基于域账户及西门子simatic logon的集中权限管理的实现

西门子在工业自动化领域可谓傲视群雄,在制药工厂,有超过50%以上的自动化系统、设备都配备了西门子的PLC、DCS、HMI及SCADA(wincc)平台;包括配液及CIP、制水、BMS、EMS、灭菌柜等很多系统。

每个系统可能涉及多个用户操作终端,以往的用户权限管理,需要在每个HMI、每台上位机分别进行管理。为安全起见,通常每3~6个月还需对密码进行更改。如果出现人员岗位变动,需要新增、删除用户权限,也会是一个不小的工作量。极有可能出现的一种情况是:

操作员小A要带着小本本去现场,上面记的是各种密码,因为每个操作面板终端之间都不 同 步 !!!

如何解决上面的问题呢?

域账户+西门子Simatic Logon=一个账号通吃所有西门子系统!

这是基于用户角色的权限管理方式。甚至可延伸至未来的PCS 7,MES系统用户管理 。同时simatic logon符合FDA 21 CFR Part 11。

先看看simatic logon登陆过程是如何实现的

看过之后我们一起来实践吧!

本文以BMS系统为例,Active Directory域服务器基于windows server 2016,Simatic Logon服务器基于server 2016+simatic logon v1.6(触摸屏需要remote access授权),上位机Wincc 7.4 sp1 upd8,触摸屏为MP277、TP1200。

实现BMS系统所有现场触摸屏和上位机权限集中在Active Directory域服务器中管理。

整个系统架构如下:

1.搭建Active Directory域环境

1.1 安装操作系统(略)

1.2 安装Active Directory域服务

服务器管理器-安装角色和功能-勾选Active Directory域服务

安装完成后将服务器提升为域控制器。基于最佳实践,域控制器我们通常需配置2台,互为灾备。

1.3 在域中添加用户及用户组

为方便管理,我们在域中按部门建立OU(组织单元),如设备工程部(Equipment and Engineering Department),在OU中建立用户及用户组。

我们分别建立BMSEngineer(BMS工程师)、BMSOperator(BMS操作员)及用户若干。

将用户A添加到用户组 BMSEngineer中

2.搭建Simatic logon服务器

2.1 安装操作系统,将Simatic logon服务器加入域中(略)

2.2 安装simatic logon软件包

安装软件及remote access 授权

安装完成后会有如下组件:

事件记录浏览器可以查看所有登陆操作的记录。

组态Simatic Logon:可以对Simatic Logon登陆选项进行配置。

2.3 配置simatic logon组态

安装完成后,Simatic Logon会在本地用户组中添加一个Logon_Administrator用户组,需要把要进行组态的用户添加到该组中。

组态Simatic Logon:

常规选项卡:设置登陆语言,欢迎信息

设置登陆超时:

设置登陆安全选项,如果是非加密连接,一定要勾选该复选框

2.4 配置simatic logon服务器防火墙规则

高级设置---所连接的网络类型----入站规则

Simatic logon remote access service ---作用域

本地ip地址选择任何地址

远程ip地址---由本地子网----修改为任何IP地址。

Simatic logon service ---作用域

本地ip地址选择任何地址

远程ip地址---由本地子网----修改为任何IP地址。

至此,域环境以及Simatic Logon服务器已经搭建完成,下期我们将进行WinCC服务器、触摸屏用户管理的组态,以及最终的实现效果,敬请期待!

  • 发表于:
  • 原文链接:https://kuaibao.qq.com/s/20181110G0N9C300?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。

扫码关注云+社区

领取腾讯云代金券