CODESYS Development System > 参考,用户接口 > 对象 > 对象‘设备’与通用设备编辑器 > ‘访问权限’选项卡
.
‘访问权限’选项卡
.
.
.
.
.
.

提示!

有关数据安全性的建议

为了将违反数据安全的风险降至最低,我们建议对运行应用程序的系统采取以下组织和技术措施。尽可能避免将PLC和控制网络暴露于开放网络和Internet中。使用其他数据链路层进行保护,例如用于远程访问的VPN,并安装防火墙机制。仅限访问授权人员,并在首次调试期间更改任何现有的默认密码,并定期进行更改。

提示!

“设备用户管理的处理”中提供了有关设备用户管理的概念和使用的详细信息。

在那里,您还将找到有关如何使用编辑器的以下说明:

  • 首次登录控制器以编辑和查看其用户管理
  • 在控制器的用户管理中设置新用户
  • 在控制器的用户管理中更改对控制器对象的访问权限
  • 从*.dum文件加载用户管理,进行修改,然后以离线模式将其下载到控制器

在设备编辑器的此选项卡上,定义设备用户对控制器上的对象的设备访问权限。与项目用户管理一样,用户必须是至少一个用户组的成员,并且只能向用户组授予某些访问权限。

.显示访问权限选项卡的要求:

  • 在CODESYS选项的设备编辑器类别中,必须选择显示访问权限页选项。
    请注意,此CODESYS选项可以由设备描述覆盖。

.授予用户组访问权限的要求

  • 用户管理组件必须在控制器上可用。这是基本要求。
  • 用户和用户组必须在用户和组选项卡上进行配置。
.
.
.
.
.
.
.
.

.选项卡的工具栏

同步

打开和关闭设备上编辑器和用户管理之间的同步。

如果未按下该按钮,则编辑器为空白或包含您从硬盘加载的配置。

按下按钮后,CODESYS会将编辑器中的显示与所连接设备上的当前用户管理连续同步。

如果在编辑器包含尚未与设备同步的用户配置时使能同步,则会提示您编辑器内容应如何处理。选项:

  • 从设备上载并覆盖编辑器内容:设备上的配置将加载到编辑器中,覆盖当前内容。
  • 将编辑器内容下载到设备并覆盖其用户管理: 编辑器中的配置将传输到设备并在此处应用。

从磁盘导入

警告:通过*.dum2 文件导入设备用户管理将完全覆盖设备上的现有用户管理。为了在之后再次登录设备,您需要新用户管理的认证数据。这意味着在导入后,您必须从导入的用户管理中以用户身份登录。

  • 单击用户和组选项卡上的按钮以导入设备用户管理文件*.dum2时,将打开用于选择文件的默认对话框,以从硬盘驱动器中选择设备用户管理文件。选择文件后,将打开输入密码对话框。您必须指定导出文件时分配的密码。然后启用用户管理。
    注意:在V3.5 SP16之前,使用的设备用户管理文件 (*.dum)文件类型不需要任何加密。
  • 单击访问权限选项卡上的按钮以导入设备权限管理文件*.drm时,将打开用于选择文件的默认对话框,以便从硬盘驱动器中选择相应的文件。对话框中现有的配置将被导入的文件覆盖。

导出到磁盘

  • 单击用户和组 选项卡上的按钮时,首先会打开输入密码对话框,用于为设备用户管理文件分配密码。注意:稍后在导入此文件时必须重复此密码,以在控制器上启用此用户管理。
    关闭密码分配对话框后,将打开用于从硬盘选择和导入用户管理配置的默认对话框。在本例中,文件类型为设备用户管理文件 (*.dum2)
    注意:在V3.5 SP16之前,使用的设备用户管理文件 (*.dum)文件类型不需要任何加密。
  • 当您单击访问权限选项卡上的按钮时,文件类型为设备权限管理文件 (*.drm)。在这种情况下,保存前不必为文件分配密码。

设备用户

当前登录设备的用户名

.
.

.对象

在树形结构中,列出了可以在runtime对其执行动作的对象。每个对象均由其对象源分配,并按对象组进行部分排序。在权限视图中,可以配置用户组对所选对象的访问选项。

.对象源(根节点)

  • 文件系统对象 ➔ 设备:在这些对象中,可以将权限授予控制器当前执行目录的文件夹。
  • Runtime 对象 ➔ /:在这些对象中,所有在控制器中具有在线访问权限的对象都受到管理,因此必须控制访问权限。

对象的描述位于表中。 对象概述

对象组和对象(缩进)

例如:设备与子节点日志PlcLogic设置用户管理

.

.权限

通常,访问权限是从根对象(也包括设备/继承到子对象的。这意味着,如果用户组的权限被拒绝或显式授予父对象,则这首先会影响所有子对象。

该表适用于树中当前选定的对象。对于每个用户组,它显示当前为此对象的可能操作配置的权限。

.对对象可能采取的操作:

  • 添加/删除
  • 修改
  • 视图
  • 执行

单击对象时,右侧的表格显示了所选对象的可用用户组的访问权限。

这使您可以快速查看:

  • 哪些访问权限由对象评估
  • 哪个用户组对哪个对象具有哪个有效权限

.符号的含义

  • :显式授予访问权限
  • :显式拒绝访问权限
  • :通过继承授予的访问权限
  • :通过继承拒绝访问权限
  • :没有明确授予或拒绝访问权限,并且父对象也未继承该访问权限。无法访问。
  • 无符号:选择了具有不同访问权限的多个对象。

单击符号更改权限。

.

.例如

访问权限选项卡上的日志对象由“日志”组件创建,并控制其访问权限。它位于设备runtime对象的正下方。

该对象的可能访问权限只能授予查看操作。

最初,每个对象都具有读取访问权限。这意味着每个用户都可以读取控制器的“日志”。如果要拒绝单个用户组的访问权限(在示例中为Service),则必须明确拒绝对日志对象的读取访问。

.
对象概述
.

Runtime对象 ➔ 设备

日志

在线访问日志是只读的。因此,此处只能授予或拒绝查看访问权限。

PlcLogic

在下载过程中,所有IEC应用程序都会作为子对象自动插入此处。删除应用程序后,它将自动删除。这样可以对在线访问应用程序进行特定的控制。可以在PlcLogic中的所有应用程序上集中分配访问权限。AdministratorDeveloper用户组具有对IEC应用程序的完全访问权限。ServiceWatch用户组只具有读访问(例如,用于只读监测值)。

 

下表显示了特别是在为IEC应用程序授予特定访问权限时受影响的操作。

x : 必须明确设置权限。

- : 该权限不相关。

 

应用程序

操作

访问权限

   

添加/删除

执行

修改

查看

  

登录

-

-

-

x

  

创建

x

-

-

-

  

创建子对象

x

-

-

-

  

删除

x

-

-

-

  

下载/在线更改

x

-

-

-

  

创建启动应用程序

x

-

-

-

  

读变量

-

-

-

x

  

写变量

-

-

x

x

  

强制变量

-

-

x

x

  

设置和删除断点

-

x

x

-

  

设置下一条语句

-

x

x

-

  

读取调用堆栈

-

-

-

x

  

单周期

-

x

-

-

  

开启流量控制

-

x

x

-

  

启动/停止

-

x

-

-

  

复位

-

x

-

-

  

恢复保持型变量

-

x

-

-

  

保存保持型变量

-

-

-

x

PlcShell

此时仅评估修改权限。这意味着只有将修改权限授予用户组后,才能评估PLC Shell命令。

远程连接

可以在此节点下方配置到控制器的其他外部连接。当前,可以在此处配置对CODESYS OPC UA服务器的访问。

设置

这是对控制器配置设置的在线访问。默认情况下,仅将修改权限授予管理员。

用户管理

这是对控制器用户管理的在线访问。默认情况下,读/写访问权限仅授予管理员。

X509

它控制了对X.509证书的在线访问。此处区分两种访问类型:

  • 读(查看
  • 写(修改

每个操作都分配给这两个访问权限之一。每个操作都作为子对象插入X509下方。因此,现在可以进一步微调每个操作的访问权限。

 

文件系统对象 ➔ /

 

控制器执行路径中的所有文件夹均插入“/”文件系统对象下方。这使您可以授予文件系统每个文件夹的特定权限。

.

.另请参见