Zuviel Werbung? - > Hier kostenlos beim SPS-Forum registrieren

Ergebnis 1 bis 6 von 6

Thema: Signatur Benutzerverwaltung über Chip/Karte

  1. #1
    Registriert seit
    17.05.2011
    Beiträge
    39
    Danke
    3
    Erhielt 0 Danke für 0 Beiträge

    Standard


    Zuviel Werbung?
    -> Hier kostenlos registrieren
    Hallo zusammen,

    wir haben auf unseren Produktionsanlagen Beckhoff HMI's mit Zenon installiert.
    Die Benutzerverwaltung läuft auf dem Zenon unabhängig von der active directory des Windows.
    Wir möchten unsere Systeme gerne sicherer machen, indem wir unsere Benutzerverwaltung an die active directory anbinden,
    was ja mit dem Zenon auch kein Problem ist wie ich bisher gelesen habe.

    Gerne würden wir die Signatur des Operators über den Fingerabdruck oder über einen Hardware Chip/Karte machen.
    Selbstverständlich benötigen wir dann an jedem HMI ein Lesegerät.
    Hat jemand so ein System schonmal aufgebaut oder anderweitig Erfahrung damit und kann mir Tipps geben?
    Oder kann mir jemand ein System empfehlen also zumindest für die Hardwarekomponenten?
    Zitieren Zitieren Signatur Benutzerverwaltung über Chip/Karte  

  2. #2
    Registriert seit
    22.03.2007
    Ort
    Detmold (im Lipperland)
    Beiträge
    11.794
    Danke
    398
    Erhielt 2.417 Danke für 2.013 Beiträge

    Standard

    Hallo,
    das geht sicher zu machen.
    2 Dinge solltest du dabei allerdings berücksichtigen :
    - du brauchst entsprechend User-Calls im AD (die ja Geld kosten)
    - deine Benutzer-Verwaltung kann nur jemand, der Netzwerk-Admin ist (oder AD-Admin ist) ändern - willst du das so ?

    Welche Vorteile versprichst du dir von dieser Vorgehensweise ?

    Gruß
    Larry

  3. #3
    Registriert seit
    17.05.2011
    Beiträge
    39
    Danke
    3
    Erhielt 0 Danke für 0 Beiträge

    Standard

    Das ist kein Problem wir haben mehrere Werke auf der Welt wo das eingeführt werden soll, wenn wir uns dafür entscheiden.
    Und in jedem werk auch IT Administratoren.
    Meine Firma möchte es einfach so, da wir bis jetzt nur eine Benutzerverwaltung haben wo jeder des anderen Passwort kennt.
    Und in der Vergangenheit kam es vor, das Chargen Qualitätsmängel hatten oder von der einen Schicht auf die nächste die Parameter verstellt waren.
    Und wir würden damit gerne nachvollziehen können wer es getan hat um dann nachzufragen warum oder weshalb Parameter geändert wurden usw..
    Eine CEL haben wir bereits um das einzusehen aber wir können haöt im Moment nicht feststellen welche Person es genau war.

  4. #4
    Registriert seit
    22.03.2007
    Ort
    Detmold (im Lipperland)
    Beiträge
    11.794
    Danke
    398
    Erhielt 2.417 Danke für 2.013 Beiträge

    Standard

    Deine Benutzerverwaltung an einen Chip oder ähnlich zu hängen finde ich gut und verständlich - das machen wir (in einem anderen System) auch so.
    Die Benutzer-Rechte aber an das AD zu hängen und darauf zu hoffen, dass (gerade bei mehreren Werken überall auf der Welt) sich dies auf alle Werke immer abgleicht und Alles überall verfügbar ist halte ich für abenteuerlich (auch aus eigener Erfahrung - würde ich nicht so machen).
    Du kannst ja durchaus eine zentrale Datenbasis machen und die auf der Welt verteilen - aber über das AD ... aber das ist ja deine Sache - du musst mit dem leben, was du hinterher hast.

    Sorry - meine Meinung ...

    Gruß
    Larry

  5. #5
    Registriert seit
    17.05.2011
    Beiträge
    39
    Danke
    3
    Erhielt 0 Danke für 0 Beiträge

    Standard

    Das wollen wir auch nicht, also es soll nicht überall auf der gleich sein, das auf die reihe zu bringen und zu pflegen ist ja fast unmöglich!
    Jedes Werk auf der Welt bekommt seine eigene Benutzerverwaltung und pflegt diese auch selber.
    Und zu der Geschichte mit der AD, wir möchten halt auch den rechner sicherer machen.
    Wir haben z.B. ein Handling System die Positionen dafür sind als Konstante in der CPU Hinterlegt, und es ist schon vorgekommen das irgendwer diese Werte verändert hat und dann arbeitet das System halt nicht mehr richtig.
    Und damit niemand an dem SPS Programm rum pfuscht wollte ich das halt in die AD mit einbinden.

    Oder gibt es hier auch ne andere Lösung?

  6. #6
    Registriert seit
    22.03.2007
    Ort
    Detmold (im Lipperland)
    Beiträge
    11.794
    Danke
    398
    Erhielt 2.417 Danke für 2.013 Beiträge

    Standard


    Zuviel Werbung?
    -> Hier kostenlos registrieren
    Naja ... ich denke, dass du das SPS-Programm (gleich welcher Hersteller) so nicht abgesichert bekommst.
    Was aber geht ist, dass du die HMI hinsichtlich dessen, was der gerade angemeldete Maschinenführer oder -Einrichter oder Produktions- oder QS-Mitarbeiter an Berechtigungen hat, wesentlich "wasserdichter" bekommst. Dabei ist es aber auch wieder egal, ob über AD oder etwas Anderes. Du mußt halt in der Visu eine Benutzerverwaltung programmieren, die dann das Entsprechende abfragt.
    Bei der AD-Geschichte ist zu beachten, dass du bei Verwendung von RFID-Chips ja keinen "richtigen" Benutzernamen zunächst hast sondern die Nummer des Chips. Die Daten dazu muss dir dann die AD-Abfrage liefern (oder dein eigenes System). Hast du im AD beim Benutzer eine Gruppe hinterlegt dann musst du diese dann auch auflösen usw. - das ist nicht so ganz trivial.
    Wenn du allerdings von Sicherheit sprichst dann ist das mit dem AD nicht besser oder schlechter wie etwas "selbst gebautes" - die "Sicherheit" kommt ja nicht aus dem AD sondern aus deiner HMI und wie das Ganze darin aufgehängt ist.

    Gruß
    Larry

Ähnliche Themen

  1. RFID-Chip an LKW
    Von Lipperlandstern im Forum Elektronik
    Antworten: 4
    Letzter Beitrag: 21.06.2011, 20:58
  2. Antworten: 6
    Letzter Beitrag: 02.12.2009, 14:07
  3. WinCC Benutzerverwaltung über USB-Stick
    Von franzlurch im Forum HMI
    Antworten: 3
    Letzter Beitrag: 15.04.2008, 09:40
  4. Kopplung von S5 zu S7 über INAT Karte
    Von Ralle22 im Forum Simatic
    Antworten: 4
    Letzter Beitrag: 02.04.2008, 12:37
  5. Antworten: 7
    Letzter Beitrag: 27.03.2008, 20:11

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •