Voraussetzungen und Installation
Folgende Schritte sind für eine erfolgreiche Konfiguration der serverseitigen Authentifizierung für Manager erforderlich:
Serverseitige Konfiguration
Die folgenden Schritte wurden bereits in der Dokumentation für serverseitige Authentifizierung für UI-Manager beschrieben. Die genaue Beschreibung entnehmen Sie dem Kapitel Voraussetzungen und Installation für die serverseitige Authentifizierung für UI-Manager.
- Aktivierung der automatischen Freischaltung in der Geräteverwaltung
- Definition des zu verwendenden Access Control Plug-ins
- Starten des webclient_http.ctl-Skriptes mittels neuem oder bestehendem CTRL-Manager
- Durchführen einer Clientspezifischen Konfiguration, z.B. Abgesetztes UI oder ULC UX
- Starten des Serverprojektes
- Starten des Clients
Zusätzlich zu den oberhalb erwähnten Voraussetzungen, müssen die folgenden Voraussetzungen noch erfüllt werden.
- Erstellen Sie Zertifikate. Erstellen Sie Zertifikate für alle Benutzer, mit denen ein Manager laufen soll. Alle Benutzer können für die Authentifizierung verwendet werden. Siehe Kapitel Panel für SSL-Zertifikate oder verwenden Sie Windows Certificate Store-Zertifikate.
Der Benutzer root kann nicht verwendet werden, um in ein SSA-Projekt (UI) einzuloggen. Es können jedoch alle anderen Benutzer verwendet werden, z.B. der Benutzer "para". Die standardmäßig vordefinierten WinCC OA-Benutzer, die beim Anlegen eines neuen Projektes erstellt werden, finden Sie im Kapitel Benutzer. Um neue Benutzer anzulegen, lesen Sie ebenfalls das Kapitel Benutzer. Um Berechtigungen für Benutzer zu setzen, lesen Sie das Kapitel Gruppen.
Ein Projekt für die serverseitige Authentifizierung für Manager kann auch über das Panel Projektadministration erstellt werden - siehe KapitelProjekt Anlegen.
Für die Authentifizierung müssen die Zertifikate einen Benutzernamen enthalten. Die Defaultzertifikate, die mit WinCC OA mitgeliefert werden, sichern nur die Verbindung und enthalten keine Benuterdaten. Erstellen Sie Zertifikate, die einen Benutzernamen enthalten, entweder über das Panel für SSL-Zertifikate, über die openssl.cnf-Datei oder über die Kommandozeile - siehe Security Guideline.
- Setzen Sie die Config-Einträge: ssaChainFile ssaCertificate und ssaPrivateKey in der [general] oder in einer managerspezifischen Sektion der Config-Datei. Wenn Sie eine Zertifikatsperrliste verwenden, setzen Sie auch den ssaCRL-Eintrag in der [general] oder in einer managerspezifischen Sektion der Config-Datei. Für ein Beispiel der Config-Einträge, siehe Kapitel Config-Einträge - SSA für Manager und für ein vollständiges Beispiel das Kapitel Beispiel für die Konfiguration - SSA für Manager. Wenn Sie SSA-WindowsCertStore-Zertifikate verwenden, benötigen Sie zusätzlich den Config-Eintrag ssaCertCheck aber keinen ssaChainFile-Eintrag.
Alle Manager, die nicht den Benutzer "root" verwenden, müssen die Manageroption -user Benutzername verwenden. Die Option funktioniert ohne Passworteingabe. Siehe auch das Kapitel Beispiel für die Konfiguration - SSA für Manager für ein Beispiel.
Debug Flag
Das Debug-Flag -dbg SSA zeigt Debug-Infos für die Authentifizierung an.