Skip to main content

PLC 上的用户管理

使用密码、密码策略和登录锁

密码是最简单的访问保护类型。

使用密码管理器配置密码、更改密码

用户需要该设备用户名密码配置中设备用户管理为了登录控制器。已登录的设备用户可以使用以下命令更改密码:在线的安全更改设备用户密码命令。注意:目前,用户仍需要设备用户管理的读取权限。

您可以将设备用户登录的密码存储在 密码管理器。这个 _cds_icon_password_manager.png 按钮位于 Device User Logon 对话框。要使用密码管理器,请参阅: 如何为项目设置密码保护

处理密码策略和登录锁

通过使用密码策略和登录锁,您可以确保控制器的凭据配置尽可能安全,并且攻击者无法通过反复尝试来猜出凭据。

重要

默认情况下,密码策略处于启用状态,不建议将其禁用。可以在设备编辑器中编辑设置,如下所述。在设备配置文件中启用的相应条目是:

[CmpUserMgr] 
SECURITY.UserMgmt.PasswordPolicy=ENABLED
过程. 更改密码政策

  1. 在设备树中,双击控制器。

    设备编辑器打开。这个 通信设置 显示选项卡。

  2. 在标题中,单击 扫描网络 按钮。 选择设备 对话框中,选择所需的设备。然后点击 好吧

    控制器的活动路径已设置。

  3. 设备 菜单,单击 更改运行时系统密码策略 命令。注意:仅当您未登录时,命令菜单才处于活动状态。

  4. 更改运行时系统密码策略 对话框中,您可以更改登录锁的默认设置或禁用登录锁 (登录锁已激活 选项)。有关更多信息,请参阅: 对话框:更改运行时安全策略

    默认情况下,启用登录锁定 Administrator 用户组,因为该用户组需要满足更高的安全标准,还应得到更好的保护。当超过最大登录尝试次数时,用户将在配置的时间内(默认为 3600 秒)被锁定。要解锁锁定的用户,请参阅以下说明。

  5. 点击 好吧 以确认所做的更改。

    当登录到在中选定用户组的用户的设备用户管理时,配置的登录锁将立即生效 范围

    当中指定的登录尝试次数时 最大重试次数 超出该字段,用户将被锁定一段时间,该时间长度在中指定 锁定时长 领域。

. 解锁锁定用户

在用户被登录锁定锁定一段特定时间后,您可以使用以下替代选项之一再次将其解锁:

  • 管理员或对锁定用户的用户组具有写入权限的用户组成员为该用户分配新密码。

  • 重新启动运行时系统。

配置交互式登录

如果目标设备支持,则可以启用交互式 登录模式 防止用户意外登录到错误的目标设备。

  • 在设备树中,选择设备对象,然后在快捷菜单中打开 房产 对话框。切换到 选项 选项卡。

    如果目标设备支持,则可以使用各种交互式登录模式。

有关该对话框的更多信息,请参阅: 对话框:属性:选项

操作方法:处理设备的用户管理和权限

对于支持设备用户管理的设备,设备编辑器包括 用户和群组访问权限 选项卡。当设备提供时,您可以在此处查看设备的用户管理,也可以在同步模式(非在线模式)下对其进行编辑。在这里,您可以向定义的用户组授予或拒绝控制器的特定权限。然后,用户需要此处定义的凭据才能登录控制器。

设备用户管理已经可以在设备描述中设置。

注意

对于 CODESYS Control for <device> SL 版本 >= 3.5 SP17 时,用户管理是 强制执行 默认情况下作为通信策略。对于回到 3.5 SP14 的旧版本,必须明确启用和强制执行。即使是较旧的版本也仅提供非常简单的用户管理。

提示

注意里面的命令 在线 → 安全.您可以在当前登录的控制器上轻松添加、编辑或删除用户帐户。

提示

为了 访问权限 选项卡将在设备编辑器中可用,相应的 CODESYS 必须在设备编辑器中启用该选项,并在设备描述中解锁。如果设备编辑器对话框不可用,请联系控制器供应商。

权限只能授予群组,不能授予个人用户。因此,每个用户都必须是群组的成员。有预定义的默认用户组(见下文)。这些群组及其他群组和用户是在设备编辑器上配置的 用户和群组 选项卡。在控制器上设置用户管理后,您可以配置控制器的权限。

如果设备的用户管理尚不 “激活”,则可以通过以下操作之一将其启用:

  • 在设备编辑器中切换到同步模式 用户和群组 选项卡。

  • 使用添加新用户 在线 → 安全 → 添加设备用户 命令。

  • 系统提示启用时同意 建立连接并首次登录控制器

提示

为了 CODESYS Control 设备,默认情况下强制执行用户管理。

的设备用户管理中的默认用户组 CODESYS Control

有以下预定义的用户组:

  • 管理员:所有权限。

    当您首次登录 PLC 时,系统将指示您启用设备用户管理,然后在 管理员 组。作为该用户,您可以设置其他用户和群组并授予权限。

  • 开发者:下载、在线更改、调试和强制执行的权限

  • 服务:备份和恢复 IEC 应用程序,更新 IEC 应用程序(转移启动项目),但不对 IEC 应用程序进行编程/调试

  • 观看:只读

权限

可以为在控制器的各个对象上执行的以下操作授予访问权限:

  • 添加/删除

  • 调整

  • 看法

  • 执行

控制器上的一个对象通常只分配给一个控制器组件。

每个对象都可以使用所有列出的操作,但通常只需要对对象进行以下操作的权限:

  • 看法

  • 调整

对象以树结构组织。这两种对象有两个根对象:

  • Runtime objects → Device:在这些对象中,管理所有在控制器中具有在线访问权限的对象,因此必须控制权限。 设备 → 用户管理 对象也存在于此处和其下方 Access Rights 对象,一个 Groups 对象,以及 Users 对象。在下面 Groups 对象,有所有已定义的用户组,然后可以向其授予用户组的权限。有关更多信息,请参阅: 物体概述

  • File system objects → /:在这些对象中,可以向控制器当前执行目录的文件夹授予权限。

子对象继承根对象的访问权限(也 Device 或者 ”/")。如果用户组的权限被拒绝或明确授予父对象,则这会影响所有子对象。

可以明确授予或拒绝单个权限(绿色加号或红色减号),或保持“中性”(浅灰色字符)。中性意味着权限既没有被明确授予也没有被拒绝。在这种情况下,应用父对象的权限。

如果在对象的整个层次结构中没有明确授予或拒绝任何权限,则根据定义它是拒绝的。因此,所有权限最初都被拒绝(例外: View 行动)。最初,此权限是明确授予每个用户组的 Device 运行时对象以及“/" 文件系统对象。这允许对所有对象进行读取访问,除非它在子对象中被明确拒绝。

有关对象的概述表,请参阅: 选项卡:访问权限

有关在编辑器中进行设备用户管理的以下说明:

首次登录控制器以编辑或查看其用户管理

要求:已配置与控制器的连接。该控制器支持设备用户管理,但尚未激活。

  1. 首先将与控制器的通信设置为 “加密”,这样在转移用户管理权时就不会向网络中的其他参与者泄露任何凭据。这可以在设备编辑器中的设备编辑器中 通信设置 选项卡或在 安全屏幕 观点。有关更多信息,请参阅: 操作方法:使用证书加密通信并更改安全策略

  2. 在设备树中,双击控制器对象,然后在设备编辑器中选择 用户和群组 选项卡。点击 _rdncy_icon_update_framed.png 按钮。

    将打开一个对话框,提示是否应进行设备用户管理 已激活

  3. 点击 是的 确认对话提示。

    添加设备用户 对话框打开。

  4. 现在创建一个设备用户,以便以该用户的身份编辑用户管理。在这种情况下,只有 管理员 群组可用。定义一个 姓名密码 对于用户来说。显示密码强度。另请注意有关密码更改的设置选项。默认情况下,用户可以随时更改密码。 _cds_icon_password_manager.png 按钮将凭据存储在 密码管理器

    点击 好吧 进行确认。

    设备用户登录 对话框打开。

  5. 指定一个 用户名密码 对于您刚刚定义的用户。

    在你点击之后 好吧 为了确认,设备用户管理显示在编辑器视图中。它包含的用户 Administrator 你刚才定义的群组。用户名也显示在窗口的任务栏中 设备用户

在控制器的用户管理中设置新用户

要求:控制器有设备用户管理。您有相应的访问数据。

  1. 在设备树中,双击控制器设备对象。 用户和群组 选项卡。

  2. 点击 _rdncy_icon_update_framed.png 按钮(同步)将用户管理配置从控制器加载到编辑器。如果您尚未登录设备,则 设备用户登录 对话框打开,用于输入用户名和密码。

    设备的用户管理配置显示在编辑器中。

  3. 在里面 用户 查看,点击 添加.

    添加用户 对话框打开。

  4. 指定新用户的名称并将用户分配给组。这算作用户所需的最低“默认组”。稍后可以将用户分配到其他组。定义并确认 密码 为用户。定义用户是否可以更改密码以及用户是否必须在首次登录时更改密码。点击 确认。

    新用户出现在 用户 将其视为一个新节点并在 团体 查看为选定默认组的新子条目。

提示

根据这些说明,还可以在 团体 看法。为每个用户组自动创建一个运行时系统对象并显示在 访问权 下面的选项卡 UserManagement 目的。这允许设置分级或受限的管理员组。例如,可以设置可视化管理员组,只能将现有用户添加到可视化用户组,不能创建新用户,也不能修改现有用户的密码。

有关更多信息,请参阅: 物体概述

在控制器的用户管理中更改对控制器对象的访问权限

要求:控制器有设备用户管理。您有相应的访问数据。

  1. 在设备树中,双击控制器设备对象。点击 访问权限 选项卡。

  2. 点击 _rdncy_icon_update_framed.png 按钮(同步)将权限管理配置从控制器加载到编辑器。如果您尚未登录设备,则 设备用户登录 对话框打开以输入访问数据。

    设备的权限配置显示在编辑器中。

    _cds_img_device_user_management_access_rights.png

  3. 在对象树的左侧选择要更改其访问权限的对象。

    在里面 权限 视图中,表格显示了所有已配置用户组的此对象的权限。

  4. 双击要更改的表中的右侧。

    如果该对象有子对象,则会出现一个对话框提示您是否要修改子对象的权限。

  5. 点击 是的 或者 关闭提示。

    权限从 _cds_icon_grant.png “授予”给 _cds_icon_right_denied.png “拒绝”,或者相反。表格单元格中的符号会相应更改。明确设置的权限在表中显示为绿色或红色符号。从父对象继承的权限显示为灰色符号。

在离线模式下将保存的用户管理从 DUM2 文件传输到控制器并启用

提示

在 V3.5 SP16 及更高版本中,使用密码加密的文件 (*.dum2) 用于导出用户管理。

  1. 双击设备树中的控制器设备对象。

    设备编辑器打开。

  2. 点击 用户和组 标签。

  3. 点击 _cds_icon_open_file_framed.png 按钮。

    从本地文件系统中选择文件的对话框打开。

  4. 选择文件(<file name>.dum2) 使用本地文件系统中所需的用户管理,然后单击 打开 确认。

    输入密码 对话框打开。

  5. 指定导出用户管理文件时分配的密码(可以通过 _cds_icon_save_to_disc_framed.png 按钮)。

    注意:通过 *.dum2 文件完全覆盖设备上现有的用户管理。为了以后再次登录设备,您需要来自最近导入的用户管理的身份验证数据。

    正确输入密码后,下载的用户管理文件中的配置现在会显示在编辑器视图中。

  6. 根据需要编辑配置。例如,更改用户密码或添加新用户。

    每个更改都会立即下载到设备。

禁用用户管理

重要

禁用用户管理后,控制器网络中的所有人都可以再次访问您的控制器。因此,只有在合理的特殊情况下或使用的客户端不支持任何用户管理的情况下,才应这样做。

提示

要启用用户管理,至少要有一个 CODESYS V3.5 SP16 开发系统是必要的。这意味着,如果强制用户管理尚未启用,则无法连接到较旧的开发系统。

要将强制的主动用户管理重置为 “可选”,请按以下步骤操作:

  1. 在设备树中,双击控制器。 通信设置 选项卡,单击 扫描网络 然后连接到您的控制器。

  2. 通信设置 选项卡,选择 设备更改运行时安全策略 命令。注意:仅当您未登录设备时,该菜单才可用。

  3. 更改运行时安全策略 对话框,在 设备用户管理 区域,选择 可选的用户管理 作为 新政策 然后点击 好吧

    设备用户管理的安全策略设置为 “可选”。

  4. 连接到控制器,然后在 在线 菜单点击 重置原始设备 命令。这将删除仍处于活动状态的用户管理,并配置控制器应仅具有可选用户管理的设置。注意:在 CODESYS V3.5.16.20 及更高版本,可以在执行时将启动应用程序排除在删除操作之外 重置原始设备

重置预定义的用户组的用户管理 CODESYS 及其预定义权限

  1. 建立与控制器的连接。

  2. 打开 访问权限 选项卡。首先检查相关的用户群组(例如, 管理员 组) 至少有 查看添加/删除 的权限 Device 对象。(这个 Device 对象是权限树中的顶级节点 运行时对象)。如果用户组没有这些权限,则将这些权限授予该用户组。如果该组还没有用户,则将用户分配给该组。

  3. 在设备树中控制器的快捷菜单中,选择 重置原始设备 命令重置用户管理。你可能需要重新登录控制器。在这种情况下,使用步骤 2 中配置的组中的用户。

  4. 现在,当你下次登录控制器时,当你在中创建用户时,默认组和默认权限将恢复 管理员 第一次分组。

本节内容如下: