Skip to main content

Benutzerverwaltung / Zugriffsrechte für das Gerät handhaben

Für Geräte, die eine Gerätebenutzerverwaltung unterstützen, gibt es im Geräteeditor die Registerkarten Benutzer und Gruppen und Zugriffsrechte. Wenn das Gerät es zuläßt, können Sie hier die Benutzerverwaltung für das Gerät nicht nur einsehen, sondern im Synchronisierungsbetrieb (nicht im Offlinebetrieb) auch bearbeiten. Hier können Sie den definierten Benutzergruppen bestimmte Rechte auf der Steuerung zuweisen oder verweigern. Die Benutzer benötigen dann die hier definierten Zugangsdaten mit Passwort, um sich auf dem Steuerungsgerät einzuloggen.

Die Gerätebenutzerverwaltung kann bereits durch die Gerätebeschreibung vordefiniert sein.

Anmerkung

Für CODESYS Control for <device> SL mit Version >= 3.5 SP17 wird die Benutzerverwaltung als Kommunikationsrichtlinie standardmäßig erzwungen. Für ältere Versionen bis zurück zu 3.5 SP14 muss sie explizit aktiviert und erzwungen werden. Noch ältere Versionen bieten nur eine sehr einfache Benutzerverwaltung.

Tipp

Beachten Sie die Befehle des Menüs Online → Sicherheit. Sie erlauben in vereinfachter Weise das Hinzufügen, Bearbeiten oder Entfernen eines Benutzerkontos auf der Steuerung, auf der Sie gerade eingeloggt sind.

Tipp

Damit die Registerkarte Zugriffsrechte im Geräteeditor verfügbar ist, muss die entsprechende CODESYS-Option für den Geräteeditor aktiviert sein und auch in der Gerätebeschreibung freigeschaltet sein. Wenn also der Geräteeditor-Dialog nicht verfügbar sein sollte, wenden Sie sich an den Hersteller der Steuerung.

Zugriffsrechte können nur Gruppen zugewiesen werden, nicht einzelnen Benutzern. Deshalb muss jeder Benutzer Mitglied einer Gruppe sein. Es gibt vordefinierte Standardbenutzergruppen, siehe unten. Diese sowie zusätzliche Gruppen und Benutzer werden in der Registerkarte Benutzer und Gruppen des Geräteeditors konfiguriert. Nachdem die Benutzerverwaltung auf der Steuerung eingerichtet ist, können Sie die Zugriffsrechte darauf konfigurieren.

Falls die Benutzerverwaltung eines Geräts noch nicht "aktiv" sein sollte, kann sie wahlweise durch eine der folgenden Aktionen aktiviert werden:

  • durch Umschalten in den synchronisierten Betrieb auf der Registerkarte Benutzer und Gruppen im Geräteeditor

  • durch das Hinzufügen eines neues Benutzers mit dem Befehl Online → Sicherheit → Gerätebenutzer hinzufügen

  • durch Zustimmen nach der Aufforderung zum Aktivieren beim erstmaligen Verbindungsaufbau und Anmelden auf der Steuerung

Tipp

Für die CODESYS Control-Geräte ist eine Benutzerverwaltung standardmäßig erzwungen.

Standardbenutzergruppen in der Gerätebenutzerverwaltung von CODESYS Control

Es gibt folgende vordefinierte Benutzergruppen:

  • Administrator: Alle Rechte.

    Wenn Sie das erste Mal auf der SPS einloggen, werden Sie angeleitet, die Gerätebenutzerverwaltung zu aktivieren und dann zunächst einen Benutzer der Gruppe Administrator anzulegen. Als dieser Benutzer können Sie weitere Benutzer und Gruppen einrichten und Zugriffsrechte verteilen.

  • Developer: Rechte für Download, Online-Change, Debuggen, Forcen

  • Service: Backup&Restore der IEC-Applikation, Update der IEC-Applikation (Übertragen von Bootprojekten), aber keine Programmierung/Debugging der IEC-Applikation

  • Watch: Nur Leserecht

Zugriffsrechte

Zugriffsrechte können für die folgenden Aktionen vergeben werden, die auf die einzelnen Objekte der Steuerung ausgeführt werden:

  • Hinzufügen/Entfernen

  • Ändern

  • Ansehen

  • Ausführen

Ein Objekt auf der Steuerung ist meist einer einzelnen Steuerungskomponente zugeordnet.

Jedes Objekt kann alle der aufgelisteten Aktionen nutzen, aber meist werden auf einem Objekt nur die Rechte für folgende Aktionen benötigt:

  • Ansehen

  • Ändern

Die Objekte sind in einer Baumstruktur organisiert. Es gibt 2 Wurzelobjekte für die 2 Arten von Objekten:

  • Laufzeitsystemobjekte → Device: In diesen Objekten werden alle Objekte verwaltet, die einen Onlinezugang in der Steuerung besitzen und die damit die Zugriffsrechte steuern müssen. Hier gibt es auch ein Objekt Device → UserManagement und darunter jeweils ein Objekt Access Rights, ein Objekt Groups und ein Objekt Users. Unter dem Objekt Groups befinden sich alle definierten Benutzergruppen, denen dann die Berechtigungen für die Benutzergruppen zugewiesen werden können. Für weitere Informationen siehe Übersicht über die Objekte.

  • Dateisystemobjekte → /: In diesen Objekten können die Rechte auf Ordner des aktuellen Ausführungsverzeichnisses der Steuerung vergeben werden.

Die Zugriffsrechte werden vom Wurzelobjekt (also Device oder „/„) an die Unterobjekte vererbt. Wenn Sie auf einem übergeordneten Objekt ein Recht einer Benutzergruppe entziehen oder explizit vergeben, dann wirkt dies auf alle Unterobjekte.

Ein einzelnes Recht kann explizit erteilt oder verweigert sein (grünes Pluszeichen oder rotes Minuszeichen), oder es ist „neutral“ (hellgraues Zeichen). Neutral bedeutet, dass das Recht weder explizit erteilt noch verweigert wurde. In diesem Fall wirkt dann das Recht des übergeordneten Objekts.

Wenn in der gesamten Hierarchie der Objekte kein Recht explizit erteilt oder verweigert wurde, dann ist es per Definition verweigert. Damit sind zunächst alle Rechte verweigert, mit Ausnahme des Zugriffsrechts für die Aktion Ansehen: Dieses Recht ist zunächst für jede Benutzergruppe sowohl auf dem Laufzeitsystemobjekt Device als auch auf dem Dateisystemobjekt „/“ erteilt. Damit ist lesender Zugriff auf alle Objekte initial erlaubt, es sei denn, es wird in Unterobjekten explizit entzogen.

Eine Übersichtstabelle für die Objekte finden Sie auf der Hilfeseite Registerkarte: Zugriffsrechte.

Sehen Sie die nachfolgenden Anleitungen zum Arbeiten im Editor für die Gerätebenutzerverwaltung.

Erstmaliges Anmelden auf der Steuerung, um deren Benutzerverwaltung zu bearbeiten oder anzusehen

Voraussetzung: Die Verbindung zum Steuerungsgerät ist konfiguriert. Die Steuerung unterstützt eine Gerätebenutzerverwaltung, es ist aber noch keine aktiv.

  1. Stellen Sie zunächst die Kommunikation mit dem Steuerungsgerät auf "verschlüsselt" um, um bei der Übertragung der Benutzerverwaltung anderen Teilnehmern im Netzwerk keine Zugangsdaten preiszugeben. Dies ist im Geräteeditor in der Registerkarte Kommunikation, oder in der Ansicht Security-Screen möglich. Für weitere Informationen siehe: Kommunikation mit Zertifikat verschlüsseln, Sicherheitsrichtlinie ändern.

  2. Doppelklicken Sie auf das Steuerungsgeräteobjekt im Gerätebaum und wählen Sie im Geräteeditor die Registerkarte Benutzer und Gruppen. Klicken Sie auf die Schaltfläche rdncy_icon_update_framed.png.

    Ein Dialog erscheint mit der Abfrage, ob die Gerätebenutzerverwaltung aktiviert werden soll.

  3. Bestätigen Sie die Abfrage mit Ja.

    Der Dialog Gerätebenutzer hinzufügen öffnet sich.

  4. Legen Sie jetzt einen Gerätebenutzer an, um dann als dieser Benutzer die Benutzerverwaltung bearbeiten zu können. In diesem Fall steht nur die Gruppe Administrator zur Verfügung. Definierten Sie für den Benutzer Name und Passwort. Die Passwortstärke wird angezeigt. Beachten Sie auch die eingestellten Optionen bezüglich einer Passwortänderung. Standardmäßig kann das Passwort vom Benutzer zu einer beliebigen Zeit geändert werden. Über die Schaltfläche _cds_icon_password_manager.png können Sie die Zugangsdaten im Passwort-Manager ablegen.

    Bestätigen Sie mit OK.

    Der Dialog Gerätebenutzeranmeldung öffnet sich.

  5. Geben Sie für den gerade definierten Benutzer Benutzername und Passwort ein.

    Nach Bestätigung mit OK wird die Gerätebenutzerverwaltung im Editorfenster dargestellt. Sie enthält den gerade definierten Benutzer der Gruppe Administrator. Der Benutzername erscheint auch in der Taskleiste des Fensters als Gerätebenutzer.

Neuen Benutzer in der Benutzerverwaltung des Steuerungsgeräts einrichten

Voraussetzung: Die Steuerung hat eine Gerätebenutzerverwaltung. Sie haben entsprechende Zugangsdaten.

  1. Doppelklicken Sie auf das Steuerungsgeräteobjekt im Gerätebaum. Wählen Sie die Registerkarte Benutzer und Gruppen.

  2. Klicken Sie die Schaltfläche rdncy_icon_update_framed.png (Synchronisierung), um die Benutzerverwaltungskonfiguration vom Steuerungsgerät in den Editor zu laden. Wenn Sie noch nicht auf dem Gerät eingeloggt sind, erhalten Sie zunächst den Dialog Gerätebenutzeranmeldung zur Eingabe Ihres Benutzernamens und Passworts. Sehen Sie zum Anlegen eines Benutzerkontos für das erstmalige Anmelden die vorangegangene Anleitung .

    Die Benutzerverwaltungskonfiguration des Geräts wird im Editor dargestellt.

  3. Klicken Sie im Fenster Benutzer auf die Schaltfläche Hinzufügen.

    Der Dialog Benutzer hinzufügen öffnet sich.

  4. Geben Sie den Namen des neuen Benutzers ein und ordnen Sie ihn einer Gruppe zu. Diese gilt als seine - minimal erforderliche - „Standardgruppe“. Der Benutzer kann später noch weiteren Gruppen zugeordnet werden. Definieren und bestätigen Sie ein Passwort für den Benutzer. Legen Sie fest, ob er das Passwort selbst ändern kann und ob er es beim ersten Einloggen ändern muss. Bestätigen Sie mit OK.

    Der neue Benutzer erscheint im Fenster Benutzer als neuer Knoten, und im Fenster Gruppen als neuer Untereintrag der gewählten Standardgruppe.

Tipp

Entsprechend dieser Anleitung können im Fenster Gruppen auch neue Benutzergruppen hinzugefügt werden. Für jede Benutzergruppe wird automatisch ein Laufzeitsystemobjekt erzeugt und in der Registerkarte Zugriffsrechte unter dem Objekt UserManagement angezeigt. Damit können abgestufte oder eingeschränkte Administratorgruppen eingerichtet werden. So kann beispielsweise eine Visualisierungs-Administratorgruppe eingerichtet werden, welche der Visualisierungs-Benutzergruppe nur bestehende Benutzer hinzufügen kann, aber keine neuen Benutzer anlegen, oder die Passwörter bestehender Benutzer ändern kann.

Für weitere Informationen siehe: Übersicht über die Objekte

Zugriffsrechte auf Steuerungsobjekte in der Benutzerverwaltung des Steuerungsgeräts verändern

Voraussetzung: Die Steuerung hat eine Gerätebenutzerverwaltung. Sie haben entsprechende Zugangsdaten.

  1. Doppelklicken Sie auf das Steuerungsgeräteobjekt im Gerätebaum. Wählen Sie die Registerkarte Zugriffsrechte.

  2. Klicken Sie die Schaltfläche rdncy_icon_update_framed.png (Synchronisierung), um die Rechteverwaltungskonfiguration vom Steuerungsgerät in den Editor zu laden. Wenn Sie noch nicht auf dem Gerät eingeloggt sind, erhalten Sie zunächst den Dialog Gerätebenutzeranmeldung zur Eingabe Ihrer Zugangsdaten.

    Die Zugriffsrechtekonfiguration des Geräts wird im Editor angezeigt.

    _cds_img_device_user_management_access_rights.png

  3. Selektieren Sie links im Objektebaum das Objekt, für das Sie die Zugriffsrechte ändern wollen.

    Im Fenster Rechte zeigt eine Tabelle die Zugriffsrechte auf dieses Objekt für jede der konfigurierten Benutzergruppen an.

  4. Doppelklicken Sie in der Tabelle auf das Recht, das Sie verändern wollen.

    Wenn das Objekt Unterobjekte hat, öffnet sich ein Dialog mit der Abfrage, ob Sie das Recht auch für die Kindobjekte verändern wollen.

  5. Schließen Sie die Abfrage mit Ja oder Nein.

    Das Recht zwischen „explizit erlaubt“ _cds_icon_grant.png und „explizit untersagt“ _cds_icon_right_denied.png sowie vererbt _cds_icon_grant_greyed.png und _cds_icon_deny_greyed.png durchgeschaltet. Das Symbol in der Tabellenzelle ändert sich entsprechend. Explizit gesetzte Rechte erscheinen in der Tabelle als grüne oder rote Symbole, vom Elternobjekt geerbte Rechte erscheinen als graue Symbole.

Im Offlinebetrieb eine gespeicherte Benutzerverwaltung aus einer DUM2-Datei auf eine Steuerung übertragen und dort aktivieren

Tipp

Ab V3.5 SP16 wird für den Export einer Benutzerverwaltung eine mit einem Passwort zu verschlüsselnde Datei *.dum2 verwendet.

  1. Doppelklicken Sie auf das Steuerungsgeräteobjekt im Gerätebaum.

    Der Geräteeditor öffnet.

  2. Wählen Sie die Registerkarte Benutzer und Gruppen.

  3. Klicken Sie auf die Schaltfläche _cds_icon_open_file_framed.png.

    Der Dialog zur Auswahl einer Datei vom lokalen Dateisystem erscheint.

  4. Wählen Sie die Datei (<file name>.dum2) mit der gewünschten Benutzerverwaltung aus und bestätigen Sie mit Öffnen.

    Der Dialog Passwort eingeben erscheint.

  5. Geben Sie das Passwort ein, das beim Exportieren der Benutzerverwaltungsdatei (möglich über die Schaltfläche _cds_icon_save_to_disc_framed.png) vergeben wurde.

    ACHTUNG: Der Import einer Gerätebenutzerverwaltung über eine *.dum2-Datei überschreibt die bestehende Benutzerverwaltung auf dem Gerät komplett! Um danach wieder auf dem Gerät einloggen zu können, benötigen Sie Authentifizierungsdaten aus der neu importierten Benutzerverwaltung.

    Bei korrekter Passworteingabe wird die Konfiguration aus der geladenen Benutzerverwaltungsdatei nun im Editorfenster dargestellt.

  6. Bearbeiten Sie die Konfiguration wie gewünscht. Beispielsweise durch Ändern eines Benutzerpassworts, Hinzufügen neuer Benutzer etc.

    Jede Änderung wird sofort auf das Gerät geladen.

Benutzerverwaltung wieder deaktivieren

Wichtig

Nach Deaktivieren der Benutzerverwaltung ist Ihre Steuerung wieder für jeden zugänglich, der sich im Netzwerk der Steuerung befindet. Tun Sie dies deshalb nur in begründeten Ausnahmefällen oder wenn die verwendeten Clients keinerlei Benutzerverwaltung unterstützen.

Tipp

Für das Aktivieren der Benutzerverwaltung ist mindestens ein Entwicklungssystem CODESYS Version V3.5 SP16 nötig, Das bedeutet, dass Sie sich bei einer erzwungenen Benutzerverwaltung, die noch nicht aktiviert wurde, nicht mit einem älteren Entwicklungssystem verbinden kann.

Um eine erzwungene, aktive Benutzerverwaltung auf "Optional" zurückzusetzen, gehen Sie folgendermaßen vor:

  1. Doppelklicken Sie die Steuerung im Gerätebaum, wählen Sie in der Registerkarte Kommunikation den Befehl Netzwerk durchsuchen und stellen Sie die Verbindung zu Ihrer Steuerung her.

  2. Wählen Sie in der Registerkarte Kommunikation den Befehl GerätLaufzeitsystem-Sicherheitsrichtlinie ändern. Hinweis: Das Menü ist nur verfügbar, solange Sie nicht auf dem Gerät eingeloggt sind.

  3. Wählen Sie im Dialog Laufzeitsystem-Sicherheitsrichtlinie ändern im Bereich Gerätebenutzerverwaltung als Neue Richtlinie die Optionale Benutzerverwaltung aus und klicken Sie auf OK.

    Die Sicherheitsrichtlinie für die Gerätebenutzerverwaltung ist auf "Optional" eingestellt.

  4. Stellen Sie die Verbindung zur Steuerung her und wählen Sie im Menü Online den Befehl Reset Ursprung Gerät. Damit wird die noch aktive Benutzerverwaltung gelöscht und die Einstellung gesetzt, dass die Steuerung nur eine optionale Benutzerverwaltung haben soll. Hinweis: Ab CODESYS Version 3.5.16.20 können Sie beim Ausführen von Reset Ursprung Gerät die Bootapplikation vom Löschvorgang ausnehmen.

In diesem Abschnitt: