КОМПЛЕКСНОЕ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ ПО УПРАВЛЕНИЮ ПРОИЗВОДСТВОМ И ПОЛУЧЕНИЮ ЭКСПЛУАТАЦИОННЫХ ПАРАМЕТРОВ РУКОВОДСТВО ПО БЫСТРОМУ ЗАПУСКУ ПУБЛИКАЦИЯ FTSEC-QS001A-EN-E–Август 2007 1 / 2011 www.klinkmann.com Связаться с Rockwell Авторское право Товарные знаки Телефон поддержки — 1.440.646.3434 Сайт поддержки в Интернете — http://support.rockwellautomation.com Авторское право ©2007 Rockwell Automation Technologies, Inc. Все права защищены. Отпечатано в США. Настоящее руководство и все сопутствующие продукты Rockwell Software защищены авторским правом Rockwell Automation Technologies, Inc. Всякое воспроизведение и/ или распространение без предварительно полученного письменного согласия Rockwell Automation Technologies, Inc. строго воспрещается. За подробностями обращайтесь к лицензионному соглашению. Allen-Bradley, FactoryTalk, PLC-2, PLC-3, PLC-5, Rockwell Automation, Rockwell Software, RSLinx, RSView, и логотип Rockwell Software являются зарегистрированными товарными знаками Rockwell Automation, Inc. Следующие логотипы и продукты являются товарными знаками компании Rockwell Automation, Inc.: RSBizWare, логотип RSBizWare, RSBizWare Batch и FactoryTalk Batch, RSLogix, RSView, FactoryTalk View, RSView Studio, FactoryTalk View Studio, RSView Machine Edition, RSView ME Station и FactoryTalk View ME, FactoryTalk Activation, FactoryTalk Administration Console, FactoryTalk Alarms and Events, FactoryTalk Automation Platform, FactoryTalk Services Platform, FactoryTalk Directory, RSAssetSecurity и FactoryTalk Security.RSLinx Classic, RSLinx Enterprise, SLC 5, SLC 500, и SoftLogix. Другие торговые знаки ActiveX, Microsoft, Microsoft Access, SQL Server, Visual Basic, Visual C++, Visual SourceSafe, Windows, Windows ME, Windows NT, Windows 2000, Windows Server 2003, и Windows XP являются зарегистрированными товарными знаками или товарными знаками Microsoft Corporation в США и/или в других странах. Adobe, Acrobat и Reader являются зарегистрированными товарными знаками или товарными знаками Adobe Systems Incorporated в США и/или в других странах. OLE for Process Control (OPC) является зарегистрированным товарным знаком OPC Foundation.Oracle, SQL*Net и SQL*Plus являются зарегистрированными товарными знаками Oracle Corporation. Все другие товарные знаки являются собственностью их владельцев и признаются здесь как таковые. Гарантия На данный продукт распространяется гарантия в соответствии с лицензией. На работу продукта может влиять конфигурация системы, выполняемая прикладная программа, действия оператора, обслуживание и другие факторы. Rockwell Automation не несет ответственности за промежуточные факторы такого типа. Содержащиеся в настоящем руководстве инструкции не претендуют на то, чтобы учитывать все мелкие подробности или отличия в описываемом оборудовании, методике или процессе, а также определять действия при всех возможных непредвиденных ситуациях при установке, эксплуатации или сопровождении. Реализация продукта может меняться от пользователя к пользователю. Данное руководство актуально на момент выпуска продукта. Однако в сопроводительном программном обеспечении Rockwell Automation, Inc. оставляет за собой право изменять любую информацию, содержащуюся в данном руководстве, в любой момент без предупреждения. Вы должны убедиться, что обладаете наиболее последней информацией от Rockwell во время установки или использования продукта. Версия: 9.00.05 (CPR 9) Редакция: 19 сентября, 2007 11:13 am Публикация: FTSEC-QS001A-EN-E Август, 2007 Содержание Предисловие Об этой публикации xi Программные требования . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xii Требования к аппаратным средствам . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xii Дополнительные ресурсы . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xiii Глава 1 Обзор FactoryTalk Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 Что такое безопасность в системе автоматизации . . . . . . . . . . . . . . . . . . . . . . 1 Какие проблемы решает FactoryTalk Security? . . . . . . . . . . . . . . . . . . . . . . . . 2 Каким образом FactoryTalk Security защищает уровень приложений? . . . . . . 2 С чего начать . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 Глава 2 Спланируйте систему . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 О системе FactoryTalk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 FactoryTalk Services Platform . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 Каталог FactoryTalk Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 Два каталога на каждом компьютере . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 Примеры систем FactoryTalk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 Пример: Автономная система на одном компьютере . . . . . . . . . . . . . . . . . 6 Пример: Распределенная система в сети . . . . . . . . . . . . . . . . . . . . . . . . . 7 Глава 3 Установка и активация программного обеспечения FactoryTalk . . . . . . . . . . 9 Перед тем, как вы начнете . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 Что требуется. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 Выполните следующие шаги: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 Установка связанного с FactoryTalk программного обеспечения . . . . . . . . . . . 12 Что делать далее . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18 Глава 4 С чего начать в FactoryTalk Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 Перед тем, как вы начнете . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 Что требуется. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 Выполните следующие шаги: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20 Запуск FactoryTalk Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20 Вход в систему FactoryTalk с использованием учетной записи администратора . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 FactoryTalk Security Руководство по быстрому запуску FactoryTalk Administration Console . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 Окно проводника . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 Группы действий (Action groups) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 Политика (Системная папка) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 Компьютеры и группы действий (Системная папка) . . . . . . . . . . . . . . . . . . . . 25 Сети и устройства (Системная папка) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26 Пользователи и группы (Системная папка) . . . . . . . . . . . . . . . . . . . . . . . . . . 26 Указание расположения сетевого каталога . . . . . . . . . . . . . . . . . . . . . . . . . 27 Запуск утилиты определения расположения сервера каталога . . . . . . . . . 27 Указание сервера сетевого каталога для клиент-компьютеров . . . . . . . . . 27 Вход в систему FactoryTalk с использованием учетной записи администратора . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 В сетевом и локальном каталогах настройки безопасности отличаются . . . . . . 29 Мастер конфигурации каталога FactoryTalk Directory Configuration Wizard . 30 Защита действий, которые может выполнять пользователь . . . . . . . . . . . . . . 30 Группы действий . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30 Защищаемые по умолчанию действия . . . . . . . . . . . . . . . . . . . . . . . . . . 30 Обычные действия (Common) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32 Действия тегов (Tag actions) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35 Группы действий пользователя . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35 Усиление безопасности . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35 В новой системе . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35 При обновлении системы . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40 Вход и выход с помощью системы одного входа . . . . . . . . . . . . . . . . . . . . . . 40 Настройка системы одного входа. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41 Два способа входа . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42 Вход администратора и система одного входа . . . . . . . . . . . . . . . . . . . . . 43 Два способа выхода . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43 Когда отключать систему одного входа . . . . . . . . . . . . . . . . . . . . . . . . . 43 Что делать далее . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44 Глава 5 iv Создание учетных записей пользователя . . . . . . . . . . . . . . . . . . . . . . . . . 45 Содержание Перед началом . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45 Что требуется. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45 Выполните следующие шаги: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46 Учетные записи пользователей FactoryTalk и учетные записи Windows . . . . . . 46 Планирование учетных записей . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47 С чего начать . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47 Пример защиты частей системы . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48 Создание пользователя . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48 Создание группы пользователей . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50 Добавление учетных записей компьютеров . . . . . . . . . . . . . . . . . . . . . . . 53 Что делать далее . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56 Глава 6 Назначение прав доступа . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57 Перед тем, как вы начнете . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57 Что требуется. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57 Выполните следующие шаги: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58 Разрешение и запрет прав доступа . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58 Понимание «наследования» . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59 Порядок старшинства . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60 Категории прав доступа для действий . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61 Назначение прав доступа. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61 Просмотр прав доступа . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63 Понимание действующих прав доступа . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63 Создание групп действий. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64 Создайте группы действий для нашего примера . . . . . . . . . . . . . . . . . . . 65 Работа с группами действий . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67 Что делать далее . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68 Глава 7 Установка политики безопасности системы и продукта . . . . . . . . . . . . . . . 69 Перед тем, как вы начнете . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70 Что требуется. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70 Выполните следующие шаги: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70 Политика системы . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71 v FactoryTalk Security Руководство по быстрому запуску Назначение политики безопасности . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71 Политика продукта . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73 Политика продукта и наследование. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73 Чем отличаются политика продукта и политика действия? . . . . . . . . . . . . . . . 73 Два различных способа настроить безопасность функций продукта. . . . . . . . . 74 Настройка нескольких продуктов. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74 Настройка доступа к одной функции продукта. . . . . . . . . . . . . . . . . . . . . 75 Что делать далее . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77 Глава 8 Группирование ресурсов . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79 Перед тем, как вы начнете . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79 Что требуется. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79 Выполните следующие шаги: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80 Использование группирования ресурсов . . . . . . . . . . . . . . . . . . . . . . . . . . . 80 Почему это называется «группированием» ресурсов? . . . . . . . . . . . . . . . . 80 Группирование ресурсов и дерево Networks and Devices (Сети и устройства) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80 Как сети и устройства наследуют права доступа . . . . . . . . . . . . . . . . . . . 81 Планирование группирования ресурсов . . . . . . . . . . . . . . . . . . . . . . . . . 82 Создание исключений для отдельных сетей или устройств . . . . . . . . . . . . 82 Одно устройство не может быть членом нескольких групп ресурсов . . . . . 82 Использование Resource Editor (Редактор ресурсов) . . . . . . . . . . . . . . . . . . . 82 Добавление логического имени. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84 Что делать далее . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86 Глава 9 RSLinx и FactoryTalk Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87 Перед тем, как вы начнете . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87 Что требуется. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87 Выполните следующие шаги: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88 Установка RSSecurity Emulator . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88 Настройка RSLinx Classic на работу с FactoryTalk Security . . . . . . . . . . . . . . . . 90 Настройка безопасности для RSLinx Classic . . . . . . . . . . . . . . . . . . . . . . . 91 Назначение прав доступа. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91 vi Содержание Рекомендации по использованию RSLinx Classic с FactoryTalk Security . . . . . . . 96 Что можно защитить в RSLinx Classic?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96 Что делать далее . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98 Глава 10 RSLogix 5000 и FactoryTalk Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99 Перед тем, как вы начнете . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99 Что требуется. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99 Выполните следующие шаги: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .100 Разрешение функций безопасности в RSLogix 5000 . . . . . . . . . . . . . . . . . . . .100 Разрешение функций безопасности в файле проекта RSLogix 5000 . . . . . . . . .102 Загрузка файла проекта в RSLogix 5000 . . . . . . . . . . . . . . . . . . . . . . . . . . . .105 Добавление контроллера в FactoryTalk Security из FactoryTalk Administration Console . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .106 Если не отображается имя контроллера . . . . . . . . . . . . . . . . . . . . . . . . .108 Открытие доступа к защищенным ресурсам контроллера . . . . . . . . . . . . . . . .108 Защита контроллеров PLC и OPC контроллеров сторонних фирм . . . . . . . . . . .113 Что делать далее . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .114 Глава 11 FactoryTalk View SE и FactoryTalk Security . . . . . . . . . . . . . . . . . . . . . . . . 115 Перед тем, как вы начнете . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .115 Что требуется. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .115 Выполните следующие шаги: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .116 Создание учетных записей FactoryTalk Security . . . . . . . . . . . . . . . . . . . . . .117 Установка политики системы и продукта . . . . . . . . . . . . . . . . . . . . . . . . . . .122 Политика продукта . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .123 Политика системы . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .123 Добавление учетных записей FactoryTalk в FactoryTalk View . . . . . . . . . . . . .124 Что делать далее . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .135 Глава 12 FactoryTalk View ME и FactoryTalk Security . . . . . . . . . . . . . . . . . . . . . . . 137 Перед тем, как вы начнете . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .137 Что требуется. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .138 Выполните следующие шаги: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .138 Создание учетных записей FactoryTalk Security . . . . . . . . . . . . . . . . . . . . . .139 vii FactoryTalk Security Руководство по быстрому запуску Добавление учетных записей пользователей и групп FactoryTalk. . . . . . . .139 Добавление учетных записей FactoryTalk в FactoryTalk View . . . . . . . . . . .145 Управление FactoryTalk Security для работы с несколькими приложениями . . .151 Резервирование разрабатываемого приложения . . . . . . . . . . . . . . . . . . .151 Резервирование действующего приложения и локального каталога FactoryTalk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .152 Восстановление приложения на компьютер действующей системы . . . . . .153 Работа с вкладкой 3.20 учетной записи пользователя . . . . . . . . . . . . . . . . . .155 Что делать далее . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .159 Глава 13 FactoryTalk Batch и FactoryTalk Security . . . . . . . . . . . . . . . . . . . . . . . . . 161 Перед тем, как вы начнете . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .161 Что требуется. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .161 Выполните следующие шаги: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .162 Важная информация по установке FactoryTalk Batch . . . . . . . . . . . . . . . . . . .163 Добавление учетных записей пользователей и групп FactoryTalk Batch . . . . . .163 Настройка политики продукта в FactoryTalk Batch. . . . . . . . . . . . . . . . . . . . .168 Настройка безопасности для окон FactoryTalk Batch View . . . . . . . . . . . . .168 Настройка безопасности для команд FactoryTalk Batch Commands . . . . . . .171 Настройка безопасности для редакторов оборудования и рецептов . . . . . .173 Настройка безопасность режима доступа . . . . . . . . . . . . . . . . . . . . . . . .174 Изменение опций конфигурации редактора оборудования Equipment Editor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .175 Что делать далее . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .177 Глава 14 Развертывание системы FactoryTalk . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179 Условия. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .179 Установка системных компьютеров для разработки. . . . . . . . . . . . . . . . . . . .179 На компьютерах действующей системы . . . . . . . . . . . . . . . . . . . . . . . . . . . .181 Резервирование всего каталога FactoryTalk Directory . . . . . . . . . . . . . . . . . .186 Восстановление всего каталога FactoryTalk Directory . . . . . . . . . . . . . . . . . .187 После восстановления всего каталога FactoryTalk Directory . . . . . . . . . . . . . .189 Глава A viii Обновление FactoryTalk Services Platform . . . . . . . . . . . . . . . . . . . . . . . . 191 Содержание Перед тем, как вы начнете . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .191 При обновлении программного обеспечения платформы FactoryTalk . . . . .191 При обновлении компьютеров в распределенной системе . . . . . . . . . . . .192 Обновление клиент-компьютеров первыми . . . . . . . . . . . . . . . . . . . . . . .192 Обновление компьютера-сервера последним . . . . . . . . . . . . . . . . . . . . .193 Определение установленной версии платформы FactoryTalk. . . . . . . . . . .193 Что требуется. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .193 Установка FactoryTalk Services Platform . . . . . . . . . . . . . . . . . . . . . . . . . . . .194 Глава B Что такое FactoryTalk Directory? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201 Создание собственной системы FactoryTalk . . . . . . . . . . . . . . . . . . . . . . . . .201 Понимание локальных и сетевых каталогов . . . . . . . . . . . . . . . . . . . . . . . . .202 Выбор каталога для FactoryTalk Security . . . . . . . . . . . . . . . . . . . . . . . . . . .203 Глава C Использование мастера конфигурации каталога FactoryTalk Directory Configuration Wizard205 Когда использовать мастер конфигурации каталога FactoryTalk Directory? . . . .205 Использование мастера конфигурации каталога FactoryTalk Directory Configuration Wizard . . . . . . . . . . . . . . . . . . . . . . . . . .206 Глава D Защита источника процедур RSLogix 5000 . . . . . . . . . . . . . . . . . . . . . . . . 207 Установка . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .207 Настройка защиты источника (Source Protection) в файле проекта . . . . . . . . .208 Отображение и редактирование защищенных процедур. . . . . . . . . . . . . . . . .213 Файл с ключом и распространение ключа . . . . . . . . . . . . . . . . . . . . . . . . . .215 Алфавитный указатель . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xv ix FactoryTalk Security Руководство по быстрому запуску x Предисловие Об этой публикации Данное руководство рассчитано на тех, кто впервые использует FactoryTalk Security. Большинство глав в данном руководстве модульные – то есть можно обращаться только к тем разделам, которые вас интересуют, без необходимости читать все руководство полностью. Однако рекомендуется прочитать хотя бы главы 1, 2 и 3, так как это даст общее понимание принципа устройства и работы FactoryTalk Security. Если вы уже имели опыт использования RSAssetSecurity или RSSecurity Server, данное руководство поможет узнать о новых возможностях, добавленных в версии 9.0 (CPR 9). Обратитесь к Приложению А за информацией по переходу с базы данных RSSecurity Server или обновления с RSAssetSecurity (CPR 7) до FactoryTalk Security (CPR 9). Информация представленная в данном руководстве поделена на следующие главы: Глава 1 содержит краткое вступление о безопасности в системах автоматизации и то, как можно использовать FactoryTalk Security для усиления безопасности приложений. Глава 2 содержит обзор способа интеграции FactoryTalk Security с другими связанными с FactoryTalk продуктами и платформой FactoryTalk Services Platform. Также дается обзор планирования системы FactoryTalk. Главы 3 и 4 содержит информацию по установке и настройке продукта FactoryTalk Security, который устанавливается с FactoryTalk Services Platform. Главы 5, 6 и 7 содержат информацию по отладке установки FactoryTalk Security путем создания пользовательских и групповых учетных записей, назначения прав доступа для них и установки политики безопасности в масштабах всей системы. Глава 8 содержит информацию по дополнительным возможностям FactoryTalk Security и способам еще большего усиления безопасности. Главы с 9 по 13 содержат информацию по настройке FactoryTalk Security для использования со связанными с FactoryTalk продуктами, такими как FactoryTalk View SE и FactoryTalk Batch. В данных главах также содержится информация по настройке FactoryTalk Security на работу с RSLinx Classic и RSLogix 5000, которые пока не связаны с FactoryTalk. Chapter 14 discusses deploying a FactoryTalk system from a test environment to a production environment once you have everything configured and tested to your satisfaction. В данном руководстве содержатся ссылки на руководства и интерактивные справочные системы, имеющие более подробную информацию по упоминаемым здесь продуктам и службам. Также для предоставления дополнительных сведений в данном руководстве имеются советы, важные примечания, передовые опыты и иногда предупреждения. xi FactoryTalk Security Руководство по быстрому запуску Программные требования FactoryTalk Services Platform и операционная система Windows требуются для настройки и управления FactoryTalk. FactoryTalk Security является одной из многих служб общего пользования, которая устанавливается как часть FactoryTalk Services Platform. Данное руководство содержит краткую информацию по установке многих продуктов и не вдается в подробности, за исключением случаев, когда имеются нестандартные опции. За более подробной информацией обращайтесь к документации по установке каждого из продуктов. FactoryTalk Services Platform устанавливается вместе с установкой любого продукта FactoryTalk. Доступные опции зависят от типа устанавливаемого продукта. При установке некоторых продуктов может выводиться окно для выбора состава установки, тогда как в остальных FactoryTalk Services Platform устанавливается без предупреждения. FactoryTalk Services Platform, v. 2.10 или выше – включает FactoryTalk Administration Console, FactoryTalk Directory, FactoryTalk Diagnostics и службы FactoryTalk Security. Операционная система Microsoft Windows – Microsoft Windows XP Professional, Service Pack 2 или выше; Microsoft Windows 2000 Professional, Service Pack 4 или выше; Microsoft Windows Server 2003 Standard Edition, Service Pack 1 или выше. Связанное с FactoryTalk программное обеспечение, включая: FactoryTalk View Site Edition FactoryTalk View Machine Edition RSLinx Enterprise RSLinx Classic RSLogix 5000 FactoryTalk Batch FactoryTalk Transaction Manager FactoryTalk AssetCentre Требования к аппаратным средствам Аппаратные требования зависят от типа разрабатываемой системы и планируемых к использованию программных продуктов. За рекомендациями обращайтесь к руководству по установке каждого интересующего вас продукта. xii Об этой публикации Дополнительные ресурсы Дополнительная информация по обсуждаемым продуктам и компонентам доступна в следующих руководствах и файлах справки: Интерактивная справочная система FactoryTalk – Из меню Start (Пуск) выберите All Programs (Все программы) > Rockwell Software > FactoryTalk Tools > FactoryTalk Help Руководство по установке или справка FactoryTalk View – В FactoryTalk View Studio выберите Help (Справка) > Online Books > Installation Guide (Руководство по установке) или Help (Справка) > Contents (Содержание). Справка RSLinx Enterprise – Из меню Start (Пуск) выберите All Programs (Все программы) > Rockwell Software > RSLinx > RSLinx Classic Online Reference. Во вкладке Contents (Содержание) разверните книги How To и Secure RSLinx Classic with FactoryTalk Security и затем выберите What can I secure in RSLinx Classic (Что можно защитить в RSLinx Classic)? Справка RSLinx Classic – Из меню Start (Пуск) выберите All Programs (Все программы) > Rockwell Software > RSLinx > RSLinx Classic Online Reference. Во вкладке Contents (Содержание) разверните книги How To и Secure RSLinx Classic with FactoryTalk Security и затем выберите What can I secure in RSLinx Classic (Что можно защитить в RSLinx Classic)? Справка RSLogix 5000 – Из меню Start (Пуск) выберите All Programs (Все программы) > Rockwell Software > RSLogix 5000 Enterprise Series > Help. Руководство администратора FactoryTalk Batch – из меню Start (Пуск) выберите All Programs (Все программы) > Rockwell Software > FactoryTalk Batch Suite > FactoryTalk Batch > Online Books > FactoryTalk Batch > Batch Administrator's Guide. Интерактивная справочная система FactoryTalk Transaction Manager. Интерактивная справочная система FactoryTalk AssetCentre. xiii FactoryTalk Security Руководство по быстрому запуску xiv ГЛАВА 1 Обзор FactoryTalk Security Данная глава содержит краткое вступление о безопасности в системе автоматизации, введение новых терминов и понятий, а также обсуждение того, как можно использовать FactoryTalk Security для усиления безопасности приложений. Что такое безопасность в системе автоматизации Обеспечение безопасности интегрированной, распределенной системы автоматизации от внутренних и внешних угроз требует проведения работ во многих производственных зонах для создания многоуровневого решения. Специалисты по безопасности называют такие решения архитектурой многоуровневой защиты. Что означает применение различных уровней защиты по всей системе автоматизации для противостояния различным угрозам. Например, уровни безопасности могут включать особые решения для защиты системы автоматизации от внешних стен до аппаратных устройств в цеху. Обычно уровни включают: Физическая безопасность Сетевая безопасность Безопасность операционной системы Безопасность приложений Безопасность устройств Однако перед применением решений по безопасности нужно понять те проблемы, которые необходимо решить, и затем подсчитать рентабельность вложений для каждого решения по безопасность. Первым шагом для многих организаций является оценка всех активов предприятия, включая оборудование, людей, продукты, производство, репутацию, интеллектуальную собственность и так далее, а также потенциальные расходы при потере любых из этих активов. Также важно принимать во внимание угрозы для этих активов, которые могут нарушить нормальную работу предприятия. Такие угрозы могут быть как внутренними, так и внешними, и также намеренными или случайными. Следующий шаг – это подсчет рисков и составление плана по защите от наиболее дорогостоящих угроз с высокой вероятностью возникновения. Разработайте план, который включает только угрозы, превосходящие порог риска для организации. Внедрение решений по безопасности очень похоже на покупку страхования - приобретайте страхование достаточное только для уменьшения реальных рисков на допустимом уровне. Как вы бы не застраховали какой-либо актив на сумму больше его стоимости, так и при оценке соотношения цена-выгода от внедрения решения по безопасности. 1 FactoryTalk Security Руководство по быстрому запуску Какие проблемы решает FactoryTalk Security? Говоря понятиями вышеописанной модели многоуровневой безопасности, FactoryTalk Security разработан для обеспечения безопасности на уровне приложений. Его целью является защита от внутренних угроз (как умышленных, так и случайных) путем ограничения доступа к определенным активам системы автоматизации только для тех пользователей, которые имеет на это право. FactoryTalk Security достигает этой цели, позволяя администраторам по безопасности отвечать на следующий вопрос: «Кто может выполнять какие действия над какими защищенными ресурсами и откуда?» Кто может использовать программные продукты Rockwell Automation для выполнения, каких определенных действий на каких аппаратных устройствах Rockwell Automation и других защищенных ресурсах откуда – а именно, с каких компьютеров или рабочих станций Каким образом FactoryTalk Security защищает уровень приложений? Когда кто-либо пытается использовать связанный с FactoryTalk программный продукт для доступа к аппаратному устройству Rockwell Automation или к иному защищенному ресурсу, FactoryTalk Security проводит аунтефикацию личности пользователя и авторизирует данного пользователя на использование данного ресурса и выполнение только разрешенных действий. Аунтефикация. Проверка личности пользователя и того, что запрос исходит именно от данного пользователя. Авторизация. Проверка запроса пользователя на доступ к программному продукту, аппаратному устройству или защищенному ресурсу на основе набора заданных прав доступа. FactoryTalk Security позволяет осуществлять централизованное администрирование учетных записей и прав доступа. Информация по безопасности, включая аунтефикацию и авторизацию пользователя, может передаваться на все программные продукты и аппаратные устройства на определенном компьютере, по всему заводу и по всему предприятию. За исчерпывающей информацией по FactoryTalk Security обращайтесь к интерактивной справочной системе FactoryTalk Security, которая доступна в Start (Пуск) > All Programs (Все программы) > Rockwell Software > FactoryTalk Tools > FactoryTalk Help. А также расположена в c:\Program Files\Common Files\Rockwell\Help\FTSecurityEN.chm. 2 1 • Обзор FactoryTalk Security С чего начать 3 FactoryTalk Security Руководство по быстрому запуску 4 ГЛАВА 2 Спланируйте систему Службы FactoryTalk Security полностью интегрированы с FactoryTalk Directory и всегда присутствуют там, где установлено программное обеспечение FactoryTalk Services Platform. Используйте FactoryTalk Administration Console или FactoryTalk View Studio для администрирования служб централизованной системы безопасности. О системе FactoryTalk Система FactoryTalk состоит из связанных с FactoryTalk программных продуктов, служб и аппаратных устройств, которые работают все вместе и имеют общие FactoryTalk Services Platform и FactoryTalk Directory. FactoryTalk Services Platform – это базовая архитектура и набор служб, на которых строятся программные продукты. В пакет программ FactoryTalk включены FactoryTalk View, RSLinx, RSLogix, FactoryTalk Batch, FactoryTalk AssetCentre, FactoryTalk Transaction Manager и другие. FactoryTalk Services Platform Предоставляет общие службы (такие как диагностические сообщения, службы мониторинга состояния, доступ к данным в режиме реального времени) и распределяет ресурсы завода (такие как теги и графические дисплеи) по всей системе автоматизации. Поддерживает службы централизованной системы безопасности Поддерживает службы централизованной системы предупреждений и выполнения событий Каталог FactoryTalk Directory FactoryTalk Directory содержит ссылки на теги, серверы данных, настройки безопасности и другую информацию по проектам из многочисленных источников данных и обеспечивает доступ к этой информации с помощью службы поиска для всех программных продуктов, участвующих в приложении. Приложение собирает информацию по проектам, включая такие элементы как серверы данных, серверы HMI и серверы предупреждений и событий, и обеспечивает доступ ко всему этому для всех программных продуктов и компьютеров. FactoryTalk Directory может содержать несколько приложений. Сетевые приложения содержатся в сетевом каталоге FactoryTalk Network Directory. Информация по проектам и программные продукты могут располагаться на нескольких компьютерах, распределенных по сети. Все компьютеры, задействованные в определенном приложении, совместно используют общий каталог FactoryTalk Directory, расположенный на сетевом компьютере. Локальные приложения содержатся в локальном каталоге FactoryTalk Local Directory. Информация по проектам располагается на отдельном компьютере и доступна только тем программным продуктам, которые установлены на данном компьютере. К локальным приложениям нельзя получить удаленный доступ, а также отсутствует возможность общего использования информации с сетевым приложением. 5 FactoryTalk Security Руководство по быстрому запуску Два каталога на каждом компьютере FactoryTalk Services Platform устанавливает и настраивает как сетевой, так и локальный каталог на каждом компьютере. Вся информация по проектам и настройкам безопасности полностью различается, и её нельзя использовать совместно в двух каталогах, включая: учетные записи, пароли, набор прав доступа настройки безопасности в масштабах всей системы, включая политику безопасности и аудита информация по проектам, такая как приложения, зоны и их содержание Тип необходимого каталога зависит от того, какие программные продукты планируется использовать, и какая среда (автономная или сетевая) будет использоваться. Обратитесь к документации вашего продукта за подробностями. Примеры систем FactoryTalk Система FactoryTalk состоит из программных продуктов, служб и аппаратных устройств, которые работают совместно и имеют общий каталог FactoryTalk Directory. Если планируется использование системы FactoryTalk на автономном компьютере, установите и активируйте все продукты и службы FactoryTalk на этом компьютере, затем создайте локальные приложения, используя локальный каталог FactoryTalk Local Directory. Если планируется использование системы FactoryTalk на нескольких компьютерах распределенных в сети, установите и активируйте все продукты и службы FactoryTalk на этих компьютерах, затем создайте сетевые приложения, используя сетевой каталог FactoryTalk Network Directory. Пример: Автономная система на одном компьютере Например, простая система FactoryTalk может состоять из продуктов: FactoryTalk Services Platform, FactoryTalk View, RSLinx Classic, и RSLogix 5, которые установлены на одном компьютере и связываются с помощью одного программируемого логического контроллера (PLC), а также включены в одно локальное приложение, которое содержится в локальном каталоге. 6 2 • Спланируйте систему Пример: Распределенная система в сети Система FactoryTalk может быть сложной: с программными продуктами и аппаратными устройствами, которые участвуют в нескольких сетевых приложениях, распределенных по сети, и имеют общий сетевой каталог. В выше приведенном примере сетевого каталога имеются два сетевых приложения: одно с названием «Сточные воды», а другое «Водоснабжение». Все зоны, серверы данных, серверы HMI, серверы устройств, серверы предупреждений и событий в рамках одного приложения являются специальными для данного приложения. Связанная с каким-либо приложением информация не распространяется на другие приложения в данном каталоге. Однако настройки безопасности, политика системы, политика продукта, учетные записи и так далее, распространяются на все приложения в рамках одного каталога FactoryTalk Directory. 7 FactoryTalk Security Руководство по быстрому запуску 8 ГЛАВА 3 Установка и активация программного обеспечения FactoryTalk Данная глава посвящена настройке и запуску FactoryTalk Security. Программа FactoryTalk Security не устанавливается отдельно – она инсталлируется как интегрированная часть платформы FactoryTalk Services Platform. FactoryTalk Services Platform можно установить с помощью: отдельного установочного диска FactoryTalk Security установочного диска какого-либо продукта FactoryTalk, такого как FactoryTalk View Site Edition (программа FactoryTalk Services Platform имеется на установочном диске каждого продукта, где она требуется) Используемый установочный диск будет зависеть от приобретенного продукта, связанного с FactoryTalk. За подробностями обращайтесь к документации по установке каждого из продуктов. В данном руководстве предполагается, что установка программы FactoryTalk Services Platform производится впервые на каждом компьютере в сети, и что не производится обновление с более ранней версии данного программного обеспечения. Если производится обновление с более ранних версий, таких как RSAssetSecurity, обращайтесь к «Обновление FactoryTalk Services Platform» на странице 192. Перед тем, как вы начнете Данное руководство содержит примеры работы с FactoryTalk Directory в распределенной системе. Если планируется использовать локальный каталог FactoryTalk Local Directory, установите все программные продукты FactoryTalk на один компьютер. Перед установкой любой программы FactoryTalk сначала определите планируемые к использованию компьютеры и операционные системы, а также где будет устанавливаться то или иное программное обеспечение. За справкой по разработке плана установки обращайтесь к данному руководству или собственным руководствам по установке каждого продукта. 9 FactoryTalk Security Руководство по быстрому запуску Следующая диаграмма показывает схему сети для группы компьютеров и программных продуктов, включенных в сетевой каталог и распределенных по нескольким компьютерам. Данная система будет использоваться как пример во всем руководстве. За подробностями и примерами типов возможных систем FactoryTalk обращайтесь к справке FactoryTalk. Что требуется Как минимум два персональных компьютера в сети (см. аппаратные и системные требования в руководстве по установке каждого продукта) Установочный диск FactoryTalk View SE (CPR 9) или иной установочный диск связанного с FactoryTalk продукта Установочный диск RSLogix 5000 (опционально) Доступ к сети Интернет (для активации) Руководство по установке для каждого программного продукта Rockwell Automation, который планируется устанавливать Информация в данном руководстве предназначена для обеспечения детального понимания программы FactoryTalk Security и как она используется со связанными с FactoryTalk продуктами. Руководство содержит информацию по установке и настройке безопасности на двух компьютерах (где применимо); один будет настроен как сервер, другой – как клиент. 10 3 • Установка и активация программного обеспечения FactoryTalk Выполните следующие шаги: 11 FactoryTalk Security Руководство по быстрому запуску Установка связанного с FactoryTalk программного обеспечения Шаги, приведенные ниже, описывают действия по установке FactoryTalk Services Platform и связанного с FactoryTalk программного обеспечения. Данное руководство содержит краткую информацию по установке многих продуктов и не вдается в подробности, за исключением случаев, когда имеются нестандартные опции. За более подробной информацией обращайтесь к документации по установке каждого из продуктов. Шаг 1: Установка Microsoft Internet Information Server Для создания и выполнения сетевых приложений FactoryTalk View SE, а также для обеспечения возможности доступа других компьютеров к просмотру и редактированию компонентов (таких как графические дисплеи) необходимо установить Microsoft Internet Information Server (IIS) на каждый компьютер, где планируется установка программы FactoryTalk View SE Server. Устанавливать IIS на комьютеры-клиенты необходимости нет. За пошаговыми инструкциями обращайтесь к руководству по установке FactoryTalk View Site Edition. Шаг 2: Установка FactoryTalk Services Platform 2.10 (CPR 9) Установите FactoryTalk Services Platform на все компьютеры, где планируется разработка или выполнение сетевых или локальных приложений. Для примеров, приведенных в данном руководстве, будет настраиваться сетевой каталог на одном компьютере, который будет выступать в роли сервера. Данный компьютер мы будем называть Компьютер 1. Второй компьютер будет настроен в роли клиента и будет называться Компьютер 2. На данный момент платформа включает следующие компоненты и службы: FactoryTalk Directory FactoryTalk Security FactoryTalk Diagnostics FactoryTalk Live Data FactoryTalk Administration Console – автономный инструмент для настройки, управления и обеспечения безопасности приложений Все эти компоненты и службы устанавливаются одновременно, как платформа, интегрированная в каждый установочный процесс ¬связанного с FactoryTalk продукта. За пошаговыми инструкциями обращайтесь к руководству по установке каждого продукта. На Компьютере 1: Установите FactoryTalk Services Platform, выберите Install Administration Console и нажмите Network Directory (Сетевой каталог) во время установки. На Компьютере 2: Установите FactoryTalk Services Platform, но не устанавливайте Administration Console. После установки FactoryTalk Services Platform, запустите FactoryTalk Directory Server Location Utility (Утилита расположения сервера каталога) и назначьте Компьютер 1 сервером сетевого каталога Network Directory. 12 3 • Установка и активация программного обеспечения FactoryTalk Если при установке FactoryTalk Services Platform произошла ошибка или производится обновление с предыдущей версии FactoryTalk Services Platform, возможно будет необходимо вручную настроить FactoryTalk Directory, запустив мастер конфигурации FactoryTalk Directory Configuration Wizard. За инструкциями обращайтесь к разделу «Использование мастера конфигурации каталога FactoryTalk» на странице 205. На обоих компьютерах: Запустите Windows Firewall Configuration Utility (Утилита настройки брандмауэра Windows) Утилита настройки брандмауэра Windows устанавливается вместе с FactoryTalk Services Platform. Если брандмауэр Windows включен во время установки программных продуктов FactoryTalk, то установочная программа автоматически добавит необходимые исключения на локальном компьютере. Чтобы включить брандмауэр Windows, запустите Windows Firewall Configuration Utility: Start (Пуск) > All Programs (Все программы) > Rockwell Software > FactoryTalk Tools > Windows Firewall Configuration Utility. Шаг 3: Установка программного обеспечения FactoryTalk Activation Server and Client Продукт FactoryTalk позволяет активировать и настраивать определенное количество учетных записей в сетевом каталоге. С FactoryTalk Security можно осуществлять разработку и управление централизованной системой безопасности для нескольких приложений, распределенных по всей системе автоматизации. За подробной информацией по установке сервера или клиента активации обращайтесь к печатному вложению «Activate Rockwell Software Products» (Активация программных продуктов Rockwell), которое поставляется с пакетом продукта, или нажмите кнопку Help (Справка) в диалоговом окне FactoryTalk Activation Tool. Для наших примеров Компьютер 1 будет сервером активации, а Компьютер 2 – клиентом. Серверные компоненты других продуктов FactoryTalk будут установлены на Компьютер 1, тогда как клиентские компоненты – на Компьютер 2. На Компьютере 1: Установка сервера активации FactoryTalk Activation Server Устанавливайте FactoryTalk Activation Server на тот компьютер, где устанавливается FactoryTalk View SE Server. За конкретными указаниями по установке обращайтесь к печатному вложению «Activate Rockwell Software Products» (Активация программных продуктов Rockwell), которое поставляется с пакетом продукта. FactoryTalk Activation Server позволяет сделать активации продукта FactoryTalk доступными на компьютере-сервере сетевого каталога FactoryTalk Network Directory Server. Сервер активации можно установить на тот же компьютер, что и сервер сетевого каталога, или же можно установить сервер активации на другой компьютер, который не перезапускается часто, например другой компьютер-сервер. 13 FactoryTalk Security Руководство по быстрому запуску На Компьютере 2: Установка клиента активации FactoryTalk Activation Client Установите Activation Client на компьютер, где будет устанавливаться другие клиентские программные продукты (такие как выбранные компоненты FactoryTalk View Client и FactoryTalk Batch Clients). Укажите для клиента активации Activation Client сервер активации Activation Server (в нашем случае Компьютер 1). Если сервер активации и сервер сетевого каталога установлены на разных компьютерах, необходимо указать для сервера сетевого каталога компьютер с сервером активации, в противном случае активации работать не будут. Если сервер активации и сервер сетевого каталога установлены на одном компьютере, расположение сервера активации назначается автоматически. Загрузка активаций для продуктов FactoryTalk Чтобы сэкономить время, загрузите активации для всех связанных с FactoryTalk продуктов, которые уже установлены, или будут устанавливаться. Не забудьте активировать программы, установленные на клиент-компьютере. Выполните одно из следующего: Если у сервера активации есть доступ в Интернет, запустите FactoryTalk Activation Tool. Если FactoryTalk Activation Wizard запускается автоматически, следуйте инструкциям на экране для загрузки активаций на сервер активаций. Если мастер активаций не запустится автоматически, выберите вкладку Get Activations (Получить активации) и нажмите Open Activation Wizard (Открыть мастер активации). Если у компьютера с сервером активации доступа в Интернет нет, обращайтесь за указаниями к справке по мастеру активаций FactoryTalk Activation Wizard. Нажмите кнопку Help (Справка) в диалоговом окне FactoryTalk Activation Tool, чтобы получить указания по загрузке активаций. Некоторые связанные с FactoryTalk продукты выводят запрос на активацию в конце процесса установки. Если активации для устанавливаемых продуктов уже получены, мастер активации использовать необходимости нет. Шаг 4: Установка RSSecurity Emulator Опционально. Данный шаг необходим, если с FactoryTalk Security планируется использование программных продуктов RSLinx Classic или RSLogix 5000. Для продуктов, которые на данный момент не поддерживают FactoryTalk Security, RSSecurity Emulator позволяет настраивать пользователей, группы, права доступа и так далее, и затем распределять эти настройки среди клиентских программных продуктов, таких как RSLinx Classic или RSLogix 5000. Если на данный момент используется RSSecurity Server и производится обновление на FactoryTalk Security, обращайтесь к разделу «Импортирование базы данных RSSecurity Server» на странице 195 и «Переход с RSSecurity на FactoryTalk Security» в интерактивной справочной системе FactoryTalk Security. 14 3 • Установка и активация программного обеспечения FactoryTalk Для использования RSSecurity Emulator установите его на каждый компьютер, где будут установлены RSLinx Classic и RSLogix 5000, в нашем примере это будет только Компьютер 1. По окончании установки RSSecurity Emulator что-либо делать для его запуска необходимости нет. За пошаговыми инструкциями обращайтесь к Главе 9, «Установка RSSecurity Emulator» на странице 88. Для примера, приведенного в данном руководстве, необходима настройка сетевого каталога. Выберите Network Directory (Сетевой каталог) при запросе. Шаг 5: Установка и активация выбранных компонентов FactoryTalk View SE FactoryTalk View SE состоит из нескольких программных компонентов, например, FactoryTalk View SE Client, FactoryTalk View SE Server и FactoryTalk View Studio. При установке выбранных компонентов можно выбрать, какие компоненты или комбинацию компонентов устанавливать на компьютер. При установке программы FactoryTalk View также устанавливается FactoryTalk и FactoryTalk Alarms and Events. Для FactoryTalk View SE требуется сеть Windows, а также несколько элементов Windows, включая Internet Information Services (IIS). За пошаговыми инструкциями обращайтесь к руководству по установке FactoryTalk View Site Edition. На Компьютере 1: Установите серверные компоненты FactoryTalk View SE на тот компьютер, где устанавливается сетевой каталог FactoryTalk Network Directory и сервер активации Activation Server. Чтобы выбрать каталог FactoryTalk Directory, выберите Network Directory (Сетевой каталог) при запросе. Так как при установке FactoryTalk View выводится запрос на указание расположения сетевого каталога, устанавливайте программное обеспечение сначала на компьютер с сервером сетевого каталога, а затем установите клиентские компоненты View на другие компьютеры и укажите компьютер с сетевым каталогом для каждого из них. На Компьютере 2: Установите клиентские компоненты FactoryTalk View SE (такие как FactoryTalk View Studio) на тот же компьютер, где установлен сервер активации. Чтобы выбрать каталог FactoryTalk Directory, выберите Network Directory (Сетевой каталог) при запросе. Шаг 6: Установка и активация программного обеспечения связи RSLinx RSLinx Classic и RSLinx Enterprise являются семейством программных продуктов, которые связывают сети и устройства Allen-Bradley с продуктами Microsoft Windows, такими как семейство продуктов FactoryTalk View для визуализации и семейство продуктов для программирования устройств RSLogix. В основном в системах FactoryTalk используются две версии RSLinx: RSLinx Classic – сервер данных OPC-DA 2.0 RSLinx Enterprise – сервер FactoryTalk Live Data и основанный на устройствах сервер предупреждений и событий. Установка RSLinx Enterprise также приводит к установке программы FactoryTalk Alarms and Events Для обеспечения работы RSLinx Classic с FactoryTalk Security сначала установите программу RSSecurity Emulator на каждый компьютер, где планируется установка RSLinx Classic. См. Главу 9, «Установка RSSecurity Emulator» на странице 88. Также см. руководство по установке RSLinx. Для нашего примера мы установим RSLinx на Компьютер 1. 15 FactoryTalk Security Руководство по быстрому запуску Активация RSLinx Enterprise RSLinx Enterprise версии 5.00.00 (CPR 9) имеет следующие способы активации: FactoryTalk Activationтм: Новым пользователям необходимо активировать программное обеспечение, используя FactoryTalk Activation. EvRSI activation: Текущим пользователям, которые переходят на CPR 9 делать активацию не нужно. Продукт активируется автоматически. Шаг 7: Установка Microsoft SQL Server 2005 Express Если планируется использование FactoryTalk Alarms and Events, установите Microsoft SQL Server 2005 Express (если на компьютере в сети уже не установлен Microsoft SQL Server 2005 или Microsoft SQL Server 2000 SP). Потребуется совместимая версия Microsoft SQL Server для регистрации предупреждений и событий в базе данных. Распечатайте и используйте подробные указания по установке, включенные в руководство по быстрому запуску FactoryTalk Alarms and Events Quick Start. Данное руководство доступно в папке Docs CD диска продукта FactoryTalk View Site Edition. Также оно доступно из меню Help (Справка) > Online Books (Online книги) в FactoryTalk View Studio. Если планируется хранение рецептов FactoryTalk Batch в базе данных SQL, необходимо установить Microsoft SQL Server 2005 перед установкой FactoryTalk Batch. Шаг 8: Установка и активация программного обеспечения RSLogix Семейство программных продуктов RSLogix предоставляет средства для программирования устройств управления Allen-Bradley, включая семейство контроллеров Logix5000, PLC-5 и SLC 500. Для обеспечения работы RSLogix 5000 с FactoryTalk Security сначала установите программу RSSecurity Emulator на каждый компьютер, где планируется установка RSLogix. См. Главу 9, «Установка RSSecurity Emulator» на странице 88. Для нашего примера мы установим RSLogix 5000 на Компьютер 1. За информацией по обеспечению безопасности для RSLogix 5000 обращайтесь к Главе 10, «RSLogix 5000 и FactoryTalk Security» на странице 99. RSSecurity Emulator не требуется для программного обеспечения RSLogix 5 или RSLogix 500, за исключением случаев перехода с RSSecurity Server. См. «Переход с RSSecurity на FactoryTalk Security» в интерактивной справочной системе FactoryTalk Security. 16 3 • Установка и активация программного обеспечения FactoryTalk Для программирования контроллеров RSLinx Classic должен быть установлен на том же компьютере, что и RSLogix. RSLinx Classic Lite, поставляемый с RSLogix, может использоваться только для программирования контроллеров. Он не может использоваться как сервер данных. Для предоставления информации по тегам для клиентов FactoryTalk установите RSLinx Classic, RSLinx Classic Gateway или RSLinx Enterprise на один компьютер с RSLogix. Если RSLogix и RSLinx Classic или RSLinx Enterprise установлены на одном компьютере, доступные для поиска в режиме офлайн теги остаются актуальными. Для обновления названий офлайн тегов, публикованных программой RSLinx Classic или сервером данных RSLinx Enterprise, который расположен на компьютере без RSLogix, вручную скопируйте файл логики в компьютер RSLinx Classic или RSLinx Enterprise. Шаг 9: Установка программного обеспечения FactoryTalk Batch Server and Client Необходимо обязательно создать учетную запись Windows для FactoryTalk Batch Server до установки программы FactoryTalk Batch (для нашего примера мы будем использовать batchsvr). При установке компонентов FactoryTalk Batch выводится запрос на ввод этой учетной записи. Это необходимо для того, чтобы установочная программа могла настроить систему FactoryTalk Batch. На Компьютере 1 и Компьютере 2: Создайте учетную запись FactoryTalk Batch Server При создании учетной записи для сервера необходимо соблюдать следующие требования: Пароль должен быть с неограниченным сроком действия. Если срок действия пароля истечет, служба Batch Server не сможет войти в систему. Серверная учетная запись не должна отменяться или удаляться Если данная учетная запись будет отменена/удалена, служба Batch Server не сможет войти в систему. Доменная учетная запись должна иметь уникальное имя. Если серверная учетная запись является доменной учетной записью, удалите все локальные записи с таким же именем. Серверная учетная запись/группа пользователей должна быть на всех компьютерах рабочей группы. Если используется локальная учетная запись и требуется возможность доступа к ресурсам других компьютеров в среде рабочей группы, необходимо создать учетные записи с таким же именем и паролем на каждом компьютере в этой рабочей группе. Для нашего примера для учетной записи Batch Server будет использоваться имя batchsvr. За более подробными указаниями по созданию учетных записей обращайтесь руководству администратора FactoryTalk Batch Administrator’s Guide. Установка Microsoft SQL Server 2005 Если планируется хранение рецептов FactoryTalk Batch в базе данных SQL, сначала установите Microsoft SQL Server 2005. 17 FactoryTalk Security Руководство по быстрому запуску На Компьютере 1: Установка компонентов FactoryTalk Batch Server Установите серверные компоненты на тот компьютер, где устанавливается сетевой каталог FactoryTalk Network Directory и сервер активации Activation Server. Чтобы выбрать каталог FactoryTalk Directory, выберите Network Directory (Сетевой каталог) при запросе. На Компьютере 2: Установка компонентов FactoryTalk Batch Server Установите серверные компоненты FactoryTalk Batch Server (такие как Recipe Editor и Equipment Editor) на тот же компьютер, где установлен сервер активации. Чтобы выбрать каталог FactoryTalk Directory, выберите Network Directory (Сетевой каталог) при запросе. При запросе имени сервера Batch Server используйте имя компьютера, на котором он установлен. За пошаговыми инструкциями по установке FactoryTalk Batch обращайтесь к руководству по установке FactoryTalk Batch Installation Guide. Что делать далее Выполните одно из следующего: 18 Перейдите к Главе 4 на странице 19, чтобы узнать о FactoryTalk Administration Console. Перейдите к Главе 5 на странице 45, чтобы узнать о создании пользовательских, групповых и компьютерных учетных записей. Перейдите к Главе 6 на странице 57, чтобы узнать о назначении прав доступа для пользователей, групп и компьютеров, добавленных в данной главе. Перейдите к Главе 7 на странице 69, чтобы узнать об установке политики безопасности в масштабах системы или конкретной политики. Перейдите к Главе 8 на странице 79, чтобы узнать о дополнительных возможностях FactoryTalk Security, таких как группирование ресурсов и усиление безопасности. Перейдите к Главе 9 на странице 87, чтобы узнать о принципе использования FactoryTalk Security с программным обеспечением RSLinx. Перейдите к Главе 10 на странице 99, чтобы узнать о принципе использования FactoryTalk Security с RSLogix 5000 для обеспечения безопасности проектов и устройств (таких как, контроллеры Logix5000, PLC и SLC). Перейдите к Главе 11 на странице 115, чтобы узнать о принципе использования FactoryTalk Security с FactoryTalk View SE. Перейдите к Главе 12 на странице 137, чтобы узнать о принципе использования FactoryTalk Security с FactoryTalk View ME. Перейдите к Главе 13 на странице 161, чтобы узнать о принципе использования FactoryTalk Security с компонентами FactoryTalk Batch. Перейдите к Главе 14 на странице 179, чтобы узнать о внедрении системы FactoryTalk на компьютерах действующей системы. ГЛАВА 4 С чего начать в FactoryTalk Security Данная глава содержит вводную информацию по основным компонентам FactoryTalk Security, включая: FactoryTalk Administration Console Группы действий Политика Компьютеры и группы Сети и устройства Пользователи и группы Система одного входа Усиление безопасности Перед тем, как вы начнете Убедитесь, что установлено и активировано все программное обеспечение из списка «Что необходимо», который представлен ниже. Ознакомьтесь с терминами и понятиями FactoryTalk Security. См. Главу 1, «Что такое безопасность в системе автоматизации» и Главу 2, «О системе FactoryTalk». Что требуется FactoryTalk Services Platform v. 2.10 (CPR 9) FactoryTalk Security (установленная с FactoryTalk Service Platform) 19 FactoryTalk Security Руководство по быстрому запуску Выполните следующие шаги: Запуск FactoryTalk Security FactoryTalk Security – это не отдельный продукт, а полностью интегрированная система в составе FactoryTalk Directory. FactoryTalk Directory не удастся найти в меню Start (Пуск) или в списке Add or Remove Programs (Установка и удаление программ) панели управления. Для начала использования FactoryTalk Security откройте FactoryTalk Administration Console: Start (Пуск) > Programs (Все программы) > Rockwell Software > FactoryTalk Administration Console и войдите в локальный или сетевой каталог FactoryTalk Directory. 20 4 • С чего начать в FactoryTalk Security Вход в систему FactoryTalk с использованием учетной записи администратора Для обеспечения безопасности системы FactoryTalk необходимо войти в каталог, используя учетную запись с администраторскими правами доступа к данному каталогу. Если устанавливается FactoryTalk Services Platform версии 2.10 (CPR 9) на новый компьютер, можно получить доступ к следующему: Сетевому каталогу с использованием учетной записи Windows, которая входит в группы администраторов Windows на локальном компьютере Local Directory using any Windows user account. Необходимо войти в каждый каталог и определить настройки безопасности. Если учетная запись администратора является заблокированной или недействительной учетной записью Windows, активируйте данную запись в Windows. Если учетная запись администратора является заблокированной или недействительной учетной записью FactoryTalk, запустите мастер конфигурации FactoryTalk Directory Configuration Wizard, чтобы активировать эту учетную запись. За инструкциями обращайтесь к разделу «Использование мастера конфигурации каталога FactoryTalk» на странице 205. FactoryTalk Administration Console FactoryTalk Administration Console является инструментом для работы с FactoryTalk Security. Использование этого инструмента позволяет: просматривать систему FactoryTalk и отображать приложения, серверы и устройства в масштабах этой системы создавать настройки безопасности в масштабах всей системы, а также настройки, влияющие на все экземпляры связанных с FactoryTalk продуктов обеспечить безопасность сетевого или локального каталога FactoryTalk обеспечить безопасность ресурсов системы FactoryTalk, включая приложения и данные обеспечить безопасность аппаратных сетей и устройств. Если используется FactoryTalk View, для настройки системы безопасности можно использовать как FactoryTalk Administration Console, так и Factory Talk View Studio. 21 FactoryTalk Security Руководство по быстрому запуску Окно проводника Окно проводника, которое находится в левой части FactoryTalk Administration Console, отображает содержание сетевого и локального каталога FactoryTalk Directory в виде дерева. Используйте окно проводника для добавления настроек безопасности и управления ими в системе FactoryTalk View (включая все связанные с системой безопасности продукты FactoryTalk). Приложение Системная папка Сервер каталога FactoryTalk (в данном случае сетевого) Сервер (Server) Сервер – это компьютер где установлен FactoryTalk Directory (либо сервер локального или сетевого каталога). Если используется сервер сетевого каталога, отображается термин Network (Сеть), как показано выше, и имя компьютера в скобках. Термин «This Computer» (Этот компьютер) указывает на то, что сетевой каталог FactoryTalk Directory находится на используемом компьютере. Если бы доступ к сетевому каталогу осуществлялся удаленно, в скобках отобразилось бы имя компьютера. Если используется сервер локального каталога, отображается термин Local (Локальный) и имя компьютера в скобках. Приложение (Application) Приложение собирает информацию по проектам, включая такие элементы как серверы данных, серверы HMI и серверы предупреждений и событий, и обеспечивает доступ ко всему этому для всех программных продуктов и компьютеров системы FactoryTalk. Сетевые приложения содержаться в сетевом каталоге FactoryTalk Network Directory. Информация по проектам и участвующие программные продукты могут располагаться на нескольких компьютерах, распределенных в сети. Все компьютеры, задействованные в определенном сетевом приложении, совместно используют общий сетевой каталог FactoryTalk Directory, расположенный на сетевом компьютере. Локальные приложения содержаться в локальном каталоге FactoryTalk Local Directory. Информация по проектам располагается на отдельном компьютере и доступна только тем программным продуктам, которые установлены на данном компьютере. К локальным приложениям нельзя получить удаленный доступ, и отсутствует возможность общего с сетевым приложением использования информации. 22 4 • С чего начать в FactoryTalk Security Производственная зона (Area) Зоны организуют и подразделяют распределенное сетевое приложение на логические или физические части. Например, отдельные зоны могут соответствовать отдельным производственным линиям предприятия, отдельным производствам, расположенным в разных географических пунктах, или разным производственным процессам. Производственные зоны Для локальных приложений зоны не используются. Системная папка (System folder) Системная папка содержит список пользовательских, компьютерных и групповых учетных записей, паролей, системных настроек политики и безопасности. Все элементы в системной папке применительны ко всем приложениям в каталоге FactoryTalk Directory. Элементы, включенные в системную папку, описаны более подробно на следующих страницах. Вкладки Application (Приложения) и Communications (Соединения) Вкладки в нижней части окна проводника доступны, только если установлен RSLinx Enterprise. Вкладка Application (Приложение) отображает окно проводника. 23 FactoryTalk Security Руководство по быстрому запуску Вкладка Communications (Соединения) отображает оборудование управления, доступное локальному компьютеру через RSLinx Enterprise. Отображенное здесь не является окном «Сети и устройства». Здесь отображено оборудование управления, доступное локальному компьютеру через RSLinx Enterprise. Данные вкладки появляются только при установленном RSLinx Enterprise Если запускается FactoryTalk View Machine Edition, вкладка Communications (Соединения) отображает ту же информацию, что и вкладка Design (План) в диалоговом окне Communication Setup (Настройка подключений) в FactoryTalk View ME. За дополнительной информацией обращайтесь к разделу “Использование вкладок Design (Local) и Runtime (Target) в диалоговом окне Communication Setup (FactoryTalk View Machine Edition)” в интерактивной справочной системе RSLinx Enterprise. Группы действий (Action groups) Группы действий позволяют группировать действия и назначать для них общие права доступа. Это позволяет разрешить или запретить доступ сразу для нескольких действий, вместо назначения прав доступа для каждого действия по отдельности. Создавайте необходимые для вашего производства группы действий. Например, создавайте группы на основе: роли пользователя или вида работы (оператор, супервайзер, инженер и т.д.) типа оборудования, к которому пользователь имеет доступ (бункеры, смесители и т.д.) Политика (Системная папка) Политика представляет собой набор настроек, применяемых во всей системе FactoryTalk. Имеется два типа политик: политика продукта и политика системы. Примеры политики продукта Политика продукта представляет собой набор возможностей по безопасности для каждого продукта в системе FactoryTalk. Вы можете задать параметры настройки системы безопасности таким образом, чтобы ограничить доступ к функциям отдельных программных продуктов, работающих в вашей системе, и предотвратить непреднамеренное внесение изменений или искажение информации. Только пользователи, имеющие необходимый уровень доступа, могут воспользоваться защищенными функциями программного продукта. 24 4 • С чего начать в FactoryTalk Security Информация по политике для каждого продукта FactoryTalk заранее загружается в FactoryTalk Directory. В такую политику можно вносить изменения, работая с каждым продуктом по отдельности, для определенных пользователей, групп и компьютеров, включенных в каталог FactoryTalk Directory. Политика системы – набор настроек безопасности в масштабе всей системы. Примеры политики системы: Безопасность – длина, сложность, срок действия пароля и т.д. Контрольные проверки – проверяются ли разрешения или отказы в доступе, или и то, и другое, и т.д. Права доступа – операции, которые могут выполнять пользователи, такие как резервирование и восстановление содержания каталога FactoryTalk. Все продукты FactoryTalk используют политику из папки System Policies (Политика системы). При установке отдельных программных продуктов, они могут добавить свою собственную политику в папку Product Policies (Политика продукта). Компьютеры и группы действий (Системная папка) Возможность создавать учетные записи компьютеров или групповые учетные записи есть только в сетевом каталоге FactoryTalk Directory, но не локальном. Учетная запись компьютера представляет физический компьютер в сети. Воспользуйтесь папкой Computers and Groups (Компьютеры и группы), чтобы создать учетные записи компьютеров, определяющие, какие компьютеры имеют доступ к системе FactoryTalk. Объединение компьютеров в группы упрощает администрирование прав доступа. Путем изменения группы, к которой принадлежит компьютер, можно быстро изменить доступные для него ресурсы. После создания учетной записи компьютера, можно указать настройки безопасности, например, разрешить или запретить доступ к частям системы FactoryTalk с данного компьютера. Также можно добавить данный компьютер к групповой учетной записи, которая включает несколько компьютеров, и затем указать настройки безопасности для этой группы. 25 FactoryTalk Security Руководство по быстрому запуску Например, можно использовать эти учетные записи для того, чтобы организовать обеспечение безопасности в пределах прямой видимости, а именно, чтобы операторы управляли ответственными или опасными операциями только в пределах видимости оборудования, с которым они работают. Необходимо создать учетные записи компьютеров для всех компьютеров-серверов например, Terminal Servers, Rockwell Automation Device Servers (RSLinx Enterprise), серверы данных OPC, серверы Tag Alarm and Event или HMI. Без серверной учетной записи компьютера будет невозможно настраивать эти серверы с клиентских компьютеров в сети, потому что сервер сетевого каталога FactoryTalk Network Directory не сможет обнаружить данные серверы в сети без их учетных записей компьютера. Это применительно, даже если отменена политика безопасности Require computer accounts for all client machines (Требовать учетные записи компьютера для всех клиентов). Сети и устройства (Системная папка) Networks and Devices (Сети и устройства) – здесь отображено оборудование управления, доступное локальному компьютеру через RSLinx Enterprise. Данные сети и устройства системы управления могут отличаться для каждого компьютера в системе. Обеспечить безопасность оборудования системы управления, доступного через RSLinx Classic, можно из FactoryTalk Administration Console или RSWho. Настройки безопасности, внесенные в RSWho, отображаются в FactoryTalk Administration Console при нажатии правой кнопки на Networks and Devices (Сети и устройства) и выборе Refresh (Обновить). Если в RSWho разрешен автопоиск, настройки безопасности, внесенные в FactoryTalk Administration Console, незамедлительно отображаются в RSWho. Действия по обеспечению безопасности этих сетей и устройств такие же, как и для любого другого ресурса системы FactoryTalk. Однако имеется немного другой набор правил по применению унаследованных прав доступа к устройствам управления, защищенных логическими именами. Если необходимо защитить оборудование в группах, используйте группирование ресурсов для настройки безопасности приложения или зоны (для сетевых систем) или только для приложения (для локальных систем). См. раздел «Использование группирования ресурсов» на странице 80 для получения дополнительной информации. Пользователи и группы (Системная папка) Можно создать привязанные к Windows учётные записи пользователей, ссылающиеся на учётные записи, которые уже существуют в домене Windows. За подробностями обращайтесь к справке FactoryTalk. 26 Папка Users and Groups (Пользователи и группы) позволяет контролировать пользователей и компьютеры, которые имеют доступ к системе FactoryTalk. Доступ может быть ограничен для одного пользователя или группы пользователей, а также для одного компьютера или группы компьютеров. При настройке безопасности необходимо создавать сначала группы и наделить их соответствующими правами доступа. Это позволит создать структуру системы безопасности без необходимости контроля личности пользователей. При добавлении пользователей к группе они наделяются правами доступа данной группы. По необходимости позднее можно задать определенные права доступа для определенного пользователя. 4 • С чего начать в FactoryTalk Security Указание расположения сетевого каталога Для распределения служб и ресурсов сетевого каталога необходимо подключить локальный компьютер к серверу FactoryTalk Network Directory Server и включить в приложения, расположенные на этом сервере. Для этого используйте утилиту определения расположения сервера каталога FactoryTalk Directory Server Location Utility. (Для локального каталога на отдельном компьютере этого делать не нужно). Чтобы изменить путь к серверу сетевого каталога, необходимо войти в систему сетевого каталога FactoryTalk Network Directory с использованием учетной записи администратора Windows. Обратитесь к следующей теме: «Вход в FactoryTalk с использованием учетной записи администратора Windows». Запуск утилиты определения расположения сервера каталога Запустить утилиту можно из: Меню Windows Start (Пуск): Start (Пуск) > All Programs (Все программы) > Rockwell Software > FactoryTalk Tools > Specify FactoryTalk Directory Location. Из FactoryTalk Administration Console: в меню Tools (Инструменты) выберите FactoryTalk Directory Server Options (Опции сервера каталога FactoryTalk). Указание сервера сетевого каталога для клиент-компьютеров 1. На каждом включенном в сетевой каталог клиент-компьютере запустите утилиту FactoryTalk Directory Server Location Utility. На Компьютере 2, клиент-компьютер в нашем примере, запустите утилиту Directory Server Location. 2. В диалоговом окне Login User (Вход пользователя) введите имя и пароль администратора и нажмите OK. 27 FactoryTalk Security Руководство по быстрому запуску 3. В диалоговом окне FactoryTalk Directory Server Location нажмите кнопку Browse (Обзор). 4. В диалоговом окне FactoryTalk Directory Server Configuration (Конфигурация сервера каталога) нажмите Remote computer (Удаленный компьютер) и введите или найдите имя компьютера, который будет использоваться как сервер сетевого каталога. Для нашего примера выберите Компьютер 1, где установлены FactoryTalk Activation Server и FactoryTalk Administration Console. 5. Нажмите OK. При запросе войдите в новый сервер сетевого каталога. Если система одного входа включена на данном компьютере, то при изменении расположения сервера сетевого каталога сессия системы одного входа прекращается, и будет необходимо войти в новый сервер сетевого каталога. Введенные имя и пароль станут новыми параметрами системы одного входа для всех включенных в систему продуктов FactoryTalk на данном компьютере. Вход в систему FactoryTalk с использованием учетной записи администратора Для обеспечения безопасности системы FactoryTalk необходимо войти в каталог, используя учетную запись с администраторскими правами доступа к данному каталогу. 1. Чтобы войти в FactoryTalk, сделайте что-либо из следующего: 28 Из меню Windows меню Пуск выберите Start (Пуск) > All Programs (Все программы) > Rockwell Software > FactoryTalk Tools > Log on to FactoryTalk. 4 • С чего начать в FactoryTalk Security Войдите в продукт FactoryTalk и использовать ту же учетную запись для автоматического входа в FactoryTalk Directory. 2. В списке Directory (Каталог) выберите каталог, в который требуется войти: Нажмите Network (Сетевые) для доступа к сетевым (распределенным) приложениям на сервере сетевого каталога. Нажмите Local (Локальные) для доступа к локальным (автономным) приложениям в локальном каталоге. Для нашего примера выберите Network (Сетевые). Если не получается войти в какой-либо определенный каталог на этом компьютере, то это может быть связано с отсутствием действующей учетной записи в данном каталоге. 3. Выполните одно из следующего: Если вход в каталог FactoryTalk Directory еще не осуществлен, нажмите Log On (Войти). Если вход в каталог FactoryTalk Directory уже осуществлен и требуется вход под именем другого пользователя или требуется вход в другой каталог, нажмите Change Logon (Войти заново). 4. В диалоговом окне Log On (Войти) введите имя и пароль и нажмите OK. Если имя и пароль одинаковы для учетной записи Windows и для пользовательской учетной записи, можно войти в связанную с Windows учетную запись путем ввода имени пользователя в поле User Name в формате DOMAIN\username (ДОМЕН\имя пользователя). Если имя пользователя и пароль в домене локальной рабочей станции компьютера совпадают с таковыми в сетевом домене Windows, будет произведен вход в тот же домен, вход в который осуществлен в Windows, если не будет указано имя домена. В сетевом и локальном каталогах настройки безопасности отличаются Настройки безопасности хранятся в FactoryTalk Directory. Сетевой каталог FactoryTalk Network Directory и локальный каталог FactoryTalk Local Directory являются отдельными и независимыми друг от друга. Учетные записи пользователей, пароль и разрешения системы безопасности на использование определенных функций совершенно независимы и не могут совместно использоваться с сетевым и локальным каталогом. Конфигурирование этих элементов для одного каталога не приводит к их конфигурированию для другого. Аналогично изменение пароля для учетной записи пользователя в одном каталоге не приводит к изменению пароля в другом каталоге, даже если учетная запись имеет одинаковые имена в обоих каталогах. Все компьютеры, задействованные в определенном приложении, совместно используют общий каталог FactoryTalk Directory, расположенный на сетевом компьютере. FactoryTalk Directory нельзя устанавливать на один компьютер с контроллером домена для сети. 29 FactoryTalk Security Руководство по быстрому запуску Мастер конфигурации каталога FactoryTalk Directory Configuration Wizard Если при установке FactoryTalk Services Platform произошла ошибка или производится обновление с предыдущей версии FactoryTalk Services Platform, возможно будет необходимо вручную настроить FactoryTalk Directory, запустив мастер конфигурации FactoryTalk Directory Configuration Wizard. За инструкциями обращайтесь к разделу «Использование мастера конфигурации каталога FactoryTalk» на странице 205. Защита действий, которые может выполнять пользователь При настройке безопасности можно указать, какие действия с ресурсами системы сможет выполнять пользователь или группа, работая с определенного компьютера или группы компьютеров. В локальном каталоге FactoryTalk Local Directory действия могут выполняться только с локального компьютера. FactoryTalk Local Directory не содержит какие-либо учетные записи компьютера. Различие между защищаемыми действиями и политикой защиты функций продукта Кроме ограничения действий, которые может выполнять пользователь, также можно определить политику продукта, которая определяет, какие функции различных продуктов FactoryTalk может использовать пользователь. См. разделы «Различие между защищаемыми действиями и политикой защиты функций продукта» и «Политика защиты функций продукта» в справке FactoryTalk Security (\Program Files\Common Files\Rockwell\Help\FTSecurityEN.chm) Группы действий Можно группировать действия и назначать для них общие права доступа. См. «О группах действий» в справке FactoryTalk Security. Защищаемые по умолчанию действия В данном разделе перечисляются защищаемые, распределенные по категориям действия, которые устанавливаются по умолчанию вместе с FactoryTalk Services Platform. Однако к разным ресурсам каталога применяются различные наборы действий. В зависимости от установленного продукта FactoryTalk могут появляться дополнительные защищаемые действия. За подробностями по использованию таких действий обращайтесь к документации к продуктам FactoryTalk. Чтобы защитить действия для определенного ресурса: 1. В FactoryTalk Administration Console или FactoryTalk View Studio в окне проводника щелкните правой кнопкой на ресурс, который требуется защитить, и затем выберите Security (Безопасность) в выпавшем меню. 2. Укажите права доступа для следующих действий и нажмите OK. Действия RSLinx Enterprise См. интерактивную справочную систему для RSLinx Enterprise: Во вкладке Contents (Содержание) откройте книгу Work with RSLinx Enterprise (Работа с RSLinx Enterprise) > Secure RSLinx Enterprise using FactoryTalk Security (Защита RSLinx Enterprise с помощью FactoryTalk Security), 30 4 • С чего начать в FactoryTalk Security а затем откройте тему How to specify FactoryTalk Security permissions to enable you to perform RSLinx Enterprise tasks (Как указать права доступа FactoryTalk Security, чтобы выполнять задачи RSLinx Enterprise). Действия FactoryTalk Transaction Manager См. интерактивную справочную систему FactoryTalk Transaction Manager: Во вкладке Contents (Содержание) откройте книгу Secure FactoryTalk Transaction Manager using FactoryTalk Security (Защита FactoryTalk Transaction Manager с помощью FactoryTalk Security), а затем откройте тему Specify FactoryTalk Security permissions that allow you to perform FactoryTalk Transaction Manager tasks (Указать права доступа FactoryTalk Security для выполнения задач FactoryTalk Transaction Manager). Действия RSLogix 5 Данные действия доступны из дерева Networks and Devices (Сети и устройства) и применяются ко всему оборудованию системы управления, перечисленному в дереве. Данные действия относятся только к программному продукту RSLogix 5. См. RSLogix 5 Getting Results Guide (Руководство по получению результатов) Действия RSLogix 500 Данные действия доступны из дерева Networks and Devices (Сети и устройства) и применяются ко всему оборудованию системы управления, перечисленному в дереве. Данные действия относятся только к программному продукту RSLogix 500. См. RSLogix 500 Getting Results Guide (Руководство по получению результатов) Действия RSLogix 5000 Данные действия доступны из дерева Networks and Devices (Сети и устройства) и применяются ко всему оборудованию системы управления, перечисленному в дереве. Данные действия относятся только к программному продукту RSLogix 5000. См. интерактивную справочную систему RSLogix 5000 Online Help: Из меню Start (Пуск) выберите All Programs (Все программы) > Rockwell Software > RSLogix 5000 Enterprise Series > Help. Действия FactoryTalk Batch См. руководство администратора FactoryTalk Batch Administrator’s Guide: Из меню Windows меню Пуск выберите Start (Пуск) > All Programs (Все программы) > Rockwell Software > FactoryTalk Batch Suite > Online Books > FactoryTalk Batch > Batch Administrator’s Guide. 31 FactoryTalk Security Руководство по быстрому запуску Обычные действия (Common) Чтение (Read) Ограничивает доступ к чтению ресурса для пользователя или группы в окне проводника с какого-либо компьютера или группы компьютеров. Для сетевого или локального каталога запрет на чтение не дает пользователям просматривать каталог или его содержание. Для приложения запрет на чтение не дает пользователям просматривать приложение или его содержание. Запрет на чтение не ограничивает доступ пользователей к чтению значений тегов с серверов данных в этом приложении. Для зоны запрет на чтение не дает пользователям просматривать зону или её содержание. Запрет на чтение не ограничивает доступ пользователей к чтению значений тегов с серверов данных в данной зоне. Для системной папки запрет на чтение не дает пользователям просматривать системную папку или её содержание. Запрет на чтение не ограничивает доступ пользователей к чтению значений тегов с устройств из дерева Networks and Devices (Сети и устройства). Для дерева Networks and Devices в системной папке запрет на чтение не дает пользователям просматривать дерево Networks and Devices или его содержание. Запрет на чтение не ограничивает доступ пользователей к чтению значений тегов с определенного устройства. Будьте осторожны при прямом запрете прав на чтение (Read) и списка дочерних записей (List Children), так как многие приложения требуют наличие прав на чтение и списка дочерних записей для доступа к правам безопасности. Если какое-либо приложение не может прочитать свои права безопасности, то оно либо не запустится, либо будет иметь ограниченную функциональность. Для отдельной сети или устройства из дерева Networks and Devices запрет на чтение не дает пользователям просматривать сеть или устройство и его содержание. Запрет на чтение не ограничивает доступ пользователей к чтению значений тегов с определенного устройства. Будьте осторожны при прямом запрете прав на чтение (Read) и списка дочерних записей (List Children), так как многие приложения требуют наличие прав на чтение и списка дочерних записей для доступа к правам безопасности. Если какое-либо приложение не может прочитать свои права безопасности, то оно либо не запустится, либо будет иметь ограниченную функциональность. Запись (Write) Ограничивает доступ к записи в ресурс для пользователя или группы с какого-либо компьютера или группы компьютеров. 32 Для сетевого или локального каталога запрет на запись не дает пользователям редактировать параметры какого-либо элемента в каталоге. Например, запрет на запись не дает пользователям редактировать описание приложения, зоны, или параметры сервера данных. Однако если создание дочерних записей (Create Children) разрешено, пользователь или группа могут создавать приложения в каталоге, добавлять зоны к приложению и добавлять серверы данных в зоны. 4 • С чего начать в FactoryTalk Security Для приложения запрет на запись не дает пользователям редактировать параметры какого-либо элемента в приложении. Например, запрет на запись не дает пользователям редактировать описание приложения, описания зон в рамках приложения, или параметры сервера данных в рамках приложения или его зон. Однако если создание дочерних записей (Create Children) разрешено, пользователь или группа могут добавлять зоны или серверы данных в приложение и добавлять серверы данных в зоны. Для зоны запрет на запись не дает пользователям редактировать параметры какого-либо элемента в зоне. Например, запрет на запись не дает пользователям редактировать описание зоны, или параметры серверов данных в рамках этой зоны. Однако если создание дочерних записей (Create Children) разрешено, пользователь или группа могут добавлять зоны или серверы данных в рамках этих зон. Для системной папки запрет на запись не дает пользователям редактировать параметры какого-либо элемента в системной папке. Например, запрет на запись не дает пользователям редактировать настройки политики и параметры учетных записей пользователей, таких как описание учетной записи или принадлежность к группе. Запрет на запись также не дает удалять учетные записи пользователей и групп, если данные учетные записи имеют групповую принадлежность. Так происходит, потому что групповая принадлежность обновляется автоматически при удалении учетной записи, а обновление групповой принадлежности сопровождается действием записи. Для дерева Networks and Devices в системной папке запрет на запись не дает пользователям назначать или удалять логические имена для сетей и устройств. Запрет на запись не ограничивает доступ пользователей к записи значений тегов в устройства. Для отдельной сети или устройства из дерева Networks and Devices запрет на запись не дает пользователям назначать или удалять логические имена для сетей и устройств. Запрет на запись не ограничивает доступ пользователей к записи значений тегов в устройства. Настройка безопасности (Configure Security) Ограничивает доступ пользователя или группы к изменению прав доступа для какого-либо ресурса при работе с компьютера или группы компьютеров и нажатии Security (Безопасность) в открывшемся меню. Запрет на настройку безопасности имеет такой же эффект на все защищаемые ресурсы. Например, если пользователю запрещена настройка безопасности для какой-либо зоны, этот пользователь не сможет изменить настройки безопасности данной зоны, такие как разрешение или запрет прав доступа на выполнение действий в данной зоне при работе с определенного компьютера или группы компьютеров. Также запрет на настройку безопасности в папке Users and Groups (Пользователи и группы) не дает пользователям устанавливать права доступа для данной папки. Запрет не настройку безопасности в папке Users and Groups не ограничивает доступ пользователей к ресурсам системы, который они имеют. Создание дочерних записей (Create Children) Определяет доступ пользователя или группы к созданию нового, связанного ресурса под существующим ресурсом в дереве каталога при работе с какого-либо компьютера или группы компьютеров. Для сетевого или локального каталога запрет на создание дочерних записей не дает пользователям создавать приложения или зоны. 33 FactoryTalk Security Руководство по быстрому запуску Для приложения запрет на создание дочерних записей не дает пользователям создавать зоны или серверы данных в этом приложении. Для зоны запрет на создание дочерних записей не дает пользователям создавать зоны или серверы данных в этой зоне. Для системной папки запрет на создание дочерних записей не дает пользователям создавать пользовательские или групповые учетные записи. Запрет на создание дочерних записей не оказывает влияния на политику. Для дерева Networks and Devices (Сети и устройства) и для отдельных сетей или устройств из дерева Networks and Devices создание дочерних записей недоступно, потому что пользователи не могут добавлять элементы к дереву Networks and Devices. Дерево Networks and Devices наполняется автоматически в зависимости от сетей и устройств, доступных локальному компьютеру. Перечисление дочерних записей (List Children) Ограничивает доступ к перечислению дочерних записей ресурса для пользователя или группы с какого-либо компьютера или группы компьютеров. Запрет на перечисление дочерних записей имеет такой же эффект на все защищаемые ресурсы. Например, если доступ к перечислению дочерних записей не разрешен для приложения, пользователь или группа могут видеть приложение, но не его содержание при работе с определенного компьютера или группы компьютеров. В отличие от чтения перечисление дочерних записей не дает пользователю видеть ресурс, который содержит другие ресурсы, например, содержащее зоны и серверы данных приложение. Выполнение (Execute) Ограничивает доступ к выполняемому действию для пользователя или группы с какого-либо компьютера или группы компьютеров. Действие выполнения в основном используется для настроек политики защиты элементов продукта. За подробностями по защите возможностей продукта обращайтесь к разделу «Политика защиты элементов продукта». Вместо использования действия выполнения каждый продукт FactoryTalk может использовать собственные действия для защиты выполняемых элементов. За подробностями по действию выполнения в конкретном продукте FactoryTalk обращайтесь к документации данного продукта. Удаление (Delete) Ограничивает доступ к удалению ресурса для пользователя или группы с какого-либо компьютера или группы компьютеров. 34 Для сетевого или локального каталога запрет на удаление не дает пользователям удалять какие-либо элементы в каталоге, например, приложения, зоны, серверы данных или учетные записи пользователей. Для приложения запрет на удаление не дает пользователям удалять это приложение или какой-либо его элемент, например, зоны или серверы данных. Для зоны запрет на удаление не дает пользователям удалять эту зону или какой-либо её элемент, например, серверы данных данной зоны 4 • С чего начать в FactoryTalk Security Для системной папки запрет на удаление не дает пользователям удалять какие-либо элементы в системной папке, например, учетные записи пользователей, компьютеров или групп. Если учетная запись пользователя, компьютера или группы имеет групповую принадлежность, для удаления этой учетной записи требуется разрешение на запись, потому что обновление групповой принадлежности учетных записей сопровождается действием записи. Для дерева Networks and Devices (Сети и устройства) в системной папке и для отдельных сетей или устройств из дерева Networks and Devices действие удаления недоступно, потому что пользователи не могут удалять элементы из дерева Networks and Devices. Дерево Networks and Devices наполняется автоматически в зависимости от сетей и устройств, доступных локальному компьютеру. Действия тегов (Tag actions) Значение записи (Write Value) Ограничивает доступ к записи в теги серверов данных для пользователя или группы с какоголибо компьютера или группы компьютеров. Данное действие может быть настроено для сетевого или локального каталога, приложения или зоны. Действие значения записи не ограничивает доступ пользователей к записи значений в теги в определенных аппаратных устройствах. Действие значения записи блокирует значения записи во все теги, управляемые каким-либо сервером данных. Если установлены дополнительные продукты FactoryTalk, они могут установить дополнительные действия тегов. За подробностями по этим действиям обращайтесь к справке продуктов FactoryTalk. Группы действий пользователя Данная категория содержит добавленные вами группы действий. Если группы действия не добавлялись, данная категория не отображается. За подробностями по группам действий обращайтесь к разделу «О группах действий» в справке FactoryTalk Security. Усиление безопасности При первой установке FactoryTalk Services Platform на компьютер (а не при обновлении с предыдущей версии) сетевой каталог FactoryTalk Network Directory и локальный каталог FactoryTalk Local Directory по умолчанию настраиваются на разрешение доступа всем пользователям. Однако по умолчанию учетные записи пользователей имеют немного разные уровни доступа к сетевому и локальному каталогу. Так как сетевой и локальный каталог являются отдельными, защищать их необходимо по отдельности. В новой системе При первой установке FactoryTalk Services Platform и если все компьютеры, включенные в систему, используют FactoryTalk Services Platform версии 2.10 (CPR 9): В сетевом каталоге FactoryTalk Network Directory все пользователи-члены группы администраторов Windows на любом локальном компьютере, который подключен к сетевому каталогу, имеют полный доступ к распределенной по сети системе FactoryTalk. 35 FactoryTalk Security Руководство по быстрому запуску В локальном каталоге FactoryTalk Local Directory любой пользователь, успешно вошедший в Windows на локальном компьютере, имеет полный доступ к системе FactoryTalk на данном локальном компьютере. Усиление безопасности в новой системе Данные указания предназначены для системы, где FactoryTalk Services Platform устанавливается впервые. 1. Определитесь с типом каталога FactoryTalk Directory, который нужно настроить для усиленной безопасности. Если требуется усиление безопасности как в сетевом каталоге, так и локальном, выберите один, выполните приведенные ниже действия, и затем повторите те же действия для другого каталога. 2. Войдите в систему Windows с использованием учетной записи Windows, которая входит в группу администраторов Windows на локальном компьютере (Компьютер 1 в нашем примере). 3. Запустите FactoryTalk Administration Console, затем войдите в сетевой каталог FactoryTalk Network Directory, где необходимо усилить безопасность. Из Windows меню Пуск выберите Start (Пуск) > All Programs (Все программы) > Rockwell Software > FactoryTalk Administration Console. 4. Чтобы всегда иметь административный доступ к FactoryTalk Directory, создайте одну или более пользовательских учетных записей FactoryTalk или связанных с Windows учетных записей. Следующим шагом будет добавление данных учетных записей в группу администраторов: В окне проводника разверните System (Система) > Users and Groups (Пользователи и группы) > Users (Пользователи). Правой кнопкой мыши щелкните по Users, наведите на New (Новый) и выберите User или Windows-linked User (Связанный с Windows пользователь). Если создается новая пользовательская учетная запись, в диалоговом окне New User (Новый пользователь) введите имя пользователя и пароль для учетной записи. Чтобы получить справку по другим опциям в этом диалоговом окне, нажмите кнопку Help (Справка). Если создается связанная с Windows учетная запись пользователя, в диалоговом окне New Windows-Linked User (Новый связанный с Windows пользователь) нажмите Add (Добавить). В диалоговом окне Select Users (Выбор пользователей) введите имена одного или нескольких связанных с Windows учетных записей, которые необходимо связать, и нажмите OK; или щелкните Advanced (Дополнительно) и нажмите Find Now (Найти сейчас) для поиска учетных записей. По завершении работы с диалоговым окном New Windows-Linked User нажмите Create (Создать). В нашем примере добавьте себя как связанного с Windows пользователя. 36 4 • С чего начать в FactoryTalk Security 5. Добавьте учетные записи, созданные в предыдущем шаге, к группе администраторов. В окне проводника разверните System (Система) > Users and Groups (Пользователи и группы) > Users (Пользователи). Щелкните правой кнопкой по группе администраторов, затем выберите Properties (Параметры) из открывшегося меню. В диалоговом окне Administrators Properties (Параметры администраторов) нажмите Add (Добавить). В диалоговом окне Select User or Group (Выбор пользователя или группы) нажмите Show users only (Показывать только пользователей), выберите учетные записи, которым требуется административный доступ, и нажмите OK. Нажмите OK для закрытия диалогового окна Administrators Properties для данной учетной записи. 6. Выйдите из системы FactoryTalk: В меню File (Файл) нажмите Log Off (Выйти из системы). 7. Войдите в настраиваемый сетевой каталог FactoryTalk Directory – используйте имя пользователя и пароль администратора, созданные на шаге 4. 8. Ограничьте доступ к каждому каталогу. В сетевом и локальном каталогах FactoryTalk Directory удалите связанную с Windows группу с названием Windows Administrators (Администраторы Windows) из группы администраторов. Не забудьте создать пользователя-администратора и добавить его к группе администраторов как для сетевого, так и локального каталогов (Не группа администраторов Windows). 37 FactoryTalk Security Руководство по быстрому запуску В окне проводника разверните System (Система) > Users and Groups (Пользователи и группы) > User Groups (Группы пользователей). Щелкните правой кнопкой по группе Windows Administrators, затем выберите Delete (Удалить) из открывшегося меню. Удаление группы Windows Administrators (Администраторы Windows) из группы администраторов не дает всем пользователям-членам этой группы на любом локальном компьютере, соединенным с сетевым каталогом, получить административный доступ к каталогу. Только в локальном каталоге также удалите связанную с Windows группу с названием Authenticated Users (Аунтефицированные пользователи): В окне проводника разверните System (Система) > Users and Groups (Пользователи и группы). Щелкните правой кнопкой Authenticated Users и нажмите Delete (Удалить). Удаление группы Authenticated Users не дает всем учетным записям, которые успешно вошли в систему Windows, иметь доступ к каталогу. 9. Ограничить доступ для All Users (Все пользователи): 38 В верхней части окна проводника щелкните правой кнопкой по Network (Сетевые) или Local (Локальные), затем выберите Security (Безопасность) из открывшегося меню. Во вкладке Permissions (Права доступа) выберите All Users. В списке Permissions, напротив All Actions (Все действия) снимите все флажки Allow (Разрешить) и Deny (Запретить). 4 • С чего начать в FactoryTalk Security Разверните группу действий Common (Общие) и поставьте флажок разрешения Allow для Read (Чтение) и List Children (Перечисление дочерних записей). 10. Удалить All Users (Все пользователи) из политики продукта: Последним шагом по ограничению прав доступа группы All Users является удаление прав, которые имеет группа All Users в политике продукта. В окне проводника разверните каталог FactoryTalk Directory, как показано, и найдите папку Product Policies (Политика продукта). Щелкните правой кнопкой по Product Policies и нажмите Configure Features Security (Настроить безопасность функций) в контекстном меню. 39 FactoryTalk Security Руководство по быстрому запуску В диалоговом окне Feature Security for Product Policies (Безопасность функций в политике продукта) выберите All Users, затем нажмите кнопку Remove (Удалить). Из каталога FactoryTalk Directory удаляется группа All Users и все права доступа настроенные для данной группы. 11. Далее, защитите настройки политики системы, которые определяют общие правила по реализации безопасности во всех продуктах FactoryTalk вашей системы. За подробностями по защите политики обращайтесь к разделу «Настройка политики системы и политики продукта» в главе 7 на странице 69. После установки основного уровня безопасности, создайте группы пользователей и учетные записи для тех пользователей, которые нуждаются в больших правах доступа к системе, а затем настройте для них безопасность. При обновлении системы Если производится обновление существующей системы FactoryTalk с FactoryTalk Automation Platform версии 2.00. система будет работать как прежде, поэтому усиление безопасности может и не понадобиться. Однако если во время обновления в локальном или сетевом каталогах не будет обнаружена действенная (неотмененная и неустаревшая) учетная запись администратора FactoryTalk, войти в каталог будет невозможно; необходимо вручную запустить мастер конфигурации каталога FactoryTalk Directory Configuration Wizard после завершения установки. Ручной запуск этого мастера дает полный доступ для всех учетных записей пользователя Windows, которые являются членами группы Администраторы Windows на любом локальном компьютере, подключенном к сетевом каталогу FactoryTalk Network Directory. Для усиления безопасности системы необходимо ограничить этот доступ вручную. За дополнительной информацией по усилению безопасности при обновлении системы обращайтесь к «Усиление безопасности» на странице 35. Вход и выход с помощью системы одного входа После входа в систему FactoryTalk единожды все действия, требующие того же уровня безопасности, разрешаются в других продуктах FactoryTalk на этом компьютере, без необходимости входа в каждый продукт по отдельности. Такая политика безопасности называется - системой одного входа (single sign-on) и определяется системным администратором. Система одного входа включена по умолчанию. 40 4 • С чего начать в FactoryTalk Security Например, предположим система одного входа включена и пользователь под именем Jane имеет связанную с Windows учетную запись. Jane может войти в систему один раз, и после запрос на вход не будет выводиться снова при запуске FactoryTalk View SE Client, FactoryTalk View Studio, RSLogix и т.д. на том же компьютере. Когда система одного входа включена: Если у Jane есть учетная запись пользователя FactoryTalk, она может войти в Windows, а затем в FactoryTalk. После входа в FactoryTalk запрос на вход не будет выводиться снова при попытке запустить другой продукт FactoryTalk, который поддерживает систему одного входа. Если у Jane есть связанная с Windows учетная запись, она может войти в Windows, выбрать сетевой или локальный каталог, а затем будет произведен автоматический вход в FactoryTalk с использованием её связанной с Windows учетной записи. Запрос на ввод имени и пароля не будет выводиться вообще. После входа в FactoryTalk с использованием связанной с Windows учетной записи запрос на вход не будет выводиться снова при попытке запустить другой продукт FactoryTalk, который поддерживает систему одного входа. Настройка системы одного входа Система одного входа является настройкой политики безопасности. Для её настройки: 1. В окне проводника FactoryTalk View Studio откройте папку System (Система), выберите Policies (Политика) > System Policies (Политика системы) и дважды щелкните по Security Policy (Политика безопасности). 41 FactoryTalk Security Руководство по быстрому запуску 2. В списке Single Sign-On Policy Settings (Настройки политики системы одного входа) проверьте включено или нет Use single sign-on (Использовать систему одного входа). Если система одного входа не работает должным образом, скорей всего используемый продукт FactoryTalk её не поддерживает. Для некоторых продуктов FactoryTalk также требуется отдельный вход, даже если включена система одного входа. За подробной информацией по использованию системы одного входа обращайтесь к справке FactoryTalk. Два способа входа Войти в FactoryTalk можно двумя способами: Для входа в FactoryTalk из Windows меню Пуск выберите Start (Пуск) > All Programs (Все программы) > Rockwell Software > FactoryTalk Tools > Log On to FactoryTalk. После того, как будет выбран сетевой или локальный каталог и затем произведен вход с использованием учетной записи пользователя, все последующие попытки доступа к продуктам FactoryTalk с этого же каталога FactoryTalk Directory и компьютера будут приводить к автоматическому использованию данных имени и пароля (если включена система одного входа). Если система одного входа отключена, пользователям будет все время выдаваться запрос на авторизацию. Вход из продукта FactoryTalk. Если вы входите в продукт FactoryTalk без предварительного входа в систему FactoryTalk, то система будет использовать эти имя и пароль для автоматического входа в систему FactoryTalk. Все последующие попытки доступа к продуктам FactoryTalk с этого же каталога FactoryTalk Directory на этом же компьютере будут приводить к автоматическому использованию тех же имени и пароля, если включена система одного входа. Например, предположим у Jane есть учетная запись пользователя и она входит в FactoryTalk Administration Console, используя имя «Jane» и пароль «robotics». В фоновом режиме система безопасности использует то же имя и пароль для незаметного входа в систему FactoryTalk. 42 4 • С чего начать в FactoryTalk Security Если позднее Jane запустит FactoryTalk View, система будет использовать её данные и даст доступ к продукту без повторного запроса на вход, даже если она закрыла или вышла из FactoryTalk Administration Console. Вход администратора и система одного входа Если компьютер используется нескольким пользователями, один из которых является администратором, то последний должен помнить, что учетная запись администратора не остается в системе как учетная запись одного входа, потому что все последующие продукты FactoryTalk, запущенные на этом компьютере, будут автоматически использовать данную учетную запись администратора. Администраторы должны входить в FactoryTalk с использованием неадминистративной учетной записи, а затем входить в каждый продукт как администратор. Это позволяет администратору вносить изменения без смены пользователя системы одного входа. Два способа выхода Хотя для входа в FactoryTalk можно использовать Windows меню Пуск или автоматический вход параллельно с входом в какой-либо продукт FactoryTalk, для выхода из системы FactoryTalk необходимо использовать инструмент Log On to FactoryTalk (Вход в FactoryTalk). Если вы выходите из какого-либо продукта FactoryTalk (такого как FactoryTalk Administration Console или FactoryTalk View) из меню File (Файл), а не с использованием инструмента Log On to FactoryTalk, вы останетесь в системе FactoryTalk, и все последующие попытки доступа к продуктам FactoryTalk приведут к автоматическому использованию имени пользователя и пароля, показанного в инструменте Log On to FactoryTalk. Если вы выходите из FactoryTalk с использованием инструмента Log On to FactoryTalk, а не меню File (Файл) продукта, вы останетесь в системах всех продуктов, но в дальнейшем при запуске продукта FactoryTalk на данном компьютере будет выводиться запрос имени и пароля. Если система одного входа включена, все последующие попытки доступа к продуктам FactoryTalk будут приводить к использованию того же имени и пароля. Если система одного входа отключена, пользователям будет все время выдаваться запрос на авторизацию. Например, предположим Jane входит в FactoryTalk Administration Console с именем пользователя «Administrator», а потом выходит с помощью меню File (Файл) в Administration Console. Пока Jane обедает, Joe использует этот компьютер для запуска FactoryTalk View. При запуске программы запрос на вход не выводится, потому что учетная запись «Administrator» Jane все еще в системе FactoryTalk. Теперь у Joe будут администраторские права доступа Jane в каждом запускаемом продукте FactoryTalk, до тех пор пока не будет произведен выход из Windows или пока инструмент Log On to FactoryTalk не выполнит выход учетной записи «Administrator». Когда отключать систему одного входа Если несколько пользователей используют одну учетную запись пользователя Windows, но имеют разные учетные записи пользователя FactoryTalk Security, систему одного входа, возможно, придется отключить. По причине того, что при включенной системе одного входа последний вошедший в FactoryTalk пользователь автоматически регистрируется во всех последующих продуктах FactoryTalk. Если есть потребность в разграничении возможностей отдельных пользователей, отключите систему одного входа, чтобы заставить всех пользователей самостоятельно проходить процедуру авторизации для каждого используемого продукта. 43 FactoryTalk Security Руководство по быстрому запуску Невозможно выполнить выход всех пользователей из всех продуктов FactoryTalk одновременно. Это связано с тем, что некоторые продукты требуют бесперебойной работы в фоновом режиме. Чтобы выполнить выход всех пользователей из всех продуктов FactoryTalk одновременно, выйдите из Windows. Выход из Windows также закрывает все продукты FactoryTalk, запущенные в текущей сессии Windows, независимо от того, сколько пользователей находилось в системе. Что делать далее Выполните одно из следующего: 44 Перейдите к Главе 5 на странице 45, чтобы узнать о создании пользовательских, групповых и компьютерных учетных записей. Перейдите к Главе 6 на странице 57, чтобы узнать о назначении прав доступа для пользователей, групп и компьютеров, добавленных в данной главе. Перейдите к Главе 7 на странице 69, чтобы узнать об установке политики безопасности в масштабах системы или конкретной политики. Перейдите к Главе 8 на странице 79, чтобы узнать о дополнительных возможностях FactoryTalk Security, таких как группирование ресурсов. Перейдите к Главе 9 на странице 87, чтобы узнать о принципе использования FactoryTalk Security с программным обеспечением RSLinx. Перейдите к Главе 10 на странице 99, чтобы узнать о принципе использования FactoryTalk Security с RSLogix 5000 для обеспечения безопасности проектов и устройств (таких как, контроллеры Logix5000, PLC и SLC). Перейдите к Главе 11 на странице 115, чтобы узнать о принципе использования FactoryTalk Security с FactoryTalk View SE. Перейдите к Главе 12 на странице 137, чтобы узнать о принципе использования FactoryTalk Security с FactoryTalk View ME. Перейдите к Главе 13 на странице 161, чтобы узнать о принципе использования FactoryTalk Security с компонентами FactoryTalk Batch. Перейдите к Главе 14 на странице 179, чтобы узнать о внедрении системы FactoryTalk на компьютерах действующей системы. ГЛАВА 5 Создание учетных записей пользователя Учетные записи пользователя позволяют определить, кто будет иметь доступ к системе FactoryTalk и с какого компьютера. Доступ можно ограничить для одного пользователя или для группы, а также для одного компьютера или для группы. В данной главе описывается создание учетных записей пользователей, включая: Сетевые и локальные учетные записи пользователей Учетные записи пользователей FactoryTalk и связанные с Windows учетные записи пользователей Планирование учетных записей Простой пример процесса создания и настройки учетной записи в системе безопасности FactoryTalk Security Перед началом Убедитесь, что установлено и активировано все программное обеспечение из списка «Что необходимо», который представлен ниже. Убедитесь, что настроен сетевой каталог, как описано в Главе 4 на странице 27. Ознакомьтесь с терминами и понятиями FactoryTalk Security. См. Главу 1, «Что такое безопасность в системе автоматизации» и Главу 2, «О системе FactoryTalk». Что требуется FactoryTalk Services Platform v. 2.10 (CPR 9) FactoryTalk Security (установленная с FactoryTalk Service Platform) 45 FactoryTalk Security Руководство по быстрому запуску Выполните следующие шаги: Учетные записи пользователей FactoryTalk и учетные записи Windows В системе FactoryTalk есть возможность создавать два типа учетных записей: Создание связанных с Windows учетных записей в FactoryTalk означает поддержку только одной системы безопасности. Учетные записи пользователей или групп FactoryTalk – такие учетные записи являются отдельными от учетных записей Windows. Это позволяет указать принадлежность учетной записи (например, имя пользователя), установить свойства работы учетной записи (например, срок действия пароля будет ограниченным или нет), в также указать группы, в которые она будет входить. Связанные с Windows учетные записи пользователя или группы – такие учетные записи управляются системой Windows. Связанная с Windows учетная запись пользователя связана с учетной записью Windows. Добавьте связанную с Windows учетную запись пользователя из домена или рабочей группы Windows в систему FactoryTalk для того, чтобы обеспечить этим учетным записям доступ к системе FactoryTalk. Любую информацию из связанных с Windows учетных записей изменить нельзя, однако можно изменить группу, в которую они включены. Связанный с Windows пользователь или связанная с Windows группа пользователей является учетной записью пользователя/группы пользователей, чьи регистрационные данные управляются и проверяются операционной системой Windows, но которые связаны со службами FactoryTalk Security. Связанная с Windows учетная запись группы пользователей Windows Administrators добавляется в группу FactoryTalk Administrators, что дает полный доступ сетевому каталогу FactoryTalk Network Directory ко всем учетным записям пользователей Windows, которые состоят в группе Windows Administrators на любом локальном компьютере, 46 5 • Создание учетных записей пользователя соединенном с FactoryTalk Network Directory. Данный уровень доступа можно удалить после установки. См. «Усиление безопасности» на странице 35. Связанная с Windows учетная запись группы пользователей Authenticated Users добавляется к локальному каталогу FactoryTalk Local Directory, если FactoryTalk Services Platform устанавливается на новый компьютер. Во время установки автоматически создается учетная запись $AnonymousLogon, и ей даются права доступа Common/Read (Общие/Чтение) и Common/List Children (Общие/ Перечисление дочерних записей) к сетевому каталогу FactoryTalk Network Directory и локальному FactoryTalk Local Directory. Данная учетная запись используется после установки, когда для продуктов FactoryTalk требуется доступ служб к каталогу. Создайте учетные записи пользователей и групп FactoryTalk и добавьте к ним связанные с Windows учетные записи пользователей и групп. Это позволит наделить правами учетные записи пользователей и групп FactoryTalk, а не связанные с Windows учетные записи. Это особенно важно, если потребуется переключение с домена разработки на домен производства (обновить в этом случае будет нужно только связанные с Windows учетные записи). Планирование учетных записей По мере возможности создавайте групповые учетные записи вместо индивидуальных. Это упрощает администрирование и позволяет защитить ресурсы системы путем определения прав доступа для групповых учетных записей до создания всех индивидуальных, пользовательских учетных записей и учетных записей компьютера. Затем можно добавить учетные записи пользователей и компьютеров к группам в любое время, а все индивидуальные учетные записи будут иметь настройки безопасности этих групп. С чего начать Для планирование системы безопасности: Составьте списки пользователей. Распределите этих пользователей по группам. Спланируйте ресурсы, к которым пользователи будут иметь доступ. Спланируйте действия, которые будут разрешены пользователям для выполнения с этими ресурсами и с каких компьютеров или групп компьютеров. 47 FactoryTalk Security Руководство по быстрому запуску Пример защиты частей системы Представьте простой сценарий: вы работаете на пекарню, в которой необходимо защитить систему в сетевом каталоге FactoryTalk Directory: Вы делите пользователей системы на группы с названиями «Операторы», «Начальники смены» и «Супервайзеры». Создаете три новых пользователя: Pat Smith добавляете к группе «Начальники смены»; Bob Tyler добавляете к группе «Операторы»; Leslie WIlliams добавляете к группе «Супервайзеры». Вы делите пекарню на логические зоны на основании функций: «Ингредиенты», «Смешивание», «Выпекание» и «Упаковка». Добавляете группу компьютеров OpStation 1. Вы определяете политику системы для каждой группы. Настраиваете политику паролей. Создание пользователя Следующие примеры относятся к Компьютеру 1 и Компьютеру 2, приведенные в Главе 3 на странице 9. 1. На Компьютере 1: В окне проводника Explorer раскройте дерево сетевого каталога FactoryTalk Network Directory и расширьте папку System, пока не увидите каталог Users (Пользователи). 2. Щелкните правой кнопкой по папке Users, выберите New (Новый), затем User (Пользователь). 48 5 • Создание учетных записей пользователя 3. Во вкладке General (Общие) заполните поля User name (Имя пользователя), Full name (Полное имя) и Description (Описание), затем выберите необходимые свойства пароля. Выбираемые здесь свойства пароля находятся под управлением политики, выбранной в Security Policies (Политика безопасности). Для нашего примера введите следующее: User name (Имя пользователя): PSmith Full name (Полное имя): Pat Smith Description (Описание): Shift Leader Password (Пароль): password Для данного примера снимите флажок User must change password at next logon (Пользователь должен сменить пароль при следующем входе) и установите флажок Password never expires (Неограниченный срок действия пароля). 49 FactoryTalk Security Руководство по быстрому запуску 4. Нажмите OK. Новый пользователь появится в папке Users (Пользователи). 5. Создайте два следующих пользователя: User name (Имя пользователя): Btylerh Full name (Полное имя): Bob Tyler Description (Описание): Operator Password (Пароль): password User name (Имя пользователя): Lwilliams Full name (Полное имя): Leslie Williams Description (Описание): Supervisor Password (Пароль): password Для обоих пользователей снимите флажок User must change password at next logon (Пользователь должен сменить пароль при следующем входе) и установите флажок Password never expires (Неограниченный срок действия пароля). Создание группы пользователей 1. Щелкните правой кнопкой по папке Users Groups (Группы пользователей), выберите New (Новый), затем User Group. 50 5 • Создание учетных записей пользователя 2. Заполните поля Name (Название) и Description (Описание), для нашего примера используйте информацию приведенную ниже. 3. Нажмите Add (Добавить), чтобы открыть диалоговое окно Select User or Group (Выбрать пользователя или группу). Если пользователя Psmith нет в списке, установите флажок Show All (Показать все) или Show users only (Показать только пользователей). 4. Выберите Psmith и нажмите OK, чтобы добавить Psmith к группе пользователей Shift Leaders (Начальники смены). 5. Нажмите Create (Создать) для создания группы пользователей Shift Leaders и закройте диалоговое окно. 51 FactoryTalk Security Руководство по быстрому запуску Новая группа пользователей появится в папке Users Groups (Группа пользователей). 6. Создайте группы пользователей для операторов Operators (добавьте пользователя BTyler) и супервайзеров Supervisors (добавьте LWilliams). Удаление учетных записей 1. В окне проводника программ FactoryTalk Administration Console или FactoryTalk View Studio разверните дерево сетевого или локального каталога FactoryTalk Directory, затем разверните папку System до обнаружения учетной записи пользователя, которую вам нужно удалить. 2. Щелкните правой кнопкой по учетной записи пользователя, затем нажмите Delete (Удалить) из контекстного меню. Все пользователи идентифицируются уникальным идентификатором, который отличается от имени пользователя. При удалении учетной записи пользователя FactoryTalk, приписанной к приложению FactoryTalk View, права доступа этого пользователя к данному приложению удаляются, а его уникальный идентификатор нет. Это значит, что если даже вы создадите учетную запись пользователя с идентичным именем, новая учетная запись не будет автоматически иметь доступ к тем же ресурсам, что и прежняя. Все приложения, к которым удаленный пользователь был добавлен, отобразят уникальный идентификатор учетной записи, а не имя пользователя (которое больше не существует). Данный уникальный идентификатор необходимо также удалить. При создании другой учетной записи с таким же названием для нее необходимо установить настройки безопасности. За инструкциями общайтесь к разделу «Восстановление удаленных учетных записей» в справке FactoryTalk. 52 5 • Создание учетных записей пользователя Добавление учетных записей компьютеров 1. Щелкните правой кнопкой по папке Computers and Groups (Компьютеры и группы), наведите курсор на Computers и нажмите New Computer (Новый компьютер). 2. В поле Computer name (Имя компьютера) введите имя компьютера (OpStation 1 в нашем примере) или найдите его в обзоре, введите описание в поле Description, затем нажмите Add (Добавить) для открытия диалогового окна Select Computer Group (Выбор группы компьютеров). Нажмите кнопку Browse (Обзор) для поиска существующих в сети компьютеров. Сделайте описание содержательным (например, введите контактную информацию соответствующего персонала). 53 FactoryTalk Security Руководство по быстрому запуску 3. В диалоговом окне Select Computer Group, нажмите Create New (Создать новую), затем нажмите Computer Group (Группа компьютеров). 4. В диалоговом окне New Computer Group (Новая группа компьютеров) введите название и описание для данной группы компьютеров (runtime stations (рабочие станции) в нашем примере), затем нажмите Create (Создать). 54 5 • Создание учетных записей пользователя 5. В диалоговом окне New Computer Group выберите новую группу (runtime stations для нашего примера), затем нажмите OK для закрытия этого окна и добавления нового компьютера OpStation 1 к группе runtime stations. 6. В диалоговом окне New Computer (Новый компьютер) нажмите Create для создания нового компьютера, который уже был добавлен к какой-либо группе. 55 FactoryTalk Security Руководство по быстрому запуску Этот компьютер добавляется к списку компьютеров в окне проводника: Что делать далее Выполните одно из следующего: 56 Если требуется, продолжите добавлять пользователей, группы и/или компьютеры. Перейдите к Главе 6 на странице 57, чтобы узнать о назначении прав доступа для пользователей, групп и компьютеров, добавленных в данной главе. Перейдите к Главе 7 на странице 69, чтобы узнать об установке политики безопасности в масштабах системы или конкретной политики. Перейдите к Главе 8 на странице 79, чтобы узнать о дополнительных возможностях FactoryTalk Security, таких как группирование ресурсов и усиление безопасности. Перейдите к Главе 9 на странице 87, чтобы узнать о принципе использования FactoryTalk Security с программным обеспечением RSLinx. Перейдите к Главе 10 на странице 99, чтобы узнать о принципе использования FactoryTalk Security с RSLogix 5000 для обеспечения безопасности проектов и устройств (таких как, контроллеры Logix5000, PLC и SLC). Перейдите к Главе 11 на странице 115, чтобы узнать о принципе использования FactoryTalk Security с FactoryTalk View SE. Перейдите к Главе 12 на странице 137, чтобы узнать о принципе использования FactoryTalk Security с FactoryTalk View ME. Перейдите к Главе 13 на странице 161, чтобы узнать о принципе использования FactoryTalk Security с компонентами FactoryTalk Batch. Перейдите к Главе 14 на странице 179, чтобы узнать о внедрении системы FactoryTalk на компьютерах действующей системы. ГЛАВА 6 Назначение прав доступа Данная глава содержит информацию по назначению прав доступа, включая информацию по следующему: разрешение и запрет прав доступа наследование и порядок старшинства категории прав доступа действующие права доступа группы действий Перед тем, как вы начнете Убедитесь, что установлено и активировано все программное обеспечение из списка «Что необходимо», который представлен ниже. Убедитесь, что настроен сетевой каталог, как описано в Главе 4 на странице 27. Вы добавили учетные записи пользователей и групп, как указано в Главе 5 на странице 45. Ознакомьтесь с терминами и понятиями FactoryTalk Security. См. Главу 1, «Что такое безопасность в системе автоматизации» и Главу 2, «О системе FactoryTalk». Что требуется FactoryTalk Services Platform v. 2.10 (CPR 9) FactoryTalk Security (установленная с FactoryTalk Service Platform) 57 FactoryTalk Security Руководство по быстрому запуску Выполните следующие шаги: Разрешение и запрет прав доступа Для любого ресурса вашего приложения, например, самого приложения, зоны, сервера и т.д., можно назначить одно из двух прав доступа - Allow (Разрешить) или Deny (Запретить) – для любого действия, которое пользователь, компьютер или группа может выполнять с объектом. Например, можно запретить доступ к записи в определенный сервер для заданных пользователей, групп пользователей, компьютеров или их групп. Можно установить два типа прав доступа: Разрешающие права доступа (Allow) позволяют пользователям выполнять действия с ресурсами со всех или только определенных компьютеров в сети. Запрещающие права доступа (Deny) не дают пользователям выполнять действия с ресурсами со всех или только определенных компьютеров в сети. Также можно удалить права доступа с объекта путем снятия обоих флажков Allow и Deny. Это позволяет объекту наследовать права доступа, назначенные на более высоком уровне. Например, если человеко-машинный сервер HMI расположен в зоне, и вы удаляете все права доступа с этого сервера, он унаследует права доступа от данной зоны. Если права доступа не определены для ресурса ни на каком уровне, используется запрет (Deny). 58 6 • Назначение прав доступа Назначайте права доступа для групп, а не пользователей. Так как неэффективно работать с учетными записями пользователей напрямую, назначайте права доступа для учетных записей пользователей в виде исключения. Там где возможно, удалите разрешающие права доступа (Allow) вместо назначения многих запрещающих прав доступа. Это упростит процесс администрирования, благодаря порядку старшинства прямых прав доступа над наследованными правами доступа, а запрещающих прав доступа (Deny) над разрешающими (Allow). Используйте запрещающие права доступа (Deny) для: исключения члена группы, который имеет разрешающие права доступа (Allow) исключения одного особого права доступа при наделении полным доступом какоголибо пользователя или группы Назначайте права доступа на как можно более высоком уровне. Это обеспечит лучшую эффективность при меньших трудозатратах. Устанавливаемые права доступа должны подходить для большинства пользователей. Например, устанавливайте безопасность для зоны, а не для объектов в рамках этой зоны. Администраторы должны использовать учетную запись с ограниченными правами доступа для выполнения рабочих, неадминистративных задач, и использовать учетную запись с большими правами доступа при выполнении особых задач по администрированию. Понимание «наследования» По умолчанию объекты наследуют права доступа автоматически от их родительских объектов. Например, если безопасность устанавливается для зоны в приложении, все элементы данной зоны наследуют её настройки безопасности, а зона наследует настройки от приложения. На вершине иерархии стоит сетевой или локальный каталог. Сети и устройства, на которые ссылаются по логическим именам, а не относительным путям, наследуют права доступа не так как остальные ресурсы. Заместить наследованные права доступа можно двумя способами: Установить прямые права доступа для ресурсов на более низком уровне иерархии. Например, если зона наследует права доступа от приложения, можно заместить эти наследованные права доступа путем указания права доступа напрямую для данной зоны. Прямые права доступа назначаются специально для пользователей, групп или компьютеров на объекты или действия. Прямые права доступа имеют приоритет над наследованными. Разорвите цепочку наследования на уровне в дереве сетевого или локального каталога. Например, можно не дать зоне унаследовать права доступа от приложения, в котором она находится. Чтобы сделать это, установите флажок «Do not inherit permissions» (Не наследовать права доступа) при настройке безопасности для ресурса. При разрыве цепочки наследования, можно указать, нужно ли удалять все права доступа с ресурсов ниже линии разрыва (которая предполагает запрещающее право доступа Deny) или нужно использовать унаследованные права доступа на линии разрыва как прямые. 59 FactoryTalk Security Руководство по быстрому запуску Права доступа могут наследоваться только до уровня дерева сетевого или локального каталога, где цепочка наследования остается целой. Например, если установить флажок «Do not inherit permissions» (Не наследовать права доступа) для зоны, то наследующие права доступа элементы в рамках этой зоны наследуют права доступа только в рамках этой зоны. Они не могут наследовать права доступа от приложения, в котором расположена эта зона. Так как разрыв цепочки наследования усложняет администрирование, делать так следует только в случаях крайней необходимости. Принцип наследования позволяет установить права доступа на максимально практичном уровне, а затем там, где это необходимо, внести исключения на более низких уровнях. Если права доступа не определены ни на каком уровне, используется запрет (Deny). Порядок старшинства Когда система определяет уровень доступа пользователя, компьютера или группы, действуют следующие правила: Предполагаются запрещающие права доступа (Deny). Если для ресурса не установлены никакие права доступа, подразумевается запрет. Используйте подразумевающийся запрет Deny вместо прямого запрета, где возможно, так как это упростит администрирование. Запрет Deny берется в расчет до разрешения Allow. Например, если для группы «Операторы» запрещен доступ к серверу данных, но персональная учетная запись пользователя (Jane) имеет разрешения на доступ к этому серверу данных, запрет Deny имеет приоритет над разрешением Allow и Jane не получит доступ к серверу данных, потому что является членом группы «Операторы». Прямые права доступа имеют приоритет над наследованными. Например, предположим ваше приложение имеет зону с названием «Запекание», и вы дали «Операторам» доступ на чтение для данной зоны. Если операторам будет запрещен доступ на чтение с сервера HMI в зоне «Выпекание», запрет Deny будет иметь приоритет над разрешением Allow. Это означает, что прямое разрешение Allow замещает наследованный запрет Deny, и прямой запрет Deny замещает наследованное разрешение Allow. 60 Если конфликтующие прямые права доступа установлены на одном уровне запрет Deny будет иметь приоритет над разрешением Allow. Например, если для группы «Операторы» напрямую запрещен доступ к серверу данных, но для персональной учетной записи пользователя (Jane) напрямую дано разрешение на доступ к этому серверу данных, запрет Deny имеет приоритет над разрешением Allow и Jane не получит доступ к серверу данных, потому что является членом группы «Операторы». Это происходит потому, что конфликтующие прямые права доступа установлены на один ресурс. Для разрешения доступа к серверу данных для Jane, необходимо запретить группе «Операторы» доступ к ресурсу на более высоком уровне в иерархии (например, в зоне, где этот сервер установлен), а затем напрямую разрешить исключения для сервера данных. Если объект наследует как разрешение Allow, так и запрет Deny, заместить наследованные права доступа будет невозможно. Такое может произойти при выдаче права доступа (например, разрешения на чтение Allow Read) на одном уровне в иерархии, и затем замещении (например, запретом на чтение Deny Read) на более низком уровне в иерархии. При настройке безопасности для объекта, расположенного ниже объекта с прямым запретом Deny, оба флажка Allow и Deny для данного права доступа блокируются. Это означает, что для данного пользователя доступ к данному объекту запрещен, потому что запрет Deny имеет приоритет над разрешением Allow. 6 • Назначение прав доступа Категории прав доступа для действий Действия, которые пользователи могут выполнять с ресурсами, группируются в категории. Категория Common (Общая) является общей для всех продуктов FactoryTalk. За подробностями по действиями в категории Common обращайтесь к интерактивной справочной системе FactoryTalk Security. Можно создавать собственные группы для действий. Это позволяет назначать права доступа для всех действий в группе сразу, а не для каждого действия по отдельности. См. «Создание групп действий» далее в данной главе. Назначение прав доступа 1. В FactoryTalk Administration Console нажмите правой кнопкой на ресурс, например, приложение, зону или сервер, которые требуется защитить, и затем выберите Security (Безопасность) в выпавшем меню. Для нашего примера выберите Baking (Выпечка). 61 FactoryTalk Security Руководство по быстрому запуску 2. В диалоговом окне Security Settings (Настройки безопасности) щелкните вкладку Permissions (Права доступа). 3. В списке пользователей и компьютеров щелкните Add (Добавить) и выберите комбинацию пользователей, компьютеров и групп, для который требуется назначение прав доступа. Выберите пользователя (User) или действие (Action) В списке прав доступа установите флажки напротив действий, которые вы хотите запретить или разрешить. Чтобы разрешить наследование прав доступа с более высокого уровня, снимите оба флажка Allow и Deny. По завершении нажмите OK. Следующие флажки указывают, какие права доступа вступят в силу при нажатии OK: Пустая кнопка-флажок напротив действия означает отсутствие назначенного права доступа. Если напротив действия флажки Allow и Deny оба не установлены, то для данного действия предполагается Deny. Однако пустая кнопка-флажок напротив названия группы действий, например, All Actions (Все действия) или Common (Общие) означает, что некоторые действия в рамках группы имеют не назначенные права доступа. Если не получается, разверните группу и посмотрите, какие действия не имеют назначенных прав доступа. Черный флажок означает, что права доступа Allow и Deny были назначены напрямую. Серый флажок означает, что права доступа Allow и Deny были унаследованы. Там где возможно, удалите разрешающие права доступа (Allow) вместо назначения многих запрещающих прав доступа. Это упростит процесс администрирования, благодаря порядку старшинства прямых прав доступа над наследованными правами доступа, а запрещающих прав доступа (Deny) над разрешающими (Allow). 62 6 • Назначение прав доступа Просмотр прав доступа Настройки безопасности, установленные для ресурсов, можно просматривать. Права доступа отображаются для: пользователей или группы пользователей компьютера или группы компьютеров Например, при просмотре действующих прав доступа для приложения во вкладке Effective Permissions (Действующие права доступа) может отображаться возможность выбранных пользователей и компьютеров считывать содержание данного приложения. Чтобы отобразить действующие права доступа для компьютера или группы компьютеров, должен использоваться сетевой каталог FactoryTalk Network Directory. В локальном каталоге FactoryTalk Local Directory отобразить действующие права доступа для компьютеров или групп нельзя, потому что локальный каталог ограничен на один компьютер. Понимание действующих прав доступа Вкладка Effective Permissions (Действующие права доступа) не показывает отдельных столбцов для прав доступа Allow и Deny, и не разграничивает прямые и наследованные права доступа. Вместо этого, присутствие или отсутствие флажка в столбце Allowed (Разрешенные) указывает на права доступа в действии для ресурса и для выбранного пользователя или компьютера, или группы: Если напротив действия имеется флажок, то данное действие разрешено, либо напрямую, либо унаследовано. Если напротив действия флажок отсутствует, то данное действие запрещено, либо напрямую, либо унаследовано. Если категория действий (например, Common (Общие) или Alarming (Сигнализация)) имеют серый флажок, то одно или более, но не все действия в данной категории разрешены. Разверните категорию, чтобы посмотреть, какие действия разрешены, а какие запрещены. Чтобы отобразить действующие права доступа: 1. В окне проводника FactoryTalk Administration Console разверните дерево локального каталога, затем разверните папку System (Система) до ресурса, для которого необходимо отобразить действующие права доступа. Например, для отображения действующих прав доступа приложения разверните дерево до появления этого приложения. 2. Щелкните правой кнопкой по ресурсу, затем выберите Security (Безопасность) из открывшегося меню. 63 FactoryTalk Security Руководство по быстрому запуску 3. Щелкните по вкладке Effective Permissions. 4. В поле User or group (Пользователь или группа) введите имя пользователя или группы, или щелкните по кнопке обзора, чтобы найти пользователя или группу самостоятельно. 5. В поле Computer or group (Компьютер или группа) введите имя компьютера или группы, или щелкните по кнопке обзора, чтобы найти пользователя или группу самостоятельно. 6. Нажмите Update Permissions List (Обновить список прав доступа). Список Effective Permissions показывает действующие на текущий момент права доступа для выбранных пользователей или компьютеров. Создание групп действий Группы действий позволяют группировать действия и назначать для них общие права доступа. Это позволяет разрешить или запретить доступ сразу для нескольких действий, вместо назначения прав доступа для каждого действия по отдельности. Создавайте необходимые для вашего производства группы действий. Например, создавайте группы на основе: роли пользователя или вида работы (оператор, супервайзер, инженер и т.д.) типа оборудования, к которому пользователь имеет доступ (бункеры, смесители и т.д.) Доступные общие действия Common: Configure Security (Настройка безопасности), Create Children (Создание дочерних записей), Delete (Удаление), Execute (Выполнение), List Children (Перечисление дочерних записей), Read (Чтение), и Write (Запись). Доступные, зависимые от продукта действия зависят от установленного продукта. Доступные действия для FactoryTalk Alarms and Events, например, Acknowledge (Подтвердить), Enable/Disable (Включить/ Выключить), Reset (Сбросить), и Suppress (Подавить). 64 6 • Назначение прав доступа Используйте группы действий для назначения прав доступа сразу для нескольких действий, вместо назначения прав доступа для каждого действия по отдельности. При добавлении группы действий, вы определяете: название группы действий какие действия принадлежат данной группе Создайте группы действий для нашего примера 1. В FactoryTalk Administration Console выберите папку Systems, щелкните правой кнопкой по папке Action Groups (Группы действий), затем выберите Add New Action Group (Добавить новую группу действий) из открывшегося меню. Будет выдано предупреждение о том, что использование групп действий с разными версиями FactoryTalk Services Platform может привести к нежелательным результатам. Если FactoryTalk Services Platform устанавливается впервые и если нет установленных версий FactoryTalk Automation Platform, нажмите Yes для продолжения. 2. Введите уникальное название для группы действий (для нашего примера используйте Maintenance), выберите разрешаемые действия для групп действий и нажмите OK. Выберите здесь действие… затем нажмите, чтобы добавить. Чтобы создать действие сейчас, но назначить для него действия позднее, введите название и нажмите New. Это название появится в диалоговом окне Security Settings (Настройки безопасности) в категории User Action Groups (Группы действий пользователя). 65 FactoryTalk Security Руководство по быстрому запуску Назначение прав доступа для группы действий 1. Щелкните правой кнопкой по названию только что созданной группы действий (Maintenance), затем выберите Security (Безопасность) из открывшегося меню. 2. Выберите каждую группу действий, назначьте необходимые права доступа и нажмите OK. Назначение прав разрешения Allow и запрета Deny для группы действий автоматически назначает эти права доступа для индивидуальных действий в рамках группы. Нажмите здесь, чтобы отобразить права доступа по пользователям или действиям. Данные категории находятся здесь постоянно. Здесь отображаются созданные группы действий. 66 Если напротив действия имеется флажок, то данное действие разрешено, либо напрямую, либо унаследовано. Если напротив действия флажок отсутствует, то данное действие запрещено, либо напрямую, либо унаследовано. Если категория действий (например, Common (Общие) или Alarming (Сигнализация)) имеют серый флажок, то одно или более, но не все действия в данной категории разрешены. Разверните категорию, чтобы посмотреть какие действия разрешены, а какие запрещены. 6 • Назначение прав доступа Работа с группами действий Далее представлены советы по работе с группами действий. Создание новых групп действий При создании новой группы действий перемещать элементы можно по одному или сделать следующее: Выбрать папку Использовать SHIFT-ЩЕЛЧОК для выбора нескольких последовательных элементов Использовать CTRL-ЩЕЛЧОК для выбора нескольких непоследовательных элементов Удаление групп действий Для удаления группы действий щелкните по ней правой кнопкой и выберите Delete (Удалить) из открывшегося меню. Редактирование групп действий Для редактирования группы действий щелкните по ней правой кнопкой и выберите Properties (Параметры) из открывшегося меню. Переименование групп действий Группу действий переименовать нельзя. Вместо этого, запишите, какие права доступа назначены для группы действий, которую необходимо переименовать, удалите данную группу действий и создайте новую. Воссоздайте прежние права доступа для новой группы действий. 67 FactoryTalk Security Руководство по быстрому запуску Группы действий нельзя включить в другие группы Для предотвращения конфликтующих прав доступа нет возможности включать группы действий в другие группы действий. Помните о конфликтующих правах доступа при включении одного действия в несколькие группы действий. Возможность включить одно действие в несколькие группы действий есть, но это может привести к конфликтующим правам доступа. Например, если одно действие включается в две группы, применимые к одному ресурсу, и вы напрямую разрешаете доступ для первой группы действий и напрямую запрещаете доступ для второй, пользователю будет отказано в доступе для данного действия, так как запрет Deny всегда имеет приоритет над разрешением Allow. Что делать далее Выполните одно из следующего: 68 По необходимости продолжите добавлять группы действий и назначать права доступа. Перейдите к Главе 7 на странице 69, чтобы узнать об установке политики безопасности в масштабах системы или конкретной политики. Перейдите к Главе 8 на странице 79, чтобы узнать о дополнительных возможностях FactoryTalk Security, таких как группирование ресурсов и усиление безопасности. Перейдите к Главе 9 на странице 87, чтобы узнать о принципе использования FactoryTalk Security с программным обеспечением RSLinx. Перейдите к Главе 10 на странице 99, чтобы узнать о принципе использования FactoryTalk Security с RSLogix 5000 для обеспечения безопасности проектов и устройств (таких как, контроллеры Logix5000, PLC и SLC). Перейдите к Главе 11 на странице 115, чтобы узнать о принципе использования FactoryTalk Security с FactoryTalk View SE. Перейдите к Главе 12 на странице 137, чтобы узнать о принципе использования FactoryTalk Security с FactoryTalk View ME. Перейдите к Главе 13 на странице 161, чтобы узнать о принципе использования FactoryTalk Security с компонентами FactoryTalk Batch. Перейдите к Главе 14 на странице 179, чтобы узнать о внедрении системы FactoryTalk на компьютерах действующей системы. ГЛАВА 7 Установка политики безопасности системы и продукта Данный раздел описывает способ установки: политики системы политики продукта Политика представляет собой набор настроек, применяемых по всей производственной системе FactoryTalk. Например, все продукты FactoryTalk, которые имеют общий каталог FactoryTalk Directory, используют одну политику аудита, которая регистрирует безуспешные попытки пользователя доступа к защищенным объекту или функции в связи с отсутствием у данного пользователя достаточных прав доступа. При отключении данной политики ни один из продуктов FactoryTalk в системе не будет регистрировать безуспешные попытки доступа к защищенным объектам или функциям. Политика системы Далее приведены некоторые примеры политик безопасности в FactoryTalk: Политика безопасности – длина, сложность, срок действия пароля и т.д.; Данная политика не применяется к связанным с Windows учетным записям. Определяйте политику для учетных записей Windows в системе Windows. Политика аудита – проверяются ли разрешения или отказы в доступе, или и то и другое, и т.д. Политика назначения прав пользователей — возможность для пользователей резервировать и восстанавливать содержание каталога FactoryTalk Directory, или возможность переключения между главным и второстепенным сервером в избыточных парах. (См. раздел «Политика системы» на странице 71 для получения дополнительной информации.) Политика продукта Политика продукта защищает либо функцию системы, либо специальные для определенного продукта данные конфигурации системы. Каждый продукт FactoryTalk предоставляет собственный набор политик продуктов, а значит они различаются в вашей системе, в зависимости от установленного продукта FactoryTalk. (См. раздел «Политика продукта» на странице 73 для получения дополнительной информации.) За подробностями по установке политики для установленных продуктов обращайтесь к справке каждого продукта. Политика продукта не наследует настройки безопасности. При указании прав доступа для политики продукта снятие обоих флажков Allow и Deny не дает политике наследовать настройки безопасности. Вместо этого, снятие обоих флажков приводит к запрету доступа к какой-либо функции продукта. 69 FactoryTalk Security Руководство по быстрому запуску Перед тем, как вы начнете Убедитесь, что установлено и активировано все программное обеспечение из списка «Что необходимо», который представлен ниже. Убедитесь, что настроен сетевой каталог, как описано в Главе 4 на странице 27. Ознакомьтесь с терминами и понятиями FactoryTalk Security. См. Главу 1, «Что такое безопасность в системе автоматизации» и Главу 2, «О системе FactoryTalk». Что требуется FactoryTalk Services Platform v. 2.10 (CPR 9) FactoryTalk Security (установленная с FactoryTalk Service Platform) Выполните следующие шаги: 70 7 • Установка политики безопасности системы и продукта Политика системы Политика системы представляет собой настройки безопасности, применяемые по всей системе автоматизации FactoryTalk. В том числе: Политика FactoryTalk Alarms and Events, которая определяет поведение предупреждений и событий в масштабах системы Политика назначения прав пользователя позволяет защищать функции в FactoryTalk Directory, а также указать какие пользователи или группы FactoryTalk будут иметь доступ к этим возможностям. Например, можно указать, какие пользователи смогут выполнять резервирование и восстановление системы FactoryTalk. Назначение прав доступа в рамках FactoryTalk Directory применяется только для пользователей и групп FactoryTalk. Это не влияет на пользователей и группы Windows вне FactoryTalk. Например, если минимальная длина пароля для родных пользователей FactoryTalk установлена на 5 знаков, а пользователь имеет связанную с Windows учетную запись с политикой Windows на 6 знаков, политика Windows будет применена системой Windows. Политика данных в режиме реального времени (Live Data Policy) позволяет установить настройки для данных в масштабах системы. Политика мониторинга состояния (Health Monitoring Policy) позволяет провести точную настройку параметров, которые будет использовать служба мониторинга состояния при проверке на наличие сбоя в сети и ожидании перед переключением на сервер ожидания. Политика аудита (Audit policy) определяет, какая информация по безопасности будет регистрироваться (проверяться) при использовании системы. Например, можно отслеживать отказы пользователям в доступе к ресурсам системы. Политика безопасности (Security policy) определяет общие правила по реализации безопасности во всех продуктах FactoryTalk вашей системы. Например, можно изменять количество допустимых безуспешных попыток входа в систему перед блокировкой учетной записи пользователя. Еще одна политика – система одного входа (Single Sign-on), которая определяет, могут ли пользователи войти в систему FactoryTalk один раз или им необходимо проходить процедуру входа для каждого продукта FactoryTalk. Назначение политики безопасности 1. Запустите FactoryTalk Administration Console, затем войдите в каталог FactoryTalk Directory, где необходимо настроить политику продукта. Для нашего примера войдите в сетевой каталог Network Directory. 2. В окне проводника разверните дерево сетевого или локального каталога FactoryTalk Directory, затем разверните папки System (Система) > Policies (Политика). 3. Щелкните правой кнопкой по ресурсу, затем выберите Properties (Параметры) из открывшегося меню. 71 FactoryTalk Security Руководство по быстрому запуску 4. Выберите политику, для которой необходимо назначить безопасность. Щелкните по кнопке обзора для отображения настроек безопасности покатегории или по алфавиту. 5. Настройте опции безопасности. Опции безопасности для каждого продукта отличаются – в некоторых случаях что-то просто включается или отключается. В других случаях необходимо назначить ограничение по срокам или другим типам параметров. В диалоговом окне User Rights Assignment Properties (Параметры назначения прав пользователя), показанного выше, нажатием кнопки обзора открывается диалоговое окно для назначения пользователей. 6. Нажмите OK для сохранения настроек безопасности. 72 7 • Установка политики безопасности системы и продукта Политика продукта Политика продукта представляет собой настройки безопасности, которые ограничивают доступ к функциям отдельных продуктов FactoryTalk в вашей системе для предотвращения непреднамеренного внесения изменений или искажения информации. Только пользователи, имеющие необходимый уровень доступа, могут воспользоваться защищенными функциями программного продукта. Например, при установке политики продукта для RSLinx Classic можно ограничить возможность выключения службы RSLinx Classic только небольшой группой пользователей, чтобы предотвратить выключение системы автоматизации во время работы. Каждый устанавливаемый продукт FactoryTalk имеет различные защищаемые функции. В случае с локальным каталогом политика продукта применяется для продукта, установленного на компьютер с этим локальным каталогом. В случае с сетевым каталогом политика продукта применяется для всех инсталляций продукта FactoryTalk на всех компьютерах, соединенных с этим сетевым каталогом. Политика продукта и наследование Политика продукта не наследует настройки безопасности. При указании прав доступа для политики продукта снятие обоих флажков Allow и Deny не дает политике наследовать настройки безопасности. Вместо этого, снятие обоих флажков приводит к запрету доступа к какой-либо функции продукта. Например, в случае с RSLinx Classic это означает, что политика продукта для RSLinx Classic не наследует настройки безопасности из папки RSLinx Classic, где она установлена. Политика продукта наследует настройки безопасности из специального элемента с названием Feature Group Security (Безопасность групп функций). Элемент Feature Group Security может быть доступным или недоступным в списке защищаемых функций в диалоговом окне Feature Security Properties (Параметры безопасности функций), в зависимости от установленных продуктов FactoryTalk. Если Feature Group Security недоступен, и вы удалите оба права доступа Allow и Deny для какой-либо функции продукта, то доступ к данной функции для данного пользователя будет запрещен. Чем отличаются политика продукта и политика действия? Защищаемое действие применятся для всех продуктов, которые используют это действие в определенном контексте (где контекст - любой ресурс, для которого защищается действие, например, FactoryTalk Directory, приложение или зона). Политика продукта применятся только для одного продукта - если запретить доступ к функции продукта, видеть данную функцию при использовании этого продукта в любом контексте будет невозможно. В некоторых случаях бывают защищаемые действия и политика продукта с одинаковыми возможностями. Например, в RSLogix 5000 есть как защищаемое действие, так и политика продукта с названием Firmware: Update (Прошивка: обновление). 73 FactoryTalk Security Руководство по быстрому запуску Защищаемое действие применяется ко всем продуктам – если запрещен доступ к действию Firmware: Update в приложении или зоне, обновить прошивку в контроллере из этого приложения или зоны, используя любой продукт, будет невозможно. Данная политика продукта применяется только с RSLogix 5000 – если доступ к Firmware: Update запрещен, обновить прошивку при использовании RSLogix 5000 для конфигурации любого контроллера будет невозможно. В отличие от защищаемых действий с ресурсами, политика продукта не наследует настройки безопасности. При указании прав доступа для политики продукта снятие обоих флажков Allow и Deny не дает политике наследовать настройки безопасности. Вместо этого, снятие обоих флажков приводит к запрету доступа к какой-либо функции продукта. Два различных способа настроить безопасность функций продукта Обычно необходимо настроить безопасность для нескольких продуктов и функций сразу. Чтобы сделать это, используйте диалоговое окно Feature Security for Product Policies (Безопасность функций для политики продукта). Однако также можно настроить безопасность по отдельности для каждой функции продукта (и FactoryTalk Gateway работает только таким образом), но это требует большого объема работы. Настройка нескольких продуктов 1. Запустите FactoryTalk Administration Console или FactoryTalk View Studio, затем войдите в каталог FactoryTalk Directory, где необходимо настроить политику продукта. 2. В окне проводника разверните дерево сетевого или локального каталога FactoryTalk Directory, затем разверните папки System (Система) > Policies (Политика). 3. Щелкните правой кнопкой по Product Policies, затем выберите Configure Feature Security (Настроить безопасность функций) из открывшегося меню. Также можно щелкнуть правой кнопкой по любой категории продуктов и нажать затем Configure Feature Security для настройки политики только для выбранного продукта. 74 7 • Установка политики безопасности системы и продукта 4. В диалоговом окне Feature Security (Безопасность функций) назначьте необходимые права доступа и нажмите OK. Настройка доступа к одной функции продукта 1. В окне проводника разверните дерево сетевого или локального каталога FactoryTalk Directory, затем разверните папки System (Система) > Policies (Политика) > Product Policies (Политика продукта). 2. Папку Product Policies разверните до продукта, функции которого необходимо защитить, затем дважды щелкните Feature Security (Безопасность функций) или название функции, которую нужно защитить. 75 FactoryTalk Security Руководство по быстрому запуску 3. В диалоговом окне Feature Security Properties (Параметры безопасности функций) щелкните по строке с функцией, которую нужно защитить. Описание этой функции появится в нижней части диалогового окна Feature Security Properties. 4. Установите настройки безопасности для данной функции продукта путем нажатия кнопки обзора (показана слева), и затем нажмите OK. Помните, что FactoryTalk Batch имеет политику продукта, настраиваемую только из папки Feature Security – она не доступна из открывающегося меню. За дополнительной информацией обращайтесь к «FactoryTalk Batch и FactoryTalk Security» на странице 161. 76 7 • Установка политики безопасности системы и продукта Что делать далее Выполните одно из следующего: По необходимости продолжите настраивать политику. Перейдите к Главе 8 на странице 79, чтобы узнать о дополнительных возможностях FactoryTalk Security, таких как группирование ресурсов и усиление безопасности. Перейдите к Главе 9 на странице 87, чтобы узнать о принципе использования FactoryTalk Security с программным обеспечением RSLinx. Перейдите к Главе 10 на странице 99, чтобы узнать о принципе использования FactoryTalk Security с RSLogix 5000 для защиты ресурсов. Перейдите к Главе 11 на странице 115, чтобы узнать о принципе использования FactoryTalk Security с FactoryTalk View SE. Перейдите к Главе 12 на странице 137, чтобы узнать о принципе использования FactoryTalk Security с FactoryTalk View ME. Перейдите к Главе 13 на странице 161, чтобы узнать о принципе использования FactoryTalk Security с компонентами FactoryTalk Batch. Перейдите к Главе 14 на странице 179, чтобы узнать о внедрении системы FactoryTalk на компьютерах действующей системы. 77 FactoryTalk Security Руководство по быстрому запуску 78 ГЛАВА 8 Группирование ресурсов Данный раздел содержит информацию по дополнительной возможности безопасности, которая называется группированием ресурсов. Группирование ресурсов – это один из способов применения безопасности к аппаратным ресурсам. Вместо назначения безопасности для каждого ресурса по отдельности в дереве Networks and Devices (Сети и устройства), можно сгруппировать связанное оборудование в приложении или зоне, а затем применить к ним настройки безопасности. Это позволяет назначить одинаковые права доступа для всех аппаратных ресурсов сразу, вместо назначения прав доступа для каждого ресурса по отдельности. Применение настроек безопасности таким способом, безусловно, экономит время – когда у вас сотни требующих защиты ресурсов, намного быстрее их сгруппировать, чем работать с каждым по отдельности. Перед тем, как вы начнете Убедитесь, что установлено и активировано все программное обеспечение из списка «Что необходимо», который представлен ниже. Ознакомьтесь с терминами и понятиями FactoryTalk Security. См. Главу 1, «Понимание системы автоматизации» для получения дополнительной информации. Что требуется Установленная FactoryTalk Services Platform с конфигурацией сетевого каталога. Приложение с названием Пекарня (Bakery), созданное в сетевом каталоге. Обращайтесь к справке FactoryTalk за указаниями по созданию приложения. 79 FactoryTalk Security Руководство по быстрому запуску Выполните следующие шаги: Использование группирования ресурсов Для использования группирования ресурсов, необходимо наличие настроенного приложения. Группирование ресурсов позволяет объединить оборудование управления, отраженное в дереве Networks and Devices (Сети и устройства), а затем настроить безопасность для данной группы одним действием. Можно группировать действия и назначать для них общие права доступа. См. «О группах действий» в справке FactoryTalk. Почему это называется «группированием» ресурсов? В среде FactoryTalk Security есть понятие создания «групп», таких как группы пользователей и группы действий. В таких случаях создаётся группа, ей дается название, затем назначаются права доступа для учетных записей или действий в этой группе. Группирование ресурсов работает по-другому. В данном случае берутся ресурсы оборудования и группируются в определенном приложении или зоне. Группировка ресурсов наследует права доступа этого приложения или зоны. Группирование ресурсов и дерево Networks and Devices (Сети и устройства) Группировку ресурсов нужно рассматривать как «логическое» представление производства, а дерево Networks and Devices как «физическое». Логическое представление позволяет группировать ресурсы в рамках приложения или зоны – в любом удобном порядке – независимо от их физического расположения. Дерево Networks and Devices в свою очередь позволяет работать с ресурсами в их физическом расположении в сети. 80 8 • Группирование ресурсов Например, пекарня Norm имеет три отдельных вентилятора, работающих в трех разных зонах пекарни. Отдел «Управление» управляет данными вентиляторами независимо от их расположения, а также включает и выключает их. Для настройки безопасности настройщик системы сгруппировал контроллеры для вентиляторов в зоне «Управление», а затем назначил права доступа для данной зоны. Все контроллеры этой зоны унаследовали одни и те же права доступа. Как сети и устройства наследуют права доступа Система безопасности применяет наследованные права доступа по-разному, в зависимости от защиты оборудования управления, доступного локальному компьютеру через RSLinx Classic, сетевым относительным путем или логическим именем, а также в зависимости от наличия членства данного устройства в группировке ресурсов. Группировка ресурсов позволяет сети или устройству наследовать права доступа от приложения или зоны, с которыми она связана, вместо наследования из папки System (узел Networks and Devices), а затем элементы в рамках папки Networks and Devices и до самого устройства. Это значит, что группировка ресурсов позволяет сетям и устройствам наследовать права доступа так же, как и другие ресурсы, расположенные в приложении или зоне, что упрощает администрирование. За подробностями по наследованию обращайтесь к разделу «О правах доступа» в справке FactoryTalk. Если сеть или устройство является членом группировки ресурсов и еще связано с логическим именем, данное устройство наследует права доступа от логического имени, а потом от приложения или зоны, с которым связана данная группировка ресурсов. Как наследование применяется для сетевых относительных путей Сети и устройства управления, на которые ссылаются с помощью сетевых относительных путей, наследуют права доступа так же, как и другие защищаемые ресурсы. Права доступа наследуются из ресурса и затем вверх по всему пути до сетевого или локального каталога вверху окна проводника. Это значит, что устройства управления, доступные по нескольким путям, могут иметь несколько наборов прав доступа. За дополнительной информацией по наследованию и правам доступа обращайтесь к разделу «О правах доступа» в справке FactoryTalk. Как наследование применятся к логическим именам Сети и устройства управления, на которые ссылаются по логическому имени, наследуют права доступа только от самих логических имен, затем идет вверх дерева Networks and Devices, затем папка System, и в конце сами сетевой и локальный каталог. При ссылке по логическому имени, устройство управления не наследует права доступа изнутри дерева Networks and Devices. 81 FactoryTalk Security Руководство по быстрому запуску Планирование группирования ресурсов При группировании сетей или устройств сначала необходимо определиться: с какой зоной нужно связать данную группу ресурсов. Обычно выбирается зона, которая уже имеет права доступа, которые вы хотите перенести на сети и устройства. какие ресурсы будут принадлежать к данной группировке. После добавления группировки ресурсов к зоне и добавления устройств к этой группировке, для работы системы безопасности для данного ресурса делать больше ничего не надо. Устройства в рамках группировки ресурсов автоматически наследуют настройки безопасности приложения или зоны, где она расположена. Создание исключений для отдельных сетей или устройств Для отдельных сетей или устройств можно создать исключения путем указания настроек безопасности напрямую. Однако устанавливать такие прямые права доступа необходимо с помощью выбора сетей и устройств в дереве Networks and Devices, а не в дереве приложения или зоны. Одно устройство не может быть членом нескольких групп ресурсов Чтобы исключить конфликтующие права доступа, нельзя включать одну группировку ресурсов в другую группировку ресурсов, а также нельзя включать одну и ту же сеть или устройство в несколько группировок ресурсов в рамках одного каталога FactoryTalk Directory. Вместо этого, назначьте права доступа для сетей и устройств на уровне приложения и/или зоны, чтобы не пришлось назначать их по отдельности с помощью дерева Networks and Devices. Использование Resource Editor (Редактор ресурсов) 1. Чтобы открыть редактор ресурсов Resource Editor, выделите приложение или зону, щелкните правой кнопкой, затем выберите Resource Editor. Будет выдано предупреждение о том, что использование групп ресурсов с разными версиями FactoryTalk Services Platform может привести к нежелательным результатам. Если FactoryTalk Services Platform устанавливается впервые и если нет установленных версий FactoryTalk Automation Platform, нажмите Yes для продолжения. 82 8 • Группирование ресурсов Откроется редактор ресурсов. When you add resources for this area, they will appear here. 2. Для добавления ресурсов щелкните по кнопке Add Resources, а затем выберите ресурсы, которые вы хотите использовать для данного приложения или области. Если вы используете только сетевые относительные пути, не обращайте внимания на опции в верхней части диалогового окна. Если вы используете локальные имена, используйте эти опции для просмотра всех логических имен ресурсов в вашей системе, или просматривайте только те, которые вы уже назначили. Щелкните > для добавления ресурса, а < - для удаления ресурса 83 FactoryTalk Security Руководство по быстрому запуску Нажмите Add New Logical Name (Добавить новое логическое имя), чтобы создать новое логическое имя и затем добавить его к приложению или зоне. Нажмите Delete Logical Name (Удалить логическое имя), чтобы удалить имена, которые больше не используются в системе, но все еще видимы в данном окне. Такое может произойти, если вы добавили логическое имя, но затем удалили связанное с ним устройство. Если логическое имя используется, данная кнопка блокируется. 3. По завершении нажмите OK, чтобы закрыть это диалоговое окно. Добавление логического имени Логическое имя является альтернативным именем для сети или устройства управления. Логическое имя можно использовать для ввода более короткого и интуитивно понятного имени для устройства, вместо его сетевого относительного пути. Логические имена также меняют способ наследования прав доступа устройствами. Для чего используются логические имена? Устройства управления с идентичными логическими именами имеют общие права доступа в разных сетях управления и разных компьютерах, без необходимости наличия идентичных имен драйверов RSLinx Classic или без зависимости от идентичных сетевых путей. Примеры использования логических имен смотрите в «Сценариях конфигурации для сетей и устройств» и «Как связаны логические имена и сетевые относительные пути». Вы должны определить логические имена в FactoryTalk Administration Console перед настройкой безопасности для контроллеров Logix5000. За подробностями обращайтесь к разделу «Включение безопасности в RSLogix 5000» на странице 100. Для всех остальных типов оборудования управления можно связать настройки безопасности с логическими именами или сетевыми относительными путями. Возможно, придется определить логические имена как альтернативные имена для устройств управления с несколькими путями, связать каждый экземпляр устройства с одним набором прав доступа. 1. Чтобы добавить логическое имя, нажмите кнопку Add New Logical Name и введите логическое имя, которое планируется использовать. Для нашего примера используйте Oven05Temp. Имя не может содержать пробелы или символы $!:/\? 84 8 • Группирование ресурсов 2. Выберите ресурс или введите сетевой относительный путь к устройству. По завершении нажмите OK в обоих окнах, чтобы вернуться в редактор ресурсов. Безопасность может быть назначена для логического имени или относительного пути, в зависимости от типа ресурса. Например, контроллеры ControlLogix поддерживают только основанную на логических именах защиту – контроллер ControlLogix обязательно должен назначенное логическое имя. Для контроллеров RSLogix 5 и 500 логическое имя связано с относительным путем, а не физическим контроллером. Контроллеры PLC-5 и SLC 500 поддерживают как основанную на пути безопасность, так и основанную на логическом имени. Что происходит при назначении логического имени? Если логическое имя назначается для устройства управления, для определения прав доступа система безопасности автоматически использует связанные с этим именем права доступа, а не с сетевым относительным путем устройства. После назначения нового логического имени нужно также установить права доступа для устройства управления. Не забывайте назначать идентичные логические имена для устройства управления на каждом компьютере в сети, который имеет доступ к этому устройству, если различные компьютеры имеют разные относительные пути к данному устройству. Если безопасность настраивается для устройства управления, определенного сетевым относительным именем, а затем для данного устройства добавляется логическое имя, исходные права доступа не потеряются; они останутся связанными с путем, но не передадут имя. В результате, исходные права доступа не будут доступны, потому что система теперь будет пытаться получить доступ к правам доступа, используя имя, а не путь. 85 FactoryTalk Security Руководство по быстрому запуску Если после этого сменить логическое имя устройства управления, исходные права доступа останутся связанными с первым логическим именем. Чтобы связать права доступа с новым логическим именем, их необходимо переназначить. Что происходит при отмене назначения логического имени? При отмене назначения логического имени система безопасности автоматически использует права доступа, связанные с сетевым относительным путем устройства. Логическое имя и связанные с ним права безопасности продолжают существовать в системе безопасности после отмены назначения имени. Например, предположим имя «MyPLC1» назначается устройству Device1 на Компьютере A и Компьютере B, и оба компьютера имеют разные относительные пути к Device1. При попытке пользователя выполнить действие на Device1 с любого из этих компьютеров, система безопасности проверяет права доступа, связанные с «MyPLC1». Теперь предположим мы отменили назначение имени «MyPLC1» на Компьютере A, но оставили на Компьютере B. Если пользователь попытается выполнить действие на устройстве Device1 с компьютера A, система безопасности будет использовать права доступа, связанные с сетевым относительным путем устройства Device1. При попытке пользователя выполнить действие на Device1 с Компьютера A, система безопасности будет использовать права доступа, связанные с логическим именем «MyPLC1». Не отменяйте назначения логических имен для контроллеров Logix5000. Так как контроллеры Logix5000 не имеют сетевых относительных путей, отмена назначения логического имени может привести к непредсказуемым результатам. За подробностями обращайтесь к разделу «Включение безопасности в RSLogix 5000» на странице 100. Что делать далее Выполните одно из следующего: 86 По необходимости продолжите добавлять и настраивать группировки ресурсов. Перейдите к Главе 9 на странице 87, чтобы узнать о принципе использования FactoryTalk Security с программным обеспечением RSLinx. Перейдите к Главе 10 на странице 99, чтобы узнать о принципе использования FactoryTalk Security с RSLogix 5000 для защиты ресурсов. Перейдите к Главе 11 на странице 115, чтобы узнать о принципе использования FactoryTalk Security с FactoryTalk View SE. Перейдите к Главе 12 на странице 137, чтобы узнать о принципе использования FactoryTalk Security с FactoryTalk View ME. Перейдите к Главе 13 на странице 161, чтобы узнать о принципе использования FactoryTalk Security с компонентами FactoryTalk Batch. Перейдите к Главе 14 на странице 179, чтобы узнать о внедрении системы FactoryTalk на компьютерах действующей системы. ГЛАВА 9 RSLinx и FactoryTalk Security Данный раздел содержит описание настройки RSLinx® Classic на работу с FactoryTalk® Security. Перед тем, как вы начнете Убедитесь, что установлено и активировано все программное обеспечение из списка «Что необходимо», который представлен ниже. Установочный диск FactoryTalk View SE или RSLinx Classic v. 2.52 Ознакомьтесь с терминами и понятиями FactoryTalk Security. См. Главу 1, «Что такое безопасность в системе автоматизации» и Главу 2, «О системе FactoryTalk». Что требуется FactoryTalk Services Platform v. 2.10 (CPR 9) FactoryTalk Security (установленная с FactoryTalk Service Platform) Определите сетевой каталог FactoryTalk Network Directory, используемый во время установки RSLinx и RSSecurity Emulator 87 FactoryTalk Security Руководство по быстрому запуску Выполните следующие шаги: Установка RSSecurity Emulator Для правильной работы FactoryTalk Security необходимо установить RSSecurity Emulator обязательно до установки RSLinx Classic. Выполните следующие действия на каждом компьютере, где будет устанавливаться RSLinx Classic. 1. С помощью CD диска любого продукта FactoryTalk установите FactoryTalk Services Platform, если она еще не установлена. Все продукты FactoryTalk, запущенные на одном компьютере, должны использовать одну и ту же версию платформы FactoryTalk, либо FactoryTalk Services Platform Version 2.10 (CPR 9), либо FactoryTalk Automation Platform Version 2.00 (CPR 7). 2. Укажите расположение сетевого каталога FactoryTalk Directory. Если ваша система FactoryTalk распределена по сети, укажите компьютер, который содержит сервер сетевого каталога FactoryTalk Network Directory Server. Чтобы сделать это, нажмите Start (Пуск) > All Programs (Все программы) > Rockwell Software > FactoryTalk Tools > Specify FactoryTalk Directory Location, и затем укажите имя компьютера, где расположен сервер сетевого каталога. Если ваша система FactoryTalk не распределена по сети и использует только локальный каталог FactoryTalk Local Directory на данном компьютере, пропустите этот шаг. 88 9 • RSLinx и FactoryTalk Security 3. Установка RSSecurity Emulator: Из Windows меню Start (Пуск) выберите All Programs (Все программы) > Rockwell Software > FactoryTalk Tools > RSSecurity Emulator Install. В окне приветствия нажмите Next (Далее). Просмотрите и примите пользовательское лицензионное соглашение, затем нажмите Next (Далее). В окне Customer Information (Информация о покупателе) введите вашу информацию и нажмите Next (Далее). В окне Setup Type (Тип установки) выберите требуемый тип установки и нажмите Next (Далее). 4. Укажите необходимый каталог FactoryTalk Directory: В окне FactoryTalk Directory выберите каталог для использования с RSSecurity Emulator (выберите сетевой каталог Network Directory для нашего примера), затем нажмите Next (Далее). RSLinx Classic поддерживает сетевой и локальный каталог FactoryTalk Directory. Конфигурация RSSecurity Emulator определяет, какой каталог FactoryTalk Directory будет использовать RSLinx Classic. Необходимо выбрать тот каталог FactoryTalk Directory, который используется другими связанными с FactoryTalk программами, установленными на компьютере. По завершении установки нажмите Finish (Закончить). Для настройки RSSecurity Emulator делать больше ничего не надо. 89 FactoryTalk Security Руководство по быстрому запуску Настройка RSLinx Classic на работу с FactoryTalk Security При установленном RSSecurity Emulator выполните следующие действия для установки и настройки RSLinx Classic на работу с FactoryTalk Security: 1. Вставьте установочный диск FactoryTalk View SE или RSLinx Classic v. 2.52 в необходимый привод. Установочная программа должна запуститься автоматически. 2. После открытия окна установки FactoryTalk View Site Edition нажмите Install FactoryTalk View Site Edition. 3. Выберите Install RSLinx Classic. Начнется процесс установки. 4. Нажмите Next (Далее) в окне приветствия InstallShield Wizard. 5. Выберите I accept the terms in the license agreement (Я принимаю условия лицензионного соглашения) и нажмите Next (Далее). 6. Введите ваше имя пользователя, название организации и 10-значный серийный номер, затем нажмите Next (Далее). Откроется диалоговое окно RSLinx Classic Security Configuration Selection (Выбор конфигурации безопасности RSLinx Classic). Диалоговое окно Security Configuration Selection отображается, только если установочная программа обнаружит RSSecurity Emulator. 7. Установите флажок Enable Security (Включить безопасность) и нажмите Next (Далее). 8. Добавьте Electronic Data Sheet (Электронные перечни технических характеристик) к установке RSLinx Classic и нажмите Next (Далее). 9. Нажмите Install (Установить) для начала процесса установки. 10. Нажмите Finish (Завершить), чтобы закончить процесс установки. 90 9 • RSLinx и FactoryTalk Security Настройка безопасности для RSLinx Classic 1. Откройте RSLinx Classic из Start (Пуск) > Programs (Все программы) > Rockwell Software > RSLinx > RSLinx Classic. 2. Выберите Set Security User (Указать пользователя системы безопасности) из меню Security (Безопасность). 3. В диалоговом окне Set RSLinx Classic Security User (Указание пользователя системы безопасности RSLinx Classic) введите имя и пароль администратора и нажмите OK. В нашем примере мы использовали PSmith – пользователь, которого мы создали в FactoryTalk Administration Console. Поскольку доступ к функциям RSLinx Classic регулируется разрешениями, которые вы установили для пользователя в FactoryTalk Administration Console, некоторые из 13 охраняемых функций RSLinx Classic могут оказаться недоступными (например, если пользователь, которого вы ввели на шаге 8, не имеет соответствующих разрешений). Назначение прав доступа Можно ограничить доступ к функциям отдельных программных продуктов FactoryTalk, работающих в вашей системе, и предотвратить непреднамеренное внесение изменений или искажение информации. Только пользователи, имеющие необходимый уровень доступа, могут воспользоваться защищенными функциями программного продукта. Например, при установке политики продукта для RSLinx Classic можно ограничить возможность выключения службы RSLinx Classic только небольшой группой пользователей, чтобы предотвратить выключение системы автоматизации во время работы. Каждый устанавливаемый продукт FactoryTalk имеет различные защищаемые функции. Обратитесь к документации вашего продукта за подробностями. 91 FactoryTalk Security Руководство по быстрому запуску 1. В FactoryTalk Administration Console (или FactoryTalk View Studio) в окне проводника разверните System (Система) > Policies (Политика) > Product Policies (Политика продукта), затем щелкните правой кнопкой по RSLinx Classic и выберите Security (Безопасность) в открывшемся меню. 2. В диалоговом окне Security Settings (Настройки безопасности) щелкните вкладку Permissions (Права доступа), если она еще не открыта. Здесь можно добавлять пользователей и группы и устанавливать права доступа. 3. Удалите группу All Users (Все пользователи) и списка пользователей и компьютеров, затем добавьте группу Shift Leaders (Начальники смены). 92 Выберите All Users и нажмите Remove (Удалить). Нажмите Add (Добавить). Откроется диалоговое окно Select User and Computer (Выбор компьютера и группы). 9 • RSLinx и FactoryTalk Security Выберите Shift Leaders (Начальники смены) нажмите OK. Выберите группу Shift Leaders в правах доступа View по зонам, затем установите флажок Allow (Разрешить) напротив All Actions (Все действия). Это даст группе Shift Leaders доступ к действиям Common (Общие). Нажмите OK для закрытия диалогового окна Security Settings (Настройки безопасности). 4. Теперь назначьте права доступа для группы Shift Leaders для разных функций RSLinx Classic: В окне проводника разверните System (Система) > Policies (Политика) > Product Policies (Политика продукта) > RSLinx Classic, затем выберите Configure Feature Security (Настроить безопасность функций) из открывшегося меню. Во вкладке Permissions (Права доступа) в диалоговом окне Security Settings (Настройки безопасности) выберите группу Shift Leaders для того, чтобы её выделить. (Если группа Shift Leaders не отображается, нажмите кнопку Add (Добавить), выберите группу Shift Leaders, затем нажмите OK.) 93 FactoryTalk Security Руководство по быстрому запуску 94 Во вкладке Permissions для Shift Leaders из зоны All Computers (Все компьютеры) установите флажок Allow (Разрешить) напротив All Actions (Все действия). Разверните список Feature Security (Безопасность функций) нажатием символа плюс (+), как показано здесь. Пролистайте список до Shutdown (Завершение работы) и снимите флажок Allow для него. Тогда никто из группы Shift Leaders не сможет завершить работу RSLinx Classic. Нажмите OK для сохранения и закрытия диалогового окна. 9 • RSLinx и FactoryTalk Security 5. Проверьте назначенные права доступа: Откройте RSLinx Classic (щелкните по пиктограмме RSLinx в панели задач Windows или выберите Start (Пуск) > All Programs (Все программы) > Rockwell Software > RSLinx > RSLinx Classic) Выберите Set Security User (Указать пользователя системы безопасности) из меню Security (Безопасность). Убедитесь, что PSmith все еще является текущим пользователем системы безопасности. Если это не так, войдите как PSmith с паролем password, затем нажмите OK. Теперь выберите Exit (Выйти) из меню File (Файл). Должно отобразиться следующее сообщение. 6. (Опционально) Снова войдите как пользователь FactoryTalk с правами администратора и продолжите проверять различные настройки безопасности политик и функций для RSLinx Classic. 95 FactoryTalk Security Руководство по быстрому запуску Рекомендации по использованию RSLinx Classic с FactoryTalk Security Сетевой/Локальный каталог FactoryTalk Automation Platform может устанавливать два совершенно отдельных и независимых каталога FactoryTalk Directory: локальный каталог и сетевой каталог. Учетная запись пользователя, пароль и права доступа системы безопасности на использование определенных функций совершенно независимы, не могут совместно использоваться с сетевым каталогом Network Directory и локальным Local Directory. Конфигурирование этих данных для одного каталога не приводит к их конфигурированию для другого. Аналогично изменение пароля для учетной записи пользователя в одном каталоге не приводит к изменению пароля в другом каталоге, даже если учетная запись имеет одинаковые имена в обоих каталогах. При конфигурировании RSLinx Classic для работы в одном из двух каталогов помните: Установки безопасности RSLinx Classic и RSSecurity Emulator должны быть установлены в одном и том же каталоге (либо локальном, либо сетевом). Если вы настроили RSLinx Classic на работу в локальном каталоге и хотите использовать FactoryTalk Security, помните, что при работе в локальном каталоге администрировать систему безопасности можно только на одном компьютере. Если вы не выбрали опцию «Enable Security» (Разрешить функции безопасности) при установке RSLinx Classic, но хотите разрешить использование функций безопасности, необходимо деинсталлировать и затем заново установить RSLinx Classic. Каждый раз, когда вы используете RSLinx Classic, проверяйте, чтобы имя пользователя, выводимое на экран в текстовом окне Current Security User (Текущий пользователь системы безопасности) диалогового окна Set Security (Настройка безопасности) (Security > Set Security User) - правильно. Если оно неправильно, введите новое имя пользователя и пароль и нажмите OK. Что можно защитить в RSLinx Classic? В таблице, следующей ниже, представлены функции, к которым вы можете ограничить доступ в RSLinx Classic. Например, вы можете ограничить возможность выключения службы RSLinx Classic только небольшой группой пользователей, чтобы предотвратить выключение автоматизированной системы. 96 Защищаемая функция Описание Clear DDE/OPC Event Log (Очистить журнал событий DDE/OPC) Показывает информацию по всем сообщениям ошибок DDE/OPC, зарегистрированных во время работы RSLinx Classic с DDE/OPC-совместимыми программами. Configure CIP Options (Настроить опции CIP) Управляет тем, как запросы PCCC, использующие протокол CIP, посылаются по сетям. Configure Client Applications (Настроить клиентприложения) Устанавливает соответствие сконфигурированных и запущенных драйверов RSLinx Classic с функциями INTERCHANGE C API, а также выводит на экран идентификатор связи виртуальной сети, используемой RSLinx Classic для клиентских приложений (Client Applications) в модели виртуальной связи для незапланированных сообщений. 9 • RSLinx и FactoryTalk Security Защищаемая функция Описание Configure ControlLogix Gateway (Настроить ControlLogix Gateway) Предоставляет информацию о модулях в системе ControlLogix Gateway. Configure DDE/OPC Topic (Настроить темы DDE/OPC) Настраивает тему DDE/OPC. Configure Drivers and Shortcuts (Настроить драйверы и «быстрые» клавиш) Конфигурирует (добавляет, редактирует или удаляет) драйверы и «быстрые» клавиши, которые позволяют RSLinx Classic связываться с программируемым контроллером PLC и обеспечивают быстрый доступ к заданным сетям. Configure Gateway (Настроить Gateway) Позволяет включать RSLinx Classic Gateway. Configure Network Properties (Настроить параметры сети) Позволяет конфигурировать свойства сети. Edit DDE/OPC Project (Редактировать проект DDE/OPC) Позволяет редактировать проект DDE/OPC. Edit Options (Редактировать опции) Выводит на экран опции диалогового окна, которые содержат закладки General и DDE. Reset Station Diagnostic Counters (Сбрасывает диагностические счетчики станции) Сбрасывает счетчики в экранах диагностики станции. Shutdown (Завершает работу) Выключает RSLinx Classic. View NT Event Log (Показать журнал событий NT) Записывает важные системные события, такие как успешный запуск и остановка драйверов RSLinx Classic. За дополнительной информацией по защищаемым функциям обращайтесь к файлу справки RSLinx Classic. 97 FactoryTalk Security Руководство по быстрому запуску Что делать далее Выполните одно из следующего: 98 По необходимости продолжите назначать права доступа для действий RSLinx Classic. Перейдите к Главе 10 на странице 99, чтобы узнать о принципе использования FactoryTalk Security с RSLogix 5000 для обеспечения безопасности проектов и устройств (таких как, контроллеры Logix5000, PLC и SLC). Перейдите к Главе 11 на странице 115, чтобы узнать о принципе использования FactoryTalk Security с FactoryTalk View SE. Перейдите к Главе 12 на странице 137, чтобы узнать о принципе использования FactoryTalk Security с FactoryTalk View ME. Перейдите к Главе 13 на странице 161, чтобы узнать о принципе использования FactoryTalk Security с компонентами FactoryTalk Batch. Перейдите к Главе 14 на странице 179, чтобы узнать о внедрении системы FactoryTalk на компьютерах действующей системы. ГЛАВА 10 RSLogix 5000 и FactoryTalk Security Данная глава содержите описание настройки RSLogix™ 5000 на работу с FactoryTalk® Security для обеспечения безопасности контроллеров, проектов и ресурсов контроллера. Перед тем, как вы начнете Убедитесь, что установлено и активировано все программное обеспечение из списка «Что необходимо», который представлен ниже. Убедитесь, что прошивка Logix5000™ обновлена до версии 16. Что требуется FactoryTalk Services Platform RSSecurity Emulator (За указаниями обращайтесь к Главе 9, «Установка RSSecurity Emulator») Контроллер Logix5000 с прошивкой, обновленной до версии 16.0 или выше Установочный диск RSLogix 5000 v. 16 Программное обеспечение RSLinx® Classic v. 2.52, установленное и с функциями безопасности. См. «RSLinx и FactoryTalk Security» на странице 87. 99 FactoryTalk Security Руководство по быстрому запуску Выполните следующие шаги: Разрешение функций безопасности в RSLogix 5000 После установки и активации (где необходимо) FactoryTalk Services Platform и RSSecurity Emulator можно продолжить обеспечивать безопасность RSLogix 5000. Для этих целей в данном разделе описывается использование программы с названием SetSecKeys. Программа SetSecKeys обеспечивает безопасность для RSLogix 5000. Данная программа добавляется к системе во время установки RSLogix 5000. Если по каким-либо причинам требуется отключить FactoryTalk Security для RSLogix 5000, пожалуйста, свяжитесь с технической поддержкой Rockwell Automation. 100 10 • RSLogix 5000 и FactoryTalk Security 1. После установки RSLogix 5000 запустите SetSecKeys: Из \Program Files\Rockwell Software\RSLogix 5000\ENU\v16\Security, дважды щелкните SetSecKeys.exe. 2. Будет выведен запрос на указание расположения файла проекта. Выберите RS5000Keys.ini и нажмите Open (Открыть). 101 FactoryTalk Security Руководство по быстрому запуску 3. Установите флажок RSLogix 5000 и нажмите OK. Разрешение функций безопасности в файле проекта RSLogix 5000 Теперь, когда в RSLogix 5000 настроена безопасность, нужно разрешить функции безопасности в файле(-ах) проекта RSLogix 5000. 1. Откройте RSLogix 5000: Из меню Start (Пуск) выберите All Programs (Все программы) > Rockwell Software > RSLogix 5000 Enterprise Series > RSLogix 5000. Если выводится запрос на вход в FactoryTalk, введите действенные имя пользователя и пароль FactoryTalk, затем нажмите OK. В FactoryTalk Security CPR 9 система одного входа разрешена по умолчанию, поэтому пользователям не выводится запрос на вход в FactoryTalk (если только система одного входа не была отключена или не производится переключение с локального на сетевой каталог, или вы не вошли как администратор). Если производится обновление с версии CPR 7 или если стандартная конфигурация безопасности FactoryTalk была изменена, будет выводиться запрос на ввод имени/пароля. 102 10 • RSLogix 5000 и FactoryTalk Security 2. Откройте защищаемый файл проекта RSLogix 5000 (в нашем примере используется DayOfWeek, предоставленный на установочном диске RSLogix 5000). 3. Из меню Edit (Правка) выберите Controller Properties (Параметры контроллера) 103 FactoryTalk Security Руководство по быстрому запуску 4. Запишите имя, которое отображается в поле Name (Имя) – по умолчанию это имя файла ACD. Имя контроллера может совпадать с именем файла ACD, но это не обязательно. 5. Выберите вкладку Advanced (Дополнительно), выберите RSI Security Server, затем нажмите OK. 104 10 • RSLogix 5000 и FactoryTalk Security 6. В диалоговом окне предупреждения нажмите Yes для подтверждения разрешения функций безопасности для данного файла проекта. 7. Сохраните проект. Загрузка файла проекта в RSLogix 5000 1. В файле проекта выберите Who Active (Кто активен) из меню Communications (Соединения). 2. В диалоговом окне Who Active найдите ваш ресурс контроллера и нажмите Download (Загрузить). 105 FactoryTalk Security Руководство по быстрому запуску 3. Нажмите Download (Загрузить) снова. 4. По завершении загрузки закройте RSLogix 5000, сохранив изменения при запросе. Добавление контроллера в FactoryTalk Security из FactoryTalk Administration Console 1. Откройте FactoryTalk Administration Console. Из Windows меню Пуск выберите Start (Пуск) > All Programs (Все программы) > Rockwell Software > FactoryTalk Administration Console. Выберите каталог FactoryTalk Directory, с которым RSSecurity Emulator был настроен на работу. См. Главу 9, «Установка RSSecurity Emulator» на странице 88. В следующих примерах используется сетевой каталог. В FactoryTalk Security CPR 9 система одного входа разрешена, поэтому пользователям не выводится запрос на вход в FactoryTalk. Если стандартная конфигурация безопасности FactoryTalk была изменена, будет выведен запрос на вход. 106 10 • RSLogix 5000 и FactoryTalk Security Если выводится запрос на вход в FactoryTalk, введите действенные имя пользователя и пароль FactoryTalk, затем нажмите OK. 2. Найдите ресурс контроллера, в который был загружен файл проекта. Из окна проводника разверните Networks and Devices (Сети и устройства) и найдите необходимый контроллер. Щелкните правой кнопкой по контроллеру, затем выберите Properties (Параметры) из открывшегося меню. В списке Logical name (Логическое имя) выберите имя контроллера, который соответствует настройкам из диалогового окна Controller Properties (Параметры контроллера), обозначенные выше в разделе «Разрешение функций безопасности в файле проекта RSLogix 5000» (использовалось DayOfWeek). 107 FactoryTalk Security Руководство по быстрому запуску Имя контроллера можно ввести вручную, если оно не отображается в выпадающем списке, и затем нажать OK. Если не отображается имя контроллера Если это имя не отражается в дереве Networks and Devices (Сети и устройства), необходимо обновить путь к контроллеру. Для отображения контроллеров FactoryTalk Administration Console использует информацию о путях из RSLinx Classic. 1. Откройте RSLinx Classic. 2. Используя RSWho, найдите нужный контроллер. Это обновит путь. 3. Закройте RSLinx Classic. 4. В FactoryTalk Administration Console щелкните правой кнопкой по дереву Networks and Devices и нажмите Refresh (Обновить). Открытие доступа к защищенным ресурсам контроллера Теперь, когда настроена безопасность для контроллера, необходимо установить персональные права доступа для пользователей и групп для управления доступом к защищенным ресурсам контроллера. В нашем примере мы разрешим доступ для Pat Smith, начальнику смены. 1. В FactoryTalk Administration Console щелкните правой кнопкой по добавленному выше ресурсу, затем выберите Security (Безопасность) из открывшегося меню. 108 10 • RSLogix 5000 и FactoryTalk Security 2. В диалоговом окне Security Settings (Настройки безопасности) щелкните вкладку Permissions (Права доступа), если она еще не открыта. 3. В списке пользователей и компьютеров нажмите Add (Добавить). Откроется диалоговое окно Select User and Computer (Выбор компьютера и группы). 4. Установите флажок Show users only (Показывать только пользователей), выберите из списка PSmith и нажмите OK. 109 FactoryTalk Security Руководство по быстрому запуску Там где возможно, удалите разрешающие права доступа (Allow) вместо назначения многих запрещающих прав доступа (Deny). Это упростит процесс администрирования, благодаря порядку старшинства прямых прав доступа над наследованными правами доступа, а запрещающих прав доступа (Deny) над разрешающими (Allow). 5. В списке прав доступа установите флажки напротив действий, которые вы хотите запретить или разрешить. Так всегда разумно сначала запретить права доступа, установите флажок Deny напротив All Actions (Все действия). 110 Щелкните по символу (+) рядом с Common (Общие), чтобы отобразить общие действия. Установите флажок разрешения Allow для List Children (Перечисление дочерних записей) и Read (Чтение). Оставьте Configure Security, установленным на запрет Deny. PSmith сможет просматривать ресурс контроллера, 10 • RSLogix 5000 и FactoryTalk Security использовать проводник, читать и записывать в файлы проекта, но не сможет изменять настройки безопасности для данного устройства. Щелкните по символу (+) рядом с RSLogix 5000, чтобы отобразить доступные действия. Установите флажок разрешения Allow для Controller: Clear Fault (Контроллер: сбросить сбой), Controller: Lock/ Unlock (Контроллер: заблокировать/ разблокировать), Firmware: Update (Прошивка: обновить) и Print: Report (Печать: отчет). Также установите разрешение Allow для Project Open (Открыть проект) и Project Go On-line (Запуск проекта). Эти два необходимы. Это позволит PSmith выполнять действия, которые обычно требуются от начальника смены, такие как сброс сбоев на уровне контроллера, тогда как все остальные действия недоступны. 111 FactoryTalk Security Руководство по быстрому запуску Нажмите OK для сохранения и закрытия диалогового окна. 6. Проверьте новые настройки безопасности: Разверните Tasks (Задачи) > Main Task (Главная задача) > Main Program (Главная программа), затем дважды щелкните Program Tags (Теги программы). Обратите внимания, что текущий пользователь FactoryTalk (он должен быть пользователем с правами администратора) имеет возможность редактировать значения тегов. 7. Теперь войдите в FactoryTalk как PSmith: 112 Из меню Tools (Инструменты) выберите Security (Безопасность) > Log On (Войти). В диалоговом окне Log On to FactoryTalk (Вход в FactoryTalk) введите имя пользователя PSmith и пароль password, затем нажмите OK. 10 • RSLogix 5000 и FactoryTalk Security Теперь посмотрите на Program Tags (Теги программы). Обратите внимание, что PSmith не имеет возможности редактировать значения тегов. PSmith позволено просматривать теги и программы, но не изменять их. 8. Снова войдите как пользователь с правами администратора, если необходимо внести дополнительные изменения в систему безопасности. Защита контроллеров PLC и OPC контроллеров сторонних фирм Программы RSLogix 5 и RSLogix 500 программируют контроллеры PLC и OPC контроллеры сторонних фирм. Чтобы настроить безопасность FactoryTalk для этих контроллеров, работать необходимо в RSLogix 5 или RSLogix 500 (в зависимости от типа программируемых контроллеров) и FactoryTalk. За подробностями обращайтесь к пользовательской документации или интерактивной справочной системе для RSLogix 5 или RSLogix 500. Программируемые контроллеры могут иметь логические имена или сетевые относительные пути. Можно использовать как логические имена, так и сетевые относительные пути, или совместно. 113 FactoryTalk Security Руководство по быстрому запуску Что делать далее Выполните одно из следующего: По необходимости продолжите назначать права доступа для RSLogix 5000. Перейдите к Главе 9 на странице 87, чтобы узнать о принципе использования FactoryTalk Security с программным обеспечением RSLinx. Перейдите к Главе 11 на странице 115, чтобы узнать о принципе использования FactoryTalk Security с FactoryTalk View SE. Перейдите к Главе 12 на странице 137, чтобы узнать о принципе использования FactoryTalk Security с FactoryTalk View ME. Перейдите к Главе 13 на странице 161, чтобы узнать о принципе использования FactoryTalk Security с компонентами FactoryTalk Batch. Перейдите к Главе 14 на странице 179, чтобы узнать о внедрении системы FactoryTalk на компьютерах действующей системы. Перейдите к Приложению D на странице 207 для получения информации по использованию утилиты RSLogix 5000 Source Protection для защиты операций RSLogix 5000. Обратитесь к руководству пользователя Logix CPU Security Tool v3.0, расположенному на диске RSLogix 5000 в каталоге /Tools. Сам инструмент также доступен на диске RSLogix 5000 в каталоге / Tools и на сайте поддержки в разделе загрузки по адресу www.software.rockwell.com/support/download/. Используйте следующие критерии поиска: Категория: Downloads (Загрузки) Подкатегория: Utilities (Утилиты) Продукт: RSLogix 114 ГЛАВА 11 FactoryTalk View SE и FactoryTalk Security FactoryTalk Security обеспечивает безопасность для самого каталога FactoryTalk Directory, приложения, зон (и их содержания) в рамках приложения и включенных в систему пользователей, компьютеров и устройств. Для распределенных (сетевых) приложений сюда включается информация по компьютерам, к которым пользователи могут иметь доступ. В FactoryTalk View Studio можно задать уровни доступа, которые пользователи или группы пользователей будут иметь к каждому ресурсу при разработке или выполнении приложений. Это делается путем разрешения или запрета на выполнение определенных действий с ресурсом. FactoryTalk View управляет системой безопасности в режиме выполнения для компонентов проекта HMI, включая команды и макросы FactoryTalk View, графические дисплеи, объекты OLE и теги HMI. Перед тем, как вы начнете Убедитесь, что установлено и активировано все программное обеспечение из списка «Что необходимо», который представлен ниже. Есть установочный диск FactoryTalk View Site Edition, v. 5.0 (CPR 9) Ознакомьтесь с терминами и понятиями FactoryTalk Security. См. Главу 1, «Что такое безопасность в системе автоматизации» и Главу 2, «О системе FactoryTalk». Что требуется На компьютере, выполняющем функцию сервера FactoryTalk View SE (Компьютер 1 в нашем примере): FactoryTalk Services Platform v. 2.10 (CPR 9) Сервер активации FactoryTalk Activation Server Серверные компоненты FactoryTalk View SE Server (включая приложения-примеры) Microsoft® Internet Information Server Утилиты RSI Utilities RSLinx Enterprise или RSLinx Classic 115 FactoryTalk Security Руководство по быстрому запуску На компьютере, выполняющем функцию клиента FactoryTalk View SE (Компьютер 2 в нашем примере): FactoryTalk Services Platform v. 2.10 (CPR 9) Microsoft® Internet Information Server Клиент активации FactoryTalk Activation Client Клиентские компоненты FactoryTalk View SE, включая FactoryTalk View Studio, View Editors и приложения-примеры Утилиты RSI Utilities Выполните следующие шаги: 116 11 • FactoryTalk View SE и FactoryTalk Security Создание учетных записей FactoryTalk Security Перед тем, как вы сможете добавить пользователей и группы пользователей к учетным записям FactoryTalk View SE User Accounts необходимо создать для них учетные записи в службах FactoryTalk Security. Рекомендуется создать групповые учетные записи FactoryTalk Security и сначала настроить права доступа к ресурсам для них, потом можно создать учетные записи пользователей и включить их в необходимую группу. Все пользователи в определенной группе наследуют права доступа этой группы. Это облегчает назначение правами доступа и управление ими для нескольких пользователей со схожими требованиями по безопасности. Если вносятся какие-либо изменения в права доступа пользователя, все члены наследуют эти изменения. За подробной информацией по созданию пользователей и групп пользователей в FactoryTalk Security обращайтесь к справке FactoryTalk Security. На Компьютере 1 (где установлена FactoryTalk Administration Console): 1. Создайте групповую учетную запись в FactoryTalk Security: Откройте FactoryTalk Administration Console (Start (Пуск) > Programs (Все программы) > Rockwell Software > FactoryTalk Administration Console). Если выводится запрос на вход в FactoryTalk, введите действенные имя пользователя и пароль FactoryTalk, затем нажмите OK. В FactoryTalk Security CPR 9 система одного входа разрешена, поэтому пользователям не выводится запрос на вход в FactoryTalk. Если производится обновление с версии CPR 7 или если стандартная конфигурация безопасности FactoryTalk была изменена, будет выводиться запрос на ввод имени/пароля. В окне проводника откройте подпапку Users and Groups (Пользователи и группы) в папке System. Щелкните правой кнопкой по папке Users Groups (Группы пользователей), выберите New (Новый), затем выберите User Group из открывшегося меню. 117 FactoryTalk Security Руководство по быстрому запуску 2. Заполните поля Name (Название) и Description (Описание), для нашего примера используйте информацию приведенную ниже. Если у вас уже есть группа пользователей Windows, можно добавить для нее учетную запись безопасности, выбрав Windows-linked User Group (Связанная с Windows группа пользователей) из открывшегося меню. 3. Нажмите Create (Создать) для создания учетной записи безопасности для группы пользователей и закройте диалоговое окно. При разворачивании папки User Groups отобразится только что добавленная группа. 4. Создайте новую учетную запись пользователя в FactoryTalk Security: В окне проводника откройте подпапку Users and Groups (Пользователи и группы) в папке System. Щелкните правой кнопкой по папке Users (Пользователи), выберите New (Новый), затем выберите User из открывшегося меню. Существующих пользователей Windows можно добавить, выбрав Windows-linked User (Связанный с Windows пользователь) из открывшегося меню. 118 Во вкладке General (Общие) диалогового окна New User (Новый пользователь) задайте имя пользователя и пароль, а также другую информацию, по необходимости. 11 • FactoryTalk View SE и FactoryTalk Security Для получения подробностей по опциям в данном диалоговом окне нажмите кнопку Help (Справка). Выбираемые здесь свойства пароля находятся под управлением политики, выбранной в Security Policies (Политика безопасности). Для нашего примера введите следующее: User name (Имя пользователя): BJones Full name (Полное имя): Bob Jones Description (Описание): View operator Password (Пароль): password Для данного примера снимите флажок User must change password at next logon (Пользователь должен сменить пароль при следующем входе) и установите флажок Password never expires (Неограниченный срок действия пароля). Нажмите Create (Создать), чтобы добавить учетную запись безопасности для этого пользователя. Новый пользователь появится в папке Users (Пользователи). 5. Добавьте учетные записи пользователей в группу пользователей в FactoryTalk Security: В окне проводника откройте подпапку Users and Groups (Пользователи и группы) в папке System. Дважды щелкните по папке User Groups (Группы пользователей), щелкните правой кнопкой по созданной на шаге 2 группе (в нашем примере используется View operators), затем выберите Properties (Параметры) из открывшегося меню. Во вкладке General (Общие) диалогового окна [GroupName] Properties ([НазваниеГруппы] параметры) нажмите кнопку Add (Добавить). 119 FactoryTalk Security Руководство по быстрому запуску В диалоговом окне Select User or Group (Выбор пользователя или группы) выберите опцию Show users only (Показать только пользователей), чтобы отобразить список доступных пользователей. Выберите пользователя, которого необходимо добавить к группе (в нашем примере BJones) и нажмите OK. Для получения подробностей по опциям в данном диалоговом окне нажмите кнопку Help (Справка). Нажмите OK для закрытия диалогового окна [GroupName] Properties ([НазваниеГруппы] параметры). 6. Задайте действия, которые пользователи смогут выполнять с ресурсами: Для ограничения доступа к ресурсу системы укажите, какие пользователи или группы пользователей будут иметь право доступа на выполнение действий с этим ресурсом. 120 В окне проводника откройте подпапку Users and Groups (Пользователи и группы) в папке System. Щелкните правой кнопкой по папке Users Groups (Группы пользователей), выберите Security (Безопасность) из открывшегося меню. В разделе ‘View permissions by’ (Показать права доступа по) диалогового окна Security Settings for User Groups (Настройки безопасности для групп пользователей) нажмите кнопку Add (Добавить). Для нашего примера выберите View operators (Операторы View) и нажмите OK. Группа View operators добавится к списку. 11 • FactoryTalk View SE и FactoryTalk Security Разверните список общих действий Common нажатием символа «плюс» (+) в левом столбце. Как показано выше на иллюстрации диалогового окна Security Settings (Настройки безопасности), установите флажки напротив List Children (Перечисление дочерних записей) and Read (Чтение). Это даст группе View operators права доступа на выполнение общих действий Common Read и List Children с сетевым каталогом FactoryTalk Network Directory. Это значит, что члены группы могут запускать клиент FactoryTalk View SE. Нажмите OK для сохранения изменений и закрытия диалогового окна. 121 FactoryTalk Security Руководство по быстрому запуску Пользователи FactoryTalk View SE должны иметь права доступа Read и List Children на уровне приложения. Проще всего это сделать у основания дерева каталога FactoryTalk Directory. Установка политики системы и продукта В данном руководстве по быстрому запуску используются стандартные настройки FactoryTalk Security для политик системы и продукта FactoryTalk View SE, поэтому процедуры по смене этих стандартных настроек обсуждаться здесь не будут. Следующие разделы представлены в виде обзора. За дополнительной информацией обращайтесь к справке FactoryTalk Security в главе 5 руководства пользователя FactoryTalk View Site Edition User’s Guide, Volume 1 (том 1). В FactoryTalk Administration Console и в FactoryTalk View Studio можно установить политику системы и продукта, которые определяют общие характеристики системы. Данные характеристики хранятся в каталоге FactoryTalk Directory и, как и остальные настройки папки System, применяются ко всем продуктам FactoryTalk, которые управляются одним локальным или сетевым каталогом. Следующий рисунок показывает, где в окне проводника можно найти папку Policies (Политика). В папке Policies (Политика) установите политики продукта и системы для приложения. 122 11 • FactoryTalk View SE и FactoryTalk Security Политика продукта Политика продукта представляет собой набор возможностей по безопасности для каждого продукта в системе FactoryTalk. На следующем рисунке показан список политик продукта FactoryTalk View SE. Для FactoryTalk View SE можно установить политику продукта на настройку и использование безопасных web-сайтов в Internet Information Services. Только пользователи, имеющие необходимый уровень доступа, могут воспользоваться защищенными функциями программного продукта. За подробностями по настройке политики продукта обращайтесь к справке FactoryTalk Security. За дополнительной информацией по настройке и использованию безопасных web-сайтов в Internet Information Services, нажмите Help (Справка) в инструменте установки безопасных web-сайтов FactoryTalk View SE Secure Web Site Setup. Политика системы В приложении FactoryTalk View SE можно установить следующие типы политики системы. User rights assignment (Назначение прав доступа) - настройки, определяющие пользователей, которые могут резервировать или восстанавливать содержание каталога FactoryTalk Directory или вручную переключать серверы Active (Активный) и Standby (В ожидании) в избыточных парах серверов. Health monitoring policy (Политика мониторинга состояния) – настройки, определяющие параметры доступности системы. Здесь определяется, как долго система проверяет сетевые соединения с удаленными компьютерами 123 FactoryTalk Security Руководство по быстрому запуску и как долго может продолжаться сетевой сбой перед обнаружением сбоя соединения с системой. Смена политики мониторинга состояния может привести к непредсказуемым результатам. Для большинства сетей стандартная настройка политики дает лучшие результаты. Live Data policy (Политика данных в режиме реального времени) – настройки, которые определяют, какой протокол соединения будет использоваться в распределенной по сети системы FactoryTalk. Смена политики данных в режиме реального времени может привести к непредсказуемым результатам. Не изменяйте эти настройки при работающем производстве. Для применения всех изменений все компьютеры в сети необходимо перезапустить. Audit policy (Политика аудита) определяет, какая информация по безопасности будет регистрироваться при использовании системы. То есть, будет ли FactoryTalk Diagnostics регистрировать сообщение проверки при попытке пользователя выполнить действие и разрешение или запрет доступа. Security policy (Политика безопасности) определяет общие параметры учетных записей системы безопасности и паролей. То есть, разрешена ли система одного входа и сколько неудачных попыток входа допустимо перед блокировкой учетной записи. За подробностями по настройке политики системы обращайтесь к справке FactoryTalk Security. Добавление учетных записей FactoryTalk в FactoryTalk View После создания учетных записей пользователей и групп в FactoryTalk Security можно добавить их к учетным записям системы безопасности в редакторе Runtime Security в FactoryTalk View SE. При добавлении учетной записи также назначаются коды безопасности, которые дадут этим пользователям и группам доступ к защищенным компонентам HMI. (Защищенными компонентами HMI называются те, которым были назначены коды безопасности.) Такие коды (с A по P) вместе с теми, которые были назначены компонентам проекта HMI, определяют, к каким компонентам пользователь будет иметь доступ в режиме выполнения. Чтобы ограничить доступ к команде, макросу, графическому дисплею, операция над объектом OLE или тег HMI, можно задать код безопасности с A по P, а затем назначить этот код только тем пользователям, которым требуется доступ к данному компоненту. За дополнительной информацией по использованию этих возможностей в FactoryTalk View и за примерами назначения прав доступа FactoryTalk Security для пользователей и групп FactoryTalk View обращайтесь к Главе 5 в руководстве пользователя FactoryTalk View Site Edition User’s Guide, Volume 1 (том 1). 124 11 • FactoryTalk View SE и FactoryTalk Security На Компьютере 2 (где установлена FactoryTalk View Studio): 1. Откройте FactoryTalk View Studio: Выберите Site Edition (Network) и нажмите Continue (Продолжить). Если выводится запрос на вход в FactoryTalk, введите имя пользователя и пароль администратора FactoryTalk, затем нажмите OK. В FactoryTalk Security CPR 9 система одного входа разрешена, поэтому пользователям не выводится запрос на вход в FactoryTalk. Если производится обновление с версии CPR 7 или если стандартная конфигурация безопасности FactoryTalk была изменена, будет выводиться запрос на ввод имени/пароля. В диалоговом окне New/Open Site Edition (Network) Application щелкните по вкладке Existing (Существующие) и затем выберите Samples Water (Примеры, вода) из списка приложений. 125 FactoryTalk Security Руководство по быстрому запуску Выберите English (United States), en-US как язык по умолчанию (если уже не выбрано), затем нажмите Open (Открыть). 2. Откройте редактор Runtime Security (Безопасность в режиме выполнения): 126 В FactoryTalk View Studio выберите Runtime Security из меню Settings (Настройки). 11 • FactoryTalk View SE и FactoryTalk Security В редакторе Runtime Security щелкните по кнопке Security Accounts (Учетные записи системы безопасности), чтобы открыть диалоговое окно Security Settings (Настройки безопасности). Если есть необходимость усилить безопасность до предела, выберите All Users (Все пользователи) и нажмите кнопку Remove (Удалить). Затем добавьте только тех пользователей и те группы, которым требуется доступ. 3. Добавьте пользователей FactoryTalk в ваши приложения View: В диалоговом окне Security Settings for [Application Name] (Настройки безопасности для [Название приложения]), в нашем примере Norms Bakery, нажмите кнопку Add (Добавить), чтобы открыть диалоговое окно Security (Безопасность). В диалоговом окне Select User and Computer (Выбор пользователя и компьютера) щелкните по имени или группе, которые требуется добавить к списку учетных записей Runtime Security, затем нажмите OK. Для нашего примера выберите View operators. 127 FactoryTalk Security Руководство по быстрому запуску Для сетевого приложения можно нажать Show all (Показать все) в рамке Filter Computers (Фильтр компьютеров), если вы собираетесь назначить определенный компьютер (или группу компьютеров) для пользователя. По умолчанию выбирается опция All Computers (Все компьютеры) в списке компьютеров. Если система безопасности настраивается для сетевого приложения, необходимо обязательно выбрать учетную запись компьютера с учетной записью пользователя перед нажатием OK. Если в списке доступен только один компьютер, он выбирается по умолчанию. Во вкладке Permissions (Права доступа) диалогового окна Security Settings (Настройки безопасности) убедитесь, что добавленный пользователь или группа выбраны в разделе ‘View permissions by’ (Показать права доступа по). Разверните коды безопасности FactoryTalk View Security Codes нажатием символа «плюс» (+) в левом столбце. Для нашего примера снимите флажок напротив FactoryTalk View Security Codes, затем выберите A, B и C, устанавливая флажок Allow напротив каждого кода. Любой пользователь в группе View operators на Компьютере 2 теперь будет иметь доступ в режиме выполнения к тем командам, которые имеют назначенные коды A, B или C. 128 Нажмите OK. 11 • FactoryTalk View SE и FactoryTalk Security В диалоговом окне Runtime Security можно также задать макросы входа и выхода для добавленных пользователей или группы, если это необходимо. Не забудьте добавить группу Administrators (Администраторы) (или пользователя с правами администратора) в редактор Runtime Security, чтобы можно было вносить изменения и выходить из ViewStudio. Разрешите этой группе или пользователю доступ ко всем кодам безопасности (установите флажок Allow для FactoryTalk View Security Codes). Нажмите кнопку Close для закрытия диалогового окна Runtime Security. Нажмите Yes для сохранения приложения. 4. Настройте систему безопасности FactoryTalk View для объекта: В окне проводника разверните Graphics (Графика) > Displays (Дисплеи) и дважды щелкните по Aeration (Вентилирование), чтобы открыть его. Из меню Edit (Правка) выберите Display Settings (Показать настройки). Откроется диалоговое окно Display Settings. 129 FactoryTalk Security Руководство по быстрому запуску Из выпадающего списка Security Code (Код безопасности) выберите E (или код, который вы не назначили для одного из пользователей или групп FactoryTalk), затем нажмите OK, чтобы сохранить изменение и закрыть диалоговое окно. Сохраните приложение, нажав Save (Сохранить) в меню Edit (Правка). 5. Создайте пример приложения: 130 Войдите как пользователь с правами администратора. Нажмите кнопку Launch SE Client (Запустить клиент SE), которая показана слева, и нажмите дважды New (Новый). В диалоговом окне Configuration Name (Имя конфигурации) введите Security Demo как название нового файла конфигурации. Нажмите Next (Далее). Выберите Network (Сетевое) как тип приложения и нажмите Next (Далее). 11 • FactoryTalk View SE и FactoryTalk Security В диалоговом окне Application Name (Название приложения) выберите Samples Water (Примеры, вода) из списка приложений. Выберите English (United States), en-US как язык по умолчанию, затем нажмите Next (Далее). В диалоговом окне Client Components (Компоненты клиента) выберите Waste Water (Сточные воды) из списка зон. Выберите Overview (Общий вид) начального дисплея и нажмите Next (Далее). Установите флажок Show title bar (Показывать строку заголовка) и нажмите Next (Далее). 131 FactoryTalk Security Руководство по быстрому запуску Нажмите снова Next (Далее), затем Finish (Завершить). Демонстрационное приложение Security Demo загрузится и откроется окно Overview (Общий вид): Нажмите кнопку Aeration (Вентиляция). Если вы вошли в систему как администратор, откроется окно Aeration (Вентиляция). Нажмите кнопку Overview (Общий вид), затем щелкните по кнопке Close SE Client (Закрыть клиент SE). Нажмите Yes для подтверждения команды выхода. 6. Теперь выйдите из системы как администратор и войдите как Bob Jones, и затем запустите демонстрационное приложение Security Demo. 132 В FactoryTalk View Studio выберите Log Off (Выйти) в меню File (Файл). Нажмите Yes для закрытия приложения. 11 • FactoryTalk View SE и FactoryTalk Security Чтобы войти как Bob Jones, выберите Log On (Войти) в меню File (Файл). Введите BJones как имя пользователя, введите пароль password, и затем нажмите OK. В диалоговом окне New/Open Site Edition (Network) Application выберите приложение Samples Water (Примеры, вода), выберите English (Английский) как язык по умолчанию и нажмите OK. Нажмите кнопку Launch SE Client (Запустить SE клиент), которая показана слева. Если выводится запрос на вход, войдите как BJones с паролем password. 133 FactoryTalk Security Руководство по быстрому запуску В диалоговом окне Launch FactoryTalk View SE Client, выберите Security Demo.cli и нажмите OK. Приложение откроет общий вид Overview. Нажмите кнопку Aeration (Вентиляция) и посмотрите, что произойдет. Так как вход осуществлен под именем Bob Jones, у которого только права доступа ‘E’, ничего не произойдет, так как окно Aeration (Вентиляция) требует наличия прав A, B или C. Обратите внимание на сообщение об ошибке в строке состояния. “Currently logged in user does not have security access to Aeration” (Текущий пользователь не имеет доступа к Aeration). 134 Нажмите кнопку Overview (Общий вид), затем щелкните по кнопке Close SE Client (Закрыть клиент SE), чтобы закрыть приложение. Нажмите Yes для подтверждения команды выхода. 11 • FactoryTalk View SE и FactoryTalk Security Что делать далее Теперь, когда вы настроили систему безопасности для FactoryTalk View, сделайте одно из следующего: По необходимости войдите как администратор и продолжите назначать права доступа для команд, графических дисплеев и тегов HMI. Перейдите к Главе 9 на странице 87, чтобы узнать о принципе использования FactoryTalk Security с программным обеспечением RSLinx. Перейдите к Главе 10 на странице 99, чтобы узнать о принципе использования FactoryTalk Security с RSLogix 5000 для защиты ресурсов. Перейдите к Главе 12 на странице 137, чтобы узнать о принципе использования FactoryTalk Security с FactoryTalk View ME. Перейдите к Главе 13 на странице 161, чтобы узнать о принципе использования FactoryTalk Security с компонентами FactoryTalk Batch. Перейдите к Главе 14 на странице 179, чтобы узнать о внедрении системы FactoryTalk на компьютерах действующей системы. Обращайтесь к пользовательской документации FactoryTalk View за дополнительными способами защиты проектов, тегов и графики HMI, используя проверку электронной подписи и блокирование пользователей в среде FactoryTalk View SE Client. 135 FactoryTalk Security Руководство по быстрому запуску 136 ГЛАВА 12 FactoryTalk View ME и FactoryTalk Security FactoryTalk Security является частью FactoryTalk Directory, которая устанавливается вместе с FactoryTalk Services Platform. Это значит, что безопасность применяется не только к приложению FactoryTalk View Machine Edition, но и ко всем другим связанным с FactoryTalk программам, запущенным на том же компьютере. Вместо работы с доступом к частям системы, FactoryTalk Security обеспечивает, во-первых аутентификацию пользователей, а затем уже их авторизацию на выполнение определенных действий в масштабах системы. В FactoryTalk View ME версии CPR 9 пользователи привязываются не к приложениям, а к каталогу FactoryTalk Directory. Если вы внедряете приложение FactoryTalk View SE, не забудьте зарезервировать и восстановить как приложение, так и каталог, или придется заново создавать пользователей на машине в режиме выполнения. FactoryTalk Security позволяет ссылаться на учетные записи, уже созданные в Windows. Они называются связанными с Windows учетными записями. Символ связи в окне проводника показывает, что пользователь является связанным с Windows. Во время установки FactoryTalk View ME установка FactoryTalk Services Platform выдает группам Windows Administrators (Администраторы Windows) и Authenticated User (Аутенфицированные пользователи) полные права доступа к продуктам, подключенным к системе безопасности FactoryTalk. В локальном каталоге FactoryTalk Local Directory связанная с Windows группа администраторов и связанная с Windows группа с названием Authenticated Users добавляется к каталогу. Это позволяет любому, кто может войти в систему, иметь полные права доступа к локальному каталогу. По умолчанию пользователь Windows будет использован для входа при открытии FactoryTalk View Studio, поэтому для FactoryTalk View Studio не понадобится, чтобы пользователь входил в FactoryTalk. При запущенной FactoryTalk View ME Station все равно можно создавать приложения, включающие функции безопасности в режиме выполнения. Windows CE поддерживает родных пользователей и группы FactoryTalk. Однако Authenticated Users (Аутенфицированные пользователи) не поддерживаются на платформах Windows CE. На терминалах Windows CE связанные с Windows пользователи должны быть добавлены в каталог FactoryTalk Directory, чтобы они могли войти в систему. Перед тем, как вы начнете Убедитесь, что установлено и активировано все программное обеспечение из списка «Что необходимо», который представлен ниже. Есть установочный диск FactoryTalk View Machine Edition, v. 5.0 (CPR 9) Ознакомьтесь с терминами и понятиями FactoryTalk Security. См. Главу 1, «Что такое безопасность в системе автоматизации» и Главу 2, «О системе FactoryTalk». 137 FactoryTalk Security Руководство по быстрому запуску Что требуется FactoryTalk Services Platform v. 2.10 (CPR 9) Сервер активации FactoryTalk Activation Server Компоненты FactoryTalk View ME (включая приложения-примеры) Утилиты RSI Utilities RSLinx Enterprise или RSLinx Classic Выполните следующие шаги: 138 12 • FactoryTalk View ME и FactoryTalk Security Создание учетных записей FactoryTalk Security Перед тем, как вы сможете добавить пользователей и группы пользователей к приложению FactoryTalk View ME, учетные записи пользователей или групп необходимо добавить или создать в FactoryTalk Security. Рекомендуется создать родные группы пользователей FactoryTalk Security и настроить для них права доступа. Затем можно добавить к родным группам FactoryTalk родных пользователей FactoryTalk или связанных с Windows пользователей или групп. Например, можно добавить группу пользователей с названием Maintenance (Обслуживание) и Engineers (Инженеры), затем добавить необходимых пользователей или группы пользователей к этим группам. Это называется основанная на ролях система безопасности. Все пользователи в определенной группе наследуют права доступа этой группы. Это облегчает назначение правами доступа и управление ими для нескольких пользователей со схожими требованиями по безопасности. Если вносятся какие-либо изменения в права доступа пользователя, все члены наследуют эти изменения. За подробной информацией по созданию пользователей и групп пользователей в FactoryTalk Security обращайтесь к справке FactoryTalk Security. Перед созданием нового приложения необходимо выполнить резервирование системной папки System локального каталога Local FactoryTalk Directory в файл Default.bak Вы будете использовать этот стандартный резервный файл FactoryTalk Directory каждый раз при создании нового приложения. Это обеспечит возможность восстанавливать исходную конфигурацию FactoryTalk Directory перед запуском нового проекта. Добавление учетных записей пользователей и групп FactoryTalk 1. Запустите FactoryTalk View Studio и откройте приложение FactoryTalk View ME: Из Windows меню Start (Пуск) выберите Rockwell Software > FactoryTalk View > FactoryTalk View Studio. Выберите Machine Edition и нажмите Continue (Продолжить). Во вкладке Existing (Существующие) выберите приложение Object_800x600, убедитесь что Language (Язык) установлен на English (Английский), затем нажмите Open (Открыть). 139 FactoryTalk Security Руководство по быстрому запуску 2. Добавьте несколько пользователей: В папке System FactoryTalk Directory (обозначена цифрой 2 ниже) разверните папку Users and Groups (Пользователи и группы), щелкните правой кнопкой по Users, затем нажмите New User (Новый пользователь). За дополнительной информацией по различным папкам System обращайтесь к разделу «О нескольких папках System в FactoryTalk View» на странице 144. Откроется диалоговое окно New User (Новый пользователь). Укажите имя пользователя, пароль и опции пароля, как показано ниже: User (Пользователь): Eric Password (Пароль): password Password never expires (Пароль с неограниченным сроком) 140 12 • FactoryTalk View ME и FactoryTalk Security Нажмите Create (Создать). Пользователь будет добавлен к папке Users (Пользователи) как родной пользователь FactoryTalk. Создайте еще два пользователя, как показано ниже: User (Пользователь): Evan User (Пользователь): Ethel Password (Пароль): password Password (Пароль): password Password never expires (Пароль с неограниченным сроком) Password never expires (Пароль с неограниченным сроком) 3. Создайте новую группу пользователей: Нажмите правой кнопкой на User Groups и выберите New (Новая) > Group (Группа). Откроется диалоговое окно New User Group (Новая группа пользователей). Введите Engineers (Инженеры) в текстовое поле имени, а Application Development (Разработка приложений) в поле описания, затем нажмите Create (Создать). Новая группа пользователей Engineers появится в папке Users Groups (Группа пользователей). 141 FactoryTalk Security Руководство по быстрому запуску 4. Добавьте пользователей к группе Engineers (Инженеры): 142 Щелкните правой кнопкой группу Engineers и нажмите Properties (Параметры). Откроется диалоговое окно Engineers Properties (Параметры группы Инженеры). (За подробной информацией по использованию данного диалогового окна обращайтесь к справке FactoryTalk.) Нажмите кнопку Add (Добавить). Откроется диалоговое окно Select User or Group (Выбор пользователя или группы). 12 • FactoryTalk View ME и FactoryTalk Security Нажмите Show users only (Показывать только пользователей) в зоне Filter Users (Фильтр пользователей) в нижней части диалогового окна. Отобразятся все добавленные пользователи FactoryTalk, включая связанные с Windows. Выберите всех добавленных пользователей с помощью мыши, как показано выше. Нажмите OK, чтобы добавить пользователей в группу Engineers (Инженеры). Все три пользователя отобразятся в диалоговом окне Engineers Properties (Параметры группы Инженеры): Нажмите OK для сохранения изменений и закрытия диалогового окна. 5. Задайте действия, которые пользователи смогут выполнять с ресурсами: Пользователи, обозначенные в приложении FactoryTalk View, должны как минимум иметь права доступа Common Actions Read (Общие действия чтение) и List Children (Перечисление дочерних записей) для запуска проекта FactoryTalk View. В окне проводника щелкните правой кнопкой на основании дерева FactoryTalk - Local (This Computer) – и выберите Security (Безопасность) из открывшегося меню. 143 FactoryTalk Security Руководство по быстрому запуску В разделе ‘View permissions by’ (Показать права доступа по) диалогового окна Security Settings for Local (Настройки безопасности для локального каталога) нажмите кнопку Add (Добавить). Откроется диалоговое окно Select User or Group (Выбор пользователя или группы). В диалоговом окне Select User or Group (Выбор пользователя или группы) выберите Engineers (Инженеры), затем нажмите OK. Группа Engineers будет добавлена к списку в диалоговом окне Security Settings for Local (Настройки безопасности для локального каталога). Разверните список общих действий Common Actions нажатием символа «плюс» (+) в левом столбце. Как показано выше на иллюстрации диалогового окна Security Settings (Настройки безопасности), установите флажки напротив List Children (Перечисление дочерних записей) и Read (Чтение). Это даст группе Engineers права доступа на выполнение общих действий Common Read и List Children с локальным каталогом FactoryTalk Local Directory. Это значит, что члены группы могут запускать проект FactoryTalk View ME. Нажмите OK для сохранения изменений и закрытия диалогового окна. О нескольких папках System в FactoryTalk View Вы можете заметить несколько папок System в окне проводника. Каждый проект HMI имеет свою папку System, а настройки данной папки применяются только к этому проекту. Также своя системная папка есть у каталога FactoryTalk Directory. Настройки, содержащиеся в папке System, которая остается видимой, применяются ко всем приложениям в сетевом или локальном каталоге. 144 12 • FactoryTalk View ME и FactoryTalk Security Как определить, где какая папка System находится? Если используется FactoryTalk View Studio и неизвестно, какая папка System применяется к проекту HMI, а какая ко всем приложениям в каталоге FactoryTalk Directory, закройте папки этой зоны в дереве проводника. Папка System, которая применяется для всех приложений в FactoryTalk Directory останется видимой в дереве проводника. Добавление учетных записей FactoryTalk в FactoryTalk View После создания учетных записей пользователей и групп в FactoryTalk Security можно добавить их к списку учетных записей системы безопасности в редакторе Runtime Security в FactoryTalk View ME. При добавлении учетной записи также назначаются коды безопасности, которые дадут этим пользователям и группам доступ к защищенным компонентам HMI. (Защищенными компонентами HMI называются те, которым были назначены коды безопасности.) Такие коды (с A по P) вместе с теми, которые были назначены компонентам проекта HMI, определяют, к каким компонентам пользователь будет иметь доступ в режиме выполнения. Чтобы ограничить доступ к графическому дисплею, можно задать код безопасности с A по P, а затем назначить этот код только тем пользователям, которым требуется доступ к данному компоненту. За дополнительной информацией по использованию этих возможностей в FactoryTalk View и за примерами назначения прав доступа FactoryTalk Security для пользователей и групп FactoryTalk View обращайтесь к Главе 11 в руководстве пользователя FactoryTalk View Machine Edition User’s Guide, Volume 1 (том 1). В следующих шагах используется существующее приложение Objects_800x600, которое устанавливается с FactoryTalk View. Не забывайте восстанавливать исходный резервный файл локального каталога FactoryTalk Directory каждый раз при создании нового приложения. Это обеспечит уверенность в наличии известной учетной записи администратора и в том, что вы начнете с чистого каталога (где не были добавлены другие пользователи). 1. Откройте FactoryTalk View Studio и добавьте пользователей и группы FactoryTalk к приложению: Из Windows меню Start (Пуск) выберите Rockwell Software > FactoryTalk View > FactoryTalk View Studio. Выберите Machine Edition и нажмите Continue (Продолжить). Во вкладке Existing (Существующие) выберите приложение Object_800x600, убедитесь что Language (Язык) установлен на English (Английский), затем нажмите Open (Открыть). Выбранное приложение откроется в FactoryTalk View Studio, Machine Edition. 145 FactoryTalk Security Руководство по быстрому запуску Если выводится запрос на вход в FactoryTalk, введите действенные имя пользователя и пароль пользователя FactoryTalk с правами администратора, затем нажмите OK. В FactoryTalk Security CPR 9 система одного входа разрешена, поэтому пользователям не выводится запрос на вход в FactoryTalk. Если производится обновление с версии CPR 7 или если стандартная конфигурация безопасности FactoryTalk была изменена, будет выводиться запрос на ввод имени/пароля. 2. Откройте редактор Runtime Security: В окне проводника в FactoryTalk View Studio выберите Runtime Security из папки System. Откроется редактор ресурсов. 146 12 • FactoryTalk View ME и FactoryTalk Security Первая учетная запись в редакторе – учетная запись DEFAULT. Учетная запись DEFAULT используется при отсутствии вошедших пользователей. Пользователь DEFAULT изначально имеет доступ ко всем кодам безопасности (A-P). Если вы не хотите, чтобы все без регистрации имели полный доступ ко всем частям приложения в режиме выполнения, отмените доступ пользователя DEFAULT ко всем кодам безопасности, которые будут использоваться. См. справку или Главу 11 руководства пользователя FactoryTalk View Machine Edition User’s Guide, Volume 1 (том 1). Удалить учетную запись DEFAULT нельзя. Назначьте код безопасности для пользователя DEFAULT на дисплей запуска, иначе он не откроется. Если дисплей запуск использует код безопасности *, можно назначить любой код с A по P для его открытия. 3. Назначьте права доступа для инженерной роли: Во вкладке ME Runtime 4.00 and later редактора Runtime Security щелкните кнопку Add (Добавить). В редакторе Runtime Security дважды щелкните по кнопке Add (Добавить), чтобы открыть диалоговое окно Select User or Group (Выбор пользователя или группы). В диалоговом окне Select User and Computer (Выбор пользователя и компьютера) щелкните по имени или группе, которые требуется добавить к списку учетных записей Runtime Security, затем нажмите OK. Для нашего примера выберите Engineers (Инженеры). 147 FactoryTalk Security Руководство по быстрому запуску Группа Engineers будет добавлена к списку учетных записей в редакторе Runtime Security. Если учетная запись FactoryTalk была удалена из папки System каталога FactoryTalk Directory, уникальный идентификатор пользователя остается и отображается в виде буквенноцифровой строки в редакторе Runtime Security. За подробностями обращайтесь к разделу «Удаление учетных записей» на странице 52. В редакторе Runtime Security выберите группу Engineers (Инженеры) и снимите все флажки в области Security Codes (Коды безопасности) кроме A, B и C, как показано ниже. Любой пользователь в группе Engineers теперь будет иметь доступ только к графическим дисплеям, которые имеют назначенные коды A, B или C. Нажмите Accept (Применить). В редакторе Runtime Security можно также задать макросы входа и выхода для добавленных пользователей или группы, если это необходимо. См. справку или Главу 11 руководства пользователя FactoryTalk View Machine Edition User’s Guide, Volume 1 (том 1). 148 Нажмите кнопку Close для закрытия диалогового окна Runtime Security. Нажмите Yes для сохранения изменений. 12 • FactoryTalk View ME и FactoryTalk Security 4. Настройте систему безопасности для дисплея. В окне проводника разверните Graphics (Графика) > Displays (Дисплеи) и дважды щелкните по Animation 1 (Анимация 1), чтобы открыть её. Из меню Edit (Правка) выберите Display Settings (Показать настройки). Откроется диалоговое окно Display Settings. Из выпадающего списка Security Code (Код безопасности) во вкладке General выберите D (или код, который вы не назначили группе Engineers), затем нажмите OK, чтобы сохранить изменения и закрыть диалоговое окно. Сохраните приложение, нажав Save (Сохранить) в меню Edit (Правка). 149 FactoryTalk Security Руководство по быстрому запуску 5. Проверьте приложение: В меню Application (Приложение) нажмите Test Application (Тестировать приложение) или щелкните по кнопке Test Application. Если в вашем приложении используется несколько языков, укажите необходимые языки и исходный язык при запуске, затем нажмите Finish (Завершить). Когда приложение откроется, нажмите кнопку Next (Далее) дважды для обзора дисплея Animation (Анимация). Закройте приложение нажатием кнопки Exit (Выход) на дисплее анимации (или нажав кнопку F4 на клавиатуре). 6. Теперь выйдите из системы FactoryTalk, затем зайдите снова под именем Evan и выполните проверочный запуск приложения Objects_800x600. 150 В FactoryTalk View Studio выберите Log Off (Выйти) в меню File (Файл). Нажмите Yes для закрытия приложения. Чтобы войти как Evan (член группы инженеров Engineers) выберите Log On (Войти) в меню File (Файл). Введите Evan как имя пользователя, введите пароль password, и затем нажмите OK. В диалоговом окне New/Open Site Edition (Network) Application выберите приложение Objects_800x600, затем выберите English (Английский) как язык по умолчанию и нажмите OK. 12 • FactoryTalk View ME и FactoryTalk Security В меню Application (Приложение) нажмите Test Application (Тестировать приложение) или щелкните по кнопке Test Application. Когда рабочее приложение откроется, нажмите кнопку Next (Далее) дважды для обзора дисплея Animation (Анимация). Помните, что как у члена группы инженеров Engineers, у вас нет прав доступа на обзор дисплея Animation. Закройте приложение нажатием кнопки Exit (Выход) на дисплее анимации (или нажав кнопку F4 на клавиатуре). Управление FactoryTalk Security для работы с несколькими приложениями Существуют две главные категории для FactoryTalk Security в приложении FactoryTalk View Studio, это Runtime (В режиме выполнения) и Development (В режиме разработки). Данный раздел содержит информацию по управлению настройками безопасности для обеих категорий. Runtime security (Безопасность на этапе выполнения) отвечает за аутентификацию пользователей на обзор запущенного приложения и на действия, которые они могут выполнять. В качестве примера такого действия можно привести запуск приложения FactoryTalk View в рабочий режим или ограничение на доступ к дисплеям. Development security (Безопасность на этапе разработки) отвечает за аутенфикацию пользователей на редактирование приложения и на действия, которые они могут выполнять. Примером такого действия будет архивация или восстановление приложения FactoryTalk View. При настройке нескольких приложений на одном компьютере необходимо с осторожностью подойти к работе с FactoryTalk Security. Список пользователей и настройки системы безопасности на этапе выполнения хранятся в самих приложениях. Однако список пользователей на этапе выполнения ссылается на пользователей и группы каталога FactoryTalk Directory. На компьютере может быть только один активный каталог (для разработки или выполнения). При редактировании с одного компьютера нескольких приложений FactoryTalk View ME с различными каталогами могут возникнуть проблемы. Так как эти приложения используют уникальные каталоги с различными наборами пользователей (для разных конечных пользователей, например) и так как на компьютере одновременно активным может быть только один каталог FactoryTalk Directory, необходимо соблюдать осторожность при переключении между приложениями FactoryTalk View ME. Резервирование разрабатываемого приложения Приложение FactoryTalk View не содержит пользователей и группы само по себе. Оно просто содержит список ссылок на пользователей/группы FactoryTalk Directory. Приложение FactoryTalk View содержит права доступа режима выполнения для пользователей и групп, на которые оно ссылается. 151 FactoryTalk Security Руководство по быстрому запуску При резервировании файлы приложения FactoryTalk View, права доступа режима выполнения учетных записей пользователей и каталог компилируются в резервный файл APA. 1. На компьютере для разработки выполните резервирование приложения: Из Windows меню Start (Пуск) выберите All Programs (Все программы) > Rockwell Software > FactoryTalk View > Tools > Application Manager. В Application Manager (Менеджер приложения) выберите Machine Edition и нажмите Next (Далее). Выберите Backup application (Резервировать приложение) и нажмите Next (Далее). Выберите приложение для резервирования и нажмите Next (Далее). Введите по необходимости новое название приложения, выберите расположение резервного файла и нажмите Finish (Завершить). Каждый резервный файл приложения (.apa) содержит копию каталога FactoryTalk Directory, который был активен на момент резервирования. Очень часто разные приложения имеют разные наборы пользователей и групп на основе каталога FactoryTalk Directory, с которым приложение было создано. Это приводит к наличию отдельного каталога FactoryTalk для каждого резервного файла .apa. Резервирование действующего приложения и локального каталога FactoryTalk 1. На компьютере для разработки выполните резервацию действующего приложения: Данный шаг очень важен, особенно если вы разрабатываете приложения для нескольких клиентов, резервирование любого существующего приложения позволяет не только восстанавливать приложения FactoryTalk View в исходное состояние, но и восстанавливать локальный каталог FactoryTalk Local directory вашего клиента в случае его перезаписи или стирания. 152 Из Windows меню Start (Пуск) выберите All Programs (Все программы) > Rockwell Software > FactoryTalk View > Tools > Application Manager. В Application Manager (Менеджер приложения) выберите Machine Edition и нажмите Next (Далее). Выберите Backup application (Резервировать приложение) и нажмите Next (Далее). Выберите приложение для резервирования и нажмите Next (Далее). 12 • FactoryTalk View ME и FactoryTalk Security Введите по необходимости новое название приложения, выберите расположение резервного файла и нажмите Finish (Завершить). 2. На компьютере для разработки выполните резервацию локального каталога (опционально): Хотя этот шаг опционален, при резервировании приложения из Application Manager (Менеджер приложения) будет полезным. В системе может быть только один локальный каталог FactoryTalk для нескольких приложений FactoryTalk View, поэтому желательно выполнить резервацию этого локального каталога, если у вас имеется несколько приложений, ссылающихся на данный каталог. Если имеется одни каталог на одно приложение FactoryTalk View ME, тогда созданный с помощью Application Manager резервный файл (.apa) уже будет содержать локальный каталог FactoryTalk Local Directory. В этом случае резервирование рекомендуется. Откройте FactoryTalk View Studio или FactoryTalk Administration Console. В окне проводника щелкните правой кнопкой по папке System каталога FactoryTalk Directory, затем выберите Backup (Резервация) из контекстного меню. В диалоговом окне Backup (Резервация) введите название резервного файла (архива) и укажите его расположение, затем нажмите OK. Очень рекомендуется каждый раз использовать новое название файла, чтобы дифференцировать версии резервных файлов (такие как «Application_001.apa», «Application_002.apa» и т.д.) Это позволит откатить систему до предыдущих версий по необходимости. В информационном окне «System file was successfully backed up» (Системный файл успешно зарезервирован) нажмите OK. Используйте проводник Windows для сохранения копии файла .bak в других местах, не на локальном компьютере (на диске CD, сетевом ПК или USB флеш устройстве, например). Восстановление приложения на компьютер действующей системы Всегда резервируйте приложения FactoryTalk View SE (local) и Machine Edition, а также локальный каталог перед восстановлением любых приложений и/или каталога FactoryTalk Directory! 1. Скопируйте резервное приложение с компьютера системы разработки на компьютер действующей системы. 2. Восстановите приложение: 153 FactoryTalk Security Руководство по быстрому запуску Из Windows меню Start (Пуск) выберите All Programs (Все программы) > Rockwell Software > FactoryTalk View > Tools > Application Manager. В Application Manager (Менеджер приложения) выберите Machine Edition и нажмите Next (Далее). Выберите Backup application (Резервировать приложение) и нажмите Next (Далее). При восстановлении приложения Application Manager (Менеджер приложения) предоставляет опцию восстановления каталога из файла .apa. Если вы выберите восстановить каталог FactoryTalk Directory, текущий загруженный каталог на локальном компьютере будет стерт и заменен на новый. Выберите приложение для восстановления, затем выберите Restore the FactoryTalk View Machine Edition application (Восстановить приложение FactoryTalk View Machine Edition), потом нажмите Next (Далее). Можно восстановить как приложение, так и локальный каталог. Убедитесь, что вы выполнили резервирование всех приложений FactoryTalk View SE (local) и Machine Edition на компьютере перед продолжением. Текущий локальный каталог FactoryTalk Local Directory, включая пользователей, группы политики будет заменен на локальный каталог, который содержится в восстанавливаемом файле .apa. Это применительно ко всем связанным с FactoryTalk программам и приложениям, запущенным на компьютере. 154 Введите новое название для восстанавливаемого приложения, затем нажмите Finish (Завершить). 12 • FactoryTalk View ME и FactoryTalk Security Работа с вкладкой 3.20 учетной записи пользователя Это применительно только пользовательской безопасности. Некоторые пользователи системы назначают права доступа для отдельных учетных записей пользователей, например, Eric, Evan и Ethel. В некоторых случаях права доступа назначаются на роль пользователя (не следует путать с безопасностью, основанной на ролях). В ролях пользователей отдельные учетные записи пользователей создаются для представления какой-либо роли. Все пользователи какой-либо определенной роли входят в систему с использованием учетных записей ролей пользователя (user role accounts). Создание и хранение учетных записей пользователей такого типа во вкладке 3.20 учетной записи обеспечивает переход на учетные записи 4.x. Вот хороший совет: Добавьте пользователей и группы во вкладку 3.20 and earlier, назначьте коды безопасности и опционально макросы входа и выхода для этих пользователей, а затем импортируйте их во вкладку 4.00 and later. Это сохранит назначенных для приложения пользователей, и они будут доступны для повторного импортирования в случае восстановления приложения или каталога из резервного файла, не содержащего этих пользователей. Далее будут созданы учетные записи пользователей (не групповые) с названиями Eng, Main и Opr. Все инженеры будут входить с помощью одной роли Eng. Следуя примеру с инженерами в предыдущем разделе, пользователи Eric, Evan и Ethel все войдут с помощью одной учетной записи, Eng, с одним паролем. Откроется редактор ресурсов. Выберите вкладку ME Runtime 3.20 and earlier. В редакторе Runtime Security дважды щелкните по любой строке в таблице, чтобы добавить нового пользователя или группу. В столбце Account (Учетная запись) введите Eng. Введите password в поле Password (Пароль), затем нажмите Accept (Принять). Роль пользователей Eng добавится к приложению. Снимите флажки кодов безопасности E, F, G и H. 155 FactoryTalk Security Руководство по быстрому запуску Добавьте роли пользователей MAIN и OPR к редактору и назначьте коды безопасности, как показано ниже. Помните, что это учетные записи пользователей, а не групп. В редакторе Runtime Security можно также задать макросы входа и выхода для добавленных пользователей или группы, если это необходимо. См. справку или Главу 11 руководства пользователя FactoryTalk View Machine Edition User’s Guide, Volume 1 (том 1). Нажмите кнопку Close для закрытия диалогового окна Runtime Security. Нажмите Yes для сохранения изменений. 3. Перевод учетных записей 3.20 во вкладку 4.00 and later (4.00 и выше): 156 Откройте редактор Runtime Security и выберите вкладку ME Runtime 4.00 and later. Заметьте, что только что созданных пользователей (ENG, MAIN и OPR) нет в этой вкладке. Также заметьте, что учетных записей пользователей ENG, MAIN и OPR нет в каталоге FactoryTalk Directory: Из меню Setup (Установка) выберите Migrate ME Runtime 3.20 and earlier accounts (Переход с учетных записей ME Runtime 3.20 и ниже). 12 • FactoryTalk View ME и FactoryTalk Security Учетные записи будут созданы в каталоге FactoryTalk Directory и добавлены к вкладке ME Runtime 4.0. Закройте редактор Runtime Security, нажмите Yes для сохранения настроек. Если пользователь системы не восстановил каталог FactoryTalk Directory с приложением или учетные записи были удалены, сохраненные во вкладке 3.20 учетные записи можно перенести обратно в приложение. Редактор Runtime Security выглядит следующим образом, если исходные учетные записи были удалены: Если учетная запись FactoryTalk была удалена из папки System каталога FactoryTalk Directory, уникальный идентификатор пользователя остается и отображается в виде буквенноцифровой строки в редакторе Runtime Security. За подробностями обращайтесь к разделу «Удаление учетных записей» на странице 52. 4. Перенесите учетные записи снова: 157 FactoryTalk Security Руководство по быстрому запуску Из меню Setup (Установка) выберите Migrate ME Runtime 3.20 and earlier accounts (Переход с учетных записей ME Runtime 3.20 и ниже). Новые учетные записи пользователей, соответствующие исходным учетным записям были созданы в FactoryTalk и редакторе Runtime Security: 158 12 • FactoryTalk View ME и FactoryTalk Security 5. Удалите несвязанного пользователя GUID: Выберите GUID в редакторе Runtime Security, затем нажмите Remove (Удалить). 6. Выйдите из редактора Runtime Security и сохраните изменения. Что делать далее Теперь, когда вы настроили систему безопасности для FactoryTalk View, сделайте одно из следующего: По необходимости войдите как администратор и продолжите назначать права доступа для графических дисплеев. Перейдите к Главе 9 на странице 87, чтобы узнать о принципе использования FactoryTalk Security с программным обеспечением RSLinx. Перейдите к Главе 10 на странице 99, чтобы узнать о принципе использования FactoryTalk Security с RSLogix 5000 для защиты ресурсов. Перейдите к Главе 11 на странице 115, чтобы узнать о принципе использования FactoryTalk Security с FactoryTalk View SE. Перейдите к Главе 13 на странице 161, чтобы узнать о принципе использования FactoryTalk Security с компонентами FactoryTalk Batch. Перейдите к Главе 14 на странице 179, чтобы узнать о внедрении системы FactoryTalk на компьютерах действующей системы. 159 FactoryTalk Security Руководство по быстрому запуску 160 ГЛАВА 13 FactoryTalk Batch и FactoryTalk Security В данном разделе содержатся объяснения по администрированию безопасности компонентов FactoryTalk® Client с использованием FactoryTalk Security. За информацией по администрированию всей системы безопасности FactoryTalk Security обращайтесь к справке FactoryTalk Help, доступной в FactoryTalk Administration Console. За подробностями по использованию FactoryTalk Security с FactoryTalk Batch Clients обращайтесь к руководству администратора FactoryTalk Batch Administrator’s Guide, доступному из Windows меню Start (Пуск): Start > Rockwell Software > FactoryTalk Batch Suite > Online Books > Batch> batch_administrator.pdf. Политика продукта для FactoryTalk Batch создается в локальном и сетевом каталоге при установке FactoryTalk Services Platform. Политика продукта для FactoryTalk Batch используется для ограничения доступа к клиентским компонентам FactoryTalk Batch и их функций. За полным списком защищаемых ресурсов FactoryTalk Batch и их стандартным установкам политики продукта обращайтесь к «FactoryTalk Batch Default Policy Settings» (Стандартные установки политики FactoryTalk Batch) в Главе 3 руководства администратора FactoryTalk Batch Administrator’s Guide. Перед тем, как вы начнете Определите компьютеры, которые будут настроены как сервер FactoryTalk Batch и клиент FactoryTalk Batch. Необходим установочный диск FactoryTalk Batch, v. 9.0 (CPR 9) Познакомьтесь с терминами и понятиями FactoryTalk Security. См. Главу 1, «Что такое безопасность в системе автоматизации» и Главу 2, «О системе FactoryTalk». Установите и настройте программное обеспечение, перечисленное ниже в разделе «Что требуется». Что требуется На компьютере, выполняющем функцию сервера FactoryTalk Batch (Компьютер 1 в нашем примере): FactoryTalk Services Platform v. 2.10 (CPR 9) Сервер активации FactoryTalk Activation Server Компоненты FactoryTalk Batch Server 161 FactoryTalk Security Руководство по быстрому запуску На компьютере, выполняющем функцию клиента FactoryTalk Batch (Компьютер 2 в нашем примере): FactoryTalk Services Platform v. 2.10 (CPR 9) Клиент активации FactoryTalk Activation Client Клиентские компоненты FactoryTalk Batch, включая FactoryTalk Batch View, Equipment Editor (Редактор оборудования) и Recipe Editor (Редактор рецептов) Выполните следующие шаги: 162 13 • FactoryTalk Batch и FactoryTalk Security Важная информация по установке FactoryTalk Batch Необходимо обязательно создать учетную запись Windows для сервера FactoryTalk Batch Server перед установкой приложений FactoryTalk Batch. При установке компонентов FactoryTalk Batch выводится запрос на ввод этой учетной записи. Это необходимо для того, чтобы установочная программа могла настроить систему FactoryTalk Batch. При создании учетной записи для сервера необходимо соблюдать следующие требования: Должен быть установлен неограниченный срок действия пароля. Если срок действия пароля истечет, служба Batch Server не сможет войти в систему. Серверная учетная запись не должна отменяться или удаляться. Если данная учетная запись будет отменена/удалена, служба Batch Server не сможет войти в систему. Доменная учетная запись должна иметь уникальное имя. Если серверная учетная запись является доменной учетной записью, удалите все локальные записи с таким же именем. Серверная учетная запись/группа пользователей должна быть на всех компьютерах рабочей группы. Если используется локальная учетная запись и требуется возможность доступа к ресурсам других компьютеров в среде рабочей группы, необходимо создать учетные записи с таким же именем и паролем на каждом компьютере в этой рабочей группе. Обращайтесь к руководству по установке FactoryTalk Batch Installation Guide и руководству администратора FactoryTalk Batch Administrator’s Guide за подробной информацией по установке FactoryTalk Batch. Данные книги доступны из Windows меню Start (Пуск) > All Programs (Все программы) > Rockwell Software > FactoryTalk Batch Suite > Online Books > Batch. Добавление учетных записей пользователей и групп FactoryTalk Batch После установки FactoryTalk Services Platform и FactoryTalk Batch, можно усилить систему безопасности путем добавления пользователей и групп пользователей к FactoryTalk Security. За подробной информацией по созданию пользователей и групп пользователей в FactoryTalk Security обращайтесь к справке FactoryTalk Security. На компьютере Batch Server (Компьютер 1 в нашем примере): 1. Создайте групповую учетную запись в FactoryTalk Security: Откройте FactoryTalk Administration Console Start (Пуск) > Programs (Все программы) > Rockwell Software > FactoryTalk Administration Console. Если выводится запрос на вход в FactoryTalk, введите имя пользователя и пароль администратора FactoryTalk, затем нажмите OK. 163 FactoryTalk Security Руководство по быстрому запуску В FactoryTalk Security CPR 9 система одного входа разрешена, поэтому пользователям не выводится запрос на вход в FactoryTalk. Если производится обновление с версии CPR 7 или если стандартная конфигурация безопасности FactoryTalk была изменена, будет выводиться запрос на ввод имени/пароля. В окне проводника разверните подпапку Users and Groups (Пользователи и группы) в папке System. Щелкните правой кнопкой по папке Users Groups (Группы пользователей), выберите New (Новый), затем выберите User Group из открывшегося меню. Если у вас уже есть группа пользователей Windows, можно добавить для нее учетную запись безопасности, выбрав Windows-linked User Group (Связанная с Windows группа пользователей) из открывшегося меню. 164 Заполните поля Name (Название) и Description (Описание), для нашего примера мы использовали Batch Operators. Нажмите Create (Создать) для создания учетной записи безопасности для группы пользователей и закройте диалоговое окно. При двойном щелчке по папке User Groups отобразится только что добавленная группа. 13 • FactoryTalk Batch и FactoryTalk Security 2. Создайте новую учетную запись пользователя в FactoryTalk Security: В окне проводника разверните подпапку Users and Groups (Пользователи и группы) в папке System. Щелкните правой кнопкой по папке Users (Пользователи), выберите New (Новый), затем выберите User из открывшегося меню. Существующих пользователей Windows можно добавить, выбрав Windows-linked User (Связанный с Windows пользователь) из открывшегося меню. Во вкладке General (Общие) диалогового окна New User (Новый пользователь) задайте имя пользователя и пароль, а также другую информацию, по необходимости. Для получения подробностей по опциям в данном диалоговом окне нажмите кнопку Help (Справка). Выбираемые здесь свойства пароля находятся под управлением политики, выбранной в Security Policies (Политика безопасности). Для нашего примера введите следующее: User name (Имя пользователя): SWhite Full name (Полное имя): Sara White Description (Описание): Operator Password (Пароль): password Для данного примера снимите флажок User must change password at next logon (Пользователь должен сменить пароль при следующем входе) и установите флажок Password never expires (Неограниченный срок действия пароля). 3. Свяжите группу с учетной записью пользователя. Добавлять пользователей к группе можно двумя способами. Можно выбрать группу и добавить в нее пользователей, или при создании пользователя можно привязать его к одной или нескольким группам. Ниже используется второй способ: 165 FactoryTalk Security Руководство по быстрому запуску 166 Выберите вкладку Group Membership (Групповая принадлежность) диалогового окна New User (Новый пользователь). Данное окно должно быть открытым, если оно закрыто, щелкните правой кнопкой по только что созданному пользователю и выберите Properties (Параметры) из открывшегося меню. Чтобы открыть диалоговое окно Select User Group (Выбор группы пользователей), во вкладке Group Membership (Групповая принадлежность) нажмите кнопку Add (Добавить), чтобы открыть Выберите созданную на шаге 2 группу пользователей (в нашем примере Batch Operators), затем нажмите OK. Нажмите Create (Создать). Новый пользователь появится в папке Users (Пользователи). 13 • FactoryTalk Batch и FactoryTalk Security 4. Задайте действия, которые пользователи смогут выполнять: Для ограничения доступа к ресурсу системы укажите, какие пользователи или группы пользователей будут иметь право доступа на выполнение действий с этим ресурсом. В окне проводника откройте подпапку Users and Groups (Пользователи и группы) в папке System. Щелкните правой кнопкой по папке Users Groups (Группы пользователей), выберите Security (Безопасность) из открывшегося меню. В разделе ‘View permissions by’ (Показать права доступа по) диалогового окна Security Settings for User Groups (Настройки безопасности для групп пользователей) нажмите кнопку Add (Добавить). Для нашего примера выберите Batch Operators и нажмите OK. Группа Batch Operators добавится к списку. При выбранной группе Batch Operators, разверните список общих действий Common нажатием символа «плюс» (+) в левом столбце. 167 FactoryTalk Security Руководство по быстрому запуску Как показано выше на иллюстрации диалогового окна Security Settings (Настройки безопасности), установите флажки напротив List Children (Перечисление дочерних записей) and Read (Чтение). Это даст группе Batch Operators права доступа на выполнение общих действий Common Read и List Children с сетевым каталогом FactoryTalk Network Directory. Это значит, что члены группы могут запускать клиенты FactoryTalk Batch. Нажмите OK для сохранения изменений и закрытия диалогового окна. Настройка политики продукта в FactoryTalk Batch Клиенты FactoryTalk Batch (BatchCampaign, Batch View, Equipment Editor, Recipe Editor, и Batch ActiveX controls) имеют политику продукта, которую можно защитить с помощью FactoryTalk Security. Например, можно настроить FactoryTalk Security на ограничение доступа заданным пользователям и группам к определенным кнопкам панели управления и окнам FactoryTalk Batch View Удаление группы пользователей из политики безопасности блокирует соответствующую кнопку панели управления View для всех пользователей-членов этой группы. При блокировке кнопки, она не отображается в панели управления FactoryTalk Batch View. Кроме того, можно ограничить доступ к ресурсам на основании физического места расположения пользователя, такого как используемый для выполнения действий компьютер. (За дополнительной информацией обращайтесь к справке FactoryTalk.) Настройка безопасности для окон FactoryTalk Batch View Для усиления безопасности окон FactoryTalk Batch View, настройте соответствующую политику продукта в соответствующем каталоге FactoryTalk Directory. На компьютере Batch Server (Компьютер 1 в нашем примере): 1. Откройте FactoryTalk Administration Console и войдите в соответствующий каталог FactoryTalk Directory. Для нашего примера выберите Network Directory (Сетевой каталог). 2. Настройте безопасность для окон FactoryTalk Batch View: 168 13 • FactoryTalk Batch и FactoryTalk Security Разверните System (Система) > Policies (Политика) > Product Policies (Политика продукта) > Batch > BatchView & ActiveX, затем правой кнопкой щелкните по View и выберите Properties (Параметры). В диалоговом окне View Properties (Параметры View), выберите установку политики, которую необходимо настроить, и нажмите соответствующую кнопку обзора. Для нашего примера, щелкните по кнопке обзора напротив политики Exit (Выход). Откроется диалоговое окно Configure Securable Action (Настройка защищаемого действия). Нажмите кнопку Add (Добавить). Откроется диалоговое окно Select User or Group (Выбор пользователя или группы). Выберите пользователя или группу, которые вы хотите добавить, и нажмите OK. Для нашего примера выберите группу Batch Operators. Для обеспечения группового доступа к данной функции установите флажок разрешения Allow. Политика продукта не наследует настройки безопасности. При указании прав доступа для политики продукта снятие обоих флажков Allow и Deny запрещает доступ к функции продукта. (За дополнительной информацией по правам доступа обращайтесь к справке FactoryTalk.) 169 FactoryTalk Security Руководство по быстрому запуску 3. Усильте безопасность для данной команды. Выберите группу All Users (Все пользователи) и нажмите Remove (Удалить). Нажмите дважды OK для возврата в FactoryTalk Administration Console. Перезапустите все открытые компоненты FactoryTalk Batch для применения изменений, внесенных в FactoryTalk Directory. 4. Проверьте настройки политики: 170 Откройте FactoryTalk Batch View и войдите как SWhite (с паролем password). Заметьте, что строка состояния показывает SWhite как текущего пользователя, а кнопка Exit (Выход) имеется на панели управления. Теперь щелкните по кнопке Log In (Войти) (показана слева) и войдите как PSmith (с паролем password). Заметьте, что строка состояния показывает PSmith как текущего пользователя, а кнопка Exit (Выход) на панели управления теперь не доступна. Войдите как администратор FactoryTalk или пользователь с доступом к политике Exit (Выход), и вы сможете закрыть программу. 13 • FactoryTalk Batch и FactoryTalk Security Настройка безопасности для команд FactoryTalk Batch Commands Кроме ограничения доступа к различным окнам и кнопкам в FactoryTalk Batch View, также можно ограничить доступ пользователей к созданию команд для партии или фазы. Добавьте соответствующих пользователей или/и группы к защищаемой политике Command (Команда) или Phase Command (Фазовая команда). 1. Для добавления пользователя и/или группы пользователей к политике Command: Откройте FactoryTalk Administration Console и войдите в соответствующий каталог FactoryTalk Directory. В нашем примере используется Network Directory (Сетевой каталог). Разверните System (Система) > Policies (Политика) > Product Policies (Политика продукта) > Batch > BatchView & ActiveX. Щелкните правой кнопкой по Commands (или Phase Commands), затем выберите Properties (Параметры) из открывшегося меню. Откроется диалоговое окно Commands Properties (Параметры команд). Выберите установку политики, которую необходимо настроить, и нажмите соответствующую кнопку обзора. Для нашего примера выберите Add Batch (Добавить партию). Откроется диалоговое окно Configure Securable Action (Настройка защищаемого действия). Чтобы добавить пользователя или группу, нажмите Add (Добавить). Откроется диалоговое окно Select User and Computer (Выбор компьютера и группы). Выберите пользователя или группу, которые вы хотите добавить, и нажмите OK. Для нашего примера выберите Batch Operators. 171 FactoryTalk Security Руководство по быстрому запуску 2. Усильте безопасность для данной команды. Выберите группу All Users (Все пользователи) и нажмите Remove (Удалить). Нажмите дважды OK для возврата в FactoryTalk Administration Console. Перезапустите все открытые компоненты FactoryTalk Batch для применения изменений по безопасности, внесенных в FactoryTalk Directory. 3. (Опционально) Войдите в FactoryTalk Batch View как SWhite и попробуйте добавить партию к списку партий. Затем войдите как LWilliams, у которого нет прав доступа на добавление партии, и снова попробуйте добавить партию к списку партий. Будет выведено предупреждение, что текущий пользователь не имеет достаточных прав на выполнение данной команды. Разрешение настроек подтверждения в FactoryTalk Batch View Если вы назначите определенным пользователям и/или группам команды партии или фазовой команды и разрешите соответствующую установку политики Confirm (Подтверждение), тогда только заданным пользователям будет разрешено запускать команды, и им придется вводить имя пользователя и пароль для подтверждения запускаемой команды. 1. Настройте установки политики Phase Command (Фазовая команда): Для настройки установки политики Command Confirm (Подтверждение команды) замените команды фазовыми командами следующим образом: 172 Откройте FactoryTalk Administration Console и войдите в соответствующий каталог FactoryTalk Directory. В нашем примере используется Network Directory (Сетевой каталог). Разверните System (Система) > Policies (Политика) > Product Policies (Политика продукта) > Batch > BatchView & ActiveX. 13 • FactoryTalk Batch и FactoryTalk Security Щелкните правой кнопкой по Phase Commands, затем выберите Properties (Параметры) из открывшегося меню. Откроется диалоговое окно Phase Commands Properties (Параметры фазовых команд). 2. Настройте установку политики Confirm (Подтверждение): Пролистайте до установок политики BatchView and ActiveX - Phase Commands – Confirmations. Выберите установку политики и щелкните по соответствующему выпадающему списку. Выберите True для того, чтобы пользователю пришлось вводить имя пользователя и пароль каждый раз при нажатии кнопки команды. Если этого не требуется, выберите False. В показанном выше примере, Clear Failure – Confirm установлено на True. Это заставит пользователя ввести имя и пароль FactoryTalk при попытке сбросить ошибку во время работы партии. Нажмите OK для возврата в окно FactoryTalk Administration Console. Перезапустите все открытые компоненты FactoryTalk Batch для применения изменений, внесенных в FactoryTalk Directory. Настройка безопасности для редакторов оборудования и рецептов Безопасность для редактора оборудования FactoryTalk Batch Equipment Editor и редактора рецептов Recipe Editor внедряется путем использования политик продукта FactoryTalk Security, заданных в FactoryTalk Directory. Только пользователям FactoryTalk разрешается доступ к этим редакторам. (За дополнительной информацией обращайтесь к разделу «Стандартные настройки политики FactoryTalk Batch» в руководстве администратора FactoryTalk Batch Administrator’s Guide.) 173 FactoryTalk Security Руководство по быстрому запуску Для поддержки редакторов Equipment Editor и Recipe Editor имеются два уровня безопасности: View Only (Только просмотр) и Full Edit (Полное редактирование). (За дополнительной информацией обращайтесь к разделу «Настройка безопасности режима доступа».) Дополнительно имеется политика продукта Configuration Options (Опции конфигурации), созданная в локальном каталоге для редакторов. (За дополнительной информацией обращайтесь к разделу «Изменение опций конфигурации редактора оборудования») Кроме настройки FactoryTalk Security, также можно настроить систему безопасности Windows для файлов FactoryTalk Batch Equipment Editor и Recipe Editor в проводнике Windows. (За дополнительной информацией обращайтесь к разделу «Настройка безопасности для папок или файлов» в руководстве администратора FactoryTalk Batch Administrator’s Guide.) Если используются рецепты RDB, которые хранятся в SQL Server, безопасность RDB также можно настроить. Настройка безопасность режима доступа Для доступа к редакторам Equipment Editor и Recipe Editor имеются два уровня безопасности: View Only (Только просмотр) и Full Edit (Полное редактирование). 1. Настройте режимы доступа FactoryTalk Batch Equipment Editor или Recipe Editor: Откройте FactoryTalk Administration Console и войдите в соответствующий каталог FactoryTalk Directory. В нашем примере используется Network Directory (Сетевой каталог). Разверните System (Система) > Policies (Политика) > Product Policies (Политика продукта) > Batch > Equipment Editor (или Recipe Editor), затем правой кнопкой щелкните по Access Modes (Режимы доступа) и выберите Properties (Параметры) из открывшегося меню. В диалоговом окне Access Modes Properties (Параметры режимов доступа), выберите установку политики, которую необходимо настроить, и нажмите соответствующую кнопку обзора. Откроется диалоговое окно Configure Securable Action (Настройка защищаемого действия). 2. Усильте безопасность для данной функции. Выберите группу All Users (Все пользователи) и нажмите Remove (Удалить). 3. Добавьте пользователей или группы: 174 13 • FactoryTalk Batch и FactoryTalk Security Чтобы добавить пользователя или группу, нажмите Add (Добавить). Откроется диалоговое окно Select User and Computer (Выбор компьютера и группы). Выберите пользователя или группу, которые вы хотите добавить, и нажмите OK. Для нашего примера выберите Batch Operators. Нажмите OK для закрытия диалогового окна Configure Securable Action (Настройка защищаемого действия). Перезапустите все открытые компоненты FactoryTalk Batch для применения изменений, внесенных в FactoryTalk Directory. Изменение опций конфигурации редактора оборудования Equipment Editor Следующие указания даны для редактора оборудования FactoryTalk Batch Equipment Editor: Опции конфигурации редактора рецептов FactoryTalk Batch Recipe Editor настраиваются таким же образом. 1. Откройте FactoryTalk Administration Console. Войдите в локальный каталог FactoryTalk Local Directory. 175 FactoryTalk Security Руководство по быстрому запуску 2. Разверните System (Система) > Policies (Политика) > Product Policies (Политика продукта) > Batch > Equipment Editor (или Recipe Editor) > Configuration, затем правой кнопкой щелкните по Options (Опции) и выберите Properties (Параметры) из открывшегося меню. 3. В диалоговом окне Options Properties (Параметры опций) внесите необходимые изменения настроек политики. Например, редакторы Equipment Editor и Recipe Editor позволяют использовать внешнее устройство безопасности, такое как сканер сетчатки глаз. Если требуется разрешить функции безопасности для внешнего устройства, необходимо настроить External Login (Внешний вход) как показано в примере ниже. (За дополнительной информацией обращайтесь к разделу «Использование внешнего устройства безопасности» в руководстве администратора FactoryTalk Batch Administrator’s Guide.) 4. Нажмите OK для сохранения изменений конфигурации и возврата в FactoryTalk Administration Console. Перезапустите все открытые компоненты FactoryTalk Batch для применения изменений, внесенных в FactoryTalk Directory. 176 13 • FactoryTalk Batch и FactoryTalk Security Что делать далее Выполните одно из следующего: По необходимости продолжите назначать права доступа для действий и команд клиента FactoryTalk Batch. Перейдите к Главе 9 на странице 87, чтобы узнать о принципе использования FactoryTalk Security с программным обеспечением RSLinx. Перейдите к Главе 10 на странице 99, чтобы узнать о принципе использования FactoryTalk Security с RSLogix 5000 для обеспечения безопасности проектов и устройств (таких как, контроллеры Logix5000, PLC и SLC). Перейдите к Главе 11 на странице 115, чтобы узнать о принципе использования FactoryTalk Security с FactoryTalk View SE. Перейдите к Главе 12 на странице 137, чтобы узнать о принципе использования FactoryTalk Security с FactoryTalk View ME. Перейдите к Главе 14 на странице 179, чтобы узнать о внедрении системы FactoryTalk на компьютерах действующей системы. 177 FactoryTalk Security Руководство по быстрому запуску 178 ГЛАВА 14 Развертывание системы FactoryTalk Данная глава содержит подробное описание принципа перевода системы FactoryTalk, построенной с помощью системы разработки в режиме офлайн, на рабочую систему в режиме выполнения. Условия Сценарий, представленный в данном разделе, основан на следующих условиях: C: является системным диском на всех компьютерах FactoryTalk Services Platform установлена, активирована и настроена на всех компьютерах в сети разработки и рабочей сети. См. «На компьютерах действующей системы» на странице 181 FactoryTalk View SE установлен, активирован и настроен Один компьютер в сети определен как сервер сетевого каталога FactoryTalk Network Directory Server, а все другие компьютеры в сети настроены как клиенты, каждому из которых указан этот компьютер-сервер сетевого каталога Не забудьте удалить все предыдущие версии продуктов Rockwell Software перед установкой новых. Кроме того, убедитесь, что вы устанавливаете совместимые версии FactoryTalk Services Platform и других продуктов Rockwell Software. Установка системных компьютеров для разработки Следуйте представленным ниже шагам на соответствующих системных компьютерах для разработки, чтобы подготовиться к переходу системы FactoryTalk с сети в режиме разработки на сеть в режиме выполнения. Шаг 1 – На компьютере с сетевым каталогом С любого компьютера в сетевом каталоге запустите FactoryTalk Administration Console и выполните резервирование всего сетевого каталога. При резервировании всего сетевого каталога FactoryTalk Network Directory файл .bak, полученный в результате, включает все приложения данного каталога и все настройки системной папки System. Восстановление системной папки System замещает все учетные записи, группы, пароли пользователей и компьютеров, а также настройки политики и настройки безопасности для всех приложений в каталоге FactoryTalk Directory. Будьте осторожны при восстановлении. 179 FactoryTalk Security Руководство по быстрому запуску Инструмент Backup (Резервирование) создает резервный файл, включающий: название приложения определения зоны имя и расположение сервера HMI (в какой зоне и на каком компьютере) имена, тип и расположение серверов данных (в какой зоне и на каком компьютере) За подробностями обращайтесь к разделам «Резервирование всего каталога FactoryTalk Directory» и «Правильный выбор опций резервирования восстановления» в справке FactoryTalk Help. Скопируйте файлы приложения (*.RnaD) с компьютера для разработки на компьютер-сервер сетевого каталога действующей системы. Данный файл приложения расположен в C:\Documents and Settings\All Users\Application Data\Rockwell\RNAServer\Global. Шаг 2 – На серверном компьютере FactoryTalk View Site Edition Скопируйте файлы проекта HMI с компьютера для разработки на соответствующий компьютер View SE действующей системы. Скопируйте всю папку с файлами сервера HMI. Данная папка имеет такое же имя как сервер HMI и расположена в C:\Documents and Settings\All Users\RSView Enterprise\HMI Projects\. Копирование невозможно при запущенном сервере HMI. За более подробной справкой по резервированию серверов HMI обращайтесь к FactoryTalk View Site Edition. Имеется инструмент для резервирования загруженного сервера HMI. См. базу знаний Rockwell Knowledgebase Tech Note A102052574. Шаг 3 – На компьютере FactoryTalk View Studio Скопируйте файлы конфигурации клиента (*.cli) с компьютера для разработки на компьютер View SE Client действующей системы. Расположение на компьютере действующей системы не имеет значения, но по умолчанию файлы клиента располагаются в C:\Documents and Settings\All Users\Documents\RSView Enterprise\SE\Client. За дополнительной справкой обращайтесь к документации FactoryTalk View Studio. Шаг 4 – На компьютере RSLinx Classic или RSLinx Enterprise Серверы RSLinx Enterprise — скопируйте файл конфигурации соединений «RSLinxNG.xml» из каталога, расположенного в C:\Documents and Settings\All Users\Application Data\Rockwell\RSLinx Enterprise\RSLinxNG.xml. Для RSLinx Enterprise ссылки на устройства резервируются автоматически как часть резервирования всего сетевого каталога на шаге 1. Серверы данных RSLinx Classic — запустите утилиту восстановления RSLinx Backup Restore Utility. Из Windows меню Start (Пуск) выберите All Programs (Все программы) > Rockwell Software > RSlinx > Backup Restore Utility. Шаг 5 – На компьютере Microsoft SQL Server Если ваша система FactoryTalk включает базы данных Microsoft SQL Server для регистрации накопленных данных, включая журналы FactoryTalk Alarms and Events, выполните резервацию всех данных, которые понадобятся в новой системе. 180 14 • Развертывание системы FactoryTalk Шаг 6 – На компьютере FactoryTalk Transaction Manager Если ваша система включает FactoryTalk Transaction Manager, выполните резервирование вашего проекта. Из меню Configuration (Конфигурация) выберите Backup (Резервирование). Шаг 7 – На компьютере FactoryTalk Batch Server Если ваша система FactoryTalk включает FactoryTalk Batch, используйте Batch Service Manager для остановки Batch Server. Выполните резервирование файлов Batch Server и клиентских файлов. За справкой обращайтесь к руководству по установке FactoryTalk Batch Installation Guide. Шаг 8 – На компьютерах-клиентах FactoryTalk Batch Если ваша система включает FactoryTalk Batch, выполните резервирование клиентских файлов Batch. За справкой обращайтесь к руководству по установке FactoryTalk Batch Installation Guide. На компьютерах действующей системы Установите и активируйте продукты Rockwell Software на соответствующих компьютерах действующей системы. Как составная часть установки каждого продукта, установите FactoryTalk Services Platform. Кроме того, на каждом компьютере-клиенте сетевого каталога FactoryTalk Network Directory, укажите компьютер в сети, на котором установлен сервер сетевого каталога FactoryTalk Network Directory Server. Затем выполните следующие действия: Шаг 1 – На компьютере с сетевым каталогом Перед началом, закройте все продукты и службы Rockwell Software на всех компьютерах в сети. Затем, с любого компьютера в сетевом каталоге запустите FactoryTalk Administration Console и выполните восстановление прежде зарезервированного каталога. См. «Восстановление FactoryTalk Directory» на странице 187. По необходимости выполните одно из следующего: Если компьютеры действующей системы находятся в той же физической сети, что и компьютеры системы разработки, но в разных доменах, тогда переименуйте компьютеры, имеющие одинаковые имена. Контроллер доменов Windows не допустит наличия нескольких компьютеров в разных доменах с одинаковым именем в одной сети. 181 FactoryTalk Security Руководство по быстрому запуску В окне проводника разверните папку Computers and Groups (Компьютеры и группы), разверните папку Computers (Компьютеры), щелкните правой кнопкой по пиктограмме учетной записи компьютера, затем выберите Properties (Параметры) из открывшегося меню. Если в системе разработки создавались связанные с Windows пользовательские учетные записи, восстановите все настройки безопасности для этих учетных записей в вашей действующей системе. Если в системе разработки создавались связанные с Windows группы пользователей, перенесите их в новый домен. В окне проводника разверните папку Users and Groups (Пользователи и группы), затем разверните папку User Groups (Группы пользователей), щелкните правой кнопкой по группе пользователей, которую необходимо перенести в новый домен, затем выберите Properties (Параметры) из открывшегося меню. В диалоговом окне Properties (Параметры), щелкните 182 14 • Развертывание системы FactoryTalk Change Domain (Сменить домен), и выберите новый домен. Новый домен уже должен содержать группу пользователей с тем же именем. Нажмите OK для сохранения. Шаг 2 – На серверном компьютере FactoryTalk View Site Edition Восстановите проект HMI и задайте расположение серверов данных. Откройте FactoryTalk View Studio (или View Administration Console) и отредактируйте приложение. Серверы HMI и серверы данных выдадут ошибку, потому что они все еще настроены на работу на компьютере системы разработки. Внесите изменения в параметры серверов HMI и данных, чтобы отразить их новое расположение. За справкой обращайтесь к документации FactoryTalk View. Убедитесь, что название папки и название файла проекта HMI (*.sed) одинаковые, или сервер HMI не загрузится должным образом. Шаг 3 – На клиентском компьютере FactoryTalk View Site Edition Восстановите клиентские файлы конфигурации (*.cli). Расположение на компьютере действующей системы не имеет значения, но по умолчанию файлы клиента располагаются в C:\Documents and Settings\All Users\Documents\RSView Enterprise\SE\Client. За справкой обращайтесь к документации FactoryTalk View. 183 FactoryTalk Security Руководство по быстрому запуску Шаг 4 – На компьютере RSLinx Classic 1. Запустите утилиту резервирования и восстановления RSLinx Backup Restore Utility для восстановления конфигурации RSLinx Classic. Из Windows меню Start (Пуск) выберите All Programs (Все программы) > Rockwell Software > RSlinx > Backup Restore Utility. 2. Обновите темы офлайн в проекте на темы онлайн. 3. Чтобы видеть файлы PLC или SLC при офлайн просмотре, скопируйте проект процессора из компьютера системы разработки на компьютер действующей системы. Затем определите новое расположение файла проекта в теме RSLinx Classic для данного процессора. Шаг 5 – На серверном компьютере RSLinx Enterprise 1. На любом компьютере сетевого каталога запустите FactoryTalk Administration Console. 2. Переименуйте компьютер-сервер сетевого каталога, на котором располагаются серверы данных RSLinx Enterprise. Щелкните правой кнопкой по пиктограмме Data Server (Сервер данных), и затем нажмите Properties (Параметры) для открытия диалогового окна Data Server Properties (Параметры сервера данных). В текстовом поле Computer hosting the RSLinx Enterprise (Компьютер, где располагается RSLinx Enterprise) задайте имя компьютера действующей системы, где сейчас расположен сервер данных. Повторите данный шаг для каждого заданного сервера данных. 3. Переназначьте все ссылки на соответствующие физические устройства, перечисленные в редакторе Communication Setup (Настройка соединений). См. интерактивную справочную систему для RSLinx Enterprise. 184 14 • Развертывание системы FactoryTalk Шаг 6 – На компьютере Microsoft SQL Server Если ваша система FactoryTalk включает базы данных Microsoft SQL Server для регистрации накопленных данных, включая журналы FactoryTalk Alarms and Events, восстановите все данные, которые необходимо перенести в новую систему, а затем переустановите соединение между определением базы данных, содержащимся в каталоге, и связанной базой данных Microsoft SQL Server. 1. На любом компьютере сетевого каталога запустите FactoryTalk Administration Console. 2. В окне проводника разверните System (Система) >Connections (Соединения) > Databases (Базы данных). 3. Дважды щелкните по определению базы данных, чтобы открыть её параметры, затем нажмите OK. Система проверит наличие таблиц базы данных и создаст их, если необходимо. Шаг 7 – На компьютере FactoryTalk Transaction Manager Если ваша система включает FactoryTalk Transaction Manager: 1. Запустите Transaction Manager и восстановите резервный файл проекта. Из меню Configuration (Конфигурация) выберите Restore (Восстановить). 2. Затем переименуйте компьютер, связанный с каждой конфигурацией соединительного узла. Для каждой заданной службы соединительного узла Connector Service щелкните правой кнопкой по Configuration name (Имя конфигурации) и выберите Define Connector (Определить соединительный узел) из открывшегося меню. Смените Host Name (Имя хоста) с имени компьютера системы разработки на компьютер FactoryTalk Transaction Manager действующей системы. 185 FactoryTalk Security Руководство по быстрому запуску Шаг 8 – На компьютере FactoryTalk Batch Server Если ваша система включает FactoryTalk Batch, восстановите сервер FactoryTalk Batch Server и клиентские файлы. За справкой обращайтесь к руководству по установке FactoryTalk Batch Installation Guide. Шаг 9 – На компьютерах-клиентах FactoryTalk Batch Если ваша система включает FactoryTalk Batch, восстановите клиентские файлы FactoryTalk Batch. За справкой обращайтесь к руководству по установке FactoryTalk Batch Installation Guide. Резервирование всего каталога FactoryTalk Directory Выполните резервирование всего каталога FactoryTalk Directory для переноса системы FactoryTalk с одного компьютера на другой. При резервировании FactoryTalk Directory архивный файл включает в себя все приложения, связанные с данным каталогом, а также системную папку System. Восстановление системной папки System замещает все учетные записи, группы, пароли пользователей и компьютеров, а также настройки политики и настройки безопасности для всех приложений в каталоге FactoryTalk Directory. Будьте осторожны при восстановлении. Необходимые права доступа системы безопасности Политика безопасности в масштабах системы под названием User Rights Assignment (Назначении прав пользователя) определяет тех, кто имеет право доступа на выполнение резервирования или восстановления. Из FactoryTalk Administration Console или окна проводника FactoryTalk View Studio откройте System (Система) > Policies (Политика) > System Policies (Политика системы), затем дважды щелкните по User Rights Assignment (Назначение прав пользователя). Для резервирования каталога FactoryTalk Directory: 1. В верхней части окна проводника FactoryTalk Administration Console щелкните правой кнопкой по пиктограмме сетевого или локального каталога. 2. Из меню открывшегося меню выберите Backup (Резервирование). 3. Введите имя для резервного файла, или используйте имя по умолчанию. 4. Используйте расположение архива по умолчанию или нажмите кнопку обзора и задайте расположение для этого резервного файла. Нажмите OK для закрытия диалогового окна Browse for Folder. 5. В окне резервирования Backup нажмите OK. 186 14 • Развертывание системы FactoryTalk В случае если вы не указали иного имени файла, FactoryTalk Administration Console создаст файл Network.bak или Local.bak в месте расположения по умолчанию или в заданном вами месте. Если резервный файл с таким же именем уже существует в выбранном месте расположения, система выдаст запрос на подтверждение перезаписи существующего файла. 6. После резервирования каталога, выполните резервирование и восстановите файлы и базы данных отдельно от программных продуктов, участвующих в системе FactoryTalk. См. раздел «После резервирования каталога или приложения». Восстановление всего каталога FactoryTalk Directory Для переноса всей системы FactoryTalk с одного компьютера на другой восстановите резервный архив FactoryTalk Directory. Восстановление всего архива каталога FactoryTalk Directory полностью заменят содержание существующего каталога, включая все приложения и системную папку System, что включает в себя учетные записи и группы пользователей и компьютеров, пароли, настройки политики, и настройки безопасности. Не восстанавливайте архивный файл, созданный на платформе FactoryTalk Services Platform 2.10 (CPR 9) или выше, в каталог FactoryTalk Directory на платформе FactoryTalk Automation Platform 2.00 (CPR 7). Данный сценарий восстановления не поддерживается и может привести к непредсказуемым результатам. Необходимые права доступа системы безопасности Политика безопасности в масштабах системы под названием User Rights Assignment (Назначении прав доступа) определяет тех, кто имеет право доступа на выполнение резервирования или восстановления. Из FactoryTalk Administration Console или окна проводника FactoryTalk View Studio откройте System (Система) > Policies (Политика) > System Policies (Политика системы), затем дважды щелкните по User Rights Assignment (Назначение прав пользователя). Для восстановления всего каталога FactoryTalk Directory: 1. Убедитесь, что приложения, расположенные в каталоге FactoryTalk Directory, в который выполняется восстановление, на данный момент не развернуты или не используются другими продуктами или компонентами. Если приложения на данный момент используются, восстановление не выполнится. 2. В окне FactoryTalk Administration Console щелкните правой кнопкой по пиктограмме сетевого (Network) или локального (Local) каталога. Из меню открывшегося меню выберите Restore (Восстановление). 187 FactoryTalk Security Руководство по быстрому запуску 3. В диалоговом окне Restore (Восстановление) щелкните кнопку обзора, выберите резервный файл для восстановления, затем нажмите Open (Открыть). Для продолжения нажмите Next (Далее). При нажатии Next (Далее), диалоговое окно Restore (Восстановление) показывает тип восстанавливаемого архива, и какие приложения в нем содержатся. Выбрать отдельные приложения нельзя. По умолчанию резервный файл для сетевого каталога называется Network.bak, а резервный файл для локального каталога – Local.bak. 4. Для восстановления каталога FactoryTalk Directory, содержащегося в выбранном архиве, нажмите Finish (Закончить). Если вы восстанавливаете архив, созданный в ранних версиях платформы FactoryTalk на более позднюю версию, процесс восстановления автоматически обновляет данные в системной папке System для совместимости с более поздней версией, при этом исходные данные архива сохраняются. Например, предположим, вы восстанавливаете архив, созданный на платформе FactoryTalk Automation Platform 2.00 (CPR 7), в каталог FactoryTalk Directory, который обновили до FactoryTalk Services Platform 2.10 (CPR 9). Процесс восстановления сохранит исходные учетные записи пользователей и все настройки политик системы и безопасности, но кроме того, обновит системную папку System для включения новых опций и политик, доступных с FactoryTalk Services Platform 2.10. 5. После восстановления каталога, выполните резервирование и восстановите файлы и базы данных проекта отдельно от программных продуктов, и затем подтвердите учетные записи системы безопасности и компьютеров. См. далее. 188 14 • Развертывание системы FactoryTalk После восстановления всего каталога FactoryTalk Directory Резервный файл не содержит информацию по конфигурациям и проектам, индивидуальную для каждого программного проекта. Резервируйте и восстанавливайте файл проектов в каждом программном продукте по отдельности. См. раздел «После резервирования каталога или приложения» в справке FactoryTalk Help. После восстановления всего каталога FactoryTalk Directory из резервного файла: Если ваше приложение включает: Серверы HMI, восстановите файлы FactoryTalk View отдельно. За справкой обращайтесь к документации FactoryTalk View. Серверы данных RSLinx Classic, запустите утилиту резервирования и восстановления RSLinx Backup Restore для восстановления конфигурации сервера данных. Из Windows меню Start (Пуск) выберите Rockwell Software > RSLinx > Backup Restore Utility. Серверы RSLinx Enterprise, скопируйте ранее скопированный файл конфигурации соединений обратно в исходный каталог C:\Documents and Settings\All Users\Application Data\Rockwell\RSLinx Enterprise\RSLinxNG.xml. Затем перезапустите компьютер. Журналы FactoryTalk Alarms and Events, используйте инструменты Microsoft SQL Server для восстановления зарезервированных файлов базы данных. Для восстановления соединения восстановленного определения базы данных с основной базой данных в окне проводника откройте System (Система) > Connections (Соединения) > Databases (Базы данных). Дважды щелкните по определению базы данных, чтобы открыть её параметры, затем нажмите OK. FactoryTalk Transaction Manager, восстановите ваш проект. Из меню Configuration (Конфигурация) выберите Restore (Восстановить). FactoryTalk Batch, скопируйте раннее скопированные файлы FactoryTalk Batch обратно в исходное месторасположение. За справкой обращайтесь к документации FactoryTalk View. После восстановления всего каталога FactoryTalk Directory, проверьте следующее: Обновите связанные с Windows группы. После переноса системной папки System в новый домен Windows, связанные с Windows группы пользователей, существовавшие в исходном домене, могут отсутствовать в новом. Администратор может использовать FactoryTalk Administration Console для изменения исходных связанных с Windows групп на группы в новом домене. Тогда настройки безопасности связанных с Windows групп автоматически обновятся для нового домена. См. «Перенес связанных с Windows учетных записей пользователей в новый домен» в справке FactoryTalk Help. Если в вашей системе использовались учетные записи локальной рабочей станции как часть рабочей группы Windows, связанные с Windows учетные записи пользователей не сохранят свои настройки безопасности после восстановления системной папки System. Мы рекомендуем использовать с рабочими группами учетные записи FactoryTalk Security, вместо связанных с Windows учетных записей. См. «Связанные с Windows учетные записи не сохранили прав доступа после восстановления» в справке FactoryTalk Help. Также см. «Использование связанный с Windows учетных записей с рабочими группами Windows» в справке FactoryTalk Help. Обновите учетные записи компьютеров в сетевом каталоге. Если политика системы «Требовать учетной записи компьютера для всех клиентских машин» разрешена, тогда только клиентские компьютеры, добавленные к списку компьютеров в сетевом каталоге, будут иметь доступ к данному каталогу. 189 FactoryTalk Security Руководство по быстрому запуску При восстановлении сетевого каталога к системной папке System в сетевом каталоге автоматически добавляется компьютер, на котором расположен сервер сетевого каталога, и клиентский компьютер, с которого выполнялось восстановление. После восстановления каталога в новый домен, обновите учетные записи компьютеров, чтобы разрешить компьютерам в сети доступ к сетевому каталогу. Для обновления учетных записей компьютера запустите FactoryTalk Administration Console на компьютере-сервере сетевого каталога и на клиентском компьютере, где выполнялось восстановление, и войдите как администратор. Переименуйте существующие учетные записи компьютеров. Переименуйте существующие учетные записи компьютеров для старого домена для облегчения их привязки к компьютерам в новом домене. Это сохранит все настройки безопасности, примененные к данному компьютеру в старом домене. Для смены имени учетной записи компьютера, щелкните правой кнопкой в окне проводника, выберите Properties (Параметры) из открывшегося меню, а затем либо введите имя компьютера или нажмите кнопку Browse (Обзор) для поиска компьютера. Удалите старые учетные записи компьютеров. Если какой-либо учетной записи компьютеров больше не будет в новом домене, и она не будет связана с компьютерами нового домена, удалите их. Для удаления щелкните правой кнопкой по учетной записи компьютера, затем нажмите Delete (Удалить) из контекстного меню. Добавьте новые учетные записи компьютеров. Для разрешения дополнительным компьютерам в сети доступа к восстановленному сетевому каталогу добавьте их. Для добавления учетной записи компьютера щелкните правой кнопкой по папке Computers (Компьютеры), затем нажмите New Computer (Новый компьютер) из открывшегося меню. Если вы удалите учетную запись, а затем воссоздадите, её настройки безопасности потеряются. Для привязки компьютеров одного домена к другому, переименуйте учетные записи компьютеров вместо их удаления или воссоздания. 190 Проверьте настройки безопасности для Networks and Devices (Сети и устройства) и обновите по необходимости. Дерево Networks and Devices (Сети и устройства) показывает информацию по сетям и устройствам, соединенным с локальным компьютером. Содержание дерева Networks and Devices (Сети и устройства) не включается в резервный файл, но любые настройки безопасности, заданные для сетей и устройств, в него включаются. Если архив восстанавливается на компьютере, соединенном с теми же сетями и устройствами, с использованием тех же драйверов или логических имен, восстановленные из резервного файла настройки безопасности будут действовать. Если вы изменили имя компьютера с сервером предупреждений, новый хосткомпьютер должен быть перезапущен. Это необходимо для подтверждения запуска серверов предупреждений. Если база данных истории предупреждений не была восстановлена и так и не была создана в системе, необходимо создать базу данных журнала предупреждений следующим образом: В окне проводника FactoryTalk Administration Console разверните System (Система) > Connections (Соединения)> Databases (Базы данных). Дважды щелкните по определению базы данных, чтобы открыть её параметры. По необходимости обновите имя компьютера-хоста сервера базы данных, затем нажмите OK. Нажатием OK создается база данных журнала предупреждений. ПРИЛОЖЕНИЕ A Обновление FactoryTalk Services Platform Данный раздел содержит описание действий по обновлению FactoryTalk® Security. Это включает указания по установке последней версии FactoryTalk Services Platform, активации программного обеспечения и настройке каталогов FactoryTalk Directory. FactoryTalk Services Platform является составной частью установочного процесса любого продукта FactoryTalk, хотя каждый продукт может устанавливать эту платформу по-разному. Например, в FactoryTalk View установка FactoryTalk Services Platform является просто одним из шагов установочного процесса: Перед тем, как вы начнете FactoryTalk Services Platform устанавливается вместе с программными продуктами, для которых эта платформа нужна. Процессы установки и обновления отличаются, в зависимости от того, какие продукты вы устанавливаете или обновляете. За пошаговыми инструкциями обращайтесь к информации по установке каждого продукта. При обновлении программного обеспечения платформы FactoryTalk При обновлении до FactoryTalk Services Platform 2.10 (CPR 9) на компьютере, где была установлена FactoryTalk Automation Platform 2.00 (CPR 7) процесс установки: создает резервный файл для любого существующего каталога FactoryTalk Directory, настроенного на этом компьютере. В случае если позже понадобится удаление FactoryTalk Services Platform 2.10 и переустановка FactoryTalk Automation Platform 2.00, восстановите созданный резервный файл, чтобы откатить каталог FactoryTalk Directory на его предыдущее состояние. См. Восстановление на предыдущих системах после обновления программы платформы FactoryTalk. 191 FactoryTalk Security Руководство по быстрому запуску проверяет локальный и сетевой каталог на компьютере. Если каталог будет обнаружен, установочный процесс обновит его для поддержки новых политик и возможностей, но оставит исходные настройки безопасности и политики неизменными. Если не один каталог не был создан, установочный процесс создаст его и настроит его, автоматически добавив учетную запись локального компьютера и локальную группу администраторов Windows Administrators к каталогу, а также установив по умолчанию разрешение на полный доступ всем учетным записям пользователей к этому каталогу. Данное действие позволяет любой учетной записи пользователя с привилегиями администратора Windows иметь возможность немедленно войти в каталог, без необходимости сначала создавать учетную запись администратора FactoryTalk Administrator. обновляет каждый каталог FactoryTalk Directory новыми политиками продукта, системы и поддержкой новых возможностей. оставляет все исходные настройки неизменными, включая настройки безопасности, учетные записи пользователей и групп и настройки политики. При обновлении компьютеров в распределенной системе Сначала обновите клиентские компьютеры, а компьютер-сервер каталога FactoryTalk Directory обновите последним. Это значит, что можно иметь смесь клиентов, работающих на FactoryTalk Services Platform, версия 2.10 (CPR 9), и сервер сетевого каталога FactoryTalk Network Directory Server, работающий на FactoryTalk Automation Platform, версия 2.00 (CPR 7) Однако нельзя соединить клиенты на CPR 7 с сервером сетевого каталога на CPR 9. Если на компьютере-сервере сетевого каталога FactoryTalk Network Directory Server запущена FactoryTalk Automation Platform 2.00 (CPR 7), клиент-компьютеры могут работать как на FactoryTalk Automation Platform 2.00 (CPR 7), так и на FactoryTalk Services Platform 2.10 (CPR 9), но новые возможности не будут доступны, пока не будет обновлен компьютер-сервер сетевого каталога. Для использования новых возможностей FactoryTalk Services Platform 2.10 (CPR 9) компьютер-сервер сетевого каталога должен быть обновлен. Новые возможности не поддерживаются на компьютере-сервере сетевого каталога с запущенной FactoryTalk Automation Platform 2.00 (CPR 7) Если компьютер-сервер сетевого каталога обновляется до FactoryTalk Services Platform 2.10 (CPR 9), то все клиент-компьютеры в сети должны быть тоже обновлены до FactoryTalk Services Platform 2.10 (CPR 9). Работа FactoryTalk Automation Platform 2.00 (CPR 7) на клиент-компьютерах, соединенных с сервером сетевого каталога с FactoryTalk Services Platform 2.10 (CPR 9) не поддерживается. Обновление клиент-компьютеров первыми 1. Перед обновлением FactoryTalk Services Platform, закройте все программные продукты Rockwell, запущенные на данном компьютере. 2. Некоторые продукты Rockwell работают как службы, в фоновом режиме. Перед обновлением FactoryTalk Services Platform, удалите такие продукты. За подробностями обращайтесь к документации для вашего продукта. 192 A • Обновление FactoryTalk Services Platform Установочная программа для каждого продукта определяет, какие программы должны быть удалены; большинство выполнит удаление автоматически и затем продолжит установку новой версии. 3. Убедитесь, что вошли в систему с правами администратора Windows. Как часть установочного процесса, FactoryTalk Services Platform создает папки программ и редактирует записи реестра, а также устанавливает службы FactoryTalk на данный компьютер. Для внесения таких изменений текущий пользователь должен иметь права администратора в Windows на компьютере, на котором выполняется установка FactoryTalk Services Platform. Обновление компьютера-сервера последним 1. Войдите в Windows с правами администратора. 2. Перед обновлением FactoryTalk Services Platform, закройте все программные продукты Rockwell, запущенные на данном компьютере. 3. Перед обновлением компьютера-сервера сетевого каталога FactoryTalk Network Directory Server, отсоедините данный компьютер от сети. Это не даст клиент-компьютерам доступа к серверу сетевого каталога во время обновления. 4. Некоторые продукты Rockwell работают как службы, в фоновом режиме. Перед обновлением FactoryTalk Services Platform, удалите такие продукты. За подробностями обращайтесь к документации для вашего продукта. 5. По окончании обновления, переподключите компьютер-сервер сетевого каталога к сети. Определение установленной версии платформы FactoryTalk 1. В Windows меню Start (Пуск) щелкните Control Panel (Панель управления). 2. Дважды щелкните Add or Remove Programs (Установка и удаление программ). 3. В списке установленных программ отобразится либо FactoryTalk Automation Platform, либо FactoryTalk Services Platform с указанием версии. Что требуется CD диск связанного с FactoryTalk продукта (CPR 9) Доступ в Интернет (для активации) Для описания в данном руководстве для установки описанных ниже приложений используется установочный диск FactoryTalk View SE. С данного диска мы установим FactoryTalk Services Platform, FactoryTalk Activation и FactoryTalk View SE. 193 FactoryTalk Security Руководство по быстрому запуску Установка FactoryTalk Services Platform При установке FactoryTalk Services Platform 2.10 (CPR 9) установочный процесс создает резервный файл всех существующих каталогов FactoryTalk Directory, уже настроенных на данном компьютере. В случае если позже понадобится удаление FactoryTalk Services Platform 2.10 и переустановка FactoryTalk Automation Platform 2.00, восстановите созданный резервный файл для отката каталога FactoryTalk Directory. Начиная с CPR 9, FactoryTalk Automation Platform была переименована в FactoryTalk Services Platform. Кроме FactoryTalk Services платформа FactoryTalk Services Platform устанавливает следующие связанные с безопасностью компоненты: FactoryTalk Security заменяет RSAssetSecurity в CPR 9. Import RSSecurity Configuration (Импортирование конфигурации RSSecurity) – для перевода всей системы RSSecurity Server на FactoryTalk Security. За дополнительной информацией обращайтесь к разделу «Импортируйте базы данных RSSecurity Server при необходимости» на странице 195. RSSecurity Emulator Install (Установка RSSecurity Emulator) – для соединения существующих клиентов RSSecurity Server с каталогом FactoryTalk Directory или для использования RSLinx Enterprise и RSLogix 5000 с FactoryTalk Security. См. «Установка RSSecurity Emulator» на странице 88. 1. Установка FactoryTalk Services Platform v. 2.10 (CPR 9) Для описания в данном руководстве для установки описанных ниже приложений используется установочный диск FactoryTalk View SE Вставьте диск продукта FactoryTalk, например FactoryTalk View SE, и подождите, пока не откроется программа установки. Если программа установки не запускается автоматически, запустите D:\setup.exe, где D - дисковод с диском. В окне продукта, выберите Install FactoryTalk Services Platform (Установить FactoryTalk Services Platform). Если установочная программа обнаружит более раннюю версию FactoryTalk Automation Platform, она предложит сначала удалить её. Установочная программа выполнит удаление при нажатии на кнопку Yes. 194 Следуйте подсказкам для завершения установки FactoryTalk Services Platform. A • Обновление FactoryTalk Services Platform При выводе запроса установите флажок Install the FactoryTalk Administration Console (Установить FactoryTalk Administration Console) только если Administration Console уже установлена на данном компьютере. Установочная программа выполнит резервирование существующих каталогов FactoryTalk Directory и сообщит о расположении резервных файлов. В целях безопасности устанавливайте Administration Console только там, где она необходима. Следуйте указаниям на экране для завершения установки. 2. Чтобы войти в FactoryTalk, сделайте что-либо из следующего: Из меню Windows меню Пуск выберите Start (Пуск) > All Programs (Все программы) > Rockwell Software > FactoryTalk Tools > Log on to FactoryTalk Войдите в продукт FactoryTalk и использовать ту же учетную запись для автоматического входа в FactoryTalk Directory. 3. Импортируйте базу данных RSSecurity Server при необходимости: Из Windows меню Start (Пуск) выберите All Programs (Все программы) > Rockwell Software > FactoryTalk Tools а затем выберите Import RSSecurity Configuration (Импортировать конфигурацию RSSecurity). 195 FactoryTalk Security Руководство по быстрому запуску 196 Выберите Import File (Импортировать файл). Выберите подходящий файл для импортирования и месторасположения каталога FactoryTalk Directory. Подтвердите импортирование нажатием кнопки Yes в сообщении-предупреждении. A • Обновление FactoryTalk Services Platform Введите имя и пароль (должны иметь права администратора), затем щелкните OK Определитесь, каким образом группы действий и ресурсов нужно импортировать в FactoryTalk. Решите проблемы импортирования, выбрав проблему, определив решение и нажав Continue (Продолжить). 197 FactoryTalk Security Руководство по быстрому запуску Свяжите группы ресурсов из Security Server с деревом приложений FactoryTalk. На следующем рисунке показаны группы ресурсов RG1 и RG2, связанные с текущими приложениями FactoryTalk. 198 Нажмите OK для завершения процесса импортирования, затем нажмите OK в окне «Import successful» (Импортирование проведено успешно). A • Обновление FactoryTalk Services Platform 4. Просмотрите состояние импортирования, открыв файл Sentinel(Import Status).txt. Отобразится следующее изображение: В окне проводника каталога FactoryTalk Directory отображается импортированная информация. Также можно просматривать импортированные ресурсы. Щелкните правой кнопкой по приложению в окне проводника, выберите Resource Editor (Редактор ресурсов) из открывшегося меню. Откроется редактор ресурсов Resources Editor. Щелкайте в различных предложениях и зонах для отображения связанных ресурсов. 199 FactoryTalk Security Руководство по быстрому запуску 200 ПРИЛОЖЕНИЕ B Что такое FactoryTalk Directory? FactoryTalk Directory содержит ссылки на теги, серверы данных, настройки безопасности и другую информацию по проектам из многочисленных источников данных и обеспечивает доступ к этой информации с помощью службы поиска для всех программных продуктов, участвующих в системе FactoryTalk. Например, теги хранятся в исходном месте, таком как логические контроллеры, а графические дисплеи всегда хранятся на серверах HMI, на которых расположены. Однако вся информация без необходимости дубликатов доступна любому продукту FactoryTalk, включенному в каталог FactoryTalk Directory. Каталог может быть либо локальным, либо сетевым. (См. «Понимание локальных и сетевых каталогов» для получения дополнительной информации.) Создание собственной системы FactoryTalk Можно создать такую систему FactoryTalk, которая подходит под требования вашего предприятия. Например, простая система FactoryTalk может состоять из продуктов: FactoryTalk Services Platform, FactoryTalk View, RSLinx Classic, и RSLogix 5000, которые установлены на одном компьютере и связываются с помощью одного программируемого логического контроллера (PLC), а также включены в одно локальное приложение, которое содержится в локальном каталоге. 201 FactoryTalk Security Руководство по быстрому запуску Или система FactoryTalk может быть более сложной: с программными продуктами и аппаратными устройствами, которые участвуют в нескольких сетевых приложениях, распределенных по сети, и имеют общий сетевой каталог и общие службы FactoryTalk. Понимание локальных и сетевых каталогов На одном компьютере может располагаться как локальный (Local Directory), так и сетевой каталог (Local Directory). Данные два каталога являются отдельными и не имеют общей информации. Если используется два каталога, то один компьютер будет участвовать в двух отдельных системах FactoryTalk. Как локальный, так и сетевой каталог поддерживает централизованные службы безопасности, управляемые FactoryTalk Security. Тип необходимого каталога зависит от того, какие программные продукты планируется использовать, и какая среда (автономная или сетевая) будет использоваться. 202 B • Что такое FactoryTalk Directory? Используете вы локальный каталог или сетевой, система FactoryTalk не обязательно будет содержаться в одном приложении. Некоторые службы и настройки FactoryTalk применяются ко всем приложениям в каталоге, а другие являются индивидуальными для определенного приложения. В приведенном выше примере сетевого каталога имеются два сетевых приложения: одно с названием «Сточные воды», а другое «Водоснабжение». Все области, серверы данных, серверы HMI, серверы устройств, серверы предупреждений и событий в рамках одного приложения являются специальными для данного приложения. Связанная с каким-либо приложением информация не распространяется на другие приложения в данном каталоге. Однако вся информация и настройки системной папки System, например, настройки безопасности, политика системы, политика продукта, учетные записи пользователей и т.д. применяются ко всем приложениям в каталоге. Например, если была создана новая зона в приложении «Сточные воды» и добавлен новый сервер Tag Alarm and Event, изменение не коснется приложения «Водоснабжение». Однако если изменяется политика безопасности, изменение применяется к приложениям «Сточные воды» и «Водоснабжение». Данная установка также применяется для любых других новых приложений, созданных в будущем в этом сетевом каталоге. Выбор каталога для FactoryTalk Security Службы FactoryTalk Security интегрированы как в локальный каталог FactoryTalk Local Directory, так и в сетевой каталог FactoryTalk Net¬work Directory. В приведённой таблице указывается, для каких продуктов требуется локальный каталог, для каких – сетевой, и какие продукты могут использовать любой из этих каталогов. Название продукта Локальный Сетевой FactoryTalk Administration Console FactoryTalk AssetCentre FactoryTalk Batch FactoryTalk Gateway FactoryTalk Historian | Historian Classic FactoryTalk Historian for Batch FactoryTalk Metrics FactoryTalk Scheduler FactoryTalk Transaction Manager FactoryTalk View ME FactoryTalk View SE FactoryTalk View SE Local RSAutomation Desktop RSBizWare BatchCampaign RSBizWare eProcedure RSLinx Classic RSLinx Enterprise RSLogix 5/500 RSLogix 5000 RSMACC 203 FactoryTalk Security Руководство по быстрому запуску Название продукта 204 Локальный Сетевой ПРИЛОЖЕНИЕ C Использование мастера конфигурации каталога FactoryTalk Directory Configuration Wizard Мастер FactoryTalk® Directory Configuration Wizard позволяет настраивать каталог FactoryTalk Directory вручную после установки FactoryTalk Services Platform. FactoryTalk Directory дает продуктам совместный доступ к адресной книге, что позволяет находить и предоставлять доступ к ресурсам производства, таким как теги данных и графические дисплеи. Обычно настройка каталога FactoryTalk Directory выполняется автоматически во время установки, и нет необходимости запускать мастер конфигурации каталога. Когда использовать мастер конфигурации каталога FactoryTalk Directory? Мастер конфигурации каталога FactoryTalk Directory Configuration Wizard предназначен для использования администраторами FactoryTalk. Запустите мастер конфигурации каталога, если: при установке FactoryTalk Services Platform произошла ошибка, или появилось сообщение о необходимости ручного запуска мастера. произведено обновление существующего каталога FactoryTalk Directory с FactoryTalk Automation Platform версии 2.0, но во время обновления действенная учетная запись администратора FactoryTalk не была обнаружена для данного каталога. FactoryTalk Services Platform была установлена с удаленного клиента (такого как Remote Desktop (Удаленный рабочий стол) или Terminal Services (Службы терминалов)). FactoryTalk Directory нельзя настроить с удаленного клиента. Необходимо обязательно запустить мастер конфигурации FactoryTalk Directory Configuration Wizard на Windows® консоли компьютера. невозможно получить доступ к учетной записи администратора FactoryTalk в сетевом или локальном каталоге. Запуск мастера сбрасывает заблокированную учетную запись администратора или позволяет сменить пароль с истекшим сроком действия для учетной записи администратора. Вместо этого можно воспользоваться другим пользователемчленом группы администраторов FactoryTalk для сброса заблокированных учетной записи или пароля. Если учетная запись администратора была отменена, воспользуйтесь другим пользователем для активации вашей учетной записи в FactoryTalk Administration Console. В каталоге отменить учетную запись администратора FactoryTalk нельзя. Если нет других доступных пользователей или вы не знаете пароль к другой учетной записи администратора (например, в связи с тем, что этот пользователь покинул организацию), свяжитесь с технической поддержкой Rockwell Automation. 205 FactoryTalk Security Руководство по быстрому запуску Использование мастера конфигурации каталога FactoryTalk Directory Configuration Wizard С компьютера, где установлена FactoryTalk Services Platform, войдите в Windows с использованием учетной записи пользователя-члена локальной группы администраторов Windows. Необходим вход администратора Windows для запуска мастера конфигурации каталога. 1. Из меню Windows меню Пуск выберите Start (Пуск) > All Programs (Все программы) > Rockwell Software > FactoryTalk Tools > FactoryTalk Tools > FactoryTalk Directory Configuration Wizard. 2. Следуйте указаниям по настройке сетевого и/или локального каталога. Для получения справки по опциям в любом диалоговом окне нажмите кнопку Help (Справка). 206 ПРИЛОЖЕНИЕ D Защита источника процедур RSLogix 5000 Функция RSLogix 5000 Source Protection позволяет защитить процедуры, используя ключ источника. Используя данную функцию, можно открыть файлы проектов RSLogix 5000. После открытия требуемого проекта, все процедуры в данном проекте отображаются, организованные программой. Если процедура уже защищена, её ключ источника отображается справа от названия процедуры. Для того чтобы защитить процедуру, просто выберите требуемую процедуру и нажмите кнопку Protect (Защитить) в диалоговом окне Source Protection Configuration (Конфигурация защиты источника). Если расположение ключа источника не указано, выведется запрос на подтверждение необходимости задать расположение. Также можно: нажать кнопку Specify (Указать) для настройки расположения ключа источника Нажатие на данную кнопку запускает диалоговое окно Apply Source Key (Применение ключа источника), откуда можно ввести или выбрать путь к файлу ключа источника sk.dat. Если будет введено место, где данный файл отсутствует, будет выведен запрос на подтверждение создания нового файла. нажать кнопку View (Показать) для отображения ключа источника Нажать кнопку Clear (Очистить) для удаления ссылки на месторасположение файла. Если требуется удалить защиту источника из процедуры, просто нажмите кнопку Unprotect (Отменить защиту). Установка RSLogix 5000 Source Protection предоставляется на установочном диске RSLogix 5000 в папке /Tools. 207 FactoryTalk Security Руководство по быстрому запуску Дважды щелкните RS5KSrcPtc.exe для установки RSLogix 5000 Source Protection. Нажмите Yes. Настройка защиты источника (Source Protection) в файле проекта После установки инструмента Source Protection Tool, Configure Source Protection (Настройка защиту источника) будет доступно в меню Tools (Инструменты) > Security (Безопасность). Защита источника может быть настроена только в файле неактивного проекта. 1. Запустите защиту источника: 208 После открытия файла неактивного проекта, выберите Source Protection (Защита источника) в меню Tools (Инструменты) > Security (Безопасность). Для Source Protection требуется указать расположение файла с ключом источника. Нажмите Yes, чтобы указать месторасположение файла ключа источника. Нажмите кнопку обзора, чтобы указать месторасположение файла ключа источника. D • Защита источника процедур RSLogix 5000 Найдите папку, где будет храниться файл ключа. Файл ключа можно сохранить в любой доступной папке. В нашем примере папка C:\RSLogix5000\Project используется как место хранения файла ключа. Нажмите OK для продолжения. Если файл ключа не будет обнаружен в указанном месте, будет предложено создать новый файл ключа. Нажмите Yes, чтобы продолжить и создать новый файл ключа. 209 FactoryTalk Security Руководство по быстрому запуску 2. Просмотрите опции конфигурации защиты источника. При открытии диалогового окна Source Protection Configuration (Конфигурация защиты источника) отображаются все программные процедуры и добавочные инструкции в файле проекта. 3. Выберите процедуру, которая требует защиты: 210 Выделите процедуру для защиты и нажмите кнопку Protect (Защитить). D • Защита источника процедур RSLogix 5000 Введите ключ источника для применения процедуры. В нашем примере dayofweek (деньнедели) установлен как ключ для процедуры DayOfWeek. Обычно ключ не совпадает с названием процедуры. Нажмите OK для продолжения. При попытке назначить ключ источника процедуре при еще неопределенном месте хранения ключа источника система предложит создать новый файл. Теперь процедура DayOfWeek защищена файлом ключа dayofweek. Если прежде указывалось место хранения и требуется его изменить, то нажмите кнопку Specify (Указать) в диалоговом окне Source Protection Configuration (Конфигурация защиты источника), чтобы сменить его. Выберите следующую требующую защиты процедуру и нажмите Protect (Защитить). Данный пример использует процедуру Test_DOW. 211 FactoryTalk Security Руководство по быстрому запуску Введите ключ источника для применения процедуры. В нашем примере test_dow установлен как ключ для процедуры Test_Dow. Заметьте, что можно установить флажок Allow viewing of routine (Разрешить отображение процедуры) в данном диалоговом окне, чтобы разрешить отображение процедуры, но не редактирование в системе, в которой нет надлежащих ключей источника. Если оставить этот флажок пустым, источник невозможно будет отобразить. Защищенные процедуры не разрешающие отображение, не могут быть отображены системами без необходимых файлов ключа. Для обеспечения возможности отображения Test_DOW, установите флажок Allow viewing of component(s) (Разрешить отображение компонентов), затем нажмите OK для назначения процедуре ключа. Процедура Test_DOW защищена, но может быть отображена в режиме «только чтения» источниками, у которых нет файла ключа. 212 Оставшаяся процедура Valve_Logic и добавочная инструкция MyValveAOI также можно защитить, выполнив те же действия. Когда для всех процедур и добавочных инструкций будет назначены ключи, нажмите Close (Закрыть). D • Защита источника процедур RSLogix 5000 4. Сохраните файл проекта и загрузите его в контроллер. Отображение и редактирование защищенных процедур Когда файл проекта открывается или редактируется в системе без ключей, использованных для защиты этого файла проекта, процедуры и добавочные инструкции будут защищены на основе конфигурации защиты источника. Test_DOW защищена и настроена на отображение. Процедура может быть открыта в режиме «только чтение» в системе, где нет необходимого для процедуры ключа; пользователь не сможет вносить изменения в процедуру. 213 FactoryTalk Security Руководство по быстрому запуску Процедуры или добавочные инструкции, которые были защищены, но не настроены на отображение, открыть невозможно. Процедуру DayOfWeek невозможно открыть в системе, в которой нет использованного для защиты процедуры ключа. Обратите внимание, что пиктограмма процедуры становится серой, и это значит, что процедуру невозможно открыть. MyValveAOI невозможно открыть в системе, в которой нет использованного для защиты добавочной инструкции ключа. Связано это с тем, что MyValveAOI была защищена, но не настроена на отображение. Данная добавочная инструкция показана в окне проводника проекта, но параметры и локальные теги для этой добавочной инструкции просмотреть нельзя, потому что система не содержит необходимого ключа, который использовался для защиты. 214 D • Защита источника процедур RSLogix 5000 В нижеприведенном примере показана добавочная инструкция MyValveAOI, просматриваемая с системы, имеющей использованный для защиты ключ. Файл с ключом и распространение ключа Ключи защиты источника хранятся незашифрованными в текстовом файле. Рекомендуется выполнить резервацию файла ключа и сохранить в безопасном месте. Если необходимо, отдельные ключи можно распределить или предоставить для соответствующих пользователей. Ключи, созданные при защите процедур и добавочных инструкций с помощью Source Protection (Защита источника), хранятся в файле sk.dat в незашифрованном виде. 215 FactoryTalk Security Руководство по быстрому запуску 216 Алфавитный указатель Числа для RSLogix 5000 100 восстановление 3.20 - вкладка учетной записи пользователя 155 каталога FactoryTalk Directory 187 передовой опыт 155 приложения на компьютер действующей системы 153 А автономная система вход в систему пример 6 FactoryTalk 21, 28 активация программного обеспечения FactoryTalk 9 RSLinx Enterprise 16 выполнение 34 Г графический дисплей активация EvRSI activation 16 настройка безопасности 149 аппаратные требования xii группа пользователей аутентифицированные пользователи 137 создание 50 Б группирование ресурсов 79, 80 безопасность дерево Networks and Devices 80 настройки 29 группы 25 общие действия 143 группы действий 24, 30, 64 усиление 35 назначение прав доступа 66 Batch View 168 переименование 67 безопасность в системе автоматизации 1 работа с 67 обзор 1 редактирование 67 понимание 1 системная папка System 24 безопасность действующей системы 151 создание 64 безопасность Batch 161 создание новых 67 В удаление 67 группы ресурсов вкладка Application 23 планирование 82 вкладка Communications 24 вкладки Application и Communications 23 включение подтверждения настроек в FactoryTalk Batch View 172 включение функций безопасности для файла проекта RSLogix 5000 102 Д действия защита 30 категории прав доступа 61 тег 35 xv FactoryTalk Security Руководство по быстрому запуску частей системы 48 FactoryTalk Batch 31 защита источника процедуры FactoryTalk Transaction Manager 31 RSLinx Enterprise 30 в файле проекта 208 RSLogix 5 31 распределение ключа 215 RSLogix 500 31 установка 207 RSLogix 5000 31 файл ключа 215 действия тегов 35 RSLogix 5000 207 группы действий пользователя 35 защита системы разработки 151 значение записи 35 защищенные логические процедуры отображение 213 действия, защищаемые по умолчанию 30 редактирование 213 действующая сиситема значение записи 35 настройка компьютеров 181 зона 23 действующие права доступа 63 добавление И контроллера в FactoryTalk Security 106 идентификатор GUID 52, 157 логического имени 84 удаление 52 учетных записей компьютеров 53 использование учетных записей пользователя 145 группирования ресурсов 80 учетных записей пользователя в FactoryTalk View ME 145 мастера конфигурации каталога 205 учетных записей пользователя в FactoryTalk View SE 124 редактора ресурсов 82 К дополнительные возможности каталог группирование ресурсов 79 выбор для FactoryTalk Security 203 дополнительные ресурсы xiii категории прав доступа 61 Е для действий 61 клиент-компьютер если имя контроллера не отображается 108 обновление 192 З указание сервера каталога FactoryTalk Directory 27 загрузка компьютеры и группы файла проекта в RSLogix 5000 105 системная папка 25 запись 32 контроллеры PLC, и OPC сторонних производителей защита 113 конфигурирование действий пользователя 30 контроллеров PLC, и OPC сторонних производителей 113 ресурсов контроллера 108 xvi защиты источника в файле проекта 208 Л локальные приложения 5 Алфавитный указатель обновление локальный и сетевой каталог 202 локальный каталог клиент-компьютеров 192 понимание 202 платформы FactoryTalk Services Platform 191 сервер-компьютера 193 Н общие действия 32 назначение политики системы 71 выполнение 34 назначение прав доступа 57, 61, 91 для RSLinx Classic 91 запись 32 передовой опыт 59 настройка безопасности 33 с группами действий 66 перечисление дочерних записей 34 создание дочерних записей 33 наследование 59, 81 логических имен 81 удаление 34 относительных сетевых путей 81 чтение 32 окно проводника 22 понимание 59 сетей и устройств 81 настройка П передовые опыты безопасности 33 запрещающие права доступа 62, 110 безопасности в RSLinx Classic 91 использование вкладки 3.20 учетной записи пользователя 155 защиты команд FactoryTalk Batch 171 защиты окон FactoryTalk Batch View 168 защиты редактора оборудования 173 защиты редактора рецептов 173 защиты режима доступа 174 защиты функций 74 нескольких продуктов 74 нескольких функций продукта 74 одной функции продукта 75 политики продукта FactoryTalk Batch 168 RSLinx Classic 90, 91 несколько приложений О назначение прав доступа 59 резервирование локального каталога 139 создание групповых учетных записей 47 создание пользователей и групп FactoryTalk 47 требуемые права 122 переименование групп действий 67 переход учетных записей ME Runtime 3.20 156 перечисление дочерних записей 34 планирование группирования ресурсов 82 планирование учетных записей 47 политика аудита 69 обеспечение доступа к защищенным ресурсам контроллера 108 обзор системы FactoryTalk 5 безопасности 69 назначения прав пользователя 69 продукта 24, 69 системной папки System 24 этой публикации xi xvii FactoryTalk Security Руководство по быстрому запуску системы 24, 69 спланируйте систему 5 права доступа системы безопасности политика аудита 69 политика безопасности наследование 81 назначение прав пользователя 186 приложение 5, 22 требование наличия учетной записи компьютера для всех компьютеров 26 локальное 5 сетевое 5 политика в масштабах системы 69, 71 программные требования xii аудит 69 просмотр безопасность 69 защищенных процедур 213 назначение прав пользователей 69 политика назначения прав пользователей 69 политика продукта 24, 69, 73, 123 и наследование 73 настройка 123 политика продукта и действия в чем различия 73 политика системы 25, 69, 123 назначение 71 установка 123 политики безопасности 69 пользователи и группы 26 системная папка System 26 порядок старшинства 60 после восстановления из резервного файла 189 каталога FactoryTalk Directory 189 права доступа действующие 63 запрет 58 категории 61 прав доступа 63 Р работа с вкладкой 3.20 учетной записи пользователя 155 группами действий 67 разворачивание системы FactoryTalk 179 на компьютерах действующей системы 181 настройка компьютеров системы разработки 179 условия 179 различия защищаемые действия и безопасность функций политики продукта 30 разрешающие и запрещающие права доступа 58 распределение ключа защита источника 215 распределенная система обновление компьютеров 192 пример 7 редактирование группы действий 67 редактор оборудования (Equipment Editor) назначение 57, 61 безопасность 173 наследуемые 59 опции настройки 175 отображение 63 режимы доступа 174 порядок старшинства 60 прямые 59 разрешение 58 xviii редактор ресурсов использование 82 редактор рецептов Алфавитный указатель опции настройки 175 системная папка 23 режимы доступа 174 несколько 144 резервирование создание каталог FactoryTalk Directory 186 вашей системы FactoryTalk 201 локальный каталог 152 групп действий 64 передовой опыт 139 групп действий для сценария-примера 65 приложение в режиме выполнения 152 групп пользователей 50 приложение для разработки 151 дочерних учетных записей 33 рекомендации по использованию RSLinx Classic с FactoryTalk Security 96 исключений для отдельных сетей и устройств 82 новых групп действий 67 ресурсы пользователей и групп Batch 163 планирование группирования 82 пользователей и групп FactoryTalk Batch 163 ресурсы контроллера учетных записей компьютера 53 защита 108 учетных записей пользователей 45, 48 С учетных записей FactoryTalk Security 117, 139 с чего начать 19 связанные с Windows учетные записи пользователей 46 Т требуемые сервер 22 аппаратные средства xii сервер-компьютер права доступа 186, 187 обновление 193 программы xii сетевой каталог понимание 202 указание расположения 27 сетевые приложения 5 сети 26 сети и устройства 26 группирование ресурсов 80 системная папка System 26 система одного входа вход в роли администратора 43 вход и выход 40 когда отключать 43 настройка 41 система разработки настройка компьютеров 179 учетные записи компьютеров 26 У удаление 34 групп действий 67 уникального идентификатора 52 учетных записей пользователей 52 указать расположение сетевого каталога 27 уникальный идентификатор 52 удаление 52 управление несколькими приложениями 151 уровень приложений 2 усиление безопасности 35 в новой системе 36 xix FactoryTalk Security Руководство по быстрому запуску в обновленой системе 40 условия 179 cоздание 117 Ф установка файл ключа клиента активации FactoryTalk Activation Client 13 компонентов FactoryTalk Batch 17 компонентов FactoryTalk View 15 защита источника 215 Ц цепочка наследования платформы FactoryTalk Services Platform 12, 194 разрыв 59 политик системы и продукта 122 программного обеспечения FactoryTalk 9 Ч чтение 32 программного обеспечения RSLogix 16 программы связи RSLinx 15 связанного с FactoryTalk программного обеспечения 12 сервера активации FactoryTalk Activation Server 13 сервера Microsoft Internet Information Server 12 FactoryTalk вход в систему 21 FactoryTalk система обзор 5 Microsoft SQL Server 2005 17 примеры 6 Microsoft SQL Server 2005 Express 16 развертывание 179 RSLogix 5000 Source Protection 207 создание 201 RSSecurity Emulator 14, 88 установка защиты на дисплей 149 устройства 26 учетная запись администратора Windows 28 учетная запись компьютера 25 создание 53 учетные записи планирование 47 пользователь 45 учетные записи пользователя добавление в FactoryTalk View ME 145 добавление в FactoryTalk View SE 124 связанные с Windows 46 создание 45 удаление 52 FactoryTalk 46 учетные записи системы безопасности создание в View ME 139 xx F FactoryTalk учетные записи 46 и связанные с Windows учетные записи 46 FactoryTalk Activation 16 FactoryTalk Administration Console 21 FactoryTalk Batch вместе с FactoryTalk Security 161 действия 31 и FactoryTalk Security 161 создание пользователей и групп 163 FactoryTalk Batch Server создание учетной записи пользователя 17 FactoryTalk Batch View настройка безопасности 168 настройка защиты окна View 168 FactoryTalk Directory Configuration Wizard 30, 205 запуск 206 когда запускать 205 Алфавитный указатель RSLinx Classic FactoryTalk Directory Server Location Utility 27 настройка на FactoryTalk Security 90, 91 FactoryTalk Directory-каталог 5 понимание 201 рекомендации 96 после восстановления 189 сети и устройства 26 резервирование 186 что можно защитить 96 резервирование локального 152 RSLinx Enterprise действия 30 FactoryTalk Security 151 вместе с FactoryTalk View ME 137 RSLogix 5 действия 31 вместе с FactoryTalk View SE 115 RSLogix 500 выбор каталога 203 действия 31 защита уровня приложений 2 RSLogix 5000 несколько системных папок 144 включение функций безопасности 100 обзор 1 вместе с FactoryTalk Security 99 открытие 20 действия 31 FactoryTalk Services Platform 5 защита источника процедуры 207 обновление 191 защита ресурсов контроллера 108 установка 194 файл проекта FactoryTalk Transaction Manager включение функций безопасности 102 действия 31 RSSecurity конфигурация FactoryTalk View ME импортирование 194 и FactoryTalk Security 137 RSSecurity Emulator настройка безопасности 139 установка 88, 194 FactoryTalk View ME Station RSWho Windows CE 137 настройки безопасности 26 FactoryTalk View SE и FactoryTalk Security 115 настройка безопасности 117 S SetSecKeys ключи безопасности 100 W R Windows CE RSLinx и FactoryTalk Security 87 FactoryTalk View ME Station 137 Windows Firewall Configuration Utility 13 Rockwell_FactoryTalk_Security_Quick_Start_ru_0111.pdf Санкт-Петербург Москва Екатеринбург тел. +7 812 327 3752 klinkmann@klinkmann.spb.ru тел. +7 495 641 1616 moscow@klinkmann.spb.ru тел. +7 343 376 53 93 yekaterinburg@klinkmann.spb.ru Самара Київ Минск тел. +7 846 273 95 85 samara@klinkmann.spb.ru тел. +38 044 495 33 40 klinkmann@klinkmann.kiev.ua тел. +375 17 2000 876 minsk@klinkmann.com Helsinki Rīga Vilnius Tallinn puh. +358 9 540 4940 automation@klinkmann.fi tel. +371 6738 1617 klinkmann@klinkmann.lv tel. +370 5 215 1646 post@klinkmann.lt tel. +372 668 4500 klinkmann.est@klinkmann.ee www.klinkmann.ru