继续使用访问级别的限制使用“传统访问控制”(Legacy access control) 选项时,不能直接在访问级别设置表中选择访问级别。只能通过以下一种方式为新的本地用户管理设置此选项:通过“匿名”(Anonymous) 用户的访问保护功能权限。系统默认在项目中创建本地用户“匿名”(Anonymous)。借助此用户,可以在没有用户名和 密码的情况下进行登录时,确定项目中 CPU的特性。基于安全原因考虑,匿名用户已取消 激活,使用前需激活。访问级别设置区域通过链接跳转到该编辑器,以设置所需的“匿名”(Anonymous) 用户权 限。 示例: •如果“匿名”(Anonymous) 用户被禁用或者“匿名”(Anonymous) 用户激活但没有分配任何功能权限,则没有用户名和密码任何人都不能登录(对应于访问级别“不能访问 (完全保护)”(No access (completeprotection)))。 • 如果“匿名”(Anonymous) 用户被激活并且 CPU 的“完全访问”(Full access)功能权限通过 相应的角色分配给该用户,则此设置的结果为“无保护”(No protection)。通过在 CPU 属性的“保护和安全”(Protection & Security) 区域中设置“无访问保护”(No accessprotection),也可以到达此目的。操作步骤 要激活“传统访问控制”(Legacy access control)并设置所需的访问级别,请按以下步骤进行 操作: 1. 在 CPU 属性中,转到“保护和安全 > 访问控制”(Protection& Security > Access control)。 2. 选择“激活访问控制”(Activate accesscontrol) 选项,并选中“通过访问级别使用传统访问控 制”(Use legacy access control viaaccess levels) 复选框。 不能在此设置中使用访问级别选择。必须通过 CPU 的“匿名”用户设置访问级别。在默认设置中“匿名”用户被禁用。这意味着,没有密码的用户的访问级别为“无访问(完 全保护)”(No access (completeprotection))(默认设置)。 3. 在项目导航中,转至“安全设置 > 用户和角色”(Security Settings> Users and roles)。 4. 如果要设置“无访问(完全保护)”(No access (completeprotection)) 之外的访问级别,请激 活“匿名”(Anonymous) 用户。可为激活的“匿名”(Anonymous)用户分配一个具有功能权限 的角色,该角色无需输入密码即可访问 CPU。 5. CPU 的功能权限不能直接分配给用户。必须先分配角色:切换到“角色”(Roles) 选项卡并添加新角色。分配一个有意义的名称,例如“PLC1 只读访问角色”(PLC1-Read-Access-Role)。如果将此角色分配给某个用户,则该用户在运行期间具 有 PLC1的只读访问权限。 6. 将访问 CPU“PLC1”所需的功能权限分配给角色“PLC1只读访问角色”(PLC1-Read-Access-Role), 在本例中为“只读访问”(Read access)。 7.切换到“用户”(User) 选项卡,将“PLC1 只读访问角色”(PLC1-Read-Access-Role) 角色分配给激活的“匿名”(Anonymous) 用户。 结果:“匿名”(Anonymous) 用户具有 PLC1 的只读访问权限。这意味着,项目中CPU“PLC1”的 访问级别表被预设为“只读访问”(Read access)(无法更改),未登录的用户只有只读访问权 限。对于完全访问或完全访问(故障安全),必须在表中组态完全访问密码,以实现访问保护。对 于在运行期间需要获取 CPU完全访问的用户(例如,将项目下载到 CPU 上),必须使用此密 码登录后才能执行此操作。 提示为了便于识别用户权限,相应角色应使用有意义的名称。为整个项目创建用户和角色;必须 为项目中的每个 CPU单独选择角色的功能权限。使用描述性名称,有助于快速识别哪些 CPU 具有只读访问权限,哪些 CPU 具有完全保护。 兼容性相关信息在后续部分中,介绍了使用本地用户管理时的 CPU 特性,例如在 STEP 7 中更换模块时,以及在没有本地用户管理的情况下继续使用项目和程序时。
更换部件方案 如果将固件版本< V3.1 的 CPU 更换为固件版本为 V3.1 或更高的 CPU,存储在存储卡上的程序按原来的方式运行。组态的访问级别、OPC UA 服务器和 Web 服务器的用户与之前的 CPU 保持一致。 在这种情况下,无法通过Web 服务器 API 实现“更改密码功能”(Change password function), 因为组态后的 CPU 固件版本< V3.1,并且不支持本地用户管理。 更换 CPU(升级) 如果在 TIA Portal 中将 CPU(固件版本 <V3.1)更换为Zui新 CPU(固件版本为 V3.1 或更高 版本),则对组态的用户数据有如下影响: • 来自 OPC UA 服务器和Web 服务器的用户数据被传输到“用户和角色”(Users and roles) 编 辑器的项目导航中。 注意 更换 CPU时密码丢失 更换 CPU 之前,请确保已获取密码。必须在“用户和角色”(Users and roles) 编辑器中输入此密码。否则,必须分配新密码并通知用户。 • 在“用户和角色”(Users and roles) 编辑器中为每个 Web服务器用户创建相应的角色;角 色名包含 CPU 名称、“Web”字符串和已组态的 Web 服务器用户名。这样,通过在“用户和角色”(Users and roles) 编辑器中分配这些角色,即可轻松恢复每个 CPU 的原始权限。 • 为每个 OPC UA服务器用户创建“OPC UA 服务器访问”(OPC UA server access) 角色。 • OPC UA 访客访问权限和Web 服务器“每个人”(Everybody) 被移植到“匿名”(Anonymous) 用户。 • 每个 OPC UA 用户和每个Web 服务器用户都列在用户和角色编辑器的“用户”(User) 列中。 如果 Web 服务器用户和 OPC UA用户的名称相同,则只创建一个用户。 • 对于受保护的项目,可选择 CPU 执行的操作: –移植用户(要求:已使用具有用户和角色管理权限以及项目/组态编辑权限的用户身份 进行登录。 – 删除用户 •设置“通过访问级别实现传统访问控制”(Legacy access control via access levels) 选项。更换CPU(降级) 如果在 TIA Portal 中将 CPU(自固件版本 V3.1 起)更换为旧型号 CPU(固件版本 <V3.1), 则对组态的用户数据有如下影响: • 本地用户管理不再可用。 • Web服务器的用户及其角色和功能权限保留在“用户和角色”(Users and roles) 编辑器中。 它们不会传送到 CPU属性区域(“Web 服务器 > 用户管理”(Web server > Useradministration)),也不会生效。 • OPC UA 服务器的用户及其角色和功能权限保留在“用户和角色”(Usersand roles) 编辑器 中。没有用户移至 CPU 参数的“OPC UA”区域。 对于用户身份验证设置,仍旧采用默认设置(“OPCUA > 服务器 > 安全 > 用户身份验 证”(OPC UA > Server > Security> User authentication)):将启用访客身份验证。 • 用户无法继续在运行期间更改密码(通过 Web 服务器API)。 组态访问级别 以下部分介绍了如何为 S7-1200/1500 CPU 组态访问等级并输入密码。 通过为 CPU输入多个密码,可以为不同的用户组设置不同的访问权限。 以每个密码分配一个访问等级的方式在表中输入密码。密码的工作方式显示在“访问等级”(Access level) 列中,并在表下面的文本中说明。 示例 为标准 CPU(而不是F-CPU)选择“无访问权限(完全保护)”访问等级,并为表中每个位 于其上方的访问等级输入单独的密码。对于不知道任何密码的用户,CPU 将受到全面保护。甚至也无法访问 HMI。对于知道其中一个设定密码的用户,具体作用取决于密码所在的表行: • 第 1 行中的密码(完全访问权限(无保护))允许将 CPU作为完全未受保护的状态进行 访问。知道此密码的用户可以不受限制地访问 CPU。 • 第 2 行中的密码(读访问权限)允许将 CPU作为受写保护的状态进行访问。知道密 码,知道该密码的用户只能对 CPU 进行读取访问。 • 第 3 行中的密码(HMI访问权)允许将 CPU 作为受读/写保护的状态进行访问。获知该密 码的用户只获得 HMI 访问权。操作步骤 要组态 CPU的访问等级,请按以下步骤操作: 1. 在巡视窗口中打开模块的属性。 2. 在导航区域中打开“保护和安全 >访问控制”(Protection & Security > Access control) 条目。将在巡视窗口中显示一张列有各种访问等级的表格。 3. 在表的第一列中选择所需的访问等级。此列中相应保护等级右侧的绿色复选标记将指示如不输入密码仍可执行的操作。 4. 如果选择了“完全访问权限”之外的访问等级: 在“密码”(Password)列的第一行中指定完全访问权限的密码。 在“确认”(Confirmation) 列中,输入密码以免输入错误。确保密码足够安全,即,不要按照机器可识别的模式来设置密码。必须在第一行“完全访问权限(无保护)”中输入密码。知道此密码的用户便可以不受限制 地访问 CPU,而无论所选保护等级是什么。 5.如果所选访问等级允许的话,可以根据需要将额外的密码分配到其它访问等级。 6. 下载硬件配置,使访问等级可以生效。 结果根据设定的访问等级,保护硬件配置和块免受未经授权的在线访问。如果由于设定的访问等级原因,在没有密码的情况下无法执行操作,则会显示一个用于输入密码的对话框。 连接机制 (S7-1200) 连接机制的设置确定 CPU可以连接的伙伴。在默认设置下,CPU 只能通过 PG/HMI 间安全通 信进行连接,这要求伙伴同样支持 PG/HMI 间安全通信。也可以选择用于 PG/HMI 间安全通信的证书,或者通过 TIA Portal 创建新证书。