原创 Luis Wang 智能大大号引文:博途工控人平时在哪里技术交流博途工控人社群
西门子在工业自动化领域可谓傲视群雄,在制药工厂,有超过50%以上的自动化系统、设备都配备了西门子的PLC、DCS、HMI及SCADA(wincc)平台;包括配液及CIP、制水、BMS、EMS、灭菌柜等很多系统。
每个系统可能涉及多个用户操作终端,以往的用户权限管理,需要在每个HMI、每台上位机分别进行管理。为安全起见,通常每3~6个月还需对密码进行更改。如果出现人员岗位变动,需要新增、删除用户权限,也会是一个不小的工作量。极有可能出现的一种情况是:
操作员小A要带着小本本去现场,上面记的是各种密码,因为每个操作面板终端之间都不 同 步 !!!
如何解决上面的问题呢?
域账户+西门子Simatic Logon=一个账号通吃所有西门子系统!
这是基于用户角色的权限管理方式。甚至可延伸至未来的PCS 7,MES系统用户管理 。同时simatic logon符合FDA 21 CFR Part 11。
先看看simatic logon登陆过程是如何实现的
看过之后我们一起来实践吧!
本文以BMS系统为例,Active Directory域服务器基于windows server 2016,Simatic Logon服务器基于server 2016+simatic logon v1.6(触摸屏需要remote access授权),上位机Wincc 7.4 sp1 upd8,触摸屏为MP277、TP1200。
实现BMS系统所有现场触摸屏和上位机权限集中在Active Directory域服务器中管理。
整个系统架构如下:
1.搭建Active Directory域环境
1.1 安装操作系统(略)
1.2 安装Active Directory域服务
服务器管理器-安装角色和功能-勾选Active Directory域服务
安装完成后将服务器提升为域控制器。基于最佳实践,域控制器我们通常需配置2台,互为灾备。
1.3 在域中添加用户及用户组
为方便管理,我们在域中按部门建立OU(组织单元),如设备工程部(Equipment and Engineering Department),在OU中建立用户及用户组。
我们分别建立BMSEngineer(BMS工程师)、BMSOperator(BMS操作员)及用户若干。
将用户A添加到用户组 BMSEngineer中
2.搭建Simatic logon服务器
2.1 安装操作系统,将Simatic logon服务器加入域中(略)
2.2 安装simatic logon软件包
安装软件及remote access 授权
安装完成后会有如下组件:
事件记录浏览器可以查看所有登陆操作的记录。
组态Simatic Logon:可以对Simatic Logon登陆选项进行配置。
2.3 配置simatic logon组态
安装完成后,Simatic Logon会在本地用户组中添加一个Logon_Administrator用户组,需要把要进行组态的用户添加到该组中。
组态Simatic Logon:
常规选项卡:设置登陆语言,欢迎信息
设置登陆超时:
设置登陆安全选项,如果是非加密连接,一定要勾选该复选框
2.4 配置simatic logon服务器防火墙规则
高级设置---所连接的网络类型----入站规则
Simatic logon remote access service ---作用域
本地ip地址选择任何地址
远程ip地址---由本地子网----修改为任何IP地址。
Simatic logon service ---作用域
本地ip地址选择任何地址
远程ip地址---由本地子网----修改为任何IP地址。
至此,域环境以及Simatic Logon服务器已经搭建完成,下期我们将进行WinCC服务器、触摸屏用户管理的组态,以及最终的实现效果,敬请期待!引文:博途工控人平时在哪里技术交流博途工控人社群
