用户管理WBM 或 CLI

时间：2021-08-26作者：上海腾希电气技术有限公司浏览：88

用户管理（WBM 或 CLI）



用户管理概述

通过可组态的用户设置来管理对设备的访问。使用密码设置用户以供验证。为用户分配具有适当权限的角色。

用户的身份验证可在本地由设备执行，也可由外部 RADIUS 服务器执行。可在“安全 > AAA > 常规”(Security > AAA > General) 页面中组态身份验证的处理方式。

提示 向 STEP 7 (TIA Portal) 传送设备组态时，不会传送组态的用户、角色和群组。




与先前版本的兼容性

对于固件版本 5.1，用户管理通过 RADIUS 身份验证模式“供应商特定”扩展。为确保对 5.0 及以下固件版本的兼容性，选择的默认设置应保证，在固件升级后，之前的身份验证模式“传统”(conventional) 将继续使用。

本地登录

用户本地登录时设备的工作方式如下：

用户通过用户名和密码在设备上登录。

设备检查是否存在该用户的条目。

→ 如果存在条目，该用户成功登录并具有所关联角色的权限。

→ 如果不存在相应的条目，则拒绝该用户登录。

通过外部 RADIUS 服务器登录

RADIUS（Remote Authentication Dial-In User Service，拨入用户远程认证服务）是通过集中存储用户数据的服务器来验证用户和为用户授权的协议。

根据您在“安全 > AAA > RADIUS 客户端”(Security > AAA > RADIUS Client) 页面中所选择的 RADIUS 身份验证模式，设备可评估 RADIUS 服务器的不同信息。

RADIUS 身份验证模式“Standard”

如果已设置身份验证模式“conventional”，则用户在 RADIUS 服务器上的身份验证将按如下方式运行：

用户通过用户名和密码在设备上登录。

设备将带有登录数据的身份验证请求发送到 RADIUS 服务器。

RADIUS 服务器执行检查并将结果发送回设备。

- RADIUS 服务器报告身份验证成功，并向设备的属性“Service Type”返回值“Administrative User”。

→ 用户登录并具有读/写权限。

- RADIUS 服务器会报告身份验证成功，并会向设备的属性“Service Type”返回差异或甚至是无值。

→ 用户登录并具有读取权限。

- RADIUS 服务器向设备报告身份验证失败：

→ 用户被拒绝访问。

RADIUS 身份验证模式“供应商特定”

要求

对于 RADIUS 验证模式“供应商特定”(Vendor Specific)，需要在 RADIUS 服务器上设置以下需求：

制造商代码：4196

属性编号：1

属性格式：字符型字符串（组名称）

步骤

如果已设置身份验证模式“供应商特定”(Vendor Specific)，则用户在 RADIUS 服务器上的身份验证将按如下方式运行：

用户通过用户名和密码在设备上登录。

设备将带有登录数据的身份验证请求发送到 RADIUS 服务器。

RADIUS 服务器执行检查并将结果发送回设备。

情况 A：RADIUS 服务器报告身份验证成功，并向设备返回已为用户分配的组。

- 组已在设备中已知，但用户并未在表“External User Accounts”中输入。

→ 用户将登录并具有所分配组的权限。

- 组已在设备中已知，且用户并已在表“External User Accounts”中输入。

→ 已为用户分配了更高的权限，用户会登录并拥有这些权限。

- 组已在设备中未知，且用户并已在表“External User Accounts”中输入。

→ 用户将登录并具有已链接到用户帐户的角色所对应的权限。

- 组已在设备中未知，但用户并未已在表“External User Accounts”中输入。

→ 用户将登录并具有“Default”角色的权限。

情况 B：RADIUS 服务器会报告身份验证成功，但不会向设备返回一个组。

- 用户已在“External User Accounts”表中输入：

→ 用户将登录并具有所链接角色的权限。

- 用户未在“External User Accounts”表中输入：

→ 用户将登录并具有“Default”角色的权限。

情况 C：RADIUS 服务器向设备报告身份验证失败：

- 用户被拒绝访问。

通过 RADIUS 或访客 VLAN 分配 VLAN

更改 VLAN 组态情况下的身份验证

如果在验证期间使用“允许 RADIUS VLAN 分配”或“访客 VLAN”功能将一个端口动态地分配给 VLAN，则有如下选项：

如果设备上尚未创建待分配的 VLAN，则会拒绝身份验证。

如果设备上已创建待分配的 VLAN：

- 该端口将成为已分配 VLAN 中的无标记成员（如果尚未成为）。

→ 这样，便可以覆盖此 VLAN 中端口的静态组态，并在取消身份验证时不进行恢复。

- 端口的端口 VID 会变为所分配 VLAN 的 ID。

提示 如果端口只分配给一个 VLAN，则需要相应地手动调整 VLAN 组态。默认情况下，所有端口在“VLAN 1”中为无标记成员。




如果取消身份验证（即通过链路中断），则会取消动态更改。

端口不再是已分配 VLAN 中的成员。

端口的端口 VID 被重设为验证之前的值。

提示 如果端口 VID 与验证之前分配的端口 VID 一致，则该端口保持为此 VLAN 中的无标记成员。




未更改 VLAN 组态情况下的身份验证

在身份验证期间，如果未通过“支持的 RADIUS VLAN 分配”(RADIUS VLAN Assignment Allowed) 或“访客 VLAN”(Guest VLAN) 功能分配任何 VLAN，则端口的 VLAN 组态保持不变。




上海腾希电气技术有限公司专注于西门子PLC,V90伺服,V20变频器等, 欢迎致电 13681875601

• 词条

  词条说明

• 生成树LLDP

  LLDP识别网络拓扑IEEE 802.AB 标准中定义了 LLDP（Link Layer Discovery Protocol，链路层发现协议）。LLDP 是一种用来发现网络拓扑的方法。网络组件使用 LLDP 与其相邻设备交换信息。支持 LLDP 的网络组件具有 LLDP 代理。LLDP 代理会定期发送与其自身有关的信息，并接收所连接设备的信息。接收到的信息存储在 MIB 中。应用PROFINET

• Cloud Connector (S615)

  Cloud Connector (S615)在此页面上，可以组态用于与 TIA Portal 云连接器通信的参数。提示使用通过 * 解决方案（例如 SINEMA RC）集成在产品中的“TIA Portal 云连接器”。为了防止网络节点未经授权访问“TIA Portal 云连接器服务器”，请在“安全 > 防火墙 > 预定义的 IPv4 规则”(Security > Firewa

• 环网冗余 环网

  环网出厂设置出厂设置将 MSTP 定义为冗余方法并定义了以下环网端口：设备出厂默认环网端口SCALANCE XB208 和 XB216P0.1 和 P0.2SCALANCE XB205-3P0.7 和 P0.8SCALANCE XB213-3P0.15 和 P0.16SCALANCE XC206-2SFP、XC208、XC216 和 XC224P0.1 和 P0.2SCALANCE XC206-2

• S7-1200扩展

  1.西门子1200系列CPU较多可以挂载几个I/O模块，不是按个数走的，如果是挂本机扩展模块，再次重申。包括退市的200，在市的SMART，手册上说的较多8个，是按照特定顺序的8个，优势较大化。按照你的需求不一定能8个。主机提供1个5V电源，且不可外加，每个模块消耗一定的5V电流，8入8出和16入16出消耗的5V电流肯定是后者多一些。当然，你还可以挂从站模块，ET200SP，那样不消耗5V电流，按