Skip to main content

Pestaña: Derechos de acceso

Recomendaciones para la protección de datos

Para minimizar el riesgo de violaciones de la seguridad de los datos, recomendamos las siguientes acciones organizativas y técnicas para el sistema en el que se ejecutan sus aplicaciones. Siempre que sea posible, evite exponer el PLC y las redes de control a redes abiertas e Internet. Use capas de enlace de datos adicionales para la protección, como VPN para acceso remoto, e instale mecanismos de firewall. Restrinja el acceso solo a personas autorizadas y cambie las contraseñas predeterminadas existentes durante la puesta en servicio inicial, y cámbielas periódicamente.

Importante

Se proporciona información detallada sobre el concepto y el uso de la gestión de usuarios de dispositivos en la Manejo de la administración de usuarios de dispositivos capítulo.

Allí también encontrará las siguientes instrucciones sobre cómo utilizar el editor:

  • Inicio de sesión por primera vez en el controlador para editar y ver su gestión de usuarios

  • Configuración de un nuevo usuario en la gestión de usuarios del controlador

  • Modificación de los derechos de acceso a los objetos del controlador en la gestión de usuarios del controlador

  • Cargar la gestión de usuarios desde un archivo *.dum, modificarlo y descargarlo al controlador en modo fuera de línea

En esta pestaña, usted define los derechos de acceso de los usuarios del dispositivo a los objetos en el controlador. Al igual que en la gestión de usuarios del proyecto, los usuarios deben ser miembros de al menos un grupo de usuarios y sólo a los grupos de usuarios se les pueden conceder ciertos derechos de acceso.

. Requisitos para los Derechos de acceso pestaña que se mostrará:

  • El Pestaña "Mostrar derechos de acceso"  opción debe ser seleccionada en el CODESYS opciones en editor de dispositivos categoría.

    Tenga en cuenta que esto CODESYS La opción se puede sobrescribir con la descripción del dispositivo.

. Requisitos para la concesión de derechos de acceso a grupos de usuarios

  • Un componente para la gestión de usuarios debe estar disponible en el controlador. Ese es el requisito principal.

  • Los usuarios y grupos de usuarios deben configurarse en el Usuario y grupos pestaña.

Barra de herramientas de la pestaña

rdncy_icon_update_framed.png Sincronización

Activa y desactiva la sincronización entre el editor y la gestión de usuarios en el dispositivo.

Si el botón no está "presionado", entonces el editor está en blanco o contiene una configuración que cargó desde el disco duro.

Cuando habilita la sincronización mientras el editor contiene una configuración de usuario que aún no está sincronizada con el dispositivo, se le pregunta qué debe suceder con el contenido del editor. Opciones:

  • Cargar desde el dispositivo y sobrescribir el contenido del editor: La configuración del dispositivo se carga en el editor, sobrescribiendo el contenido actual.

  • Descargue el contenido del editor en el dispositivo y sobrescriba la gestión de usuarios allí: La configuración en el editor se transfiere al dispositivo y se aplica allí.

_cds_icon_open_file_framed.png Importar desde disco

  • Al hacer clic en el botón de la Usuarios y Grupos pestaña para importar un Archivo de gestión de usuarios del dispositivo *.dum2, se abre el cuadro de diálogo predeterminado para seleccionar un archivo para seleccionar un archivo de administración de usuarios del dispositivo del disco duro. Después de seleccionar el archivo, el Introducir la contraseña se abre el cuadro de diálogo. Debe especificar la contraseña que se asignó cuando se exportó el archivo. Entonces la gestión de usuarios está habilitada.

    Nota: Antes de V3.5 SP16, el Archivos de gestión de usuarios de dispositivos (*.dum) Se utilizó un tipo de archivo que no requería ningún cifrado.

  • Al hacer clic en el botón de la Derechos de acceso pestaña para importar un Archivo de gestión de derechos de dispositivos *.drm, se abre el cuadro de diálogo predeterminado para seleccionar un archivo para seleccionar un archivo correspondiente del disco duro. El archivo importado sobrescribe la configuración existente en el cuadro de diálogo.

_cds_icon_save_to_disc_framed.png Exportar a disco

  • Al hacer clic en el botón de la Usuarios y Grupos pestaña, primero la Introducir la contraseña Se abre el cuadro de diálogo para asignar una contraseña al archivo de administración de usuarios del dispositivo. Nota: Esta contraseña debe repetirse más adelante cuando se importe este archivo para habilitar esta administración de usuarios en el controlador.

    Una vez que se cierra el cuadro de diálogo de asignación de contraseña, se abre el cuadro de diálogo predeterminado para seleccionar e importar una configuración de administración de usuarios desde el disco duro. En este caso, el tipo de archivo es Archivos de gestión de usuarios de dispositivos (*.dum2).

    Nota: Antes de V3.5 SP16, el Archivos de gestión de usuarios de dispositivos (*.dum) Se utilizó un tipo de archivo que no requería ningún cifrado.

  • Al hacer clic en el botón de la Derechos de acceso pestaña, el tipo de archivo es Archivos de gestión de derechos de dispositivos (*.drm). En este caso, no es necesario asignar una contraseña para el archivo antes de guardarlo.

usuario del dispositivo

Nombre de usuario del usuario actualmente conectado en el dispositivo

tabla 51. Objetos

En la estructura de árbol, se enumeran los objetos para los que se pueden ejecutar acciones en tiempo de ejecución. Cada uno de los objetos se asigna por su fuente de objeto y se ordena parcialmente en grupos de objetos. En el Derechos vista, puede configurar las opciones de acceso de un grupo de usuarios a un objeto seleccionado.

. Origen del objeto (nodo raíz)

  • Objetos del sistema de archivos → Dispositivo: En estos objetos, los permisos se pueden otorgar a las carpetas del directorio de ejecución actual del controlador.

  • Objetos de tiempo de ejecución → /: En estos objetos, se gestionan todos los objetos que tienen acceso en línea en el controlador y, por lo tanto, tienen que controlar los permisos.

Una descripción de los objetos se encuentra en el Resumen de los objetos mesa.

Grupos de objetos y objetos (sangrados)

Ejemplo: Dispositivo con nodos secundarios Registrador, PlcLogic, Ajustes, Gestión de usuarios.



tabla 52. Permisos

En general, los sub objetos heredan los permisos del objeto raíz (Dispositivo o /). Esto significa que si se deniega o se concede explícitamente un permiso de un grupo de usuarios a un objeto principal, esto afectará primero a todos los objetos secundarios.

La tabla se aplica al objeto que está actualmente seleccionado en el árbol. Para cada grupo de usuarios, muestra los derechos actualmente configurados para las posibles acciones en este objeto.

_cds_img_device_user_management_access_rights.png
. Posibles acciones sobre el objeto:

  • Agregar eliminar

  • Modificar

  • Vista

  • Ejecutar

Cuando se hace clic en un objeto, una tabla en el lado derecho muestra los derechos de acceso de los grupos de usuarios disponibles para el objeto seleccionado.

Esto le permite ver rápidamente:

  • Qué derechos de acceso evalúa un objeto

  • Qué grupo de usuarios tiene qué derechos efectivos sobre qué objeto

. significados de los simbolos

  • _cds_icon_grant.png: Derecho de acceso otorgado explícitamente

  • _cds_icon_deny.png: Derecho de acceso denegado explícitamente

  • _cds_icon_grant_greyed.png: Derecho de acceso concedido por herencia

  • _cds_icon_deny_greyed.png: Derecho de acceso denegado por herencia

  • _cds_icon_clear_permission.png: El derecho de acceso no se otorgó o denegó explícitamente y tampoco lo heredó el objeto principal. El acceso no es posible.

  • Sin símbolo: se seleccionan varios objetos que tienen diferentes derechos de acceso.

Cambie el permiso haciendo clic en el símbolo.



ejemplo 510. Ejemplo

los Registrador objeto en el Derechos de acceso La pestaña fue creada por el componente "Registrador" y controla sus derechos de acceso. Se encuentra directamente debajo de la Dispositivo objeto de tiempo de ejecución.

Los posibles derechos de acceso para este objeto se pueden conceder sólo para el Vista acción.

_cds_img_dev_access_right_ex1.png

Inicialmente, cada objeto tiene un acceso de lectura. Esto significa que cada usuario puede leer el "Registrador" de un controlador. Si este derecho de acceso debe ser denegado para un solo grupo de usuarios (Servicio en el ejemplo), entonces el acceso de lectura al objeto registrador tiene que ser denegado explícitamente.

_cds_img_dev_access_right_ex2.png


Resumen de los objetos

Objetos de tiempo de ejecución → Dispositivo

Logger

El acceso en línea al registrador es de solo lectura. Por lo tanto, sólo el Vista el derecho de acceso se puede conceder o denegar aquí.

PlcLogic

Todas las aplicaciones IEC se insertan aquí automáticamente como objetos secundarios durante la descarga. Cuando se elimina una aplicación, se elimina automáticamente.

Esto permite un control específico del acceso online a la aplicación. Los derechos de acceso se pueden asignar de forma centralizada a todas las aplicaciones del PlcLogic

los Administrador y Desarrollador los grupos de usuarios tienen acceso total a las aplicaciones IEC. los Servicio y Reloj los grupos de usuarios solo tienen acceso de lectura (por ejemplo, para la supervisión de valores de solo lectura).

La siguiente tabla muestra qué acción se ve afectada en particular cuando se otorga un derecho de acceso específico para una aplicación IEC.

x : El permiso debe establecerse explícitamente.

-: El permiso no es relevante.

Application

Operación

Derechos de acceso

Agregar eliminar

Ejecutar

Modificar

Vista

Acceso

-

-

-

x

Crear

x

-

-

-

Crear objeto hijo

x

-

-

-

Borrar

x

-

-

-

Descargar / cambio en línea

x

-

-

-

Crear aplicación de arranque

x

-

-

-

Leer variable

-

-

-

x

Escribir variable

-

-

x

x

Variable de fuerza

-

-

x

x

Establecer y eliminar punto de interrupción

-

x

x

-

Establecer siguiente declaración

-

x

x

-

Leer pila de llamadas

-

-

-

x

ciclo único

-

x

-

-

Encienda el control de flujo

-

x

x

-

Iniciar / Detener

-

x

-

-

Reiniciar

-

x

-

-

Restaurar retener variables

-

x

-

-

Guardar variables de retención

-

-

-

x

PLCShell

Solo el Modificar el permiso se evalúa en este momento. Esto significa que sólo cuando el Modificar se ha otorgado permiso a un grupo de usuarios, también se pueden evaluar los comandos de shell del PLC.

RemoteConnections

Se pueden configurar conexiones externas adicionales al controlador debajo de este nodo. Actualmente, el acceso al servidor OPCUA se puede configurar aquí.

Settings

Este es el acceso en línea a los ajustes de configuración de un controlador.

  • Security Settings: De forma predeterminada, accede a Modificar La propiedad de la configuración de seguridad se concede únicamente al administrador.

UserManagement

Este es el acceso en línea a la gestión de usuarios de un controlador. De forma predeterminada, el acceso de lectura/escritura se otorga solo al administrador.

Access_rights.png

  • Access Rights: Cuando se selecciona este objeto, los permisos se pueden configurar en la gestión de permisos en el Derechos vista. Eso significa que puede configurar qué grupo de usuarios puede simplemente leer la administración de permisos y qué grupo de usuarios también puede cambiar la administración de permisos.

  • Groups: Se crea automáticamente un objeto separado para cada grupo de usuarios de la gestión de usuarios del dispositivo y se muestra a continuación Grupos. Cuando se selecciona un objeto de grupo de usuarios, se pueden configurar los permisos en el grupo de usuarios. Eso significa que puede configurar qué grupo de usuarios puede leer o modificar el grupo de usuarios (por ejemplo, agregar nuevos usuarios al grupo de usuarios).

    De forma predeterminada, los objetos están disponibles para los siguientes grupos de usuarios:

    • Administrator

    • Developer

    • Service

    • Watch

    Esto permite configurar grupos de administradores graduados o restringidos. Por ejemplo, se puede configurar un grupo de administradores de visualización que solo puede agregar usuarios existentes al grupo de usuarios de visualización, pero no puede crear nuevos usuarios ni cambiar las contraseñas de los usuarios existentes.

  • Users: Cuando se selecciona este objeto, se pueden configurar los permisos del grupo de usuarios sobre los usuarios. Eso significa que puede configurar qué grupo de usuarios puede leer, modificar o agregar usuarios (por ejemplo, agregar nuevos usuarios).

Para más información, ver: Manejo de la administración de usuarios de dispositivosManejo de la gestión de usuarios de dispositivos

X509

Esto controla el acceso en línea a los certificados X.509. Aquí se distinguen dos tipos de acceso:

  • Leer (Vista)

  • Escribe (Modificar)

Cada operación se asigna a uno de estos dos derechos de acceso. Cada operación se inserta como un objeto secundario debajo de X509. Por lo tanto, el acceso por operación ahora se puede ajustar aún más.

Objetos del sistema de archivos → /

Todas las carpetas de la ruta de ejecución del controlador se insertan debajo de "/" objeto del sistema de archivos. Esto le permite otorgar derechos específicos a cada carpeta del sistema de archivos.

En esta sección: