Skip to main content

Gestion des utilisateurs sur le PLC

Utilisation d'un mot de passe, d'une politique de mot de passe et d'un verrou de connexion

Le mot de passe est le type de protection d'accès le plus simple.

Configuration d'un mot de passe, modification d'un mot de passe, utilisation d'un gestionnaire de mots de passe

Les utilisateurs de l'appareil ont besoin de Nom d'utilisateur et Mot de passe configuré dans le Gestion des utilisateurs de l'appareil pour se connecter au contrôleur. Les utilisateurs connectés peuvent modifier leur mot de passe via En ligneSécuritéModifier le mot de passe de l'utilisateur de l'appareil commande. Remarque : Actuellement, l’utilisateur a toujours besoin d’une autorisation de lecture pour la gestion des utilisateurs de l’appareil.

Vous pouvez enregistrer le mot de passe pour connecter un utilisateur de l'appareil dans le gestionnaire de mots de passe. _cds_icon_password_manager.png le bouton est disponible dans le Device User Logon dialogue. Pour utiliser le gestionnaire de mots de passe, voir : Comment protéger un projet par mot de passe

Gestion de la politique de mot de passe et du verrouillage de connexion

En utilisant une politique de mot de passe et un verrouillage de connexion, vous pouvez vous assurer que les informations d'identification du contrôleur sont configurées de la manière la plus sécurisée possible et que les attaquants ne peuvent pas deviner les informations d'identification en les essayant à plusieurs reprises.

Important

Par défaut, une politique de mot de passe est activée et il n'est pas recommandé de la désactiver. Les paramètres peuvent être modifiés dans l'éditeur de périphériques comme décrit ci-dessous. L'entrée correspondante à activer dans le fichier de configuration de l'appareil est la suivante :

[CmpUserMgr] 
SECURITY.UserMgmt.PasswordPolicy=ENABLED
Procédure. Modifier la politique en matière de mots de passe

  1. Dans l'arborescence des appareils, double-cliquez sur le contrôleur.

    L'éditeur de périphériques s'ouvre. Paramètres de communication l'onglet s'affiche.

  2. Dans l'en-tête, cliquez sur Réseau de numérisation bouton. Dans le Sélectionnez un appareil boîte de dialogue, sélectionnez l'appareil souhaité. Cliquez ensuite OK.

    Le chemin actif vers le contrôleur est défini.

  3. Dans le Appareil menu, cliquez sur Modifier la politique de mot de passe du système d'exécution commande. Remarque : Le menu de commandes n'est actif que lorsque vous n'êtes pas connecté.

  4. Dans le Modifier la politique de mot de passe du système d'exécution boîte de dialogue, vous pouvez modifier les paramètres par défaut du verrouillage de connexion ou désactiver le verrouillage de connexion (Le verrouillage de connexion est actif option). Pour plus d'informations, voir : Boîte de dialogue : Modifier la politique de sécurité d'exécution

    Par défaut, un verrouillage de connexion est activé pour Administrator groupe d'utilisateurs car ce groupe d'utilisateurs doit répondre à des critères de sécurité accrus et doit également être mieux protégé. Lorsque le nombre maximum de tentatives de connexion est dépassé, l'utilisateur est bloqué pendant la durée configurée (3600 secondes par défaut). Pour déverrouiller un utilisateur verrouillé, consultez les instructions ci-dessous.

  5. Cliquez OK pour confirmer les modifications apportées.

    Le verrouillage de connexion configuré est immédiatement appliqué lors de la connexion à la gestion des utilisateurs de l'appareil pour les utilisateurs du groupe d'utilisateurs sélectionné dans le Portée.

    Lorsque le nombre de tentatives de connexion indiqué dans Nombre maximal de tentatives si le champ est dépassé, l'utilisateur sera bloqué pendant la durée spécifiée dans Durée du verrouillage champ.

. Déverrouiller un utilisateur bloqué

Une fois qu'un utilisateur a été bloqué pendant un certain temps par le verrouillage de connexion, vous pouvez le déverrouiller à nouveau en utilisant l'une des options alternatives suivantes :

  • Un administrateur ou un membre d'un groupe d'utilisateurs disposant d'une autorisation d'écriture pour le groupe d'utilisateurs de l'utilisateur verrouillé attribue un nouveau mot de passe à l'utilisateur.

  • Redémarrez le système d'exécution.

Configuration d'une connexion interactive

Si l'appareil cible le prend en charge, vous pouvez activer une fonction interactive Mode de connexion pour empêcher l'utilisateur de se connecter accidentellement à la mauvaise machine cible.

  • Dans l'arborescence des appareils, sélectionnez l'objet de l'appareil et, dans le menu contextuel, ouvrez le Propriétés dialogue. Passez au Options onglet.

    S'ils sont pris en charge par l'appareil cible, différents modes de connexion interactifs sont disponibles.

Pour plus d'informations sur la boîte de dialogue, voir : Boîte de dialogue : Propriétés : Options

Procédure : Gérer les utilisateurs et les autorisations de l'appareil

Pour les appareils qui prennent en charge la gestion des utilisateurs d'appareils, l'éditeur de périphériques inclut Utilisateurs et groupes et Droits d'accès onglets. Lorsque l'appareil le propose, vous pouvez consulter la gestion des utilisateurs de l'appareil ici et la modifier en mode synchronisation (pas en mode en ligne). Ici, vous pouvez accorder ou refuser des autorisations spécifiques sur le contrôleur aux groupes d'utilisateurs définis. Les utilisateurs ont ensuite besoin des informations d'identification définies ici pour se connecter au contrôleur.

La gestion des utilisateurs de l'appareil peut déjà être configurée dans la description de l'appareil.

Note

Pour CODESYS Control for <device> SL avec la version >= 3.5 SP17, la gestion des utilisateurs est imposé en tant que politique de communication par défaut. Pour les anciennes versions remontant à 3.5 SP14, il doit être explicitement activé et appliqué. Même les anciennes versions ne proposent qu'une gestion des utilisateurs très simple.

Astuce

Notez les commandes dans le En ligne → Sécurité. Vous pouvez facilement ajouter, modifier ou supprimer un compte utilisateur sur le contrôleur auquel vous êtes actuellement connecté.

Astuce

Afin que Droits d'accès onglet qui sera disponible dans l'éditeur de périphériques, le correspondant CODESYS l'option doit être activée dans l'éditeur de l'appareil et déverrouillée dans la description de l'appareil. Si la boîte de dialogue de l'éditeur de périphériques n'est pas disponible, contactez le fournisseur du contrôleur.

Les autorisations ne peuvent être accordées qu'à des groupes, pas à des utilisateurs individuels. Par conséquent, chaque utilisateur doit être membre d'un groupe. Il existe des groupes d'utilisateurs par défaut prédéfinis (voir ci-dessous). Ces groupes et utilisateurs, ainsi que d'autres, sont configurés dans l'éditeur de périphériques du Utilisateurs et groupes onglet. Une fois la gestion des utilisateurs configurée sur le contrôleur, vous pouvez configurer les autorisations qui s'y rattachent.

Si la gestion des utilisateurs d'un appareil n'est pas encore « active », elle peut être activée par l'une des actions suivantes :

Astuce

Pour le CODESYS Control périphériques, une gestion des utilisateurs est appliquée par défaut.

Groupes d'utilisateurs par défaut dans la gestion des utilisateurs de l'appareil de CODESYS Control

Les groupes d'utilisateurs prédéfinis sont les suivants :

  • Administrateur : toutes les autorisations.

    Lorsque vous vous connectez à l'automate pour la première fois, il vous sera demandé d'activer la gestion des utilisateurs de l'appareil, puis de créer un utilisateur dans le Administrateur groupe. En tant qu'utilisateur, vous pouvez configurer des utilisateurs et des groupes supplémentaires et accorder des autorisations.

  • Développeur : autorisations de téléchargement, de modification en ligne, de débogage et de forçage

  • Service : Sauvegarde et restauration de l'application IEC, mise à jour de l'application IEC (transfert des projets de démarrage), mais pas de programmation/débogage de l'application IEC

  • Regardez : lecture seule

Autorisations

Des droits d'accès peuvent être accordés pour les actions suivantes qui sont exécutées sur les objets individuels du contrôleur :

  • Ajouter enlever

  • Modifier

  • Voir

  • Exécuter

Un objet sur le contrôleur est généralement affecté à un seul composant du contrôleur.

Chaque objet peut utiliser toutes les actions répertoriées, mais généralement, seules les autorisations pour les actions suivantes sont nécessaires sur un objet :

  • Voir

  • Modifier

Les objets sont organisés en arborescence. Il existe deux objets racine pour les deux types d'objets :

  • Runtime objects → Device: Dans ces objets, tous les objets qui ont un accès en ligne dans le contrôleur sont gérés et doivent donc contrôler les autorisations. Appareil → Gestion des utilisateurs un objet existe également ici et en dessous un Access Rights objet, un Groups objet, et un Users objet. En dessous du Groups objet, il existe tous les groupes d'utilisateurs définis, auxquels les autorisations pour les groupes d'utilisateurs peuvent ensuite être accordées. Pour plus d'informations, voir : Vue d'ensemble des objets.

  • File system objects → /: Dans ces objets, les autorisations peuvent être accordées aux dossiers du répertoire d'exécution actuel du contrôleur.

Les objets enfants héritent des droits d'accès de l'objet racine (également Device ou "/"). Si une autorisation d'un groupe d'utilisateurs est refusée ou explicitement accordée à un objet parent, cela affecte tous les objets enfants.

Une seule autorisation peut être explicitement accordée ou refusée (signe plus vert ou signe moins rouge), ou rester "neutre" (caractère gris clair). Neutre signifie que l'autorisation n'a été ni explicitement accordée ni refusée. Dans ce cas, l'autorisation de l'objet parent s'applique.

Si aucune autorisation n'a été explicitement accordée ou refusée dans toute la hiérarchie de l'objet, alors elle est par définition refusée. En conséquence, toutes les autorisations sont initialement refusées (exception : le droit d'accès pour le View action). Initialement, cette autorisation est explicitement accordée pour chaque groupe d'utilisateurs à la fois sur le Device objet d'exécution ainsi que sur le "/" objet du système de fichiers. Cela autorise l'accès en lecture à tous les objets, à moins qu'il ne soit explicitement refusé dans les objets enfants.

Pour un tableau récapitulatif des objets, voir : Onglet : Droits d'accès.

Consultez les instructions suivantes pour utiliser l'éditeur pour la gestion des utilisateurs des appareils :

Première connexion sur le contrôleur afin de modifier ou de visualiser sa gestion des utilisateurs

Exigence : La connexion au contrôleur est configurée. Le contrôleur prend en charge une gestion des utilisateurs de l'appareil, mais celle-ci n'est pas encore active.

  1. Définissez d'abord la communication avec le contrôleur sur « cryptée » afin de ne pas révéler d'informations d'identification aux autres participants du réseau lors du transfert de la gestion des utilisateurs. Cela est possible dans l'éditeur de périphériques sur Paramètres de communication onglet ou dans Écran de sécurité voir. Pour plus d'informations, consultez : Procédure : Chiffrer les communications avec un certificat et modifier la politique de sécurité.

  2. Dans l'arborescence des périphériques, double-cliquez sur l'objet contrôleur et, dans l'éditeur de périphériques, sélectionnez le Utilisateurs et groupes onglet. Cliquez sur _rdncy_icon_update_framed.png bouton.

    Une boîte de dialogue s'ouvre pour vous demander si la gestion des utilisateurs de l'appareil doit être activé.

  3. Cliquez sur Oui pour accuser réception de l'invite de dialogue.

    le Ajouter un utilisateur de périphérique la boîte de dialogue s'ouvre.

  4. Créez maintenant un utilisateur de l'appareil afin de modifier la gestion des utilisateurs en tant que cet utilisateur. Dans ce cas, seul le Administrateur le groupe est disponible. Définissez un Nom et Mot de passe pour l'utilisateur. Le niveau de sécurité du mot de passe est affiché. Notez également les options définies concernant un changement de mot de passe. Par défaut, le mot de passe peut être modifié par l'utilisateur à tout moment. Utilisez le _cds_icon_password_manager.png bouton pour stocker les informations d'identification dans gestionnaire de mots de passe.

    Cliquez OK pour confirmer.

    le Connexion de l'utilisateur de l'appareil la boîte de dialogue s'ouvre.

  5. Spécifiez un Nom d'utilisateur et Mot de passe pour l'utilisateur que vous venez de définir.

    Après avoir cliqué OK pour confirmer, la gestion des utilisateurs de l'appareil s'affiche dans la vue de l'éditeur. Il contient l'utilisateur du Administrator groupe que vous venez de définir. Le nom d'utilisateur est également affiché dans la barre des tâches de la fenêtre sous la Utilisateur de l'appareil.

Créer un nouvel utilisateur dans la gestion des utilisateurs du contrôleur

Condition préalable : le contrôleur dispose d'une gestion des utilisateurs d'appareils. Vous disposez des données d'accès correspondantes.

  1. Dans l'arborescence des périphériques, double-cliquez sur l'objet du contrôleur. Sélectionnez le Utilisateurs et groupes onglet.

  2. Clique le _rdncy_icon_update_framed.png bouton (Synchronisation) pour charger la configuration de gestion des utilisateurs du contrôleur vers l'éditeur. Si vous n'êtes pas encore connecté à l'appareil, le Connexion de l'utilisateur de l'appareil La boîte de dialogue s'ouvre pour saisir le nom d'utilisateur et le mot de passe.

    La configuration de la gestion des utilisateurs de l'appareil est affichée dans l'éditeur.

  3. Dans le Utilisateurs voir, cliquer Ajouter.

    le Ajouter un utilisateur la boîte de dialogue s'ouvre.

  4. Spécifiez le nom du nouvel utilisateur et affectez l'utilisateur à un groupe. Cela compte comme le "groupe par défaut" minimum requis par l'utilisateur. L'utilisateur peut être affecté ultérieurement à d'autres groupes. Définir et confirmer un Mot de passe pour l'utilisateur. Définissez si l'utilisateur peut changer le mot de passe et si l'utilisateur doit changer le mot de passe à la première connexion. Cliquez sur d'accord confirmer.

    Le nouvel utilisateur apparaît dans le Utilisateurs afficher comme un nouveau nœud et dans le Groupes afficher comme une nouvelle sous-entrée du groupe par défaut sélectionné.

Astuce

Selon ces instructions, de nouveaux groupes d'utilisateurs peuvent également être ajoutés dans le Groupes voir. Un objet système d'exécution est automatiquement créé pour chaque groupe d'utilisateurs et affiché dans le Des droits d'accès onglet sous le UserManagement objet. Cela permet de créer des groupes d'administrateurs gradués ou restreints. Par exemple, un groupe d'administrateurs de visualisation peut être configuré qui peut uniquement ajouter des utilisateurs existants au groupe d'utilisateurs de visualisation, mais ne peut pas créer de nouveaux utilisateurs ou modifier les mots de passe des utilisateurs existants.

Pour plus d'informations, voir : Vue d'ensemble des objets.

Modification des droits d'accès aux objets du contrôleur dans la gestion des utilisateurs du contrôleur

Condition préalable : le contrôleur dispose d'une gestion des utilisateurs d'appareils. Vous disposez des données d'accès correspondantes.

  1. Dans l'arborescence des périphériques, double-cliquez sur l'objet du contrôleur. Cliquez sur Droits d'accès onglet.

  2. Clique le _rdncy_icon_update_framed.png bouton (Synchronisation) pour charger la configuration de la gestion des droits du contrôleur vers l'éditeur. Si vous n'êtes pas encore connecté à l'appareil, le Connexion de l'utilisateur de l'appareil boîte de dialogue s'ouvre pour la saisie des données d'accès.

    La configuration des autorisations de l'appareil s'affiche dans l'éditeur.

    _cds_img_device_user_management_access_rights.png

  3. Sélectionnez l'objet dont vous souhaitez modifier le droit d'accès vers la gauche dans l'arborescence des objets.

    Dans le Autorisations vue, un tableau affiche les autorisations pour cet objet pour tous les groupes d'utilisateurs configurés.

  4. Double-cliquez sur la droite du tableau que vous souhaitez modifier.

    Si l'objet possède des objets enfants, une boîte de dialogue vous demande si vous souhaitez modifier les autorisations pour les objets enfants.

  5. Cliquez sur Oui ou Non pour fermer l'invite.

    Les autorisations sont commutées de _cds_icon_grant.png "accordée à _cds_icon_right_denied.png "refusé", ou l'inverse. Le symbole dans la cellule du tableau change en conséquence. Les autorisations définies explicitement apparaissent dans le tableau sous forme de symboles verts ou rouges. Les droits hérités d'un objet parent apparaissent sous forme de symboles grisés.

Transfert et activation d'une gestion des utilisateurs enregistrée en mode hors ligne d'un fichier DUM2 vers un automate

Astuce

En V3.5 SP16 et supérieur, un fichier (*.dum2) à chiffrer avec un mot de passe est utilisé pour exporter une gestion des utilisateurs.

  1. Double-cliquez sur l'objet de l'appareil contrôleur dans l'arborescence des appareils.

    L'éditeur d'appareils s'ouvre.

  2. Clique le Utilisateurs et groupes languette.

  3. Clique le _cds_icon_open_file_framed.png bouton.

    La boîte de dialogue de sélection d'un fichier dans le système de fichiers local s'ouvre.

  4. Sélectionnez le fichier (<file name>.dum2) avec la gestion des utilisateurs souhaitée à partir du système de fichiers local et cliquez sur Ouvrir confirmer.

    le Entrer le mot de passe la boîte de dialogue s'ouvre.

  5. Indiquez le mot de passe qui a été attribué lors de l'exportation du fichier de gestion des utilisateurs (possible à l'aide du _cds_icon_save_to_disc_framed.png bouton).

    ATTENTION : L'importation d'une gestion des utilisateurs d'un appareil au moyen d'un *.dum2 Le fichier écrase complètement la gestion des utilisateurs existante sur l'appareil. Pour vous reconnecter ensuite à l'appareil, vous avez besoin des données d'authentification de la gestion des utilisateurs récemment importée.

    Lorsque le mot de passe est saisi correctement, la configuration du fichier de gestion des utilisateurs téléchargé s'affiche désormais dans la vue de l'éditeur.

  6. Modifiez la configuration comme bon vous semble. Par exemple, modifiez le mot de passe de l'utilisateur ou ajoutez un nouvel utilisateur.

    Chaque modification est téléchargée immédiatement sur l'appareil.

Désactivation de la gestion des utilisateurs

Important

Après avoir désactivé la gestion des utilisateurs, votre manette est à nouveau accessible à tous les utilisateurs du réseau de la manette. Par conséquent, vous ne devez le faire que dans des cas exceptionnels justifiés ou si les clients utilisés ne prennent pas en charge la gestion des utilisateurs.

Astuce

Pour activer la gestion des utilisateurs, au moins un CODESYS système de développement V3.5 SP16 est nécessaire. Cela signifie que, dans le cas d'une gestion forcée des utilisateurs qui n'a pas encore été activée, vous ne pouvez pas vous connecter à un ancien système de développement.

Pour rétablir la valeur « Facultatif » d'une gestion des utilisateurs active et appliquée, procédez comme suit :

  1. Dans l'arborescence des appareils, double-cliquez sur le contrôleur. Sur le Paramètres de communication onglet, cliquez sur Réseau de numérisation puis connectez-vous à votre manette.

  2. Sur le Paramètres de communication onglet, sélectionnez AppareilModifier la politique de sécurité d'exécution commande. Remarque : Le menu n'est disponible que tant que vous n'êtes pas connecté à l'appareil.

  3. Dans le Modifier la politique de sécurité d'exécution boîte de dialogue, dans le Gestion des utilisateurs des appareils zone, sélectionnez Gestion des utilisateurs en option en tant que Nouvelle politique et cliquez OK.

    La politique de sécurité pour la gestion des utilisateurs des appareils est définie sur « Facultatif ».

  4. Connectez-vous à la manette et à En ligne menu, cliquez sur Réinitialiser l'appareil Origin commande. Cela supprime la gestion des utilisateurs encore active et configure le paramètre selon lequel le contrôleur ne doit disposer que d'une gestion des utilisateurs facultative. Remarque : Dans CODESYS V3.5.16.20 et versions ultérieures, vous pouvez exclure l'application de démarrage de l'opération de suppression lorsque vous exécutez Réinitialiser l'appareil Origin.

Réinitialisez la gestion des utilisateurs sur les groupes d'utilisateurs prédéfinis par CODESYS et leurs autorisations prédéfinies

  1. Établissez une connexion avec le contrôleur.

  2. Ouvrez le Droits d'accès onglet. Vérifiez d'abord si le groupe d'utilisateurs concerné (par exemple, le Administrateur groupe) possède au moins le Afficher et Ajouter/Supprimer autorisations sur le Device objet. (Les Device l'objet est le nœud supérieur de l'arborescence des autorisations du Objets d'exécution). Si le groupe d'utilisateurs ne dispose pas de ces autorisations, accordez-lui ces autorisations. Si ce groupe n'a pas encore d'utilisateur, attribuez-lui un utilisateur.

  3. Dans le menu contextuel du contrôleur dans l'arborescence des appareils, sélectionnez Réinitialiser l'appareil Origin commande pour réinitialiser la gestion des utilisateurs. Il se peut que vous deviez vous reconnecter au contrôleur. Dans ce cas, utilisez un utilisateur du groupe configuré à l'étape 2.

  4. Désormais, lorsque vous vous connecterez au contrôleur la prochaine fois, les groupes par défaut et les autorisations par défaut seront restaurés lorsque vous créerez un utilisateur dans Administrateur groupe pour la première fois.

Dans cette section​: