组态安全功能 AAA 用户管理

时间：2021-08-27作者：上海腾希电气技术有限公司浏览：67

用户管理



用户管理概述

通过可组态的用户设置来管理对设备的访问。使用密码设置用户以供验证。为用户分配具有适当权限的角色。

用户的身份验证可在本地由设备执行，也可由外部 RADIUS 服务器执行。可在“安全 > AAA > 常规”(Security > AAA > General) 页面中组态身份验证的处理方式。

本地登录

用户本地登录时设备的工作方式如下：

用户通过用户名和密码在设备上登录。

设备检查是否存在该用户的条目。

→ 如果存在条目，该用户成功登录并具有所关联角色的权限。

→ 如果不存在相应的条目，则拒绝该用户登录。

通过外部 RADIUS 服务器登录

RADIUS（Remote Authentication Dial-In User Service，拨入用户远程认证服务）是通过集中存储用户数据的服务器来验证用户和为用户授权的协议。

根据您在“安全 > AAA > RADIUS 客户端”(Security > AAA > RADIUS Client) 页面中所选择的 RADIUS 验证模式，设备可评估 RADIUS 服务器的不同信息。

RADIUS 身份验证模式“Standard”

如果已设置身份验证模式“conventional”，则用户在 RADIUS 服务器上的身份验证将按如下方式运行：

用户通过用户名和密码在设备上登录。

设备将带有登录数据的身份验证请求发送到 RADIUS 服务器。

RADIUS 服务器执行检查并将结果发送回设备。

- RADIUS 服务器报告身份验证成功，并向设备的属性“Service Type”返回值“Administrative User”。

→ 用户登录并带有管理员权限。

- RADIUS 服务器会报告身份验证成功，并会向设备的属性“Service Type”返回差异或甚至是无值。

→ 用户登录并具有读取权限。

- RADIUS 服务器向设备报告身份验证失败：

→ 用户被拒绝访问。

RADIUS 模式“SiemensVSA”

要求

对于 RADIUS 验证模式“Siemens VSA”，需要在 RADIUS 服务器上设置以下需求：

制造商代码：4196

属性编号：1

属性格式：字符型字符串（组名称）

步骤

如果已设置身份验证模式“SiemensVSA”，则用户在 RADIUS 服务器上的身份验证将按如下方式运行：

用户通过用户名和密码在设备上登录。

设备将带有登录数据的身份验证请求发送到 RADIUS 服务器。

RADIUS 服务器执行检查并将结果发送回设备。

情况 A：RADIUS 服务器报告身份验证成功，并向设备返回已为用户分配的组。

- 组已在设备中已知，但用户并未在表“外部用户帐户”中输入。

→ 用户将登录并具有所分配组的权限。

- 组已在设备中已知，且用户并已在表“外部用户帐户”中输入。

→ 已为用户分配了更高的权限，用户会登录并拥有这些权限。

- 组已在设备中未知，且用户并已在表“外部用户帐户”中输入。

→ 用户将登录并具有已链接到用户帐户的角色所对应的权限。

- 组已在设备中未知，但用户并未已在表“外部用户帐户”中输入。

→ 用户将登录并具有“Default”角色的权限。

情况 B：RADIUS 服务器会报告身份验证成功，但不会向设备返回一个组。

- 用户已在“外部用户帐户”表中输入：

→ 用户将登录并具有所链接角色的权限。

- 用户未在“外部用户帐户”表中输入：

→ 用户将登录并具有“Default”角色的权限。

情况 C：RADIUS 服务器向设备报告身份验证失败：

- 用户被拒绝访问。


上海腾希电气技术有限公司专注于西门子PLC,V90伺服,V20变频器等, 欢迎致电 13681875601

• 词条

  词条说明

• intouch组态软件与西门子smart PLC的通信过程

  西门子PLC系列S7-200 smart是S7-200的加强版，与西门子PLC S7-200相比，它在性能上，硬件配置和软件组态方面都有提高，也得到了用户的广泛认可。也由于smart版本较新，如果组态软件较老，则无法与smart进行通信，幸运的是在intouch组态软件新版的KEPServer6.4版本以上支持西门子smart、1200、1500系列PLC，跟大家分享一下intouch组态软件经过

• 传输完整性

  传输完整性传输完整性在数据传输和传输程序选择上起着重要作用。 一般而言，使用参考模型的层数越多，传输完整性越高。对提供的协议进行分类下图说明了通信模块的这些协议与参考模型的匹配情况：图片: 参考模型中现有通信模块协议的分类协议与通信模块的映射关系协议CP 340CP 341CPU 313C-2 PtPCPU 314C-2 PtPCP 440CP 441ET 200S 1SI打印机驱动程序●●&nb

• OSPFv3 虚拟链路

  虚拟链路概述由于协议的原因，每个区域边界路由器都必须访问骨干区域。如果路由器未直接连接到骨干区域，则会创建到骨干区域的虚拟链路。提示此功能只适用于* 3 层。提示请注意，创建虚拟链路时，中转区域和骨干区域必须都已组态完毕。虚拟链路两端的组态必须相同。显示框说明该页面包含以下内容：Neighbor Router ID输入虚拟连接另一端的邻近路由器的 ID。Transit Area ID选择连接两个路

• 事件 组态

  组态在此页面中*设备对系统事件的响应方式。启用相应选项，*设备对事件的响应方式。要启用或禁用选项，请单击各列的相关设置。说明信号触点响应 (Signaling Contact Response)选择信号触点的行为。可用选项如下：- 传统 (conventional)默认的信号触点设置。故障 LED 显示错误/故障，信号触点断开。错误/故障状态不再存在时，故障 LED 熄灭，并且信号触