用户管理WBM 或 CLI

时间：2021-08-26作者：上海腾希电气技术有限公司浏览：90

用户管理（WBM 或 CLI）



用户管理概述

通过可组态的用户设置来管理对设备的访问。使用密码设置用户以供验证。为用户分配具有适当权限的角色。

用户的身份验证可在本地由设备执行，也可由外部 RADIUS 服务器执行。可在“安全 > AAA > 常规”(Security > AAA > General) 页面中组态身份验证的处理方式。

提示 向 STEP 7 (TIA Portal) 传送设备组态时，不会传送组态的用户、角色和群组。




与先前版本的兼容性

对于固件版本 5.1，用户管理通过 RADIUS 身份验证模式“供应商特定”扩展。为确保对 5.0 及以下固件版本的兼容性，选择的默认设置应保证，在固件升级后，之前的身份验证模式“传统”(conventional) 将继续使用。

本地登录

用户本地登录时设备的工作方式如下：

用户通过用户名和密码在设备上登录。

设备检查是否存在该用户的条目。

→ 如果存在条目，该用户成功登录并具有所关联角色的权限。

→ 如果不存在相应的条目，则拒绝该用户登录。

通过外部 RADIUS 服务器登录

RADIUS（Remote Authentication Dial-In User Service，拨入用户远程认证服务）是通过集中存储用户数据的服务器来验证用户和为用户授权的协议。

根据您在“安全 > AAA > RADIUS 客户端”(Security > AAA > RADIUS Client) 页面中所选择的 RADIUS 身份验证模式，设备可评估 RADIUS 服务器的不同信息。

RADIUS 身份验证模式“Standard”

如果已设置身份验证模式“conventional”，则用户在 RADIUS 服务器上的身份验证将按如下方式运行：

用户通过用户名和密码在设备上登录。

设备将带有登录数据的身份验证请求发送到 RADIUS 服务器。

RADIUS 服务器执行检查并将结果发送回设备。

- RADIUS 服务器报告身份验证成功，并向设备的属性“Service Type”返回值“Administrative User”。

→ 用户登录并具有读/写权限。

- RADIUS 服务器会报告身份验证成功，并会向设备的属性“Service Type”返回差异或甚至是无值。

→ 用户登录并具有读取权限。

- RADIUS 服务器向设备报告身份验证失败：

→ 用户被拒绝访问。

RADIUS 身份验证模式“供应商特定”

要求

对于 RADIUS 验证模式“供应商特定”(Vendor Specific)，需要在 RADIUS 服务器上设置以下需求：

制造商代码：4196

属性编号：1

属性格式：字符型字符串（组名称）

步骤

如果已设置身份验证模式“供应商特定”(Vendor Specific)，则用户在 RADIUS 服务器上的身份验证将按如下方式运行：

用户通过用户名和密码在设备上登录。

设备将带有登录数据的身份验证请求发送到 RADIUS 服务器。

RADIUS 服务器执行检查并将结果发送回设备。

情况 A：RADIUS 服务器报告身份验证成功，并向设备返回已为用户分配的组。

- 组已在设备中已知，但用户并未在表“External User Accounts”中输入。

→ 用户将登录并具有所分配组的权限。

- 组已在设备中已知，且用户并已在表“External User Accounts”中输入。

→ 已为用户分配了更高的权限，用户会登录并拥有这些权限。

- 组已在设备中未知，且用户并已在表“External User Accounts”中输入。

→ 用户将登录并具有已链接到用户帐户的角色所对应的权限。

- 组已在设备中未知，但用户并未已在表“External User Accounts”中输入。

→ 用户将登录并具有“Default”角色的权限。

情况 B：RADIUS 服务器会报告身份验证成功，但不会向设备返回一个组。

- 用户已在“External User Accounts”表中输入：

→ 用户将登录并具有所链接角色的权限。

- 用户未在“External User Accounts”表中输入：

→ 用户将登录并具有“Default”角色的权限。

情况 C：RADIUS 服务器向设备报告身份验证失败：

- 用户被拒绝访问。

通过 RADIUS 或访客 VLAN 分配 VLAN

更改 VLAN 组态情况下的身份验证

如果在验证期间使用“允许 RADIUS VLAN 分配”或“访客 VLAN”功能将一个端口动态地分配给 VLAN，则有如下选项：

如果设备上尚未创建待分配的 VLAN，则会拒绝身份验证。

如果设备上已创建待分配的 VLAN：

- 该端口将成为已分配 VLAN 中的无标记成员（如果尚未成为）。

→ 这样，便可以覆盖此 VLAN 中端口的静态组态，并在取消身份验证时不进行恢复。

- 端口的端口 VID 会变为所分配 VLAN 的 ID。

提示 如果端口只分配给一个 VLAN，则需要相应地手动调整 VLAN 组态。默认情况下，所有端口在“VLAN 1”中为无标记成员。




如果取消身份验证（即通过链路中断），则会取消动态更改。

端口不再是已分配 VLAN 中的成员。

端口的端口 VID 被重设为验证之前的值。

提示 如果端口 VID 与验证之前分配的端口 VID 一致，则该端口保持为此 VLAN 中的无标记成员。




未更改 VLAN 组态情况下的身份验证

在身份验证期间，如果未通过“支持的 RADIUS VLAN 分配”(RADIUS VLAN Assignment Allowed) 或“访客 VLAN”(Guest VLAN) 功能分配任何 VLAN，则端口的 VLAN 组态保持不变。




上海腾希电气技术有限公司专注于西门子PLC,V90伺服,V20变频器等, 欢迎致电 13681875601

• 词条

  词条说明

• 日志表 事件日志

  日志表记录事件提示只有与设备存在在线连接时才显示该页面。设备允许用户记录发生的事件，有些事件可以在“系统 > 事件”(System > Events) 中*。这样（举例来说）便可记录身份验证尝试失败的时间或某端口连接状态发生变化的时间。即使在设备关闭后，事件日志表的内容仍可保留。显示值说明严重程度过滤器 (Severity Filters)提示每种严重程度较多支持在表中包含 400

• 模块内部共享输入/共享输出 (MSI/MSO)

  模块内部共享输入/共享输出 (MSI/MSO)简介本部分描述了 S7-1500 I/O 模块的模块内部共享输入/共享输出 (MSI/MSO) 功能，这些模块在 ET 200MP 中的 PROFINET 上运行。模块内部共享输入/共享输出功能通过模块内部共享输入 (MSI) 功能，输入模块可将其输入数据较多提供给 4 个 IO 控制器。 每个控制器都具有对相同通道的读访问权。通过模块内部共

• PC站语法 - OPC 数据项特定的访问权限

  语法 - OPC 数据项特定的访问权限可为一个或多个 OPC 数据项输入访问权限。为其它 OPC 数据项定义的默认权限不会受到影响。OPC 数据项特定访问权限的语法定义如下：=其中：按 OPC 文档中规定的语法*一个或多个 OPC 数据项。也可以使用别名。可以使用下列占位符：* 任意数量不相关字符? 恰好一个

• 移植 SIMATIC S7 200 的数据类型 (WinCC flexible)

  移植 SIMATIC S7 200 的数据类型 (WinCC flexible)移植数据类型 SIMATIC S7 200在移植到 WinCC 的过程中，SIMATIC S7 200 通信驱动程序的数据类型按如下方式进行映射：WinCC flexible 中的数据类型WinCC 中的数据类型BoolBoolByteByteCharCharDIntDIntDWordDWordIntIntRealRe