen zur Datensicherheit

Um das Risiko von Datensicherheitsverletzungen zu minimieren, empfehlen wir die folgenden organisatorischen und technischen Maßnahmen für das System, auf dem Ihre Applikationen laufen: Vermeiden Sie soweit als möglich, die SPS und Steuerungsnetzwerke offenen Netzwerken und dem Internet auszusetzen. Verwenden Sie zum Schutz zusätzliche Sicherungsschichten wie ein VPN für Remote-Zugriffe und installieren Sie Firewall-Mechanismen. Beschränken Sie den Zugriff auf autorisierte Personen, ändern Sie eventuell vorhandene Standard-Passwörter bei der ersten Inbetriebnahme und auch weiterhin regelmäßig.

Wichtig

Ausführliche Informationen zum Konzept und zur Verwendung der Gerätebenutzerverwaltung finden Sie im Kapitel Gerätebenutzerverwaltung handhaben.

Dort finden Sie auch folgende Anleitungen zur Handhabung des Editors:

  • Erstmaliges Anmelden auf der Steuerung, um deren Benutzerverwaltung zu bearbeiten und anzusehen

  • Neuen Benutzer in der Benutzerverwaltung des Steuerungsgeräts einrichten

  • Zugriffsrechte auf Steuerungsobjekte in der Benutzerverwaltung des Steuerungsgeräts verändern

  • Im Offlinebetrieb eine Benutzerverwaltung aus einer *.dum-Datei laden, ändern und auf das Steuerungsgerät bringen

In dieser Registerkarte definieren Sie für Gerätebenutzer die Rechte für Zugriffe auf Objekte auf der Steuerung. Wie in der Projektbenutzerverwaltung muss ein Benutzer Mitglied mindestens einer Benutzergruppe sein und können nur Benutzergruppen bestimmte Zugriffsrechte erhalten.

. Voraussetzungen, damit die Registerkarte Zugriffsrechte angezeigt wird:

  • Die Option Registerkarte „Zugriffsrechte anzeigen“ in den CODESYS-Optionen in der Kategorie Geräteeditor muss aktiviert sein.

    Beachten Sie: Diese CODESYS-Option kann durch die Gerätebeschreibung überschrieben werden!

. Voraussetzungen, damit Zugriffsrechte den Benutzergruppen zugeordnet werden können

  • Eine Komponente für die Benutzerverwaltung muss auf der Steuerung vorhanden sein. Das ist die Grundvoraussetzung

  • Benutzer und Benutzergruppen müssen in der Registerkarte Benutzer und Gruppen konfiguriert sein

Werkzeugleiste der Registerkarte

rdncy_icon_update_framed.png Synchronisierung

Schaltet die Synchronisierung zwischen Editor und Benutzerverwaltung auf dem Gerät ein und aus.

Wenn die Schaltfläche nicht „gedrückt“ ist, ist der Editor leer, oder enthält eine Konfiguration, die Sie von der Festplatte geladen haben.

Wenn Sie die Synchronisierung einschalten, während der Editor eine noch nicht mit dem Gerät synchronisierte Benutzerkonfiguration enthält, erhalten Sie zunächst eine Abfrage, was mit dem Editorinhalt geschehen soll. Die Optionen:

  • Vom Gerät hochladen und den Inhalt im Editor überschreiben: Die auf dem Gerät vorliegende Konfiguration wird in den Editor geladen und überschreibt den aktuellen Inhalt.

  • Inhalt des Editors auf das Gerät laden und dort die Benutzerverwaltung überschreiben: Die im Editor enthaltene Konfiguration wird auf das Gerät übertragen und dort wirksam.

_cds_icon_open_file_framed.png Importieren von Festplatte

  • Wenn Sie die Schaltfläche in der Registerkarte Benutzer und Gruppen klicken, um eine Gerätebenutzerverwaltungsdatei *.dum2 zu importieren, erscheint der Standarddialog zum Auswählen einer Gerätebenutzerverwaltungsdatei von der Festplatte. Nach Auswahl der Datei öffnet sich der Dialog Passwort eingeben. Sie müssen das Passwort eingeben, das beim Exportieren der Datei vergeben wurde. Damit wird dann die Benutzerverwaltung aktiviert.

    Hinweis: Vor V3.5 SP16 wurde der Dateityp Gerätebenutzerverwaltungsdateien (*.dum) verwendet, der noch keine Verschlüsselung erforderte.

  • Wenn Sie die Schaltfläche in der Registerkarte Zugriffsrechte klicken, um eine Geräterechteverwaltungsdatei (*.drm) zu importieren, öffnet sich der Standarddialog zum Auswählen einer entsprechenden Datei von der Festplatte. Die bestehende Konfiguration im Dialog wird durch die importierte Datei überschrieben.

_cds_icon_save_to_disc_framed.png Exportieren auf Festplatte

  • Wenn Sie die Schaltfläche in der Registerkarte Benutzer und Gruppen klicken, erscheint zunächst der Dialog Passwort eingeben zur Vergabe eines Passworts für die Gerätebenutzerverwaltungsdatei. Beachten Sie: Dieses Passwort muss später bei einem Import dieser Datei wieder eingegeben werden, um diese Benutzerverwaltung auf der Steuerung zu aktivieren..

    Nach Schließen des Dialogs zur Passwortvergabe öffnet sich der Standarddialog zum Auswählen und Importieren einer Benutzerverwaltungskonfiguration von der Festplatte. Der Dateityp ist in diesem FallGerätebenutzerverwaltungsdateien (*.dum2) (Device User Management).

    Hinweis: Vor V3.5 SP16 wurde der Dateityp Gerätebenutzerverwaltungsdateien (*.dum) verwendet, der noch keine Verschlüsselung erforderte.

  • Wenn Sie die Schaltfläche in der Registerkarte Zugriffsrechte klicken, ist der Dateityp Geräterechteverwaltungsdateien (*.drm) (Device Rights Management). In diesem Fall muss vor der Ablage kein Passwort für die Datei vergeben werden.

Gerätebenutzer

Benutzername des gerade auf dem Gerät eingeloggten Benutzers

Tabelle 51. Objekte

In der Baumstruktur sind die Objekte aufgelistet, auf die zur Laufzeit Aktionen ausgeführt werden können. Die Objekte sind jeweils ihrer Objektquelle zugeordnet und teilweise in Objektgruppen sortiert. Für ein selektiertes Objekt können Sie im Rechte-Fenster die Zugriffsmöglichkeit für eine Benutzergruppe konfigurieren.

. Objektquelle (Wurzelknoten)

  • Dateisystemobjekte → Device : In diesen Objekten können die Rechte auf Ordner des aktuellen Ausführungsverzeichnisses der Steuerung vergeben werden

  • Laufzeitsystemobjekte → / : In diesen Objekten werden alle Objekte verwaltet, die einen Onlinezugang in der Steuerung besitzen und die damit die Zugriffsrechte steuern müssen.

Eine Beschreibung der Objekte finden Sie in der Tabelle Übersicht über die Objekte

Objektgruppen und Objekte (eingerückt)

Beispielsweise: Device mit Kindobjekten Logger, PlcLogic, Settings, UserManagement.



Tabelle 52. Rechte

Allgemein vererben sich die Zugriffsrechte von dem Wurzelobjekt (also Device oder /) zu den Unterobjekten. D.h. wenn auf einem übergeordneten Objekt ein Recht einer Benutzergruppe entzogen oder explizit vergeben wird, dann wirkt das erstmals auf alle Unterobjekte!

Die Tabelle gilt jeweils für das gerade im Baum ausgewählte Objekt. Sie zeigt für jede Benutzergruppe die aktuell konfigurierten Rechte für die möglichen Aktionen auf dieses Objekt.

_cds_img_device_user_management_access_rights.png
. Mögliche Aktionen auf das Objekt:

  • Hinzufügen/Entfernen

  • Ändern

  • Ansehen

  • Ausführen

Mit einem Klick auf ein Objekt erscheint auf der rechten Seite eine Tabelle, die die Zugriffsrechte der verfügbaren Benutzergruppen für das selektierte Objekt anzeigt.

Damit kann auf einen Blick erfasst werden:

  • Welche Zugriffsrechte werden von einem Objekt ausgewertet

  • Welche Benutzergruppe hat auf welchem Objekt welche effektiven Rechte

. Die Bedeutung der Symbole

  • _cds_icon_grant.png: Zugriffsrecht explizit erteilt

  • _cds_icon_deny.png: Zugriffsrecht explizit verweigert

  • _cds_icon_grant_greyed.png : Zugriffsrecht neutral: vererbt erteilt

  • _cds_icon_deny_greyed.png: Zugriffsrecht neutral vererbt verweigert

  • _cds_icon_clear_permission.png: Das Zugriffsrecht wurde nicht explizit gesetzt oder verweigert, auch nicht im Vaterobjekt. Ein Zugriff ist nicht möglich.

  • kein Symbol: Es sind mehrere Objekte ausgewählt, die keine einheitlichen Zugriffsrechte haben.

Mit einem Mausklick auf das Symbol ändern Sie das Recht.



Beispiel 510. Beispiel

Das Objekt Logger in der Registerkarte Zugriffsrechte wurde von der Komponente „Logger“ angelegt und steuert deren Zugriffsrechte. Es befindet sich direkt unterhalb des Laufzeitsystemobjekts Device.

Dabei können für dieses Objekt die möglichen Zugriffsrechte nur für die Aktion Ansehen vergeben werden.

_cds_img_dev_access_right_ex1.png

Zunächst hat jedes Objekt ein Leserecht. Dies bedeutet, dass jeder Benutzer den „Logger“ einer Steuerung auslesen kann. Wenn nun einer einzelnen Benutzergruppe (im Beispiel Sevice) dieses Recht entzogen werden soll, dann muss das Leserecht auf dem Logger Objekt explizit verweigert werden:

_cds_img_dev_access_right_ex2.png


Übersicht über die Objekte

Laufzeitsystemobjekte → Device

Logger

Der Onlinezugriff auf den Logger erfolgt nur lesend. Daher kann hier nur das Recht Ansehen vergeben oder verweigert werden.

PLCLogic

Alle IEC-Applikationen werden als Unterobjekte beim Download hier automatisch eingehängt. Wenn eine Applikation gelöscht wird, werden sie automatisch wieder entfernt.

Damit kann dann der Onlinezugriff auf die Applikation gezielt gesteuert werden. Die Zuweisung der Zugriffsrechte über alle Applikationen kann zentral im PlcLogic-Objekt erfolgen.

Auf die IEC-Applikationen haben die Benutzergruppen Administrator und Developer Vollzugriff. Die Benutzergruppen Service und Watch besitzen nur Leserechte (zum Beispiel lesendes Monitoring der Werte).

Die folgende Tabelle zeigt an, welche Aktion im Einzelnen betroffen ist, wenn ein bestimmtes Zugriffsrecht für eine IEC-Applikation vergeben wurde.

x : Das Recht muss explizit gesetzt werden

- : Das Recht ist nicht relevant

Application

Operation

Zugriffsrecht

Hinzufügen/Entfernen

Ausführen

Ändern

Ansicht

Einloggen

-

-

-

x

Anlegen

x

-

-

-

Kindobjekt anlegen

x

-

-

-

Löschen

x

-

-

-

Laden / Online-Change

x

-

-

-

Bootapplikation erzeugen

x

-

-

-

Variable lesen

-

-

-

x

Variable schreiben

-

-

x

x

Variable forcen

-

-

x

x

Haltepunkt setzen und löschen

-

x

x

-

Nächste Anweisung setzen

-

x

x

-

Aufrufliste lesen

-

-

-

x

Einzelzyklus

-

x

-

-

Ablaufkontrolle einschalten

-

x

x

-

Start / Stop

-

x

-

-

Reset

-

x

-

-

Retain-Variablen wiederherstellen

-

x

-

-

Retain-Variablen speichern

-

-

-

x

PLCShell

Aktuell wird nur das Recht Ändern ausgewertet. Das heißt, nur wenn an eine Benutzergruppe das Recht Ändern vergeben wurde, können auch PLC-Shell-Kommandos ausgeführt werden.

RemoteConnections

Unter diesem Knotenpunkt können weitere externe Verbindungen zur Steuerung konfiguriert werden. Aktuell kann hier der Zugriff auf den OPCUA-Server konfiguriert werden.

Settings

Dabei handelt es sich um den Onlinezugriff auf die Konfigurationseinstellungen einer Steuerung.

  • Security Settings: Der Zugriff zum Ändern der Sicherheitseinstellungen wird per Default nur dem Administrator gewährt.

UserManagement

Dabei handelt es sich um den Onlinezugriff auf die Benutzerverwaltung einer Steuerung. Sowohl der lesende als auch schreibende Zugriff wird per Default nur dem Administrator gewährt.

Access_rights.png

  • Access Rights: Wenn dieses Objekt selektiert ist, können im Rechte-Fenster Berechtigungen auf der Rechteverwaltung konfiguriert werden. Das heißt, es kann konfiguriert werden, welche Benutzergruppe die Rechteverwaltung grundsätzlich lesen darf, und welche Benutzergruppe die Rechteverwaltung auch ändern darf.

  • Groups: Für jede Benutzergruppe der Gerätebenutzerverwaltung wird automatisch ein eigenes Objekt erzeugt und unter Groups angezeigt. Wenn ein Benutzergruppen-Objekt selektiert ist, können die Berechtigungen auf der Benutzergruppe konfiguriert werden. Das heißt, es kann konfiguriert werden, welche Benutzergruppe die Benutzergruppe lesen oder ändern darf, beispielsweise neue Benutzer der Benutzergruppe hinzufügen darf.

    Standardmäßig sind für folgende Benutzergruppen Objekte vorhanden:

    • Administrator

    • Developer

    • Service

    • Watch

    Damit können abgestufte bzw. eingeschränkte Administratorgruppen eingerichtet werden. So kann beispielsweise eine Visualisierungs-Administratorgruppe eingerichtet werden, die der Visualisierungs-Benutzergruppe nur bestehende Benutzer hinzufügen kann, aber keine neuen Benutzer anlegen, oder die Passwörter bestehender Benutzer ändern kann .

  • Users: Wenn dieses Objekt selektiert ist, können die Berechtigungen der Benutzergruppe auf die Benutzer konfiguriert werden. Das heißt, es kann konfiguriert werden, welche Benutzergruppe Benutzer lesen, ändern oder hinzufügen darf, beispielsweise neue Benutzer anlegen darf.

Für weitere Informationen siehe: Gerätebenutzerverwaltung handhabenGerätebenutzerverwaltung handhaben

X509

Hierüber wird der Onlinezugriff auf die X.509 Zertifikate gesteuert. Hierbei werden 2 Arten von Zugriffen unterschieden:

  • Lesen (Ansehen)

  • Schreiben (Ändern)

Jede einzelne Operation ist dabei jeweils einem dieser beiden Zugriffsrechte zugeordnet. Jede Operation wird hierbei als Unterobjekt unter X509 eingehängt. Daher kann nun der Zugriff pro Operation nochmals feiner unterteilt werden.

Dateisystemobjekte → /

Unter dem Dateisystemobjekt „/“ werden alle Ordner aus dem Ausführungspfad der Steuerung eingehängt. Damit können Sie spezifische Rechte jedem Ordner des Dateisystems vergeben.

In diesem Abschnitt: