FactoryTalk Security Руководство по быстрому запуску

КОМПЛЕКСНОЕ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ ПО УПРАВЛЕНИЮ
ПРОИЗВОДСТВОМ И ПОЛУЧЕНИЮ ЭКСПЛУАТАЦИОННЫХ ПАРАМЕТРОВ
РУКОВОДСТВО ПО БЫСТРОМУ ЗАПУСКУ
ПУБЛИКАЦИЯ FTSEC-QS001A-EN-E–Август 2007
1 / 2011
www.klinkmann.com
Связаться с Rockwell
Авторское право
Товарные знаки
Телефон поддержки — 1.440.646.3434
Сайт поддержки в Интернете — http://support.rockwellautomation.com
Авторское право ©2007 Rockwell Automation Technologies, Inc. Все права защищены.
Отпечатано в США.
Настоящее руководство и все сопутствующие продукты Rockwell Software защищены
авторским правом Rockwell Automation Technologies, Inc. Всякое воспроизведение и/
или распространение без предварительно полученного письменного согласия Rockwell
Automation Technologies, Inc. строго воспрещается. За подробностями обращайтесь к
лицензионному соглашению.
Allen-Bradley, FactoryTalk, PLC-2, PLC-3, PLC-5, Rockwell Automation, Rockwell
Software, RSLinx, RSView, и логотип Rockwell Software являются
зарегистрированными товарными знаками Rockwell Automation, Inc.
Следующие логотипы и продукты являются товарными знаками компании Rockwell
Automation, Inc.:
RSBizWare, логотип RSBizWare, RSBizWare Batch и FactoryTalk Batch, RSLogix,
RSView, FactoryTalk View, RSView Studio, FactoryTalk View Studio, RSView Machine
Edition, RSView ME Station и FactoryTalk View ME, FactoryTalk Activation, FactoryTalk
Administration Console, FactoryTalk Alarms and Events, FactoryTalk Automation Platform,
FactoryTalk Services Platform, FactoryTalk Directory, RSAssetSecurity и FactoryTalk
Security.RSLinx Classic, RSLinx Enterprise, SLC 5, SLC 500, и SoftLogix.
Другие торговые знаки
ActiveX, Microsoft, Microsoft Access, SQL Server, Visual Basic, Visual C++, Visual
SourceSafe, Windows, Windows ME, Windows NT, Windows 2000, Windows Server 2003,
и Windows XP являются зарегистрированными товарными знаками или товарными
знаками Microsoft Corporation в США и/или в других странах.
Adobe, Acrobat и Reader являются зарегистрированными товарными знаками или
товарными знаками Adobe Systems Incorporated в США и/или в других странах. OLE
for Process Control (OPC) является зарегистрированным товарным знаком OPC
Foundation.Oracle, SQL*Net и SQL*Plus являются зарегистрированными товарными
знаками Oracle Corporation. Все другие товарные знаки являются собственностью их
владельцев и признаются здесь как таковые.
Гарантия
На данный продукт распространяется гарантия в соответствии с лицензией. На работу
продукта может влиять конфигурация системы, выполняемая прикладная программа,
действия оператора, обслуживание и другие факторы. Rockwell Automation не несет
ответственности за промежуточные факторы такого типа. Содержащиеся в настоящем
руководстве инструкции не претендуют на то, чтобы учитывать все мелкие
подробности или отличия в описываемом оборудовании, методике или процессе, а
также определять действия при всех возможных непредвиденных ситуациях при
установке, эксплуатации или сопровождении. Реализация продукта может меняться от
пользователя к пользователю.
Данное руководство актуально на момент выпуска продукта. Однако в
сопроводительном программном обеспечении Rockwell Automation, Inc. оставляет за
собой право изменять любую информацию, содержащуюся в данном руководстве, в
любой момент без предупреждения. Вы должны убедиться, что обладаете наиболее
последней информацией от Rockwell во время установки или использования продукта.
Версия: 9.00.05 (CPR 9)
Редакция: 19 сентября, 2007 11:13 am
Публикация: FTSEC-QS001A-EN-E Август, 2007
Содержание
Предисловие
Об этой публикации
xi
Программные требования . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xii
Требования к аппаратным средствам . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xii
Дополнительные ресурсы . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xiii
Глава 1
Обзор FactoryTalk Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
Что такое безопасность в системе автоматизации . . . . . . . . . . . . . . . . . . . . . . 1
Какие проблемы решает FactoryTalk Security? . . . . . . . . . . . . . . . . . . . . . . . . 2
Каким образом FactoryTalk Security защищает уровень приложений? . . . . . . 2
С чего начать . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
Глава 2
Спланируйте систему . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
О системе FactoryTalk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
FactoryTalk Services Platform . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Каталог FactoryTalk Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Два каталога на каждом компьютере . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
Примеры систем FactoryTalk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
Пример: Автономная система на одном компьютере . . . . . . . . . . . . . . . . . 6
Пример: Распределенная система в сети . . . . . . . . . . . . . . . . . . . . . . . . . 7
Глава 3
Установка и активация программного обеспечения FactoryTalk . . . . . . . . . . 9
Перед тем, как вы начнете . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Что требуется. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
Выполните следующие шаги: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
Установка связанного с FactoryTalk программного обеспечения . . . . . . . . . . . 12
Что делать далее . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
Глава 4
С чего начать в FactoryTalk Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
Перед тем, как вы начнете . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
Что требуется. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
Выполните следующие шаги: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
Запуск FactoryTalk Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
Вход в систему FactoryTalk с использованием
учетной записи администратора . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
FactoryTalk Security Руководство по быстрому запуску
FactoryTalk Administration Console . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
Окно проводника . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
Группы действий (Action groups) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
Политика (Системная папка) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
Компьютеры и группы действий (Системная папка) . . . . . . . . . . . . . . . . . . . . 25
Сети и устройства (Системная папка) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
Пользователи и группы (Системная папка) . . . . . . . . . . . . . . . . . . . . . . . . . . 26
Указание расположения сетевого каталога . . . . . . . . . . . . . . . . . . . . . . . . . 27
Запуск утилиты определения расположения сервера каталога . . . . . . . . . 27
Указание сервера сетевого каталога для клиент-компьютеров . . . . . . . . . 27
Вход в систему FactoryTalk с использованием учетной
записи администратора . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
В сетевом и локальном каталогах настройки безопасности отличаются . . . . . . 29
Мастер конфигурации каталога FactoryTalk Directory Configuration Wizard . 30
Защита действий, которые может выполнять пользователь . . . . . . . . . . . . . . 30
Группы действий . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
Защищаемые по умолчанию действия . . . . . . . . . . . . . . . . . . . . . . . . . . 30
Обычные действия (Common) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
Действия тегов (Tag actions) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
Группы действий пользователя . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
Усиление безопасности . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
В новой системе . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
При обновлении системы . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
Вход и выход с помощью системы одного входа . . . . . . . . . . . . . . . . . . . . . . 40
Настройка системы одного входа. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
Два способа входа . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
Вход администратора и система одного входа . . . . . . . . . . . . . . . . . . . . . 43
Два способа выхода . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
Когда отключать систему одного входа . . . . . . . . . . . . . . . . . . . . . . . . . 43
Что делать далее . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
Глава 5
iv
Создание учетных записей пользователя . . . . . . . . . . . . . . . . . . . . . . . . . 45
Содержание
Перед началом . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
Что требуется. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
Выполните следующие шаги: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
Учетные записи пользователей FactoryTalk и учетные записи Windows . . . . . . 46
Планирование учетных записей . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
С чего начать . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
Пример защиты частей системы . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
Создание пользователя . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
Создание группы пользователей . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
Добавление учетных записей компьютеров . . . . . . . . . . . . . . . . . . . . . . . 53
Что делать далее . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
Глава 6
Назначение прав доступа . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
Перед тем, как вы начнете . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
Что требуется. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
Выполните следующие шаги: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
Разрешение и запрет прав доступа . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
Понимание «наследования» . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
Порядок старшинства . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
Категории прав доступа для действий . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
Назначение прав доступа. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
Просмотр прав доступа . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
Понимание действующих прав доступа . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
Создание групп действий. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
Создайте группы действий для нашего примера . . . . . . . . . . . . . . . . . . . 65
Работа с группами действий . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
Что делать далее . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
Глава 7
Установка политики безопасности системы и продукта . . . . . . . . . . . . . . . 69
Перед тем, как вы начнете . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
Что требуется. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
Выполните следующие шаги: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
Политика системы . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71
v
FactoryTalk Security Руководство по быстрому запуску
Назначение политики безопасности . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71
Политика продукта . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
Политика продукта и наследование. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
Чем отличаются политика продукта и политика действия? . . . . . . . . . . . . . . . 73
Два различных способа настроить безопасность функций продукта. . . . . . . . . 74
Настройка нескольких продуктов. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74
Настройка доступа к одной функции продукта. . . . . . . . . . . . . . . . . . . . . 75
Что делать далее . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77
Глава 8
Группирование ресурсов . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79
Перед тем, как вы начнете . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79
Что требуется. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79
Выполните следующие шаги: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80
Использование группирования ресурсов . . . . . . . . . . . . . . . . . . . . . . . . . . . 80
Почему это называется «группированием» ресурсов? . . . . . . . . . . . . . . . . 80
Группирование ресурсов и дерево Networks and Devices
(Сети и устройства) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80
Как сети и устройства наследуют права доступа . . . . . . . . . . . . . . . . . . . 81
Планирование группирования ресурсов . . . . . . . . . . . . . . . . . . . . . . . . . 82
Создание исключений для отдельных сетей или устройств . . . . . . . . . . . . 82
Одно устройство не может быть членом нескольких групп ресурсов . . . . . 82
Использование Resource Editor (Редактор ресурсов) . . . . . . . . . . . . . . . . . . . 82
Добавление логического имени. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84
Что делать далее . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
Глава 9
RSLinx и FactoryTalk Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87
Перед тем, как вы начнете . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87
Что требуется. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87
Выполните следующие шаги: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
Установка RSSecurity Emulator . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
Настройка RSLinx Classic на работу с FactoryTalk Security . . . . . . . . . . . . . . . . 90
Настройка безопасности для RSLinx Classic . . . . . . . . . . . . . . . . . . . . . . . 91
Назначение прав доступа. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
vi
Содержание
Рекомендации по использованию RSLinx Classic с FactoryTalk Security . . . . . . . 96
Что можно защитить в RSLinx Classic?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96
Что делать далее . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98
Глава 10 RSLogix 5000 и FactoryTalk Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99
Перед тем, как вы начнете . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99
Что требуется. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99
Выполните следующие шаги: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .100
Разрешение функций безопасности в RSLogix 5000 . . . . . . . . . . . . . . . . . . . .100
Разрешение функций безопасности в файле проекта RSLogix 5000 . . . . . . . . .102
Загрузка файла проекта в RSLogix 5000 . . . . . . . . . . . . . . . . . . . . . . . . . . . .105
Добавление контроллера в FactoryTalk Security из
FactoryTalk Administration Console . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .106
Если не отображается имя контроллера . . . . . . . . . . . . . . . . . . . . . . . . .108
Открытие доступа к защищенным ресурсам контроллера . . . . . . . . . . . . . . . .108
Защита контроллеров PLC и OPC контроллеров сторонних фирм . . . . . . . . . . .113
Что делать далее . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .114
Глава 11 FactoryTalk View SE и FactoryTalk Security . . . . . . . . . . . . . . . . . . . . . . . . 115
Перед тем, как вы начнете . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .115
Что требуется. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .115
Выполните следующие шаги: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .116
Создание учетных записей FactoryTalk Security . . . . . . . . . . . . . . . . . . . . . .117
Установка политики системы и продукта . . . . . . . . . . . . . . . . . . . . . . . . . . .122
Политика продукта . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .123
Политика системы . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .123
Добавление учетных записей FactoryTalk в FactoryTalk View . . . . . . . . . . . . .124
Что делать далее . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .135
Глава 12 FactoryTalk View ME и FactoryTalk Security . . . . . . . . . . . . . . . . . . . . . . . 137
Перед тем, как вы начнете . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .137
Что требуется. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .138
Выполните следующие шаги: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .138
Создание учетных записей FactoryTalk Security . . . . . . . . . . . . . . . . . . . . . .139
vii
FactoryTalk Security Руководство по быстрому запуску
Добавление учетных записей пользователей и групп FactoryTalk. . . . . . . .139
Добавление учетных записей FactoryTalk в FactoryTalk View . . . . . . . . . . .145
Управление FactoryTalk Security для работы с несколькими приложениями . . .151
Резервирование разрабатываемого приложения . . . . . . . . . . . . . . . . . . .151
Резервирование действующего приложения и локального
каталога FactoryTalk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .152
Восстановление приложения на компьютер действующей системы . . . . . .153
Работа с вкладкой 3.20 учетной записи пользователя . . . . . . . . . . . . . . . . . .155
Что делать далее . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .159
Глава 13 FactoryTalk Batch и FactoryTalk Security . . . . . . . . . . . . . . . . . . . . . . . . . 161
Перед тем, как вы начнете . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .161
Что требуется. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .161
Выполните следующие шаги: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .162
Важная информация по установке FactoryTalk Batch . . . . . . . . . . . . . . . . . . .163
Добавление учетных записей пользователей и групп FactoryTalk Batch . . . . . .163
Настройка политики продукта в FactoryTalk Batch. . . . . . . . . . . . . . . . . . . . .168
Настройка безопасности для окон FactoryTalk Batch View . . . . . . . . . . . . .168
Настройка безопасности для команд FactoryTalk Batch Commands . . . . . . .171
Настройка безопасности для редакторов оборудования и рецептов . . . . . .173
Настройка безопасность режима доступа . . . . . . . . . . . . . . . . . . . . . . . .174
Изменение опций конфигурации редактора оборудования
Equipment Editor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .175
Что делать далее . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .177
Глава 14 Развертывание системы FactoryTalk . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179
Условия. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .179
Установка системных компьютеров для разработки. . . . . . . . . . . . . . . . . . . .179
На компьютерах действующей системы . . . . . . . . . . . . . . . . . . . . . . . . . . . .181
Резервирование всего каталога FactoryTalk Directory . . . . . . . . . . . . . . . . . .186
Восстановление всего каталога FactoryTalk Directory . . . . . . . . . . . . . . . . . .187
После восстановления всего каталога FactoryTalk Directory . . . . . . . . . . . . . .189
Глава A
viii
Обновление FactoryTalk Services Platform . . . . . . . . . . . . . . . . . . . . . . . . 191
Содержание
Перед тем, как вы начнете . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .191
При обновлении программного обеспечения платформы FactoryTalk . . . . .191
При обновлении компьютеров в распределенной системе . . . . . . . . . . . .192
Обновление клиент-компьютеров первыми . . . . . . . . . . . . . . . . . . . . . . .192
Обновление компьютера-сервера последним . . . . . . . . . . . . . . . . . . . . .193
Определение установленной версии платформы FactoryTalk. . . . . . . . . . .193
Что требуется. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .193
Установка FactoryTalk Services Platform . . . . . . . . . . . . . . . . . . . . . . . . . . . .194
Глава B
Что такое FactoryTalk Directory? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201
Создание собственной системы FactoryTalk . . . . . . . . . . . . . . . . . . . . . . . . .201
Понимание локальных и сетевых каталогов . . . . . . . . . . . . . . . . . . . . . . . . .202
Выбор каталога для FactoryTalk Security . . . . . . . . . . . . . . . . . . . . . . . . . . .203
Глава C
Использование мастера конфигурации каталога FactoryTalk Directory
Configuration Wizard205
Когда использовать мастер конфигурации каталога FactoryTalk Directory? . . . .205
Использование мастера конфигурации каталога
FactoryTalk Directory Configuration Wizard . . . . . . . . . . . . . . . . . . . . . . . . . .206
Глава D
Защита источника процедур RSLogix 5000 . . . . . . . . . . . . . . . . . . . . . . . . 207
Установка . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .207
Настройка защиты источника (Source Protection) в файле проекта . . . . . . . . .208
Отображение и редактирование защищенных процедур. . . . . . . . . . . . . . . . .213
Файл с ключом и распространение ключа . . . . . . . . . . . . . . . . . . . . . . . . . .215
Алфавитный указатель . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xv
ix
FactoryTalk Security Руководство по быстрому запуску
x
Предисловие
Об этой публикации
Данное руководство рассчитано на тех, кто впервые использует FactoryTalk Security.
Большинство глав в данном руководстве модульные – то есть можно обращаться только к тем
разделам, которые вас интересуют, без необходимости читать все руководство полностью.
Однако рекомендуется прочитать хотя бы главы 1, 2 и 3, так как это даст общее понимание
принципа устройства и работы FactoryTalk Security.
Если вы уже имели опыт использования RSAssetSecurity или RSSecurity Server, данное
руководство поможет узнать о новых возможностях, добавленных в версии 9.0 (CPR 9).
Обратитесь к Приложению А за информацией по переходу с базы данных RSSecurity Server или
обновления с RSAssetSecurity (CPR 7) до FactoryTalk Security (CPR 9).
Информация представленная в данном руководстве поделена на следующие главы:
Глава 1 содержит краткое вступление о безопасности в системах автоматизации и то, как
можно использовать FactoryTalk Security для усиления безопасности приложений.
Глава 2 содержит обзор способа интеграции FactoryTalk Security с другими связанными
с FactoryTalk продуктами и платформой FactoryTalk Services Platform. Также дается обзор
планирования системы FactoryTalk.
Главы 3 и 4 содержит информацию по установке и настройке продукта FactoryTalk
Security, который устанавливается с FactoryTalk Services Platform.
Главы 5, 6 и 7 содержат информацию по отладке установки FactoryTalk Security путем
создания пользовательских и групповых учетных записей, назначения прав доступа для
них и установки политики безопасности в масштабах всей системы.
Глава 8 содержит информацию по дополнительным возможностям FactoryTalk Security и
способам еще большего усиления безопасности.
Главы с 9 по 13 содержат информацию по настройке FactoryTalk Security для
использования со связанными с FactoryTalk продуктами, такими как FactoryTalk View SE
и FactoryTalk Batch. В данных главах также содержится информация по настройке
FactoryTalk Security на работу с RSLinx Classic и RSLogix 5000, которые пока не связаны с
FactoryTalk.
Chapter 14 discusses deploying a FactoryTalk system from a test environment to a production
environment once you have everything configured and tested to your satisfaction.
В данном руководстве содержатся ссылки на руководства и интерактивные справочные
системы, имеющие более подробную информацию по упоминаемым здесь продуктам и
службам. Также для предоставления дополнительных сведений в данном руководстве
имеются советы, важные примечания, передовые опыты и иногда предупреждения.
xi
FactoryTalk Security Руководство по быстрому запуску
Программные требования
FactoryTalk Services Platform и операционная система Windows требуются для настройки и
управления FactoryTalk. FactoryTalk Security является одной из многих служб общего
пользования, которая устанавливается как часть FactoryTalk Services Platform.
Данное руководство содержит краткую информацию по установке многих продуктов и не
вдается в подробности, за исключением случаев, когда имеются нестандартные опции. За
более подробной информацией обращайтесь к документации по установке каждого из
продуктов.
FactoryTalk Services Platform устанавливается вместе с установкой любого продукта
FactoryTalk. Доступные опции зависят от типа устанавливаемого продукта. При установке
некоторых продуктов может выводиться окно для выбора состава установки, тогда как в
остальных FactoryTalk Services Platform устанавливается без предупреждения.
FactoryTalk Services Platform, v. 2.10 или выше – включает FactoryTalk Administration
Console, FactoryTalk Directory, FactoryTalk Diagnostics и службы FactoryTalk Security.
Операционная система Microsoft Windows – Microsoft Windows XP Professional, Service
Pack 2 или выше; Microsoft Windows 2000 Professional, Service Pack 4 или выше; Microsoft
Windows Server 2003 Standard Edition, Service Pack 1 или выше.
Связанное с FactoryTalk программное обеспечение, включая:
FactoryTalk View Site Edition
FactoryTalk View Machine Edition
RSLinx Enterprise
RSLinx Classic
RSLogix 5000
FactoryTalk Batch
FactoryTalk Transaction Manager
FactoryTalk AssetCentre
Требования к аппаратным средствам
Аппаратные требования зависят от типа разрабатываемой системы и планируемых к
использованию программных продуктов. За рекомендациями обращайтесь к руководству по
установке каждого интересующего вас продукта.
xii
Об этой публикации
Дополнительные ресурсы
Дополнительная информация по обсуждаемым продуктам и компонентам доступна в
следующих руководствах и файлах справки:
Интерактивная справочная система FactoryTalk – Из меню Start (Пуск) выберите All
Programs (Все программы) > Rockwell Software > FactoryTalk Tools > FactoryTalk
Help
Руководство по установке или справка FactoryTalk View – В FactoryTalk View Studio
выберите Help (Справка) > Online Books > Installation Guide (Руководство по
установке) или Help (Справка) > Contents (Содержание).
Справка RSLinx Enterprise – Из меню Start (Пуск) выберите All Programs (Все
программы) > Rockwell Software > RSLinx > RSLinx Classic Online Reference. Во
вкладке Contents (Содержание) разверните книги How To и Secure RSLinx Classic with
FactoryTalk Security и затем выберите What can I secure in RSLinx Classic (Что можно
защитить в RSLinx Classic)?
Справка RSLinx Classic – Из меню Start (Пуск) выберите All Programs (Все
программы) > Rockwell Software > RSLinx > RSLinx Classic Online Reference. Во
вкладке Contents (Содержание) разверните книги How To и Secure RSLinx Classic with
FactoryTalk Security и затем выберите What can I secure in RSLinx Classic (Что можно
защитить в RSLinx Classic)?
Справка RSLogix 5000 – Из меню Start (Пуск) выберите All Programs (Все программы)
> Rockwell Software > RSLogix 5000 Enterprise Series > Help.
Руководство администратора FactoryTalk Batch – из меню Start (Пуск) выберите All
Programs (Все программы) > Rockwell Software > FactoryTalk Batch Suite >
FactoryTalk Batch > Online Books > FactoryTalk Batch > Batch Administrator's Guide.
Интерактивная справочная система FactoryTalk Transaction Manager.
Интерактивная справочная система FactoryTalk AssetCentre.
xiii
FactoryTalk Security Руководство по быстрому запуску
xiv
ГЛАВА 1
Обзор FactoryTalk Security
Данная глава содержит краткое вступление о безопасности в системе автоматизации,
введение новых терминов и понятий, а также обсуждение того, как можно использовать
FactoryTalk Security для усиления безопасности приложений.
Что такое безопасность в системе автоматизации
Обеспечение безопасности интегрированной, распределенной системы автоматизации от
внутренних и внешних угроз требует проведения работ во многих производственных зонах
для создания многоуровневого решения. Специалисты по безопасности называют такие
решения архитектурой многоуровневой
защиты. Что означает применение
различных уровней защиты по всей
системе автоматизации для
противостояния различным угрозам.
Например, уровни безопасности могут
включать особые решения для защиты
системы автоматизации от внешних стен
до аппаратных устройств в цеху. Обычно
уровни включают:
Физическая безопасность
Сетевая безопасность
Безопасность операционной системы
Безопасность приложений
Безопасность устройств
Однако перед применением решений по безопасности нужно понять те проблемы, которые
необходимо решить, и затем подсчитать рентабельность вложений для каждого решения по
безопасность.
Первым шагом для многих организаций является оценка всех активов предприятия, включая
оборудование, людей, продукты, производство, репутацию, интеллектуальную собственность
и так далее, а также потенциальные расходы при потере любых из этих активов. Также важно
принимать во внимание угрозы для этих активов, которые могут нарушить нормальную
работу предприятия. Такие угрозы могут быть как внутренними, так и внешними, и также
намеренными или случайными.
Следующий шаг – это подсчет рисков и составление плана по защите от наиболее
дорогостоящих угроз с высокой вероятностью возникновения. Разработайте план, который
включает только угрозы, превосходящие порог риска для организации. Внедрение решений
по безопасности очень похоже на покупку страхования - приобретайте страхование
достаточное только для уменьшения реальных рисков на допустимом уровне. Как вы бы не
застраховали какой-либо актив на сумму больше его стоимости, так и при оценке
соотношения цена-выгода от внедрения решения по безопасности.
1
FactoryTalk Security Руководство по быстрому запуску
Какие проблемы решает FactoryTalk Security?
Говоря понятиями вышеописанной модели многоуровневой безопасности, FactoryTalk
Security разработан для обеспечения безопасности на уровне приложений. Его целью
является защита от внутренних угроз (как умышленных, так и случайных) путем ограничения
доступа к определенным активам системы автоматизации только для тех пользователей,
которые имеет на это право. FactoryTalk Security достигает этой цели, позволяя
администраторам по безопасности отвечать на следующий вопрос:
«Кто может выполнять какие действия над какими защищенными ресурсами и
откуда?»
Кто может использовать программные продукты Rockwell Automation
для выполнения, каких определенных действий
на каких аппаратных устройствах Rockwell Automation и других защищенных ресурсах
откуда – а именно, с каких компьютеров или рабочих станций
Каким образом FactoryTalk Security защищает уровень приложений?
Когда кто-либо пытается использовать связанный с FactoryTalk программный продукт для
доступа к аппаратному устройству Rockwell Automation или к иному защищенному ресурсу,
FactoryTalk Security проводит аунтефикацию личности пользователя и авторизирует
данного пользователя на использование данного ресурса и выполнение только разрешенных
действий.
Аунтефикация. Проверка личности пользователя и того, что запрос исходит именно от
данного пользователя.
Авторизация. Проверка запроса пользователя на доступ к программному продукту,
аппаратному устройству или защищенному ресурсу на основе набора заданных прав
доступа.
FactoryTalk Security позволяет осуществлять централизованное администрирование учетных
записей и прав доступа. Информация по безопасности, включая аунтефикацию и
авторизацию пользователя, может передаваться на все программные продукты и аппаратные
устройства на определенном компьютере, по всему заводу и по всему предприятию.
За исчерпывающей информацией по FactoryTalk Security обращайтесь к интерактивной
справочной системе FactoryTalk Security, которая доступна в Start (Пуск) > All Programs (Все
программы) > Rockwell Software > FactoryTalk Tools > FactoryTalk Help. А также
расположена в c:\Program Files\Common Files\Rockwell\Help\FTSecurityEN.chm.
2
1 • Обзор FactoryTalk Security
С чего начать
3
FactoryTalk Security Руководство по быстрому запуску
4
ГЛАВА 2
Спланируйте систему
Службы FactoryTalk Security полностью интегрированы с FactoryTalk Directory и всегда
присутствуют там, где установлено программное обеспечение FactoryTalk Services Platform.
Используйте FactoryTalk Administration Console или FactoryTalk View Studio для
администрирования служб централизованной системы безопасности.
О системе FactoryTalk
Система FactoryTalk состоит из связанных с FactoryTalk программных продуктов, служб и
аппаратных устройств, которые работают все вместе и имеют общие FactoryTalk Services
Platform и FactoryTalk Directory.
FactoryTalk Services Platform – это базовая архитектура и набор служб, на которых строятся
программные продукты. В пакет программ FactoryTalk включены FactoryTalk View, RSLinx,
RSLogix, FactoryTalk Batch, FactoryTalk AssetCentre, FactoryTalk Transaction Manager и другие.
FactoryTalk Services Platform
Предоставляет общие службы (такие как диагностические сообщения, службы
мониторинга состояния, доступ к данным в режиме реального времени) и распределяет
ресурсы завода (такие как теги и графические дисплеи) по всей системе автоматизации.
Поддерживает службы централизованной системы безопасности
Поддерживает службы централизованной системы предупреждений и выполнения
событий
Каталог FactoryTalk Directory
FactoryTalk Directory содержит ссылки на теги, серверы данных, настройки безопасности и
другую информацию по проектам из многочисленных источников данных и обеспечивает
доступ к этой информации с помощью службы поиска для всех программных продуктов,
участвующих в приложении.
Приложение собирает информацию по проектам, включая такие элементы как серверы
данных, серверы HMI и серверы предупреждений и событий, и обеспечивает доступ ко всему
этому для всех программных продуктов и компьютеров. FactoryTalk Directory может
содержать несколько приложений.
Сетевые приложения содержатся в сетевом каталоге FactoryTalk Network Directory.
Информация по проектам и программные продукты могут располагаться на нескольких
компьютерах, распределенных по сети. Все компьютеры, задействованные в
определенном приложении, совместно используют общий каталог FactoryTalk Directory,
расположенный на сетевом компьютере.
Локальные приложения содержатся в локальном каталоге FactoryTalk Local Directory.
Информация по проектам располагается на отдельном компьютере и доступна только тем
программным продуктам, которые установлены на данном компьютере. К локальным
приложениям нельзя получить удаленный доступ, а также отсутствует возможность
общего использования информации с сетевым приложением.
5
FactoryTalk Security Руководство по быстрому запуску
Два каталога на каждом компьютере
FactoryTalk Services Platform устанавливает и настраивает как сетевой, так и локальный
каталог на каждом компьютере. Вся информация по проектам и настройкам безопасности
полностью различается, и её нельзя использовать совместно в двух каталогах, включая:
учетные записи, пароли, набор прав доступа
настройки безопасности в масштабах всей системы, включая политику безопасности и
аудита
информация по проектам, такая как приложения, зоны и их содержание
Тип необходимого каталога зависит от того, какие программные продукты планируется
использовать, и какая среда (автономная или сетевая) будет использоваться. Обратитесь к
документации вашего продукта за подробностями.
Примеры систем FactoryTalk
Система FactoryTalk состоит из программных продуктов, служб и аппаратных устройств,
которые работают совместно и имеют общий каталог FactoryTalk Directory.
Если планируется использование системы FactoryTalk на автономном компьютере,
установите и активируйте все продукты и службы FactoryTalk на этом компьютере, затем
создайте локальные приложения, используя локальный каталог FactoryTalk Local Directory.
Если планируется использование системы FactoryTalk на нескольких компьютерах
распределенных в сети, установите и активируйте все продукты и службы FactoryTalk на этих
компьютерах, затем создайте сетевые приложения, используя сетевой каталог FactoryTalk
Network Directory.
Пример: Автономная система на одном компьютере
Например, простая система FactoryTalk может состоять из продуктов: FactoryTalk Services
Platform, FactoryTalk View, RSLinx Classic, и RSLogix 5, которые установлены на одном
компьютере и связываются с помощью одного программируемого логического контроллера
(PLC), а также включены в одно локальное приложение, которое содержится в локальном
каталоге.
6
2 • Спланируйте систему
Пример: Распределенная система в сети
Система FactoryTalk может быть сложной: с программными продуктами и аппаратными
устройствами, которые участвуют в нескольких сетевых приложениях, распределенных по
сети, и имеют общий сетевой каталог.
В выше приведенном примере сетевого каталога имеются два сетевых приложения: одно с
названием «Сточные воды», а другое «Водоснабжение». Все зоны, серверы данных, серверы
HMI, серверы устройств, серверы предупреждений и событий в рамках одного приложения
являются специальными для данного приложения. Связанная с каким-либо приложением
информация не распространяется на другие приложения в данном каталоге. Однако
настройки безопасности, политика системы, политика продукта, учетные записи и так далее,
распространяются на все приложения в рамках одного каталога FactoryTalk Directory.
7
FactoryTalk Security Руководство по быстрому запуску
8
ГЛАВА 3
Установка и активация программного обеспечения
FactoryTalk
Данная глава посвящена настройке и запуску FactoryTalk Security.
Программа FactoryTalk Security не устанавливается отдельно – она инсталлируется как
интегрированная часть платформы FactoryTalk Services Platform.
FactoryTalk Services Platform можно установить с помощью:
отдельного установочного диска FactoryTalk Security
установочного диска какого-либо продукта FactoryTalk, такого как FactoryTalk View Site
Edition (программа FactoryTalk Services Platform имеется на установочном диске каждого
продукта, где она требуется)
Используемый установочный диск будет зависеть от приобретенного продукта, связанного с
FactoryTalk. За подробностями обращайтесь к документации по установке каждого из
продуктов.
В данном руководстве предполагается, что установка программы FactoryTalk Services Platform
производится впервые на каждом компьютере в сети, и что не производится обновление с
более ранней версии данного программного обеспечения. Если производится обновление с
более ранних версий, таких как RSAssetSecurity, обращайтесь к «Обновление FactoryTalk
Services Platform» на странице 192.
Перед тем, как вы начнете
Данное руководство содержит примеры работы с FactoryTalk Directory в распределенной
системе. Если планируется использовать локальный каталог FactoryTalk Local Directory,
установите все программные продукты FactoryTalk на один компьютер.
Перед установкой любой программы FactoryTalk сначала определите планируемые к
использованию компьютеры и операционные системы, а также где будет устанавливаться то
или иное программное обеспечение. За справкой по разработке плана установки обращайтесь
к данному руководству или собственным руководствам по установке каждого продукта.
9
FactoryTalk Security Руководство по быстрому запуску
Следующая диаграмма показывает схему сети для группы компьютеров и программных
продуктов, включенных в сетевой каталог и распределенных по нескольким компьютерам.
Данная система будет использоваться как пример во всем руководстве.
За подробностями и примерами типов возможных систем FactoryTalk обращайтесь к справке
FactoryTalk.
Что требуется
Как минимум два персональных компьютера в сети (см. аппаратные и системные
требования в руководстве по установке каждого продукта)
Установочный диск FactoryTalk View SE (CPR 9) или иной установочный диск связанного
с FactoryTalk продукта
Установочный диск RSLogix 5000 (опционально)
Доступ к сети Интернет (для активации)
Руководство по установке для каждого программного продукта Rockwell Automation,
который планируется устанавливать
Информация в данном руководстве предназначена для обеспечения детального понимания
программы FactoryTalk Security и как она используется со связанными с FactoryTalk
продуктами. Руководство содержит информацию по установке и настройке безопасности на
двух компьютерах (где применимо); один будет настроен как сервер, другой – как клиент.
10
3 • Установка и активация программного обеспечения FactoryTalk
Выполните следующие шаги:
11
FactoryTalk Security Руководство по быстрому запуску
Установка связанного с FactoryTalk программного
обеспечения
Шаги, приведенные ниже, описывают действия по установке FactoryTalk Services Platform и
связанного с FactoryTalk программного обеспечения.
Данное руководство содержит краткую информацию по установке многих продуктов и не
вдается в подробности, за исключением случаев, когда имеются нестандартные опции. За
более подробной информацией обращайтесь к документации по установке каждого из
продуктов.
Шаг 1: Установка Microsoft Internet Information Server
Для создания и выполнения сетевых приложений FactoryTalk View SE, а также для
обеспечения возможности доступа других компьютеров к просмотру и редактированию
компонентов (таких как графические дисплеи) необходимо установить Microsoft Internet
Information Server (IIS) на каждый компьютер, где планируется установка программы
FactoryTalk View SE Server. Устанавливать IIS на комьютеры-клиенты необходимости нет. За
пошаговыми инструкциями обращайтесь к руководству по установке FactoryTalk View Site
Edition.
Шаг 2: Установка FactoryTalk Services Platform 2.10 (CPR 9)
Установите FactoryTalk Services Platform на все компьютеры, где планируется разработка или
выполнение сетевых или локальных приложений.
Для примеров, приведенных в данном руководстве, будет настраиваться сетевой каталог на
одном компьютере, который будет выступать в роли сервера. Данный компьютер мы будем
называть Компьютер 1. Второй компьютер будет настроен в роли клиента и будет называться
Компьютер 2.
На данный момент платформа включает следующие компоненты и службы:
FactoryTalk Directory
FactoryTalk Security
FactoryTalk Diagnostics
FactoryTalk Live Data
FactoryTalk Administration Console – автономный инструмент для настройки, управления
и обеспечения безопасности приложений
Все эти компоненты и службы устанавливаются одновременно, как платформа,
интегрированная в каждый установочный процесс ¬связанного с FactoryTalk продукта. За
пошаговыми инструкциями обращайтесь к руководству по установке каждого продукта.
На Компьютере 1: Установите FactoryTalk Services Platform, выберите Install
Administration Console и нажмите Network Directory (Сетевой каталог) во время
установки.
На Компьютере 2: Установите FactoryTalk Services Platform, но не устанавливайте
Administration Console. После установки FactoryTalk Services Platform, запустите FactoryTalk
Directory Server Location Utility (Утилита расположения сервера каталога) и назначьте
Компьютер 1 сервером сетевого каталога Network Directory.
12
3 • Установка и активация программного обеспечения FactoryTalk
Если при установке FactoryTalk Services Platform произошла ошибка или производится
обновление с предыдущей версии FactoryTalk Services Platform, возможно будет необходимо
вручную настроить FactoryTalk Directory, запустив мастер конфигурации FactoryTalk Directory
Configuration Wizard. За инструкциями обращайтесь к разделу «Использование мастера
конфигурации каталога FactoryTalk» на странице 205.
На обоих компьютерах: Запустите Windows Firewall Configuration Utility
(Утилита настройки брандмауэра Windows)
Утилита настройки брандмауэра Windows устанавливается вместе с FactoryTalk Services
Platform. Если брандмауэр Windows включен во время установки программных продуктов
FactoryTalk, то установочная программа автоматически добавит необходимые исключения на
локальном компьютере.
Чтобы включить брандмауэр Windows, запустите Windows Firewall Configuration Utility: Start
(Пуск) > All Programs (Все программы) > Rockwell Software > FactoryTalk Tools >
Windows Firewall Configuration Utility.
Шаг 3: Установка программного обеспечения FactoryTalk Activation
Server and Client
Продукт FactoryTalk позволяет активировать и настраивать определенное количество
учетных записей в сетевом каталоге. С FactoryTalk Security можно осуществлять разработку и
управление централизованной системой безопасности для нескольких приложений,
распределенных по всей системе автоматизации.
За подробной информацией по установке сервера или клиента активации обращайтесь к
печатному вложению «Activate Rockwell Software Products» (Активация программных
продуктов Rockwell), которое поставляется с пакетом продукта, или нажмите кнопку Help
(Справка) в диалоговом окне FactoryTalk Activation Tool.
Для наших примеров Компьютер 1 будет сервером активации, а Компьютер 2 – клиентом.
Серверные компоненты других продуктов FactoryTalk будут установлены на Компьютер 1,
тогда как клиентские компоненты – на Компьютер 2.
На Компьютере 1: Установка сервера активации FactoryTalk Activation
Server
Устанавливайте FactoryTalk Activation Server на тот компьютер, где устанавливается
FactoryTalk View SE Server.
За конкретными указаниями по установке обращайтесь к печатному вложению «Activate
Rockwell Software Products» (Активация программных продуктов Rockwell), которое
поставляется с пакетом продукта.
FactoryTalk Activation Server позволяет сделать активации продукта FactoryTalk доступными
на компьютере-сервере сетевого каталога FactoryTalk Network Directory Server.
Сервер активации можно установить на тот же компьютер, что и сервер сетевого каталога,
или же можно установить сервер активации на другой компьютер, который не
перезапускается часто, например другой компьютер-сервер.
13
FactoryTalk Security Руководство по быстрому запуску
На Компьютере 2: Установка клиента активации FactoryTalk Activation
Client
Установите Activation Client на компьютер, где будет устанавливаться другие клиентские
программные продукты (такие как выбранные компоненты FactoryTalk View Client и
FactoryTalk Batch Clients).
Укажите для клиента активации Activation Client сервер активации Activation Server (в
нашем случае Компьютер 1).
Если сервер активации и сервер сетевого каталога установлены на разных компьютерах,
необходимо указать для сервера сетевого каталога компьютер с сервером активации, в
противном случае активации работать не будут.
Если сервер активации и сервер сетевого каталога установлены на одном компьютере,
расположение сервера активации назначается автоматически.
Загрузка активаций для продуктов FactoryTalk
Чтобы сэкономить время, загрузите активации для всех связанных с FactoryTalk продуктов,
которые уже установлены, или будут устанавливаться. Не забудьте активировать программы,
установленные на клиент-компьютере.
Выполните одно из следующего:
Если у сервера активации есть доступ в Интернет, запустите FactoryTalk
Activation Tool. Если FactoryTalk Activation Wizard запускается автоматически,
следуйте инструкциям на экране для загрузки активаций на сервер активаций. Если
мастер активаций не запустится автоматически, выберите вкладку Get Activations
(Получить активации) и нажмите Open Activation Wizard (Открыть мастер
активации).
Если у компьютера с сервером активации доступа в Интернет нет, обращайтесь
за указаниями к справке по мастеру активаций FactoryTalk Activation Wizard.
Нажмите кнопку Help (Справка) в диалоговом окне FactoryTalk Activation Tool, чтобы
получить указания по загрузке активаций.
Некоторые связанные с FactoryTalk продукты выводят запрос на активацию в конце процесса
установки. Если активации для устанавливаемых продуктов уже получены, мастер активации
использовать необходимости нет.
Шаг 4: Установка RSSecurity Emulator
Опционально. Данный шаг необходим, если с FactoryTalk Security планируется
использование программных продуктов RSLinx Classic или RSLogix 5000.
Для продуктов, которые на данный момент не поддерживают FactoryTalk Security, RSSecurity
Emulator позволяет настраивать пользователей, группы, права доступа и так далее, и затем
распределять эти настройки среди клиентских программных продуктов, таких как RSLinx
Classic или RSLogix 5000.
Если на данный момент используется RSSecurity Server и производится обновление на
FactoryTalk Security, обращайтесь к разделу «Импортирование базы данных RSSecurity Server»
на странице 195 и «Переход с RSSecurity на FactoryTalk Security» в интерактивной справочной
системе FactoryTalk Security.
14
3 • Установка и активация программного обеспечения FactoryTalk
Для использования RSSecurity Emulator установите его на каждый компьютер, где будут
установлены RSLinx Classic и RSLogix 5000, в нашем примере это будет только
Компьютер 1. По окончании установки RSSecurity Emulator что-либо делать для его запуска
необходимости нет.
За пошаговыми инструкциями обращайтесь к Главе 9, «Установка RSSecurity Emulator» на
странице 88.
Для примера, приведенного в данном руководстве, необходима настройка сетевого каталога.
Выберите Network Directory (Сетевой каталог) при запросе.
Шаг 5: Установка и активация выбранных компонентов FactoryTalk
View SE
FactoryTalk View SE состоит из нескольких программных компонентов, например, FactoryTalk
View SE Client, FactoryTalk View SE Server и FactoryTalk View Studio.
При установке выбранных компонентов можно выбрать, какие компоненты или комбинацию
компонентов устанавливать на компьютер.
При установке программы FactoryTalk View также устанавливается FactoryTalk и FactoryTalk
Alarms and Events. Для FactoryTalk View SE требуется сеть Windows, а также несколько
элементов Windows, включая Internet Information Services (IIS).
За пошаговыми инструкциями обращайтесь к руководству по установке FactoryTalk View Site
Edition.
На Компьютере 1: Установите серверные компоненты FactoryTalk View SE на тот
компьютер, где устанавливается сетевой каталог FactoryTalk Network Directory и сервер
активации Activation Server. Чтобы выбрать каталог FactoryTalk Directory, выберите Network
Directory (Сетевой каталог) при запросе.
Так как при установке FactoryTalk View выводится запрос на указание расположения сетевого
каталога, устанавливайте программное обеспечение сначала на компьютер с сервером
сетевого каталога, а затем установите клиентские компоненты View на другие компьютеры и
укажите компьютер с сетевым каталогом для каждого из них.
На Компьютере 2: Установите клиентские компоненты FactoryTalk View SE (такие
как FactoryTalk View Studio) на тот же компьютер, где установлен сервер активации. Чтобы
выбрать каталог FactoryTalk Directory, выберите Network Directory (Сетевой каталог) при
запросе.
Шаг 6: Установка и активация программного обеспечения связи RSLinx
RSLinx Classic и RSLinx Enterprise являются семейством программных продуктов, которые
связывают сети и устройства Allen-Bradley с продуктами Microsoft Windows, такими как
семейство продуктов FactoryTalk View для визуализации и семейство продуктов для
программирования устройств RSLogix.
В основном в системах FactoryTalk используются две версии RSLinx:
RSLinx Classic – сервер данных OPC-DA 2.0
RSLinx Enterprise – сервер FactoryTalk Live Data и основанный на устройствах сервер
предупреждений и событий. Установка RSLinx Enterprise также приводит к установке
программы FactoryTalk Alarms and Events
Для обеспечения работы RSLinx Classic с FactoryTalk Security сначала установите программу
RSSecurity Emulator на каждый компьютер, где планируется установка RSLinx Classic. См.
Главу 9, «Установка RSSecurity Emulator» на странице 88. Также см. руководство по
установке RSLinx.
Для нашего примера мы установим RSLinx на Компьютер 1.
15
FactoryTalk Security Руководство по быстрому запуску
Активация RSLinx Enterprise
RSLinx Enterprise версии 5.00.00 (CPR 9) имеет следующие способы активации:
FactoryTalk Activationтм: Новым пользователям необходимо активировать программное
обеспечение, используя FactoryTalk Activation.
EvRSI activation: Текущим пользователям, которые переходят на CPR 9 делать активацию
не нужно. Продукт активируется автоматически.
Шаг 7: Установка Microsoft SQL Server 2005 Express
Если планируется использование FactoryTalk Alarms and Events, установите Microsoft SQL
Server 2005 Express (если на компьютере в сети уже не установлен Microsoft SQL Server 2005
или Microsoft SQL Server 2000 SP). Потребуется совместимая версия Microsoft SQL Server для
регистрации предупреждений и событий в базе данных.
Распечатайте и используйте подробные указания по установке, включенные в руководство по
быстрому запуску FactoryTalk Alarms and Events Quick Start. Данное руководство доступно в
папке Docs CD диска продукта FactoryTalk View Site Edition. Также оно доступно из меню
Help (Справка) > Online Books (Online книги) в FactoryTalk View Studio.
Если планируется хранение рецептов FactoryTalk Batch в базе данных SQL, необходимо
установить Microsoft SQL Server 2005 перед установкой FactoryTalk Batch.
Шаг 8: Установка и активация программного обеспечения RSLogix
Семейство программных продуктов RSLogix предоставляет средства для программирования
устройств управления Allen-Bradley, включая семейство контроллеров Logix5000, PLC-5 и
SLC 500.
Для обеспечения работы RSLogix 5000 с FactoryTalk Security сначала установите программу
RSSecurity Emulator на каждый компьютер, где планируется установка RSLogix. См. Главу 9,
«Установка RSSecurity Emulator» на странице 88.
Для нашего примера мы установим RSLogix 5000 на Компьютер 1.
За информацией по обеспечению безопасности для RSLogix 5000 обращайтесь к Главе 10,
«RSLogix 5000 и FactoryTalk Security» на странице 99.
RSSecurity Emulator не требуется для программного обеспечения RSLogix 5 или RSLogix 500, за
исключением случаев перехода с RSSecurity Server. См. «Переход с RSSecurity на FactoryTalk
Security» в интерактивной справочной системе FactoryTalk Security.
16
3 • Установка и активация программного обеспечения FactoryTalk
Для программирования контроллеров RSLinx Classic должен быть установлен на том же
компьютере, что и RSLogix.
RSLinx Classic Lite, поставляемый с RSLogix, может использоваться только для
программирования контроллеров. Он не может использоваться как сервер данных. Для
предоставления информации по тегам для клиентов FactoryTalk установите RSLinx
Classic, RSLinx Classic Gateway или RSLinx Enterprise на один компьютер с RSLogix.
Если RSLogix и RSLinx Classic или RSLinx Enterprise установлены на одном компьютере,
доступные для поиска в режиме офлайн теги остаются актуальными.
Для обновления названий офлайн тегов, публикованных программой RSLinx Classic или
сервером данных RSLinx Enterprise, который расположен на компьютере без RSLogix,
вручную скопируйте файл логики в компьютер RSLinx Classic или RSLinx Enterprise.
Шаг 9: Установка программного обеспечения FactoryTalk Batch Server
and Client
Необходимо обязательно создать учетную запись Windows для FactoryTalk Batch Server до
установки программы FactoryTalk Batch (для нашего примера мы будем использовать
batchsvr). При установке компонентов FactoryTalk Batch выводится запрос на ввод этой
учетной записи. Это необходимо для того, чтобы установочная программа могла настроить
систему FactoryTalk Batch.
На Компьютере 1 и Компьютере 2: Создайте учетную запись FactoryTalk
Batch Server
При создании учетной записи для сервера необходимо соблюдать следующие требования:
Пароль должен быть с неограниченным сроком действия.
Если срок действия пароля истечет, служба Batch Server не сможет войти в систему.
Серверная учетная запись не должна отменяться или удаляться
Если данная учетная запись будет отменена/удалена, служба Batch Server не сможет войти
в систему.
Доменная учетная запись должна иметь уникальное имя.
Если серверная учетная запись является доменной учетной записью, удалите все
локальные записи с таким же именем.
Серверная учетная запись/группа пользователей должна быть на всех
компьютерах рабочей группы.
Если используется локальная учетная запись и требуется возможность доступа к
ресурсам других компьютеров в среде рабочей группы, необходимо создать учетные
записи с таким же именем и паролем на каждом компьютере в этой рабочей группе.
Для нашего примера для учетной записи Batch Server будет использоваться имя batchsvr. За
более подробными указаниями по созданию учетных записей обращайтесь руководству
администратора FactoryTalk Batch Administrator’s Guide.
Установка Microsoft SQL Server 2005
Если планируется хранение рецептов FactoryTalk Batch в базе данных SQL, сначала
установите Microsoft SQL Server 2005.
17
FactoryTalk Security Руководство по быстрому запуску
На Компьютере 1: Установка компонентов FactoryTalk Batch Server
Установите серверные компоненты на тот компьютер, где устанавливается сетевой каталог
FactoryTalk Network Directory и сервер активации Activation Server. Чтобы выбрать каталог
FactoryTalk Directory, выберите Network Directory (Сетевой каталог) при запросе.
На Компьютере 2: Установка компонентов FactoryTalk Batch Server
Установите серверные компоненты FactoryTalk Batch Server (такие как Recipe Editor и
Equipment Editor) на тот же компьютер, где установлен сервер активации. Чтобы выбрать
каталог FactoryTalk Directory, выберите Network Directory (Сетевой каталог) при запросе.
При запросе имени сервера Batch Server используйте имя компьютера, на котором он
установлен.
За пошаговыми инструкциями по установке FactoryTalk Batch обращайтесь к руководству по
установке FactoryTalk Batch Installation Guide.
Что делать далее
Выполните одно из следующего:
18
Перейдите к Главе 4 на странице 19, чтобы узнать о FactoryTalk Administration Console.
Перейдите к Главе 5 на странице 45, чтобы узнать о создании пользовательских,
групповых и компьютерных учетных записей.
Перейдите к Главе 6 на странице 57, чтобы узнать о назначении прав доступа для
пользователей, групп и компьютеров, добавленных в данной главе.
Перейдите к Главе 7 на странице 69, чтобы узнать об установке политики безопасности в
масштабах системы или конкретной политики.
Перейдите к Главе 8 на странице 79, чтобы узнать о дополнительных возможностях
FactoryTalk Security, таких как группирование ресурсов и усиление безопасности.
Перейдите к Главе 9 на странице 87, чтобы узнать о принципе использования FactoryTalk
Security с программным обеспечением RSLinx.
Перейдите к Главе 10 на странице 99, чтобы узнать о принципе использования
FactoryTalk Security с RSLogix 5000 для обеспечения безопасности проектов и устройств
(таких как, контроллеры Logix5000, PLC и SLC).
Перейдите к Главе 11 на странице 115, чтобы узнать о принципе использования
FactoryTalk Security с FactoryTalk View SE.
Перейдите к Главе 12 на странице 137, чтобы узнать о принципе использования
FactoryTalk Security с FactoryTalk View ME.
Перейдите к Главе 13 на странице 161, чтобы узнать о принципе использования
FactoryTalk Security с компонентами FactoryTalk Batch.
Перейдите к Главе 14 на странице 179, чтобы узнать о внедрении системы FactoryTalk на
компьютерах действующей системы.
ГЛАВА 4
С чего начать в FactoryTalk Security
Данная глава содержит вводную информацию по основным компонентам FactoryTalk Security,
включая:
FactoryTalk Administration Console
Группы действий
Политика
Компьютеры и группы
Сети и устройства
Пользователи и группы
Система одного входа
Усиление безопасности
Перед тем, как вы начнете
Убедитесь, что установлено и активировано все программное обеспечение из списка «Что
необходимо», который представлен ниже.
Ознакомьтесь с терминами и понятиями FactoryTalk Security. См. Главу 1, «Что такое
безопасность в системе автоматизации» и Главу 2, «О системе FactoryTalk».
Что требуется
FactoryTalk Services Platform v. 2.10 (CPR 9)
FactoryTalk Security (установленная с FactoryTalk Service Platform)
19
FactoryTalk Security Руководство по быстрому запуску
Выполните следующие шаги:
Запуск FactoryTalk Security
FactoryTalk Security – это не отдельный продукт, а полностью интегрированная система в
составе FactoryTalk Directory. FactoryTalk Directory не удастся найти в меню Start (Пуск) или
в списке Add or Remove Programs (Установка и удаление программ) панели управления.
Для начала использования FactoryTalk Security откройте FactoryTalk Administration Console:
Start (Пуск) > Programs (Все программы) > Rockwell Software > FactoryTalk
Administration Console и войдите в локальный или сетевой каталог FactoryTalk Directory.
20
4 • С чего начать в FactoryTalk Security
Вход в систему FactoryTalk с использованием
учетной записи администратора
Для обеспечения безопасности системы FactoryTalk необходимо войти в каталог, используя
учетную запись с администраторскими правами доступа к данному каталогу. Если
устанавливается FactoryTalk Services Platform версии 2.10 (CPR 9) на новый компьютер,
можно получить доступ к следующему:
Сетевому каталогу с использованием учетной записи Windows, которая входит в группы
администраторов Windows на локальном компьютере
Local Directory using any Windows user account.
Необходимо войти в каждый каталог и определить настройки безопасности.
Если учетная запись администратора является заблокированной или недействительной
учетной записью Windows, активируйте данную запись в Windows. Если учетная запись
администратора является заблокированной или недействительной учетной записью
FactoryTalk, запустите мастер конфигурации FactoryTalk Directory Configuration Wizard, чтобы
активировать эту учетную запись. За инструкциями обращайтесь к разделу «Использование
мастера конфигурации каталога FactoryTalk» на странице 205.
FactoryTalk Administration Console
FactoryTalk Administration Console является инструментом для работы с FactoryTalk Security.
Использование этого инструмента позволяет:
просматривать систему FactoryTalk и отображать приложения, серверы и устройства в
масштабах этой системы
создавать настройки безопасности в масштабах всей системы, а также настройки,
влияющие на все экземпляры связанных с FactoryTalk продуктов
обеспечить безопасность сетевого или локального каталога FactoryTalk
обеспечить безопасность ресурсов системы FactoryTalk, включая приложения и данные
обеспечить безопасность аппаратных сетей и устройств.
Если используется FactoryTalk View, для настройки системы безопасности можно
использовать как FactoryTalk Administration Console, так и Factory Talk View Studio.
21
FactoryTalk Security Руководство по быстрому запуску
Окно проводника
Окно проводника, которое находится в левой части FactoryTalk Administration Console,
отображает содержание сетевого и локального каталога FactoryTalk Directory в виде дерева.
Используйте окно проводника для добавления настроек безопасности и управления ими в
системе FactoryTalk View (включая все связанные с системой безопасности продукты
FactoryTalk).
Приложение
Системная папка
Сервер каталога
FactoryTalk (в данном
случае сетевого)
Сервер (Server)
Сервер – это компьютер где установлен FactoryTalk Directory (либо сервер локального или
сетевого каталога).
Если используется сервер сетевого каталога, отображается термин Network (Сеть), как
показано выше, и имя компьютера в скобках. Термин «This Computer» (Этот компьютер)
указывает на то, что сетевой каталог FactoryTalk Directory находится на используемом
компьютере. Если бы доступ к сетевому каталогу осуществлялся удаленно, в скобках
отобразилось бы имя компьютера.
Если используется сервер локального каталога, отображается термин Local (Локальный) и
имя компьютера в скобках.
Приложение (Application)
Приложение собирает информацию по проектам, включая такие элементы как серверы
данных, серверы HMI и серверы предупреждений и событий, и обеспечивает доступ ко всему
этому для всех программных продуктов и компьютеров системы FactoryTalk.
Сетевые приложения содержаться в сетевом каталоге FactoryTalk Network Directory.
Информация по проектам и участвующие программные продукты могут располагаться на
нескольких компьютерах, распределенных в сети. Все компьютеры, задействованные в
определенном сетевом приложении, совместно используют общий сетевой каталог
FactoryTalk Directory, расположенный на сетевом компьютере.
Локальные приложения содержаться в локальном каталоге FactoryTalk Local Directory.
Информация по проектам располагается на отдельном компьютере и доступна только тем
программным продуктам, которые установлены на данном компьютере. К локальным
приложениям нельзя получить удаленный доступ, и отсутствует возможность общего с
сетевым приложением использования информации.
22
4 • С чего начать в FactoryTalk Security
Производственная зона (Area)
Зоны организуют и подразделяют распределенное сетевое приложение на логические или
физические части. Например, отдельные зоны могут соответствовать отдельным
производственным линиям предприятия, отдельным производствам, расположенным в
разных географических пунктах, или разным производственным процессам.
Производственные зоны
Для локальных приложений зоны не используются.
Системная папка (System folder)
Системная папка содержит список пользовательских, компьютерных и групповых учетных
записей, паролей, системных настроек политики и безопасности. Все элементы в системной
папке применительны ко всем приложениям в каталоге FactoryTalk Directory.
Элементы, включенные в системную папку, описаны более подробно на следующих
страницах.
Вкладки Application (Приложения) и Communications (Соединения)
Вкладки в нижней части окна проводника доступны, только если установлен RSLinx
Enterprise. Вкладка Application (Приложение) отображает окно проводника.
23
FactoryTalk Security Руководство по быстрому запуску
Вкладка Communications (Соединения) отображает оборудование управления, доступное
локальному компьютеру через RSLinx Enterprise.
Отображенное здесь не является
окном «Сети и устройства».
Здесь отображено оборудование
управления, доступное локальному
компьютеру через RSLinx Enterprise.
Данные вкладки появляются только
при установленном RSLinx Enterprise
Если запускается FactoryTalk View Machine Edition, вкладка Communications (Соединения)
отображает ту же информацию, что и вкладка Design (План) в диалоговом окне
Communication Setup (Настройка подключений) в FactoryTalk View ME. За
дополнительной информацией обращайтесь к разделу “Использование вкладок Design (Local)
и Runtime (Target) в диалоговом окне Communication Setup (FactoryTalk View Machine Edition)”
в интерактивной справочной системе RSLinx Enterprise.
Группы действий (Action groups)
Группы действий позволяют группировать действия и назначать для них общие права
доступа. Это позволяет разрешить или запретить доступ сразу для нескольких действий,
вместо назначения прав доступа для каждого действия по отдельности.
Создавайте необходимые для вашего производства группы действий. Например, создавайте
группы на основе:
роли пользователя или вида работы (оператор, супервайзер, инженер и т.д.)
типа оборудования, к которому пользователь имеет доступ (бункеры, смесители и т.д.)
Политика (Системная папка)
Политика представляет собой набор настроек, применяемых во всей системе FactoryTalk.
Имеется два типа политик: политика продукта и политика системы.
Примеры политики продукта
Политика продукта представляет собой набор возможностей по безопасности для каждого
продукта в системе FactoryTalk. Вы можете задать параметры настройки системы
безопасности таким образом, чтобы ограничить доступ к функциям отдельных программных
продуктов, работающих в вашей системе, и предотвратить непреднамеренное внесение
изменений или искажение информации. Только пользователи, имеющие необходимый
уровень доступа, могут воспользоваться защищенными функциями программного продукта.
24
4 • С чего начать в FactoryTalk Security
Информация по политике для каждого продукта FactoryTalk заранее загружается в
FactoryTalk Directory. В такую политику можно вносить изменения, работая с каждым
продуктом по отдельности, для определенных пользователей, групп и компьютеров,
включенных в каталог FactoryTalk Directory.
Политика системы – набор настроек безопасности в масштабе всей системы. Примеры
политики системы:
Безопасность – длина, сложность, срок действия пароля и т.д.
Контрольные проверки – проверяются ли разрешения или отказы в доступе, или и то,
и другое, и т.д.
Права доступа – операции, которые могут выполнять пользователи, такие как
резервирование и восстановление содержания каталога FactoryTalk.
Все продукты FactoryTalk используют политику из папки System Policies (Политика системы).
При установке отдельных программных продуктов, они могут добавить свою собственную
политику в папку Product Policies (Политика продукта).
Компьютеры и группы действий (Системная папка)
Возможность создавать
учетные записи
компьютеров или
групповые учетные
записи есть только в
сетевом каталоге
FactoryTalk Directory,
но не локальном.
Учетная запись компьютера представляет физический компьютер в сети. Воспользуйтесь
папкой Computers and Groups (Компьютеры и группы), чтобы создать учетные записи
компьютеров, определяющие, какие компьютеры имеют доступ к системе FactoryTalk.
Объединение компьютеров в группы
упрощает администрирование прав
доступа. Путем изменения группы,
к которой принадлежит компьютер,
можно быстро изменить доступные
для него ресурсы.
После создания учетной записи компьютера, можно указать настройки безопасности,
например, разрешить или запретить доступ к частям системы FactoryTalk с данного
компьютера. Также можно добавить данный компьютер к групповой учетной записи, которая
включает несколько компьютеров, и затем указать настройки безопасности для этой группы.
25
FactoryTalk Security Руководство по быстрому запуску
Например, можно использовать эти учетные записи для того, чтобы организовать
обеспечение безопасности в пределах прямой видимости, а именно, чтобы операторы
управляли ответственными или опасными операциями только в пределах видимости
оборудования, с которым они работают.
Необходимо создать учетные записи компьютеров для всех компьютеров-серверов например, Terminal Servers, Rockwell Automation Device Servers (RSLinx Enterprise), серверы
данных OPC, серверы Tag Alarm and Event или HMI. Без серверной учетной записи компьютера
будет невозможно настраивать эти серверы с клиентских компьютеров в сети, потому что
сервер сетевого каталога FactoryTalk Network Directory не сможет обнаружить данные
серверы в сети без их учетных записей компьютера.
Это применительно, даже если отменена политика безопасности Require computer accounts
for all client machines (Требовать учетные записи компьютера для всех клиентов).
Сети и устройства (Системная папка)
Networks and Devices (Сети и устройства) – здесь отображено оборудование управления,
доступное локальному компьютеру через RSLinx Enterprise. Данные сети и устройства
системы управления могут отличаться для каждого компьютера в системе.
Обеспечить безопасность оборудования системы управления, доступного через RSLinx
Classic, можно из FactoryTalk Administration Console или RSWho. Настройки безопасности,
внесенные в RSWho, отображаются в FactoryTalk Administration Console при нажатии правой
кнопки на Networks and Devices (Сети и устройства) и выборе Refresh (Обновить). Если в
RSWho разрешен автопоиск, настройки безопасности, внесенные в FactoryTalk Administration
Console, незамедлительно отображаются в RSWho.
Действия по обеспечению безопасности этих сетей и устройств такие же, как и для любого
другого ресурса системы FactoryTalk. Однако имеется немного другой набор правил по
применению унаследованных прав доступа к устройствам управления, защищенных
логическими именами.
Если необходимо защитить оборудование в группах, используйте группирование ресурсов
для настройки безопасности приложения или зоны (для сетевых систем) или только для
приложения (для локальных систем). См. раздел «Использование группирования ресурсов»
на странице 80 для получения дополнительной информации.
Пользователи и группы (Системная папка)
Можно создать
привязанные к Windows
учётные записи
пользователей,
ссылающиеся на
учётные записи,
которые уже
существуют в домене
Windows. За
подробностями
обращайтесь к справке
FactoryTalk.
26
Папка Users and Groups (Пользователи и группы) позволяет контролировать пользователей и
компьютеры, которые имеют доступ к системе FactoryTalk. Доступ может быть ограничен для
одного пользователя или группы пользователей, а также для одного компьютера или группы
компьютеров.
При настройке безопасности необходимо создавать сначала группы и наделить их
соответствующими правами доступа. Это позволит создать структуру системы безопасности
без необходимости контроля личности пользователей. При добавлении пользователей к
группе они наделяются правами доступа данной группы. По необходимости позднее можно
задать определенные права доступа для определенного пользователя.
4 • С чего начать в FactoryTalk Security
Указание расположения сетевого каталога
Для распределения служб и ресурсов сетевого каталога необходимо подключить локальный
компьютер к серверу FactoryTalk Network Directory Server и включить в приложения,
расположенные на этом сервере. Для этого используйте утилиту определения расположения
сервера каталога FactoryTalk Directory Server Location Utility. (Для локального каталога на
отдельном компьютере этого делать не нужно).
Чтобы изменить путь к серверу сетевого каталога, необходимо войти в систему сетевого
каталога FactoryTalk Network Directory с использованием учетной записи администратора
Windows. Обратитесь к следующей теме: «Вход в FactoryTalk с использованием учетной
записи администратора Windows».
Запуск утилиты определения расположения сервера каталога
Запустить утилиту можно из:
Меню Windows Start (Пуск):
Start (Пуск) > All Programs (Все программы) > Rockwell Software > FactoryTalk
Tools > Specify FactoryTalk Directory Location.
Из FactoryTalk Administration Console:
в меню Tools (Инструменты) выберите FactoryTalk Directory Server Options (Опции
сервера каталога FactoryTalk).
Указание сервера сетевого каталога для клиент-компьютеров
1. На каждом включенном в сетевой каталог клиент-компьютере запустите утилиту
FactoryTalk Directory Server Location Utility.
На Компьютере 2, клиент-компьютер в нашем примере, запустите утилиту Directory Server
Location.
2. В диалоговом окне Login User (Вход пользователя) введите имя и пароль
администратора и нажмите OK.
27
FactoryTalk Security Руководство по быстрому запуску
3. В диалоговом окне FactoryTalk Directory Server Location нажмите кнопку Browse
(Обзор).
4. В диалоговом окне FactoryTalk Directory Server Configuration (Конфигурация сервера
каталога) нажмите Remote computer (Удаленный компьютер) и введите или найдите
имя компьютера, который будет использоваться как сервер сетевого каталога.
Для нашего примера выберите Компьютер 1, где установлены FactoryTalk Activation Server и
FactoryTalk Administration Console.
5. Нажмите OK.
При запросе войдите в новый сервер сетевого каталога.
Если система одного входа включена на данном компьютере, то при изменении
расположения сервера сетевого каталога сессия системы одного входа прекращается, и
будет необходимо войти в новый сервер сетевого каталога. Введенные имя и пароль
станут новыми параметрами системы одного входа для всех включенных в систему
продуктов FactoryTalk на данном компьютере.
Вход в систему FactoryTalk с использованием учетной
записи администратора
Для обеспечения безопасности системы FactoryTalk необходимо войти в каталог, используя
учетную запись с администраторскими правами доступа к данному каталогу.
1. Чтобы войти в FactoryTalk, сделайте что-либо из следующего:
28
Из меню Windows меню Пуск выберите Start (Пуск) > All Programs (Все
программы) > Rockwell Software > FactoryTalk Tools > Log on to FactoryTalk.
4 • С чего начать в FactoryTalk Security
Войдите в продукт FactoryTalk и использовать ту же учетную запись для
автоматического входа в FactoryTalk Directory.
2. В списке Directory (Каталог) выберите каталог, в который требуется войти:
Нажмите Network (Сетевые) для доступа к сетевым (распределенным) приложениям
на сервере сетевого каталога.
Нажмите Local (Локальные) для доступа к локальным (автономным) приложениям в
локальном каталоге.
Для нашего примера выберите Network (Сетевые).
Если не получается войти в какой-либо определенный каталог на этом компьютере, то
это может быть связано с отсутствием действующей учетной записи в данном
каталоге.
3. Выполните одно из следующего:
Если вход в каталог FactoryTalk Directory еще не осуществлен, нажмите Log On
(Войти).
Если вход в каталог FactoryTalk Directory уже осуществлен и требуется вход под
именем другого пользователя или требуется вход в другой каталог, нажмите Change
Logon (Войти заново).
4. В диалоговом окне Log On (Войти) введите имя и пароль и нажмите OK.
Если имя и пароль одинаковы для учетной записи Windows и для пользовательской
учетной записи, можно войти в связанную с Windows учетную запись путем ввода
имени пользователя в поле User Name в формате DOMAIN\username (ДОМЕН\имя
пользователя).
Если имя пользователя и пароль в домене локальной рабочей станции компьютера
совпадают с таковыми в сетевом домене Windows, будет произведен вход в тот же
домен, вход в который осуществлен в Windows, если не будет указано имя домена.
В сетевом и локальном каталогах настройки безопасности
отличаются
Настройки безопасности хранятся в FactoryTalk Directory. Сетевой каталог FactoryTalk
Network Directory и локальный каталог FactoryTalk Local Directory являются отдельными и
независимыми друг от друга. Учетные записи пользователей, пароль и разрешения системы
безопасности на использование определенных функций совершенно независимы и не могут
совместно использоваться с сетевым и локальным каталогом. Конфигурирование этих
элементов для одного каталога не приводит к их конфигурированию для другого. Аналогично
изменение пароля для учетной записи пользователя в одном каталоге не приводит к
изменению пароля в другом каталоге, даже если учетная запись имеет одинаковые имена в
обоих каталогах.
Все компьютеры, задействованные в определенном приложении, совместно используют
общий каталог FactoryTalk Directory, расположенный на сетевом компьютере.
FactoryTalk Directory нельзя устанавливать на один компьютер с контроллером домена для
сети.
29
FactoryTalk Security Руководство по быстрому запуску
Мастер конфигурации каталога FactoryTalk Directory Configuration
Wizard
Если при установке FactoryTalk Services Platform произошла ошибка или производится
обновление с предыдущей версии FactoryTalk Services Platform, возможно будет необходимо
вручную настроить FactoryTalk Directory, запустив мастер конфигурации FactoryTalk
Directory Configuration Wizard. За инструкциями обращайтесь к разделу «Использование
мастера конфигурации каталога FactoryTalk» на странице 205.
Защита действий, которые может выполнять пользователь
При настройке безопасности можно указать, какие действия с ресурсами системы сможет
выполнять пользователь или группа, работая с определенного компьютера или группы
компьютеров. В локальном каталоге FactoryTalk Local Directory действия могут выполняться
только с локального компьютера. FactoryTalk Local Directory не содержит какие-либо учетные
записи компьютера.
Различие между защищаемыми действиями и политикой защиты
функций продукта
Кроме ограничения действий, которые может выполнять пользователь, также можно
определить политику продукта, которая определяет, какие функции различных продуктов
FactoryTalk может использовать пользователь. См. разделы «Различие между защищаемыми
действиями и политикой защиты функций продукта» и «Политика защиты функций
продукта» в справке FactoryTalk Security (\Program Files\Common
Files\Rockwell\Help\FTSecurityEN.chm)
Группы действий
Можно группировать действия и назначать для них общие права доступа. См. «О группах
действий» в справке FactoryTalk Security.
Защищаемые по умолчанию действия
В данном разделе перечисляются защищаемые, распределенные по категориям действия,
которые устанавливаются по умолчанию вместе с FactoryTalk Services Platform. Однако к
разным ресурсам каталога применяются различные наборы действий.
В зависимости от установленного продукта FactoryTalk могут появляться дополнительные
защищаемые действия. За подробностями по использованию таких действий обращайтесь к
документации к продуктам FactoryTalk.
Чтобы защитить действия для определенного ресурса:
1. В FactoryTalk Administration Console или FactoryTalk View Studio в окне проводника
щелкните правой кнопкой на ресурс, который требуется защитить, и затем выберите
Security (Безопасность) в выпавшем меню.
2. Укажите права доступа для следующих действий и нажмите OK.
Действия RSLinx Enterprise
См. интерактивную справочную систему для RSLinx Enterprise: Во вкладке Contents
(Содержание) откройте книгу Work with RSLinx Enterprise (Работа с RSLinx Enterprise) >
Secure RSLinx Enterprise using FactoryTalk Security (Защита RSLinx Enterprise с
помощью FactoryTalk Security),
30
4 • С чего начать в FactoryTalk Security
а затем откройте тему How to specify FactoryTalk Security permissions to enable you to
perform RSLinx Enterprise tasks (Как указать права доступа FactoryTalk Security, чтобы
выполнять задачи RSLinx Enterprise).
Действия FactoryTalk Transaction Manager
См. интерактивную справочную систему FactoryTalk Transaction Manager: Во вкладке
Contents (Содержание) откройте книгу Secure FactoryTalk Transaction Manager using
FactoryTalk Security (Защита FactoryTalk Transaction Manager с помощью FactoryTalk
Security), а затем откройте тему Specify FactoryTalk Security permissions that allow you to
perform FactoryTalk Transaction Manager tasks (Указать права доступа FactoryTalk
Security для выполнения задач FactoryTalk Transaction Manager).
Действия RSLogix 5
Данные действия доступны из дерева Networks and Devices (Сети и устройства) и
применяются ко всему оборудованию системы управления, перечисленному в дереве. Данные
действия относятся только к программному продукту RSLogix 5.
См. RSLogix 5 Getting Results Guide (Руководство по получению результатов)
Действия RSLogix 500
Данные действия доступны из дерева Networks and Devices (Сети и устройства) и
применяются ко всему оборудованию системы управления, перечисленному в дереве. Данные
действия относятся только к программному продукту RSLogix 500.
См. RSLogix 500 Getting Results Guide (Руководство по получению результатов)
Действия RSLogix 5000
Данные действия доступны из дерева Networks and Devices (Сети и устройства) и
применяются ко всему оборудованию системы управления, перечисленному в дереве. Данные
действия относятся только к программному продукту RSLogix 5000.
См. интерактивную справочную систему RSLogix 5000 Online Help: Из меню Start (Пуск)
выберите All Programs (Все программы) > Rockwell Software > RSLogix 5000 Enterprise
Series > Help.
Действия FactoryTalk Batch
См. руководство администратора FactoryTalk Batch Administrator’s Guide: Из меню Windows
меню Пуск выберите Start (Пуск) > All Programs (Все программы) > Rockwell Software >
FactoryTalk Batch Suite > Online Books > FactoryTalk Batch > Batch Administrator’s Guide.
31
FactoryTalk Security Руководство по быстрому запуску
Обычные действия (Common)
Чтение (Read)
Ограничивает доступ к чтению ресурса для пользователя или группы в окне проводника с
какого-либо компьютера или группы компьютеров.
Для сетевого или локального каталога запрет на чтение не дает пользователям
просматривать каталог или его содержание.
Для приложения запрет на чтение не дает пользователям просматривать приложение
или его содержание. Запрет на чтение не ограничивает доступ пользователей к чтению
значений тегов с серверов данных в этом приложении.
Для зоны запрет на чтение не дает пользователям просматривать зону или её
содержание. Запрет на чтение не ограничивает доступ пользователей к чтению значений
тегов с серверов данных в данной зоне.
Для системной папки запрет на чтение не дает пользователям просматривать
системную папку или её содержание. Запрет на чтение не ограничивает доступ
пользователей к чтению значений тегов с устройств из дерева Networks and Devices (Сети
и устройства).
Для дерева Networks and Devices в системной папке запрет на чтение не дает
пользователям просматривать дерево Networks and Devices или его содержание. Запрет на
чтение не ограничивает доступ пользователей к чтению значений тегов с определенного
устройства.
Будьте осторожны при прямом запрете прав на чтение (Read) и списка дочерних записей (List
Children), так как многие приложения требуют наличие прав на чтение и списка дочерних
записей для доступа к правам безопасности. Если какое-либо приложение не может
прочитать свои права безопасности, то оно либо не запустится, либо будет иметь
ограниченную функциональность.
Для отдельной сети или устройства из дерева Networks and Devices запрет на чтение
не дает пользователям просматривать сеть или устройство и его содержание. Запрет на
чтение не ограничивает доступ пользователей к чтению значений тегов с определенного
устройства.
Будьте осторожны при прямом запрете прав на чтение (Read) и списка дочерних записей (List
Children), так как многие приложения требуют наличие прав на чтение и списка дочерних
записей для доступа к правам безопасности. Если какое-либо приложение не может
прочитать свои права безопасности, то оно либо не запустится, либо будет иметь
ограниченную функциональность.
Запись (Write)
Ограничивает доступ к записи в ресурс для пользователя или группы с какого-либо
компьютера или группы компьютеров.
32
Для сетевого или локального каталога запрет на запись не дает пользователям
редактировать параметры какого-либо элемента в каталоге. Например, запрет на запись
не дает пользователям редактировать описание приложения, зоны, или параметры
сервера данных. Однако если создание дочерних записей (Create Children) разрешено,
пользователь или группа могут создавать приложения в каталоге, добавлять зоны к
приложению и добавлять серверы данных в зоны.
4 • С чего начать в FactoryTalk Security
Для приложения запрет на запись не дает пользователям редактировать параметры
какого-либо элемента в приложении. Например, запрет на запись не дает пользователям
редактировать описание приложения, описания зон в рамках приложения, или параметры
сервера данных в рамках приложения или его зон. Однако если создание дочерних
записей (Create Children) разрешено, пользователь или группа могут добавлять зоны или
серверы данных в приложение и добавлять серверы данных в зоны.
Для зоны запрет на запись не дает пользователям редактировать параметры какого-либо
элемента в зоне. Например, запрет на запись не дает пользователям редактировать
описание зоны, или параметры серверов данных в рамках этой зоны. Однако если
создание дочерних записей (Create Children) разрешено, пользователь или группа могут
добавлять зоны или серверы данных в рамках этих зон.
Для системной папки запрет на запись не дает пользователям редактировать
параметры какого-либо элемента в системной папке. Например, запрет на запись не дает
пользователям редактировать настройки политики и параметры учетных записей
пользователей, таких как описание учетной записи или принадлежность к группе. Запрет
на запись также не дает удалять учетные записи пользователей и групп, если данные
учетные записи имеют групповую принадлежность. Так происходит, потому что
групповая принадлежность обновляется автоматически при удалении учетной записи, а
обновление групповой принадлежности сопровождается действием записи.
Для дерева Networks and Devices в системной папке запрет на запись не дает
пользователям назначать или удалять логические имена для сетей и устройств. Запрет на
запись не ограничивает доступ пользователей к записи значений тегов в устройства.
Для отдельной сети или устройства из дерева Networks and Devices запрет на запись
не дает пользователям назначать или удалять логические имена для сетей и устройств.
Запрет на запись не ограничивает доступ пользователей к записи значений тегов в
устройства.
Настройка безопасности (Configure Security)
Ограничивает доступ пользователя или группы к изменению прав доступа для какого-либо
ресурса при работе с компьютера или группы компьютеров и нажатии Security
(Безопасность) в открывшемся меню.
Запрет на настройку безопасности имеет такой же эффект на все защищаемые ресурсы.
Например, если пользователю запрещена настройка безопасности для какой-либо зоны, этот
пользователь не сможет изменить настройки безопасности данной зоны, такие как
разрешение или запрет прав доступа на выполнение действий в данной зоне при работе с
определенного компьютера или группы компьютеров.
Также запрет на настройку безопасности в папке Users and Groups (Пользователи и группы)
не дает пользователям устанавливать права доступа для данной папки. Запрет не настройку
безопасности в папке Users and Groups не ограничивает доступ пользователей к ресурсам
системы, который они имеют.
Создание дочерних записей (Create Children)
Определяет доступ пользователя или группы к созданию нового, связанного ресурса под
существующим ресурсом в дереве каталога при работе с какого-либо компьютера или группы
компьютеров.
Для сетевого или локального каталога запрет на создание дочерних записей не дает
пользователям создавать приложения или зоны.
33
FactoryTalk Security Руководство по быстрому запуску
Для приложения запрет на создание дочерних записей не дает пользователям создавать
зоны или серверы данных в этом приложении.
Для зоны запрет на создание дочерних записей не дает пользователям создавать зоны
или серверы данных в этой зоне.
Для системной папки запрет на создание дочерних записей не дает пользователям
создавать пользовательские или групповые учетные записи. Запрет на создание дочерних
записей не оказывает влияния на политику.
Для дерева Networks and Devices (Сети и устройства) и для отдельных сетей или
устройств из дерева Networks and Devices создание дочерних записей недоступно,
потому что пользователи не могут добавлять элементы к дереву Networks and Devices.
Дерево Networks and Devices наполняется автоматически в зависимости от сетей и
устройств, доступных локальному компьютеру.
Перечисление дочерних записей (List Children)
Ограничивает доступ к перечислению дочерних записей ресурса для пользователя или
группы с какого-либо компьютера или группы компьютеров.
Запрет на перечисление дочерних записей имеет такой же эффект на все защищаемые
ресурсы. Например, если доступ к перечислению дочерних записей не разрешен для
приложения, пользователь или группа могут видеть приложение, но не его содержание при
работе с определенного компьютера или группы компьютеров.
В отличие от чтения перечисление дочерних записей не дает пользователю видеть ресурс,
который содержит другие ресурсы, например, содержащее зоны и серверы данных
приложение.
Выполнение (Execute)
Ограничивает доступ к выполняемому действию для пользователя или группы с какого-либо
компьютера или группы компьютеров. Действие выполнения в основном используется для
настроек политики защиты элементов продукта. За подробностями по защите возможностей
продукта обращайтесь к разделу «Политика защиты элементов продукта».
Вместо использования действия выполнения каждый продукт FactoryTalk может
использовать собственные действия для защиты выполняемых элементов. За подробностями
по действию выполнения в конкретном продукте FactoryTalk обращайтесь к документации
данного продукта.
Удаление (Delete)
Ограничивает доступ к удалению ресурса для пользователя или группы с какого-либо
компьютера или группы компьютеров.
34
Для сетевого или локального каталога запрет на удаление не дает пользователям
удалять какие-либо элементы в каталоге, например, приложения, зоны, серверы данных
или учетные записи пользователей.
Для приложения запрет на удаление не дает пользователям удалять это приложение
или какой-либо его элемент, например, зоны или серверы данных.
Для зоны запрет на удаление не дает пользователям удалять эту зону или какой-либо её
элемент, например, серверы данных данной зоны
4 • С чего начать в FactoryTalk Security
Для системной папки запрет на удаление не дает пользователям удалять какие-либо
элементы в системной папке, например, учетные записи пользователей, компьютеров или
групп. Если учетная запись пользователя, компьютера или группы имеет групповую
принадлежность, для удаления этой учетной записи требуется разрешение на запись,
потому что обновление групповой принадлежности учетных записей сопровождается
действием записи.
Для дерева Networks and Devices (Сети и устройства) в системной папке и для
отдельных сетей или устройств из дерева Networks and Devices действие удаления
недоступно, потому что пользователи не могут удалять элементы из дерева Networks and
Devices. Дерево Networks and Devices наполняется автоматически в зависимости от сетей
и устройств, доступных локальному компьютеру.
Действия тегов (Tag actions)
Значение записи (Write Value)
Ограничивает доступ к записи в теги серверов данных для пользователя или группы с какоголибо компьютера или группы компьютеров. Данное действие может быть настроено для
сетевого или локального каталога, приложения или зоны.
Действие значения записи не ограничивает доступ пользователей к записи значений в теги в
определенных аппаратных устройствах. Действие значения записи блокирует значения
записи во все теги, управляемые каким-либо сервером данных.
Если установлены дополнительные продукты FactoryTalk, они могут установить
дополнительные действия тегов. За подробностями по этим действиям обращайтесь к
справке продуктов FactoryTalk.
Группы действий пользователя
Данная категория содержит добавленные вами группы действий. Если группы действия не
добавлялись, данная категория не отображается. За подробностями по группам действий
обращайтесь к разделу «О группах действий» в справке FactoryTalk Security.
Усиление безопасности
При первой установке FactoryTalk Services Platform на компьютер (а не при обновлении с
предыдущей версии) сетевой каталог FactoryTalk Network Directory и локальный каталог
FactoryTalk Local Directory по умолчанию настраиваются на разрешение доступа всем
пользователям. Однако по умолчанию учетные записи пользователей имеют немного разные
уровни доступа к сетевому и локальному каталогу.
Так как сетевой и локальный каталог являются отдельными, защищать их необходимо по
отдельности.
В новой системе
При первой установке FactoryTalk Services Platform и если все компьютеры, включенные в
систему, используют FactoryTalk Services Platform версии 2.10 (CPR 9):
В сетевом каталоге FactoryTalk Network Directory все пользователи-члены группы
администраторов Windows на любом локальном компьютере, который подключен к
сетевому каталогу, имеют полный доступ к распределенной по сети системе FactoryTalk.
35
FactoryTalk Security Руководство по быстрому запуску
В локальном каталоге FactoryTalk Local Directory любой пользователь, успешно
вошедший в Windows на локальном компьютере, имеет полный доступ к системе
FactoryTalk на данном локальном компьютере.
Усиление безопасности в новой системе
Данные указания предназначены для системы, где FactoryTalk Services Platform
устанавливается впервые.
1. Определитесь с типом каталога FactoryTalk Directory, который нужно настроить для
усиленной безопасности. Если требуется усиление безопасности как в сетевом каталоге,
так и локальном, выберите один, выполните приведенные ниже действия, и затем
повторите те же действия для другого каталога.
2. Войдите в систему Windows с использованием учетной записи Windows, которая входит в
группу администраторов Windows на локальном компьютере (Компьютер 1 в нашем
примере).
3. Запустите FactoryTalk Administration Console, затем войдите в сетевой каталог FactoryTalk
Network Directory, где необходимо усилить безопасность.
Из Windows меню Пуск выберите Start (Пуск) > All Programs (Все программы) >
Rockwell Software > FactoryTalk Administration Console.
4. Чтобы всегда иметь административный доступ к FactoryTalk Directory, создайте одну или
более пользовательских учетных записей FactoryTalk или связанных с Windows учетных
записей. Следующим шагом будет добавление данных учетных записей в группу
администраторов:
В окне проводника разверните System (Система) > Users and Groups (Пользователи
и группы) > Users (Пользователи). Правой кнопкой мыши щелкните по Users,
наведите на New (Новый) и выберите User или Windows-linked User (Связанный с
Windows пользователь).
Если создается новая пользовательская учетная запись, в диалоговом окне New User
(Новый пользователь) введите имя пользователя и пароль для учетной записи.
Чтобы получить справку по другим опциям в этом диалоговом окне, нажмите кнопку
Help (Справка).
Если создается связанная с Windows учетная запись пользователя, в диалоговом окне
New Windows-Linked User (Новый связанный с Windows пользователь) нажмите
Add (Добавить). В диалоговом окне Select Users (Выбор пользователей) введите
имена одного или нескольких связанных с Windows учетных записей, которые
необходимо связать, и нажмите OK; или щелкните Advanced (Дополнительно) и
нажмите Find Now (Найти сейчас) для поиска учетных записей. По завершении
работы с диалоговым окном New Windows-Linked User нажмите Create (Создать).
В нашем примере добавьте себя как связанного с Windows пользователя.
36
4 • С чего начать в FactoryTalk Security
5. Добавьте учетные записи, созданные в предыдущем шаге, к группе администраторов.
В окне проводника разверните System (Система) > Users and Groups (Пользователи
и группы) > Users (Пользователи). Щелкните правой кнопкой по группе
администраторов, затем выберите Properties (Параметры) из открывшегося меню.
В диалоговом окне Administrators Properties (Параметры администраторов)
нажмите Add (Добавить). В диалоговом окне Select User or Group (Выбор
пользователя или группы) нажмите Show users only (Показывать только
пользователей), выберите учетные записи, которым требуется административный
доступ, и нажмите OK. Нажмите OK для закрытия диалогового окна Administrators
Properties для данной учетной записи.
6. Выйдите из системы FactoryTalk:
В меню File (Файл) нажмите Log Off (Выйти из системы).
7. Войдите в настраиваемый сетевой каталог FactoryTalk Directory – используйте имя
пользователя и пароль администратора, созданные на шаге 4.
8. Ограничьте доступ к каждому каталогу.
В сетевом и локальном каталогах FactoryTalk Directory удалите связанную с Windows
группу с названием Windows Administrators (Администраторы Windows) из группы
администраторов.
Не забудьте создать пользователя-администратора и добавить его к группе администраторов
как для сетевого, так и локального каталогов (Не группа администраторов Windows).
37
FactoryTalk Security Руководство по быстрому запуску
В окне проводника разверните System (Система) > Users and Groups (Пользователи
и группы) > User Groups (Группы пользователей). Щелкните правой кнопкой по
группе Windows Administrators, затем выберите Delete (Удалить) из открывшегося
меню.
Удаление группы Windows Administrators (Администраторы Windows) из группы
администраторов не дает всем пользователям-членам этой группы на любом
локальном компьютере, соединенным с сетевым каталогом, получить
административный доступ к каталогу.
Только в локальном каталоге также удалите связанную с Windows группу с
названием Authenticated Users (Аунтефицированные пользователи):
В окне проводника разверните System (Система) > Users and Groups (Пользователи
и группы). Щелкните правой кнопкой Authenticated Users и нажмите Delete
(Удалить).
Удаление группы Authenticated Users не дает всем учетным записям, которые
успешно вошли в систему Windows, иметь доступ к каталогу.
9. Ограничить доступ для All Users (Все пользователи):
38
В верхней части окна проводника щелкните правой кнопкой по Network (Сетевые)
или Local (Локальные), затем выберите Security (Безопасность) из открывшегося
меню.
Во вкладке Permissions (Права доступа) выберите All Users.
В списке Permissions, напротив All Actions (Все действия) снимите все флажки
Allow (Разрешить) и Deny (Запретить).
4 • С чего начать в FactoryTalk Security
Разверните группу действий Common (Общие) и поставьте флажок разрешения
Allow для Read (Чтение) и List Children (Перечисление дочерних записей).
10. Удалить All Users (Все пользователи) из политики продукта:
Последним шагом по ограничению прав доступа группы All Users является удаление
прав, которые имеет группа All Users в политике продукта.
В окне проводника разверните каталог FactoryTalk Directory, как показано, и найдите
папку Product Policies (Политика продукта).
Щелкните правой кнопкой по Product Policies и нажмите Configure Features
Security (Настроить безопасность функций) в контекстном меню.
39
FactoryTalk Security Руководство по быстрому запуску
В диалоговом окне Feature Security for Product Policies (Безопасность функций в
политике продукта) выберите All Users, затем нажмите кнопку Remove (Удалить).
Из каталога FactoryTalk Directory удаляется группа All Users и все права доступа
настроенные для данной группы.
11. Далее, защитите настройки политики системы, которые определяют общие правила по
реализации безопасности во всех продуктах FactoryTalk вашей системы. За
подробностями по защите политики обращайтесь к разделу «Настройка политики
системы и политики продукта» в главе 7 на странице 69.
После установки основного уровня безопасности, создайте группы пользователей и учетные
записи для тех пользователей, которые нуждаются в больших правах доступа к системе, а
затем настройте для них безопасность.
При обновлении системы
Если производится обновление существующей системы FactoryTalk с FactoryTalk Automation
Platform версии 2.00. система будет работать как прежде, поэтому усиление безопасности
может и не понадобиться.
Однако если во время обновления в локальном или сетевом каталогах не будет обнаружена
действенная (неотмененная и неустаревшая) учетная запись администратора FactoryTalk,
войти в каталог будет невозможно; необходимо вручную запустить мастер конфигурации
каталога FactoryTalk Directory Configuration Wizard после завершения установки. Ручной
запуск этого мастера дает полный доступ для всех учетных записей пользователя Windows,
которые являются членами группы Администраторы Windows на любом локальном
компьютере, подключенном к сетевом каталогу FactoryTalk Network Directory. Для усиления
безопасности системы необходимо ограничить этот доступ вручную. За дополнительной
информацией по усилению безопасности при обновлении системы обращайтесь к «Усиление
безопасности» на странице 35.
Вход и выход с помощью системы одного входа
После входа в систему FactoryTalk единожды все действия, требующие того же уровня
безопасности, разрешаются в других продуктах FactoryTalk на этом компьютере, без
необходимости входа в каждый продукт по отдельности. Такая политика безопасности
называется - системой одного входа (single sign-on) и определяется системным
администратором. Система одного входа включена по умолчанию.
40
4 • С чего начать в FactoryTalk Security
Например, предположим система одного входа включена и пользователь под именем Jane
имеет связанную с Windows учетную запись. Jane может войти в систему один раз, и после
запрос на вход не будет выводиться снова при запуске FactoryTalk View SE Client, FactoryTalk
View Studio, RSLogix и т.д. на том же компьютере.
Когда система одного входа включена:
Если у Jane есть учетная запись пользователя FactoryTalk, она может войти в Windows, а
затем в FactoryTalk. После входа в FactoryTalk запрос на вход не будет выводиться снова
при попытке запустить другой продукт FactoryTalk, который поддерживает систему
одного входа.
Если у Jane есть связанная с Windows учетная запись, она может войти в Windows,
выбрать сетевой или локальный каталог, а затем будет произведен автоматический вход в
FactoryTalk с использованием её связанной с Windows учетной записи. Запрос на ввод
имени и пароля не будет выводиться вообще. После входа в FactoryTalk с использованием
связанной с Windows учетной записи запрос на вход не будет выводиться снова при
попытке запустить другой продукт FactoryTalk, который поддерживает систему одного
входа.
Настройка системы одного входа
Система одного входа является настройкой политики безопасности. Для её настройки:
1. В окне проводника FactoryTalk View Studio откройте папку System (Система), выберите
Policies (Политика) > System Policies (Политика системы) и дважды щелкните по
Security Policy (Политика безопасности).
41
FactoryTalk Security Руководство по быстрому запуску
2. В списке Single Sign-On Policy Settings (Настройки политики системы одного входа)
проверьте включено или нет Use single sign-on (Использовать систему одного входа).
Если система одного входа не работает должным образом, скорей всего используемый
продукт FactoryTalk её не поддерживает. Для некоторых продуктов FactoryTalk также
требуется отдельный вход, даже если включена система одного входа.
За подробной информацией по использованию системы одного входа обращайтесь к справке
FactoryTalk.
Два способа входа
Войти в FactoryTalk можно двумя способами:
Для входа в FactoryTalk из Windows меню Пуск выберите Start (Пуск) > All Programs (Все
программы) > Rockwell Software > FactoryTalk Tools > Log On to FactoryTalk.
После того, как будет выбран сетевой или локальный каталог и затем произведен вход с
использованием учетной записи пользователя, все последующие попытки доступа к
продуктам FactoryTalk с этого же каталога FactoryTalk Directory и компьютера будут
приводить к автоматическому использованию данных имени и пароля (если включена
система одного входа). Если система одного входа отключена, пользователям будет все
время выдаваться запрос на авторизацию.
Вход из продукта FactoryTalk. Если вы входите в продукт FactoryTalk без
предварительного входа в систему FactoryTalk, то система будет использовать эти имя и
пароль для автоматического входа в систему FactoryTalk. Все последующие попытки
доступа к продуктам FactoryTalk с этого же каталога FactoryTalk Directory на этом же
компьютере будут приводить к автоматическому использованию тех же имени и пароля,
если включена система одного входа.
Например, предположим у Jane есть учетная запись пользователя и она входит в
FactoryTalk Administration Console, используя имя «Jane» и пароль «robotics». В фоновом
режиме система безопасности использует то же имя и пароль для незаметного входа в
систему FactoryTalk.
42
4 • С чего начать в FactoryTalk Security
Если позднее Jane запустит FactoryTalk View, система будет использовать её данные и
даст доступ к продукту без повторного запроса на вход, даже если она закрыла или вышла
из FactoryTalk Administration Console.
Вход администратора и система одного входа
Если компьютер используется нескольким пользователями, один из которых является
администратором, то последний должен помнить, что учетная запись администратора не
остается в системе как учетная запись одного входа, потому что все последующие продукты
FactoryTalk, запущенные на этом компьютере, будут автоматически использовать данную
учетную запись администратора.
Администраторы должны входить в FactoryTalk с использованием неадминистративной
учетной записи, а затем входить в каждый продукт как администратор. Это позволяет
администратору вносить изменения без смены пользователя системы одного входа.
Два способа выхода
Хотя для входа в FactoryTalk можно использовать Windows меню Пуск или автоматический
вход параллельно с входом в какой-либо продукт FactoryTalk, для выхода из системы
FactoryTalk необходимо использовать инструмент Log On to FactoryTalk (Вход в
FactoryTalk).
Если вы выходите из какого-либо продукта FactoryTalk (такого как FactoryTalk
Administration Console или FactoryTalk View) из меню File (Файл), а не с использованием
инструмента Log On to FactoryTalk, вы останетесь в системе FactoryTalk, и все
последующие попытки доступа к продуктам FactoryTalk приведут к автоматическому
использованию имени пользователя и пароля, показанного в инструменте Log On to
FactoryTalk.
Если вы выходите из FactoryTalk с использованием инструмента Log On to FactoryTalk, а
не меню File (Файл) продукта, вы останетесь в системах всех продуктов, но в
дальнейшем при запуске продукта FactoryTalk на данном компьютере будет выводиться
запрос имени и пароля. Если система одного входа включена, все последующие попытки
доступа к продуктам FactoryTalk будут приводить к использованию того же имени и
пароля. Если система одного входа отключена, пользователям будет все время выдаваться
запрос на авторизацию.
Например, предположим Jane входит в FactoryTalk Administration Console с именем
пользователя «Administrator», а потом выходит с помощью меню File (Файл) в Administration
Console. Пока Jane обедает, Joe использует этот компьютер для запуска FactoryTalk View. При
запуске программы запрос на вход не выводится, потому что учетная запись «Administrator»
Jane все еще в системе FactoryTalk. Теперь у Joe будут администраторские права доступа Jane
в каждом запускаемом продукте FactoryTalk, до тех пор пока не будет произведен выход из
Windows или пока инструмент Log On to FactoryTalk не выполнит выход учетной записи
«Administrator».
Когда отключать систему одного входа
Если несколько пользователей используют одну учетную запись пользователя Windows, но
имеют разные учетные записи пользователя FactoryTalk Security, систему одного входа,
возможно, придется отключить. По причине того, что при включенной системе одного входа
последний вошедший в FactoryTalk пользователь автоматически регистрируется во всех
последующих продуктах FactoryTalk. Если есть потребность в разграничении возможностей
отдельных пользователей, отключите систему одного входа, чтобы заставить всех
пользователей самостоятельно проходить процедуру авторизации для каждого используемого
продукта.
43
FactoryTalk Security Руководство по быстрому запуску
Невозможно выполнить выход всех пользователей из всех продуктов FactoryTalk
одновременно. Это связано с тем, что некоторые продукты требуют бесперебойной работы в
фоновом режиме. Чтобы выполнить выход всех пользователей из всех продуктов FactoryTalk
одновременно, выйдите из Windows. Выход из Windows также закрывает все продукты
FactoryTalk, запущенные в текущей сессии Windows, независимо от того, сколько
пользователей находилось в системе.
Что делать далее
Выполните одно из следующего:
44
Перейдите к Главе 5 на странице 45, чтобы узнать о создании пользовательских,
групповых и компьютерных учетных записей.
Перейдите к Главе 6 на странице 57, чтобы узнать о назначении прав доступа для
пользователей, групп и компьютеров, добавленных в данной главе.
Перейдите к Главе 7 на странице 69, чтобы узнать об установке политики безопасности в
масштабах системы или конкретной политики.
Перейдите к Главе 8 на странице 79, чтобы узнать о дополнительных возможностях
FactoryTalk Security, таких как группирование ресурсов.
Перейдите к Главе 9 на странице 87, чтобы узнать о принципе использования FactoryTalk
Security с программным обеспечением RSLinx.
Перейдите к Главе 10 на странице 99, чтобы узнать о принципе использования
FactoryTalk Security с RSLogix 5000 для обеспечения безопасности проектов и устройств
(таких как, контроллеры Logix5000, PLC и SLC).
Перейдите к Главе 11 на странице 115, чтобы узнать о принципе использования
FactoryTalk Security с FactoryTalk View SE.
Перейдите к Главе 12 на странице 137, чтобы узнать о принципе использования
FactoryTalk Security с FactoryTalk View ME.
Перейдите к Главе 13 на странице 161, чтобы узнать о принципе использования
FactoryTalk Security с компонентами FactoryTalk Batch.
Перейдите к Главе 14 на странице 179, чтобы узнать о внедрении системы FactoryTalk на
компьютерах действующей системы.
ГЛАВА 5
Создание учетных записей пользователя
Учетные записи пользователя позволяют определить, кто будет иметь доступ к системе
FactoryTalk и с какого компьютера. Доступ можно ограничить для одного пользователя или
для группы, а также для одного компьютера или для группы.
В данной главе описывается создание учетных записей пользователей, включая:
Сетевые и локальные учетные записи пользователей
Учетные записи пользователей FactoryTalk и связанные с Windows учетные записи
пользователей
Планирование учетных записей
Простой пример процесса создания и настройки учетной записи в системе безопасности
FactoryTalk Security
Перед началом
Убедитесь, что установлено и активировано все программное обеспечение из списка «Что
необходимо», который представлен ниже.
Убедитесь, что настроен сетевой каталог, как описано в Главе 4 на странице 27.
Ознакомьтесь с терминами и понятиями FactoryTalk Security. См. Главу 1, «Что такое
безопасность в системе автоматизации» и Главу 2, «О системе FactoryTalk».
Что требуется
FactoryTalk Services Platform v. 2.10 (CPR 9)
FactoryTalk Security (установленная с FactoryTalk Service Platform)
45
FactoryTalk Security Руководство по быстрому запуску
Выполните следующие шаги:
Учетные записи пользователей FactoryTalk и учетные записи
Windows
В системе FactoryTalk есть возможность создавать два типа учетных записей:
Создание связанных с
Windows учетных
записей в FactoryTalk
означает поддержку
только одной системы
безопасности.
Учетные записи пользователей или групп FactoryTalk – такие учетные записи
являются отдельными от учетных записей Windows. Это позволяет указать
принадлежность учетной записи (например, имя пользователя), установить свойства
работы учетной записи (например, срок действия пароля будет ограниченным или нет), в
также указать группы, в которые она будет входить.
Связанные с Windows учетные записи пользователя или группы – такие учетные
записи управляются системой Windows.
Связанная с Windows учетная запись пользователя связана с учетной записью Windows.
Добавьте связанную с Windows учетную запись пользователя из домена или рабочей
группы Windows в систему FactoryTalk для того, чтобы обеспечить этим учетным записям
доступ к системе FactoryTalk. Любую информацию из связанных с Windows учетных
записей изменить нельзя, однако можно изменить группу, в которую они включены.
Связанный с Windows пользователь или связанная с Windows группа пользователей
является учетной записью пользователя/группы пользователей, чьи регистрационные
данные управляются и проверяются операционной системой Windows, но которые
связаны со службами FactoryTalk Security.
Связанная с Windows учетная запись группы пользователей Windows Administrators
добавляется в группу FactoryTalk Administrators, что дает полный доступ сетевому
каталогу FactoryTalk Network Directory ко всем учетным записям пользователей Windows,
которые состоят в группе Windows Administrators на любом локальном компьютере,
46
5 • Создание учетных записей пользователя
соединенном с FactoryTalk Network Directory. Данный уровень доступа можно удалить
после установки. См. «Усиление безопасности» на странице 35.
Связанная с Windows учетная запись группы пользователей Authenticated Users
добавляется к локальному каталогу FactoryTalk Local Directory, если FactoryTalk Services
Platform устанавливается на новый компьютер.
Во время установки автоматически создается учетная запись $AnonymousLogon, и ей
даются права доступа Common/Read (Общие/Чтение) и Common/List Children (Общие/
Перечисление дочерних записей) к сетевому каталогу FactoryTalk Network Directory и
локальному FactoryTalk Local Directory. Данная учетная запись используется после
установки, когда для продуктов FactoryTalk требуется доступ служб к каталогу.
Создайте учетные записи пользователей и групп FactoryTalk и добавьте к ним связанные с
Windows учетные записи пользователей и групп. Это позволит наделить правами учетные
записи пользователей и групп FactoryTalk, а не связанные с Windows учетные записи. Это
особенно важно, если потребуется переключение с домена разработки на домен
производства (обновить в этом случае будет нужно только связанные с Windows учетные
записи).
Планирование учетных записей
По мере возможности создавайте групповые учетные записи вместо индивидуальных. Это
упрощает администрирование и позволяет защитить ресурсы системы путем определения
прав доступа для групповых учетных записей до создания всех индивидуальных,
пользовательских учетных записей и учетных записей компьютера. Затем можно добавить
учетные записи пользователей и компьютеров к группам в любое время, а все
индивидуальные учетные записи будут иметь настройки безопасности этих групп.
С чего начать
Для планирование системы безопасности:
Составьте списки пользователей.
Распределите этих пользователей по группам.
Спланируйте ресурсы, к которым пользователи будут иметь доступ.
Спланируйте действия, которые будут разрешены пользователям для выполнения с этими
ресурсами и с каких компьютеров или групп компьютеров.
47
FactoryTalk Security Руководство по быстрому запуску
Пример защиты частей системы
Представьте простой сценарий: вы работаете на пекарню, в которой необходимо защитить
систему в сетевом каталоге FactoryTalk Directory:
Вы делите пользователей системы на группы с названиями «Операторы», «Начальники
смены» и «Супервайзеры».
Создаете три новых пользователя:
Pat Smith добавляете к группе «Начальники смены»;
Bob Tyler добавляете к группе «Операторы»;
Leslie WIlliams добавляете к группе «Супервайзеры».
Вы делите пекарню на логические зоны на основании функций: «Ингредиенты»,
«Смешивание», «Выпекание» и «Упаковка».
Добавляете группу компьютеров OpStation 1.
Вы определяете политику системы для каждой группы.
Настраиваете политику паролей.
Создание пользователя
Следующие примеры относятся к Компьютеру 1 и Компьютеру 2, приведенные в Главе 3 на
странице 9.
1. На Компьютере 1: В окне проводника Explorer раскройте дерево сетевого каталога
FactoryTalk Network Directory и расширьте папку System, пока не увидите каталог Users
(Пользователи).
2. Щелкните правой кнопкой по папке Users, выберите New (Новый), затем User
(Пользователь).
48
5 • Создание учетных записей пользователя
3. Во вкладке General (Общие) заполните поля User name (Имя пользователя), Full name
(Полное имя) и Description (Описание), затем выберите необходимые свойства пароля.
Выбираемые здесь
свойства пароля
находятся под
управлением
политики,
выбранной
в Security Policies
(Политика
безопасности).
Для нашего примера введите следующее:
User name (Имя пользователя): PSmith
Full name (Полное имя): Pat Smith
Description (Описание): Shift Leader
Password (Пароль): password
Для данного примера снимите флажок User must change password at next logon
(Пользователь должен сменить пароль при следующем входе) и установите флажок
Password never expires (Неограниченный срок действия пароля).
49
FactoryTalk Security Руководство по быстрому запуску
4. Нажмите OK. Новый пользователь появится в папке Users (Пользователи).
5. Создайте два следующих пользователя:
User name (Имя пользователя): Btylerh
Full name (Полное имя): Bob Tyler
Description (Описание): Operator
Password (Пароль): password
User name (Имя пользователя): Lwilliams
Full name (Полное имя): Leslie Williams
Description (Описание): Supervisor
Password (Пароль): password
Для обоих пользователей снимите флажок User must change password at next logon
(Пользователь должен сменить пароль при следующем входе) и установите флажок
Password never expires (Неограниченный срок действия пароля).
Создание группы пользователей
1. Щелкните правой кнопкой по папке Users Groups (Группы пользователей), выберите
New (Новый), затем User Group.
50
5 • Создание учетных записей пользователя
2. Заполните поля Name (Название) и Description (Описание), для нашего примера
используйте информацию приведенную ниже.
3. Нажмите Add (Добавить), чтобы открыть диалоговое окно Select User or Group
(Выбрать пользователя или группу). Если пользователя Psmith нет в списке,
установите флажок Show All (Показать все) или Show users only (Показать только
пользователей).
4. Выберите Psmith и нажмите OK, чтобы добавить Psmith к группе пользователей Shift
Leaders (Начальники смены).
5. Нажмите Create (Создать) для создания группы пользователей Shift Leaders и закройте
диалоговое окно.
51
FactoryTalk Security Руководство по быстрому запуску
Новая группа пользователей появится в папке Users Groups (Группа пользователей).
6. Создайте группы пользователей для операторов Operators (добавьте пользователя BTyler)
и супервайзеров Supervisors (добавьте LWilliams).
Удаление учетных записей
1. В окне проводника программ FactoryTalk Administration Console или FactoryTalk View
Studio разверните дерево сетевого или локального каталога FactoryTalk Directory, затем
разверните папку System до обнаружения учетной записи пользователя, которую вам
нужно удалить.
2. Щелкните правой кнопкой по учетной записи пользователя, затем нажмите Delete
(Удалить) из контекстного меню.
Все пользователи идентифицируются уникальным идентификатором, который отличается от
имени пользователя. При удалении учетной записи пользователя FactoryTalk, приписанной к
приложению FactoryTalk View, права доступа этого пользователя к данному приложению
удаляются, а его уникальный идентификатор нет. Это значит, что если даже вы создадите
учетную запись пользователя с идентичным именем, новая учетная запись не будет
автоматически иметь доступ к тем же ресурсам, что и прежняя.
Все приложения, к которым удаленный пользователь был добавлен, отобразят уникальный
идентификатор учетной записи, а не имя пользователя (которое больше не существует).
Данный уникальный идентификатор необходимо также удалить.
При создании другой учетной записи с таким же названием для нее необходимо установить
настройки безопасности. За инструкциями общайтесь к разделу «Восстановление удаленных
учетных записей» в справке FactoryTalk.
52
5 • Создание учетных записей пользователя
Добавление учетных записей компьютеров
1. Щелкните правой кнопкой по папке Computers and Groups (Компьютеры и группы),
наведите курсор на Computers и нажмите New Computer (Новый компьютер).
2. В поле Computer name (Имя компьютера) введите имя компьютера (OpStation 1 в
нашем примере) или найдите его в обзоре, введите описание в поле Description, затем
нажмите Add (Добавить) для открытия диалогового окна Select Computer Group
(Выбор группы компьютеров).
Нажмите кнопку Browse (Обзор)
для поиска существующих
в сети компьютеров.
Сделайте описание
содержательным
(например, введите
контактную информацию
соответствующего персонала).
53
FactoryTalk Security Руководство по быстрому запуску
3. В диалоговом окне Select Computer Group, нажмите Create New (Создать новую), затем
нажмите Computer Group (Группа компьютеров).
4. В диалоговом окне New Computer Group (Новая группа компьютеров) введите
название и описание для данной группы компьютеров (runtime stations (рабочие
станции) в нашем примере), затем нажмите Create (Создать).
54
5 • Создание учетных записей пользователя
5. В диалоговом окне New Computer Group выберите новую группу (runtime stations для
нашего примера), затем нажмите OK для закрытия этого окна и добавления нового
компьютера OpStation 1 к группе runtime stations.
6. В диалоговом окне New Computer (Новый компьютер) нажмите Create для создания
нового компьютера, который уже был добавлен к какой-либо группе.
55
FactoryTalk Security Руководство по быстрому запуску
Этот компьютер добавляется к списку компьютеров в окне проводника:
Что делать далее
Выполните одно из следующего:
56
Если требуется, продолжите добавлять пользователей, группы и/или компьютеры.
Перейдите к Главе 6 на странице 57, чтобы узнать о назначении прав доступа для
пользователей, групп и компьютеров, добавленных в данной главе.
Перейдите к Главе 7 на странице 69, чтобы узнать об установке политики безопасности в
масштабах системы или конкретной политики.
Перейдите к Главе 8 на странице 79, чтобы узнать о дополнительных возможностях
FactoryTalk Security, таких как группирование ресурсов и усиление безопасности.
Перейдите к Главе 9 на странице 87, чтобы узнать о принципе использования FactoryTalk
Security с программным обеспечением RSLinx.
Перейдите к Главе 10 на странице 99, чтобы узнать о принципе использования
FactoryTalk Security с RSLogix 5000 для обеспечения безопасности проектов и устройств
(таких как, контроллеры Logix5000, PLC и SLC).
Перейдите к Главе 11 на странице 115, чтобы узнать о принципе использования
FactoryTalk Security с FactoryTalk View SE.
Перейдите к Главе 12 на странице 137, чтобы узнать о принципе использования
FactoryTalk Security с FactoryTalk View ME.
Перейдите к Главе 13 на странице 161, чтобы узнать о принципе использования
FactoryTalk Security с компонентами FactoryTalk Batch.
Перейдите к Главе 14 на странице 179, чтобы узнать о внедрении системы FactoryTalk на
компьютерах действующей системы.
ГЛАВА 6
Назначение прав доступа
Данная глава содержит информацию по назначению прав доступа, включая информацию по
следующему:
разрешение и запрет прав доступа
наследование и порядок старшинства
категории прав доступа
действующие права доступа
группы действий
Перед тем, как вы начнете
Убедитесь, что установлено и активировано все программное обеспечение из списка «Что
необходимо», который представлен ниже.
Убедитесь, что настроен сетевой каталог, как описано в Главе 4 на странице 27.
Вы добавили учетные записи пользователей и групп, как указано в Главе 5 на странице
45.
Ознакомьтесь с терминами и понятиями FactoryTalk Security. См. Главу 1, «Что такое
безопасность в системе автоматизации» и Главу 2, «О системе FactoryTalk».
Что требуется
FactoryTalk Services Platform v. 2.10 (CPR 9)
FactoryTalk Security (установленная с FactoryTalk Service Platform)
57
FactoryTalk Security Руководство по быстрому запуску
Выполните следующие шаги:
Разрешение и запрет прав доступа
Для любого ресурса вашего приложения, например, самого приложения, зоны, сервера и т.д.,
можно назначить одно из двух прав доступа - Allow (Разрешить) или Deny (Запретить) – для
любого действия, которое пользователь, компьютер или группа может выполнять с объектом.
Например, можно запретить доступ к записи в определенный сервер для заданных
пользователей, групп пользователей, компьютеров или их групп.
Можно установить два типа прав доступа:
Разрешающие права доступа (Allow) позволяют пользователям выполнять действия с
ресурсами со всех или только определенных компьютеров в сети.
Запрещающие права доступа (Deny) не дают пользователям выполнять действия с
ресурсами со всех или только определенных компьютеров в сети.
Также можно удалить права доступа с объекта путем снятия обоих флажков Allow и Deny.
Это позволяет объекту наследовать права доступа, назначенные на более высоком уровне.
Например, если человеко-машинный сервер HMI расположен в зоне, и вы удаляете все права
доступа с этого сервера, он унаследует права доступа от данной зоны.
Если права доступа не определены для ресурса ни на каком уровне, используется запрет
(Deny).
58
6 • Назначение прав доступа
Назначайте права доступа для групп, а не пользователей.
Так как неэффективно работать с учетными записями пользователей напрямую,
назначайте права доступа для учетных записей пользователей в виде исключения.
Там где возможно, удалите разрешающие права доступа (Allow) вместо назначения
многих запрещающих прав доступа. Это упростит процесс администрирования, благодаря
порядку старшинства прямых прав доступа над наследованными правами доступа, а
запрещающих прав доступа (Deny) над разрешающими (Allow).
Используйте запрещающие права доступа (Deny) для:
исключения члена группы, который имеет разрешающие права доступа (Allow)
исключения одного особого права доступа при наделении полным доступом какоголибо пользователя или группы
Назначайте права доступа на как можно более высоком уровне. Это обеспечит лучшую
эффективность при меньших трудозатратах. Устанавливаемые права доступа должны
подходить для большинства пользователей. Например, устанавливайте безопасность для
зоны, а не для объектов в рамках этой зоны.
Администраторы должны использовать учетную запись с ограниченными правами доступа
для выполнения рабочих, неадминистративных задач, и использовать учетную запись с
большими правами доступа при выполнении особых задач по администрированию.
Понимание «наследования»
По умолчанию объекты наследуют права доступа автоматически от их родительских
объектов. Например, если безопасность устанавливается для зоны в приложении, все
элементы данной зоны наследуют её настройки безопасности, а зона наследует настройки от
приложения. На вершине иерархии стоит сетевой или локальный каталог.
Сети и устройства, на которые ссылаются по логическим именам, а не относительным путям,
наследуют права доступа не так как остальные ресурсы.
Заместить наследованные права доступа можно двумя способами:
Установить прямые права доступа для ресурсов на более низком уровне иерархии.
Например, если зона наследует права доступа от приложения, можно заместить эти
наследованные права доступа путем указания права доступа напрямую для данной зоны.
Прямые права доступа назначаются специально для пользователей, групп или
компьютеров на объекты или действия. Прямые права доступа имеют приоритет над
наследованными.
Разорвите цепочку наследования на уровне в дереве сетевого или локального
каталога. Например, можно не дать зоне унаследовать права доступа от приложения, в
котором она находится. Чтобы сделать это, установите флажок «Do not inherit
permissions» (Не наследовать права доступа) при настройке безопасности для ресурса.
При разрыве цепочки наследования, можно указать, нужно ли удалять все права доступа с
ресурсов ниже линии разрыва (которая предполагает запрещающее право доступа Deny)
или нужно использовать унаследованные права доступа на линии разрыва как прямые.
59
FactoryTalk Security Руководство по быстрому запуску
Права доступа могут наследоваться только до уровня дерева сетевого или локального
каталога, где цепочка наследования остается целой. Например, если установить флажок «Do
not inherit permissions» (Не наследовать права доступа) для зоны, то наследующие права
доступа элементы в рамках этой зоны наследуют права доступа только в рамках этой зоны.
Они не могут наследовать права доступа от приложения, в котором расположена эта зона.
Так как разрыв цепочки наследования усложняет администрирование, делать так следует
только в случаях крайней необходимости.
Принцип наследования позволяет установить права доступа на максимально практичном
уровне, а затем там, где это необходимо, внести исключения на более низких уровнях.
Если права доступа не определены ни на каком уровне, используется запрет (Deny).
Порядок старшинства
Когда система определяет уровень доступа пользователя, компьютера или группы, действуют
следующие правила:
Предполагаются запрещающие права доступа (Deny). Если для ресурса не
установлены никакие права доступа, подразумевается запрет. Используйте
подразумевающийся запрет Deny вместо прямого запрета, где возможно, так как это
упростит администрирование.
Запрет Deny берется в расчет до разрешения Allow. Например, если для группы
«Операторы» запрещен доступ к серверу данных, но персональная учетная запись
пользователя (Jane) имеет разрешения на доступ к этому серверу данных, запрет Deny
имеет приоритет над разрешением Allow и Jane не получит доступ к серверу данных,
потому что является членом группы «Операторы».
Прямые права доступа имеют приоритет над наследованными. Например,
предположим ваше приложение имеет зону с названием «Запекание», и вы дали
«Операторам» доступ на чтение для данной зоны. Если операторам будет запрещен
доступ на чтение с сервера HMI в зоне «Выпекание», запрет Deny будет иметь приоритет
над разрешением Allow.
Это означает, что прямое разрешение Allow замещает наследованный запрет Deny, и
прямой запрет Deny замещает наследованное разрешение Allow.
60
Если конфликтующие прямые права доступа установлены на одном уровне
запрет Deny будет иметь приоритет над разрешением Allow. Например, если для
группы «Операторы» напрямую запрещен доступ к серверу данных, но для
персональной учетной записи пользователя (Jane) напрямую дано разрешение на доступ к
этому серверу данных, запрет Deny имеет приоритет над разрешением Allow и Jane не
получит доступ к серверу данных, потому что является членом группы «Операторы». Это
происходит потому, что конфликтующие прямые права доступа установлены на один
ресурс. Для разрешения доступа к серверу данных для Jane, необходимо запретить группе
«Операторы» доступ к ресурсу на более высоком уровне в иерархии (например, в зоне,
где этот сервер установлен), а затем напрямую разрешить исключения для сервера
данных.
Если объект наследует как разрешение Allow, так и запрет Deny, заместить
наследованные права доступа будет невозможно. Такое может произойти при
выдаче права доступа (например, разрешения на чтение Allow Read) на одном уровне в
иерархии, и затем замещении (например, запретом на чтение Deny Read) на более низком
уровне в иерархии. При настройке безопасности для объекта, расположенного ниже
объекта с прямым запретом Deny, оба флажка Allow и Deny для данного права доступа
блокируются. Это означает, что для данного пользователя доступ к данному объекту
запрещен, потому что запрет Deny имеет приоритет над разрешением Allow.
6 • Назначение прав доступа
Категории прав доступа для действий
Действия, которые пользователи могут выполнять с ресурсами, группируются в категории.
Категория Common (Общая) является общей для всех продуктов FactoryTalk. За
подробностями по действиями в категории Common обращайтесь к интерактивной
справочной системе FactoryTalk Security.
Можно создавать собственные группы для действий. Это позволяет назначать права доступа
для всех действий в группе сразу, а не для каждого действия по отдельности. См. «Создание
групп действий» далее в данной главе.
Назначение прав доступа
1. В FactoryTalk Administration Console нажмите правой кнопкой на ресурс, например,
приложение, зону или сервер, которые требуется защитить, и затем выберите Security
(Безопасность) в выпавшем меню. Для нашего примера выберите Baking (Выпечка).
61
FactoryTalk Security Руководство по быстрому запуску
2. В диалоговом окне Security Settings (Настройки безопасности) щелкните вкладку
Permissions (Права доступа).
3. В списке пользователей и компьютеров щелкните Add (Добавить) и выберите
комбинацию пользователей, компьютеров и групп, для который требуется назначение
прав доступа.
Выберите
пользователя (User)
или действие
(Action)
В списке прав доступа установите флажки напротив действий, которые вы хотите запретить
или разрешить. Чтобы разрешить наследование прав доступа с более высокого уровня,
снимите оба флажка Allow и Deny. По завершении нажмите OK.
Следующие флажки указывают, какие права доступа вступят в силу при нажатии OK:
Пустая кнопка-флажок напротив действия означает отсутствие назначенного права
доступа. Если напротив действия флажки Allow и Deny оба не установлены, то для
данного действия предполагается Deny.
Однако пустая кнопка-флажок напротив названия группы действий, например, All
Actions (Все действия) или Common (Общие) означает, что некоторые действия в рамках
группы имеют не назначенные права доступа. Если не получается, разверните группу и
посмотрите, какие действия не имеют назначенных прав доступа.
Черный флажок означает, что права доступа Allow и Deny были назначены напрямую.
Серый флажок означает, что права доступа Allow и Deny были унаследованы.
Там где возможно, удалите разрешающие права доступа (Allow) вместо назначения многих
запрещающих прав доступа. Это упростит процесс администрирования, благодаря порядку
старшинства прямых прав доступа над наследованными правами доступа, а запрещающих
прав доступа (Deny) над разрешающими (Allow).
62
6 • Назначение прав доступа
Просмотр прав доступа
Настройки безопасности, установленные для ресурсов, можно просматривать. Права доступа
отображаются для:
пользователей или группы пользователей
компьютера или группы компьютеров
Например, при просмотре действующих прав доступа для приложения во вкладке Effective
Permissions (Действующие права доступа) может отображаться возможность выбранных
пользователей и компьютеров считывать содержание данного приложения.
Чтобы отобразить действующие права доступа для компьютера или группы компьютеров,
должен использоваться сетевой каталог FactoryTalk Network Directory. В локальном каталоге
FactoryTalk Local Directory отобразить действующие права доступа для компьютеров или
групп нельзя, потому что локальный каталог ограничен на один компьютер.
Понимание действующих прав доступа
Вкладка Effective Permissions (Действующие права доступа) не показывает отдельных
столбцов для прав доступа Allow и Deny, и не разграничивает прямые и наследованные права
доступа. Вместо этого, присутствие или отсутствие флажка в столбце Allowed (Разрешенные)
указывает на права доступа в действии для ресурса и для выбранного пользователя или
компьютера, или группы:
Если напротив действия имеется флажок, то данное действие разрешено, либо напрямую,
либо унаследовано.
Если напротив действия флажок отсутствует, то данное действие запрещено, либо
напрямую, либо унаследовано.
Если категория действий (например, Common (Общие) или Alarming (Сигнализация))
имеют серый флажок, то одно или более, но не все действия в данной категории
разрешены. Разверните категорию, чтобы посмотреть, какие действия разрешены, а какие
запрещены.
Чтобы отобразить действующие права доступа:
1. В окне проводника FactoryTalk Administration Console разверните дерево локального
каталога, затем разверните папку System (Система) до ресурса, для которого необходимо
отобразить действующие права доступа. Например, для отображения действующих прав
доступа приложения разверните дерево до появления этого приложения.
2. Щелкните правой кнопкой по ресурсу, затем выберите Security (Безопасность) из
открывшегося меню.
63
FactoryTalk Security Руководство по быстрому запуску
3. Щелкните по вкладке Effective Permissions.
4. В поле User or group (Пользователь или группа) введите имя пользователя или группы,
или щелкните по кнопке обзора, чтобы найти пользователя или группу самостоятельно.
5. В поле Computer or group (Компьютер или группа) введите имя компьютера или
группы, или щелкните по кнопке обзора, чтобы найти пользователя или группу
самостоятельно.
6. Нажмите Update Permissions List (Обновить список прав доступа).
Список Effective Permissions показывает действующие на текущий момент права доступа для
выбранных пользователей или компьютеров.
Создание групп действий
Группы действий позволяют группировать действия и назначать для них общие права
доступа. Это позволяет разрешить или запретить доступ сразу для нескольких действий,
вместо назначения прав доступа для каждого действия по отдельности.
Создавайте необходимые для вашего производства группы действий. Например, создавайте
группы на основе:
роли пользователя или вида работы (оператор, супервайзер, инженер и т.д.)
типа оборудования, к которому пользователь имеет доступ (бункеры, смесители и т.д.)
Доступные общие действия Common: Configure Security (Настройка безопасности), Create
Children (Создание дочерних записей), Delete (Удаление), Execute (Выполнение), List Children
(Перечисление дочерних записей), Read (Чтение), и Write (Запись). Доступные, зависимые от
продукта действия зависят от установленного продукта. Доступные действия для FactoryTalk
Alarms and Events, например, Acknowledge (Подтвердить), Enable/Disable (Включить/
Выключить), Reset (Сбросить), и Suppress (Подавить).
64
6 • Назначение прав доступа
Используйте группы действий для назначения прав доступа сразу для нескольких действий,
вместо назначения прав доступа для каждого действия по отдельности. При добавлении
группы действий, вы определяете:
название группы действий
какие действия принадлежат данной группе
Создайте группы действий для нашего примера
1. В FactoryTalk Administration Console выберите папку Systems, щелкните правой кнопкой
по папке Action Groups (Группы действий), затем выберите Add New Action Group
(Добавить новую группу действий) из открывшегося меню.
Будет выдано предупреждение о том, что использование групп действий с разными версиями
FactoryTalk Services Platform может привести к нежелательным результатам. Если FactoryTalk
Services Platform устанавливается впервые и если нет установленных версий FactoryTalk
Automation Platform, нажмите Yes для продолжения.
2. Введите уникальное название для группы действий (для нашего примера используйте
Maintenance), выберите разрешаемые действия для групп действий и нажмите OK.
Выберите здесь действие…
затем нажмите, чтобы добавить.
Чтобы создать действие сейчас,
но назначить для него действия
позднее, введите название
и нажмите New.
Это название появится в диалоговом окне Security Settings (Настройки безопасности) в
категории User Action Groups (Группы действий пользователя).
65
FactoryTalk Security Руководство по быстрому запуску
Назначение прав доступа для группы действий
1. Щелкните правой кнопкой по названию только что созданной группы действий
(Maintenance), затем выберите Security (Безопасность) из открывшегося меню.
2. Выберите каждую группу действий, назначьте необходимые права доступа и нажмите
OK.
Назначение прав разрешения Allow и запрета Deny для группы действий автоматически
назначает эти права доступа для индивидуальных действий в рамках группы.
Нажмите здесь,
чтобы отобразить
права доступа
по пользователям
или действиям.
Данные категории
находятся здесь
постоянно.
Здесь отображаются
созданные группы
действий.
66
Если напротив действия имеется флажок, то данное действие разрешено, либо
напрямую, либо унаследовано.
Если напротив действия флажок отсутствует, то данное действие запрещено, либо
напрямую, либо унаследовано.
Если категория действий (например, Common (Общие) или Alarming (Сигнализация))
имеют серый флажок, то одно или более, но не все действия в данной категории
разрешены. Разверните категорию, чтобы посмотреть какие действия разрешены, а
какие запрещены.
6 • Назначение прав доступа
Работа с группами действий
Далее представлены советы по работе с группами действий.
Создание новых групп действий
При создании новой группы действий перемещать элементы можно по одному или сделать
следующее:
Выбрать папку
Использовать SHIFT-ЩЕЛЧОК для выбора нескольких последовательных элементов
Использовать CTRL-ЩЕЛЧОК для выбора нескольких непоследовательных
элементов
Удаление групп действий
Для удаления группы действий щелкните по ней правой кнопкой и выберите Delete
(Удалить) из открывшегося меню.
Редактирование групп действий
Для редактирования группы действий щелкните по ней правой кнопкой и выберите
Properties (Параметры) из открывшегося меню.
Переименование групп действий
Группу действий переименовать нельзя. Вместо этого, запишите, какие права доступа
назначены для группы действий, которую необходимо переименовать, удалите данную
группу действий и создайте новую. Воссоздайте прежние права доступа для новой группы
действий.
67
FactoryTalk Security Руководство по быстрому запуску
Группы действий нельзя включить в другие группы
Для предотвращения конфликтующих прав доступа нет возможности включать группы
действий в другие группы действий.
Помните о конфликтующих правах доступа при включении одного действия в
несколькие группы действий.
Возможность включить одно действие в несколькие группы действий есть, но это может
привести к конфликтующим правам доступа. Например, если одно действие включается в две
группы, применимые к одному ресурсу, и вы напрямую разрешаете доступ для первой
группы действий и напрямую запрещаете доступ для второй, пользователю будет отказано в
доступе для данного действия, так как запрет Deny всегда имеет приоритет над разрешением
Allow.
Что делать далее
Выполните одно из следующего:
68
По необходимости продолжите добавлять группы действий и назначать права доступа.
Перейдите к Главе 7 на странице 69, чтобы узнать об установке политики безопасности в
масштабах системы или конкретной политики.
Перейдите к Главе 8 на странице 79, чтобы узнать о дополнительных возможностях
FactoryTalk Security, таких как группирование ресурсов и усиление безопасности.
Перейдите к Главе 9 на странице 87, чтобы узнать о принципе использования FactoryTalk
Security с программным обеспечением RSLinx.
Перейдите к Главе 10 на странице 99, чтобы узнать о принципе использования
FactoryTalk Security с RSLogix 5000 для обеспечения безопасности проектов и устройств
(таких как, контроллеры Logix5000, PLC и SLC).
Перейдите к Главе 11 на странице 115, чтобы узнать о принципе использования
FactoryTalk Security с FactoryTalk View SE.
Перейдите к Главе 12 на странице 137, чтобы узнать о принципе использования
FactoryTalk Security с FactoryTalk View ME.
Перейдите к Главе 13 на странице 161, чтобы узнать о принципе использования
FactoryTalk Security с компонентами FactoryTalk Batch.
Перейдите к Главе 14 на странице 179, чтобы узнать о внедрении системы FactoryTalk на
компьютерах действующей системы.
ГЛАВА 7
Установка политики безопасности системы и продукта
Данный раздел описывает способ установки:
политики системы
политики продукта
Политика представляет собой набор настроек, применяемых по всей производственной
системе FactoryTalk. Например, все продукты FactoryTalk, которые имеют общий каталог
FactoryTalk Directory, используют одну политику аудита, которая регистрирует безуспешные
попытки пользователя доступа к защищенным объекту или функции в связи с отсутствием у
данного пользователя достаточных прав доступа. При отключении данной политики ни один
из продуктов FactoryTalk в системе не будет регистрировать безуспешные попытки доступа к
защищенным объектам или функциям.
Политика системы
Далее приведены некоторые примеры политик безопасности в FactoryTalk:
Политика безопасности – длина, сложность, срок действия пароля и т.д.; Данная
политика не применяется к связанным с Windows учетным записям. Определяйте
политику для учетных записей Windows в системе Windows.
Политика аудита – проверяются ли разрешения или отказы в доступе, или и то и
другое, и т.д.
Политика назначения прав пользователей — возможность для пользователей
резервировать и восстанавливать содержание каталога FactoryTalk Directory, или
возможность переключения между главным и второстепенным сервером в избыточных
парах.
(См. раздел «Политика системы» на странице 71 для получения дополнительной
информации.)
Политика продукта
Политика продукта защищает либо функцию системы, либо специальные для определенного
продукта данные конфигурации системы. Каждый продукт FactoryTalk предоставляет
собственный набор политик продуктов, а значит они различаются в вашей системе, в
зависимости от установленного продукта FactoryTalk. (См. раздел «Политика продукта» на
странице 73 для получения дополнительной информации.)
За подробностями по установке политики для установленных продуктов обращайтесь к
справке каждого продукта.
Политика продукта не наследует настройки безопасности. При указании прав доступа для
политики продукта снятие обоих флажков Allow и Deny не дает политике наследовать
настройки безопасности. Вместо этого, снятие обоих флажков приводит к запрету доступа к
какой-либо функции продукта.
69
FactoryTalk Security Руководство по быстрому запуску
Перед тем, как вы начнете
Убедитесь, что установлено и активировано все программное обеспечение из списка «Что
необходимо», который представлен ниже.
Убедитесь, что настроен сетевой каталог, как описано в Главе 4 на странице 27.
Ознакомьтесь с терминами и понятиями FactoryTalk Security. См. Главу 1, «Что такое
безопасность в системе автоматизации» и Главу 2, «О системе FactoryTalk».
Что требуется
FactoryTalk Services Platform v. 2.10 (CPR 9)
FactoryTalk Security (установленная с FactoryTalk Service Platform)
Выполните следующие шаги:
70
7 • Установка политики безопасности системы и продукта
Политика системы
Политика системы представляет собой настройки безопасности, применяемые по всей
системе автоматизации FactoryTalk. В том числе:
Политика FactoryTalk Alarms and Events, которая определяет поведение предупреждений
и событий в масштабах системы
Политика назначения прав пользователя позволяет защищать функции в FactoryTalk
Directory, а также указать какие пользователи или группы FactoryTalk будут иметь
доступ к этим возможностям. Например, можно указать, какие пользователи смогут
выполнять резервирование и восстановление системы FactoryTalk.
Назначение прав доступа в рамках FactoryTalk Directory применяется только для
пользователей и групп FactoryTalk. Это не влияет на пользователей и группы Windows вне
FactoryTalk. Например, если минимальная длина пароля для родных пользователей
FactoryTalk установлена на 5 знаков, а пользователь имеет связанную с Windows учетную
запись с политикой Windows на 6 знаков, политика Windows будет применена системой
Windows.
Политика данных в режиме реального времени (Live Data Policy) позволяет установить
настройки для данных в масштабах системы.
Политика мониторинга состояния (Health Monitoring Policy) позволяет провести точную
настройку параметров, которые будет использовать служба мониторинга состояния при
проверке на наличие сбоя в сети и ожидании перед переключением на сервер ожидания.
Политика аудита (Audit policy) определяет, какая информация по безопасности будет
регистрироваться (проверяться) при использовании системы. Например, можно
отслеживать отказы пользователям в доступе к ресурсам системы.
Политика безопасности (Security policy) определяет общие правила по реализации
безопасности во всех продуктах FactoryTalk вашей системы. Например, можно изменять
количество допустимых безуспешных попыток входа в систему перед блокировкой
учетной записи пользователя.
Еще одна политика – система одного входа (Single Sign-on), которая определяет, могут ли
пользователи войти в систему FactoryTalk один раз или им необходимо проходить процедуру
входа для каждого продукта FactoryTalk.
Назначение политики безопасности
1. Запустите FactoryTalk Administration Console, затем войдите в каталог FactoryTalk
Directory, где необходимо настроить политику продукта. Для нашего примера войдите в
сетевой каталог Network Directory.
2. В окне проводника разверните дерево сетевого или локального каталога FactoryTalk
Directory, затем разверните папки System (Система) > Policies (Политика).
3. Щелкните правой кнопкой по ресурсу, затем выберите Properties (Параметры) из
открывшегося меню.
71
FactoryTalk Security Руководство по быстрому запуску
4. Выберите политику, для которой необходимо назначить безопасность.
Щелкните по кнопке
обзора для отображения
настроек безопасности
покатегории или
по алфавиту.
5. Настройте опции безопасности.
Опции безопасности для каждого продукта отличаются – в некоторых случаях что-то
просто включается или отключается. В других случаях необходимо назначить
ограничение по срокам или другим типам параметров.
В диалоговом окне User Rights Assignment Properties (Параметры назначения прав
пользователя), показанного выше, нажатием кнопки обзора открывается диалоговое окно
для назначения пользователей.
6. Нажмите OK для сохранения настроек безопасности.
72
7 • Установка политики безопасности системы и продукта
Политика продукта
Политика продукта представляет собой настройки безопасности, которые ограничивают
доступ к функциям отдельных продуктов FactoryTalk в вашей системе для предотвращения
непреднамеренного внесения изменений или искажения информации. Только пользователи,
имеющие необходимый уровень доступа, могут воспользоваться защищенными функциями
программного продукта.
Например, при установке политики продукта для RSLinx Classic можно ограничить
возможность выключения службы RSLinx Classic только небольшой группой пользователей,
чтобы предотвратить выключение системы автоматизации во время работы.
Каждый устанавливаемый продукт FactoryTalk имеет различные защищаемые функции.
В случае с локальным каталогом политика продукта применяется для продукта,
установленного на компьютер с этим локальным каталогом.
В случае с сетевым каталогом политика продукта применяется для всех инсталляций
продукта FactoryTalk на всех компьютерах, соединенных с этим сетевым каталогом.
Политика продукта и наследование
Политика продукта не наследует настройки безопасности. При указании прав доступа для
политики продукта снятие обоих флажков Allow и Deny не дает политике наследовать
настройки безопасности. Вместо этого, снятие обоих флажков приводит к запрету доступа к
какой-либо функции продукта.
Например, в случае с RSLinx Classic это означает, что политика продукта для RSLinx Classic не
наследует настройки безопасности из папки RSLinx Classic, где она установлена.
Политика продукта наследует настройки безопасности из специального элемента с
названием Feature Group Security (Безопасность групп функций). Элемент Feature
Group Security может быть доступным или недоступным в списке защищаемых функций
в диалоговом окне Feature Security Properties (Параметры безопасности функций), в
зависимости от установленных продуктов FactoryTalk.
Если Feature Group Security недоступен, и вы удалите оба права доступа Allow и Deny для
какой-либо функции продукта, то доступ к данной функции для данного пользователя
будет запрещен.
Чем отличаются политика продукта и политика действия?
Защищаемое действие применятся для всех продуктов, которые используют это действие в
определенном контексте (где контекст - любой ресурс, для которого защищается действие,
например, FactoryTalk Directory, приложение или зона).
Политика продукта применятся только для одного продукта - если запретить доступ к
функции продукта, видеть данную функцию при использовании этого продукта в любом
контексте будет невозможно.
В некоторых случаях бывают защищаемые действия и политика продукта с одинаковыми
возможностями. Например, в RSLogix 5000 есть как защищаемое действие, так и политика
продукта с названием Firmware: Update (Прошивка: обновление).
73
FactoryTalk Security Руководство по быстрому запуску
Защищаемое действие применяется ко всем продуктам – если запрещен доступ к
действию Firmware: Update в приложении или зоне, обновить прошивку в контроллере из
этого приложения или зоны, используя любой продукт, будет невозможно.
Данная политика продукта применяется только с RSLogix 5000 – если доступ к Firmware:
Update запрещен, обновить прошивку при использовании RSLogix 5000 для
конфигурации любого контроллера будет невозможно.
В отличие от защищаемых действий с ресурсами, политика продукта не наследует настройки
безопасности. При указании прав доступа для политики продукта снятие обоих флажков
Allow и Deny не дает политике наследовать настройки безопасности. Вместо этого, снятие
обоих флажков приводит к запрету доступа к какой-либо функции продукта.
Два различных способа настроить безопасность функций
продукта
Обычно необходимо настроить безопасность для нескольких продуктов и функций сразу.
Чтобы сделать это, используйте диалоговое окно Feature Security for Product Policies
(Безопасность функций для политики продукта).
Однако также можно настроить безопасность по отдельности для каждой функции продукта
(и FactoryTalk Gateway работает только таким образом), но это требует большого объема
работы.
Настройка нескольких продуктов
1. Запустите FactoryTalk Administration Console или FactoryTalk View Studio, затем войдите в
каталог FactoryTalk Directory, где необходимо настроить политику продукта.
2. В окне проводника разверните дерево сетевого или локального каталога FactoryTalk
Directory, затем разверните папки System (Система) > Policies (Политика).
3. Щелкните правой кнопкой по Product Policies, затем выберите Configure Feature
Security (Настроить безопасность функций) из открывшегося меню.
Также можно щелкнуть правой кнопкой по любой категории продуктов и нажать затем
Configure Feature Security для настройки политики только для выбранного продукта.
74
7 • Установка политики безопасности системы и продукта
4. В диалоговом окне Feature Security (Безопасность функций) назначьте необходимые
права доступа и нажмите OK.
Настройка доступа к одной функции продукта
1. В окне проводника разверните дерево сетевого или локального каталога FactoryTalk
Directory, затем разверните папки System (Система) > Policies (Политика) > Product
Policies (Политика продукта).
2. Папку Product Policies разверните до продукта, функции которого необходимо защитить,
затем дважды щелкните Feature Security (Безопасность функций) или название
функции, которую нужно защитить.
75
FactoryTalk Security Руководство по быстрому запуску
3. В диалоговом окне Feature Security Properties (Параметры безопасности функций)
щелкните по строке с функцией, которую нужно защитить. Описание этой функции
появится в нижней части диалогового окна Feature Security Properties.
4. Установите настройки безопасности для данной функции продукта путем нажатия
кнопки обзора (показана слева), и затем нажмите OK.
Помните, что FactoryTalk Batch имеет политику продукта, настраиваемую только из папки
Feature Security – она не доступна из открывающегося меню. За дополнительной
информацией обращайтесь к «FactoryTalk Batch и FactoryTalk Security» на странице 161.
76
7 • Установка политики безопасности системы и продукта
Что делать далее
Выполните одно из следующего:
По необходимости продолжите настраивать политику.
Перейдите к Главе 8 на странице 79, чтобы узнать о дополнительных возможностях
FactoryTalk Security, таких как группирование ресурсов и усиление безопасности.
Перейдите к Главе 9 на странице 87, чтобы узнать о принципе использования FactoryTalk
Security с программным обеспечением RSLinx.
Перейдите к Главе 10 на странице 99, чтобы узнать о принципе использования
FactoryTalk Security с RSLogix 5000 для защиты ресурсов.
Перейдите к Главе 11 на странице 115, чтобы узнать о принципе использования
FactoryTalk Security с FactoryTalk View SE.
Перейдите к Главе 12 на странице 137, чтобы узнать о принципе использования
FactoryTalk Security с FactoryTalk View ME.
Перейдите к Главе 13 на странице 161, чтобы узнать о принципе использования
FactoryTalk Security с компонентами FactoryTalk Batch.
Перейдите к Главе 14 на странице 179, чтобы узнать о внедрении системы FactoryTalk на
компьютерах действующей системы.
77
FactoryTalk Security Руководство по быстрому запуску
78
ГЛАВА 8
Группирование ресурсов
Данный раздел содержит информацию по дополнительной возможности безопасности,
которая называется группированием ресурсов. Группирование ресурсов – это один из
способов применения безопасности к аппаратным ресурсам. Вместо назначения
безопасности для каждого ресурса по отдельности в дереве Networks and Devices (Сети и
устройства), можно сгруппировать связанное оборудование в приложении или зоне, а затем
применить к ним настройки безопасности. Это позволяет назначить одинаковые права
доступа для всех аппаратных ресурсов сразу, вместо назначения прав доступа для каждого
ресурса по отдельности.
Применение настроек безопасности таким способом, безусловно, экономит время – когда у
вас сотни требующих защиты ресурсов, намного быстрее их сгруппировать, чем работать с
каждым по отдельности.
Перед тем, как вы начнете
Убедитесь, что установлено и активировано все программное обеспечение из списка «Что
необходимо», который представлен ниже.
Ознакомьтесь с терминами и понятиями FactoryTalk Security. См. Главу 1, «Понимание
системы автоматизации» для получения дополнительной информации.
Что требуется
Установленная FactoryTalk Services Platform с конфигурацией сетевого каталога.
Приложение с названием Пекарня (Bakery), созданное в сетевом каталоге. Обращайтесь к
справке FactoryTalk за указаниями по созданию приложения.
79
FactoryTalk Security Руководство по быстрому запуску
Выполните следующие шаги:
Использование группирования ресурсов
Для использования
группирования
ресурсов, необходимо
наличие настроенного
приложения.
Группирование ресурсов позволяет объединить оборудование управления, отраженное в
дереве Networks and Devices (Сети и устройства), а затем настроить безопасность для данной
группы одним действием.
Можно группировать действия и назначать для них общие права доступа. См. «О группах
действий» в справке FactoryTalk.
Почему это называется «группированием» ресурсов?
В среде FactoryTalk Security есть понятие создания «групп», таких как группы пользователей
и группы действий. В таких случаях создаётся группа, ей дается название, затем назначаются
права доступа для учетных записей или действий в этой группе.
Группирование ресурсов работает по-другому. В данном случае берутся ресурсы
оборудования и группируются в определенном приложении или зоне. Группировка ресурсов
наследует права доступа этого приложения или зоны.
Группирование ресурсов и дерево Networks and Devices
(Сети и устройства)
Группировку ресурсов нужно рассматривать как «логическое» представление производства, а
дерево Networks and Devices как «физическое». Логическое представление позволяет
группировать ресурсы в рамках приложения или зоны – в любом удобном порядке –
независимо от их физического расположения.
Дерево Networks and Devices в свою очередь позволяет работать с ресурсами в их физическом
расположении в сети.
80
8 • Группирование ресурсов
Например, пекарня Norm имеет три отдельных вентилятора, работающих в трех разных зонах
пекарни. Отдел «Управление» управляет данными вентиляторами независимо от их
расположения, а также включает и выключает их. Для настройки безопасности настройщик
системы сгруппировал контроллеры для вентиляторов в зоне «Управление», а затем назначил
права доступа для данной зоны. Все контроллеры этой зоны унаследовали одни и те же права
доступа.
Как сети и устройства наследуют права доступа
Система безопасности применяет наследованные права доступа по-разному, в зависимости от
защиты оборудования управления, доступного локальному компьютеру через RSLinx Classic,
сетевым относительным путем или логическим именем, а также в зависимости от наличия
членства данного устройства в группировке ресурсов.
Группировка ресурсов позволяет сети или устройству наследовать права доступа от
приложения или зоны, с которыми она связана, вместо наследования из папки System (узел
Networks and Devices), а затем элементы в рамках папки Networks and Devices и до самого
устройства.
Это значит, что группировка ресурсов позволяет сетям и устройствам наследовать права
доступа так же, как и другие ресурсы, расположенные в приложении или зоне, что упрощает
администрирование. За подробностями по наследованию обращайтесь к разделу «О правах
доступа» в справке FactoryTalk.
Если сеть или устройство является членом группировки ресурсов и еще связано с логическим
именем, данное устройство наследует права доступа от логического имени, а потом от
приложения или зоны, с которым связана данная группировка ресурсов.
Как наследование применяется для сетевых относительных путей
Сети и устройства управления, на которые ссылаются с помощью сетевых относительных
путей, наследуют права доступа так же, как и другие защищаемые ресурсы. Права доступа
наследуются из ресурса и затем вверх по всему пути до сетевого или локального каталога
вверху окна проводника.
Это значит, что устройства управления, доступные по нескольким путям, могут иметь
несколько наборов прав доступа. За дополнительной информацией по наследованию и
правам доступа обращайтесь к разделу «О правах доступа» в справке FactoryTalk.
Как наследование применятся к логическим именам
Сети и устройства управления, на которые ссылаются по логическому имени, наследуют
права доступа только от самих логических имен, затем идет вверх дерева Networks and
Devices, затем папка System, и в конце сами сетевой и локальный каталог.
При ссылке по логическому имени, устройство управления не наследует права доступа
изнутри дерева Networks and Devices.
81
FactoryTalk Security Руководство по быстрому запуску
Планирование группирования ресурсов
При группировании сетей или устройств сначала необходимо определиться:
с какой зоной нужно связать данную группу ресурсов. Обычно выбирается зона, которая
уже имеет права доступа, которые вы хотите перенести на сети и устройства.
какие ресурсы будут принадлежать к данной группировке.
После добавления группировки ресурсов к зоне и добавления устройств к этой группировке,
для работы системы безопасности для данного ресурса делать больше ничего не надо.
Устройства в рамках группировки ресурсов автоматически наследуют настройки
безопасности приложения или зоны, где она расположена.
Создание исключений для отдельных сетей или устройств
Для отдельных сетей или устройств можно создать исключения путем указания настроек
безопасности напрямую. Однако устанавливать такие прямые права доступа необходимо с
помощью выбора сетей и устройств в дереве Networks and Devices, а не в дереве приложения
или зоны.
Одно устройство не может быть членом нескольких групп ресурсов
Чтобы исключить конфликтующие права доступа, нельзя включать одну группировку
ресурсов в другую группировку ресурсов, а также нельзя включать одну и ту же сеть или
устройство в несколько группировок ресурсов в рамках одного каталога FactoryTalk Directory.
Вместо этого, назначьте права доступа для сетей и устройств на уровне приложения и/или
зоны, чтобы не пришлось назначать их по отдельности с помощью дерева Networks and
Devices.
Использование Resource Editor (Редактор ресурсов)
1. Чтобы открыть редактор ресурсов Resource Editor, выделите приложение или зону,
щелкните правой кнопкой, затем выберите Resource Editor.
Будет выдано предупреждение о том, что использование групп ресурсов с разными версиями
FactoryTalk Services Platform может привести к нежелательным результатам. Если FactoryTalk
Services Platform устанавливается впервые и если нет установленных версий FactoryTalk
Automation Platform, нажмите Yes для продолжения.
82
8 • Группирование ресурсов
Откроется редактор ресурсов.
When you add resources for this
area, they will appear here.
2. Для добавления ресурсов щелкните по кнопке Add Resources, а затем выберите ресурсы,
которые вы хотите использовать для данного приложения или области.
Если вы используете только сетевые относительные пути, не обращайте внимания на
опции в верхней части диалогового окна.
Если вы используете локальные имена, используйте эти опции для просмотра всех
логических имен ресурсов в вашей системе, или просматривайте только те, которые
вы уже назначили.
Щелкните > для добавления ресурса, а < - для удаления ресурса
83
FactoryTalk Security Руководство по быстрому запуску
Нажмите Add New Logical Name (Добавить новое логическое имя), чтобы создать
новое логическое имя и затем добавить его к приложению или зоне.
Нажмите Delete Logical Name (Удалить логическое имя), чтобы удалить имена,
которые больше не используются в системе, но все еще видимы в данном окне. Такое
может произойти, если вы добавили логическое имя, но затем удалили связанное с
ним устройство. Если логическое имя используется, данная кнопка блокируется.
3. По завершении нажмите OK, чтобы закрыть это диалоговое окно.
Добавление логического имени
Логическое имя является альтернативным именем для сети или устройства управления.
Логическое имя можно использовать для ввода более короткого и интуитивно понятного
имени для устройства, вместо его сетевого относительного пути. Логические имена также
меняют способ наследования прав доступа устройствами.
Для чего используются логические имена?
Устройства управления с идентичными логическими именами имеют общие права доступа в
разных сетях управления и разных компьютерах, без необходимости наличия идентичных
имен драйверов RSLinx Classic или без зависимости от идентичных сетевых путей. Примеры
использования логических имен смотрите в «Сценариях конфигурации для сетей и
устройств» и «Как связаны логические имена и сетевые относительные пути».
Вы должны определить логические имена в FactoryTalk Administration Console перед
настройкой безопасности для контроллеров Logix5000. За подробностями обращайтесь к
разделу «Включение безопасности в RSLogix 5000» на странице 100. Для всех остальных
типов оборудования управления можно связать настройки безопасности с логическими
именами или сетевыми относительными путями. Возможно, придется определить логические
имена как альтернативные имена для устройств управления с несколькими путями, связать
каждый экземпляр устройства с одним набором прав доступа.
1. Чтобы добавить логическое имя, нажмите кнопку Add New Logical Name и введите
логическое имя, которое планируется использовать. Для нашего примера используйте
Oven05Temp.
Имя не может содержать пробелы
или символы $!:/\?
84
8 • Группирование ресурсов
2. Выберите ресурс или введите сетевой относительный путь к устройству. По завершении
нажмите OK в обоих окнах, чтобы вернуться в редактор ресурсов.
Безопасность может быть назначена для логического имени или относительного пути, в
зависимости от типа ресурса. Например, контроллеры ControlLogix поддерживают только
основанную на логических именах защиту – контроллер ControlLogix обязательно должен
назначенное логическое имя.
Для контроллеров RSLogix 5 и 500 логическое имя связано с относительным путем, а не
физическим контроллером.
Контроллеры PLC-5 и SLC 500 поддерживают как основанную на пути безопасность, так и
основанную на логическом имени.
Что происходит при назначении логического имени?
Если логическое имя назначается для устройства управления, для определения прав доступа
система безопасности автоматически использует связанные с этим именем права доступа, а
не с сетевым относительным путем устройства. После назначения нового логического имени
нужно также установить права доступа для устройства управления. Не забывайте назначать
идентичные логические имена для устройства управления на каждом компьютере в сети,
который имеет доступ к этому устройству, если различные компьютеры имеют разные
относительные пути к данному устройству.
Если безопасность настраивается для устройства управления, определенного сетевым
относительным именем, а затем для данного устройства добавляется логическое имя,
исходные права доступа не потеряются; они останутся связанными с путем, но не передадут
имя. В результате, исходные права доступа не будут доступны, потому что система теперь
будет пытаться получить доступ к правам доступа, используя имя, а не путь.
85
FactoryTalk Security Руководство по быстрому запуску
Если после этого сменить логическое имя устройства управления, исходные права доступа
останутся связанными с первым логическим именем. Чтобы связать права доступа с новым
логическим именем, их необходимо переназначить.
Что происходит при отмене назначения логического имени?
При отмене назначения логического имени система безопасности автоматически использует
права доступа, связанные с сетевым относительным путем устройства.
Логическое имя и связанные с ним права безопасности продолжают существовать в системе
безопасности после отмены назначения имени. Например, предположим имя «MyPLC1»
назначается устройству Device1 на Компьютере A и Компьютере B, и оба компьютера имеют
разные относительные пути к Device1. При попытке пользователя выполнить действие на
Device1 с любого из этих компьютеров, система безопасности проверяет права доступа,
связанные с «MyPLC1».
Теперь предположим мы отменили назначение имени «MyPLC1» на Компьютере A, но
оставили на Компьютере B. Если пользователь попытается выполнить действие на
устройстве Device1 с компьютера A, система безопасности будет использовать права доступа,
связанные с сетевым относительным путем устройства Device1. При попытке пользователя
выполнить действие на Device1 с Компьютера A, система безопасности будет использовать
права доступа, связанные с логическим именем «MyPLC1».
Не отменяйте назначения логических имен для контроллеров Logix5000. Так как
контроллеры Logix5000 не имеют сетевых относительных путей, отмена назначения
логического имени может привести к непредсказуемым результатам. За подробностями
обращайтесь к разделу «Включение безопасности в RSLogix 5000» на странице 100.
Что делать далее
Выполните одно из следующего:
86
По необходимости продолжите добавлять и настраивать группировки ресурсов.
Перейдите к Главе 9 на странице 87, чтобы узнать о принципе использования FactoryTalk
Security с программным обеспечением RSLinx.
Перейдите к Главе 10 на странице 99, чтобы узнать о принципе использования
FactoryTalk Security с RSLogix 5000 для защиты ресурсов.
Перейдите к Главе 11 на странице 115, чтобы узнать о принципе использования
FactoryTalk Security с FactoryTalk View SE.
Перейдите к Главе 12 на странице 137, чтобы узнать о принципе использования
FactoryTalk Security с FactoryTalk View ME.
Перейдите к Главе 13 на странице 161, чтобы узнать о принципе использования
FactoryTalk Security с компонентами FactoryTalk Batch.
Перейдите к Главе 14 на странице 179, чтобы узнать о внедрении системы FactoryTalk на
компьютерах действующей системы.
ГЛАВА 9
RSLinx и FactoryTalk Security
Данный раздел содержит описание настройки RSLinx® Classic на работу с FactoryTalk®
Security.
Перед тем, как вы начнете
Убедитесь, что установлено и активировано все программное обеспечение из списка «Что
необходимо», который представлен ниже.
Установочный диск FactoryTalk View SE или RSLinx Classic v. 2.52
Ознакомьтесь с терминами и понятиями FactoryTalk Security. См. Главу 1, «Что такое
безопасность в системе автоматизации» и Главу 2, «О системе FactoryTalk».
Что требуется
FactoryTalk Services Platform v. 2.10 (CPR 9)
FactoryTalk Security (установленная с FactoryTalk Service Platform)
Определите сетевой каталог FactoryTalk Network Directory, используемый во время
установки RSLinx и RSSecurity Emulator
87
FactoryTalk Security Руководство по быстрому запуску
Выполните следующие шаги:
Установка RSSecurity Emulator
Для правильной работы FactoryTalk Security необходимо установить RSSecurity Emulator
обязательно до установки RSLinx Classic.
Выполните следующие действия на каждом компьютере, где будет устанавливаться RSLinx
Classic.
1. С помощью CD диска любого продукта FactoryTalk установите FactoryTalk Services
Platform, если она еще не установлена.
Все продукты FactoryTalk, запущенные на одном компьютере, должны использовать одну и ту
же версию платформы FactoryTalk, либо FactoryTalk Services Platform Version 2.10 (CPR 9),
либо FactoryTalk Automation Platform Version 2.00 (CPR 7).
2. Укажите расположение сетевого каталога FactoryTalk Directory.
Если ваша система FactoryTalk распределена по сети, укажите компьютер, который
содержит сервер сетевого каталога FactoryTalk Network Directory Server. Чтобы
сделать это, нажмите Start (Пуск) > All Programs (Все программы) > Rockwell
Software > FactoryTalk Tools > Specify FactoryTalk Directory Location, и затем
укажите имя компьютера, где расположен сервер сетевого каталога.
Если ваша система FactoryTalk не распределена по сети и использует только
локальный каталог FactoryTalk Local Directory на данном компьютере, пропустите
этот шаг.
88
9 • RSLinx и FactoryTalk Security
3. Установка RSSecurity Emulator:
Из Windows меню Start (Пуск) выберите All Programs (Все программы) > Rockwell
Software > FactoryTalk Tools > RSSecurity Emulator Install.
В окне приветствия нажмите Next (Далее).
Просмотрите и примите пользовательское лицензионное соглашение, затем нажмите
Next (Далее).
В окне Customer Information (Информация о покупателе) введите вашу
информацию и нажмите Next (Далее).
В окне Setup Type (Тип установки) выберите требуемый тип установки и нажмите
Next (Далее).
4. Укажите необходимый каталог FactoryTalk Directory:
В окне FactoryTalk Directory выберите каталог для использования с RSSecurity
Emulator (выберите сетевой каталог Network Directory для нашего примера), затем
нажмите Next (Далее).
RSLinx Classic
поддерживает сетевой
и локальный каталог
FactoryTalk Directory.
Конфигурация
RSSecurity Emulator
определяет, какой
каталог FactoryTalk
Directory будет
использовать RSLinx
Classic.
Необходимо выбрать тот каталог FactoryTalk Directory, который используется другими
связанными с FactoryTalk программами, установленными на компьютере.
По завершении установки нажмите Finish (Закончить). Для настройки RSSecurity
Emulator делать больше ничего не надо.
89
FactoryTalk Security Руководство по быстрому запуску
Настройка RSLinx Classic на работу с FactoryTalk Security
При установленном RSSecurity Emulator выполните следующие действия для установки и
настройки RSLinx Classic на работу с FactoryTalk Security:
1. Вставьте установочный диск FactoryTalk View SE или RSLinx Classic v. 2.52 в
необходимый привод. Установочная программа должна запуститься автоматически.
2. После открытия окна установки FactoryTalk View Site Edition нажмите Install
FactoryTalk View Site Edition.
3. Выберите Install RSLinx Classic. Начнется процесс установки.
4. Нажмите Next (Далее) в окне приветствия InstallShield Wizard.
5. Выберите I accept the terms in the license agreement (Я принимаю условия
лицензионного соглашения) и нажмите Next (Далее).
6. Введите ваше имя пользователя, название организации и 10-значный серийный номер,
затем нажмите Next (Далее). Откроется диалоговое окно RSLinx Classic Security
Configuration Selection (Выбор конфигурации безопасности RSLinx Classic).
Диалоговое окно Security Configuration Selection отображается, только если установочная
программа обнаружит RSSecurity Emulator.
7. Установите флажок Enable Security (Включить безопасность) и нажмите Next (Далее).
8. Добавьте Electronic Data Sheet (Электронные перечни технических характеристик) к
установке RSLinx Classic и нажмите Next (Далее).
9. Нажмите Install (Установить) для начала процесса установки.
10. Нажмите Finish (Завершить), чтобы закончить процесс установки.
90
9 • RSLinx и FactoryTalk Security
Настройка безопасности для RSLinx Classic
1. Откройте RSLinx Classic из Start (Пуск) > Programs (Все программы) > Rockwell
Software > RSLinx > RSLinx Classic.
2. Выберите Set Security User (Указать пользователя системы безопасности) из меню
Security (Безопасность).
3. В диалоговом окне Set RSLinx Classic Security User (Указание пользователя системы
безопасности RSLinx Classic) введите имя и пароль администратора и нажмите OK. В
нашем примере мы использовали PSmith – пользователь, которого мы создали в
FactoryTalk Administration Console.
Поскольку доступ к функциям RSLinx Classic регулируется разрешениями, которые вы
установили для пользователя в FactoryTalk Administration Console, некоторые из 13
охраняемых функций RSLinx Classic могут оказаться недоступными (например, если
пользователь, которого вы ввели на шаге 8, не имеет соответствующих разрешений).
Назначение прав доступа
Можно ограничить доступ к функциям отдельных программных продуктов FactoryTalk,
работающих в вашей системе, и предотвратить непреднамеренное внесение изменений или
искажение информации. Только пользователи, имеющие необходимый уровень доступа,
могут воспользоваться защищенными функциями программного продукта.
Например, при установке политики продукта для RSLinx Classic можно ограничить
возможность выключения службы RSLinx Classic только небольшой группой пользователей,
чтобы предотвратить выключение системы автоматизации во время работы.
Каждый устанавливаемый продукт FactoryTalk имеет различные защищаемые функции.
Обратитесь к документации вашего продукта за подробностями.
91
FactoryTalk Security Руководство по быстрому запуску
1. В FactoryTalk Administration Console (или FactoryTalk View Studio) в окне проводника
разверните System (Система) > Policies (Политика) > Product Policies (Политика
продукта), затем щелкните правой кнопкой по RSLinx Classic и выберите Security
(Безопасность) в открывшемся меню.
2. В диалоговом окне Security Settings (Настройки безопасности) щелкните вкладку
Permissions (Права доступа), если она еще не открыта. Здесь можно добавлять
пользователей и группы и устанавливать права доступа.
3. Удалите группу All Users (Все пользователи) и списка пользователей и компьютеров,
затем добавьте группу Shift Leaders (Начальники смены).
92
Выберите All Users и нажмите Remove (Удалить).
Нажмите Add (Добавить). Откроется диалоговое окно Select User and Computer
(Выбор компьютера и группы).
9 • RSLinx и FactoryTalk Security
Выберите Shift Leaders (Начальники смены) нажмите OK.
Выберите группу Shift Leaders в правах доступа View по зонам, затем установите
флажок Allow (Разрешить) напротив All Actions (Все действия). Это даст группе
Shift Leaders доступ к действиям Common (Общие).
Нажмите OK для закрытия диалогового окна Security Settings (Настройки
безопасности).
4. Теперь назначьте права доступа для группы Shift Leaders для разных функций RSLinx
Classic:
В окне проводника разверните System (Система) > Policies (Политика) > Product
Policies (Политика продукта) > RSLinx Classic, затем выберите Configure Feature
Security (Настроить безопасность функций) из открывшегося меню.
Во вкладке Permissions (Права доступа) в диалоговом окне Security Settings
(Настройки безопасности) выберите группу Shift Leaders для того, чтобы её
выделить. (Если группа Shift Leaders не отображается, нажмите кнопку Add
(Добавить), выберите группу Shift Leaders, затем нажмите OK.)
93
FactoryTalk Security Руководство по быстрому запуску
94
Во вкладке Permissions для Shift Leaders из зоны All Computers (Все компьютеры)
установите флажок Allow (Разрешить) напротив All Actions (Все действия).
Разверните список Feature Security (Безопасность функций) нажатием символа
плюс (+), как показано здесь.
Пролистайте список до Shutdown (Завершение работы) и снимите флажок Allow
для него. Тогда никто из группы Shift Leaders не сможет завершить работу RSLinx
Classic.
Нажмите OK для сохранения и закрытия диалогового окна.
9 • RSLinx и FactoryTalk Security
5. Проверьте назначенные права доступа:
Откройте RSLinx Classic (щелкните по пиктограмме RSLinx в панели задач Windows
или выберите Start (Пуск) > All Programs (Все программы) > Rockwell Software >
RSLinx > RSLinx Classic)
Выберите Set Security User (Указать пользователя системы безопасности) из меню
Security (Безопасность). Убедитесь, что PSmith все еще является текущим
пользователем системы безопасности. Если это не так, войдите как PSmith с паролем
password, затем нажмите OK.
Теперь выберите Exit (Выйти) из меню File (Файл). Должно отобразиться
следующее сообщение.
6. (Опционально) Снова войдите как пользователь FactoryTalk с правами администратора и
продолжите проверять различные настройки безопасности политик и функций для
RSLinx Classic.
95
FactoryTalk Security Руководство по быстрому запуску
Рекомендации по использованию RSLinx Classic с FactoryTalk
Security
Сетевой/Локальный каталог
FactoryTalk Automation Platform может устанавливать два совершенно отдельных и
независимых каталога FactoryTalk Directory: локальный каталог и сетевой каталог.
Учетная запись пользователя, пароль и права доступа системы безопасности на
использование определенных функций совершенно независимы, не могут совместно
использоваться с сетевым каталогом Network Directory и локальным Local Directory.
Конфигурирование этих данных для одного каталога не приводит к их
конфигурированию для другого. Аналогично изменение пароля для учетной записи
пользователя в одном каталоге не приводит к изменению пароля в другом каталоге, даже
если учетная запись имеет одинаковые имена в обоих каталогах.
При конфигурировании RSLinx Classic для работы в одном из двух каталогов помните:
‡
Установки безопасности RSLinx Classic и RSSecurity Emulator должны быть
установлены в одном и том же каталоге (либо локальном, либо сетевом).
‡
Если вы настроили RSLinx Classic на работу в локальном каталоге и хотите
использовать FactoryTalk Security, помните, что при работе в локальном каталоге
администрировать систему безопасности можно только на одном компьютере.
Если вы не выбрали опцию «Enable Security» (Разрешить функции безопасности) при
установке RSLinx Classic, но хотите разрешить использование функций безопасности,
необходимо деинсталлировать и затем заново установить RSLinx Classic.
Каждый раз, когда вы используете RSLinx Classic, проверяйте, чтобы имя пользователя,
выводимое на экран в текстовом окне Current Security User (Текущий пользователь
системы безопасности) диалогового окна Set Security (Настройка безопасности) (Security
> Set Security User) - правильно. Если оно неправильно, введите новое имя пользователя и
пароль и нажмите OK.
Что можно защитить в RSLinx Classic?
В таблице, следующей ниже, представлены функции, к которым вы можете ограничить
доступ в RSLinx Classic. Например, вы можете ограничить возможность выключения службы
RSLinx Classic только небольшой группой пользователей, чтобы предотвратить выключение
автоматизированной системы.
96
Защищаемая
функция
Описание
Clear DDE/OPC Event
Log (Очистить журнал
событий DDE/OPC)
Показывает информацию по всем сообщениям ошибок
DDE/OPC, зарегистрированных во время работы RSLinx
Classic с DDE/OPC-совместимыми программами.
Configure CIP Options
(Настроить опции
CIP)
Управляет тем, как запросы PCCC, использующие
протокол CIP, посылаются по сетям.
Configure Client
Applications
(Настроить клиентприложения)
Устанавливает соответствие сконфигурированных и
запущенных драйверов RSLinx Classic с функциями
INTERCHANGE C API, а также выводит на экран
идентификатор связи виртуальной сети, используемой
RSLinx Classic для клиентских приложений (Client
Applications) в модели виртуальной связи для
незапланированных сообщений.
9 • RSLinx и FactoryTalk Security
Защищаемая
функция
Описание
Configure
ControlLogix Gateway
(Настроить
ControlLogix Gateway)
Предоставляет информацию о модулях в системе
ControlLogix Gateway.
Configure DDE/OPC
Topic (Настроить
темы DDE/OPC)
Настраивает тему DDE/OPC.
Configure Drivers and
Shortcuts (Настроить
драйверы и
«быстрые» клавиш)
Конфигурирует (добавляет, редактирует или удаляет)
драйверы и «быстрые» клавиши, которые позволяют
RSLinx Classic связываться с программируемым
контроллером PLC и обеспечивают быстрый доступ к
заданным сетям.
Configure Gateway
(Настроить Gateway)
Позволяет включать RSLinx Classic Gateway.
Configure Network
Properties (Настроить
параметры сети)
Позволяет конфигурировать свойства сети.
Edit DDE/OPC Project
(Редактировать проект
DDE/OPC)
Позволяет редактировать проект DDE/OPC.
Edit Options
(Редактировать опции)
Выводит на экран опции диалогового окна, которые
содержат закладки General и DDE.
Reset Station
Diagnostic Counters
(Сбрасывает
диагностические
счетчики станции)
Сбрасывает счетчики в экранах диагностики станции.
Shutdown (Завершает
работу)
Выключает RSLinx Classic.
View NT Event Log
(Показать журнал
событий NT)
Записывает важные системные события, такие как
успешный запуск и остановка драйверов RSLinx Classic.
За дополнительной информацией по защищаемым функциям обращайтесь к файлу справки
RSLinx Classic.
97
FactoryTalk Security Руководство по быстрому запуску
Что делать далее
Выполните одно из следующего:
98
По необходимости продолжите назначать права доступа для действий RSLinx Classic.
Перейдите к Главе 10 на странице 99, чтобы узнать о принципе использования
FactoryTalk Security с RSLogix 5000 для обеспечения безопасности проектов и устройств
(таких как, контроллеры Logix5000, PLC и SLC).
Перейдите к Главе 11 на странице 115, чтобы узнать о принципе использования
FactoryTalk Security с FactoryTalk View SE.
Перейдите к Главе 12 на странице 137, чтобы узнать о принципе использования
FactoryTalk Security с FactoryTalk View ME.
Перейдите к Главе 13 на странице 161, чтобы узнать о принципе использования
FactoryTalk Security с компонентами FactoryTalk Batch.
Перейдите к Главе 14 на странице 179, чтобы узнать о внедрении системы FactoryTalk на
компьютерах действующей системы.
ГЛАВА 10
RSLogix 5000 и FactoryTalk Security
Данная глава содержите описание настройки RSLogix™ 5000 на работу с FactoryTalk®
Security для обеспечения безопасности контроллеров, проектов и ресурсов контроллера.
Перед тем, как вы начнете
Убедитесь, что установлено и активировано все программное обеспечение из списка «Что
необходимо», который представлен ниже.
Убедитесь, что прошивка Logix5000™ обновлена до версии 16.
Что требуется
FactoryTalk Services Platform
RSSecurity Emulator (За указаниями обращайтесь к Главе 9, «Установка RSSecurity
Emulator»)
Контроллер Logix5000 с прошивкой, обновленной до версии 16.0 или выше
Установочный диск RSLogix 5000 v. 16
Программное обеспечение RSLinx® Classic v. 2.52, установленное и с функциями
безопасности. См. «RSLinx и FactoryTalk Security» на странице 87.
99
FactoryTalk Security Руководство по быстрому запуску
Выполните следующие шаги:
Разрешение функций безопасности в RSLogix 5000
После установки и активации (где необходимо) FactoryTalk Services Platform и RSSecurity
Emulator можно продолжить обеспечивать безопасность RSLogix 5000. Для этих целей в
данном разделе описывается использование программы с названием SetSecKeys.
Программа SetSecKeys обеспечивает безопасность для RSLogix 5000. Данная программа
добавляется к системе во время установки RSLogix 5000.
Если по каким-либо причинам требуется отключить FactoryTalk Security для RSLogix 5000,
пожалуйста, свяжитесь с технической поддержкой Rockwell Automation.
100
10 • RSLogix 5000 и FactoryTalk Security
1. После установки RSLogix 5000 запустите SetSecKeys:
Из \Program Files\Rockwell Software\RSLogix 5000\ENU\v16\Security, дважды
щелкните SetSecKeys.exe.
2. Будет выведен запрос на указание расположения файла проекта. Выберите RS5000Keys.ini
и нажмите Open (Открыть).
101
FactoryTalk Security Руководство по быстрому запуску
3. Установите флажок RSLogix 5000 и нажмите OK.
Разрешение функций безопасности в файле проекта RSLogix
5000
Теперь, когда в RSLogix 5000 настроена безопасность, нужно разрешить функции
безопасности в файле(-ах) проекта RSLogix 5000.
1. Откройте RSLogix 5000:
Из меню Start (Пуск) выберите All Programs (Все программы) > Rockwell Software >
RSLogix 5000 Enterprise Series > RSLogix 5000.
Если выводится запрос на вход в FactoryTalk, введите действенные имя пользователя
и пароль FactoryTalk, затем нажмите OK.
В FactoryTalk Security CPR 9 система одного входа разрешена по умолчанию, поэтому
пользователям не выводится запрос на вход в FactoryTalk (если только система одного входа
не была отключена или не производится переключение с локального на сетевой каталог, или
вы не вошли как администратор).
Если производится обновление с версии CPR 7 или если стандартная конфигурация
безопасности FactoryTalk была изменена, будет выводиться запрос на ввод имени/пароля.
102
10 • RSLogix 5000 и FactoryTalk Security
2. Откройте защищаемый файл проекта RSLogix 5000 (в нашем примере используется
DayOfWeek, предоставленный на установочном диске RSLogix 5000).
3. Из меню Edit (Правка) выберите Controller Properties (Параметры контроллера)
103
FactoryTalk Security Руководство по быстрому запуску
4. Запишите имя, которое отображается в поле Name (Имя) – по умолчанию это имя файла
ACD. Имя контроллера может совпадать с именем файла ACD, но это не обязательно.
5. Выберите вкладку Advanced (Дополнительно), выберите RSI Security Server, затем нажмите
OK.
104
10 • RSLogix 5000 и FactoryTalk Security
6. В диалоговом окне предупреждения нажмите Yes для подтверждения разрешения
функций безопасности для данного файла проекта.
7. Сохраните проект.
Загрузка файла проекта в RSLogix 5000
1. В файле проекта выберите Who Active (Кто активен) из меню Communications
(Соединения).
2. В диалоговом окне Who Active найдите ваш ресурс контроллера и нажмите Download
(Загрузить).
105
FactoryTalk Security Руководство по быстрому запуску
3. Нажмите Download (Загрузить) снова.
4. По завершении загрузки закройте RSLogix 5000, сохранив изменения при запросе.
Добавление контроллера в FactoryTalk Security из
FactoryTalk Administration Console
1. Откройте FactoryTalk Administration Console.
Из Windows меню Пуск выберите Start (Пуск) > All Programs (Все программы) >
Rockwell Software > FactoryTalk Administration Console.
Выберите каталог FactoryTalk Directory, с которым RSSecurity Emulator был настроен
на работу. См. Главу 9, «Установка RSSecurity Emulator» на странице 88. В
следующих примерах используется сетевой каталог.
В FactoryTalk Security CPR 9 система одного входа разрешена, поэтому пользователям не
выводится запрос на вход в FactoryTalk. Если стандартная конфигурация безопасности
FactoryTalk была изменена, будет выведен запрос на вход.
106
10 • RSLogix 5000 и FactoryTalk Security
Если выводится запрос на вход в FactoryTalk, введите действенные имя пользователя
и пароль FactoryTalk, затем нажмите OK.
2. Найдите ресурс контроллера, в который был загружен файл проекта.
Из окна проводника разверните Networks and Devices (Сети и устройства) и найдите
необходимый контроллер.
Щелкните правой кнопкой по контроллеру, затем выберите Properties (Параметры) из
открывшегося меню.
В списке Logical name (Логическое имя) выберите имя контроллера, который
соответствует настройкам из диалогового окна Controller Properties (Параметры
контроллера), обозначенные выше в разделе «Разрешение функций безопасности в
файле проекта RSLogix 5000» (использовалось DayOfWeek).
107
FactoryTalk Security Руководство по быстрому запуску
Имя контроллера можно ввести вручную, если оно не отображается в выпадающем
списке, и затем нажать OK.
Если не отображается имя контроллера
Если это имя не отражается в дереве Networks and Devices (Сети и устройства), необходимо
обновить путь к контроллеру. Для отображения контроллеров FactoryTalk Administration
Console использует информацию о путях из RSLinx Classic.
1. Откройте RSLinx Classic.
2. Используя RSWho, найдите нужный контроллер. Это обновит путь.
3. Закройте RSLinx Classic.
4. В FactoryTalk Administration Console щелкните правой кнопкой по дереву Networks and
Devices и нажмите Refresh (Обновить).
Открытие доступа к защищенным ресурсам контроллера
Теперь, когда настроена безопасность для контроллера, необходимо установить
персональные права доступа для пользователей и групп для управления доступом к
защищенным ресурсам контроллера. В нашем примере мы разрешим доступ для Pat Smith,
начальнику смены.
1. В FactoryTalk Administration Console щелкните правой кнопкой по добавленному выше
ресурсу, затем выберите Security (Безопасность) из открывшегося меню.
108
10 • RSLogix 5000 и FactoryTalk Security
2. В диалоговом окне Security Settings (Настройки безопасности) щелкните вкладку
Permissions (Права доступа), если она еще не открыта.
3. В списке пользователей и компьютеров нажмите Add (Добавить). Откроется диалоговое
окно Select User and Computer (Выбор компьютера и группы).
4. Установите флажок Show users only (Показывать только пользователей), выберите из
списка PSmith и нажмите OK.
109
FactoryTalk Security Руководство по быстрому запуску
Там где возможно, удалите разрешающие права доступа (Allow) вместо назначения многих
запрещающих прав доступа (Deny). Это упростит процесс администрирования, благодаря
порядку старшинства прямых прав доступа над наследованными правами доступа, а
запрещающих прав доступа (Deny) над разрешающими (Allow).
5. В списке прав доступа установите флажки напротив действий, которые вы хотите
запретить или разрешить.
Так всегда разумно сначала запретить права доступа, установите флажок Deny напротив
All Actions (Все действия).
110
Щелкните по символу (+) рядом с Common (Общие), чтобы отобразить общие
действия.
Установите флажок разрешения Allow для List Children (Перечисление дочерних
записей) и Read (Чтение). Оставьте Configure Security, установленным на запрет
Deny. PSmith сможет просматривать ресурс контроллера,
10 • RSLogix 5000 и FactoryTalk Security
использовать проводник, читать и записывать в файлы проекта, но не сможет
изменять настройки безопасности для данного устройства.
Щелкните по символу (+) рядом с RSLogix 5000, чтобы отобразить доступные
действия.
Установите флажок разрешения Allow для Controller: Clear Fault (Контроллер:
сбросить сбой), Controller: Lock/ Unlock (Контроллер: заблокировать/
разблокировать), Firmware: Update (Прошивка: обновить) и Print: Report (Печать:
отчет). Также установите разрешение Allow для Project Open (Открыть проект) и
Project Go On-line (Запуск проекта). Эти два необходимы. Это позволит PSmith
выполнять действия, которые обычно требуются от начальника смены, такие как
сброс сбоев на уровне контроллера, тогда как все остальные действия недоступны.
111
FactoryTalk Security Руководство по быстрому запуску
Нажмите OK для сохранения и закрытия диалогового окна.
6. Проверьте новые настройки безопасности:
Разверните Tasks (Задачи) > Main Task (Главная задача) > Main Program (Главная
программа), затем дважды щелкните Program Tags (Теги программы). Обратите
внимания, что текущий пользователь FactoryTalk (он должен быть пользователем с
правами администратора) имеет возможность редактировать значения тегов.
7. Теперь войдите в FactoryTalk как PSmith:
112
Из меню Tools (Инструменты) выберите Security (Безопасность) > Log On (Войти).
В диалоговом окне Log On to FactoryTalk (Вход в FactoryTalk) введите имя пользователя
PSmith и пароль password, затем нажмите OK.
10 • RSLogix 5000 и FactoryTalk Security
Теперь посмотрите на Program Tags (Теги программы). Обратите внимание, что
PSmith не имеет возможности редактировать значения тегов.
PSmith позволено просматривать теги и программы, но не изменять их.
8. Снова войдите как пользователь с правами администратора, если необходимо внести
дополнительные изменения в систему безопасности.
Защита контроллеров PLC и OPC контроллеров сторонних
фирм
Программы RSLogix 5 и RSLogix 500 программируют контроллеры PLC и OPC контроллеры
сторонних фирм. Чтобы настроить безопасность FactoryTalk для этих контроллеров, работать
необходимо в RSLogix 5 или RSLogix 500 (в зависимости от типа программируемых
контроллеров) и FactoryTalk. За подробностями обращайтесь к пользовательской
документации или интерактивной справочной системе для RSLogix 5 или RSLogix 500.
Программируемые контроллеры могут иметь логические имена или сетевые относительные
пути. Можно использовать как логические имена, так и сетевые относительные пути, или
совместно.
113
FactoryTalk Security Руководство по быстрому запуску
Что делать далее
Выполните одно из следующего:
По необходимости продолжите назначать права доступа для RSLogix 5000.
Перейдите к Главе 9 на странице 87, чтобы узнать о принципе использования FactoryTalk
Security с программным обеспечением RSLinx.
Перейдите к Главе 11 на странице 115, чтобы узнать о принципе использования
FactoryTalk Security с FactoryTalk View SE.
Перейдите к Главе 12 на странице 137, чтобы узнать о принципе использования
FactoryTalk Security с FactoryTalk View ME.
Перейдите к Главе 13 на странице 161, чтобы узнать о принципе использования
FactoryTalk Security с компонентами FactoryTalk Batch.
Перейдите к Главе 14 на странице 179, чтобы узнать о внедрении системы FactoryTalk на
компьютерах действующей системы.
Перейдите к Приложению D на странице 207 для получения информации по
использованию утилиты RSLogix 5000 Source Protection для защиты операций RSLogix
5000.
Обратитесь к руководству пользователя Logix CPU Security Tool v3.0, расположенному на
диске RSLogix 5000 в каталоге /Tools. Сам инструмент также доступен на диске RSLogix
5000 в каталоге / Tools и на сайте поддержки в разделе загрузки по адресу
www.software.rockwell.com/support/download/.
Используйте следующие критерии поиска:
Категория: Downloads (Загрузки)
Подкатегория: Utilities (Утилиты)
Продукт: RSLogix
114
ГЛАВА 11
FactoryTalk View SE и FactoryTalk Security
FactoryTalk Security обеспечивает безопасность для самого каталога FactoryTalk Directory,
приложения, зон (и их содержания) в рамках приложения и включенных в систему
пользователей, компьютеров и устройств. Для распределенных (сетевых) приложений сюда
включается информация по компьютерам, к которым пользователи могут иметь доступ.
В FactoryTalk View Studio можно задать уровни доступа, которые пользователи или группы
пользователей будут иметь к каждому ресурсу при разработке или выполнении приложений.
Это делается путем разрешения или запрета на выполнение определенных действий с
ресурсом.
FactoryTalk View управляет системой безопасности в режиме выполнения для компонентов
проекта HMI, включая команды и макросы FactoryTalk View, графические дисплеи, объекты
OLE и теги HMI.
Перед тем, как вы начнете
Убедитесь, что установлено и активировано все программное обеспечение из списка «Что
необходимо», который представлен ниже.
Есть установочный диск FactoryTalk View Site Edition, v. 5.0 (CPR 9)
Ознакомьтесь с терминами и понятиями FactoryTalk Security. См. Главу 1, «Что такое
безопасность в системе автоматизации» и Главу 2, «О системе FactoryTalk».
Что требуется
На компьютере, выполняющем функцию сервера FactoryTalk View SE (Компьютер 1 в нашем
примере):
FactoryTalk Services Platform v. 2.10 (CPR 9)
Сервер активации FactoryTalk Activation Server
Серверные компоненты FactoryTalk View SE Server (включая приложения-примеры)
Microsoft® Internet Information Server
Утилиты RSI Utilities
RSLinx Enterprise или RSLinx Classic
115
FactoryTalk Security Руководство по быстрому запуску
На компьютере, выполняющем функцию клиента FactoryTalk View SE (Компьютер 2 в нашем
примере):
FactoryTalk Services Platform v. 2.10 (CPR 9)
Microsoft® Internet Information Server
Клиент активации FactoryTalk Activation Client
Клиентские компоненты FactoryTalk View SE, включая FactoryTalk View Studio, View
Editors и приложения-примеры
Утилиты RSI Utilities
Выполните следующие шаги:
116
11 • FactoryTalk View SE и FactoryTalk Security
Создание учетных записей FactoryTalk Security
Перед тем, как вы сможете добавить пользователей и группы пользователей к учетным
записям FactoryTalk View SE User Accounts необходимо создать для них учетные записи в
службах FactoryTalk Security. Рекомендуется создать групповые учетные записи FactoryTalk
Security и сначала настроить права доступа к ресурсам для них, потом можно создать учетные
записи пользователей и включить их в необходимую группу.
Все пользователи в определенной группе наследуют права доступа этой группы. Это
облегчает назначение правами доступа и управление ими для нескольких пользователей со
схожими требованиями по безопасности. Если вносятся какие-либо изменения в права
доступа пользователя, все члены наследуют эти изменения.
За подробной информацией по созданию пользователей и групп пользователей в FactoryTalk
Security обращайтесь к справке FactoryTalk Security.
На Компьютере 1 (где установлена FactoryTalk Administration Console):
1. Создайте групповую учетную запись в FactoryTalk Security:
Откройте FactoryTalk Administration Console (Start (Пуск) > Programs (Все
программы) > Rockwell Software > FactoryTalk Administration Console).
Если выводится запрос на вход в FactoryTalk, введите действенные имя пользователя
и пароль FactoryTalk, затем нажмите OK.
В FactoryTalk Security CPR 9 система одного входа разрешена, поэтому пользователям не
выводится запрос на вход в FactoryTalk. Если производится обновление с версии CPR 7 или
если стандартная конфигурация безопасности FactoryTalk была изменена, будет выводиться
запрос на ввод имени/пароля.
В окне проводника откройте подпапку Users and Groups (Пользователи и группы) в
папке System.
Щелкните правой кнопкой по папке Users Groups (Группы пользователей),
выберите New (Новый), затем выберите User Group из открывшегося меню.
117
FactoryTalk Security Руководство по быстрому запуску
2. Заполните поля Name (Название) и Description (Описание), для нашего примера
используйте информацию приведенную ниже.
Если у вас уже есть группа пользователей Windows, можно добавить для нее учетную запись
безопасности, выбрав Windows-linked User Group (Связанная с Windows группа
пользователей) из открывшегося меню.
3. Нажмите Create (Создать) для создания учетной записи безопасности для группы
пользователей и закройте диалоговое окно. При разворачивании папки User Groups
отобразится только что добавленная группа.
4. Создайте новую учетную запись пользователя в FactoryTalk Security:
В окне проводника откройте подпапку Users and Groups (Пользователи и группы) в
папке System.
Щелкните правой кнопкой по папке Users (Пользователи), выберите New (Новый),
затем выберите User из открывшегося меню.
Существующих пользователей Windows можно добавить, выбрав Windows-linked User
(Связанный с Windows пользователь) из открывшегося меню.
118
Во вкладке General (Общие) диалогового окна New User (Новый пользователь)
задайте имя пользователя и пароль, а также другую информацию, по необходимости.
11 • FactoryTalk View SE и FactoryTalk Security
Для получения подробностей по опциям в данном диалоговом окне нажмите кнопку
Help (Справка).
Выбираемые здесь
свойства пароля
находятся под
управлением политики,
выбранной в
Security Policies
(Политика безопасности).
Для нашего примера введите следующее:
User name (Имя пользователя): BJones
Full name (Полное имя): Bob Jones
Description (Описание): View operator
Password (Пароль): password
Для данного примера снимите флажок User must change password at next logon
(Пользователь должен сменить пароль при следующем входе) и установите
флажок Password never expires (Неограниченный срок действия пароля).
Нажмите Create (Создать), чтобы добавить учетную запись безопасности для этого
пользователя. Новый пользователь появится в папке Users (Пользователи).
5. Добавьте учетные записи пользователей в группу пользователей в FactoryTalk Security:
В окне проводника откройте подпапку Users and Groups (Пользователи и группы) в
папке System.
Дважды щелкните по папке User Groups (Группы пользователей), щелкните правой
кнопкой по созданной на шаге 2 группе (в нашем примере используется View
operators), затем выберите Properties (Параметры) из открывшегося меню.
Во вкладке General (Общие) диалогового окна [GroupName] Properties
([НазваниеГруппы] параметры) нажмите кнопку Add (Добавить).
119
FactoryTalk Security Руководство по быстрому запуску
В диалоговом окне Select User or Group (Выбор пользователя или группы)
выберите опцию Show users only (Показать только пользователей), чтобы
отобразить список доступных пользователей.
Выберите пользователя, которого необходимо добавить к группе (в нашем примере
BJones) и нажмите OK. Для получения подробностей по опциям в данном
диалоговом окне нажмите кнопку Help (Справка).
Нажмите OK для закрытия диалогового окна [GroupName] Properties
([НазваниеГруппы] параметры).
6. Задайте действия, которые пользователи смогут выполнять с ресурсами:
Для ограничения доступа к ресурсу системы укажите, какие пользователи или группы
пользователей будут иметь право доступа на выполнение действий с этим ресурсом.
120
В окне проводника откройте подпапку Users and Groups (Пользователи и группы) в
папке System.
Щелкните правой кнопкой по папке Users Groups (Группы пользователей),
выберите Security (Безопасность) из открывшегося меню.
В разделе ‘View permissions by’ (Показать права доступа по) диалогового окна
Security Settings for User Groups (Настройки безопасности для групп
пользователей) нажмите кнопку Add (Добавить).
Для нашего примера выберите View operators (Операторы View) и нажмите OK.
Группа View operators добавится к списку.
11 • FactoryTalk View SE и FactoryTalk Security
Разверните список общих действий Common нажатием символа «плюс» (+) в левом
столбце.
Как показано выше на иллюстрации диалогового окна Security Settings (Настройки
безопасности), установите флажки напротив List Children (Перечисление дочерних
записей) and Read (Чтение).
Это даст группе View operators права доступа на выполнение общих действий
Common Read и List Children с сетевым каталогом FactoryTalk Network Directory. Это
значит, что члены группы могут запускать клиент FactoryTalk View SE.
Нажмите OK для сохранения изменений и закрытия диалогового окна.
121
FactoryTalk Security Руководство по быстрому запуску
Пользователи FactoryTalk View SE должны иметь права доступа Read и List Children на
уровне приложения. Проще всего это сделать у основания дерева каталога FactoryTalk
Directory.
Установка политики системы и продукта
В данном руководстве по быстрому запуску используются стандартные настройки FactoryTalk
Security для политик системы и продукта FactoryTalk View SE, поэтому процедуры по смене
этих стандартных настроек обсуждаться здесь не будут. Следующие разделы представлены в
виде обзора. За дополнительной информацией обращайтесь к справке FactoryTalk Security в
главе 5 руководства пользователя FactoryTalk View Site Edition User’s Guide, Volume 1 (том 1).
В FactoryTalk Administration Console и в FactoryTalk View Studio можно установить политику
системы и продукта, которые определяют общие характеристики системы.
Данные характеристики хранятся в каталоге FactoryTalk Directory и, как и остальные
настройки папки System, применяются ко всем продуктам FactoryTalk, которые управляются
одним локальным или сетевым каталогом.
Следующий рисунок показывает, где в окне проводника можно найти папку Policies
(Политика).
В папке Policies (Политика)
установите политики
продукта и системы
для приложения.
122
11 • FactoryTalk View SE и FactoryTalk Security
Политика продукта
Политика продукта представляет собой набор возможностей по безопасности для каждого
продукта в системе FactoryTalk.
На следующем рисунке показан список политик продукта FactoryTalk View SE.
Для FactoryTalk View SE
можно установить политику
продукта на настройку и
использование безопасных
web-сайтов в Internet
Information Services.
Только пользователи, имеющие необходимый уровень доступа, могут воспользоваться
защищенными функциями программного продукта. За подробностями по настройке
политики продукта обращайтесь к справке FactoryTalk Security. За дополнительной
информацией по настройке и использованию безопасных web-сайтов в Internet Information
Services, нажмите Help (Справка) в инструменте установки безопасных web-сайтов
FactoryTalk View SE Secure Web Site Setup.
Политика системы
В приложении FactoryTalk View SE можно установить следующие типы политики системы.
User rights assignment (Назначение прав доступа) - настройки, определяющие
пользователей, которые могут резервировать или восстанавливать содержание каталога
FactoryTalk Directory или вручную переключать серверы Active (Активный) и Standby (В
ожидании) в избыточных парах серверов.
Health monitoring policy (Политика мониторинга состояния) – настройки,
определяющие параметры доступности системы. Здесь определяется, как долго система
проверяет сетевые соединения с удаленными компьютерами
123
FactoryTalk Security Руководство по быстрому запуску
и как долго может продолжаться сетевой сбой перед обнаружением сбоя соединения с
системой.
Смена политики мониторинга состояния может привести к непредсказуемым результатам.
Для большинства сетей стандартная настройка политики дает лучшие результаты.
Live Data policy (Политика данных в режиме реального времени) – настройки, которые
определяют, какой протокол соединения будет использоваться в распределенной по сети
системы FactoryTalk.
Смена политики данных в режиме реального времени может привести к непредсказуемым
результатам. Не изменяйте эти настройки при работающем производстве. Для применения
всех изменений все компьютеры в сети необходимо перезапустить.
Audit policy (Политика аудита) определяет, какая информация по безопасности будет
регистрироваться при использовании системы. То есть, будет ли FactoryTalk Diagnostics
регистрировать сообщение проверки при попытке пользователя выполнить действие и
разрешение или запрет доступа.
Security policy (Политика безопасности) определяет общие параметры учетных
записей системы безопасности и паролей. То есть, разрешена ли система одного входа и
сколько неудачных попыток входа допустимо перед блокировкой учетной записи.
За подробностями по настройке политики системы обращайтесь к справке FactoryTalk
Security.
Добавление учетных записей FactoryTalk в FactoryTalk View
После создания учетных записей пользователей и групп в FactoryTalk Security можно
добавить их к учетным записям системы безопасности в редакторе Runtime Security в
FactoryTalk View SE. При добавлении учетной записи также назначаются коды безопасности,
которые дадут этим пользователям и группам доступ к защищенным компонентам HMI.
(Защищенными компонентами HMI называются те, которым были назначены коды
безопасности.) Такие коды (с A по P) вместе с теми, которые были назначены компонентам
проекта HMI, определяют, к каким компонентам пользователь будет иметь доступ в режиме
выполнения.
Чтобы ограничить доступ к команде, макросу, графическому дисплею, операция над
объектом OLE или тег HMI, можно задать код безопасности с A по P, а затем назначить этот
код только тем пользователям, которым требуется доступ к данному компоненту.
За дополнительной информацией по использованию этих возможностей в FactoryTalk View и
за примерами назначения прав доступа FactoryTalk Security для пользователей и групп
FactoryTalk View обращайтесь к Главе 5 в руководстве пользователя FactoryTalk View Site
Edition User’s Guide, Volume 1 (том 1).
124
11 • FactoryTalk View SE и FactoryTalk Security
На Компьютере 2 (где установлена FactoryTalk View Studio):
1. Откройте FactoryTalk View Studio:
‡
Выберите Site Edition (Network) и нажмите Continue (Продолжить).
Если выводится запрос на вход в FactoryTalk, введите имя пользователя и пароль
администратора FactoryTalk, затем нажмите OK.
В FactoryTalk Security CPR 9 система одного входа разрешена, поэтому пользователям не
выводится запрос на вход в FactoryTalk. Если производится обновление с версии CPR 7 или
если стандартная конфигурация безопасности FactoryTalk была изменена, будет выводиться
запрос на ввод имени/пароля.
‡
В диалоговом окне New/Open Site Edition (Network) Application щелкните по
вкладке Existing (Существующие) и затем выберите Samples Water (Примеры,
вода) из списка приложений.
125
FactoryTalk Security Руководство по быстрому запуску
‡
Выберите English (United States), en-US как язык по умолчанию (если уже не
выбрано), затем нажмите Open (Открыть).
2. Откройте редактор Runtime Security (Безопасность в режиме выполнения):
126
В FactoryTalk View Studio выберите Runtime Security из меню Settings (Настройки).
11 • FactoryTalk View SE и FactoryTalk Security
В редакторе Runtime Security щелкните по кнопке Security Accounts (Учетные
записи системы безопасности), чтобы открыть диалоговое окно Security Settings
(Настройки безопасности).
Если есть необходимость усилить безопасность до предела, выберите All Users (Все
пользователи) и нажмите кнопку Remove (Удалить). Затем добавьте только тех
пользователей и те группы, которым требуется доступ.
3. Добавьте пользователей FactoryTalk в ваши приложения View:
В диалоговом окне Security Settings for [Application Name] (Настройки
безопасности для [Название приложения]), в нашем примере Norms Bakery,
нажмите кнопку Add (Добавить), чтобы открыть диалоговое окно Security
(Безопасность).
В диалоговом окне Select User and Computer (Выбор пользователя и компьютера)
щелкните по имени или группе, которые требуется добавить к списку учетных
записей Runtime Security, затем нажмите OK. Для нашего примера выберите View
operators.
127
FactoryTalk Security Руководство по быстрому запуску
Для сетевого приложения можно нажать Show all (Показать все) в рамке Filter
Computers (Фильтр компьютеров), если вы собираетесь назначить определенный
компьютер (или группу компьютеров) для пользователя. По умолчанию выбирается
опция All Computers (Все компьютеры) в списке компьютеров.
Если система безопасности настраивается для сетевого приложения, необходимо
обязательно выбрать учетную запись компьютера с учетной записью пользователя перед
нажатием OK. Если в списке доступен только один компьютер, он выбирается по умолчанию.
Во вкладке Permissions (Права доступа) диалогового окна Security Settings
(Настройки безопасности) убедитесь, что добавленный пользователь или группа
выбраны в разделе ‘View permissions by’ (Показать права доступа по).
Разверните коды безопасности FactoryTalk View Security Codes нажатием символа
«плюс» (+) в левом столбце.
Для нашего примера снимите флажок напротив FactoryTalk View Security Codes,
затем выберите A, B и C, устанавливая флажок Allow напротив каждого кода.
Любой пользователь в группе View operators на Компьютере 2 теперь будет иметь
доступ в режиме выполнения к тем командам, которые имеют назначенные коды A, B
или C.
128
Нажмите OK.
11 • FactoryTalk View SE и FactoryTalk Security
В диалоговом окне Runtime Security можно также задать макросы входа и выхода
для добавленных пользователей или группы, если это необходимо.
Не забудьте добавить группу Administrators (Администраторы) (или пользователя с правами
администратора) в редактор Runtime Security, чтобы можно было вносить изменения и
выходить из ViewStudio. Разрешите этой группе или пользователю доступ ко всем кодам
безопасности (установите флажок Allow для FactoryTalk View Security Codes).
Нажмите кнопку Close для закрытия диалогового окна Runtime Security. Нажмите
Yes для сохранения приложения.
4. Настройте систему безопасности FactoryTalk View для объекта:
В окне проводника разверните Graphics (Графика) > Displays (Дисплеи) и дважды
щелкните по Aeration (Вентилирование), чтобы открыть его.
Из меню Edit (Правка) выберите Display Settings (Показать настройки). Откроется
диалоговое окно Display Settings.
129
FactoryTalk Security Руководство по быстрому запуску
Из выпадающего списка Security Code (Код безопасности) выберите E (или код,
который вы не назначили для одного из пользователей или групп FactoryTalk), затем
нажмите OK, чтобы сохранить изменение и закрыть диалоговое окно.
Сохраните приложение, нажав Save (Сохранить) в меню Edit (Правка).
5. Создайте пример приложения:
130
Войдите как пользователь с правами администратора.
Нажмите кнопку Launch SE Client (Запустить клиент SE), которая показана слева, и
нажмите дважды New (Новый).
В диалоговом окне Configuration Name (Имя конфигурации) введите Security
Demo как название нового файла конфигурации. Нажмите Next (Далее).
Выберите Network (Сетевое) как тип приложения и нажмите Next (Далее).
11 • FactoryTalk View SE и FactoryTalk Security
В диалоговом окне Application Name (Название приложения) выберите Samples
Water (Примеры, вода) из списка приложений. Выберите English (United States),
en-US как язык по умолчанию, затем нажмите Next (Далее).
В диалоговом окне Client Components (Компоненты клиента) выберите Waste
Water (Сточные воды) из списка зон. Выберите Overview (Общий вид) начального
дисплея и нажмите Next (Далее).
Установите флажок Show title bar (Показывать строку заголовка) и нажмите Next
(Далее).
131
FactoryTalk Security Руководство по быстрому запуску
Нажмите снова Next (Далее), затем Finish (Завершить). Демонстрационное
приложение Security Demo загрузится и откроется окно Overview (Общий вид):
Нажмите кнопку Aeration (Вентиляция). Если вы вошли в систему как
администратор, откроется окно Aeration (Вентиляция).
Нажмите кнопку Overview (Общий вид), затем щелкните по кнопке Close SE Client
(Закрыть клиент SE). Нажмите Yes для подтверждения команды выхода.
6. Теперь выйдите из системы как администратор и войдите как Bob Jones, и затем
запустите демонстрационное приложение Security Demo.
132
В FactoryTalk View Studio выберите Log Off (Выйти) в меню File (Файл).
Нажмите Yes для закрытия приложения.
11 • FactoryTalk View SE и FactoryTalk Security
Чтобы войти как Bob Jones, выберите Log On (Войти) в меню File (Файл).
Введите BJones как имя пользователя, введите пароль password, и затем нажмите
OK.
В диалоговом окне New/Open Site Edition (Network) Application выберите
приложение Samples Water (Примеры, вода), выберите English (Английский) как
язык по умолчанию и нажмите OK.
Нажмите кнопку Launch SE Client (Запустить SE клиент), которая показана слева.
Если выводится запрос на вход, войдите как BJones с паролем password.
133
FactoryTalk Security Руководство по быстрому запуску
В диалоговом окне Launch FactoryTalk View SE Client, выберите Security Demo.cli
и нажмите OK.
Приложение откроет общий вид Overview. Нажмите кнопку Aeration (Вентиляция)
и посмотрите, что произойдет. Так как вход осуществлен под именем Bob Jones, у
которого только права доступа ‘E’, ничего не произойдет, так как окно Aeration
(Вентиляция) требует наличия прав A, B или C. Обратите внимание на сообщение об
ошибке в строке состояния. “Currently logged in user does not have security access to
Aeration” (Текущий пользователь не имеет доступа к Aeration).
134
Нажмите кнопку Overview (Общий вид), затем щелкните по кнопке Close SE Client
(Закрыть клиент SE), чтобы закрыть приложение. Нажмите Yes для подтверждения
команды выхода.
11 • FactoryTalk View SE и FactoryTalk Security
Что делать далее
Теперь, когда вы настроили систему безопасности для FactoryTalk View, сделайте одно из
следующего:
По необходимости войдите как администратор и продолжите назначать права доступа для
команд, графических дисплеев и тегов HMI.
Перейдите к Главе 9 на странице 87, чтобы узнать о принципе использования FactoryTalk
Security с программным обеспечением RSLinx.
Перейдите к Главе 10 на странице 99, чтобы узнать о принципе использования
FactoryTalk Security с RSLogix 5000 для защиты ресурсов.
Перейдите к Главе 12 на странице 137, чтобы узнать о принципе использования
FactoryTalk Security с FactoryTalk View ME.
Перейдите к Главе 13 на странице 161, чтобы узнать о принципе использования
FactoryTalk Security с компонентами FactoryTalk Batch.
Перейдите к Главе 14 на странице 179, чтобы узнать о внедрении системы FactoryTalk на
компьютерах действующей системы.
Обращайтесь к пользовательской документации FactoryTalk View за дополнительными
способами защиты проектов, тегов и графики HMI, используя проверку электронной
подписи и блокирование пользователей в среде FactoryTalk View SE Client.
135
FactoryTalk Security Руководство по быстрому запуску
136
ГЛАВА 12
FactoryTalk View ME и FactoryTalk Security
FactoryTalk Security является частью FactoryTalk Directory, которая устанавливается вместе с
FactoryTalk Services Platform. Это значит, что безопасность применяется не только к
приложению FactoryTalk View Machine Edition, но и ко всем другим связанным с FactoryTalk
программам, запущенным на том же компьютере.
Вместо работы с доступом к частям системы, FactoryTalk Security обеспечивает, во-первых
аутентификацию пользователей, а затем уже их авторизацию на выполнение определенных
действий в масштабах системы.
В FactoryTalk View ME версии CPR 9 пользователи привязываются не к приложениям, а к
каталогу FactoryTalk Directory. Если вы внедряете приложение FactoryTalk View SE, не
забудьте зарезервировать и восстановить как приложение, так и каталог, или придется
заново создавать пользователей на машине в режиме выполнения.
FactoryTalk Security позволяет ссылаться на учетные записи, уже созданные в Windows. Они
называются связанными с Windows учетными записями. Символ связи в окне проводника
показывает, что пользователь является связанным с Windows.
Во время установки FactoryTalk View ME установка FactoryTalk Services Platform выдает
группам Windows Administrators (Администраторы Windows) и Authenticated User
(Аутенфицированные пользователи) полные права доступа к продуктам, подключенным к
системе безопасности FactoryTalk.
В локальном каталоге FactoryTalk Local Directory связанная с Windows группа
администраторов и связанная с Windows группа с названием Authenticated Users
добавляется к каталогу. Это позволяет любому, кто может войти в систему, иметь полные
права доступа к локальному каталогу. По умолчанию пользователь Windows будет
использован для входа при открытии FactoryTalk View Studio, поэтому для FactoryTalk View
Studio не понадобится, чтобы пользователь входил в FactoryTalk.
При запущенной FactoryTalk View ME Station все равно можно создавать приложения,
включающие функции безопасности в режиме выполнения. Windows CE поддерживает родных
пользователей и группы FactoryTalk. Однако Authenticated Users (Аутенфицированные
пользователи) не поддерживаются на платформах Windows CE. На терминалах Windows CE
связанные с Windows пользователи должны быть добавлены в каталог FactoryTalk Directory,
чтобы они могли войти в систему.
Перед тем, как вы начнете
Убедитесь, что установлено и активировано все программное обеспечение из списка «Что
необходимо», который представлен ниже.
Есть установочный диск FactoryTalk View Machine Edition, v. 5.0 (CPR 9)
Ознакомьтесь с терминами и понятиями FactoryTalk Security. См. Главу 1, «Что такое
безопасность в системе автоматизации» и Главу 2, «О системе FactoryTalk».
137
FactoryTalk Security Руководство по быстрому запуску
Что требуется
FactoryTalk Services Platform v. 2.10 (CPR 9)
Сервер активации FactoryTalk Activation Server
Компоненты FactoryTalk View ME (включая приложения-примеры)
Утилиты RSI Utilities
RSLinx Enterprise или RSLinx Classic
Выполните следующие шаги:
138
12 • FactoryTalk View ME и FactoryTalk Security
Создание учетных записей FactoryTalk Security
Перед тем, как вы сможете добавить пользователей и группы пользователей к приложению
FactoryTalk View ME, учетные записи пользователей или групп необходимо добавить или
создать в FactoryTalk Security. Рекомендуется создать родные группы пользователей
FactoryTalk Security и настроить для них права доступа. Затем можно добавить к родным
группам FactoryTalk родных пользователей FactoryTalk или связанных с Windows
пользователей или групп. Например, можно добавить группу пользователей с названием
Maintenance (Обслуживание) и Engineers (Инженеры), затем добавить необходимых
пользователей или группы пользователей к этим группам. Это называется основанная на
ролях система безопасности.
Все пользователи в определенной группе наследуют права доступа этой группы. Это
облегчает назначение правами доступа и управление ими для нескольких пользователей со
схожими требованиями по безопасности. Если вносятся какие-либо изменения в права
доступа пользователя, все члены наследуют эти изменения.
За подробной информацией по созданию пользователей и групп пользователей в FactoryTalk
Security обращайтесь к справке FactoryTalk Security.
Перед созданием нового приложения необходимо выполнить резервирование системной
папки System локального каталога Local FactoryTalk Directory в файл Default.bak Вы будете
использовать этот стандартный резервный файл FactoryTalk Directory каждый раз при
создании нового приложения. Это обеспечит возможность восстанавливать исходную
конфигурацию FactoryTalk Directory перед запуском нового проекта.
Добавление учетных записей пользователей и групп FactoryTalk
1. Запустите FactoryTalk View Studio и откройте приложение FactoryTalk View ME:
Из Windows меню Start (Пуск) выберите Rockwell Software > FactoryTalk View >
FactoryTalk View Studio.
Выберите Machine Edition и нажмите Continue (Продолжить).
Во вкладке Existing (Существующие) выберите приложение Object_800x600,
убедитесь что Language (Язык) установлен на English (Английский), затем нажмите
Open (Открыть).
139
FactoryTalk Security Руководство по быстрому запуску
2. Добавьте несколько пользователей:
В папке System FactoryTalk Directory (обозначена цифрой 2 ниже) разверните папку
Users and Groups (Пользователи и группы), щелкните правой кнопкой по Users,
затем нажмите New User (Новый пользователь). За дополнительной информацией
по различным папкам System обращайтесь к разделу «О нескольких папках System в
FactoryTalk View» на странице 144.
Откроется диалоговое окно New User (Новый пользователь).
Укажите имя пользователя, пароль и опции пароля, как показано ниже:
User (Пользователь): Eric
Password (Пароль): password
Password never expires (Пароль с неограниченным сроком)
140
12 • FactoryTalk View ME и FactoryTalk Security
Нажмите Create (Создать). Пользователь будет добавлен к папке Users
(Пользователи) как родной пользователь FactoryTalk.
Создайте еще два пользователя, как показано ниже:
User (Пользователь): Evan
User (Пользователь): Ethel
Password (Пароль): password
Password (Пароль): password
Password never expires (Пароль
с неограниченным сроком)
Password never expires (Пароль
с неограниченным сроком)
3. Создайте новую группу пользователей:
Нажмите правой кнопкой на User Groups и выберите New (Новая) > Group
(Группа).
Откроется диалоговое окно New User Group (Новая группа пользователей).
Введите Engineers (Инженеры) в текстовое поле имени, а Application
Development (Разработка приложений) в поле описания, затем нажмите Create
(Создать). Новая группа пользователей Engineers появится в папке Users Groups
(Группа пользователей).
141
FactoryTalk Security Руководство по быстрому запуску
4. Добавьте пользователей к группе Engineers (Инженеры):
142
Щелкните правой кнопкой группу Engineers и нажмите Properties (Параметры).
Откроется диалоговое окно Engineers Properties (Параметры группы Инженеры).
(За подробной информацией по использованию данного диалогового окна
обращайтесь к справке FactoryTalk.)
Нажмите кнопку Add (Добавить). Откроется диалоговое окно Select User or Group
(Выбор пользователя или группы).
12 • FactoryTalk View ME и FactoryTalk Security
Нажмите Show users only (Показывать только пользователей) в зоне Filter Users
(Фильтр пользователей) в нижней части диалогового окна. Отобразятся все
добавленные пользователи FactoryTalk, включая связанные с Windows.
Выберите всех добавленных пользователей с помощью мыши, как показано выше.
Нажмите OK, чтобы добавить пользователей в группу Engineers (Инженеры). Все три
пользователя отобразятся в диалоговом окне Engineers Properties (Параметры
группы Инженеры):
Нажмите OK для сохранения изменений и закрытия диалогового окна.
5. Задайте действия, которые пользователи смогут выполнять с ресурсами:
Пользователи, обозначенные в приложении FactoryTalk View, должны как минимум иметь
права доступа Common Actions Read (Общие действия чтение) и List Children
(Перечисление дочерних записей) для запуска проекта FactoryTalk View.
В окне проводника щелкните правой кнопкой на основании дерева FactoryTalk - Local
(This Computer) – и выберите Security (Безопасность) из открывшегося меню.
143
FactoryTalk Security Руководство по быстрому запуску
В разделе ‘View permissions by’ (Показать права доступа по) диалогового окна
Security Settings for Local (Настройки безопасности для локального каталога)
нажмите кнопку Add (Добавить). Откроется диалоговое окно Select User or Group
(Выбор пользователя или группы).
В диалоговом окне Select User or Group (Выбор пользователя или группы)
выберите Engineers (Инженеры), затем нажмите OK. Группа Engineers будет
добавлена к списку в диалоговом окне Security Settings for Local (Настройки
безопасности для локального каталога).
Разверните список общих действий Common Actions нажатием символа «плюс» (+) в
левом столбце.
Как показано выше на иллюстрации диалогового окна Security Settings (Настройки
безопасности), установите флажки напротив List Children (Перечисление дочерних
записей) и Read (Чтение).
Это даст группе Engineers права доступа на выполнение общих действий Common
Read и List Children с локальным каталогом FactoryTalk Local Directory. Это значит,
что члены группы могут запускать проект FactoryTalk View ME.
Нажмите OK для сохранения изменений и закрытия диалогового окна.
О нескольких папках System в FactoryTalk View
Вы можете заметить несколько папок System в окне проводника. Каждый проект HMI имеет
свою папку System, а настройки данной папки применяются только к этому проекту. Также
своя системная папка есть у каталога FactoryTalk Directory. Настройки, содержащиеся в папке
System, которая остается видимой, применяются ко всем приложениям в сетевом или
локальном каталоге.
144
12 • FactoryTalk View ME и FactoryTalk Security
Как определить, где какая папка System находится? Если используется FactoryTalk View
Studio и неизвестно, какая папка System применяется к проекту HMI, а какая ко всем
приложениям в каталоге FactoryTalk Directory, закройте папки этой зоны в дереве проводника.
Папка System, которая применяется для всех приложений в FactoryTalk Directory останется
видимой в дереве проводника.
Добавление учетных записей FactoryTalk в FactoryTalk View
После создания учетных записей пользователей и групп в FactoryTalk Security можно
добавить их к списку учетных записей системы безопасности в редакторе Runtime Security в
FactoryTalk View ME. При добавлении учетной записи также назначаются коды безопасности,
которые дадут этим пользователям и группам доступ к защищенным компонентам HMI.
(Защищенными компонентами HMI называются те, которым были назначены коды
безопасности.) Такие коды (с A по P) вместе с теми, которые были назначены компонентам
проекта HMI, определяют, к каким компонентам пользователь будет иметь доступ в режиме
выполнения.
Чтобы ограничить доступ к графическому дисплею, можно задать код безопасности с A по P,
а затем назначить этот код только тем пользователям, которым требуется доступ к данному
компоненту.
За дополнительной информацией по использованию этих возможностей в FactoryTalk View и
за примерами назначения прав доступа FactoryTalk Security для пользователей и групп
FactoryTalk View обращайтесь к Главе 11 в руководстве пользователя FactoryTalk View
Machine Edition User’s Guide, Volume 1 (том 1).
В следующих шагах используется существующее приложение Objects_800x600, которое
устанавливается с FactoryTalk View.
Не забывайте восстанавливать исходный резервный файл локального каталога FactoryTalk
Directory каждый раз при создании нового приложения. Это обеспечит уверенность в
наличии известной учетной записи администратора и в том, что вы начнете с чистого
каталога (где не были добавлены другие пользователи).
1. Откройте FactoryTalk View Studio и добавьте пользователей и группы FactoryTalk к
приложению:
Из Windows меню Start (Пуск) выберите Rockwell Software > FactoryTalk View >
FactoryTalk View Studio.
Выберите Machine Edition и нажмите Continue (Продолжить).
Во вкладке Existing (Существующие) выберите приложение Object_800x600,
убедитесь что Language (Язык) установлен на English (Английский), затем нажмите
Open (Открыть).
Выбранное приложение откроется в FactoryTalk View Studio, Machine Edition.
145
FactoryTalk Security Руководство по быстрому запуску
Если выводится запрос на вход в FactoryTalk, введите действенные имя пользователя
и пароль пользователя FactoryTalk с правами администратора, затем нажмите OK.
В FactoryTalk Security CPR 9 система одного входа разрешена, поэтому пользователям не
выводится запрос на вход в FactoryTalk. Если производится обновление с версии CPR 7 или
если стандартная конфигурация безопасности FactoryTalk была изменена, будет выводиться
запрос на ввод имени/пароля.
2. Откройте редактор Runtime Security:
В окне проводника в FactoryTalk View Studio выберите Runtime Security из папки
System.
Откроется редактор ресурсов.
146
12 • FactoryTalk View ME и FactoryTalk Security
Первая учетная запись в редакторе – учетная запись DEFAULT. Учетная запись
DEFAULT используется при отсутствии вошедших пользователей. Пользователь
DEFAULT изначально имеет доступ ко всем кодам безопасности (A-P). Если вы не
хотите, чтобы все без регистрации имели полный доступ ко всем частям приложения
в режиме выполнения, отмените доступ пользователя DEFAULT ко всем кодам
безопасности, которые будут использоваться. См. справку или Главу 11 руководства
пользователя FactoryTalk View Machine Edition User’s Guide, Volume 1 (том 1).
Удалить учетную запись DEFAULT нельзя.
Назначьте код безопасности для пользователя DEFAULT на дисплей запуска, иначе он не
откроется. Если дисплей запуск использует код безопасности *, можно назначить любой код с
A по P для его открытия.
3. Назначьте права доступа для инженерной роли:
Во вкладке ME Runtime 4.00 and later редактора Runtime Security щелкните кнопку
Add (Добавить).
В редакторе Runtime Security дважды щелкните по кнопке Add (Добавить), чтобы
открыть диалоговое окно Select User or Group (Выбор пользователя или группы).
В диалоговом окне Select User and Computer (Выбор пользователя и компьютера)
щелкните по имени или группе, которые требуется добавить к списку учетных
записей Runtime Security, затем нажмите OK. Для нашего примера выберите
Engineers (Инженеры).
147
FactoryTalk Security Руководство по быстрому запуску
Группа Engineers будет добавлена к списку учетных записей в редакторе Runtime
Security.
Если учетная запись FactoryTalk была удалена из папки System каталога FactoryTalk Directory,
уникальный идентификатор пользователя остается и отображается в виде буквенноцифровой строки в редакторе Runtime Security. За подробностями обращайтесь к разделу
«Удаление учетных записей» на странице 52.
В редакторе Runtime Security выберите группу Engineers (Инженеры) и снимите все
флажки в области Security Codes (Коды безопасности) кроме A, B и C, как показано
ниже.
Любой пользователь в группе Engineers теперь будет иметь доступ только к
графическим дисплеям, которые имеют назначенные коды A, B или C.
Нажмите Accept (Применить).
В редакторе Runtime Security можно также задать макросы входа и выхода для
добавленных пользователей или группы, если это необходимо. См. справку или Главу
11 руководства пользователя FactoryTalk View Machine Edition User’s Guide, Volume 1
(том 1).
148
Нажмите кнопку Close для закрытия диалогового окна Runtime Security. Нажмите
Yes для сохранения изменений.
12 • FactoryTalk View ME и FactoryTalk Security
4. Настройте систему безопасности для дисплея.
В окне проводника разверните Graphics (Графика) > Displays (Дисплеи) и дважды
щелкните по Animation 1 (Анимация 1), чтобы открыть её.
Из меню Edit (Правка) выберите Display Settings (Показать настройки). Откроется
диалоговое окно Display Settings.
Из выпадающего списка Security Code (Код безопасности) во вкладке General
выберите D (или код, который вы не назначили группе Engineers), затем нажмите
OK, чтобы сохранить изменения и закрыть диалоговое окно.
Сохраните приложение, нажав Save (Сохранить) в меню Edit (Правка).
149
FactoryTalk Security Руководство по быстрому запуску
5. Проверьте приложение:
В меню Application (Приложение) нажмите Test Application (Тестировать
приложение) или щелкните по кнопке Test Application.
Если в вашем приложении используется несколько языков, укажите необходимые
языки и исходный язык при запуске, затем нажмите Finish (Завершить).
Когда приложение откроется, нажмите кнопку Next (Далее) дважды для обзора
дисплея Animation (Анимация).
Закройте приложение нажатием кнопки Exit (Выход) на дисплее анимации (или
нажав кнопку F4 на клавиатуре).
6. Теперь выйдите из системы FactoryTalk, затем зайдите снова под именем Evan и
выполните проверочный запуск приложения Objects_800x600.
150
В FactoryTalk View Studio выберите Log Off (Выйти) в меню File (Файл).
Нажмите Yes для закрытия приложения.
Чтобы войти как Evan (член группы инженеров Engineers) выберите Log On (Войти)
в меню File (Файл).
Введите Evan как имя пользователя, введите пароль password, и затем нажмите OK.
В диалоговом окне New/Open Site Edition (Network) Application выберите
приложение Objects_800x600, затем выберите English (Английский) как язык по
умолчанию и нажмите OK.
12 • FactoryTalk View ME и FactoryTalk Security
В меню Application (Приложение) нажмите Test Application (Тестировать
приложение) или щелкните по кнопке Test Application.
Когда рабочее приложение откроется, нажмите кнопку Next (Далее) дважды для
обзора дисплея Animation (Анимация).
Помните, что как у члена группы инженеров Engineers, у вас нет прав доступа на
обзор дисплея Animation.
Закройте приложение нажатием кнопки Exit (Выход) на дисплее анимации (или
нажав кнопку F4 на клавиатуре).
Управление FactoryTalk Security для работы с несколькими
приложениями
Существуют две главные категории для FactoryTalk Security в приложении FactoryTalk View
Studio, это Runtime (В режиме выполнения) и Development (В режиме разработки). Данный
раздел содержит информацию по управлению настройками безопасности для обеих
категорий.
Runtime security (Безопасность на этапе выполнения) отвечает за аутентификацию
пользователей на обзор запущенного приложения и на действия, которые они могут
выполнять. В качестве примера такого действия можно привести запуск приложения
FactoryTalk View в рабочий режим или ограничение на доступ к дисплеям.
Development security (Безопасность на этапе разработки) отвечает за аутенфикацию
пользователей на редактирование приложения и на действия, которые они могут выполнять.
Примером такого действия будет архивация или восстановление приложения FactoryTalk
View.
При настройке нескольких приложений на одном компьютере необходимо с осторожностью
подойти к работе с FactoryTalk Security. Список пользователей и настройки системы
безопасности на этапе выполнения хранятся в самих приложениях. Однако список
пользователей на этапе выполнения ссылается на пользователей и группы каталога
FactoryTalk Directory. На компьютере может быть только один активный каталог (для
разработки или выполнения).
При редактировании с одного компьютера нескольких приложений FactoryTalk View ME с
различными каталогами могут возникнуть проблемы. Так как эти приложения используют
уникальные каталоги с различными наборами пользователей (для разных конечных
пользователей, например) и так как на компьютере одновременно активным может быть
только один каталог FactoryTalk Directory, необходимо соблюдать осторожность при
переключении между приложениями FactoryTalk View ME.
Резервирование разрабатываемого приложения
Приложение FactoryTalk View не содержит пользователей и группы само по себе. Оно просто
содержит список ссылок на пользователей/группы FactoryTalk Directory. Приложение
FactoryTalk View содержит права доступа режима выполнения для пользователей и групп, на
которые оно ссылается.
151
FactoryTalk Security Руководство по быстрому запуску
При резервировании файлы приложения FactoryTalk View, права доступа режима выполнения
учетных записей пользователей и каталог компилируются в резервный файл APA.
1. На компьютере для разработки выполните резервирование приложения:
Из Windows меню Start (Пуск) выберите All Programs (Все программы) > Rockwell
Software > FactoryTalk View > Tools > Application Manager.
В Application Manager (Менеджер приложения) выберите Machine Edition и нажмите
Next (Далее).
Выберите Backup application (Резервировать приложение) и нажмите Next
(Далее).
Выберите приложение для резервирования и нажмите Next (Далее).
Введите по необходимости новое название приложения, выберите расположение
резервного файла и нажмите Finish (Завершить).
Каждый резервный файл приложения (.apa) содержит копию каталога FactoryTalk Directory,
который был активен на момент резервирования. Очень часто разные приложения имеют
разные наборы пользователей и групп на основе каталога FactoryTalk Directory, с которым
приложение было создано. Это приводит к наличию отдельного каталога FactoryTalk для
каждого резервного файла .apa.
Резервирование действующего приложения и локального
каталога FactoryTalk
1. На компьютере для разработки выполните резервацию действующего приложения:
Данный шаг очень важен, особенно если вы разрабатываете приложения для нескольких
клиентов, резервирование любого существующего приложения позволяет не только
восстанавливать приложения FactoryTalk View в исходное состояние, но и восстанавливать
локальный каталог FactoryTalk Local directory вашего клиента в случае его перезаписи или
стирания.
152
Из Windows меню Start (Пуск) выберите All Programs (Все программы) > Rockwell
Software > FactoryTalk View > Tools > Application Manager.
В Application Manager (Менеджер приложения) выберите Machine Edition и нажмите
Next (Далее).
Выберите Backup application (Резервировать приложение) и нажмите Next
(Далее).
Выберите приложение для резервирования и нажмите Next (Далее).
12 • FactoryTalk View ME и FactoryTalk Security
Введите по необходимости новое название приложения, выберите расположение
резервного файла и нажмите Finish (Завершить).
2. На компьютере для разработки выполните резервацию локального каталога
(опционально):
Хотя этот шаг опционален, при резервировании приложения из Application Manager
(Менеджер приложения) будет полезным. В системе может быть только один локальный
каталог FactoryTalk для нескольких приложений FactoryTalk View, поэтому желательно
выполнить резервацию этого локального каталога, если у вас имеется несколько
приложений, ссылающихся на данный каталог.
Если имеется одни каталог на одно приложение FactoryTalk View ME, тогда созданный с
помощью Application Manager резервный файл (.apa) уже будет содержать локальный каталог
FactoryTalk Local Directory. В этом случае резервирование рекомендуется.
Откройте FactoryTalk View Studio или FactoryTalk Administration Console.
В окне проводника щелкните правой кнопкой по папке System каталога FactoryTalk
Directory, затем выберите Backup (Резервация) из контекстного меню.
В диалоговом окне Backup (Резервация) введите название резервного файла
(архива) и укажите его расположение, затем нажмите OK.
Очень рекомендуется каждый раз использовать новое название файла, чтобы
дифференцировать версии резервных файлов (такие как «Application_001.apa»,
«Application_002.apa» и т.д.) Это позволит откатить систему до предыдущих версий по
необходимости.
В информационном окне «System file was successfully backed up» (Системный файл
успешно зарезервирован) нажмите OK.
Используйте проводник Windows для сохранения копии файла .bak в других местах,
не на локальном компьютере (на диске CD, сетевом ПК или USB флеш устройстве,
например).
Восстановление приложения на компьютер действующей системы
Всегда резервируйте приложения FactoryTalk View SE (local) и Machine Edition, а также
локальный каталог перед восстановлением любых приложений и/или каталога FactoryTalk
Directory!
1. Скопируйте резервное приложение с компьютера системы разработки на компьютер
действующей системы.
2. Восстановите приложение:
153
FactoryTalk Security Руководство по быстрому запуску
Из Windows меню Start (Пуск) выберите All Programs (Все программы) > Rockwell
Software > FactoryTalk View > Tools > Application Manager.
В Application Manager (Менеджер приложения) выберите Machine Edition и нажмите
Next (Далее).
Выберите Backup application (Резервировать приложение) и нажмите Next
(Далее).
При восстановлении приложения Application Manager (Менеджер приложения) предоставляет
опцию восстановления каталога из файла .apa.
Если вы выберите восстановить каталог FactoryTalk Directory, текущий загруженный каталог
на локальном компьютере будет стерт и заменен на новый.
Выберите приложение для восстановления, затем выберите Restore the FactoryTalk
View Machine Edition application (Восстановить приложение FactoryTalk View
Machine Edition), потом нажмите Next (Далее).
Можно восстановить как приложение, так и локальный каталог. Убедитесь, что вы выполнили
резервирование всех приложений FactoryTalk View SE (local) и Machine Edition на компьютере
перед продолжением. Текущий локальный каталог FactoryTalk Local Directory, включая
пользователей, группы политики будет заменен на локальный каталог, который содержится в
восстанавливаемом файле .apa. Это применительно ко всем связанным с FactoryTalk
программам и приложениям, запущенным на компьютере.
154
Введите новое название для восстанавливаемого приложения, затем нажмите Finish
(Завершить).
12 • FactoryTalk View ME и FactoryTalk Security
Работа с вкладкой 3.20 учетной записи пользователя
Это применительно только пользовательской безопасности. Некоторые пользователи системы
назначают права доступа для отдельных учетных записей пользователей, например, Eric,
Evan и Ethel.
В некоторых случаях права доступа назначаются на роль пользователя (не следует путать с
безопасностью, основанной на ролях). В ролях пользователей отдельные учетные записи
пользователей создаются для представления какой-либо роли. Все пользователи какой-либо
определенной роли входят в систему с использованием учетных записей ролей пользователя
(user role accounts).
Создание и хранение учетных записей пользователей такого типа во вкладке 3.20 учетной
записи обеспечивает переход на учетные записи 4.x.
Вот хороший совет: Добавьте пользователей и группы во вкладку 3.20 and earlier,
назначьте коды безопасности и опционально макросы входа и выхода для этих
пользователей, а затем импортируйте их во вкладку 4.00 and later. Это сохранит
назначенных для приложения пользователей, и они будут доступны для повторного
импортирования в случае восстановления приложения или каталога из резервного файла,
не содержащего этих пользователей.
Далее будут созданы учетные записи пользователей (не групповые) с названиями Eng, Main и
Opr. Все инженеры будут входить с помощью одной роли Eng. Следуя примеру с инженерами в
предыдущем разделе, пользователи Eric, Evan и Ethel все войдут с помощью одной учетной
записи, Eng, с одним паролем.
Откроется редактор ресурсов. Выберите вкладку ME Runtime 3.20 and earlier.
В редакторе Runtime Security дважды щелкните по любой строке в таблице, чтобы
добавить нового пользователя или группу.
В столбце Account (Учетная запись) введите Eng.
Введите password в поле Password (Пароль), затем нажмите Accept (Принять). Роль
пользователей Eng добавится к приложению. Снимите флажки кодов безопасности E,
F, G и H.
155
FactoryTalk Security Руководство по быстрому запуску
Добавьте роли пользователей MAIN и OPR к редактору и назначьте коды
безопасности, как показано ниже. Помните, что это учетные записи пользователей, а
не групп.
В редакторе Runtime Security можно также задать макросы входа и выхода для
добавленных пользователей или группы, если это необходимо. См. справку или Главу
11 руководства пользователя FactoryTalk View Machine Edition User’s Guide, Volume 1
(том 1).
Нажмите кнопку Close для закрытия диалогового окна Runtime Security. Нажмите
Yes для сохранения изменений.
3. Перевод учетных записей 3.20 во вкладку 4.00 and later (4.00 и выше):
156
Откройте редактор Runtime Security и выберите вкладку ME Runtime 4.00 and later.
Заметьте, что только что созданных пользователей (ENG, MAIN и OPR) нет в этой
вкладке.
Также заметьте, что учетных записей пользователей ENG, MAIN и OPR нет в
каталоге FactoryTalk Directory:
Из меню Setup (Установка) выберите Migrate ME Runtime 3.20 and earlier accounts
(Переход с учетных записей ME Runtime 3.20 и ниже).
12 • FactoryTalk View ME и FactoryTalk Security
Учетные записи будут созданы в каталоге FactoryTalk Directory и добавлены к
вкладке ME Runtime 4.0.
Закройте редактор Runtime Security, нажмите Yes для сохранения настроек.
Если пользователь системы не восстановил каталог FactoryTalk Directory с приложением
или учетные записи были удалены, сохраненные во вкладке 3.20 учетные записи можно
перенести обратно в приложение.
Редактор Runtime Security выглядит следующим образом, если исходные учетные записи
были удалены:
Если учетная запись FactoryTalk была удалена из папки System каталога FactoryTalk Directory,
уникальный идентификатор пользователя остается и отображается в виде буквенноцифровой строки в редакторе Runtime Security. За подробностями обращайтесь к разделу
«Удаление учетных записей» на странице 52.
4. Перенесите учетные записи снова:
157
FactoryTalk Security Руководство по быстрому запуску
Из меню Setup (Установка) выберите Migrate ME Runtime 3.20 and earlier accounts
(Переход с учетных записей ME Runtime 3.20 и ниже).
Новые учетные записи пользователей, соответствующие исходным учетным записям
были созданы в FactoryTalk и редакторе Runtime Security:
158
12 • FactoryTalk View ME и FactoryTalk Security
5. Удалите несвязанного пользователя GUID:
Выберите GUID в редакторе Runtime Security, затем нажмите Remove (Удалить).
6. Выйдите из редактора Runtime Security и сохраните изменения.
Что делать далее
Теперь, когда вы настроили систему безопасности для FactoryTalk View, сделайте одно из
следующего:
По необходимости войдите как администратор и продолжите назначать права доступа для
графических дисплеев.
Перейдите к Главе 9 на странице 87, чтобы узнать о принципе использования FactoryTalk
Security с программным обеспечением RSLinx.
Перейдите к Главе 10 на странице 99, чтобы узнать о принципе использования
FactoryTalk Security с RSLogix 5000 для защиты ресурсов.
Перейдите к Главе 11 на странице 115, чтобы узнать о принципе использования
FactoryTalk Security с FactoryTalk View SE.
Перейдите к Главе 13 на странице 161, чтобы узнать о принципе использования
FactoryTalk Security с компонентами FactoryTalk Batch.
Перейдите к Главе 14 на странице 179, чтобы узнать о внедрении системы FactoryTalk на
компьютерах действующей системы.
159
FactoryTalk Security Руководство по быстрому запуску
160
ГЛАВА 13
FactoryTalk Batch и FactoryTalk Security
В данном разделе содержатся объяснения по администрированию безопасности компонентов
FactoryTalk® Client с использованием FactoryTalk Security.
За информацией по администрированию всей системы безопасности FactoryTalk Security
обращайтесь к справке FactoryTalk Help, доступной в FactoryTalk Administration Console. За
подробностями по использованию FactoryTalk Security с FactoryTalk Batch Clients обращайтесь
к руководству администратора FactoryTalk Batch Administrator’s Guide, доступному из
Windows меню Start (Пуск): Start > Rockwell Software > FactoryTalk Batch Suite > Online
Books > Batch> batch_administrator.pdf.
Политика продукта для FactoryTalk Batch создается в локальном и сетевом каталоге при
установке FactoryTalk Services Platform. Политика продукта для FactoryTalk Batch
используется для ограничения доступа к клиентским компонентам FactoryTalk Batch и их
функций. За полным списком защищаемых ресурсов FactoryTalk Batch и их стандартным
установкам политики продукта обращайтесь к «FactoryTalk Batch Default Policy Settings»
(Стандартные установки политики FactoryTalk Batch) в Главе 3 руководства администратора
FactoryTalk Batch Administrator’s Guide.
Перед тем, как вы начнете
Определите компьютеры, которые будут настроены как сервер FactoryTalk Batch и клиент
FactoryTalk Batch.
Необходим установочный диск FactoryTalk Batch, v. 9.0 (CPR 9)
Познакомьтесь с терминами и понятиями FactoryTalk Security. См. Главу 1, «Что такое
безопасность в системе автоматизации» и Главу 2, «О системе FactoryTalk».
Установите и настройте программное обеспечение, перечисленное ниже в разделе «Что
требуется».
Что требуется
На компьютере, выполняющем функцию сервера FactoryTalk Batch (Компьютер 1 в нашем
примере):
FactoryTalk Services Platform v. 2.10 (CPR 9)
Сервер активации FactoryTalk Activation Server
Компоненты FactoryTalk Batch Server
161
FactoryTalk Security Руководство по быстрому запуску
На компьютере, выполняющем функцию клиента FactoryTalk Batch (Компьютер 2 в нашем
примере):
FactoryTalk Services Platform v. 2.10 (CPR 9)
Клиент активации FactoryTalk Activation Client
Клиентские компоненты FactoryTalk Batch, включая FactoryTalk Batch View,
Equipment Editor (Редактор оборудования) и Recipe Editor (Редактор рецептов)
Выполните следующие шаги:
162
13 • FactoryTalk Batch и FactoryTalk Security
Важная информация по установке FactoryTalk Batch
Необходимо обязательно создать учетную запись Windows для сервера FactoryTalk Batch
Server перед установкой приложений FactoryTalk Batch. При установке компонентов
FactoryTalk Batch выводится запрос на ввод этой учетной записи. Это необходимо для того,
чтобы установочная программа могла настроить систему FactoryTalk Batch.
При создании учетной записи для сервера необходимо соблюдать следующие требования:
Должен быть установлен неограниченный срок действия пароля. Если срок
действия пароля истечет, служба Batch Server не сможет войти в систему.
Серверная учетная запись не должна отменяться или удаляться. Если данная
учетная запись будет отменена/удалена, служба Batch Server не сможет войти в систему.
Доменная учетная запись должна иметь уникальное имя. Если серверная
учетная запись является доменной учетной записью, удалите все локальные записи с
таким же именем.
Серверная учетная запись/группа пользователей должна быть на всех
компьютерах рабочей группы. Если используется локальная учетная запись и
требуется возможность доступа к ресурсам других компьютеров в среде рабочей группы,
необходимо создать учетные записи с таким же именем и паролем на каждом компьютере
в этой рабочей группе.
Обращайтесь к руководству по установке FactoryTalk Batch Installation Guide и руководству
администратора FactoryTalk Batch Administrator’s Guide за подробной информацией по
установке FactoryTalk Batch. Данные книги доступны из Windows меню Start (Пуск) > All
Programs (Все программы) > Rockwell Software > FactoryTalk Batch Suite > Online Books
> Batch.
Добавление учетных записей пользователей и групп
FactoryTalk Batch
После установки FactoryTalk Services Platform и FactoryTalk Batch, можно усилить систему
безопасности путем добавления пользователей и групп пользователей к FactoryTalk Security.
За подробной информацией по созданию пользователей и групп пользователей в FactoryTalk
Security обращайтесь к справке FactoryTalk Security.
На компьютере Batch Server (Компьютер 1 в нашем примере):
1. Создайте групповую учетную запись в FactoryTalk Security:
Откройте FactoryTalk Administration Console Start (Пуск) > Programs (Все
программы) > Rockwell Software > FactoryTalk Administration Console.
Если выводится запрос на вход в FactoryTalk, введите имя пользователя и пароль
администратора FactoryTalk, затем нажмите OK.
163
FactoryTalk Security Руководство по быстрому запуску
В FactoryTalk Security CPR 9 система одного входа разрешена, поэтому пользователям не
выводится запрос на вход в FactoryTalk. Если производится обновление с версии CPR 7 или
если стандартная конфигурация безопасности FactoryTalk была изменена, будет выводиться
запрос на ввод имени/пароля.
В окне проводника разверните подпапку Users and Groups (Пользователи и
группы) в папке System.
Щелкните правой кнопкой по папке Users Groups (Группы пользователей),
выберите New (Новый), затем выберите User Group из открывшегося меню.
Если у вас уже есть группа пользователей Windows, можно добавить для нее учетную запись
безопасности, выбрав Windows-linked User Group (Связанная с Windows группа
пользователей) из открывшегося меню.
164
Заполните поля Name (Название) и Description (Описание), для нашего примера мы
использовали Batch Operators.
Нажмите Create (Создать) для создания учетной записи безопасности для группы
пользователей и закройте диалоговое окно. При двойном щелчке по папке User
Groups отобразится только что добавленная группа.
13 • FactoryTalk Batch и FactoryTalk Security
2. Создайте новую учетную запись пользователя в FactoryTalk Security:
В окне проводника разверните подпапку Users and Groups (Пользователи и
группы) в папке System.
Щелкните правой кнопкой по папке Users (Пользователи), выберите New (Новый),
затем выберите User из открывшегося меню.
Существующих пользователей Windows можно добавить, выбрав Windows-linked User
(Связанный с Windows пользователь) из открывшегося меню.
Во вкладке General (Общие) диалогового окна New User (Новый пользователь)
задайте имя пользователя и пароль, а также другую информацию, по необходимости.
Для получения подробностей по опциям в данном диалоговом окне нажмите кнопку
Help (Справка).
Выбираемые здесь
свойства пароля
находятся под
управлением политики,
выбранной в
Security Policies
(Политика безопасности).
Для нашего примера введите следующее:
User name (Имя пользователя): SWhite
Full name (Полное имя): Sara White
Description (Описание): Operator
Password (Пароль): password
Для данного примера снимите флажок User must change password at next logon
(Пользователь должен сменить пароль при следующем входе) и установите
флажок Password never expires (Неограниченный срок действия пароля).
3. Свяжите группу с учетной записью пользователя.
Добавлять пользователей к группе можно двумя способами. Можно выбрать группу и
добавить в нее пользователей, или при создании пользователя можно привязать его к
одной или нескольким группам. Ниже используется второй способ:
165
FactoryTalk Security Руководство по быстрому запуску
166
Выберите вкладку Group Membership (Групповая принадлежность) диалогового
окна New User (Новый пользователь). Данное окно должно быть открытым, если
оно закрыто, щелкните правой кнопкой по только что созданному пользователю и
выберите Properties (Параметры) из открывшегося меню.
Чтобы открыть диалоговое окно Select User Group (Выбор группы пользователей),
во вкладке Group Membership (Групповая принадлежность) нажмите кнопку Add
(Добавить), чтобы открыть
Выберите созданную на шаге 2 группу пользователей (в нашем примере Batch
Operators), затем нажмите OK.
Нажмите Create (Создать). Новый пользователь появится в папке Users
(Пользователи).
13 • FactoryTalk Batch и FactoryTalk Security
4. Задайте действия, которые пользователи смогут выполнять:
Для ограничения доступа к ресурсу системы укажите, какие пользователи или
группы пользователей будут иметь право доступа на выполнение действий с этим
ресурсом.
В окне проводника откройте подпапку Users and Groups (Пользователи и группы) в
папке System.
Щелкните правой кнопкой по папке Users Groups (Группы пользователей),
выберите Security (Безопасность) из открывшегося меню.
В разделе ‘View permissions by’ (Показать права доступа по) диалогового окна
Security Settings for User Groups (Настройки безопасности для групп
пользователей) нажмите кнопку Add (Добавить).
Для нашего примера выберите Batch Operators и нажмите OK. Группа Batch
Operators добавится к списку.
При выбранной группе Batch Operators, разверните список общих действий Common
нажатием символа «плюс» (+) в левом столбце.
167
FactoryTalk Security Руководство по быстрому запуску
Как показано выше на иллюстрации диалогового окна Security Settings (Настройки
безопасности), установите флажки напротив List Children (Перечисление дочерних
записей) and Read (Чтение).
Это даст группе Batch Operators права доступа на выполнение общих действий
Common Read и List Children с сетевым каталогом FactoryTalk Network Directory. Это
значит, что члены группы могут запускать клиенты FactoryTalk Batch.
Нажмите OK для сохранения изменений и закрытия диалогового окна.
Настройка политики продукта в FactoryTalk Batch
Клиенты FactoryTalk Batch (BatchCampaign, Batch View, Equipment Editor, Recipe Editor, и
Batch ActiveX controls) имеют политику продукта, которую можно защитить с помощью
FactoryTalk Security.
Например, можно настроить FactoryTalk Security на ограничение доступа заданным
пользователям и группам к определенным кнопкам панели управления и окнам FactoryTalk
Batch View Удаление группы пользователей из политики безопасности блокирует
соответствующую кнопку панели управления View для всех пользователей-членов этой
группы. При блокировке кнопки, она не отображается в панели управления FactoryTalk Batch
View.
Кроме того, можно ограничить доступ к ресурсам на основании физического места
расположения пользователя, такого как используемый для выполнения действий компьютер.
(За дополнительной информацией обращайтесь к справке FactoryTalk.)
Настройка безопасности для окон FactoryTalk Batch View
Для усиления безопасности окон FactoryTalk Batch View, настройте соответствующую
политику продукта в соответствующем каталоге FactoryTalk Directory.
На компьютере Batch Server (Компьютер 1 в нашем примере):
1. Откройте FactoryTalk Administration Console и войдите в соответствующий каталог
FactoryTalk Directory. Для нашего примера выберите Network Directory (Сетевой
каталог).
2. Настройте безопасность для окон FactoryTalk Batch View:
168
13 • FactoryTalk Batch и FactoryTalk Security
Разверните System (Система) > Policies (Политика) > Product Policies (Политика
продукта) > Batch > BatchView & ActiveX, затем правой кнопкой щелкните по View
и выберите Properties (Параметры).
В диалоговом окне View Properties (Параметры View), выберите установку
политики, которую необходимо настроить, и нажмите соответствующую кнопку
обзора. Для нашего примера, щелкните по кнопке обзора напротив политики Exit
(Выход).
Откроется диалоговое окно Configure Securable Action (Настройка защищаемого
действия).
Нажмите кнопку Add (Добавить). Откроется диалоговое окно Select User or Group
(Выбор пользователя или группы). Выберите пользователя или группу, которые вы
хотите добавить, и нажмите OK. Для нашего примера выберите группу Batch
Operators.
Для обеспечения группового доступа к данной функции установите флажок
разрешения Allow.
Политика продукта не наследует настройки безопасности. При указании прав доступа для
политики продукта снятие обоих флажков Allow и Deny запрещает доступ к функции
продукта. (За дополнительной информацией по правам доступа обращайтесь к справке
FactoryTalk.)
169
FactoryTalk Security Руководство по быстрому запуску
3. Усильте безопасность для данной команды.
Выберите группу All Users (Все пользователи) и нажмите Remove (Удалить).
Нажмите дважды OK для возврата в FactoryTalk Administration Console.
Перезапустите все открытые компоненты FactoryTalk Batch для применения изменений,
внесенных в FactoryTalk Directory.
4. Проверьте настройки политики:
170
Откройте FactoryTalk Batch View и войдите как SWhite (с паролем password).
Заметьте, что строка состояния показывает SWhite как текущего пользователя, а
кнопка Exit (Выход) имеется на панели управления.
Теперь щелкните по кнопке Log In (Войти) (показана слева) и войдите как PSmith (с
паролем password). Заметьте, что строка состояния показывает PSmith как текущего
пользователя, а кнопка Exit (Выход) на панели управления теперь не доступна.
Войдите как администратор FactoryTalk или пользователь с доступом к политике Exit
(Выход), и вы сможете закрыть программу.
13 • FactoryTalk Batch и FactoryTalk Security
Настройка безопасности для команд FactoryTalk Batch Commands
Кроме ограничения доступа к различным окнам и кнопкам в FactoryTalk Batch View, также
можно ограничить доступ пользователей к созданию команд для партии или фазы. Добавьте
соответствующих пользователей или/и группы к защищаемой политике Command
(Команда) или Phase Command (Фазовая команда).
1. Для добавления пользователя и/или группы пользователей к политике Command:
Откройте FactoryTalk Administration Console и войдите в соответствующий каталог
FactoryTalk Directory. В нашем примере используется Network Directory (Сетевой
каталог).
Разверните System (Система) > Policies (Политика) > Product Policies (Политика
продукта) > Batch > BatchView & ActiveX.
Щелкните правой кнопкой по Commands (или Phase Commands), затем выберите
Properties (Параметры) из открывшегося меню. Откроется диалоговое окно
Commands Properties (Параметры команд).
Выберите установку политики, которую необходимо настроить, и нажмите
соответствующую кнопку обзора. Для нашего примера выберите Add Batch
(Добавить партию). Откроется диалоговое окно Configure Securable Action
(Настройка защищаемого действия).
Чтобы добавить пользователя или группу, нажмите Add (Добавить). Откроется
диалоговое окно Select User and Computer (Выбор компьютера и группы).
Выберите пользователя или группу, которые вы хотите добавить, и нажмите OK. Для
нашего примера выберите Batch Operators.
171
FactoryTalk Security Руководство по быстрому запуску
2. Усильте безопасность для данной команды.
Выберите группу All Users (Все пользователи) и нажмите Remove (Удалить).
Нажмите дважды OK для возврата в FactoryTalk Administration Console.
Перезапустите все открытые компоненты FactoryTalk Batch для применения изменений по
безопасности, внесенных в FactoryTalk Directory.
3. (Опционально) Войдите в FactoryTalk Batch View как SWhite и попробуйте добавить
партию к списку партий. Затем войдите как LWilliams, у которого нет прав доступа на
добавление партии, и снова попробуйте добавить партию к списку партий. Будет
выведено предупреждение, что текущий пользователь не имеет достаточных прав на
выполнение данной команды.
Разрешение настроек подтверждения в FactoryTalk Batch View
Если вы назначите определенным пользователям и/или группам команды партии или фазовой
команды и разрешите соответствующую установку политики Confirm (Подтверждение), тогда
только заданным пользователям будет разрешено запускать команды, и им придется вводить
имя пользователя и пароль для подтверждения запускаемой команды.
1. Настройте установки политики Phase Command (Фазовая команда):
Для настройки установки политики Command Confirm (Подтверждение команды) замените
команды фазовыми командами следующим образом:
172
Откройте FactoryTalk Administration Console и войдите в соответствующий каталог
FactoryTalk Directory. В нашем примере используется Network Directory (Сетевой
каталог).
Разверните System (Система) > Policies (Политика) > Product Policies (Политика
продукта) > Batch > BatchView & ActiveX.
13 • FactoryTalk Batch и FactoryTalk Security
Щелкните правой кнопкой по Phase Commands, затем выберите Properties
(Параметры) из открывшегося меню. Откроется диалоговое окно Phase Commands
Properties (Параметры фазовых команд).
2. Настройте установку политики Confirm (Подтверждение):
Пролистайте до установок политики BatchView and ActiveX - Phase Commands –
Confirmations. Выберите установку политики и щелкните по соответствующему
выпадающему списку. Выберите True для того, чтобы пользователю пришлось
вводить имя пользователя и пароль каждый раз при нажатии кнопки команды. Если
этого не требуется, выберите False.
В показанном выше примере, Clear Failure – Confirm установлено на True. Это
заставит пользователя ввести имя и пароль FactoryTalk при попытке сбросить ошибку
во время работы партии.
Нажмите OK для возврата в окно FactoryTalk Administration Console.
Перезапустите все открытые компоненты FactoryTalk Batch для применения изменений,
внесенных в FactoryTalk Directory.
Настройка безопасности для редакторов оборудования и рецептов
Безопасность для редактора оборудования FactoryTalk Batch Equipment Editor и редактора
рецептов Recipe Editor внедряется путем использования политик продукта FactoryTalk
Security, заданных в FactoryTalk Directory. Только пользователям FactoryTalk разрешается
доступ к этим редакторам. (За дополнительной информацией обращайтесь к разделу
«Стандартные настройки политики FactoryTalk Batch» в руководстве администратора
FactoryTalk Batch Administrator’s Guide.)
173
FactoryTalk Security Руководство по быстрому запуску
Для поддержки редакторов Equipment Editor и Recipe Editor имеются два уровня
безопасности: View Only (Только просмотр) и Full Edit (Полное редактирование).
(За дополнительной информацией обращайтесь к разделу «Настройка безопасности
режима доступа».)
Дополнительно имеется политика продукта Configuration Options (Опции конфигурации),
созданная в локальном каталоге для редакторов. (За дополнительной информацией
обращайтесь к разделу «Изменение опций конфигурации редактора оборудования»)
Кроме настройки FactoryTalk Security, также можно настроить систему безопасности
Windows для файлов FactoryTalk Batch Equipment Editor и Recipe Editor в проводнике
Windows. (За дополнительной информацией обращайтесь к разделу «Настройка
безопасности для папок или файлов» в руководстве администратора FactoryTalk Batch
Administrator’s Guide.) Если используются рецепты RDB, которые хранятся в SQL Server,
безопасность RDB также можно настроить.
Настройка безопасность режима доступа
Для доступа к редакторам Equipment Editor и Recipe Editor имеются два уровня
безопасности: View Only (Только просмотр) и Full Edit (Полное редактирование).
1. Настройте режимы доступа FactoryTalk Batch Equipment Editor или Recipe Editor:
Откройте FactoryTalk Administration Console и войдите в соответствующий каталог
FactoryTalk Directory. В нашем примере используется Network Directory (Сетевой
каталог).
Разверните System (Система) > Policies (Политика) > Product Policies (Политика
продукта) > Batch > Equipment Editor (или Recipe Editor), затем правой кнопкой
щелкните по Access Modes (Режимы доступа) и выберите Properties (Параметры)
из открывшегося меню.
В диалоговом окне Access Modes Properties (Параметры режимов доступа),
выберите установку политики, которую необходимо настроить, и нажмите
соответствующую кнопку обзора. Откроется диалоговое окно Configure Securable
Action (Настройка защищаемого действия).
2. Усильте безопасность для данной функции.
Выберите группу All Users (Все пользователи) и нажмите Remove (Удалить).
3. Добавьте пользователей или группы:
174
13 • FactoryTalk Batch и FactoryTalk Security
Чтобы добавить пользователя или группу, нажмите Add (Добавить). Откроется
диалоговое окно Select User and Computer (Выбор компьютера и группы).
Выберите пользователя или группу, которые вы хотите добавить, и нажмите OK. Для
нашего примера выберите Batch Operators.
Нажмите OK для закрытия диалогового окна Configure Securable Action
(Настройка защищаемого действия).
Перезапустите все открытые компоненты FactoryTalk Batch для применения изменений,
внесенных в FactoryTalk Directory.
Изменение опций конфигурации редактора оборудования
Equipment Editor
Следующие указания даны для редактора оборудования FactoryTalk Batch Equipment Editor:
Опции конфигурации редактора рецептов FactoryTalk Batch Recipe Editor настраиваются
таким же образом.
1. Откройте FactoryTalk Administration Console. Войдите в локальный каталог FactoryTalk
Local Directory.
175
FactoryTalk Security Руководство по быстрому запуску
2. Разверните System (Система) > Policies (Политика) > Product Policies (Политика
продукта) > Batch > Equipment Editor (или Recipe Editor) > Configuration, затем правой
кнопкой щелкните по Options (Опции) и выберите Properties (Параметры) из
открывшегося меню.
3. В диалоговом окне Options Properties (Параметры опций) внесите необходимые
изменения настроек политики.
Например, редакторы Equipment Editor и Recipe Editor позволяют использовать внешнее
устройство безопасности, такое как сканер сетчатки глаз. Если требуется разрешить
функции безопасности для внешнего устройства, необходимо настроить External Login
(Внешний вход) как показано в примере ниже.
(За дополнительной информацией обращайтесь к разделу «Использование внешнего
устройства безопасности» в руководстве администратора FactoryTalk Batch
Administrator’s Guide.)
4. Нажмите OK для сохранения изменений конфигурации и возврата в FactoryTalk
Administration Console.
Перезапустите все открытые компоненты FactoryTalk Batch для применения изменений,
внесенных в FactoryTalk Directory.
176
13 • FactoryTalk Batch и FactoryTalk Security
Что делать далее
Выполните одно из следующего:
По необходимости продолжите назначать права доступа для действий и команд клиента
FactoryTalk Batch.
Перейдите к Главе 9 на странице 87, чтобы узнать о принципе использования FactoryTalk
Security с программным обеспечением RSLinx.
Перейдите к Главе 10 на странице 99, чтобы узнать о принципе использования
FactoryTalk Security с RSLogix 5000 для обеспечения безопасности проектов и устройств
(таких как, контроллеры Logix5000, PLC и SLC).
Перейдите к Главе 11 на странице 115, чтобы узнать о принципе использования
FactoryTalk Security с FactoryTalk View SE.
Перейдите к Главе 12 на странице 137, чтобы узнать о принципе использования
FactoryTalk Security с FactoryTalk View ME.
Перейдите к Главе 14 на странице 179, чтобы узнать о внедрении системы FactoryTalk на
компьютерах действующей системы.
177
FactoryTalk Security Руководство по быстрому запуску
178
ГЛАВА 14
Развертывание системы FactoryTalk
Данная глава содержит подробное описание принципа перевода системы FactoryTalk,
построенной с помощью системы разработки в режиме офлайн, на рабочую систему в
режиме выполнения.
Условия
Сценарий, представленный в данном разделе, основан на следующих условиях:
C: является системным диском на всех компьютерах
FactoryTalk Services Platform установлена, активирована и настроена на всех компьютерах
в сети разработки и рабочей сети. См. «На компьютерах действующей системы» на
странице 181
FactoryTalk View SE установлен, активирован и настроен
Один компьютер в сети определен как сервер сетевого каталога FactoryTalk Network
Directory Server, а все другие компьютеры в сети настроены как клиенты, каждому из
которых указан этот компьютер-сервер сетевого каталога
Не забудьте удалить все предыдущие версии продуктов Rockwell Software перед установкой
новых. Кроме того, убедитесь, что вы устанавливаете совместимые версии FactoryTalk
Services Platform и других продуктов Rockwell Software.
Установка системных компьютеров для разработки
Следуйте представленным ниже шагам на соответствующих системных компьютерах для
разработки, чтобы подготовиться к переходу системы FactoryTalk с сети в режиме разработки
на сеть в режиме выполнения.
Шаг 1 – На компьютере с сетевым каталогом
С любого компьютера в сетевом каталоге запустите FactoryTalk Administration Console и
выполните резервирование всего сетевого каталога.
При резервировании всего сетевого каталога FactoryTalk Network Directory файл .bak,
полученный в результате, включает все приложения данного каталога и все настройки
системной папки System.
Восстановление системной папки System замещает все учетные записи, группы, пароли
пользователей и компьютеров, а также настройки политики и настройки безопасности для
всех приложений в каталоге FactoryTalk Directory. Будьте осторожны при восстановлении.
179
FactoryTalk Security Руководство по быстрому запуску
Инструмент Backup (Резервирование) создает резервный файл, включающий:
название приложения
определения зоны
имя и расположение сервера HMI (в какой зоне и на каком компьютере)
имена, тип и расположение серверов данных (в какой зоне и на каком компьютере)
За подробностями обращайтесь к разделам «Резервирование всего каталога FactoryTalk
Directory» и «Правильный выбор опций резервирования восстановления» в справке
FactoryTalk Help.
Скопируйте файлы приложения (*.RnaD) с компьютера для разработки на компьютер-сервер
сетевого каталога действующей системы. Данный файл приложения расположен в
C:\Documents and Settings\All Users\Application Data\Rockwell\RNAServer\Global.
Шаг 2 – На серверном компьютере FactoryTalk View Site Edition
Скопируйте файлы проекта HMI с компьютера для разработки на соответствующий
компьютер View SE действующей системы. Скопируйте всю папку с файлами сервера HMI.
Данная папка имеет такое же имя как сервер HMI и расположена в C:\Documents and
Settings\All Users\RSView Enterprise\HMI Projects\. Копирование невозможно при
запущенном сервере HMI. За более подробной справкой по резервированию серверов HMI
обращайтесь к FactoryTalk View Site Edition.
Имеется инструмент для резервирования загруженного сервера HMI. См. базу знаний Rockwell
Knowledgebase Tech Note A102052574.
Шаг 3 – На компьютере FactoryTalk View Studio
Скопируйте файлы конфигурации клиента (*.cli) с компьютера для разработки на компьютер
View SE Client действующей системы. Расположение на компьютере действующей системы
не имеет значения, но по умолчанию файлы клиента располагаются в C:\Documents and
Settings\All Users\Documents\RSView Enterprise\SE\Client. За дополнительной справкой
обращайтесь к документации FactoryTalk View Studio.
Шаг 4 – На компьютере RSLinx Classic или RSLinx Enterprise
Серверы RSLinx Enterprise — скопируйте файл конфигурации соединений
«RSLinxNG.xml» из каталога, расположенного в C:\Documents and Settings\All
Users\Application Data\Rockwell\RSLinx Enterprise\RSLinxNG.xml.
Для RSLinx Enterprise ссылки на устройства резервируются автоматически как часть
резервирования всего сетевого каталога на шаге 1.
Серверы данных RSLinx Classic — запустите утилиту восстановления RSLinx Backup
Restore Utility. Из Windows меню Start (Пуск) выберите All Programs (Все программы)
> Rockwell Software > RSlinx > Backup Restore Utility.
Шаг 5 – На компьютере Microsoft SQL Server
Если ваша система FactoryTalk включает базы данных Microsoft SQL Server для регистрации
накопленных данных, включая журналы FactoryTalk Alarms and Events, выполните
резервацию всех данных, которые понадобятся в новой системе.
180
14 • Развертывание системы FactoryTalk
Шаг 6 – На компьютере FactoryTalk Transaction Manager
Если ваша система включает FactoryTalk Transaction Manager, выполните резервирование
вашего проекта. Из меню Configuration (Конфигурация) выберите Backup
(Резервирование).
Шаг 7 – На компьютере FactoryTalk Batch Server
Если ваша система FactoryTalk включает FactoryTalk Batch, используйте Batch Service
Manager для остановки Batch Server. Выполните резервирование файлов Batch Server и
клиентских файлов. За справкой обращайтесь к руководству по установке FactoryTalk Batch
Installation Guide.
Шаг 8 – На компьютерах-клиентах FactoryTalk Batch
Если ваша система включает FactoryTalk Batch, выполните резервирование клиентских
файлов Batch. За справкой обращайтесь к руководству по установке FactoryTalk Batch
Installation Guide.
На компьютерах действующей системы
Установите и активируйте продукты Rockwell Software на соответствующих компьютерах
действующей системы. Как составная часть установки каждого продукта, установите
FactoryTalk Services Platform.
Кроме того, на каждом компьютере-клиенте сетевого каталога FactoryTalk Network Directory,
укажите компьютер в сети, на котором установлен сервер сетевого каталога FactoryTalk
Network Directory Server. Затем выполните следующие действия:
Шаг 1 – На компьютере с сетевым каталогом
Перед началом, закройте все продукты и службы Rockwell Software на всех компьютерах в
сети.
Затем, с любого компьютера в сетевом каталоге запустите FactoryTalk Administration Console
и выполните восстановление прежде зарезервированного каталога. См. «Восстановление
FactoryTalk Directory» на странице 187.
По необходимости выполните одно из следующего:
Если компьютеры действующей системы находятся в той же физической сети, что и
компьютеры системы разработки, но в разных доменах, тогда переименуйте компьютеры,
имеющие одинаковые имена. Контроллер доменов Windows не допустит наличия
нескольких компьютеров в разных доменах с одинаковым именем в одной сети.
181
FactoryTalk Security Руководство по быстрому запуску
В окне проводника разверните папку Computers and Groups (Компьютеры и группы),
разверните папку Computers (Компьютеры), щелкните правой кнопкой по пиктограмме
учетной записи компьютера, затем выберите Properties (Параметры) из открывшегося
меню.
Если в системе разработки создавались связанные с Windows пользовательские учетные
записи, восстановите все настройки безопасности для этих учетных записей в вашей
действующей системе.
Если в системе разработки создавались связанные с Windows группы пользователей,
перенесите их в новый домен.
В окне проводника разверните папку Users and Groups (Пользователи и группы), затем
разверните папку User Groups (Группы пользователей), щелкните правой кнопкой по
группе пользователей, которую необходимо перенести в новый домен, затем выберите
Properties (Параметры) из открывшегося меню. В диалоговом окне Properties
(Параметры), щелкните
182
14 • Развертывание системы FactoryTalk
Change Domain (Сменить домен), и выберите новый домен. Новый домен уже должен
содержать группу пользователей с тем же именем. Нажмите OK для сохранения.
Шаг 2 – На серверном компьютере FactoryTalk View Site Edition
Восстановите проект HMI и задайте расположение серверов данных. Откройте FactoryTalk
View Studio (или View Administration Console) и отредактируйте приложение. Серверы HMI и
серверы данных выдадут ошибку, потому что они все еще настроены на работу на
компьютере системы разработки. Внесите изменения в параметры серверов HMI и данных,
чтобы отразить их новое расположение. За справкой обращайтесь к документации
FactoryTalk View.
Убедитесь, что название папки и название файла проекта HMI (*.sed) одинаковые, или сервер
HMI не загрузится должным образом.
Шаг 3 – На клиентском компьютере FactoryTalk View Site Edition
Восстановите клиентские файлы конфигурации (*.cli). Расположение на компьютере
действующей системы не имеет значения, но по умолчанию файлы клиента располагаются в
C:\Documents and Settings\All Users\Documents\RSView Enterprise\SE\Client. За справкой
обращайтесь к документации FactoryTalk View.
183
FactoryTalk Security Руководство по быстрому запуску
Шаг 4 – На компьютере RSLinx Classic
1. Запустите утилиту резервирования и восстановления RSLinx Backup Restore Utility для
восстановления конфигурации RSLinx Classic. Из Windows меню Start (Пуск) выберите
All Programs (Все программы) > Rockwell Software > RSlinx > Backup Restore Utility.
2. Обновите темы офлайн в проекте на темы онлайн.
3. Чтобы видеть файлы PLC или SLC при офлайн просмотре, скопируйте проект процессора
из компьютера системы разработки на компьютер действующей системы. Затем
определите новое расположение файла проекта в теме RSLinx Classic для данного
процессора.
Шаг 5 – На серверном компьютере RSLinx Enterprise
1. На любом компьютере сетевого каталога запустите FactoryTalk Administration Console.
2. Переименуйте компьютер-сервер сетевого каталога, на котором располагаются серверы
данных RSLinx Enterprise.
Щелкните правой кнопкой по пиктограмме Data Server (Сервер данных), и затем
нажмите Properties (Параметры) для открытия диалогового окна Data Server
Properties (Параметры сервера данных). В текстовом поле Computer hosting the
RSLinx Enterprise (Компьютер, где располагается RSLinx Enterprise) задайте имя
компьютера действующей системы, где сейчас расположен сервер данных. Повторите
данный шаг для каждого заданного сервера данных.
3. Переназначьте все ссылки на соответствующие физические устройства, перечисленные в
редакторе Communication Setup (Настройка соединений). См. интерактивную
справочную систему для RSLinx Enterprise.
184
14 • Развертывание системы FactoryTalk
Шаг 6 – На компьютере Microsoft SQL Server
Если ваша система FactoryTalk включает базы данных Microsoft SQL Server для регистрации
накопленных данных, включая журналы FactoryTalk Alarms and Events, восстановите все
данные, которые необходимо перенести в новую систему, а затем переустановите соединение
между определением базы данных, содержащимся в каталоге, и связанной базой данных
Microsoft SQL Server.
1. На любом компьютере сетевого каталога запустите FactoryTalk Administration Console.
2. В окне проводника разверните System (Система) >Connections (Соединения) >
Databases (Базы данных).
3. Дважды щелкните по определению базы данных, чтобы открыть её параметры, затем
нажмите OK.
Система проверит наличие таблиц базы данных и создаст их, если необходимо.
Шаг 7 – На компьютере FactoryTalk Transaction Manager
Если ваша система включает FactoryTalk Transaction Manager:
1. Запустите Transaction Manager и восстановите резервный файл проекта. Из меню
Configuration (Конфигурация) выберите Restore (Восстановить).
2. Затем переименуйте компьютер, связанный с каждой конфигурацией соединительного
узла. Для каждой заданной службы соединительного узла Connector Service щелкните
правой кнопкой по Configuration name (Имя конфигурации) и выберите Define
Connector (Определить соединительный узел) из открывшегося меню. Смените Host
Name (Имя хоста) с имени компьютера системы разработки на компьютер FactoryTalk
Transaction Manager действующей системы.
185
FactoryTalk Security Руководство по быстрому запуску
Шаг 8 – На компьютере FactoryTalk Batch Server
Если ваша система включает FactoryTalk Batch, восстановите сервер FactoryTalk Batch Server
и клиентские файлы. За справкой обращайтесь к руководству по установке FactoryTalk Batch
Installation Guide.
Шаг 9 – На компьютерах-клиентах FactoryTalk Batch
Если ваша система включает FactoryTalk Batch, восстановите клиентские файлы FactoryTalk
Batch. За справкой обращайтесь к руководству по установке FactoryTalk Batch Installation
Guide.
Резервирование всего каталога FactoryTalk Directory
Выполните резервирование всего каталога FactoryTalk Directory для переноса системы
FactoryTalk с одного компьютера на другой. При резервировании FactoryTalk Directory
архивный файл включает в себя все приложения, связанные с данным каталогом, а также
системную папку System.
Восстановление системной папки System замещает все учетные записи, группы, пароли
пользователей и компьютеров, а также настройки политики и настройки безопасности для
всех приложений в каталоге FactoryTalk Directory. Будьте осторожны при восстановлении.
Необходимые права доступа системы безопасности
Политика безопасности в масштабах системы под названием User Rights Assignment
(Назначении прав пользователя) определяет тех, кто имеет право доступа на выполнение
резервирования или восстановления. Из FactoryTalk Administration Console или окна
проводника FactoryTalk View Studio откройте System (Система) > Policies (Политика) >
System Policies (Политика системы), затем дважды щелкните по User Rights Assignment
(Назначение прав пользователя).
Для резервирования каталога FactoryTalk Directory:
1. В верхней части окна проводника FactoryTalk Administration Console щелкните правой
кнопкой по пиктограмме сетевого или локального каталога.
2. Из меню открывшегося меню выберите Backup (Резервирование).
3. Введите имя для резервного файла, или используйте имя по умолчанию.
4. Используйте расположение архива по умолчанию или нажмите кнопку обзора и задайте
расположение для этого резервного файла. Нажмите OK для закрытия диалогового окна
Browse for Folder.
5. В окне резервирования Backup нажмите OK.
186
14 • Развертывание системы FactoryTalk
В случае если вы не указали иного имени файла, FactoryTalk Administration Console
создаст файл Network.bak или Local.bak в месте расположения по умолчанию или в
заданном вами месте. Если резервный файл с таким же именем уже существует в
выбранном месте расположения, система выдаст запрос на подтверждение перезаписи
существующего файла.
6. После резервирования каталога, выполните резервирование и восстановите файлы и базы
данных отдельно от программных продуктов, участвующих в системе FactoryTalk. См.
раздел «После резервирования каталога или приложения».
Восстановление всего каталога FactoryTalk Directory
Для переноса всей системы FactoryTalk с одного компьютера на другой восстановите
резервный архив FactoryTalk Directory.
Восстановление всего архива каталога FactoryTalk Directory полностью заменят содержание
существующего каталога, включая все приложения и системную папку System, что включает
в себя учетные записи и группы пользователей и компьютеров, пароли, настройки политики,
и настройки безопасности.
Не восстанавливайте архивный файл, созданный на платформе FactoryTalk Services Platform
2.10 (CPR 9) или выше, в каталог FactoryTalk Directory на платформе FactoryTalk Automation
Platform 2.00 (CPR 7). Данный сценарий восстановления не поддерживается и может привести
к непредсказуемым результатам.
Необходимые права доступа системы безопасности
Политика безопасности в масштабах системы под названием User Rights Assignment
(Назначении прав доступа) определяет тех, кто имеет право доступа на выполнение
резервирования или восстановления. Из FactoryTalk Administration Console или окна
проводника FactoryTalk View Studio откройте System (Система) > Policies (Политика) >
System Policies (Политика системы), затем дважды щелкните по User Rights Assignment
(Назначение прав пользователя).
Для восстановления всего каталога FactoryTalk Directory:
1. Убедитесь, что приложения, расположенные в каталоге FactoryTalk Directory, в который
выполняется восстановление, на данный момент не развернуты или не используются
другими продуктами или компонентами. Если приложения на данный момент
используются, восстановление не выполнится.
2. В окне FactoryTalk Administration Console щелкните правой кнопкой по пиктограмме
сетевого (Network) или локального (Local) каталога. Из меню открывшегося меню
выберите Restore (Восстановление).
187
FactoryTalk Security Руководство по быстрому запуску
3. В диалоговом окне Restore (Восстановление) щелкните кнопку обзора, выберите
резервный файл для восстановления, затем нажмите Open (Открыть). Для продолжения
нажмите Next (Далее).
При нажатии Next (Далее), диалоговое окно Restore (Восстановление) показывает
тип восстанавливаемого архива, и какие приложения в нем содержатся. Выбрать
отдельные приложения нельзя.
По умолчанию резервный файл для сетевого каталога называется Network.bak, а
резервный файл для локального каталога – Local.bak.
4. Для восстановления каталога FactoryTalk Directory, содержащегося в выбранном архиве,
нажмите Finish (Закончить).
Если вы восстанавливаете архив, созданный в ранних версиях платформы FactoryTalk на
более позднюю версию, процесс восстановления автоматически обновляет данные в
системной папке System для совместимости с более поздней версией, при этом исходные
данные архива сохраняются.
Например, предположим, вы восстанавливаете архив, созданный на платформе
FactoryTalk Automation Platform 2.00 (CPR 7), в каталог FactoryTalk Directory, который
обновили до FactoryTalk Services Platform 2.10 (CPR 9). Процесс восстановления
сохранит исходные учетные записи пользователей и все настройки политик системы и
безопасности, но кроме того, обновит системную папку System для включения новых
опций и политик, доступных с FactoryTalk Services Platform 2.10.
5. После восстановления каталога, выполните резервирование и восстановите файлы и базы
данных проекта отдельно от программных продуктов, и затем подтвердите учетные
записи системы безопасности и компьютеров. См. далее.
188
14 • Развертывание системы FactoryTalk
После восстановления всего каталога FactoryTalk Directory
Резервный файл не содержит информацию по конфигурациям и проектам, индивидуальную
для каждого программного проекта. Резервируйте и восстанавливайте файл проектов в
каждом программном продукте по отдельности. См. раздел «После резервирования каталога
или приложения» в справке FactoryTalk Help.
После восстановления всего каталога FactoryTalk Directory из резервного
файла:
Если ваше приложение включает:
Серверы HMI, восстановите файлы FactoryTalk View отдельно. За справкой обращайтесь
к документации FactoryTalk View.
Серверы данных RSLinx Classic, запустите утилиту резервирования и восстановления
RSLinx Backup Restore для восстановления конфигурации сервера данных. Из Windows
меню Start (Пуск) выберите Rockwell Software > RSLinx > Backup Restore Utility.
Серверы RSLinx Enterprise, скопируйте ранее скопированный файл конфигурации
соединений обратно в исходный каталог C:\Documents and Settings\All Users\Application
Data\Rockwell\RSLinx Enterprise\RSLinxNG.xml. Затем перезапустите компьютер.
Журналы FactoryTalk Alarms and Events, используйте инструменты Microsoft SQL
Server для восстановления зарезервированных файлов базы данных. Для восстановления
соединения восстановленного определения базы данных с основной базой данных в окне
проводника откройте System (Система) > Connections (Соединения) > Databases (Базы
данных). Дважды щелкните по определению базы данных, чтобы открыть её параметры,
затем нажмите OK.
FactoryTalk Transaction Manager, восстановите ваш проект. Из меню Configuration
(Конфигурация) выберите Restore (Восстановить).
FactoryTalk Batch, скопируйте раннее скопированные файлы FactoryTalk Batch обратно
в исходное месторасположение. За справкой обращайтесь к документации FactoryTalk
View.
После восстановления всего каталога FactoryTalk Directory, проверьте
следующее:
Обновите связанные с Windows группы. После переноса системной папки System в
новый домен Windows, связанные с Windows группы пользователей, существовавшие в
исходном домене, могут отсутствовать в новом. Администратор может использовать
FactoryTalk Administration Console для изменения исходных связанных с Windows групп
на группы в новом домене. Тогда настройки безопасности связанных с Windows групп
автоматически обновятся для нового домена. См. «Перенес связанных с Windows
учетных записей пользователей в новый домен» в справке FactoryTalk Help.
Если в вашей системе использовались учетные записи локальной рабочей станции как
часть рабочей группы Windows, связанные с Windows учетные записи пользователей не
сохранят свои настройки безопасности после восстановления системной папки System.
Мы рекомендуем использовать с рабочими группами учетные записи FactoryTalk Security,
вместо связанных с Windows учетных записей. См. «Связанные с Windows учетные
записи не сохранили прав доступа после восстановления» в справке FactoryTalk Help.
Также см. «Использование связанный с Windows учетных записей с рабочими группами
Windows» в справке FactoryTalk Help.
Обновите учетные записи компьютеров в сетевом каталоге. Если политика
системы «Требовать учетной записи компьютера для всех клиентских машин» разрешена,
тогда только клиентские компьютеры, добавленные к списку компьютеров в сетевом
каталоге, будут иметь доступ к данному каталогу.
189
FactoryTalk Security Руководство по быстрому запуску
При восстановлении сетевого каталога к системной папке System в сетевом каталоге
автоматически добавляется компьютер, на котором расположен сервер сетевого каталога,
и клиентский компьютер, с которого выполнялось восстановление.
После восстановления каталога в новый домен, обновите учетные записи компьютеров,
чтобы разрешить компьютерам в сети доступ к сетевому каталогу. Для обновления
учетных записей компьютера запустите FactoryTalk Administration Console на
компьютере-сервере сетевого каталога и на клиентском компьютере, где выполнялось
восстановление, и войдите как администратор.
Переименуйте существующие учетные записи компьютеров. Переименуйте
существующие учетные записи компьютеров для старого домена для облегчения их
привязки к компьютерам в новом домене. Это сохранит все настройки безопасности,
примененные к данному компьютеру в старом домене. Для смены имени учетной
записи компьютера, щелкните правой кнопкой в окне проводника, выберите
Properties (Параметры) из открывшегося меню, а затем либо введите имя
компьютера или нажмите кнопку Browse (Обзор) для поиска компьютера.
Удалите старые учетные записи компьютеров. Если какой-либо учетной записи
компьютеров больше не будет в новом домене, и она не будет связана с компьютерами
нового домена, удалите их. Для удаления щелкните правой кнопкой по учетной
записи компьютера, затем нажмите Delete (Удалить) из контекстного меню.
Добавьте новые учетные записи компьютеров. Для разрешения дополнительным
компьютерам в сети доступа к восстановленному сетевому каталогу добавьте их. Для
добавления учетной записи компьютера щелкните правой кнопкой по папке
Computers (Компьютеры), затем нажмите New Computer (Новый компьютер) из
открывшегося меню.
Если вы удалите учетную запись, а затем воссоздадите, её настройки безопасности
потеряются. Для привязки компьютеров одного домена к другому, переименуйте учетные
записи компьютеров вместо их удаления или воссоздания.
190
Проверьте настройки безопасности для Networks and Devices (Сети и
устройства) и обновите по необходимости. Дерево Networks and Devices (Сети и
устройства) показывает информацию по сетям и устройствам, соединенным с локальным
компьютером. Содержание дерева Networks and Devices (Сети и устройства) не
включается в резервный файл, но любые настройки безопасности, заданные для сетей и
устройств, в него включаются. Если архив восстанавливается на компьютере,
соединенном с теми же сетями и устройствами, с использованием тех же драйверов или
логических имен, восстановленные из резервного файла настройки безопасности будут
действовать.
Если вы изменили имя компьютера с сервером предупреждений, новый хосткомпьютер должен быть перезапущен. Это необходимо для подтверждения запуска
серверов предупреждений.
Если база данных истории предупреждений не была восстановлена и так и
не была создана в системе, необходимо создать базу данных журнала
предупреждений следующим образом: В окне проводника FactoryTalk Administration
Console разверните System (Система) > Connections (Соединения)> Databases (Базы
данных). Дважды щелкните по определению базы данных, чтобы открыть её параметры.
По необходимости обновите имя компьютера-хоста сервера базы данных, затем нажмите
OK. Нажатием OK создается база данных журнала предупреждений.
ПРИЛОЖЕНИЕ A
Обновление FactoryTalk Services Platform
Данный раздел содержит описание действий по обновлению FactoryTalk® Security. Это
включает указания по установке последней версии FactoryTalk Services Platform, активации
программного обеспечения и настройке каталогов FactoryTalk Directory.
FactoryTalk Services Platform является составной частью установочного процесса любого
продукта FactoryTalk, хотя каждый продукт может устанавливать эту платформу по-разному.
Например, в FactoryTalk View установка FactoryTalk Services Platform является просто одним
из шагов установочного процесса:
Перед тем, как вы начнете
FactoryTalk Services Platform устанавливается вместе с программными продуктами, для
которых эта платформа нужна. Процессы установки и обновления отличаются, в зависимости
от того, какие продукты вы устанавливаете или обновляете. За пошаговыми инструкциями
обращайтесь к информации по установке каждого продукта.
При обновлении программного обеспечения платформы FactoryTalk
При обновлении до FactoryTalk Services Platform 2.10 (CPR 9) на компьютере, где была
установлена FactoryTalk Automation Platform 2.00 (CPR 7) процесс установки:
создает резервный файл для любого существующего каталога FactoryTalk Directory,
настроенного на этом компьютере. В случае если позже понадобится удаление
FactoryTalk Services Platform 2.10 и переустановка FactoryTalk Automation Platform 2.00,
восстановите созданный резервный файл, чтобы откатить каталог FactoryTalk Directory на
его предыдущее состояние. См. Восстановление на предыдущих системах после
обновления программы платформы FactoryTalk.
191
FactoryTalk Security Руководство по быстрому запуску
проверяет локальный и сетевой каталог на компьютере. Если каталог будет
обнаружен, установочный процесс обновит его для поддержки новых политик и
возможностей, но оставит исходные настройки безопасности и политики неизменными.
Если не один каталог не был создан, установочный процесс создаст его и настроит его,
автоматически добавив учетную запись локального компьютера и локальную группу
администраторов Windows Administrators к каталогу, а также установив по умолчанию
разрешение на полный доступ всем учетным записям пользователей к этому каталогу.
Данное действие позволяет любой учетной записи пользователя с привилегиями
администратора Windows иметь возможность немедленно войти в каталог, без
необходимости сначала создавать учетную запись администратора FactoryTalk
Administrator.
обновляет каждый каталог FactoryTalk Directory новыми политиками продукта,
системы и поддержкой новых возможностей.
оставляет все исходные настройки неизменными, включая настройки
безопасности, учетные записи пользователей и групп и настройки политики.
При обновлении компьютеров в распределенной системе
Сначала обновите клиентские компьютеры, а компьютер-сервер каталога FactoryTalk
Directory обновите последним. Это значит, что можно иметь смесь клиентов, работающих
на FactoryTalk Services Platform, версия 2.10 (CPR 9), и сервер сетевого каталога
FactoryTalk Network Directory Server, работающий на FactoryTalk Automation Platform,
версия 2.00 (CPR 7) Однако нельзя соединить клиенты на CPR 7 с сервером сетевого
каталога на CPR 9.
Если на компьютере-сервере сетевого каталога FactoryTalk Network Directory Server
запущена FactoryTalk Automation Platform 2.00 (CPR 7), клиент-компьютеры могут
работать как на FactoryTalk Automation Platform 2.00 (CPR 7), так и на FactoryTalk Services
Platform 2.10 (CPR 9), но новые возможности не будут доступны, пока не будет обновлен
компьютер-сервер сетевого каталога.
Для использования новых возможностей FactoryTalk Services Platform 2.10 (CPR 9)
компьютер-сервер сетевого каталога должен быть обновлен. Новые возможности не
поддерживаются на компьютере-сервере сетевого каталога с запущенной FactoryTalk
Automation Platform 2.00 (CPR 7)
Если компьютер-сервер сетевого каталога обновляется до FactoryTalk Services Platform
2.10 (CPR 9), то все клиент-компьютеры в сети должны быть тоже обновлены до
FactoryTalk Services Platform 2.10 (CPR 9). Работа FactoryTalk Automation Platform 2.00
(CPR 7) на клиент-компьютерах, соединенных с сервером сетевого каталога с FactoryTalk
Services Platform 2.10 (CPR 9) не поддерживается.
Обновление клиент-компьютеров первыми
1. Перед обновлением FactoryTalk Services Platform, закройте все программные продукты
Rockwell, запущенные на данном компьютере.
2. Некоторые продукты Rockwell работают как службы, в фоновом режиме. Перед
обновлением FactoryTalk Services Platform, удалите такие продукты. За подробностями
обращайтесь к документации для вашего продукта.
192
A • Обновление FactoryTalk Services Platform
Установочная программа для каждого продукта определяет, какие программы должны
быть удалены; большинство выполнит удаление автоматически и затем продолжит
установку новой версии.
3. Убедитесь, что вошли в систему с правами администратора Windows.
Как часть установочного процесса, FactoryTalk Services Platform создает папки программ
и редактирует записи реестра, а также устанавливает службы FactoryTalk на данный
компьютер. Для внесения таких изменений текущий пользователь должен иметь права
администратора в Windows на компьютере, на котором выполняется установка
FactoryTalk Services Platform.
Обновление компьютера-сервера последним
1. Войдите в Windows с правами администратора.
2. Перед обновлением FactoryTalk Services Platform, закройте все программные продукты
Rockwell, запущенные на данном компьютере.
3. Перед обновлением компьютера-сервера сетевого каталога FactoryTalk Network Directory
Server, отсоедините данный компьютер от сети. Это не даст клиент-компьютерам доступа
к серверу сетевого каталога во время обновления.
4. Некоторые продукты Rockwell работают как службы, в фоновом режиме. Перед
обновлением FactoryTalk Services Platform, удалите такие продукты. За подробностями
обращайтесь к документации для вашего продукта.
5. По окончании обновления, переподключите компьютер-сервер сетевого каталога к сети.
Определение установленной версии платформы FactoryTalk
1. В Windows меню Start (Пуск) щелкните Control Panel (Панель управления).
2. Дважды щелкните Add or Remove Programs (Установка и удаление программ).
3. В списке установленных программ отобразится либо FactoryTalk Automation Platform,
либо FactoryTalk Services Platform с указанием версии.
Что требуется
CD диск связанного с FactoryTalk продукта (CPR 9)
Доступ в Интернет (для активации)
Для описания в данном руководстве для установки описанных ниже приложений
используется установочный диск FactoryTalk View SE. С данного диска мы установим
FactoryTalk Services Platform, FactoryTalk Activation и FactoryTalk View SE.
193
FactoryTalk Security Руководство по быстрому запуску
Установка FactoryTalk Services Platform
При установке FactoryTalk Services Platform 2.10 (CPR 9) установочный процесс создает
резервный файл всех существующих каталогов FactoryTalk Directory, уже настроенных на
данном компьютере. В случае если позже понадобится удаление FactoryTalk Services Platform
2.10 и переустановка FactoryTalk Automation Platform 2.00, восстановите созданный
резервный файл для отката каталога FactoryTalk Directory.
Начиная с CPR 9, FactoryTalk Automation Platform была переименована в FactoryTalk Services
Platform.
Кроме FactoryTalk Services платформа FactoryTalk Services Platform устанавливает
следующие связанные с безопасностью компоненты:
FactoryTalk Security
заменяет
RSAssetSecurity
в CPR 9.
Import RSSecurity Configuration (Импортирование конфигурации
RSSecurity) – для перевода всей системы RSSecurity Server на FactoryTalk Security. За
дополнительной информацией обращайтесь к разделу «Импортируйте базы данных
RSSecurity Server при необходимости» на странице 195.
RSSecurity Emulator Install (Установка RSSecurity Emulator) – для соединения
существующих клиентов RSSecurity Server с каталогом FactoryTalk Directory или для
использования RSLinx Enterprise и RSLogix 5000 с FactoryTalk Security. См.
«Установка RSSecurity Emulator» на странице 88.
1. Установка FactoryTalk Services Platform v. 2.10 (CPR 9)
Для описания в данном руководстве для установки описанных ниже приложений
используется установочный диск FactoryTalk View SE
Вставьте диск продукта FactoryTalk, например FactoryTalk View SE, и подождите,
пока не откроется программа установки.
Если программа установки не запускается автоматически, запустите D:\setup.exe, где
D - дисковод с диском.
В окне продукта, выберите Install FactoryTalk Services Platform (Установить
FactoryTalk Services Platform).
Если установочная программа обнаружит более раннюю версию FactoryTalk Automation
Platform, она предложит сначала удалить её. Установочная программа выполнит удаление
при нажатии на кнопку Yes.
194
Следуйте подсказкам для завершения установки FactoryTalk Services Platform.
A • Обновление FactoryTalk Services Platform
При выводе запроса установите флажок Install the FactoryTalk Administration
Console (Установить FactoryTalk Administration Console) только если
Administration Console уже установлена на данном компьютере.
Установочная программа выполнит резервирование существующих каталогов
FactoryTalk Directory и сообщит о расположении резервных файлов.
В целях безопасности устанавливайте Administration Console только там, где она необходима.
Следуйте указаниям на экране для завершения установки.
2. Чтобы войти в FactoryTalk, сделайте что-либо из следующего:
Из меню Windows меню Пуск выберите Start (Пуск) > All Programs (Все
программы) > Rockwell Software > FactoryTalk Tools > Log on to FactoryTalk
Войдите в продукт FactoryTalk и использовать ту же учетную запись для
автоматического входа в FactoryTalk Directory.
3. Импортируйте базу данных RSSecurity Server при необходимости:
Из Windows меню Start (Пуск) выберите All Programs (Все программы) > Rockwell
Software > FactoryTalk Tools а затем выберите Import RSSecurity Configuration
(Импортировать конфигурацию RSSecurity).
195
FactoryTalk Security Руководство по быстрому запуску
196
Выберите Import File (Импортировать файл).
Выберите подходящий файл для импортирования и месторасположения каталога
FactoryTalk Directory.
Подтвердите импортирование нажатием кнопки Yes в сообщении-предупреждении.
A • Обновление FactoryTalk Services Platform
Введите имя и пароль (должны иметь права администратора), затем щелкните OK
Определитесь, каким образом группы действий и ресурсов нужно импортировать в
FactoryTalk.
Решите проблемы импортирования, выбрав проблему, определив решение и нажав
Continue (Продолжить).
197
FactoryTalk Security Руководство по быстрому запуску
Свяжите группы ресурсов из Security Server с деревом приложений FactoryTalk.
На следующем рисунке показаны группы ресурсов RG1 и RG2, связанные с
текущими приложениями FactoryTalk.
198
Нажмите OK для завершения процесса импортирования, затем нажмите OK в окне
«Import successful» (Импортирование проведено успешно).
A • Обновление FactoryTalk Services Platform
4. Просмотрите состояние импортирования, открыв файл Sentinel(Import Status).txt.
Отобразится следующее изображение:
В окне проводника каталога FactoryTalk Directory отображается импортированная
информация. Также можно просматривать импортированные ресурсы.
Щелкните правой кнопкой по приложению в окне проводника, выберите Resource
Editor (Редактор ресурсов) из открывшегося меню. Откроется редактор ресурсов
Resources Editor. Щелкайте в различных предложениях и зонах для отображения
связанных ресурсов.
199
FactoryTalk Security Руководство по быстрому запуску
200
ПРИЛОЖЕНИЕ B
Что такое FactoryTalk Directory?
FactoryTalk Directory содержит ссылки на теги, серверы данных, настройки безопасности и
другую информацию по проектам из многочисленных источников данных и обеспечивает
доступ к этой информации с помощью службы поиска для всех программных продуктов,
участвующих в системе FactoryTalk.
Например, теги хранятся в исходном месте, таком как логические контроллеры, а
графические дисплеи всегда хранятся на серверах HMI, на которых расположены. Однако вся
информация без необходимости дубликатов доступна любому продукту FactoryTalk,
включенному в каталог FactoryTalk Directory.
Каталог может быть либо локальным, либо сетевым. (См. «Понимание локальных и сетевых
каталогов» для получения дополнительной информации.)
Создание собственной системы FactoryTalk
Можно создать такую систему FactoryTalk, которая подходит под требования вашего
предприятия. Например, простая система FactoryTalk может состоять из продуктов:
FactoryTalk Services Platform, FactoryTalk View, RSLinx Classic, и RSLogix 5000, которые
установлены на одном компьютере и связываются с помощью одного программируемого
логического контроллера (PLC), а также включены в одно локальное приложение, которое
содержится в локальном каталоге.
201
FactoryTalk Security Руководство по быстрому запуску
Или система FactoryTalk может быть более сложной: с программными продуктами и
аппаратными устройствами, которые участвуют в нескольких сетевых приложениях,
распределенных по сети, и имеют общий сетевой каталог и общие службы FactoryTalk.
Понимание локальных и сетевых каталогов
На одном компьютере может располагаться как локальный (Local Directory), так и сетевой
каталог (Local Directory). Данные два каталога являются отдельными и не имеют общей
информации. Если используется два каталога, то один компьютер будет участвовать в двух
отдельных системах FactoryTalk.
Как локальный, так и сетевой каталог поддерживает централизованные службы
безопасности, управляемые FactoryTalk Security. Тип необходимого каталога зависит от того,
какие программные продукты планируется использовать, и какая среда (автономная или
сетевая) будет использоваться.
202
B • Что такое FactoryTalk Directory?
Используете вы локальный каталог или сетевой, система FactoryTalk не обязательно будет
содержаться в одном приложении. Некоторые службы и настройки FactoryTalk применяются
ко всем приложениям в каталоге, а другие являются индивидуальными для определенного
приложения.
В приведенном выше примере сетевого каталога имеются два сетевых приложения: одно с
названием «Сточные воды», а другое «Водоснабжение». Все области, серверы данных,
серверы HMI, серверы устройств, серверы предупреждений и событий в рамках одного
приложения являются специальными для данного приложения. Связанная с каким-либо
приложением информация не распространяется на другие приложения в данном каталоге.
Однако вся информация и настройки системной папки System, например, настройки
безопасности, политика системы, политика продукта, учетные записи пользователей и т.д.
применяются ко всем приложениям в каталоге.
Например, если была создана новая зона в приложении «Сточные воды» и добавлен новый
сервер Tag Alarm and Event, изменение не коснется приложения «Водоснабжение». Однако
если изменяется политика безопасности, изменение применяется к приложениям «Сточные
воды» и «Водоснабжение». Данная установка также применяется для любых других новых
приложений, созданных в будущем в этом сетевом каталоге.
Выбор каталога для FactoryTalk Security
Службы FactoryTalk Security интегрированы как в локальный каталог FactoryTalk Local
Directory, так и в сетевой каталог FactoryTalk Net¬work Directory. В приведённой таблице
указывается, для каких продуктов требуется локальный каталог, для каких – сетевой, и какие
продукты могут использовать любой из этих каталогов.
Название продукта
Локальный
Сетевой
FactoryTalk Administration Console
„
„
FactoryTalk AssetCentre
„
„
FactoryTalk Batch
„
„
FactoryTalk Gateway
„
„
FactoryTalk Historian | Historian Classic
„
FactoryTalk Historian for Batch
„
FactoryTalk Metrics
„
FactoryTalk Scheduler
„
FactoryTalk Transaction Manager
„
FactoryTalk View ME
„
FactoryTalk View SE
„
FactoryTalk View SE Local
„
RSAutomation Desktop
„
„
RSBizWare BatchCampaign
„
„
RSBizWare eProcedure
„
„
RSLinx Classic
„
„
RSLinx Enterprise
„
„
RSLogix 5/500
„
„
RSLogix 5000
„
„
RSMACC
„
203
FactoryTalk Security Руководство по быстрому запуску
Название продукта
204
Локальный
Сетевой
„
„
„
„
ПРИЛОЖЕНИЕ C
Использование мастера конфигурации каталога
FactoryTalk Directory Configuration Wizard
Мастер FactoryTalk® Directory Configuration Wizard позволяет настраивать каталог
FactoryTalk Directory вручную после установки FactoryTalk Services Platform. FactoryTalk
Directory дает продуктам совместный доступ к адресной книге, что позволяет находить и
предоставлять доступ к ресурсам производства, таким как теги данных и графические
дисплеи.
Обычно настройка каталога FactoryTalk Directory выполняется автоматически во время
установки, и нет необходимости запускать мастер конфигурации каталога.
Когда использовать мастер конфигурации каталога
FactoryTalk Directory?
Мастер конфигурации каталога FactoryTalk Directory Configuration Wizard предназначен для
использования администраторами FactoryTalk.
Запустите мастер конфигурации каталога, если:
при установке FactoryTalk Services Platform произошла ошибка, или появилось
сообщение о необходимости ручного запуска мастера.
произведено обновление существующего каталога FactoryTalk Directory с FactoryTalk
Automation Platform версии 2.0, но во время обновления действенная учетная запись
администратора FactoryTalk не была обнаружена для данного каталога.
FactoryTalk Services Platform была установлена с удаленного клиента (такого как Remote
Desktop (Удаленный рабочий стол) или Terminal Services (Службы терминалов)).
FactoryTalk Directory нельзя настроить с удаленного клиента. Необходимо обязательно
запустить мастер конфигурации FactoryTalk Directory Configuration Wizard на Windows®
консоли компьютера.
невозможно получить доступ к учетной записи администратора FactoryTalk в сетевом или
локальном каталоге. Запуск мастера сбрасывает заблокированную учетную запись
администратора или позволяет сменить пароль с истекшим сроком действия для учетной
записи администратора. Вместо этого можно воспользоваться другим пользователемчленом группы администраторов FactoryTalk для сброса заблокированных учетной
записи или пароля.
Если учетная запись администратора была отменена, воспользуйтесь другим пользователем
для активации вашей учетной записи в FactoryTalk Administration Console. В каталоге
отменить учетную запись администратора FactoryTalk нельзя. Если нет других доступных
пользователей или вы не знаете пароль к другой учетной записи администратора (например, в
связи с тем, что этот пользователь покинул организацию), свяжитесь с технической
поддержкой Rockwell Automation.
205
FactoryTalk Security Руководство по быстрому запуску
Использование мастера конфигурации каталога
FactoryTalk Directory Configuration Wizard
С компьютера, где установлена FactoryTalk Services Platform, войдите в Windows с
использованием учетной записи пользователя-члена локальной группы администраторов
Windows. Необходим вход администратора Windows для запуска мастера конфигурации
каталога.
1. Из меню Windows меню Пуск выберите Start (Пуск) > All Programs (Все программы) >
Rockwell Software > FactoryTalk Tools > FactoryTalk Tools > FactoryTalk Directory
Configuration Wizard.
2. Следуйте указаниям по настройке сетевого и/или локального каталога.
Для получения справки по опциям в любом диалоговом окне нажмите кнопку Help
(Справка).
206
ПРИЛОЖЕНИЕ D
Защита источника процедур RSLogix 5000
Функция RSLogix 5000 Source Protection позволяет защитить процедуры, используя ключ
источника. Используя данную функцию, можно открыть файлы проектов RSLogix 5000.
После открытия требуемого проекта, все процедуры в данном проекте отображаются,
организованные программой. Если процедура уже защищена, её ключ источника
отображается справа от названия процедуры.
Для того чтобы защитить процедуру, просто выберите требуемую процедуру и нажмите
кнопку Protect (Защитить) в диалоговом окне Source Protection Configuration
(Конфигурация защиты источника).
Если расположение ключа источника не указано, выведется запрос на подтверждение
необходимости задать расположение. Также можно:
нажать кнопку Specify (Указать) для настройки расположения ключа источника
Нажатие на данную кнопку запускает диалоговое окно Apply Source Key (Применение
ключа источника), откуда можно ввести или выбрать путь к файлу ключа источника
sk.dat. Если будет введено место, где данный файл отсутствует, будет выведен запрос на
подтверждение создания нового файла.
нажать кнопку View (Показать) для отображения ключа источника
Нажать кнопку Clear (Очистить) для удаления ссылки на месторасположение файла.
Если требуется удалить защиту источника из процедуры, просто нажмите кнопку Unprotect
(Отменить защиту).
Установка
RSLogix 5000 Source Protection предоставляется на установочном диске RSLogix 5000 в
папке /Tools.
207
FactoryTalk Security Руководство по быстрому запуску
Дважды щелкните RS5KSrcPtc.exe для установки RSLogix 5000 Source Protection.
Нажмите Yes.
Настройка защиты источника (Source Protection) в файле
проекта
После установки инструмента Source Protection Tool, Configure Source Protection
(Настройка защиту источника) будет доступно в меню Tools (Инструменты) > Security
(Безопасность).
Защита источника может быть настроена только в файле неактивного проекта.
1. Запустите защиту источника:
208
После открытия файла неактивного проекта, выберите Source Protection (Защита
источника) в меню Tools (Инструменты) > Security (Безопасность).
Для Source Protection требуется указать расположение файла с ключом источника.
Нажмите Yes, чтобы указать месторасположение файла ключа источника.
Нажмите кнопку обзора, чтобы указать месторасположение файла ключа источника.
D • Защита источника процедур RSLogix 5000
Найдите папку, где будет храниться файл ключа. Файл ключа можно сохранить в
любой доступной папке. В нашем примере папка C:\RSLogix5000\Project
используется как место хранения файла ключа.
Нажмите OK для продолжения.
Если файл ключа не будет обнаружен в указанном месте, будет предложено создать
новый файл ключа. Нажмите Yes, чтобы продолжить и создать новый файл ключа.
209
FactoryTalk Security Руководство по быстрому запуску
2. Просмотрите опции конфигурации защиты источника.
При открытии диалогового окна Source Protection Configuration (Конфигурация
защиты источника) отображаются все программные процедуры и добавочные
инструкции в файле проекта.
3. Выберите процедуру, которая требует защиты:
210
Выделите процедуру для защиты и нажмите кнопку Protect (Защитить).
D • Защита источника процедур RSLogix 5000
Введите ключ источника для применения процедуры. В нашем примере dayofweek
(деньнедели) установлен как ключ для процедуры DayOfWeek. Обычно ключ не
совпадает с названием процедуры. Нажмите OK для продолжения.
При попытке назначить ключ источника процедуре при еще неопределенном месте хранения
ключа источника система предложит создать новый файл.
Теперь процедура DayOfWeek защищена файлом ключа dayofweek.
Если прежде указывалось место хранения и требуется его изменить, то нажмите кнопку
Specify (Указать) в диалоговом окне Source Protection Configuration (Конфигурация защиты
источника), чтобы сменить его.
Выберите следующую требующую защиты процедуру и нажмите Protect
(Защитить). Данный пример использует процедуру Test_DOW.
211
FactoryTalk Security Руководство по быстрому запуску
Введите ключ источника для применения процедуры. В нашем примере test_dow
установлен как ключ для процедуры Test_Dow.
Заметьте, что можно установить флажок Allow viewing of routine (Разрешить
отображение процедуры) в данном диалоговом окне, чтобы разрешить отображение
процедуры, но не редактирование в системе, в которой нет надлежащих ключей
источника. Если оставить этот флажок пустым, источник невозможно будет
отобразить.
Защищенные процедуры не разрешающие отображение, не могут быть отображены
системами без необходимых файлов ключа.
Для обеспечения возможности отображения Test_DOW, установите флажок Allow
viewing of component(s) (Разрешить отображение компонентов), затем нажмите
OK для назначения процедуре ключа.
Процедура Test_DOW защищена, но может быть отображена в режиме «только
чтения» источниками, у которых нет файла ключа.
212
Оставшаяся процедура Valve_Logic и добавочная инструкция MyValveAOI также
можно защитить, выполнив те же действия.
Когда для всех процедур и добавочных инструкций будет назначены ключи, нажмите
Close (Закрыть).
D • Защита источника процедур RSLogix 5000
4. Сохраните файл проекта и загрузите его в контроллер.
Отображение и редактирование защищенных процедур
Когда файл проекта открывается или редактируется в системе без ключей, использованных
для защиты этого файла проекта, процедуры и добавочные инструкции будут защищены на
основе конфигурации защиты источника. Test_DOW защищена и настроена на отображение.
Процедура может быть открыта в режиме «только чтение» в системе, где нет необходимого
для процедуры ключа; пользователь не сможет вносить изменения в процедуру.
213
FactoryTalk Security Руководство по быстрому запуску
Процедуры или добавочные инструкции, которые были защищены, но не настроены на
отображение, открыть невозможно. Процедуру DayOfWeek невозможно открыть в системе, в
которой нет использованного для защиты процедуры ключа. Обратите внимание, что
пиктограмма процедуры становится серой, и это значит, что процедуру невозможно открыть.
MyValveAOI невозможно открыть в системе, в которой нет использованного для защиты
добавочной инструкции ключа. Связано это с тем, что MyValveAOI была защищена, но не
настроена на отображение. Данная добавочная инструкция показана в окне проводника
проекта, но параметры и локальные теги для этой добавочной инструкции просмотреть
нельзя, потому что система не содержит необходимого ключа, который использовался для
защиты.
214
D • Защита источника процедур RSLogix 5000
В нижеприведенном примере показана добавочная инструкция MyValveAOI,
просматриваемая с системы, имеющей использованный для защиты ключ.
Файл с ключом и распространение ключа
Ключи защиты источника хранятся незашифрованными в текстовом файле. Рекомендуется
выполнить резервацию файла ключа и сохранить в безопасном месте. Если необходимо,
отдельные ключи можно распределить или предоставить для соответствующих
пользователей.
Ключи, созданные при защите процедур и добавочных инструкций с помощью Source
Protection (Защита источника), хранятся в файле sk.dat в незашифрованном виде.
215
FactoryTalk Security Руководство по быстрому запуску
216
Алфавитный указатель
Числа
для RSLogix 5000 100
восстановление
3.20 - вкладка учетной записи пользователя 155
каталога FactoryTalk Directory 187
передовой опыт 155
приложения на компьютер действующей
системы 153
А
автономная система
вход в систему
пример 6
FactoryTalk 21, 28
активация
программного обеспечения FactoryTalk 9
RSLinx Enterprise 16
выполнение 34
Г
графический дисплей
активация EvRSI activation 16
настройка безопасности 149
аппаратные требования xii
группа пользователей
аутентифицированные пользователи 137
создание 50
Б
группирование ресурсов 79, 80
безопасность
дерево Networks and Devices 80
настройки 29
группы 25
общие действия 143
группы действий 24, 30, 64
усиление 35
назначение прав доступа 66
Batch View 168
переименование 67
безопасность в системе автоматизации 1
работа с 67
обзор 1
редактирование 67
понимание 1
системная папка System 24
безопасность действующей системы 151
создание 64
безопасность Batch 161
создание новых 67
В
удаление 67
группы ресурсов
вкладка Application 23
планирование 82
вкладка Communications 24
вкладки Application и Communications 23
включение
подтверждения настроек в FactoryTalk Batch
View 172
включение функций безопасности
для файла проекта RSLogix 5000 102
Д
действия
защита 30
категории прав доступа 61
тег 35
xv
FactoryTalk Security Руководство по быстрому запуску
частей системы 48
FactoryTalk Batch 31
защита источника процедуры
FactoryTalk Transaction Manager 31
RSLinx Enterprise 30
в файле проекта 208
RSLogix 5 31
распределение ключа 215
RSLogix 500 31
установка 207
RSLogix 5000 31
файл ключа 215
действия тегов 35
RSLogix 5000 207
группы действий пользователя 35
защита системы разработки 151
значение записи 35
защищенные логические процедуры
отображение 213
действия, защищаемые по умолчанию 30
редактирование 213
действующая сиситема
значение записи 35
настройка компьютеров 181
зона 23
действующие права доступа 63
добавление
И
контроллера в FactoryTalk Security 106
идентификатор GUID 52, 157
логического имени 84
удаление 52
учетных записей компьютеров 53
использование
учетных записей пользователя 145
группирования ресурсов 80
учетных записей пользователя в FactoryTalk View
ME 145
мастера конфигурации каталога 205
учетных записей пользователя в FactoryTalk View
SE 124
редактора ресурсов 82
К
дополнительные возможности
каталог
группирование ресурсов 79
выбор для FactoryTalk Security 203
дополнительные ресурсы xiii
категории прав доступа 61
Е
для действий 61
клиент-компьютер
если имя контроллера не отображается 108
обновление 192
З
указание сервера каталога FactoryTalk Directory 27
загрузка
компьютеры и группы
файла проекта в RSLogix 5000 105
системная папка 25
запись 32
контроллеры PLC, и OPC сторонних производителей
защита 113
конфигурирование
действий пользователя 30
контроллеров PLC, и OPC сторонних
производителей 113
ресурсов контроллера 108
xvi
защиты источника в файле проекта 208
Л
локальные приложения 5
Алфавитный указатель
обновление
локальный и сетевой каталог 202
локальный каталог
клиент-компьютеров 192
понимание 202
платформы FactoryTalk Services Platform 191
сервер-компьютера 193
Н
общие действия 32
назначение политики системы 71
выполнение 34
назначение прав доступа 57, 61, 91
для RSLinx Classic 91
запись 32
передовой опыт 59
настройка безопасности 33
с группами действий 66
перечисление дочерних записей 34
создание дочерних записей 33
наследование 59, 81
логических имен 81
удаление 34
относительных сетевых путей 81
чтение 32
окно проводника 22
понимание 59
сетей и устройств 81
настройка
П
передовые опыты
безопасности 33
запрещающие права доступа 62, 110
безопасности в RSLinx Classic 91
использование вкладки 3.20 учетной записи
пользователя 155
защиты команд FactoryTalk Batch 171
защиты окон FactoryTalk Batch View 168
защиты редактора оборудования 173
защиты редактора рецептов 173
защиты режима доступа 174
защиты функций 74
нескольких продуктов 74
нескольких функций продукта 74
одной функции продукта 75
политики продукта FactoryTalk Batch 168
RSLinx Classic 90, 91
несколько приложений
О
назначение прав доступа 59
резервирование локального каталога 139
создание групповых учетных записей 47
создание пользователей и групп FactoryTalk 47
требуемые права 122
переименование
групп действий 67
переход учетных записей ME Runtime 3.20 156
перечисление дочерних записей 34
планирование группирования ресурсов 82
планирование учетных записей 47
политика
аудита 69
обеспечение доступа
к защищенным ресурсам контроллера 108
обзор
системы FactoryTalk 5
безопасности 69
назначения прав пользователя 69
продукта 24, 69
системной папки System 24
этой публикации xi
xvii
FactoryTalk Security Руководство по быстрому запуску
системы 24, 69
спланируйте систему 5
права доступа системы безопасности
политика аудита 69
политика безопасности
наследование 81
назначение прав пользователя 186
приложение 5, 22
требование наличия учетной записи компьютера
для всех компьютеров 26
локальное 5
сетевое 5
политика в масштабах системы 69, 71
программные требования xii
аудит 69
просмотр
безопасность 69
защищенных процедур 213
назначение прав пользователей 69
политика назначения прав пользователей 69
политика продукта 24, 69, 73, 123
и наследование 73
настройка 123
политика продукта и действия
в чем различия 73
политика системы 25, 69, 123
назначение 71
установка 123
политики безопасности 69
пользователи и группы 26
системная папка System 26
порядок старшинства 60
после восстановления
из резервного файла 189
каталога FactoryTalk Directory 189
права доступа
действующие 63
запрет 58
категории 61
прав доступа 63
Р
работа с
вкладкой 3.20 учетной записи пользователя 155
группами действий 67
разворачивание системы FactoryTalk 179
на компьютерах действующей системы 181
настройка компьютеров системы разработки 179
условия 179
различия
защищаемые действия и безопасность функций
политики продукта 30
разрешающие и запрещающие права доступа 58
распределение ключа
защита источника 215
распределенная система
обновление компьютеров 192
пример 7
редактирование
группы действий 67
редактор оборудования (Equipment Editor)
назначение 57, 61
безопасность 173
наследуемые 59
опции настройки 175
отображение 63
режимы доступа 174
порядок старшинства 60
прямые 59
разрешение 58
xviii
редактор ресурсов
использование 82
редактор рецептов
Алфавитный указатель
опции настройки 175
системная папка 23
режимы доступа 174
несколько 144
резервирование
создание
каталог FactoryTalk Directory 186
вашей системы FactoryTalk 201
локальный каталог 152
групп действий 64
передовой опыт 139
групп действий для сценария-примера 65
приложение в режиме выполнения 152
групп пользователей 50
приложение для разработки 151
дочерних учетных записей 33
рекомендации по использованию RSLinx Classic с
FactoryTalk Security 96
исключений для отдельных сетей и устройств 82
новых групп действий 67
ресурсы
пользователей и групп Batch 163
планирование группирования 82
пользователей и групп FactoryTalk Batch 163
ресурсы контроллера
учетных записей компьютера 53
защита 108
учетных записей пользователей 45, 48
С
учетных записей FactoryTalk Security 117, 139
с чего начать 19
связанные с Windows учетные записи
пользователей 46
Т
требуемые
сервер 22
аппаратные средства xii
сервер-компьютер
права доступа 186, 187
обновление 193
программы xii
сетевой каталог
понимание 202
указание расположения 27
сетевые приложения 5
сети 26
сети и устройства 26
группирование ресурсов 80
системная папка System 26
система одного входа
вход в роли администратора 43
вход и выход 40
когда отключать 43
настройка 41
система разработки
настройка компьютеров 179
учетные записи компьютеров 26
У
удаление 34
групп действий 67
уникального идентификатора 52
учетных записей пользователей 52
указать
расположение сетевого каталога 27
уникальный идентификатор 52
удаление 52
управление несколькими приложениями 151
уровень приложений 2
усиление безопасности 35
в новой системе 36
xix
FactoryTalk Security Руководство по быстрому запуску
в обновленой системе 40
условия 179
cоздание 117
Ф
установка
файл ключа
клиента активации FactoryTalk Activation Client 13
компонентов FactoryTalk Batch 17
компонентов FactoryTalk View 15
защита источника 215
Ц
цепочка наследования
платформы FactoryTalk Services Platform 12, 194
разрыв 59
политик системы и продукта 122
программного обеспечения FactoryTalk 9
Ч
чтение 32
программного обеспечения RSLogix 16
программы связи RSLinx 15
связанного с FactoryTalk программного
обеспечения 12
сервера активации FactoryTalk Activation Server 13
сервера Microsoft Internet Information Server 12
FactoryTalk
вход в систему 21
FactoryTalk система
обзор 5
Microsoft SQL Server 2005 17
примеры 6
Microsoft SQL Server 2005 Express 16
развертывание 179
RSLogix 5000 Source Protection 207
создание 201
RSSecurity Emulator 14, 88
установка защиты на дисплей 149
устройства 26
учетная запись администратора Windows 28
учетная запись компьютера 25
создание 53
учетные записи
планирование 47
пользователь 45
учетные записи пользователя
добавление в FactoryTalk View ME 145
добавление в FactoryTalk View SE 124
связанные с Windows 46
создание 45
удаление 52
FactoryTalk 46
учетные записи системы безопасности
создание в View ME 139
xx
F
FactoryTalk учетные записи 46
и связанные с Windows учетные записи 46
FactoryTalk Activation 16
FactoryTalk Administration Console 21
FactoryTalk Batch
вместе с FactoryTalk Security 161
действия 31
и FactoryTalk Security 161
создание пользователей и групп 163
FactoryTalk Batch Server
создание учетной записи пользователя 17
FactoryTalk Batch View
настройка безопасности 168
настройка защиты окна View 168
FactoryTalk Directory Configuration Wizard 30, 205
запуск 206
когда запускать 205
Алфавитный указатель
RSLinx Classic
FactoryTalk Directory Server Location Utility 27
настройка на FactoryTalk Security 90, 91
FactoryTalk Directory-каталог 5
понимание 201
рекомендации 96
после восстановления 189
сети и устройства 26
резервирование 186
что можно защитить 96
резервирование локального 152
RSLinx Enterprise
действия 30
FactoryTalk Security 151
вместе с FactoryTalk View ME 137
RSLogix 5
действия 31
вместе с FactoryTalk View SE 115
RSLogix 500
выбор каталога 203
действия 31
защита уровня приложений 2
RSLogix 5000
несколько системных папок 144
включение функций безопасности 100
обзор 1
вместе с FactoryTalk Security 99
открытие 20
действия 31
FactoryTalk Services Platform 5
защита источника процедуры 207
обновление 191
защита ресурсов контроллера 108
установка 194
файл проекта
FactoryTalk Transaction Manager
включение функций безопасности 102
действия 31
RSSecurity конфигурация
FactoryTalk View ME
импортирование 194
и FactoryTalk Security 137
RSSecurity Emulator
настройка безопасности 139
установка 88, 194
FactoryTalk View ME Station
RSWho
Windows CE 137
настройки безопасности 26
FactoryTalk View SE
и FactoryTalk Security 115
настройка безопасности 117
S
SetSecKeys ключи безопасности 100
W
R
Windows CE
RSLinx
и FactoryTalk Security 87
FactoryTalk View ME Station 137
Windows Firewall Configuration Utility 13
Rockwell_FactoryTalk_Security_Quick_Start_ru_0111.pdf
Санкт-Петербург
Москва
Екатеринбург
тел. +7 812 327 3752
klinkmann@klinkmann.spb.ru
тел. +7 495 641 1616
moscow@klinkmann.spb.ru
тел. +7 343 376 53 93
yekaterinburg@klinkmann.spb.ru
Самара
Київ
Минск
тел. +7 846 273 95 85
samara@klinkmann.spb.ru
тел. +38 044 495 33 40
klinkmann@klinkmann.kiev.ua
тел. +375 17 2000 876
minsk@klinkmann.com
Helsinki
Rīga
Vilnius
Tallinn
puh. +358 9 540 4940
automation@klinkmann.fi
tel. +371 6738 1617
klinkmann@klinkmann.lv
tel. +370 5 215 1646
post@klinkmann.lt
tel. +372 668 4500
klinkmann.est@klinkmann.ee
www.klinkmann.ru