Authentifizierung

Benutzer-Authentifizierung

Der WinCC OA OPC UA Server kann mit oder ohneBenutzer-Authentifizierung arbeiten. Diese Einstellung ist für alle Clients gültig und kann mittels des Config-Eintrages [opcuasrv] enableAnonymous in der Config-Datei festgelegt werden. Da es sich um einen Config-Eintrag handelt, ist es nicht möglich, diese Einstellung zur Laufzeit zu ändern (ein Neustart des Servermanagers ist erforderlich).

Ist enableAnonymous aktiv, so prüft der Server die Benutzerberechtigung nicht. D.h. er lässt alle Benutzer oder den anonymen Benutzermodus zu.

Ist enableAnonymous inaktiv (Defaulteinstellung), so prüft der Server, ob es einen entsprechenden gültigen WinCC OA-Benutzer gibt. Die Berechtigungen des WinCC OA-Benutzers werden nicht geprüft. D.h. der Benutzer muss lediglich aktiv sein und das Passwort muss stimmen, damit die Verbindung vom Server akzeptiert wird. Der anonyme Benutzermodus wird in diesem Fall nicht akzeptiert.

Standardmäßig läuft der OPC UA Server-Manager mit root Benutzer-Berechtigungen.

Das bedeutet, dass keine weiteren Berechtigungen geprüft werden müssen, wenn der Client Operationen in Zusammenhang mit DP-Werten (z.B. Schreiben) ausführt.

Um die Sicherheit der OPC UA Schnittstelle zu erhöhen, stehen folgende Möglichkeiten zur Verfügung:

  1. Ein generelles Reduzieren der Berechtigungen des gesamtem Server-Managers durch starten mit einem dezidierten Benutzers, der nicht der root Benutzer ist.
  2. Aktivieren des Config-Eintrages useClientUser, siehe Client-User-Aktivierung unterhalb.
  3. Konfigurieren der Gruppen-Authentifizierung, siehe Gruppen-Authentifizierung unterhalb.

Client-User-Aktivierung

Mit dem Config-Eintrag useClientUser = 1 kann der, am Server angemeldete, Benutzer für Wertänderungen oder Alarmquittierungen verwendet werden. Dadurch können diese Aktionen verschiedenen Clients zugeordnet werden. Per Default (=0) wird vom Server der Benutzer verwendet, mit dem der Server-Manager gestartet wurde.

Das bedeutet ebenfalls, dass die Berechtigungen des Benutzers, welcher mittels OPC UA Server verbunden ist, berücksichtigt werden.

Wenn zum Beispiel ein OPC UA Client sich mit dem Benutzer guest verbindet, hat er die gleichen Schreib- und Alarmquittierung-Berechtigungen wie ein guest Benutzer, der sich mittels UI-Manager verbindet.

Gruppen-Authentifizierung

Zusätzlich zur Benutzer-Authentifizierung kann über das interne Datenpunktelement Config.GroupAuthentication vom OPC Server-Datenpunkt _OPCUAPvssServer die Gruppen-Authentifizierung aktiviert werden.

Dieses DPE beinhaltet eine Liste an Gruppen-IDs. Wenn diese Liste leer ist, ist die Gruppen-Authentifizierung deaktiviert (default).

Wenn an diesem Datenpunktelement eine oder mehrere Gruppen-IDs eingetragen werden, prüft der Server zusätzlich zur Benutzer-Authentifizierung ob der angegebene Benutzer Mitglied von mindestens einer der definierten Gruppen ist.

Die Gruppen-IDs können zur Laufzeit geändert werden. Wird die ID der Gruppe eines Benutzers, der bereits erfolgreich am Server eingeloggt ist, gelöscht, so bleibt dieser Benutzer weiterhin eingeloggt. Erst beim nächsten Login-Versuch gilt auch für diesen Benutzer die aktualisierte Gruppen-Authentifizierung.

Ist enableAnonymous aktiv, so prüft der Server weder die Benutzer-Authentifizierung noch die Gruppen-Authentifizierung.

VORSICHT:

Der anonyme Zugriff darf nur mit Bedacht aktiviert werden!