基于域账户及西门子simatic logon的集中权限管理的实现

发布时间:2024年01月16日

原创?Luis Wang?智能大大号引文:博途工控人平时在哪里技术交流博途工控人社群

西门子在工业自动化领域可谓傲视群雄,在制药工厂,有超过50%以上的自动化系统、设备都配备了西门子的PLC、DCS、HMI及SCADA(wincc)平台;包括配液及CIP、制水、BMS、EMS、灭菌柜等很多系统。

????每个系统可能涉及多个用户操作终端,以往的用户权限管理,需要在每个HMI、每台上位机分别进行管理。为安全起见,通常每3~6个月还需对密码进行更改。如果出现人员岗位变动,需要新增、删除用户权限,也会是一个不小的工作量。极有可能出现的一种情况是:

????操作员小A要带着小本本去现场,上面记的是各种密码,因为每个操作面板终端之间都不 同 步 !!!

如何解决上面的问题呢?

域账户+西门子Simatic Logon=一个账号通吃所有西门子系统!

????这是基于用户角色的权限管理方式。甚至可延伸至未来的PCS 7,MES系统用户管理 。同时simatic logon符合FDA 21 CFR Part 11。


先看看simatic logon登陆过程是如何实现的

图片

看过之后我们一起来实践吧!

本文以BMS系统为例,Active Directory域服务器基于windows server 2016,Simatic Logon服务器基于server 2016+simatic logon v1.6(触摸屏需要remote access授权),上位机Wincc 7.4 sp1 upd8,触摸屏为MP277、TP1200。

实现BMS系统所有现场触摸屏和上位机权限集中在Active Directory域服务器中管理。

整个系统架构如下:

图片

1.搭建Active Directory域环境

1.1 安装操作系统(略)

图片

1.2 安装Active Directory域服务

????服务器管理器-安装角色和功能-勾选Active Directory域服务

图片

安装完成后将服务器提升为域控制器。基于最佳实践,域控制器我们通常需配置2台,互为灾备。

1.3 在域中添加用户及用户组

方便管理,我们在域中按部门建立OU(组织单元),如设备工程部(Equipment and Engineering Department),在OU中建立用户及用户组。

我们分别建立BMSEngineer(BMS工程师)、BMSOperator(BMS操作员)及用户若干。

图片

将用户A添加到用户组?BMSEngineer中

图片

2.搭建Simatic logon服务器

2.1 安装操作系统,将Simatic logon服务器加入域中(略)

图片

2.2 安装simatic logon软件包

????安装软件及remote access 授权

????安装完成后会有如下组件:

????事件记录浏览器可以查看所有登陆操作的记录。

????组态Simatic Logon:可以对Simatic Logon登陆选项进行配置。

图片

2.3 配置simatic logon组态

安装完成后,Simatic Logon会在本地用户组中添加一个Logon_Administrator用户组,需要把要进行组态的用户添加到该组中。

图片

???????组态Simatic Logon:

????????常规选项卡:设置登陆语言,欢迎信息

图片

设置登陆超时:

图片

设置登陆安全选项,如果是非加密连接,一定要勾选该复选框

图片

2.4 配置simatic logon服务器防火墙规则

高级设置---所连接的网络类型----入站规则

Simatic logon remote access service ---作用域

本地ip地址选择任何地址

远程ip地址---由本地子网----修改为任何IP地址。

Simatic logon service ---作用域

本地ip地址选择任何地址

远程ip地址---由本地子网----修改为任何IP地址。

至此,域环境以及Simatic Logon服务器已经搭建完成,下期我们将进行WinCC服务器、触摸屏用户管理的组态,以及最终的实现效果,敬请期待!引文:博途工控人平时在哪里技术交流博途工控人社群

文章来源:https://blog.csdn.net/gongkongxiaozhou/article/details/135632078
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。