例如,如果需要组态访问级别,以确保在没有用户或密码的情况下也可以访问 HMI 设备,则 必须在 CPU属性中激活“通过访问级别使用传统访问控制”(Use legacy access control via access levels)选项。 说明 OPC UA 和 Web 服务器的用户 无论采用哪种访问保护方式,必须在项目导航(“安全设置 >用户和角色”(Security settings > Users and roles) 区域)中组态 Web 服务器和 OPCUA 服务器的用户。 继续使用访问级别的限制 使用“传统访问控制”(Legacy access control)选项时,不能直接在访问级别设置表中选择访 问级别。只能通过以下一种方式为新的本地用户管理设置此选项:通过“匿名”(Anonymous)用户的访问保护功能权限。 系统默认在项目中创建本地用户“匿名”(Anonymous)。借助此用户,可以在没有用户名和密码的情况下进行登录时,确定项目中 CPU 的特性。基于安全原因考虑,匿名用户已取消 激活,使用前需激活。访问级别设置区域通过链接跳转到该编辑器,以设置所需的“匿名”(Anonymous) 用户权 限。 示例: •如果“匿名”(Anonymous) 用户被禁用或者“匿名”(Anonymous) 用户激活但没有分配任何功能权限,则没有用户名和密码任何人都不能登录(对应于访问级别“不能访问 (完全保护)”(No access (completeprotection)))。 • 如果“匿名”(Anonymous) 用户被激活并且 CPU 的“完全访问”(Full access)功能权限通过 相应的角色分配给该用户,则此设置的结果为“无保护”(No protection)。通过在 CPU 属性的“保护和安全”(Protection & Security) 区域中设置“无访问保护”(No accessprotection),也可以到达此目的。操作步骤 要激活“传统访问控制”(Legacy access control)并设置所需的访问级别,请按以下步骤进行 操作: 1. 在 CPU 属性中,转到“保护和安全 > 访问控制”(Protection& Security > Access control)。 2. 选择“激活访问控制”(Activate accesscontrol) 选项,并选中“通过访问级别使用传统访问控 制”(Use legacy access control viaaccess levels) 复选框。 不能在此设置中使用访问级别选择。必须通过 CPU 的“匿名”用户设置访问级别。在默认设置中“匿名”用户被禁用。这意味着,没有密码的用户的访问级别为“无访问(完 全保护)”(No access (completeprotection))(默认设置)。 3. 在项目导航中,转至“安全设置 > 用户和角色”(Security Settings> Users and roles)。 4. 如果要设置“无访问(完全保护)”(No access (completeprotection)) 之外的访问级别,请激 活“匿名”(Anonymous) 用户。可为激活的“匿名”(Anonymous)用户分配一个具有功能权限 的角色,该角色无需输入密码即可访问 CPU。 5. CPU 的功能权限不能直接分配给用户。必须先分配角色:切换到“角色”(Roles) 选项卡并添加新角色。分配一个有意义的名称,例如“PLC1 只读访问角色”(PLC1-Read-Access-Role)。如果将此角色分配给某个用户,则该用户在运行期间具 有 PLC1的只读访问权限。 6. 将访问 CPU“PLC1”所需的功能权限分配给角色“PLC1只读访问角色”(PLC1-Read-Access-Role), 在本例中为“只读访问”(Read access)。 7.切换到“用户”(User) 选项卡,将“PLC1 只读访问角色”(PLC1-Read-Access-Role) 角色分配给激活的“匿名”(Anonymous) 用户。 结果:“匿名”(Anonymous) 用户具有 PLC1 的只读访问权限。这意味着,项目中CPU“PLC1”的 访问级别表被预设为“只读访问”(Read access)(无法更改),未登录的用户只有只读访问权 限。对于完全访问或完全访问(故障安全),必须在表中组态完全访问密码,以实现访问保护。对 于在运行期间需要获取 CPU完全访问的用户(例如,将项目下载到 CPU 上),必须使用此密 码登录后才能执行此操作。 提示为了便于识别用户权限,相应角色应使用有意义的名称。为整个项目创建用户和角色;必须 为项目中的每个 CPU单独选择角色的功能权限。使用描述性名称,有助于快速识别哪些 CPU 具有只读访问权限,哪些 CPU 具有完全保护。 兼容性相关信息(S7-1500) 在后续部分中,介绍了使用本地用户管理时的 CPU 特性,例如在 STEP 7 中更换模块时,以及在没有本地用户管理的情况下继续使用项目和程序时。
更换部件方案 如果将固件版本< V3.1 的 CPU 更换为固件版本为 V3.1 或更高的 CPU,存储在存储卡上的程序按原来的方式运行。组态的访问级别、OPC UA 服务器和 Web 服务器的用户与之前的 CPU 保持一致。 在这种情况下,无法通过Web 服务器 API 实现“更改密码功能”(Change password function), 因为组态后的 CPU 固件版本< V3.1,并且不支持本地用户管理。 更换 CPU(升级) 如果在 TIA Portal 中将 CPU(固件版本 <V3.1)更换为Zui新 CPU(固件版本为 V3.1 或更高 版本),则对组态的用户数据有如下影响: • 来自 OPC UA 服务器和Web 服务器的用户数据被传输到“用户和角色”(Users and roles) 编 辑器的项目导航中。 注意 更换 CPU时密码丢失 更换 CPU 之前,请确保已获取密码。必须在“用户和角色”(Users and roles) 编辑器中输入此密码。否则,必须分配新密码并通知用户。 • 在“用户和角色”(Users and roles) 编辑器中为每个 Web服务器用户创建相应的角色;角 色名包含 CPU 名称、“Web”字符串和已组态的 Web 服务器用户名。这样,通过在“用户和角色”(Users and roles) 编辑器中分配这些角色,即可轻松恢复每个 CPU 的原始权限。 • 为每个 OPC UA服务器用户创建“OPC UA 服务器访问”(OPC UA server access) 角色。 • OPC UA 访客访问权限和Web 服务器“每个人”(Everybody) 被移植到“匿名”(Anonymous) 用户。 • 每个 OPC UA 用户和每个Web 服务器用户都列在用户和角色编辑器的“用户”(User) 列中。 如果 Web 服务器用户和 OPC UA用户的名称相同,则只创建一个用户。 • 对于受保护的项目,可选择 CPU 执行的操作: –移植用户(要求:已使用具有用户和角色管理权限以及项目/组态编辑权限的用户身份 进行登录。 – 删除用户 •设置“通过访问级别实现传统访问控制”(Legacy access control via access levels) 选项更换CPU(降级) 如果在 TIA Portal 中将 CPU(自固件版本 V3.1 起)更换为旧型号 CPU(固件版本 <V3.1), 则对组态的用户数据有如下影响: • 本地用户管理不再可用。 • Web服务器的用户及其角色和功能权限保留在“用户和角色”(Users and roles) 编辑器中。 它们不会传送到 CPU属性区域(“Web 服务器 > 用户管理”(Web server > Useradministration)),也不会生效。 • OPC UA 服务器的用户及其角色和功能权限保留在“用户和角色”(Usersand roles) 编辑器 中。没有用户移至 CPU 参数的“OPC UA”区域。 对于用户身份验证设置,仍旧采用默认设置(“OPCUA > 服务器 > 安全 > 用户身份验 证”(OPC UA > Server > Security> User authentication)):将启用访客身份验证。 • 用户无法继续在运行期间更改密码(通过 Web 服务器API)。 应了解的访问级别知识 (S7-1500) 访问等级 以下内容将介绍如何使用 S7-1200/1500 CPU的各种访问等级。本说明适用于固件版本不超 过 V4.6 的 S7-1200 CPU 或固件版本不超过 V3.0 的 S7-1500CPU。在后续固件版本中,在 用户和角色编辑器的项目导航中使用本地用户管理功能。访问级别在此表示为同名的功能权限,可通过角色将其分配给各个用户。 这些 CPU 提供各种访问等级,以限制对特定功能的访问。 将在 CPU的对象属性中指定各种访问等级以及相关的密码。可在表中分配访问等级的参数各个访问等级右侧列中的绿色复选标记指定在不知道此访问等级的密码的情况下,可以执行的操作。 如果要使用未在“访问”(Access) 列中选择的域功能,那么需要输入密码: 示例:设置了访问等级“读访问权”。可以从表中看到,如果不输入密码,则无法在操作过程中使 用写访问权。该表还显示使用“写入”功能需要具有完全访问权限。 要在操作过程中使用需要写访问权的功能,则必须输入完全访问权限的密码。 注意组态访问等级不会代替专有技术保护 通过限制向 CPU 下载的权限,组态访问等级可提供较高的防护等级,从而防止未经授权的更改。但不会对存储卡上的块设置受读写保护。而使用专有技术保护则可以保护存储卡上 的代码块。 默认特性系统默认的访问等级为“无访问权限(完全保护)”。