Signatur Benutzerverwaltung über Chip/Karte

N

Niklas412

Level-1
Beiträge
39
Reaktionspunkte
0
Zuviel Werbung?
-> Hier kostenlos registrieren
Hallo zusammen,

wir haben auf unseren Produktionsanlagen Beckhoff HMI's mit Zenon installiert.
Die Benutzerverwaltung läuft auf dem Zenon unabhängig von der active directory des Windows.
Wir möchten unsere Systeme gerne sicherer machen, indem wir unsere Benutzerverwaltung an die active directory anbinden,
was ja mit dem Zenon auch kein Problem ist wie ich bisher gelesen habe.

Gerne würden wir die Signatur des Operators über den Fingerabdruck oder über einen Hardware Chip/Karte machen.
Selbstverständlich benötigen wir dann an jedem HMI ein Lesegerät.
Hat jemand so ein System schonmal aufgebaut oder anderweitig Erfahrung damit und kann mir Tipps geben?
Oder kann mir jemand ein System empfehlen also zumindest für die Hardwarekomponenten?
 
Hallo,
das geht sicher zu machen.
2 Dinge solltest du dabei allerdings berücksichtigen :
- du brauchst entsprechend User-Calls im AD (die ja Geld kosten)
- deine Benutzer-Verwaltung kann nur jemand, der Netzwerk-Admin ist (oder AD-Admin ist) ändern - willst du das so ?

Welche Vorteile versprichst du dir von dieser Vorgehensweise ?

Gruß
Larry
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Das ist kein Problem wir haben mehrere Werke auf der Welt wo das eingeführt werden soll, wenn wir uns dafür entscheiden.
Und in jedem werk auch IT Administratoren.
Meine Firma möchte es einfach so, da wir bis jetzt nur eine Benutzerverwaltung haben wo jeder des anderen Passwort kennt.
Und in der Vergangenheit kam es vor, das Chargen Qualitätsmängel hatten oder von der einen Schicht auf die nächste die Parameter verstellt waren.
Und wir würden damit gerne nachvollziehen können wer es getan hat um dann nachzufragen warum oder weshalb Parameter geändert wurden usw..
Eine CEL haben wir bereits um das einzusehen aber wir können haöt im Moment nicht feststellen welche Person es genau war.
 
Deine Benutzerverwaltung an einen Chip oder ähnlich zu hängen finde ich gut und verständlich - das machen wir (in einem anderen System) auch so.
Die Benutzer-Rechte aber an das AD zu hängen und darauf zu hoffen, dass (gerade bei mehreren Werken überall auf der Welt) sich dies auf alle Werke immer abgleicht und Alles überall verfügbar ist halte ich für abenteuerlich (auch aus eigener Erfahrung - würde ich nicht so machen).
Du kannst ja durchaus eine zentrale Datenbasis machen und die auf der Welt verteilen - aber über das AD ... aber das ist ja deine Sache - du musst mit dem leben, was du hinterher hast.

Sorry - meine Meinung ...

Gruß
Larry
 
Das wollen wir auch nicht, also es soll nicht überall auf der gleich sein, das auf die reihe zu bringen und zu pflegen ist ja fast unmöglich!:p
Jedes Werk auf der Welt bekommt seine eigene Benutzerverwaltung und pflegt diese auch selber.
Und zu der Geschichte mit der AD, wir möchten halt auch den rechner sicherer machen.
Wir haben z.B. ein Handling System die Positionen dafür sind als Konstante in der CPU Hinterlegt, und es ist schon vorgekommen das irgendwer diese Werte verändert hat und dann arbeitet das System halt nicht mehr richtig.
Und damit niemand an dem SPS Programm rum pfuscht wollte ich das halt in die AD mit einbinden.

Oder gibt es hier auch ne andere Lösung?
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Naja ... ich denke, dass du das SPS-Programm (gleich welcher Hersteller) so nicht abgesichert bekommst.
Was aber geht ist, dass du die HMI hinsichtlich dessen, was der gerade angemeldete Maschinenführer oder -Einrichter oder Produktions- oder QS-Mitarbeiter an Berechtigungen hat, wesentlich "wasserdichter" bekommst. Dabei ist es aber auch wieder egal, ob über AD oder etwas Anderes. Du mußt halt in der Visu eine Benutzerverwaltung programmieren, die dann das Entsprechende abfragt.
Bei der AD-Geschichte ist zu beachten, dass du bei Verwendung von RFID-Chips ja keinen "richtigen" Benutzernamen zunächst hast sondern die Nummer des Chips. Die Daten dazu muss dir dann die AD-Abfrage liefern (oder dein eigenes System). Hast du im AD beim Benutzer eine Gruppe hinterlegt dann musst du diese dann auch auflösen usw. - das ist nicht so ganz trivial.
Wenn du allerdings von Sicherheit sprichst dann ist das mit dem AD nicht besser oder schlechter wie etwas "selbst gebautes" - die "Sicherheit" kommt ja nicht aus dem AD sondern aus deiner HMI und wie das Ganze darin aufgehängt ist.

Gruß
Larry
 

Similar threads

J
TIA Benutzerverwaltung, neuen Benutzer mit RFID / UID einfach anlegen
Antworten
0
Aufrufe
4K
JR-Erwin
J
M
Not-Halt im Schaltschrank bei komplexen Anlagen
Antworten
10
Aufrufe
15K
marcusscholle
M
P
Aufbau internes Anlagen Netzwerk - Ideen | Kritik | Optimierung
2
Antworten
22
Aufrufe
11K
Fabpicard
F
D
Routen im PC über 2 Netzwerkkarten
Antworten
14
Aufrufe
13K
holgermaik
holgermaik
J
Fernwartungs- und Alarmierungslösung Horlemann Web Portal Field Device WPFD
Antworten
0
Aufrufe
3K
JannisSchrader
J
Zurück
Oben