Betriebssystembasierte Authentifizierung - Benutzerverwaltung

Die WinCC OA-Benutzerverwaltung erlaubt es, die OS Auth-Benutzerverwaltung zu verwenden, falls gewünscht. Das bedeutet, dass die WinCC OA-Benutzer und -Benutzergruppen von der Windows oder Linux-Benutzerverwaltung übernommen werden.

Die OS Auth.-Benutzerverwaltung ist plattformunabhängig und bietet die Möglichkeit alle Benutzer und Rechte Zentral für die gesamte Anlage zu verwalten. Mittels OS Auth.-Benutzerverwaltung können z.B. unter Linux, die unter Windows im Active Directory verfügbaren Benutzer abgefragt werden.

Die benutzersystembasierte Benutzerveraltung ist die gängige Lösung, um Probleme mit einem schwachen Passwort zu vermeiden. In einem Windows-System benötigt dieses Feature ein laufendes Active Directory.

Ein Active Directory-System erlaubt die Verwendung von obligatorischen Anforderungen bezüglich Passwortstärke, die über einen Gruppenrichtlinie-Editor konfiguriert werden können. Mit den Einstellungen kann ein gutes und sicheres Passwort für Benutzer sichergestellt werden. Dies schützt das Projekt vor schwachen Passwörtern.

Zusätzlich zum starken Passwort, ermöglicht die benutzersystembasierte Benutzerveraltung die Synchronisierung von Benutzern und Gruppen innerhalb der Domain. Dies macht ein Login auf ein WinCC OA-Projekt das auf einem Host mit der gleichen Domain läuft, einfacher.

Note: Multidomain-Umgebungen werden von WinCC OA nicht unterstützt.
Note:

Wenn OS Auth verwendet wird, können die Passwort-Policy des Active Directory und die WinCC OA Passwort-Policy auseinanderlaufen (dies kann auch ev. später im laufenden Betrieb passieren).

Für den Fall muss die Passwort-Policy von WinCC OA deaktiviert oder auf eine weniger strenge oder gleiche Richtlinie wie die des Active Directory gesetzt werden.

Idealerweise sollten Sie die Passwort-Policy deaktivieren oder wie oben beschrieben bereits beim Einrichten des OS Auth. einstellen. Andernfalls könnte dies zu dem Problem führen, dass sich ein Benutzer nicht anmelden kann, da die Richtlinien unterschiedlich sind.

Die Gruppenrechte für die übernommenen Gruppen müssen jedoch weiterhin in WinCC OA definiert werden (siehe Kapitel Gruppen für mehr Informationen). Die OS Auth.-Benutzerverwaltung kann auf die gleiche Weise wie die WinCC OA-Benutzerverwaltung verwendet werden, mit dem Unterschied, dass Benutzer oder Gruppen nicht hinzugefügt oder gelöscht werden können.

Beim Einloggen eines Benutzers wird geprüft, ob dieser im System bekannt ist.

Wenn der Benutzer in WinCC OA, aber nicht in der Windows-Domäne bekannt ist (Ausnahme: der root-Benutzer), wird der Benutzer aus WinCC OA gelöscht.

Note: Beachten Sie, dass beim Wechsel in die OS Auth-Benutzerverwaltung auch Notfallbenutzer gelöscht werden.
Für die Benutzerauthentifizierung werden unter Windows nur Windows Domänen-Server verwendet - lokale Benutzer und Arbeitsgruppen werden nicht unterstützt.

Wenn sich ein Benutzer in WinCC OA einloggt und alle Gruppen des Benutzers nicht in WinCC OA existieren, werden die fehlenden Windows/Linux-Gruppen des Benutzers automatisch angelegt.

Für die Authentifizierung unter Linux werden PAM-Authentifizierungsmethoden verwendet. PAM unterstützt das Login der konfigurierten Benutzer aus einer Active Directory-Domain. PAM bietet eine unabhängige Authentifzierungsmethode wie z.B. LDAP, Winbind. Für die Konfiguration von PAM - siehe Linux-Benutzerverwaltung.

Note: Lokale Benutzer können nicht bei der Verwendung der Betriebssystembasierten Authentifizierung (OS Auth) verwendet werden.
Note: Betriebssystemänderungen werden innerhalb einer Stunde mit WinCC OA synchronisiert. Wenn Sie die Änderungen schneller synchronisieren möchten, können Sie den Konfigurationseintrag checkADAuthIntervall verwenden (das standardmäßige Synchronisierungsintervall beträgt eine Stunde) oder starten Sie das Projekt neu.
CAUTION: Um OS-Auth bei Verwendung von SSA zu aktivieren, gehen Sie wie folgt vor:
  • Kommentieren Sie #accessControlPlugin = "AccessControlPlugin" in der Projektconfig-Datei aus.
  • Starten Sie das Projekt neu und loggen Sie sich als Benutzer root ein.
  • Öffnen Sie Das Benutzerverwaltungspanel und wechseln Sie auf OS-Auth.
  • Jetzt können Sie das Engineering durchführen oder zuerst das Plug-in aktivieren und danach das Engineering durchführen.

Wie Sie die OS.Auth.-Benutzerverwaltung aktivieren, die OS Auth.-Benutzergruppen verwenden und in WinCC OA einloggen, wird in den folgenden Kapiteln beschrieben.