WinCC Benutzerverwaltung mit Blacklist

Stogi

Active member
Beiträge
37
Punkte Reaktionen
0
Zuviel Werbung?
->Hier kostenlos registrieren
Hallo,

ich arbeite gerade verschiedene Optionen für die Umstellung unsrer Benutzerverwaltung aus.
Für eine Option sollen die RFID Mitarbeiterkarten verwendet werden. Diesen würden fixe Strings für Benutzerstufen eingespeichert würden. Z.B. "Admin", "Instandhalter", "Qualität", "Inbetriebnahme", "Produktion" usw.. Übertragen würde ich es mit einem RF1070R ans Panel.
An den Panels hätte ich in der Benutzerverwaltung dann eben je eine Person "Admin" mit Benutzerstufe Administrator usw. angelegt.
Soweit sehe ich eigentlich kein Problem. Jetzt war allerdings die Frage, was passiert wenn jemand seine Karte verliert. Theoretisch müsste dann an jeder Karte und an allen Panelen die betroffene Benutzerstufe geändert werden. Meine Idee war jetzt eine verlorene Karte anhand ihrer Karten-ID an den Panelen zu Blacklisten. Wenn sich das schön umsetzen lässt würde sich die Arbeit bei einer verlorenen Karte auf das Eintippen einer Zahl bei ein paar Panelen beschränken. Bei den Panelen handelt es sich um TP1200 bzw. TP1500 Comfort und IPC427E. Steuerungen sind alles 1517F-3 PN/DP.
Ist so etwas möglich/sinnvoll umsetzbar? Hat sowas vielleicht schon mal wer implementiert?

Zusatzfrage: Wenn eine Anlage mehrere Panele hat, ist es möglich sich durch die Anmeldung an einem Panel automatisch an allen anzumelden? Bzw. wie wird sowas implementiert?

LG Stogi
 

Heinileini

Well-known member
Beiträge
4.410
Punkte Reaktionen
917
Zuviel Werbung?
->Hier kostenlos registrieren
Ich verstehe die Aufgabenstellung nicht so ganz.

Wenn eine Karte verloren geht, wird sie durch eine andere mit einer anderen ID ersetzt.
Die verlorene Karte mit ihrer ID darf dann dem System nicht mehr bekannt sein.
Eine separate Blacklist macht nur Sinn, wenn man den derzeitigen KartenInhaber bei der Benutzung "dingfest" machen will/kann.

Wenn eine Karte an einem Panel Bedienmöglichkeiten eröffnet, warum soll sie dies automatisch auch an (allen) anderen tun.
Man weiss ja nicht, wer sich an den anderen Panels tummelt und ob derjenige bzw. diejenigen Zugriff auf Informationen und Funktionalitäten haben dürfen, die an dem einen Panel vorübergehend zugelassen werden ...
 
OP
S

Stogi

Active member
Beiträge
37
Punkte Reaktionen
0
wenn etwas von Siemens sein soll, dann hilft vielleicht sowas:


ansonsten gibts da alle möglichen Ideen, Varianten, Konzepte...
Hallo Ducati,
LOGON ist eine der Optionen. Hier warte ich gerade auf das Angebot von Siemens.

Ich verstehe die Aufgabenstellung nicht so ganz.

Wenn eine Karte verloren geht, wird sie durch eine andere mit einer anderen ID ersetzt.
Die verlorene Karte mit ihrer ID darf dann dem System nicht mehr bekannt sein.
Eine separate Blacklist macht nur Sinn, wenn man den derzeitigen KartenInhaber bei der Benutzung "dingfest" machen will/kann.

Wenn eine Karte an einem Panel Bedienmöglichkeiten eröffnet, warum soll sie dies automatisch auch an (allen) anderen tun.
Man weiss ja nicht, wer sich an den anderen Panels tummelt und ob derjenige bzw. diejenigen Zugriff auf Informationen und Funktionalitäten haben dürfen, die an dem einen Panel vorübergehend zugelassen werden ...
Die Option mit der Blacklist wäre für jedes Panel lokal. Alle Panele hätten die gleichen x Benutzerstufen und für die jeweiligen Benutzerstufen je einen Benutzer einprogrammiert. Also zum Beispiel Benutzerstufe Administrator hat Benutzer "Admin". Auf den Mitarbeiterkarten wird nun "Admin" gespeichert und durch einen RF1070R ließt man das am Panel aus. Die Anmeldung nur mit einem Benutzernamen ist ja möglich. Dabei entsteht aber folgendes Problem. Nachdem alle Panele die gleichen Anmeldedaten erwarten und auf allen Karten einer Benutzerstufe der gleiche String gespeichert ist, sind alle Anlagen verletzbar sobald eine Karte verloren geht. Um das zu verhindern hätte ich verlorene Karten gerne durch eine Blacklist gesperrt.
Abfrage bei Anmeldung am Panel also: (Benutzername AND NOT Kartennr. auf Blacklist).
Ich nehme an, dass es über ein Skript möglich ist aber die Frage für mich ist wie sinnvoll lässt sich das umsetzen und folglich wie schlimm wird es das aktuell zu halten.
Vom Büro aus über VNC schnell an 5 Anlagen eine Nummer eintippen -> kein Problem
An allen Panelen das HMI Projekt updaten -> Aufwand nicht vertretbar

Danke schon mal für die Antworten, Ich hoffe ich konnte es etwas klarer machen.
LG Stogi
 

JSEngineering

Well-known member
Beiträge
1.273
Punkte Reaktionen
336
Moin Stogi,

das Konzept halte ich aber auch für - naja, sagen wir "großzügig"... Damit hat ja jeder die selbe Berechtigung an allen Anlagen!?
Muß jeder Zugang zu allen Anlagen haben? Und muß er an allen Anlagen die selbe Berechtigung haben?

Ich würde jede Kartennummer als Benutzer mit den enstprechenden Rechten anlegen. Da die Benutzerverwaltung auch online funktioniert, kann man das auch über VNC erledigen. Und wenn nun eine Karte verloren ist, löschst Du die aus den entsprechenden Anlagen raus. Dafür nix HMI Projekt updaten.

Wenn die Anlagen vernetzt (per VNC erreichbar!?) sind, könnte man ggf. sogar eine zentrale Datenbank machen...

Gruß
Jens
 
OP
S

Stogi

Active member
Beiträge
37
Punkte Reaktionen
0
Zuviel Werbung?
->Hier kostenlos registrieren
Moin Stogi,

das Konzept halte ich aber auch für - naja, sagen wir "großzügig"... Damit hat ja jeder die selbe Berechtigung an allen Anlagen!?
Muß jeder Zugang zu allen Anlagen haben? Und muß er an allen Anlagen die selbe Berechtigung haben?

Ich würde jede Kartennummer als Benutzer mit den enstprechenden Rechten anlegen. Da die Benutzerverwaltung auch online funktioniert, kann man das auch über VNC erledigen. Und wenn nun eine Karte verloren ist, löschst Du die aus den entsprechenden Anlagen raus. Dafür nix HMI Projekt updaten.

Wenn die Anlagen vernetzt (per VNC erreichbar!?) sind, könnte man ggf. sogar eine zentrale Datenbank machen...

Gruß
Jens
Hallo Jens,
gewünscht ist die Einteilung in fixe Benutzergruppen. Die Benutzerstufen sind natürlich unterschiedlich. Gibt Einrichter, Instandhalter mechanisch, Instandhalter elektrisch, Inbetriebnahme, Qualität und Admin. Diese Einteilung soll allerdings an jeder Anlage so sein. In jede Gruppe fallen 15-30 Leute aktuell - wird mehr und sollte deswegen natürlich skalierbar sein. Anlagen sind es aktuell etwa 13 (je nachdem wo es letztendlich überall hin soll.)

Bzgl. zentraler Datenbank. Wenn das so einfach geht - was kann LOGON dann überhaupt mehr? Hast du da zufällig einen Link/Anwendungsbeispiel in der Richtung parat?
 

JSEngineering

Well-known member
Beiträge
1.273
Punkte Reaktionen
336
Wie @ducati schon schrieb, gibt es viele Konzepte und Ideen.
Das Logon-Paket habe ich noch nicht eingesetzt.
Wenn es aber um "einfache" Konzepte gehen soll, könnte man z.B. die Abfrage/Freigabe der Kartennummer über die SPS laufen lassen und die Blacklist z.B. nur auf einer SPS pflegen und alle anderen dort zugreifen lassen.
Oder Bei Änderung einer Liste wird diese an alle anderen verteilt.
Oder man macht die komplette Benutzerfreigabe selbst programmiert über die Steuerung. Ist halt die Frage, was ist billiger: Selber programmieren oder LOGON einsetzen.

oder...oder...oder...
 

ducati

Well-known member
Beiträge
6.003
Punkte Reaktionen
1.162
vorallem brauchst Du nach der ganzen Aktion jemanden oder besser mindestens 2 Mitarbeiter, die die ganze Administration dafür erledigen, den täglichen Arbeitsaufwand dafür sollte man nicht unterschätzen... Ansonsten ist die ganze Anlage zwar supersicher, aber wenn sie mal steht bringt sie niemand mehr zum laufen ;)
 

Gerhard Bäurle

Well-known member
Beiträge
5.868
Punkte Reaktionen
1.762
Zuviel Werbung?
->Hier kostenlos registrieren
Meine Idee war jetzt eine verlorene Karte anhand ihrer Karten-ID an den Panelen zu Blacklisten.

Ganz allgeinem – Blacklisting ist für eine Benutzerverwaltung ungeeignet, praktisch heißt das ja "alle", bis auf ein paar Ausnahmen. So arbeiten Spam-Filter.

Bei Dir sollte es ja so sein, dass man nur mit gültigem Key Zugang hat, sonst eben nicht. Mit zentraler Verwaltung, sonst läufts Du an jedes Gerät, wenn es Änderungen gibt.
 
OP
S

Stogi

Active member
Beiträge
37
Punkte Reaktionen
0
Ganz allgeinem – Blacklisting ist für eine Benutzerverwaltung ungeeignet, praktisch heißt das ja "alle", bis auf ein paar Ausnahmen. So arbeiten Spam-Filter.

Bei Dir sollte es ja so sein, dass man nur mit gültigem Key Zugang hat, sonst eben nicht. Mit zentraler Verwaltung, sonst läufts Du an jedes Gerät, wenn es Änderungen gibt.

Hallo Gerhard,
Allgemein ist es ja erst mal eine Whitelist, nachdem die verschiedenen Benutzerstufenstrings der Mitarbeiterkarten abgefragt werden. Geblacklistet werden von denen wiederum nur die verlorenen Karten-IDs.

Die Option "zentrale Verwaltung" ist eben die LOGON Variante, wobei ich mich in den kommenden Tagen noch einlesen werde, wie weit das im Haus umsetzbar wäre. Die Option mit der Blacklist will ich als Alternative herausarbeiten.

Danke schonmal an alle bis hier her für den ganzen Input.
Ich weiß aber leider immer noch nicht wirklich ob und wie eine Blacklist in einem Panel umsetzbar ist.

LG Nicho
 

Gerhard Bäurle

Well-known member
Beiträge
5.868
Punkte Reaktionen
1.762
Bei einer Benutzerverwaltung würde ich überhaupt nicht von White- oder Blacklist sprechen – wer einen gültigen Key hat, kann sich anmelden, sonst niemand.

Verlorene Keys oder die von ausgeschiedenen Mitabeitern – das wird gerne auch mal vergessen – werden gelöscht. Sollte ja auch so in der Security Policy geregelt sein.
 
Zuletzt bearbeitet:

ducati

Well-known member
Beiträge
6.003
Punkte Reaktionen
1.162
hahaha ganz normale Produktionsanlagen im Automotive Bereich. Aber der Wunsch verlorene Karten zu sperren ist glaube ich nicht so selten. :p
die normalen Anlagen die ich so kenne, da kriegens die Kunden nicht mal hin, sich so Benutzer und Passworte wie ADMIN 1234 zu merken...

Eigentlich benötigst die Passworte eh nur, damit die Putzfrau nicht aus versehen was verstellt.

Wenn jemand die Anlage mutwillig manipulieren will, hilft das eh nicht...

Aber egal, heute muss alles verschlüsselt, geschützt, zertifiziert... sein Das führt dazu, dass die Anlage dann garniemand mehr zum laufen krigt...
 

DeltaMikeAir

User des Jahres 2018
Beiträge
10.752
Punkte Reaktionen
2.610
Zuviel Werbung?
->Hier kostenlos registrieren
Eigentlich benötigst die Passworte eh nur, damit die Putzfrau nicht aus versehen was verstellt.
Das sehe ich etwas anders.

Ich habe schon oft die Erfahrung gemacht, das übermotivierte Maschinenführer meinten diverse Sachen zu verstellen
ohne zu wissen was dies für Folgen haben kann.

Unsere Anlagen haben ein Passwort, dies wird einem Verantwortlichen übergeben. Bei vielen Firmen funktioniert das so,
bei anderen wurde es mit Edding auf das Panel geschrieben. Aber das liegt dann nicht mehr in meiner Verantwortung.
 

ducati

Well-known member
Beiträge
6.003
Punkte Reaktionen
1.162
jaaa... ;)

und bei anderen Anlagen wirds 3 mal falsch eingegeben, und dann das Panel komplett gesperrt...

Kommt halt immer drauf an was schlimmer ist, abundzu ne Fehlbedienung oder abundzu garkeine Bedienung möglich ;)

Dinge, die zu größeren Problemen führen, und vom normalen Bedienpersonal eh nicht verändert werden sollen, sind bei mir in der Regel fest im SPS-Programm hinterlegt...
 

DeltaMikeAir

User des Jahres 2018
Beiträge
10.752
Punkte Reaktionen
2.610
Zuviel Werbung?
->Hier kostenlos registrieren
Kommt halt immer drauf an was schlimmer ist, abundzu ne Fehlbedienung oder abundzu garkeine Bedienung möglich
Dann haben wir EOL ( End of Line ) Prüfanlagen für diverse Automobilhersteller gebaut. Was meinst du was los ist wenn ein
Anlagenfahrer die Prüftoleranz von 0,5mm auf 1,5mm stellt damit er die Teile schneller durchbekommt......
 
Oben