WinCC Benutzerverwaltung mit Blacklist

S

Stogi

Level-2
Beiträge
94
Reaktionspunkte
3
Zuviel Werbung?
-> Hier kostenlos registrieren
Hallo,

ich arbeite gerade verschiedene Optionen für die Umstellung unsrer Benutzerverwaltung aus.
Für eine Option sollen die RFID Mitarbeiterkarten verwendet werden. Diesen würden fixe Strings für Benutzerstufen eingespeichert würden. Z.B. "Admin", "Instandhalter", "Qualität", "Inbetriebnahme", "Produktion" usw.. Übertragen würde ich es mit einem RF1070R ans Panel.
An den Panels hätte ich in der Benutzerverwaltung dann eben je eine Person "Admin" mit Benutzerstufe Administrator usw. angelegt.
Soweit sehe ich eigentlich kein Problem. Jetzt war allerdings die Frage, was passiert wenn jemand seine Karte verliert. Theoretisch müsste dann an jeder Karte und an allen Panelen die betroffene Benutzerstufe geändert werden. Meine Idee war jetzt eine verlorene Karte anhand ihrer Karten-ID an den Panelen zu Blacklisten. Wenn sich das schön umsetzen lässt würde sich die Arbeit bei einer verlorenen Karte auf das Eintippen einer Zahl bei ein paar Panelen beschränken. Bei den Panelen handelt es sich um TP1200 bzw. TP1500 Comfort und IPC427E. Steuerungen sind alles 1517F-3 PN/DP.
Ist so etwas möglich/sinnvoll umsetzbar? Hat sowas vielleicht schon mal wer implementiert?

Zusatzfrage: Wenn eine Anlage mehrere Panele hat, ist es möglich sich durch die Anmeldung an einem Panel automatisch an allen anzumelden? Bzw. wie wird sowas implementiert?

LG Stogi
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Ich verstehe die Aufgabenstellung nicht so ganz.

Wenn eine Karte verloren geht, wird sie durch eine andere mit einer anderen ID ersetzt.
Die verlorene Karte mit ihrer ID darf dann dem System nicht mehr bekannt sein.
Eine separate Blacklist macht nur Sinn, wenn man den derzeitigen KartenInhaber bei der Benutzung "dingfest" machen will/kann.

Wenn eine Karte an einem Panel Bedienmöglichkeiten eröffnet, warum soll sie dies automatisch auch an (allen) anderen tun.
Man weiss ja nicht, wer sich an den anderen Panels tummelt und ob derjenige bzw. diejenigen Zugriff auf Informationen und Funktionalitäten haben dürfen, die an dem einen Panel vorübergehend zugelassen werden ...
 
ducati schrieb:
wenn etwas von Siemens sein soll, dann hilft vielleicht sowas:


ansonsten gibts da alle möglichen Ideen, Varianten, Konzepte...
Zum Vergrößern anklicken....
Hallo Ducati,
LOGON ist eine der Optionen. Hier warte ich gerade auf das Angebot von Siemens.

Heinileini schrieb:
Ich verstehe die Aufgabenstellung nicht so ganz.

Wenn eine Karte verloren geht, wird sie durch eine andere mit einer anderen ID ersetzt.
Die verlorene Karte mit ihrer ID darf dann dem System nicht mehr bekannt sein.
Eine separate Blacklist macht nur Sinn, wenn man den derzeitigen KartenInhaber bei der Benutzung "dingfest" machen will/kann.

Wenn eine Karte an einem Panel Bedienmöglichkeiten eröffnet, warum soll sie dies automatisch auch an (allen) anderen tun.
Man weiss ja nicht, wer sich an den anderen Panels tummelt und ob derjenige bzw. diejenigen Zugriff auf Informationen und Funktionalitäten haben dürfen, die an dem einen Panel vorübergehend zugelassen werden ...
Zum Vergrößern anklicken....
Die Option mit der Blacklist wäre für jedes Panel lokal. Alle Panele hätten die gleichen x Benutzerstufen und für die jeweiligen Benutzerstufen je einen Benutzer einprogrammiert. Also zum Beispiel Benutzerstufe Administrator hat Benutzer "Admin". Auf den Mitarbeiterkarten wird nun "Admin" gespeichert und durch einen RF1070R ließt man das am Panel aus. Die Anmeldung nur mit einem Benutzernamen ist ja möglich. Dabei entsteht aber folgendes Problem. Nachdem alle Panele die gleichen Anmeldedaten erwarten und auf allen Karten einer Benutzerstufe der gleiche String gespeichert ist, sind alle Anlagen verletzbar sobald eine Karte verloren geht. Um das zu verhindern hätte ich verlorene Karten gerne durch eine Blacklist gesperrt.
Abfrage bei Anmeldung am Panel also: (Benutzername AND NOT Kartennr. auf Blacklist).
Ich nehme an, dass es über ein Skript möglich ist aber die Frage für mich ist wie sinnvoll lässt sich das umsetzen und folglich wie schlimm wird es das aktuell zu halten.
Vom Büro aus über VNC schnell an 5 Anlagen eine Nummer eintippen -> kein Problem
An allen Panelen das HMI Projekt updaten -> Aufwand nicht vertretbar

Danke schon mal für die Antworten, Ich hoffe ich konnte es etwas klarer machen.
LG Stogi
 
Moin Stogi,

das Konzept halte ich aber auch für - naja, sagen wir "großzügig"... Damit hat ja jeder die selbe Berechtigung an allen Anlagen!?
Muß jeder Zugang zu allen Anlagen haben? Und muß er an allen Anlagen die selbe Berechtigung haben?

Ich würde jede Kartennummer als Benutzer mit den enstprechenden Rechten anlegen. Da die Benutzerverwaltung auch online funktioniert, kann man das auch über VNC erledigen. Und wenn nun eine Karte verloren ist, löschst Du die aus den entsprechenden Anlagen raus. Dafür nix HMI Projekt updaten.

Wenn die Anlagen vernetzt (per VNC erreichbar!?) sind, könnte man ggf. sogar eine zentrale Datenbank machen...

Gruß
Jens
 
Zuviel Werbung?
-> Hier kostenlos registrieren
JSEngineering schrieb:
Moin Stogi,

das Konzept halte ich aber auch für - naja, sagen wir "großzügig"... Damit hat ja jeder die selbe Berechtigung an allen Anlagen!?
Muß jeder Zugang zu allen Anlagen haben? Und muß er an allen Anlagen die selbe Berechtigung haben?

Ich würde jede Kartennummer als Benutzer mit den enstprechenden Rechten anlegen. Da die Benutzerverwaltung auch online funktioniert, kann man das auch über VNC erledigen. Und wenn nun eine Karte verloren ist, löschst Du die aus den entsprechenden Anlagen raus. Dafür nix HMI Projekt updaten.

Wenn die Anlagen vernetzt (per VNC erreichbar!?) sind, könnte man ggf. sogar eine zentrale Datenbank machen...

Gruß
Jens
Zum Vergrößern anklicken....
Hallo Jens,
gewünscht ist die Einteilung in fixe Benutzergruppen. Die Benutzerstufen sind natürlich unterschiedlich. Gibt Einrichter, Instandhalter mechanisch, Instandhalter elektrisch, Inbetriebnahme, Qualität und Admin. Diese Einteilung soll allerdings an jeder Anlage so sein. In jede Gruppe fallen 15-30 Leute aktuell - wird mehr und sollte deswegen natürlich skalierbar sein. Anlagen sind es aktuell etwa 13 (je nachdem wo es letztendlich überall hin soll.)

Bzgl. zentraler Datenbank. Wenn das so einfach geht - was kann LOGON dann überhaupt mehr? Hast du da zufällig einen Link/Anwendungsbeispiel in der Richtung parat?
 
Wie @ducati schon schrieb, gibt es viele Konzepte und Ideen.
Das Logon-Paket habe ich noch nicht eingesetzt.
Wenn es aber um "einfache" Konzepte gehen soll, könnte man z.B. die Abfrage/Freigabe der Kartennummer über die SPS laufen lassen und die Blacklist z.B. nur auf einer SPS pflegen und alle anderen dort zugreifen lassen.
Oder Bei Änderung einer Liste wird diese an alle anderen verteilt.
Oder man macht die komplette Benutzerfreigabe selbst programmiert über die Steuerung. Ist halt die Frage, was ist billiger: Selber programmieren oder LOGON einsetzen.

oder...oder...oder...
 
vorallem brauchst Du nach der ganzen Aktion jemanden oder besser mindestens 2 Mitarbeiter, die die ganze Administration dafür erledigen, den täglichen Arbeitsaufwand dafür sollte man nicht unterschätzen... Ansonsten ist die ganze Anlage zwar supersicher, aber wenn sie mal steht bringt sie niemand mehr zum laufen ;)
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Stogi schrieb:
Meine Idee war jetzt eine verlorene Karte anhand ihrer Karten-ID an den Panelen zu Blacklisten.
Zum Vergrößern anklicken....

Ganz allgeinem – Blacklisting ist für eine Benutzerverwaltung ungeeignet, praktisch heißt das ja "alle", bis auf ein paar Ausnahmen. So arbeiten Spam-Filter.

Bei Dir sollte es ja so sein, dass man nur mit gültigem Key Zugang hat, sonst eben nicht. Mit zentraler Verwaltung, sonst läufts Du an jedes Gerät, wenn es Änderungen gibt.
 
Gerhard Bäurle schrieb:
Ganz allgeinem – Blacklisting ist für eine Benutzerverwaltung ungeeignet, praktisch heißt das ja "alle", bis auf ein paar Ausnahmen. So arbeiten Spam-Filter.

Bei Dir sollte es ja so sein, dass man nur mit gültigem Key Zugang hat, sonst eben nicht. Mit zentraler Verwaltung, sonst läufts Du an jedes Gerät, wenn es Änderungen gibt.
Zum Vergrößern anklicken....

Hallo Gerhard,
Allgemein ist es ja erst mal eine Whitelist, nachdem die verschiedenen Benutzerstufenstrings der Mitarbeiterkarten abgefragt werden. Geblacklistet werden von denen wiederum nur die verlorenen Karten-IDs.

Die Option "zentrale Verwaltung" ist eben die LOGON Variante, wobei ich mich in den kommenden Tagen noch einlesen werde, wie weit das im Haus umsetzbar wäre. Die Option mit der Blacklist will ich als Alternative herausarbeiten.

Danke schonmal an alle bis hier her für den ganzen Input.
Ich weiß aber leider immer noch nicht wirklich ob und wie eine Blacklist in einem Panel umsetzbar ist.

LG Nicho
 
Bei einer Benutzerverwaltung würde ich überhaupt nicht von White- oder Blacklist sprechen – wer einen gültigen Key hat, kann sich anmelden, sonst niemand.

Verlorene Keys oder die von ausgeschiedenen Mitabeitern – das wird gerne auch mal vergessen – werden gelöscht. Sollte ja auch so in der Security Policy geregelt sein.
 
Zuletzt bearbeitet:
Stogi schrieb:
hahaha ganz normale Produktionsanlagen im Automotive Bereich. Aber der Wunsch verlorene Karten zu sperren ist glaube ich nicht so selten. :p
Zum Vergrößern anklicken....
die normalen Anlagen die ich so kenne, da kriegens die Kunden nicht mal hin, sich so Benutzer und Passworte wie ADMIN 1234 zu merken...

Eigentlich benötigst die Passworte eh nur, damit die Putzfrau nicht aus versehen was verstellt.

Wenn jemand die Anlage mutwillig manipulieren will, hilft das eh nicht...

Aber egal, heute muss alles verschlüsselt, geschützt, zertifiziert... sein Das führt dazu, dass die Anlage dann garniemand mehr zum laufen krigt...
 
Zuviel Werbung?
-> Hier kostenlos registrieren
ducati schrieb:
Eigentlich benötigst die Passworte eh nur, damit die Putzfrau nicht aus versehen was verstellt.
Zum Vergrößern anklicken....
Das sehe ich etwas anders.

Ich habe schon oft die Erfahrung gemacht, das übermotivierte Maschinenführer meinten diverse Sachen zu verstellen
ohne zu wissen was dies für Folgen haben kann.

Unsere Anlagen haben ein Passwort, dies wird einem Verantwortlichen übergeben. Bei vielen Firmen funktioniert das so,
bei anderen wurde es mit Edding auf das Panel geschrieben. Aber das liegt dann nicht mehr in meiner Verantwortung.
 
jaaa... ;)

und bei anderen Anlagen wirds 3 mal falsch eingegeben, und dann das Panel komplett gesperrt...

Kommt halt immer drauf an was schlimmer ist, abundzu ne Fehlbedienung oder abundzu garkeine Bedienung möglich ;)

Dinge, die zu größeren Problemen führen, und vom normalen Bedienpersonal eh nicht verändert werden sollen, sind bei mir in der Regel fest im SPS-Programm hinterlegt...
 
Zuviel Werbung?
-> Hier kostenlos registrieren
ducati schrieb:
Kommt halt immer drauf an was schlimmer ist, abundzu ne Fehlbedienung oder abundzu garkeine Bedienung möglich
Zum Vergrößern anklicken....
Dann haben wir EOL ( End of Line ) Prüfanlagen für diverse Automobilhersteller gebaut. Was meinst du was los ist wenn ein
Anlagenfahrer die Prüftoleranz von 0,5mm auf 1,5mm stellt damit er die Teile schneller durchbekommt......
 

Similar threads

T
WinCC Unified WinCC Unified Benutzerverwaltung - Anmeldung über SPS Variable
Antworten
0
Aufrufe
746
Tobi1999
T
N
Sonstiges Kartenleser RF1070R an MTP (Unified Comfort) Panel
Antworten
0
Aufrufe
1K
name024
N
S
TIA Option+ RFID
Antworten
9
Aufrufe
3K
CASE_OF
C
S
Option+ auf IPC
Antworten
3
Aufrufe
1K
Stogi
S
S
TIA KTP900F Audittrail
Antworten
0
Aufrufe
2K
Stogi
S
Zurück
Oben