Tixi.Com

Info:
In BETA-Firmware 2.1.34.0 sind nun alle 4 Punkte des Sollstands implementiert. Die nächste Release-Firmware 2.2.0.0 wird also in folgender Form den vollen Zugriffschutz für den TS-Adapter bieten:

1. Der lokale Zugriff auf die S7 durch das Modem (COM1->COM2) lässt sich nicht sperren. (Verhält sich also wie der Original Siemens-TS-Adapter).

2. Die über die SIMATIC-Software eingestellten TS-Benutzer (Menü "TS-Adapter-Parametrieren") funktionieren wie beim Original Siemens-TS-Adapter, d.h. es läßt sich ein ADMIN und 2 User anlegen, sowie eine CallBack-Funktion für die Benutzer. Dies gilt nur solange, wie keine AccRights im Modem existieren !

3. Die TS-Adapter-Einstellungen werden beim Factory-Reset gelöscht.

4. Sobald im Modem AccRights User sowie ein ADMIN definiert wurden, gelten nurnoch die in den AccRights angelegten User! Bei diesen läßt sich auch ein Callback über das gleichnamige Userattribut anlegen. Die im TS-Adapter parametrierten User bleiben erhalten, sind aber inaktiv. Erst nach Löschen der AccRights werden diese wieder wirksam.

Weiterer Vorteil: In den AccRights lassen sich quasi beliebig viele User anlegen, eine beschränkung auf 3 User (wie im TS-Adapter) gibt es hier nicht.

_________________
Tixi Support Team

E-Mail-Support, Mo-Fr, 9:00 - 17:00: Tixi-Support@tixi.com
techn. Hotline, Mo-Fr, 9:00 - 12:00 und 13:00 - 17:00: 0900-100 90 11 für 2€/min

Muss ich derzeit leider bestätigen. Der Sollzustand bzgl. TS-Zugriffschutz ist in der aktuellen Firmware noch nicht vollständig erreicht.

Sollzustand:
1. Der lokale Zugriff auf die S7 durch das Modem (COM1->COM2) lässt sich nicht sperren. (Verhält sich also wie der Original Siemens-TS-Adapter).
2. Die über die SIMATIC-Software eingestellten TS-Benutzer (Menü "TS-Adapter-Parametrieren") funktionieren wie beim Original Siemens-TS-Adapter, d.h. es läßt sich ein ADMIN und 2 User anlegen, sowie eine CallBack-Funktion für die Benutzer.
3. Die TS-Adapter-Einstellungen werden beim Factory-Reset gelöscht.
4. Sobald im Modem AccRights User sowie ein ADMIN definiert wurden, gelten nurnoch die in den AccRights angelegten User mit "TSAdapter" Dienst. Bei diesen läßt sich auch ein Callback über das gleichnamige Userattribut anlegen. Die im TS-Adapter parametrierten User bleiben erhalten, sind aber inaktiv. Erst nach Löschen der AccRights werden diese wieder wirksam.
Weiterer Vorteil: In den AccRights lassen sich quasi beliebig viele User anlegen, eine beschränkung auf 3 User (wie im TS-Adapter) gibt es hier nicht.


Istzustand:- Die Punkte 1-3 funktionieren bereits (getestet in FW 2.1.20.0)
- Der Punkt 4 ist noch nicht implementiert, d.h. die AccRights User werden nicht abgefragt. Die im TS-Adapter anlegten User funktionieren aber auch hier korrekt !!

Beispiel für eine zukünftige AccRights-Datenbank mit TS-Adapter-Zugriffschutz und CallBack-Funktion:

[<SetConfig _="USER" ver="y">
<AccRights>
<Groups>
<Hausmeister>
<TSAdapter AccLevel="1"/>
</Hausmeister>
</Groups>
<User>
<Krause Plain="Dackel" Group="Hausmeister" Callback="0301234567"/>
<ADMIN Plain="secret" Group="Hausmeister"/>
</User>
</AccRights>
</SetConfig>]

Ich habe noch keinen Termin genannt bekommen, ab wann Punkt 4 implementiert ist.

_________________
Tixi Support Team

E-Mail-Support, Mo-Fr, 9:00 - 17:00: Tixi-Support@tixi.com
techn. Hotline, Mo-Fr, 9:00 - 12:00 und 13:00 - 17:00: 0900-100 90 11 für 2€/min

Hallo,

das mit dem TS-Adapter Zugriffschutz schaue ich mir nochmal näher an.

Da es aber generell ein paar Unklarheiten bzgl. User/Gruppen/Dienste gibt, hier ein paar klärende Worte:

1. Sobald ein richtiger "User" angelegt wird, werden ALLE Dienste gesperrt.
Möchte man aber bestimmte Dienste für ALLE öffnen, muß man für diesen Dienst einen "Def_" User ohne Passwort anlegen. (z.B. "Def_LocalLogin", siehe TiXML-Reference-Manual)

2. Ein User erhält aber auch zu den Diensten Zugriff, die nicht explizit in seiner Gruppe gelistet sind !
Möchte man dies verhindern, müssen die zu sperrenden Dienste in seiner Gruppe mit AccLevel="-1" ausgeführt werden.

Beispiel einer sinnvollen AccRights-Definition, bei der es einen User "Krause" gibt, der ausschließlich Zugriff auf den Webserver bekommen soll. Damit er keinen Zugriff auf die anderen Dienste erhält, werden diese in seiner Gruppe gesperrt (AccLevel="-1"). Zudem werden alle Dienste mit einem Default-Passwort "Guest" geschützt.

[<SetConfig _="USER" ver="y">
<AccRights>
<Groups>
<Guest>
<LocalLogin AccLevel="1"/>
<RemoteLogin AccLevel="1"/>
<EthernetLogin AccLevel="1"/>
<Message AccLevel="1"/>
<WebServer AccLevel="10"/>
<TSAdapter AccLevel="1"/>
</Guest>
<Hausmeister>
<WebServer AccLevel="1"/>
<LocalLogin AccLevel="-1"/>
<RemoteLogin AccLevel="-1"/>
<EthernetLogin AccLevel="-1"/>
<Message AccLevel="-1"/>
<TSAdapter AccLevel="-1"/>
</Hausmeister>
</Groups>
<User>
<Def_LocalLogin Plain="Guest" Group="Guest"/>
<Def_RemoteLogin Plain="Guest" Group="Guest"/>
<Def_EthernetLogin Plain="Guest" Group="Guest"/>
<Def_Message Plain="Guest" Group="Guest"/>
<Def_Webserver Plain="Guest" Group="Guest"/>
<Krause Plain="Dackel" Group="Hausmeister"/>
<ADMIN Plain="secret" Group="Hausmeister"/>
</User>
</AccRights>
</SetConfig>]

_________________
Tixi Support Team

E-Mail-Support, Mo-Fr, 9:00 - 17:00: Tixi-Support@tixi.com
techn. Hotline, Mo-Fr, 9:00 - 12:00 und 13:00 - 17:00: 0900-100 90 11 für 2€/min

Hallo

folgendes wurde von mir in die AccRights eingetragen:

<Admin>
<LocalLogin AccLevel="1"/>
<RemoteLogin AccLevel="1"/>
<EthernetLogin AccLevel="1"/>
<Message AccLevel="1"/>
<Events AccLevel="10"/>
<WebServer AccLevel="10"/>
<TFTP AccLevel="1"/>
<TSAdapter AccLevel="1"/>
</Admin>

Nur ist es mir immernoch möglich über den TS-Adapter auf die SPS zuzugreifen OHNE EIN PASSWORT einzugeben.
Also ist das Ganze nicht ganz so einfach

Viele Grüsse

Das geschieht automatisch ! Sobald es einen User+Gruppe gibt, der einen Dienst beinhaltet, ist selbiger Dienst für andere gesperrt.



Der Dienst für den TS-Adapter-Zugriffschutz heisst "TSAdapter".
Beispiel:

[<SetConfig _="USER" ver="y">
<AccRights>
<Groups>
<Hausmeister>
<TSAdapter AccLevel="1"/>
</Hausmeister>
</Groups>
<User>
<Krause Plain="Dackel" Group="Hausmeister"/>
<ADMIN Plain="secret" Group="Hausmeister"/>
</User>
</AccRights>
</SetConfig>]

_________________
Tixi Support Team

E-Mail-Support, Mo-Fr, 9:00 - 17:00: Tixi-Support@tixi.com
techn. Hotline, Mo-Fr, 9:00 - 12:00 und 13:00 - 17:00: 0900-100 90 11 für 2€/min

Hallo.
Bezüglich der Rechtevergabe habe ich mal eine Frage.
In den AccRights werden die Zugriffsrechte für die einzelnen Benutzer vergeben, nur wo stelle ich ein das eben selbige Funktionen mit einem Schutz versehen werden sollen (ähnlich dem Restricted beim Webserver) ?
Sonst macht das Ganze ja eigentlich keinen Sin...
Auch die Beschreibung des Schutzes für den TS-Zugriff würde mich interessieren, da dies in meinem Handbuch nicht beschrieben ist.

Viele Grüsse

Ja, das ist möglich.
Konfiguriert wird das auf dem TICO Register "5+6-AccRights".
Im TiXML-Reference-Manual wird das im Kapitel 3.12.2 erklärt.
Ansatzweise auch im neuen TiXML-Tutorial für FW 2.0.

Die ganze Funktion zu erläutern, würde jetzt hier zu weit führen, daher nur ein paar Hinweise:
- Es gibt verschiedene Dienste, auf die man den Zugriff beschränken kann: lokale Anmeldung, Einwahl, Fernwirken, Webserver, TFTP, TSAdapter.
- Man legt Gruppen an, denen man diese Dienste mit "Access Leveln" zuweist. Level -1 = kein Schutz, 1 = Schutz aktiv, >1 = Schutz mit Level.
Level >1 machen aber derzeit nur beim Webserver Sinn.
- Nun definiert man User, die Mitglied einer oder mehrerer Gruppen werden.

Beispiel:
Nehmen wir mal die Gruppe "Hausmeister" mit den Diensten LocalLogin (Level 1) und WebServer (Level 2).
Herr "Krause" (Passwort: "Dackel") ist Mitglied dieser Gruppe.
Es existiert eine Webseite mit mehreren Seiten. Eine Seite mit Stromzählerständen (Level 3) und eine für die Hausbeleuchtung (Level 2).
(Webserver Passwortschutz wird im Webserver TiXML Handbuch Kapitel 1.6.2 erklärt).

Hausmeister Krause hat also mit seinem Benutzernamen + Passwort an der seriellen Schnittstelle vollen Zugriff aufs Modem. Ohne den Benutzernamen + Passwort hat niemand sonst Zugriff.
Desweiteren kann Herr Krause mit seinen Daten die Webseite mit der Hausbeleuchtungssteuerung ansehen. Die Webseite mit den Zählerständen wird er aber nicht öffnen können.

[<SetConfig _="USER" ver="y">
<AccRights>
<Groups>
<Hausmeister>
<LocalLogin AccLevel="1"/>
<WebServer AccLevel="2"/>
</Hausmeister>
</Groups>
<User>
<Krause Plain="Dackel" Group="Hausmeister"/>
</User>
</AccRights>
</SetConfig>]



Sie können dem MPI-TS-Adapter über die S7-TS-Software ein Passwort vergeben. Sobald aber im Alarm Modem ein Projekt mit AccRights existiert, wird diese Einstellung durch die AccRights Datenbank überschrieben. In den AccRights gibt es den Dienst "TSAdapter", der für den Zugriffschutz verwendet wird. In den AccRights muss zwingend ein User ADMIN existieren.



Das erfolgt automatisch...

_________________
Tixi Support Team

E-Mail-Support, Mo-Fr, 9:00 - 17:00: Tixi-Support@tixi.com
techn. Hotline, Mo-Fr, 9:00 - 12:00 und 13:00 - 17:00: 0900-100 90 11 für 2€/min

Ich habe mal einige Fragen bezüglich der Passwortvergabe.

Ist es möglich jeglichen Zugriff zu blocken, ausgenommen von ausgesuchten Usern? (Wie würde sowas aussehen?)
Was für Auswirkungen haben die AccLevel? (Konnte keinen Unterschied feststellen, hatte immer Vollzugriff...)
Kann ich den integrierten TS-Adapter mit einem Passwort belegen?
Kann ich bei einer falschen Passworteingabe die Remoteverbindung beenden?

Gruss