Руководство пользователя Archestra
Подождите немного. Документ загружается.
www.klinkmann.com
Контроль доступа 201
Руководство пользователя ИСР Archestra
© 2006 Klinkmann. Все права защищены.
не удаляются, но этим пользователям в новом режиме будет отказано в
доступе.
• После установления режима идентификации (отличного от None) и
закрытия описываемого окна нужно зарегистрироваться в системе. Это
гарантирует ввод в действие нового режима идентификации. При
нажатии в окне регистрации кнопки Отмена (Cancel) выполняется
завершение работы ИСР.
• После изменения режима идентификации на None и нажатия кнопки
ОК выполняется завершение работы ИСР.
• После установления режима идентификации в Galaxy каждый
пользователь должен будет водить в окне регистрации свои имя и
пароль. Система контроля доступа сравнивает введённые сведения с
информацией из базы данных Galaxy. Возможность выполнения
действий в ИСР и в других компонентах ArchestrA определяется
соответствующими данному пользователю ролями и полномочиями.
Внешний вид графического интерфейса настраивается в соответствии
с предпочтениями пользователя, определёнными в предыдущем сеансе
(в частности, отображается та структура приложения, которая была в
окне ИСР в момент его закрытия). Имя зарегистрировавшегося
пользователя выводится в панели состояния ИСР.
• В режиме идентификации Полномочия пользователя ОС (OS User
Based) пользователь в окне регистрации должен указывать свои имя,
пароль и домен. Система контроля предоставляет пользователю
операционной системы полномочия в ИСР.
• В режиме идентификации Полномочия группы ОС (OS Group
Based) пользователь в окне регистрации также должен указывать свои
имя, пароль и домен. Прежде всего система контроля проверяет
полномочия пользователя для работы в ИСР, затем сравнивает мандат
пользователя с параметрами группы операционной системы,
отображёнными на роли в Galaxy.
Примечание. В обоих режимах идентификации окно регистрации не
открывается, если пользователь уже имеет права запуска данной
утилиты ArchestrA.
• Для пользователя в системе контроля доступа может быть определено
несколько наборов полномочий. Например, одна учётная запись может
разрешать ему работать с объектами, но не с шаблонами экземпляров,
другая, будучи учётной записью администратора, – работать с
шаблонами и манипулировать списками пользователей ArchestrA.
Чтобы переключаться между различными группами полномочий,
оператор должен зарегистрироваться в системе как новый
пользователь. Для этого нужно выполнить команду Смена
пользователя (Change User) меню Galaxy.
Подробнее об идентификации пользователей на основе групп
пользователей операционной системы см. параграф "Предоставление
доступа в режиме проверки полномочий групп ОС".
www.klinkmann.com
202 Глава 9
Руководство пользователя ИСР Archestra
© 2006 Klinkmann. Все права защищены.
Группы прав доступа
Создание и настройка групп прав доступа выполняется на странице
Группы пользователей (Security Groups). Каждый объект Galaxy может
быть связан только с одной группой прав доступа. На странице Роли
(Roles) эти группы сопоставляются ролям пользователей. В данном случае
(см. рисунок) все объекты Galaxy, перечисленные в правой панели, связаны
с группой прав доступа по умолчанию Default.
Чтобы создать новую группу прав доступа, щёлкните символ "+" и введите
её имя в появившемся окне Имеющиеся группы прав доступа (Security
Groups Available). Определение объектов, которые будут связаны с новой
группой, выполняется путём перетаскивания их с помощью мыши из
списков уже существующих групп в список новой группы.
Примечание. Регистр букв при указании имён групп прав доступа не
важен (то есть создать два набора, имена которых различаются только
регистром букв, невозможно).
Чтобы удалить группу прав доступа, нужно выделить её имя и нажать
кнопку с символом "X". Если с группой связаны объекты AutomationObject,
удалить её будет невозможно. Кроме того, нельзя удалить группу прав
доступа Default.
www.klinkmann.com
Контроль доступа 203
Руководство пользователя ИСР Archestra
© 2006 Klinkmann. Все права защищены.
Подробнее об именовании групп прав доступа см. параграф "Допустимые
имена и символы".
Роли
Роли пользователей, которые могут выполнять те или иные действия в
системе, определяются на странице Роли (Roles). По умолчанию в системе
уже определены две роли: Администратор (Administrator) и Default
(Стандартный пользователь).
Чтобы увидеть полномочия, выделите роль в расположенных справа
списках Общие полномочия (General Permissions) или Полномочия
времени исполнения (Operational Permissions). В панели общих
полномочий перечислены действия, которые разрешаются во время
конфигурирования приложения и выполнения административных задач, в
панели полномочий времени исполнения перечислены группы прав
www.klinkmann.com
204 Глава 9
Руководство пользователя ИСР Archestra
© 2006 Klinkmann. Все права защищены.
доступа, определённые на странице Группы прав доступа (Security
Groups). По умолчанию пользователи с ролью администратора обладают
всеми полномочиями в системе.
Примечание. Изменить состав общих полномочий, определённых для роли
администратора, невозможно.
Чтобы определить новую роль, щёлкните символ "+" и введите её название
в окне Имеющиеся роли (Roles Available). Для новых ролей нужно
определять состав общих полномочий и полномочий времени исполнения.
Чтобы удалить роль, выделите её название в списке и щёлкните символ
"X". Если эта роль присвоена каким-либо пользователям, удалить её
нельзя. Кроме того, невозможно удалить роли стандартного пользователя и
администратора, причём сократить перечень полномочий администратора
также нельзя.
Подробнее об именовании ролей см. параграф "Допустимые имена и
символы".
AccessLevel представляет собой параметр InTouch™, который
используется для определения приоритетов выполняемых функций. В
модели контроля доступа сервера IAS он соответствует кодам уровней
доступа InTouch, но при этом никак не связан с приоритетами выполнения.
Максимальное значение этого поля – 9999, минимальное – 0. Если
пользователю будет назначено несколько ролей с различными кодами
уровня доступа, в InTouch будет передано больший из них.
Примечание. Если название роли выделено полужирным шрифтом
красного цвета, она для выбранного режима идентификации является
недопустимой.
Общие полномочия
Для новой роли могут быть определены следующие общие полномочия:
• Запуск ИСР (Can Start an IDE).
• Импортирование и экспортирование (Importing and Exporting).
- Может импортировать (Can Import).
- Может выполнять загрузку/выгрузку Galaxy (Can Utilize Galaxy
Load/Galaxy Dump).
- Может экспортировать (Can Export).
• Стандартное конфигурирование (General Configuration):
- Может изменять используемые экземпляры (Can Modify
Deployed Instances) – эти полномочия представляют собой
супернабор всех типов полномочий, включая группы System
Configuration, Device Integration Objects и Application
Configuration.
Внимание! Если для роли указаны полномочия "Can Modify
Deployed Instances", нужно также указать соответствующие
полномочия на создание, изменение и удаление объектов в
группах System Configuration, Device Integration Objects и
Application Configuration, для того чтобы пользователь мог
захватывать объекты и отменять захват.
- Может отменять ввод комментариев во время изменения (Can
disable change comments).
- Может игнорировать захват (Can override checkout).
- Может выгружать рабочие параметры (Can upload from runtime).
www.klinkmann.com
Контроль доступа 205
Руководство пользователя ИСР Archestra
© 2006 Klinkmann. Все права защищены.
• Конфигурирование системы (System Configuration):
- Может создавать, изменять и удалять шаблоны системных
объектов – платформ и приложений (Can Create/Modify/Delete
System Object Templates – Platforms and Engines).
- Может создавать, изменять и удалять экземпляры системных
объектов – платформ и приложений (Can Create/Modify/Delete
System Object Instances – Platforms and Engines).
- Может создавать, изменять и удалять зоны (Can
Create/Modify/Delete Area Objects).
• Объекты интеграции устройств (Device Integration Objects):
- Может создавать, изменять и удалять шаблоны объектов
интеграции устройств (Can Create/Modify/Delete Device
Integration Object Templates).
- Может создавать, изменять и удалять экземпляры объектов
интеграции устройств (Can Create/Modify/Delete Device
Integration Object Instances).
• Конфигурирование приложений (Application Configuration):
- Может создавать, изменять и удалять шаблоны объектов
ApplicationObject (Can Create/Modify/Delete Application Object
Templates).
- Может создавать, изменять и удалять экземпляры объектов
ApplicationObject (Can Create/Modify/Delete Application Object
Instances).
• Конфигурирование Framework (Framework Configuration):
- Может изменять структуры прав доступа (Can Modify the Security
Model).
- Может изменять региональных параметров (Can Modify
Localization Settings).
- Модификация параметров временной синхронизации (Can
Modify the Time synchronization settings).
• Конфигурирование пользователей (User Configuration):
- Может создавать, изменять и удалять сведения о пользователях
(Can Create/Modify/Delete users).
- Может изменять сведения о себе (Can Modify own User
Information).
• Разрешение рассылки (Deployment Permissions):
- Может рассылать/отменять использование системных объектов
(Can Deploy/Undeploy System Objects).
- Может рассылать/отменять использование объектов зоны (Can
Deploy/Undeploy Area Objects).
- Может рассылать/отменять использование объектов приложения
(Can Deploy/Undeploy Application Objects).
- Может рассылать/отменять использование объектов
DeviceIntegration (Can Deploy/Undeploy DeviceIntegration Objects).
- Может помечать объект как неиспользуемый (Can Mark an Object
as Undeployed).
• Может запускать SMC (Can Start the SMC):
www.klinkmann.com
206 Глава 9
Руководство пользователя ИСР Archestra
© 2006 Klinkmann. Все права защищены.
- Может запуск/останавливать платформы/приложения (Can
Start/Stop Engine/Platform).
- Может записывать данные в объекты gObject с помощью Object
Viewer (Can write to gObject Attributes using Object Viewer).
Полномочия времени исполнения
Для каждой роли могут быть определены следующие полномочия времени
исполнения рабочего приложения:
• Может изменять атрибуты "Использование" (Can Modify "Operate"
Attributes): пользователи могут выполнять определённые стандартные
операции, в число которых входит установка значений атрибутов
ПИД-объекта типа Setpoint (Уставка), Output (Выход) и Control Mode
(Режим управления), управление объектами Discrete Device
(Логическое устройство) и др.
• Может изменять атрибуты "Настройка" (Can Modify "Tune" Attributes):
конечные пользователи могут настраивать значения атрибутов в
рабочей системе. Примеры подобной настройки: изменение
контрольных точек алармов и чувствительности ПИД-регуляторов.
• Может изменять атрибуты "Конфигурирование" (Can Modify
"Configure" Attributes): пользователи могут изменять значения
атрибутов. Нужно, чтобы сначала они отменяли сканирование объекта.
Установка значения этого атрибута рассматривается как одно из
существенных изменений конфигурации (например, смена регистра
ПЛК, передающего данные на вход объекта Логическое устройство –
Discrete Device).
Если в качестве режима идентификации указан режим Полномочия
группы ОС (OS Group Based), поиск доменов и групп пользователей в
доменах можно осуществлять с помощью браузера.
После определения прав доступа к объектам, полномочий для ролей и
полномочий времени использования можно назначать пользователям роли.
www.klinkmann.com
Контроль доступа 207
Руководство пользователя ИСР Archestra
© 2006 Klinkmann. Все права защищены.
Пользователи
На странице Пользователи (Users) отображаются сведения о
пользователях Galaxy и о том, какие роли им назначены. Чтобы назначить
пользователю определённую роль, нужно выделить его имя в панели
Уполномоченные пользователи (Authorized Users Available) и затем
выделить соответствующую роль в списке Соответствующие роли для
<имя пользователя> (Associated Roles for <user name>). Пользователям
могут быть назначены более одной роли.
После выбора режима идентификации OS Group Based эта страница
открывается только в режиме просмотра. В момент регистрации
пользователи автоматически добавляются в список Уполномоченные
пользователи (Authorized Users Available).
Внимание! При указании любого из режимов идентификации на основе
механизмов ОС сведения о пользователях с локальными учётными
записями добавляются в список в следующем формате:
.\<имя_пользователя>. Во время просмотра в InTouch сведений об алармах
www.klinkmann.com
208 Глава 9
Руководство пользователя ИСР Archestra
© 2006 Klinkmann. Все права защищены.
и событиях IAS символ точки заменятся на имя домена пользователя. При
указании режима идентификации Полномочия группы ОС (OS Group
Based) нужно, чтобы сведения об этих учётных записях существовали на
всех узлах Galaxy, для того чтобы регистрация пользователя в системе
завершалась успешно на любом компьютере сети.
При создании новой Galaxy в ней автоматически определяются два типа
пользователей: Администратор (Administrator) и Стандартный пользователь
(DefaultUser). В режиме открытого доступа их удалить невозможно. По
умолчанию им назначаются роли соответственно Administrator и Default.
Примечание. Имена пользователей и названия ролей, выделенные
красным цветом, в данном режиме идентификации являются
недействительными.
Чтобы создать запись о новом пользователе, щёлкните символ "+" и
введите его имя в списке уполномоченных пользователей. Указанное имя
должно быть уникальным в Galaxy. Чтобы удалить сведения о
пользователе, выделите в списке его имя и щёлкните символ "X".
Примечание. Удалить сведения о пользователе, который в текущий
момент зарегистрирован в системе, нельзя.
Подробнее о правилах именования см. параграф "Допустимые имена и
символы".
По умолчанию, только что определённому пользователю назначается
Стандартная (Default) роль (это назначение изменить нельзя, т.к. у каждого
пользователя имеется данная роль), но не роль администратора. Чтобы
изменить назначение, дважды щёлкните текстовое поле и введите нужную
информацию.
Примечание. По умолчанию, все пользователи в дополнение к
определённым для них ролям получают роль Default. Это значит, что, если
пользователи должны иметь полномочия, определяемые новой для них, а
не стандартной ролью, полномочия стандартной роли нужно изменить. В
противном случае все пользователи будут иметь более широкий круг
полномочий, которые определяются для стандартной роли Default во время
установки системы.
Определить для каждого пользователя пароль можно, нажав кнопку
Изменить пароль (Change Password). Появится окно Изменение пароля
(Change Password).
Внимание! При установлении режима идентификации на основе
механизмов ОС изменение пароля в этом окне приводит к изменению
пароля пользователя в операционной системе.
Введите данные, требуемые для идентификации пользователя в среде
конфигурирования, администрирования и исполнения рабочей программы.
www.klinkmann.com
Контроль доступа 209
Руководство пользователя ИСР Archestra
© 2006 Klinkmann. Все права защищены.
Примечание. Пользователь может зарегистрироваться как администратор
в любом режиме идентификации, за исключением ситуаций, когда
контроль доступа отменён. Зарегистрировавшись в узле Репозитория
Galaxy как администратор, пользователь может изменить пароль любого
пользователя Galaxy без указания его предыдущего пароля, в поле Старый
пароль (Old Password). В режиме идентификации Galaxy можно также
изменить Имя пользователя (User name). В режиме идентификации на
основе механизмов ОС в этом поле отображается имя пользователя в
операционной системе. При этом изменить его невозможно.
Введя нужные данные, щёлкните ОК для ввода их в действие или кнопку
Отмена (Cancel) для возврата к предыдущим параметрам контроля
доступа.
После изменения прав доступа
При изменении прав доступа нужно учитывать следующие обстоятельства:
• После изменения прав доступа осуществляется перезапуск ИСР.
• Объекты, для которых был указана иная группа прав доступа,
помечаются как "pending update" (ожидающие обновления) и должны
быть повторно отосланы в место использования, для того чтобы
изменения прав доступа вступили в действие.
• В режимах идентификации на основе механизмов ОС изменение
параметров доступа приводит к обновлению списков пользователей,
их полных имён и групп ОС, если какие-либо сведения изменились
также в операционной системе.
Предоставление доступа в режиме
проверки полномочий групп ОС
Выбор режима идентификации Полномочия группы ОС (OS Group
Based) должен основываться на глубоком понимании принципов
функционирования ОС Windows в области полномочий пользователей,
групп пользователей и контроля доступа. Режим идентификации в
ArchestrA опирается на эти функции Windows.
Нужно учитывать следующие уникальные для режима Полномочия
группы ОС (OS Group Based) моменты:
• Недавно определённый пользователь, работающий на компьютере,
который не имеет доступа к узлу Galaxy, не может устанавливать
значения атрибутов объекта на удалённом узле, если он до этого ещё
на этом узле ни разу не регистрировался (даже если у этого
пользователя достаточно полномочий для выполнения операции во
время работы приложения). Чтобы иметь возможность установки
значений атрибутов на удалённом узле, нужно хотя бы раз на нём
зарегистрироваться.
• Если после регистрации в ArchestrA из рабочей станции,
принадлежащей домену А, контроллер этого домена прекращает
функционирование, последующие регистрации выполняются на
основе данных, сохранённых в локальной кэш-памяти. После того как
работоспособность контроллера домена будет восстановлена, во время
восстановления его каналов связи зарегистрироваться в системе будет
невозможно. Если в период неработоспособности контроллера имя и
пароль пользователя изменяются, возможность локальной работы
будет обеспечена старыми сведениями. Чтобы выполнять операции на
удалённых узлах, нужно попытаться зарегистрироваться в системе с
использованием новых регистрационных данных. Неуспешная
www.klinkmann.com
210 Глава 9
Руководство пользователя ИСР Archestra
© 2006 Klinkmann. Все права защищены.
регистрация означает, что контроллер восстанавливает свои каналы
связи, и попытку регистрации следует повторить позже.
• Попытки регистрации в ArchestrA из рабочей станции с ОС Windows
2000 будут заканчиваться неудачей до тех пор, пока в политиках
локальной безопасности не будет должным образом определена
привилегия ТСВ. Для этого нужно выполнить следующее: на
компьютере с ОС Windows 2000 Server нажать кнопку Пуск (Start)
Панели задач, поместить указатель над пунктом Программы
(Programs), затем – над пунктом Администрирование
(Administrative Tools) и щёлкнуть пункт Политики локальной
безопасности (Local Security Policies); на компьютере с операционной
системой Windows 2000 Professional нажать кнопку Пуск (Start)
Панели задач, щёлкнуть пункт Панель управления (Control Panel),
затем – пункт Администрирование (Administrative Tools), после чего
– пункт Параметры локальной безопасности (Local Security
Settings). В левой панели окна параметров локальной безопасности
раскройте папку Локальные политики (Local Policies), после чего
раскройте папку Назначение прав пользователя (User Rights
Assignment). Дважды щёлкните пункт Работа как части
операционной системы (Act as a part of operating system). В
появившемся окне Параметр локальной политики безопасности
(Local Security Policy Setting) добавьте пользователя
(зарегистрировавшегося на компьютере) путём установки флажка
Параметр локальной политики (Local Policy Setting) и щёлкните
ОК. Для ввода в действие новой привилегии ТСВ нужно завершить
сеанс работы системы и зарегистрироваться в ней повторно. Чтобы
определить привилегию ТСВ, нужно являться администратором
системы.
• Изображение списка доменов и групп пользователей в браузере групп
определяется тем, сконфигурирован ли домен пользователя как Mixed
(смешанный) или Native (чистый). Изображение пользователя должно
соответствовать списку доменов, которое выводится в окно
административного средства Windows манипулирования параметрами
домена. Для определения параметров безопасности группа доменов,
сконфигурированная как "Distribution" (Распределение), а не "Security"
(Защищённые), не подходит.
• Полное имя пользователя будет недоступно клиентам (в частности, не
будет отображаться в окне приложения InTouch), если контроллер
домена отключен от сети во время первой регистрации пользователя в
ArchestrA. Если пользователь регистрировался ранее в ArchestrA,
когда контроллер был подключен к сети, его полное имя будет взято
из кэш-памяти и передано клиенту, даже если контроллер домена был
отключен от сети во время последующей регистрации этого
пользователя в ArchestrA.