Serverseitige Authentifizierung für Manager
Bei Verwendung der serverseitigen Authentifizierung für Manager müssen sich die Manager, die eine Verbindung zum DATA- oder EVENT-Manager aufbauen, authentifizieren. Dies erhöht die Sicherheit besonders, wenn Projekte über das Internet verbunden werden. Bei der serverseitigen Authentifizierung von Managern müssen sich die Manager mit x.509-Zertifikaten authentifizieren.
Dafür benötigen Sie Zertifikate. Zertifikate können selbst erstellt werden. Um die Zertifikate zu erstellen, verwenden Sie das PanelPanel für SSL-Zertifikate. Öffnen Sie das Panel über das System Management-Panel -> Registerkarte Kommunikation. Wie Zertifikaten mit Chain-Dateien (Zertifikatsketten) erstellt werden, finden Sie innerhalb der Security Guideline. Über die Chain-Dateien können mehrere Zertifikatsketten erstellt werden und die Authentifizierung kann z.B. in unterschiedlichen Teilen einer Anlage verwendet werden. Die Chain-Dateien (Zertifikatsketten) können für die unterschiedlichen Teile einer Anlage verwendet werden. Wie Sie die Zertifikatskette verwenden, siehe Kapitel Beispielkonfiguration. Auch Windows Certificate Store-Zertifikate können eingesetzt werden.
In einem redundanten System bzw. in einem DRS-System müssen beide Systeme das AccessControlPlugin verwenden. D.h., dass die Einstellungen auf beiden Systemen gleich sein müssen.
Die serverseitige Authentifizierung für Manager wird für alle Manager herangezogen. Für die Authentifizierung der UI-Manager siehe Kapitel Grundlagen Serverseitige Authentifizierung für UI-Manager.
Session Binding
Session Binding senkt das Risiko für gefälschte Nachrichten und unautorisierten Zugriff auf ein WinCC OA-System. Die Kommunikationssicherheit wird erhöht da der Zugriff durch nicht-authorisierte Manager unterbunden wird. In Session Binding ist der WinCC OA-Benutzername ein Teil des Zertifikats (lesen Sie im Kapitel Panel für SSL-Zertifikate wie Sie ein Zertifikat mit einem Benutzernamen erstellen).
Session Binding wird durch das Aktivieren der serverseitigen Authentifizierung für UI-Manager aktiviert. Wenn ein Access Control Plugin von ETM geladen wird, dann ist Session Binding automatisch aktiv und kann auch nicht wieder deaktiviert werden. Standardmäßig (Standardprojekt) ist das Session Binding deaktiviert. Es kann unabhängig vom Access Control Plugin mit dem Config-Eintrag serverSideAuthentication=1 in der [general]-Section aktiviert werden.