SIEMENS西门子 5SL系列小型断路器230-400V 6kA 5SL6525-8CC
从访问级别到用户功能权限 下文将介绍如何使用新的本地用户管理来实现 CPU 访问保护。 作为功能权限的访问级别 对于固件版本不超过 V3.0 的 ET 200SP CPU,仅可通过密码控制访问;而对于固件版本自 V3.1 起的 CPU,可创建具有必要功能权限的相应用户和角色进行访问控制。访问级别和相关 功能权限之间的分配基于已知的访问级别: • 要拥有完全访问权限,用户必须具有功能权限“完全访问”的角色。 只有当至少一个用户具有“完全访问”或“完全访问(故障安全)”功能权限时,才能编译和下 载 CPU 组态。 • 要拥有只读访问权限,用户必须具有功能权限“只读访问”的角色。 • 要拥有 HMI 访问权限,用户必须具有功能权限“HMI 访问”的角色。 如果用户不具备这些功能权限,则该用户也没有 CPU 的访问权限。 访问级别的层级结构以及相应的功能权限保持不变: • 具有完全访问权限的用户仍具有“只读访问”和“HMI 访问”功能权限。 • 具有只读访问权限的用户仍具有“HMI 访问”功能权限。 说明 “ENDIS_PW”指令的兼容性 “ENDIS_PW”指令仅可禁用或启用防护等级的密码。“ENDIS_PW”指令对分配的用户或角色权限 没有影响。继续使用访问级别 尽管新的本地用户管理通过各个用户的相应功能权限取代了常见的访问保护,但仍可选择继续 使用这一常见的访问保护功能。例如,对于仅支持访问级别并且无法使用新用户管理的 HMI 设备而言,仍需要使用访问保护功能。 如果需要组态访问级别,以允许在没有分配用户和密码的情况下访问 HMI 设备,可在 CPU 属 性中选择“通过访问级别使用传统访问控制”(Use legacy access control via access levels) 选项。 说明 OPC UA 和 Web 服务器的用户 无论采用哪种访问保护方式,必须在项目树中(“安全设置 > 用户和角色”(Security settings > Users and roles) 区域)组态 Web 服务器和 OPC UA 服务器的用户。 继续使用访问级别的限制 使用“传统访问控制”(Legacy access control) 选项时,不能直接在访问级别设置表中选择访问级 别。只能通过以下一种方式为新的本地用户管理设置此选项:使用“匿名”(Anonymous) 用户的 访问保护功能权限。 系统默认在项目中创建本地“匿名”(Anonymous) 用户。借助此用户,可以在没有用户名和密码 的情况下进行登录时,定义项目中 CPU 的特性。出于安全考虑,匿名用户已禁用,如需使用 必须先进行激活。 在访问级别设置区域中通过链接跳转到编辑器,以进行所需的“匿名”(Anonymous) 用户设置。 示例: • 如果“匿名”(Anonymous) 用户被禁用或者“匿名”(Anonymous) 用户虽然激活但没有分配任 何功能权限,则没有用户名和密码任何人都不能登录(对应于访问级别“不能访问(完全保 护)”(No access (complete protection)))。• 如果“匿名”(Anonymous) 用户被激活并且 CPU 的“完全访问”(Full access) 功能权限通过相应 的角色分配给该用户,则此设置的结果为“无保护”(No protection)。通过在 CPU 属性的“保 护和安全”(Protection & Security) 区域中设置“不能访问保护”(No access protection),也可 以达到此目的。 操作步骤 要激活“传统访问控制”(Legacy access control) 并设置所需的访问级别,请按以下步骤进行操 作: 1. 在 CPU 属性中,转到“保护和安全 > 访问控制”(Protection & Security > Access control)。 2. 选择“启用访问控制”(Enable access control) 选项,并选中“通过访问级别使用传统访问控 制”(Use legacy access control via access levels) 复选框。 不能在此设置中使用访问级别选择。使用 CPU 的“匿名”(Anonymous) 用户设置访问级别。 默认情况下,“匿名”(Anonymous) 用户处于停用状态。这意味着,没有密码的用户的访问 级别为“不能访问(完全保护)”(No access (complete protection))(默认设置)。 3. 在项目树中,转至“安全设置 > 用户和角色”(Security Settings > Users and roles)。 4. 如果要设置“不能访问(完全保护)”(No access (complete protection)) 之外的访问级别, 请激活“匿名”(Anonymous) 用户。可为激活的“匿名”(Anonymous) 用户分配一个具有功能 权限的角色,该角色无需输入密码即可访问 CPU。5. CPU 的功能权限不能直接分配给用户。必须先创建角色: 因此,切换到“角色”(Roles) 选项卡并添加新角色。分配一个有意义的名称,例如“PLC1 只读 访问角色”(PLC1-Read-Access-Role)。如果将此角色分配给某个用户,则该用户在运行期间 将具有 PLC1 的只读访问权限。 6. 将访问 CPU“PLC1”所需的功能权限分配给角色“PLC1 只读访问角 色”(PLC1-Read-Access-Role),在本例中为“只读访问”(Read access)。 7. 切换到“用户”(Users) 选项卡,将“PLC1 只读访问角色”(PLC1-Read-Access-Role) 角色分配给 激活的“匿名”(Anonymous) 用户。 结果:“匿名”(Anonymous) 用户具有 PLC1 的只读访问权限。这意味着,项目中 CPU“PLC1”的访问级别表被预设为“只读访问”(Read access)(无法更改),未登录的用户只 有只读访问权限。 对于完全访问或完全访问(故障安全),必须在表中组态完全访问密码,以实现访问保 护。对于在运行期间执行操作需要获取 CPU 完全访问的用户(例如,将项目下载到 CPU 上),必须使用此密码登录后才能执行此操作。 提示 为了便于识别用户权限,相应角色应使用有意义的名称。为整个项目创建用户和角色;必须为 项目中的每个 CPU 单独选择角色的功能权限。描述性名称允许用户立即识别授予只读访问权 限的 CPU 和未授予访问权限的 CPU(完全保护)。
有关兼容性的信息
在后续部分中,介绍了使用本地用户管理时的 CPU 特性,例如在 STEP 7 中更换模块时,以及
在没有本地用户管理的情况下继续使用项目和程序时。
更换部件方案
如果将固件版本 <V3.1 的 CPU 更换为固件版本为 V3.1 或更高的 CPU,存储在存储卡上的程序
将像原始 CPU 一样运行。组态的访问级别以及 OPC UA 服务器和 Web 服务器的用户特性与前
代 CPU 的特性保持一致。
在这种情况下,无法通过 Web 服务器 API 实现“更改密码功能”(Change password function),
因为组态后的 CPU 固件版本 < V3.1,并且不支持本地用户管理。
更换 CPU(升级)
如果在 TIA Portal 中将 CPU(固件版本 <V3.1)更换为Zui新 CPU(固件版本为 V3.1 或更高版
本),则对组态的用户数据有如下影响:
• OPC UA 服务器和 Web 服务器的用户数据将传输到项目树中的“用户和角色”(Users and
roles) 编辑器。
注意
更换 CPU 时密码丢失
更换 CPU 之前,确保密码可用。必须在“用户和角色”(Users and roles) 编辑器中再次输入
此密码。否则,必须分配新密码并通知用户。
• 在“用户和角色”(Users and roles) 编辑器中为每个 Web 服务器用户创建相应的角色;角色 名包含 CPU 名称、“Web”字符串和已组态的 Web 服务器用户名。这样,通过在“用户和角 色”(Users and roles) 编辑器中分配这些角色,即可轻松恢复每个 CPU 的原始权限。 • 为每个 OPC UA 服务器用户创建“OPC UA 服务器访问”(OPC UA server access) 角色。 • OPC UA 访客访问权限和 Web 服务器用户“每个人”(Everybody) 被移植到“匿 名”(Anonymous) 用户。 • 每个 OPC UA 用户和每个 Web 服务器用户都列在“用户和角色”(Users and roles) 编辑器 的“用户”(User) 列中。如果存在同名的 Web 服务器用户和 OPC UA 用户,则仅创建一个用 户。 • 对于受保护的项目,可选择 CPU 执行的操作: – 移植用户(要求:已使用具有用户和角色管理权限以及项目/组态编辑权限的用户身份进 行登录) – 删除用户 – 取消 • 设置“通过访问级别实现传统访问控制”(Legacy access control via access levels) 选项来实现 访问保护。更换 CPU(降级) 如果在 TIA Portal 中将 CPU(固件版本 V3.1 或更高)更换为前代 CPU(固件版本 V3.1 以 下),则对组态的用户数据有如下影响: • 本地用户管理不再可用。 • 不传递具有 Web 服务器功能权限的用户。 • OPC UA 服务器的用户在“用户和角色”(Users and roles) 编辑器中保持其用户权限。没有用 户移至 CPU 参数的“OPC UA”区域。 • 用户无法继续在运行期间更改密码(通过 Web 服务器 API)。 11.4 组态 CPU 的访问保护 简介 以下部分介绍如何使用 CPU 的各个访问级别。该描述适用于固件版本不超过 V3.0 的 ET 200SP CPU。对于后续固件版本,在“用户和角色”(Users and roles) 编辑器的项目树中使用 本地用户管理功能 (页 188)。访问级别在此表示为同名的功能权限,可通过角色将其分配给各 个用户。 CPU 提供了四个访问级别,用于限制对特定功能的访问。 设置 CPU 的访问等级和密码后,则需输入密码才能访问功能和存储区。将在 CPU 的对象属性 中指定各种访问级别以及相关的密码条目。密码规则 确保密码的安全性足够高。密码不得采用机器可识别的模式。遵循下列规则: • 分配的密码长度至少为 8 个字符。 • 使用不同格式和字符:大写/小写、数字和特殊字符。 CPU 的访问级别 表格 11-1 访问级别和访问限制 访问级别 访问限制 完全访问权限(无 保护) 任何用户都可以读取和更改硬件配置及块。 读访问权 在这一级访问中,可以不输入密码对硬件配置和块进行只读访问。即,可将硬件配置 和块下载到编程设备中。此外,还可访问 HMI 和诊断数据。 但不输入密码,无法将任何块或硬件配置加载到 CPU 中。此外,如果没有密码,也 无法进行以下操作: • 编写测试功能 • 固件更新(在线)
