TIA TIA Portal Passwort Provider

R

Redbullthd

Level-2
Beiträge
5
Reaktionspunkte
0
Zuviel Werbung?
-> Hier kostenlos registrieren
Hallo Community,

ich bin neu hier und hoffe ihr könnt mir weiterhelfen.
Bis jetz konnte ich mit den bereits verfassten Beiträgen des SPS-Forums und Google viele meiner Probleme lösen, doch leider komme ich dieses mal nicht weiter.

ich nutze aktuell das TIA Portal in der Version 15 Update 3.
Jetzt habe ich einige Bausteine die per Know How Schutz geschützt werden sollen.
Das ist soweit auch kein Problem.
Lässtig ist jetzt allerdings das bei Änderungen oder der online Beobachtung der geschützten Bausteinen immer das Passwort für den Know How Schutz eingegeben werden muss.

Allerdings bin ich jetzt auf das Thema Passwort Provider für das TIA Portal aufmerksam geworden.
Wenn ich das richtig verstanden habe dann läuft der Passwort Provider im Hintergrund und immer wenn ich einen geschützten Baustein öffne hohlt sich das TIA Portal das Passwort aus dem Provider.

In der Hilfe vom TIA Portal zum Passwort Provider steht nur das man den gewünschten Passwort Provider installieren soll und dann unter den Einstellungen im TIA Portal diesen auswählen soll.

Leider habe ich mich mit Passwort Providern noch gar nicht beschäftigt und kenn mich deshalb auch nicht wirklich damit aus.
Ich hab das ganze mal mit "Keepass" (in der Hoffnung das das ein Passwort Provider ist!) versucht und wie zu erwarten hat es natürlich nicht funktioniert.

Die Anfrage beim Siemens Support hat mich bis jetz auch nicht wirklich weitergebracht.
Mir wurde nur bestätigt das der Provider das macht was ich vermutet habe und das der Provider die Siemens API unnterstützen muss!

Da ist mein nächstes Problem was ist die Siemens API?
Hab dazu leider genauso wenig gefunden wie über den Provider selbst.

Da ich im Moment der einzige Programmierer bei uns in der Firma bin brauch ich auch nicht irgendwelche Features bzgl. Benutzerrechte oder ähnliches.
Mir geht es Hauptsächlich darum, das ich nicht jedes mal das Passwort eingeben muss wenn ich einen Baustein öffne.

Hier jetz ein paar Fragen von meiner Seite.

Wie macht Ihr das?
Welche Software (Passwort Provider) nutzt ihr?
Welche Addins oder Erweiterungen für den Passwort Provider werden benötigt damit das TIA Portal diesen erkennt?

Ich bin für jede Hilfe Dankbar!

PS: wäre gut wenn es kostenlose Lösung dafür gibt! :D
 
Zuletzt bearbeitet:
Hallo,

ich habe auch lange gerätselt, was Siemens jetzt seit ein paar Jahren unter dem Namen "Passwort Provider" verkaufen will.

Der aktuelle Stand ist:

- in TIA ist seit V14 eine API enthalten, über die ein externes Tool Projektpasswörter verwalten kann. Dadurch muss man die Passwörter nicht mehr jedes mal eintippen. Stattdessen werden sie automatisch von dem Tool angefordert. Vorteil: Die Passwörter sind separat vom Projekt gespeichert. Sobald ein Projekt den Rechner verlässt, müssen die Passwörter wieder eingegeben werden. Soweit der gute Plan!

- Allerdings: Bisher gibt es keinen "Passwort Provider". Den müsste nämlich jemand spezifisch für Siemens programmieren. Siemens will das aber nicht selber machen sondern erwartet, dass andere Anbieter dies tun.

- Die einzige mir bekannte Firma, die sich damit beschäftigt, ist Wibu. Die kündigen auch seit etwa einem Jahr an, dass sie an einem "TIA Passwort Provider" arbeiten. Allerdings haben sie es bisher (Stand letzte Woche) noch nicht zu einem auslieferungsfähigen Produkt geschafft.

- Motiviert ist das ganze wohl durch AllenBradley. Dort gibt es diese Funktion seit langem. Warum Siemens diese Funktion jetzt anfängt und dann zur Vollendung auf externe Firmen setzt, ist mir allerdings ein Rätsel.

Gruß Georg
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Hallo,

Danke für die Info!
Hab eben auch noch eine Antwort von der Siemens Fachberatung erhalten.
Die Schnittstelle im TIA Portal für den Passwort Provider ist nicht öffentlich und wird nur auf Anfrage und nach Prüfung herausgegeben.
Deshalb findet man vermutlich auch im Internet nichts darüber.
Die Fachberatung verweist auch auf die Firma WIBU die anscheinend im Moment wirklich der einzigen Hersteller für so einen Passwort Provider ist.

Die Idee mit so einen Passwort Provider wäre ja wirklich nicht schlecht, nur schade das es im Moment keine Alternativen gibt, bzw. das die Schnittstelle nicht offen ist und man sich so selber was schaffen könnte.

Trotzdem Danke für die Antwort!

Mit freundlichen Grüßen
 
Andere Option: einfach ohne Baustein-Schutz arbeiten, dann müssen auch nicht dauernd Passwörter eingetippt werden und es gibt auch nicht die Probleme wie beim Simulieren von passwortgeschützten Programmteilen und TIA-Updates.

Harald
 
Aus gegebenem Anlass möchte ich dieses Thema nochmals aus der Versenkung holen.
Ich hab intern eine Anfrage bekommen wie man das mit dem Passwortmanagement & KnowHow Schutz machen könnte.
Anstoß der Sache ist, dass wir eine Firma aufgekauft haben, deren Programmierer den KnowHow Schutz exzessiv eingesetzt haben & dementsprechend alle Programme förmlich damit verseucht sind.
Passwörter an sich sind vorhanden, allerdings macht es die Sache etwas anstrengend wenn man für jeden Mist das passende Passwort aus der beiliegenden .txt-Datei fischen muss.
Daher die Überlegung die Passwörter irgendwie zentral/automatisiert zur Verfügung stellen zu können.

Meine Suche nach PW-Providern hat leider nicht viel mehr als WIBU ausgespuckt...
Gibt es von euch Erfahrungswerte zu der WIBU-Software?
Zuverlässigkeit/Benutzerfreundlichkeit/Kosten?
Gerne auch Alternativen dazu...
 
Zuviel Werbung?
-> Hier kostenlos registrieren
knowhow Schutz langsam abbauen (ich bin sowieso alergisch auf so was), also bei jeder Änderung.

Dann wird das relativ zügig übersichtlicher.

Passwort saves, . . . Da bin ich sehr vorsichtig:
Was würdest du als Hacker als erster suchen -> Passwort saves und die dann knacken probieren .> alle PW zugänglich.

Wenn bei der Projektdoku jeweils das PW hinterlegt ist (meinetwegen sogar etwas kryptisch) dann wird das nicht mehr so einfach von aussen findbar.

OK Textfile mit Password.TXT oder ähnliches sollte das halt nicht sein ;)
 
winnman schrieb:
knowhow Schutz langsam abbauen (ich bin sowieso alergisch auf so was), also bei jeder Änderung.

Dann wird das relativ zügig übersichtlicher.
Zum Vergrößern anklicken....
Das ist aktuell Ist-Arbeitsweise.
Bei der Anzahl an Projekten und Bausteinen je Projekt ist es allerdings eine sprichwörtliche "never ending story".

Außerdem haben wir durchaus auch SPS-Bausteine, die man mal mit einem KnowHow Schutz ausrüsten könnte.
Chemische Reaktionsgleichungen & Kinetik-Berechnungen.
Zeug, dass wir definitiv nicht Kunden- oder Konkurenz-Händen sehen wollen...

Wäre also sinnvoll beide Anliegen unter einen Hut zu packen & das Passwort-Management einmal sauber aufzuziehen.
 
Ich würde mir darunter so etwas wie einen Identity Provider vorstellen. Um ein konkretes Beispielprodukt zu nennen so etwas wie Keycloak.

Aber ob Siemens Standard kann ist halt fraglich.
 
Zuviel Werbung?
-> Hier kostenlos registrieren
adiemus84 schrieb:
Ich würde mir darunter so etwas wie einen Identity Provider vorstellen. Um ein konkretes Beispielprodukt zu nennen so etwas wie Keycloak.

Aber ob Siemens Standard kann ist halt fraglich.
Zum Vergrößern anklicken....
Ob Siemens das kann ist bei den Passwort-Providern schon von vorne heren entweder ein "nein" oder ein "will nicht".
georg8372 schrieb:
- Allerdings: Bisher gibt es keinen "Passwort Provider". Den müsste nämlich jemand spezifisch für Siemens programmieren. Siemens will das aber nicht selber machen sondern erwartet, dass andere Anbieter dies tun.

- Die einzige mir bekannte Firma, die sich damit beschäftigt, ist Wibu. Die kündigen auch seit etwa einem Jahr an, dass sie an einem "TIA Passwort Provider" arbeiten. Allerdings haben sie es bisher (Stand letzte Woche) noch nicht zu einem auslieferungsfähigen Produkt geschafft.
Zum Vergrößern anklicken....
Die Aussage von @georg8372 ist allerdings nicht mehr ganz aktuell.
Es gibt mit WIBU anscheinend einen einzigen Anbieter, der einen Passwort-Provider anbietet.
Über diesen habe ich allerdings (außer Werbematerial) gar nichts gefunden.

Seitens open Source habe ich ebenfalls nichts gefunden, genauso wie über die Siemens-API selbst.
Anscheinend kocht das große S malwieder eine seperate Spezialsuppe ¯\_(ツ)_/¯
 
Es gibt ja noch die Möglichkeit, die ganzen Know-How Passwörter per TIA Add-In STEP 7 Engineering Assistent und Keepass 2 Datenbank zu machen. Ich habe das probiert, komme aber nicht auf eine funktionierende Lösung. Die Siemens Doku dazu ist leider dürftig und das gestellte SR war bisher leider auch nicht wirklich weiterbringend...
Hat das hier schon mal jemand erfolgreich umgesetzt?

Viele Grüße
 
Botimperator schrieb:
Aus gegebenem Anlass möchte ich dieses Thema nochmals aus der Versenkung holen.
Ich hab intern eine Anfrage bekommen wie man das mit dem Passwortmanagement & KnowHow Schutz machen könnte.
Anstoß der Sache ist, dass wir eine Firma aufgekauft haben, deren Programmierer den KnowHow Schutz exzessiv eingesetzt haben & dementsprechend alle Programme förmlich damit verseucht sind.
Passwörter an sich sind vorhanden, allerdings macht es die Sache etwas anstrengend wenn man für jeden Mist das passende Passwort aus der beiliegenden .txt-Datei fischen muss.
Daher die Überlegung die Passwörter irgendwie zentral/automatisiert zur Verfügung stellen zu können.

Meine Suche nach PW-Providern hat leider nicht viel mehr als WIBU ausgespuckt...
Gibt es von euch Erfahrungswerte zu der WIBU-Software?
Zuverlässigkeit/Benutzerfreundlichkeit/Kosten?
Gerne auch Alternativen dazu...
Zum Vergrößern anklicken....

Wir haben den Passwortprovider von Wibu im Einsatz und sind damit recht zufrieden.
Was allerdings nichts funktioniert ist, bekannte Klartextpasswörter im Wibu Passwortprovider anlegen, um diese dann zum Öffnen von Bausteinen zu Benutzen. Nur mit Wibu verschlüsselte Bausteine können auch mit Wibu entschlüsselt werden.
Wenn mit Wibu auf einen Baustein der KnowHow Schutz gesetzt wird, ist das Passwort irgendein kryptischer String welcher zu keinem Zeitpunkt sichtbar ist. Bedeutet auch anders herum, wenn ein KnowHow Schutz mit Wibu gesetzt wurde, ist es ohne Wibu wahrscheinlich unmöglich den Baustein wieder zu öffnen, weil das von Wibu vergebene Passwort nirgends sichtbar ist.
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Hab jetzt mal ein Angebot von den Wibu-Kollegen bekommen.
Die wissen auf jeden Fall mal was man an lustigen Zahlen auf Angebote schreiben kann...hätte nicht gedacht, dass so eine Wald&Wiesen Softwarelösung wie ein Passwortmanager so teuer sein kann.
Ich mein: klar ist ein richtiger, kryptographischer Schutz etwas komplexer wie mein Browser-Passwortmanager...
Für jemanden, der nicht bei jedem Baustein das Passwort aus seiner Exel-Tabelle kopieren will, ist es dann aber doch etwas...sportlich für das Budget.

Nickelback156 schrieb:
Was allerdings nichts funktioniert ist, bekannte Klartextpasswörter im Wibu Passwortprovider anlegen, um diese dann zum Öffnen von Bausteinen zu Benutzen. Nur mit Wibu verschlüsselte Bausteine können auch mit Wibu entschlüsselt werden.
Zum Vergrößern anklicken....
Weißt du zufällig was passiert wenn man das Hosting des Cloud-Dienstes irgendwann kündigen sollte?
Komme ich dann noch irgendwie an die Bausteine ran oder bin ich dann der Mops?
Stichwort: Vendor Lock-In.
 
Botimperator schrieb:
Weißt du zufällig was passiert wenn man das Hosting des Cloud-Dienstes irgendwann kündigen sollte?
Komme ich dann noch irgendwie an die Bausteine ran oder bin ich dann der Mops?
Stichwort: Vendor Lock-In.
Zum Vergrößern anklicken....

Wir generieren mit einem Tool von Wibu, welches an der Cloud von Wibu hängt, Passwörter(welche man nie im Klartext sieht). Die Passwörter können dann je nach Berechtigungslevel einzelnen Nutzern zugewiesen werden. Wenn ein Passwort bzw. Passwörter für einen Nutzer bereitstehen, kann dieser die Passwörter mit einer TicketID von einer Website auf seinen Codemeter Dongle (USB Stick) überspielen.
Bei der Zuweisung der Passwörter zu den Usern kann man ein Ablaufdatum und Restrictions festlegen. Wenn ich kein Ablaufdatum festlege, sind die Keys auf dem Dongle unbegrenzt gültig. So lange man den USB Stick nicht verliert, kommt man immer an alle Bausteine ran. Das Hosting braucht man nur, um neue Dongle zu erstellen bzw. Aktualisierungen für diese auszurollen. Bei den Restriktions kann man festlegen, ob man ein Passwort von einem Baustein entfernen darf.
Wir haben im Büro wenige Masterdongle (kein Ablaufdatum/keine Restrictions) für den Fall, dass es den Dienst mal nicht mehr gibt. Die Programmierer die durch die Welt reisen haben alle ein Ablaufdatum in ihren Dongles und müssen die Keys alle paar Monate über die Website aktualisieren - wenn man mal einen Dongle beim Kunden verliert oder dieser ggf. geklaut wird, ist dieser nur ein paar Monate nutzbar.
Wenn sich abzeichnen würde, dass wir nicht mehr mit Wibu zusammenarbeiten wollen, würde ich auf alle unsere Dongles Keys ohne Ablaufdatum und ohne Restrictions ausrollen.

Zugegeben, das Tool mit welchem die Passwörter verwaltet/erzeugt/zugewiesen werden, ist etwas schwurbelig und umständlich. Da könnte man für das Geld durchaus mehr erwarten, es tut aber (mit etwas unnötiger Klickarbeit) was es soll. Wenn man in dem Tool hunderte Programmierer und hunderte Passwörter verwalten will, müsste Wibu dort nochmal etwas nachbessern, das wäre recht unübersichtlich. Für unsere Zahl an Programmierern und Passwörtern ist es aber noch erträglich.
 
Kurzes Update von meiner Seite:
Wir haben uns letztendlich gegen den PW-Provider von WIBU entschieden & bleiben bei den Passwörtern in Exel oder txt-Files.

Gründe:
  • Der Passwort-Bestand kann nicht integriert werden, da die initiale Verschlüsselung mit dem Provider erfolgen muss.
    Wir würden die unverschlüsselten Passwort-Listen also nicht los werden.
  • Ich komme nicht an die Klartext-Passwörter ran.
    Wenn jetzt einer seinen Dongle verliert oder zuhause vergisst kann ich ihm nicht im Notfall das PW telefonisch durchgeben.
  • Die fehlende Export-Möglichkeit für Klartext-Passwörter führt zudem, mehr oder weniger, zu einem Vendor-LockIn.
    Wir sind mit einer Dongle-Lösung für die Lizenzen unserer hauseigenen Leitsystem-Software schon einmal ganz böse auf die Schnauze geflogen, als es die Dongles irgendwann nicht mehr gab & diese angefangen haben wegzusterben.
  • Da wir teils >40 Jahre Support für unsere Anlagen liefern müssen, sehen wir es als fraglich ob WIBU ihre Software + Dongles für einen ähnlichen Zeitrahmen anbieten wird. Wenn die Dongles oder Software abgekündigt werden, die Dongels selbst irgendwann vllt. kaputt gehen & es keine Option für einen Fallback-Zugriff gibt (=> Klartext-Passwörter) wirds schnell unlustig.
  • Die Umstellung auf PW-Austausch per Cloud-Dienst führt zu nem kleineren vierstelligen Betrag / Jahr an laufenden Kosten.
    (Gab anscheinend auch mal eine reine Offline-Losung, die aber nicht mehr angeboten wird)
    Für den sehr übersichtlichen Mehrwert zur Exel-Liste sind unsere Zahlenfuchser im Moment einfach zu geizig.
tldr:
WIBU ist eine super Lösung um seinen Code gegen unbefugten Zugriff zu sichern, aber zu sicher um nicht irgendwann die Konfrontation mit dem ungeschmierten Dildo der Konsequenzen zu riskieren ¯\_(ツ)_/¯
 

Similar threads

ModbusDani1995
Step 7 Nur Lese Rechte Simatic Manager und TIA Portal für Schichttechnik.
Antworten
10
Aufrufe
1K
C/E
C
D
TIA geschütze Bausteine aus anderem Projekt
Antworten
1
Aufrufe
367
ChristophD
ChristophD
Kabeläffle
Step 7 Datenrettung trotz unbekanntem CPU-Passwort?
Antworten
7
Aufrufe
880
thomass5
thomass5
JesperMP
TIA S7-1515SP Open Controller. Schutzstufen
Antworten
0
Aufrufe
262
JesperMP
JesperMP
J
Step 7 RFID Anschaltbaugruppe ASM475
Antworten
9
Aufrufe
754
JoeJo
J
Zurück
Oben