OS Auth-Benutzerverwaltung - Hinweise

Nachfolgende Liste an Hinweisen muss bei der Verwendung der Windows-Benutzerverwaltung beachtet werden:

  • Um eine Umstellung der WinCC OA Benutzerverwaltung auf die Verwendung der OS.Auth.-Benutzerverwaltung durchzuführen, muss der ausführende Benutzer den Gruppen im AD (Active Directory) mit den entsprechenden geforderten Berechtigungen in WinCC OA zugeordnet sein.
  • Unter Windows-Benutzerverwaltung können Sie die Benutzer nicht hinzufügen oder löschen. Das muss vom Domäne-Administrator gemacht werden.
  • Im Active Directory gelöschte Benutzer werden nicht aus der WinCC OA-Datenbank gelöscht da die Benutzer für historische Abfragen benötigt werden. Gelöschte Benutzer werden mit _deleted gekennzeichnet.
  • Beim ersten Login werden interne Strukturen vorbereitet.
  • Login-Versuche für neue Benutzer dauern länger da noch keine Benutzergruppen vorhanden sind.
  • OS-Authentifizierung in einer gemischten Betriebssystemumgebung (z.B. Linux-Server und ein abgesetztes UI, das auf einem Windows-Client läuft) funktioniert nicht mit der clienseitigen Authentifizierung da sich die externen Benutzer-IDs auf den verschiedenen Systemen unterscheiden. Diese externe Benutzerkennung wird zur eindeutigen Identifizierung eines bestimmten Benutzers verwendet. Wenn sie sich daher von System zu System ändert, führt dies zu gewissen Problemen, z. B. beim Anlegen eines Benutzers bei der ersten Anmeldung. In diesen gemischten Umgebungen mit OS-Authentifizierung muss die Funktion der serverseitigen Authentifizierung verwendet werden.
  • pararemote=1 Lizenz kann nicht verwendet werden, wenn OS Auth verwendet wird und der PC nicht ein Mitglied des Active Directorys (AD), auf dem die Server verbunden sind, ist. Beachten Sie zudem, dass ein Remote UI nicht in den OS Auth-Modus wechseln kann, wenn der PC, auf dem das Remote UI läuft, nicht ein Teil des Active Directorys ist.
  • Sollte das Active Directory offline sein oder keine Verbindung hergestellt werden, so ist ein Login mittels Windows Domänen Benutzer nicht möglich!
  • Erhöhen Sie die Anzahl der Debug-Levels (auf Betriessystem- und WinCC OA-Ebene) um Login-Probleme analysieren zu können.
  • Bei der Verwendung von OS-Auth. werden die Gruppen nicht innerhalb von WinCC OA vererbt!

    Beispiel:

    Benutzer A gehört zu der Gruppe "Test-Group".

    Test-Group ist Mitglied von "Master-Group".

    Master-Group ist in WinCC OA mit den Bits 1,2,3 und 4 erlaubt.

    Wenn der Benutzer nun versucht, sich anzumelden, funktioniert das nicht, weil die Gruppe "Test-Gruppe" nicht von der "Master-Gruppe" erbt.

    Sie müssen also den Benutzer direkt zur "Master-Gruppe" hinzufügen oder die Bits für die Berechtigungen direkt für die "Test-Gruppe" konfigurieren.

Note: Besprechen Sie mit Ihrer IT-Abteilung, wie Sie PAM über sssd oder Samba konfigurieren, damit die AD-Integration möglich ist.
Note: Um z.B. festzulegen, ob die Benutzergruppen zyklisch synchronisiert werden sollen etc. verwenden Sie die Config-Einträge assignUserGroups, checkADAuthIntervall und modifyGroups.

Authentifizierungsfehler

Ein "Authentifizierungsfehler" wird aus folgenden Gründen angezeigt:

  • Falscher Benutzername,
  • Korrekter Benutzername aber falsches Passwort,
  • Korrekter Benutzername aber Benutzer gehört zu keiner Benutzergruppe,
  • Korrekter Benutzername und der Benutzer ist Teil von den Benutzergruppen, aber keine der Gruppen hat die entsprechende Berechtigung,
  • Korrekter Benutzername aber das Passwort des Accounts ist abgelaufen (nur unter Linux),
  • Korrekter Benutzername und Passwort aber der Account ist abgelaufen oder deaktiviert (nur unter Linux).