Skip to main content

How To: Benutzerverwaltung für die SPS sicher einsetzen

How To: Passwortschutz

Ein Passwort ist die einfachste Art des Zugriffsschutzes.

Passwort konfigurieren, ändern und im Passwort-Manager handhaben

Die Gerätebenutzer benötigen die in der Gerätebenutzerverwaltung konfigurierten Zugangsdaten Benutzername und Passwort, um sich auf dem Steuerungsgerät einzuloggen. Der eingeloggte Gerätebenutzer kann sein Passwort mit Hilfe des Befehls OnlineSicherheitPasswort Gerätebenutzer ändern ändern. Hinweis: Aktuell benötigt ein Benutzer dafür noch das Leserecht für die Gerätebenutzerverwaltung.

Das Passwort für das Einloggen eines Gerätebenutzers können Sie im Passwort-Manager ablegen. Dafür steht im Dialog Gerätebenutzeranmeldung die Schaltfläche _cds_icon_password_manager.png zur Verfügung. Für weitere Informationen siehe: How To: Projekt unter Passwortschutz stellen.

Passwortrichtlinie und Login-Sperre handhaben

Durch das Verwenden einer Passwortrichtlinie und einer Login-Sperre erreichen Sie, dass möglichst sichere Zugangsdaten für die Steuerung konfiguriert werden und Angreifer nicht durch häufiges Probieren die Zugangsdaten erraten können.

Wichtig

Standardmäßig ist eine Passwortrichtlinie aktiviert und es wird nicht empfohlen, sie zu deaktivieren. Die Einstellungen können im Geräteeditor wie nachfolgend beschrieben bearbeitet werden. Der entsprechende Eintrag für das Aktivieren in der Konfigurationsdatei des Geräts ist:

[CmpUserMgr] 
SECURITY.UserMgmt.PasswordPolicy=ENABLED
Prozedur. Passwortrichtlinie ändern

  1. Doppelklicken Sie auf die Steuerung im Gerätebaum.

    Der Geräteeditor öffnet sich. Die Registerkarte Kommunikation wird angezeigt.

  2. Klicken Sie in der Kopfzeile auf die Schaltfläche Netzwerk durchsuchen und wählen Sie im Dialog Gerät auswählen das gewünschte Gerät aus. Anschließend klicken Sie auf OK.

    Der aktive Pfad zur Steuerung wird gesetzt.

  3. Wählen Sie im Menü Gerät den Befehl Laufzeitsystem-Passwortrichtlinie ändern. Hinweis: Das Befehlsmenü ist nur aktiv, wenn Sie nicht eingeloggt sind.

  4. Im Dialog Laufzeitsystem-Passwortrichtlinie ändern können Sie die Standardeinstellungen für die Login-Sperre ändern oder auch die Login-Sperre deaktivieren (Option Login-Sperre ist aktiv). Für weitere Informationen siehe: Dialog Laufzeitsystem-Sicherheitsrichtlinie ändern

    Standardmäßig ist für die Benutzergruppe Administrator eine Login-Sperre aktiviert, da diese Benutzergruppe erhöhte Sicherheitskriterien erfüllen muss und auch besser geschützt sein sollte. Wenn die maximale Anzahl der Einlog-Versuche überschritten wird, wird der Benutzer für die konfigurierte Zeitdauer (standardmäßig 3 600 Sekunden) gesperrt. Zum Freischalten eines gesperrten Benutzers siehe die unten folgende Anleitung.

  5. Bestätigen Sie die durchgeführten Änderungen mit einem Klick auf die Schaltfläche OK.

    Die konfigurierte Login-Sperre ist ab sofort beim Anmelden bei der Gerätebenutzerverwaltung für Benutzer der im Geltungsbereich ausgewählten Benutzergruppe aktiv.

    Wenn die im Feld Maximal erneute Versuche angegebene Anzahl der Einlog-Versuche überschritten wird, wird der Benutzer für die im Feld Dauer der Sperre [s] angezeigte Zeitdauer gesperrt.

. Freischalten eines gesperrten Benutzers

Wenn ein Benutzer durch die Login-Sperre für eine bestimmte Zeit gesperrt wurde, können Sie ihn mit einer der folgenden alternativen Möglichkeiten wieder freischalten:

  • Ein Administrator oder ein Mitglied einer Benutzergruppe, die Schreibrechte für die Benutzergruppe des gesperrten Benutzers besitzt, vergibt für den Benutzer ein neues Passwort.

  • Starten Sie das Laufzeitsystem neu.

How To: Interaktiven Login-Modus aktivieren

Wenn das Zielgerät es unterstützt, können Sie einen interaktiven Login-Modus aktivieren, um zu vermeiden, dass der Benutzer versehentlich auf das falsche Zielgerät einloggt.

  • Selektieren Sie das Geräteobjekt im Gerätebaum und öffnen Sie über das Kontextmenü den Dialog Eigenschaften. Wechseln Sie zur Registerkarte Optionen.

    Wenn vom Zielgerät unterstützt, stehen verschiedene interaktive Login-Modi zur Auswahl.

Für weitere Informationen zum Dialog siehe: Dialog Eigenschaften: Optionen

How To: Benutzerverwaltung und Zugriffsrechte für das Gerät handhaben

Für Geräte, die eine Gerätebenutzerverwaltung unterstützen, gibt es im Geräteeditor die Registerkarten Benutzer und Gruppen und Zugriffsrechte. Wenn das Gerät es zulässt, können Sie hier die Benutzerverwaltung für das Gerät nicht nur einsehen, sondern im Synchronisierungsbetrieb (nicht im Offlinebetrieb) auch bearbeiten. Hier können Sie den definierten Benutzergruppen bestimmte Rechte auf der Steuerung zuweisen oder verweigern. Die Benutzer benötigen dann die hier definierten Zugangsdaten mit Passwort, um sich auf dem Steuerungsgerät einzuloggen.

Die Gerätebenutzerverwaltung kann bereits durch die Gerätebeschreibung vordefiniert sein.

Anmerkung

Für CODESYS Control for <device> SL mit Version >= 3.5 SP17 wird die Benutzerverwaltung als Kommunikationsrichtlinie standardmäßig erzwungen. Für ältere Versionen bis zurück zu 3.5 SP14 muss sie explizit aktiviert und erzwungen werden. Noch ältere Versionen bieten nur eine sehr einfache Benutzerverwaltung.

Tipp

Beachten Sie die Befehle des Menüs Online → Sicherheit. Sie erlauben in vereinfachter Weise das Hinzufügen, Bearbeiten oder Entfernen eines Benutzerkontos auf der Steuerung, auf der Sie gerade eingeloggt sind.

Tipp

Damit die Registerkarte Zugriffsrechte im Geräteeditor verfügbar ist, muss die entsprechende CODESYS-Option für den Geräteeditor aktiviert sein und auch in der Gerätebeschreibung freigeschaltet sein. Wenn also der Geräteeditor-Dialog nicht verfügbar sein sollte, wenden Sie sich an den Hersteller der Steuerung.

Zugriffsrechte können nur Gruppen zugewiesen werden, nicht einzelnen Benutzern. Deshalb muss jeder Benutzer Mitglied einer Gruppe sein. Es gibt vordefinierte Standardbenutzergruppen, siehe unten. Diese sowie zusätzliche Gruppen und Benutzer werden in der Registerkarte Benutzer und Gruppen des Geräteeditors konfiguriert. Nachdem die Benutzerverwaltung auf der Steuerung eingerichtet ist, können Sie die Zugriffsrechte darauf konfigurieren.

Falls die Benutzerverwaltung eines Geräts noch nicht "aktiv" sein sollte, kann sie wahlweise durch eine der folgenden Aktionen aktiviert werden:

  • durch Umschalten in den synchronisierten Betrieb auf der Registerkarte Benutzer und Gruppen im Geräteeditor

  • durch das Hinzufügen eines neues Benutzers mit dem Befehl Online → Sicherheit → Gerätebenutzer hinzufügen

  • durch Zustimmen nach der Aufforderung zum Aktivieren beim erstmaligen Verbindungsaufbau und Anmelden auf der Steuerung

Tipp

Für die CODESYS Control-Geräte ist eine Benutzerverwaltung standardmäßig erzwungen.

Standardbenutzergruppen in der Gerätebenutzerverwaltung von CODESYS Control

Es gibt folgende vordefinierte Benutzergruppen:

  • Administrator: Alle Rechte.

    Wenn Sie das erste Mal auf der SPS einloggen, werden Sie angeleitet, die Gerätebenutzerverwaltung zu aktivieren und dann zunächst einen Benutzer der Gruppe Administrator anzulegen. Als dieser Benutzer können Sie weitere Benutzer und Gruppen einrichten und Zugriffsrechte verteilen.

  • Developer: Rechte für Download, Online-Change, Debuggen, Forcen

  • Service: Backup&Restore der IEC-Applikation, Update der IEC-Applikation (Übertragen von Bootprojekten), aber keine Programmierung/Debugging der IEC-Applikation

  • Watch: Nur Leserecht

Zugriffsrechte

Zugriffsrechte können für die folgenden Aktionen vergeben werden, die auf die einzelnen Objekte der Steuerung ausgeführt werden:

  • Hinzufügen/Entfernen

  • Ändern

  • Ansehen

  • Ausführen

Ein Objekt auf der Steuerung ist meist einer einzelnen Steuerungskomponente zugeordnet.

Jedes Objekt kann alle der aufgelisteten Aktionen nutzen, aber meist werden auf einem Objekt nur die Rechte für folgende Aktionen benötigt:

  • Ansehen

  • Ändern

Die Objekte sind in einer Baumstruktur organisiert. Es gibt 2 Wurzelobjekte für die 2 Arten von Objekten:

  • Laufzeitsystemobjekte → Device: In diesen Objekten werden alle Objekte verwaltet, die einen Onlinezugang in der Steuerung besitzen und die damit die Zugriffsrechte steuern müssen. Hier gibt es auch ein Objekt Device → UserManagement und darunter jeweils ein Objekt Access Rights, ein Objekt Groups und ein Objekt Users. Unter dem Objekt Groups befinden sich alle definierten Benutzergruppen, denen dann die Berechtigungen für die Benutzergruppen zugewiesen werden können. Für weitere Informationen siehe Übersicht über die Objekte.

  • Dateisystemobjekte → /: In diesen Objekten können die Rechte auf Ordner des aktuellen Ausführungsverzeichnisses der Steuerung vergeben werden.

Die Zugriffsrechte werden vom Wurzelobjekt (also Device oder „/„) an die Unterobjekte vererbt. Wenn Sie auf einem übergeordneten Objekt ein Recht einer Benutzergruppe entziehen oder explizit vergeben, dann wirkt dies auf alle Unterobjekte.

Ein einzelnes Recht kann explizit erteilt oder verweigert sein (grünes Pluszeichen oder rotes Minuszeichen), oder es ist „neutral“ (hellgraues Zeichen). Neutral bedeutet, dass das Recht weder explizit erteilt noch verweigert wurde. In diesem Fall wirkt dann das Recht des übergeordneten Objekts.

Wenn in der gesamten Hierarchie der Objekte kein Recht explizit erteilt oder verweigert wurde, dann ist es per Definition verweigert. Damit sind zunächst alle Rechte verweigert, mit Ausnahme des Zugriffsrechts für die Aktion Ansehen: Dieses Recht ist zunächst für jede Benutzergruppe sowohl auf dem Laufzeitsystemobjekt Device als auch auf dem Dateisystemobjekt „/“ erteilt. Damit ist lesender Zugriff auf alle Objekte initial erlaubt, es sei denn, es wird in Unterobjekten explizit entzogen.

Eine Übersichtstabelle für die Objekte finden Sie auf der Hilfeseite Registerkarte: Zugriffsrechte.

Sehen Sie die nachfolgenden Anleitungen zum Arbeiten im Editor für die Gerätebenutzerverwaltung.

Erstmaliges Anmelden auf der Steuerung, um deren Benutzerverwaltung zu bearbeiten oder anzusehen

Voraussetzung: Die Verbindung zum Steuerungsgerät ist konfiguriert. Die Steuerung unterstützt eine Gerätebenutzerverwaltung, es ist aber noch keine aktiv.

  1. Stellen Sie zunächst die Kommunikation mit dem Steuerungsgerät auf "verschlüsselt" um, um bei der Übertragung der Benutzerverwaltung anderen Teilnehmern im Netzwerk keine Zugangsdaten preiszugeben. Dies ist im Geräteeditor in der Registerkarte Kommunikation, oder in der Ansicht Security-Screen möglich. Für weitere Informationen siehe: How To: Kommunikation mit Zertifikat verschlüsseln und Sicherheitsrichtlinie ändern.

  2. Doppelklicken Sie auf das Steuerungsgeräteobjekt im Gerätebaum und wählen Sie im Geräteeditor die Registerkarte Benutzer und Gruppen. Klicken Sie auf die Schaltfläche _rdncy_icon_update_framed.png.

    Ein Dialog erscheint mit der Abfrage, ob die Gerätebenutzerverwaltung aktiviert werden soll.

  3. Bestätigen Sie die Abfrage mit Ja.

    Der Dialog Gerätebenutzer hinzufügen öffnet sich.

  4. Legen Sie jetzt einen Gerätebenutzer an, um dann als dieser Benutzer die Benutzerverwaltung bearbeiten zu können. In diesem Fall steht nur die Gruppe Administrator zur Verfügung. Definierten Sie für den Benutzer Name und Passwort. Die Passwortstärke wird angezeigt. Beachten Sie auch die eingestellten Optionen bezüglich einer Passwortänderung. Standardmäßig kann das Passwort vom Benutzer zu einer beliebigen Zeit geändert werden. Über die Schaltfläche _cds_icon_password_manager.png können Sie die Zugangsdaten im Passwort-Manager ablegen.

    Bestätigen Sie mit OK.

    Der Dialog Gerätebenutzeranmeldung öffnet sich.

  5. Geben Sie für den gerade definierten Benutzer Benutzername und Passwort ein.

    Nach Bestätigung mit OK wird die Gerätebenutzerverwaltung im Editorfenster dargestellt. Sie enthält den gerade definierten Benutzer der Gruppe Administrator. Der Benutzername erscheint auch in der Taskleiste des Fensters als Gerätebenutzer.

Neuen Benutzer in der Benutzerverwaltung des Steuerungsgeräts einrichten

Voraussetzung: Die Steuerung hat eine Gerätebenutzerverwaltung. Sie haben entsprechende Zugangsdaten.

  1. Doppelklicken Sie auf das Steuerungsgeräteobjekt im Gerätebaum. Wählen Sie die Registerkarte Benutzer und Gruppen.

  2. Klicken Sie die Schaltfläche _rdncy_icon_update_framed.png (Synchronisierung), um die Benutzerverwaltungskonfiguration vom Steuerungsgerät in den Editor zu laden. Wenn Sie noch nicht auf dem Gerät eingeloggt sind, erhalten Sie zunächst den Dialog Gerätebenutzeranmeldung zur Eingabe Ihres Benutzernamens und Passworts. Sehen Sie zum Anlegen eines Benutzerkontos für das erstmalige Anmelden die vorangegangene Anleitung .

    Die Benutzerverwaltungskonfiguration des Geräts wird im Editor dargestellt.

  3. Klicken Sie im Fenster Benutzer auf die Schaltfläche Hinzufügen.

    Der Dialog Benutzer hinzufügen öffnet sich.

  4. Geben Sie den Namen des neuen Benutzers ein und ordnen Sie ihn einer Gruppe zu. Diese gilt als seine - minimal erforderliche - „Standardgruppe“. Der Benutzer kann später noch weiteren Gruppen zugeordnet werden. Definieren und bestätigen Sie ein Passwort für den Benutzer. Legen Sie fest, ob er das Passwort selbst ändern kann und ob er es beim ersten Einloggen ändern muss. Bestätigen Sie mit OK.

    Der neue Benutzer erscheint im Fenster Benutzer als neuer Knoten, und im Fenster Gruppen als neuer Untereintrag der gewählten Standardgruppe.

Tipp

Entsprechend dieser Anleitung können im Fenster Gruppen auch neue Benutzergruppen hinzugefügt werden. Für jede Benutzergruppe wird automatisch ein Laufzeitsystemobjekt erzeugt und in der Registerkarte Zugriffsrechte unter dem Objekt UserManagement angezeigt. Damit können abgestufte oder eingeschränkte Administratorgruppen eingerichtet werden. So kann beispielsweise eine Visualisierungs-Administratorgruppe eingerichtet werden, welche der Visualisierungs-Benutzergruppe nur bestehende Benutzer hinzufügen kann, aber keine neuen Benutzer anlegen, oder die Passwörter bestehender Benutzer ändern kann.

Für weitere Informationen siehe: Übersicht über die Objekte

Zugriffsrechte auf Steuerungsobjekte in der Benutzerverwaltung des Steuerungsgeräts verändern

Voraussetzung: Die Steuerung hat eine Gerätebenutzerverwaltung. Sie haben entsprechende Zugangsdaten.

  1. Doppelklicken Sie auf das Steuerungsgeräteobjekt im Gerätebaum. Wählen Sie die Registerkarte Zugriffsrechte.

  2. Klicken Sie die Schaltfläche _rdncy_icon_update_framed.png (Synchronisierung), um die Rechteverwaltungskonfiguration vom Steuerungsgerät in den Editor zu laden. Wenn Sie noch nicht auf dem Gerät eingeloggt sind, erhalten Sie zunächst den Dialog Gerätebenutzeranmeldung zur Eingabe Ihrer Zugangsdaten.

    Die Zugriffsrechtekonfiguration des Geräts wird im Editor angezeigt.

    _cds_img_device_user_management_access_rights.png

  3. Selektieren Sie links im Objektebaum das Objekt, für das Sie die Zugriffsrechte ändern wollen.

    Im Fenster Rechte zeigt eine Tabelle die Zugriffsrechte auf dieses Objekt für jede der konfigurierten Benutzergruppen an.

  4. Doppelklicken Sie in der Tabelle auf das Recht, das Sie verändern wollen.

    Wenn das Objekt Unterobjekte hat, öffnet sich ein Dialog mit der Abfrage, ob Sie das Recht auch für die Kindobjekte verändern wollen.

  5. Schließen Sie die Abfrage mit Ja oder Nein.

    Das Recht zwischen „explizit erlaubt“ _cds_icon_grant.png und „explizit untersagt“ _cds_icon_right_denied.png sowie vererbt _cds_icon_grant_greyed.png und _cds_icon_deny_greyed.png durchgeschaltet. Das Symbol in der Tabellenzelle ändert sich entsprechend. Explizit gesetzte Rechte erscheinen in der Tabelle als grüne oder rote Symbole, vom Elternobjekt geerbte Rechte erscheinen als graue Symbole.

Im Offlinebetrieb eine gespeicherte Benutzerverwaltung aus einer DUM2-Datei auf eine Steuerung übertragen und dort aktivieren

Tipp

Ab V3.5 SP16 wird für den Export einer Benutzerverwaltung eine mit einem Passwort zu verschlüsselnde Datei *.dum2 verwendet.

  1. Doppelklicken Sie auf das Steuerungsgeräteobjekt im Gerätebaum.

    Der Geräteeditor öffnet.

  2. Wählen Sie die Registerkarte Benutzer und Gruppen.

  3. Klicken Sie auf die Schaltfläche _cds_icon_open_file_framed.png.

    Der Dialog zur Auswahl einer Datei vom lokalen Dateisystem erscheint.

  4. Wählen Sie die Datei (<file name>.dum2) mit der gewünschten Benutzerverwaltung aus und bestätigen Sie mit Öffnen.

    Der Dialog Passwort eingeben erscheint.

  5. Geben Sie das Passwort ein, das beim Exportieren der Benutzerverwaltungsdatei (möglich über die Schaltfläche _cds_icon_save_to_disc_framed.png) vergeben wurde.

    ACHTUNG: Der Import einer Gerätebenutzerverwaltung über eine *.dum2-Datei überschreibt die bestehende Benutzerverwaltung auf dem Gerät komplett! Um danach wieder auf dem Gerät einloggen zu können, benötigen Sie Authentifizierungsdaten aus der neu importierten Benutzerverwaltung.

    Bei korrekter Passworteingabe wird die Konfiguration aus der geladenen Benutzerverwaltungsdatei nun im Editorfenster dargestellt.

  6. Bearbeiten Sie die Konfiguration wie gewünscht. Beispielsweise durch Ändern eines Benutzerpassworts, Hinzufügen neuer Benutzer etc.

    Jede Änderung wird sofort auf das Gerät geladen.

Benutzerverwaltung wieder deaktivieren

Wichtig

Nach Deaktivieren der Benutzerverwaltung ist Ihre Steuerung wieder für jeden zugänglich, der sich im Netzwerk der Steuerung befindet. Tun Sie dies deshalb nur in begründeten Ausnahmefällen oder wenn die verwendeten Clients keinerlei Benutzerverwaltung unterstützen.

Tipp

Für das Aktivieren der Benutzerverwaltung ist mindestens ein Entwicklungssystem CODESYS Version V3.5 SP16 nötig, Das bedeutet, dass Sie sich bei einer erzwungenen Benutzerverwaltung, die noch nicht aktiviert wurde, nicht mit einem älteren Entwicklungssystem verbinden kann.

Um eine erzwungene, aktive Benutzerverwaltung auf "Optional" zurückzusetzen, gehen Sie folgendermaßen vor:

  1. Doppelklicken Sie die Steuerung im Gerätebaum, wählen Sie in der Registerkarte Kommunikation den Befehl Netzwerk durchsuchen und stellen Sie die Verbindung zu Ihrer Steuerung her.

  2. Wählen Sie in der Registerkarte Kommunikation den Befehl GerätLaufzeitsystem-Sicherheitsrichtlinie ändern. Hinweis: Das Menü ist nur verfügbar, solange Sie nicht auf dem Gerät eingeloggt sind.

  3. Wählen Sie im Dialog Laufzeitsystem-Sicherheitsrichtlinie ändern im Bereich Gerätebenutzerverwaltung als Neue Richtlinie die Optionale Benutzerverwaltung aus und klicken Sie auf OK.

    Die Sicherheitsrichtlinie für die Gerätebenutzerverwaltung ist auf "Optional" eingestellt.

  4. Stellen Sie die Verbindung zur Steuerung her und wählen Sie im Menü Online den Befehl Reset Ursprung Gerät. Damit wird die noch aktive Benutzerverwaltung gelöscht und die Einstellung gesetzt, dass die Steuerung nur eine optionale Benutzerverwaltung haben soll. Hinweis: Ab CODESYS Version 3.5.16.20 können Sie beim Ausführen von Reset Ursprung Gerät die Bootapplikation vom Löschvorgang ausnehmen.

Benutzerverwaltung auf die von CODESYS vordefinierten Benutzergruppen und deren vordefinierte Benutzerrechte zurücksetzen

  1. Stellen Sie die Verbindung zur Steuerung her.

  2. Öffnen Sie die Registerkarte Zugriffsrechte. Prüfen Sie zunächst, ob die betreffende Benutzergruppe (z. B. die Gruppe Administrator) mindestens die Rechte Ansehen und Hinzufügen/Entfernen auf dem Objekt Device besitzt. (Das Objekt Device ist der oberste Knotenpunkt im Rechtebaum der Laufzeitsystemobjekte). Wenn die Benutzergruppe diese Rechte nicht hat, geben Sie der Benutzergruppe diese Zugriffsrechte. Wenn diese Gruppe noch keinen Benutzer hat, weisen Sie der Gruppe einen Benutzer zu.

  3. Wählen Sie im Kontextmenü der Steuerung im Gerätebaum den Befehl Reset Ursprung Gerät und setzen Sie damit die Benutzerverwaltung zurück. Gegebenenfalls müssen Sie sich dabei erneut auf die Steuerung einloggen. Verwenden Sie in diesem Fall einen Benutzer der in Schritt 2 konfigurierten Gruppe.

  4. Wenn Sie sich nun das nächste Mal auf die Steuerung einloggen, werden beim ersten Anlegen eines Benutzers der Gruppe Administrator die Standardgruppen und Standardrechte wieder hergestellt.

In diesem Abschnitt: