System ochrony
©2001, AB-MICRO Sp. z o.o.
Warszawa, listopad 2001
Prawa autorskie
Zarówno podręcznik, jak i oprogramowanie zawierają tajne informacje, które
stanowią tajemnicę handlową firmy Intellution, Inc. oraz jej dystrybutorów i nie mogą
być kopiowane, ani ujawniane z wyjątkiem praw wynikających z umowy licencyjnej
zawartej z firmą Intellution, Inc. Informacja zawarta w tym podręczniku może ulegać
zmianie bez ostrzeżenia i nie powinna być odbierana, jako zobowiązanie firmy
Intellution, Inc. Firma Intellution, Inc. nie ponosi żadnej odpowiedzialności za błędy
zawarte w tym dokumencie.
© 2001, Intellution®, Inc. Wszystkie prawa zastrzeżone.
Znaki handlowe
©
2001 Intellution®, Inc. WSZYSTKIE PRAWA ZASTRZEÅ»ONE. Intellution, FIX, FIX
Stats, Intelligent Solutions, Intellution's Stylized i, PlantTV, Plug and Solve, The FIX i
Visual Batch sÄ… zarejestrowanymi znakami handlowymi firmy Intellution, Inc. FIX
Dynamics, FIX HMI, Intellution Dynamics, iBatch, iClient, iCore, iDownTime, iFIX,
iHistorian, iLogic, iVisualize, iWebCast, iWebServer, iWorkInstruction, VisiconX, The
Intelligent Solution, wspomagany przez iCore, Secure Containment i Designed For
Logo sÄ… znakami handlowymi firmy Intellution, Inc. iGlobalCare jest znakiem
usługowym firmy Intellution, Inc. Wszystkie inne znaki i nazwy są własnością ich
posiadaczy.
iFIX, Wersja 2.6PL - 07.01
Opracowanie wersji polskiej
na podstawie publikacji:
 Implementing Security
AB-MICRO Sp. z o.o.
ul. Kulczyńskiego 14
02-777 WARSZAWA
tel. (0-22) 641-31-30, fax (0-22) 643-14-21
e-mail: abmicro@abmicro.com.pl.
http://www.abmicro.com.pl
©2001, AB-MICRO Sp. z o.o.
Wszelkie prawa zastrzeżone
Warszawa, listopad 2001
2
Spis Treści
1. WPROWADZENIE ............................................................................................................... 1
1.1 Pojęcia podstawowe dotyczące systemu ochrony................................................... 1
1.1.1 Konta użytkowników i grup ................................................................... 2
1.1.2 Funkcje aplikacji i aplikacje .................................................................. 2
1.1.3 Obszary ochrony .................................................................................. 2
1.2 Wykorzystywanie systemu ochrony systemów Windows ........................................ 4
1.2.1 Synchronizowanie kont systemów Windows NT i iFIX......................... 4
1.2.2 Synchronizowanie kont systemów Windows 2000 i iFIX...................... 5
1.2.3 Wykorzystywanie nazw domen ............................................................ 5
1.2.4 Konfigurowanie węzła samodzielnego ................................................. 6
1.3 Ochrona węzłów zdalnych ....................................................................................... 6
1.4 Ochrona środowiska ruchowego ............................................................................. 7
1.4.1 Ochrona skryptów i zabezpieczenie edytora języka Visual Basic ........ 8
2. CZYNNOÅšCI POCZ
TKOWE ........................................................................................... 11
2.1 Uruchamianie i zamykanie programu Konfiguracja systemu ochrony................... 11
2.2 Praca z paskiem narzędzi systemu ochrony.......................................................... 12
2.3 Podstawy dotyczÄ…ce statusu systemu ochrony...................................................... 12
2.4 Ochrona procesu użytkownika  informacje ogólne .............................................. 13
3. IMPLEMENTOWANIE STRATEGII SYSTEMU OCHRONY ............................................. 15
3.1 Implementowanie obszarów ochrony..................................................................... 16
3.2 Implementowanie aplikacji i funkcji aplikacji.......................................................... 16
3.3 Implementowanie kont grup................................................................................... 17
3.4 Implementowanie kont użytkowników.................................................................... 18
3.4.1 Indywidualne przydzielanie aplikacji i funkcji aplikacji ........................ 19
3.5 Wskazówki dotyczące projektowania .................................................................... 20
4. PRACA Z SYSTEMEM OCHRONY ................................................................................... 21
4.1 Definiowanie obszarów ochrony ............................................................................ 21
4.2 Definiowanie katalogu systemu ochrony................................................................ 21
4.3 Definiowanie katalogu zapasowego....................................................................... 22
4.4 Uaktywnianie i blokowanie systemu ochrony......................................................... 23
4.5 Importowanie i eksportowanie konfiguracji systemu ochrony................................ 24
4.5.1 Importowanie haseł kont użytkowników ............................................. 24
4.6 Konfigurowanie ochrony środowiska pracy............................................................ 25
5. ZARZ
DZANIE KONTAMI GRUP I KONTAMI UŻYTKOWNIKÓW ................................. 27
5.1 Tworzenie kont grup i kont użytkowników.............................................................. 27
5.1.1 Ograniczanie czasu zalogowania ....................................................... 28
Spis treści i
5.2 Modyfikowanie kont grup i kont użytkowników ...................................................... 29
5.3 Usuwanie kont grup i kont użytkowników .............................................................. 29
5.4 Tworzenie konta użytkownika receptur.................................................................. 31
6. LOGOWANIE I WYLOGOWYWANIE SI
Z SYSTEMU IFIX............................................ 33
6.1 Podstawy dotyczące dziennika zdarzeń systemu ochrony .................................... 34
6.2 Automatyczne logowanie siÄ™ w systemie iFIX ....................................................... 34
6.3 Usuwanie konfiguracji automatycznego logowania ............................................... 35
7. WYKORZYSTYWANIE J
ZYKA VBA............................................................................... 37
8. USUWANIE BA

DÓW ....................................................................................................... 39
8.1 Komunikaty dotyczÄ…ce konfigurowania systemu ochrony...................................... 40
SA
OWNIK ..................................................................................................................................... 45
ii
Spis Rysunków
Rysunek 1-1: Pojęcia systemu ochrony 2
Rysunek 1-2: Przykładowe konta 3
Rysunek 2-1: Okno programu Konfiguracja systemu ochrony 11
Rysunek 2-2: Zestaw narzędzi systemu ochrony 12
Rysunek 3-1: Przydzielanie uprawnień konta za pomocą konta grupy 15
Rysunek 3-2: Przydzielanie dodatkowych uprawnień za pomocą konta grupy 19
Rysunek 4-1: Dodawanie hasła w pliku konfiguracji systemu ochrony 25
Spis rysunków iii
Spis Tabel
Tabela 3-1: Opis aplikacji i funkcji aplikacji 16
Tabela 4-1: Ograniczanie dostępu przy ochronie środowiska pracy 26
Tabela 5-1: Przykładowe konta użytkowników 27
Tabela 8-1: Sposoby rozwiązywani problemów dotyczących systemu ochrony 39
Tabela 8-2: Komunikaty dotyczÄ…ce konfiguracji systemu ochrony 40
iv
Informacje na temat
opracowania
Niniejszy podręcznik opisuje sposób konfigurowania systemu ochrony w ramach
Cel
systemu iFIX. Uczy, jak odblokowywać system ochrony, tworzyć konta grup i konta
użytkowników, logować się i wylogować się w systemie iFIX.
Podręcznik opisuje wersję v2.6PL systemu iFIX.
Wersja
Podręcznik System ochrony jest przeznaczony dla administratorów systemów
Audytorium
odpowiedzialnych za konfigurowanie systemu ochrony i tworzenie kont
użytkowników, stosowane nazwy obszarów ochrony, oraz konfigurowanie węzłów
do automatycznego logowania się użytkowników.
Zanim rozpocznie się użytkowanie systemu iFIX celowym jest zaznajomienie się z
architekturą i sposobem działania wykorzystywanego komputera, oraz nabycie
doświadczenia w obsługiwaniu okienkowego interfejsu użytkownika, a w
szczególności w zakresie:
" Wykorzystywania myszy.
" Dokonywania wyboru w oknie dialogowym i w rozwijanym menu.
" Manipulowania ikonami.
Jeśli użytkownik potrzebuje informacji w zakresie wykorzystywanego okienkowego
Opracowania
interfejsu użytkownika, to powinien ich szukać w podręczniku użytkownika, który
uzupełniające
towarzyszył wykorzystywanemu systemowi komputerowemu.
Użytkownik może się również odwoływać do następujących podręczników systemu
iFIX przy tworzeniu systemu ochrony:
" Poznawanie systemu iFIX
" ZarzÄ…dzanie systemem.
" Pisanie skryptów.
" Tworzenie receptur.
Organizacja niniejszego podręcznika jest następująca:
Zawartość
Rozdział 1, Wprowadzenie, wprowadza podstawowe pojęcia niezbędne do
rozpoczęcia wykorzystywania systemu ochrony.
Rozdział 2, Czynności początkowe, zawiera instrukcje dotyczące opracowania
odpowiedniej strategii systemu ochrony i projektu jego działania.
Rozdział 3, Implementowanie strategii systemu ochrony, wyjaśnia jak należy
tworzyć modularne konta grup i konta użytkowników..
Rozdział 4, Praca z systemem ochrony, opisuje, jak wykonywać podstawowe
zadania systemu ochrony.
Rozdział 5, Zarządzanie kontami grup i kontami użytkowników, opisuje tworzenie,
modyfikowanie i usuwanie kont grup kont użytkowników.
Rozdział 6, Logowanie i wylogowywanie z systemu iFIX zawiera instrukcje
dotyczące logowania się i wylogowywania się z węzła.
Rozdział 7 Wykorzystywanie języka VBA, opisuje w jaki sposób wykorzystywać
język VBA do pisania skryptów związanych z system ochrony.
Informacje na temat opracowania v
Rozdział 8, Usuwanie błędów, zawiera instrukcje dotyczące usuwania problemów
występujących przy obsłudze programu Konfiguracja systemu ochrony.
Informacja, którą operator wprowadza z klawiatury jest przedstawiana za pomocą
Konwencje
specjalnego fontu jak pokazano poniżej:
stosowane w
niniejszej
SYSTEM_DANYCH.W
ZEA
.BLOK.POLE
dokumentacji
W całej dokumentacji klawisze, które należy naciskać w celu podjęcia pewnego
działania są przedstawiane w nawiasach trójkątnych:

Jeśli wymagane jest naciśnięcie dwóch klawiszy jednocześnie to klawisze takie
pojawiajÄ… siÄ™ jeden obok drugiego.

W dokumentacji wykorzystuje się dla oznaczenia głównego klawisza
wykorzystywanego do przesyłania danych wpisywanych z klawiatury do systemu
iFIX. Na klawiaturze klawisz ten może być opisany za pomocą innej etykiety czy
słowa kluczowego, np. .
Na marginesach można znalez
ć ikony, których zadaniem jest przyciągnięcie uwagi
Ikony
w celu przekazania specjalnej informacji. Tabela poniżej opisuje co takie ikony
oznaczajÄ….
Ikona Zastosowanie
Uwypukla dodatkowe informacje zwiÄ…zane z omawianym
tematem głównym.
Uwypukla wskazówkę.
Uwypukla przestrogi, ostrzeżenia i informacje dotyczące
usuwania błędów.
vi
1. WPROWADZENIE
Użytkownik może monitorować i automatyzować procesy przemysłowe za pomocą
systemu iFIX przez tworzenie rysunków, baz danych procesu, harmonogramów i
plików danych historycznych. Ponieważ system iFIX monitoruje proces
użytkownika, więc tworzy on pliki z danymi, takimi jak na przykład dane
historyczne i alarmy. System iFIX modyfikuje także i uaktualnia inne dane, takie
jak baza danych procesu.
W niektórych przedsiębiorstwach dostęp do aplikacji systemu iFIX i plików z
danymi nie jest ograniczany. W takim środowisku zmiany plików z danymi oraz
dostęp do plików i aplikacji systemu iFIX nie jest krytyczny dla procesu. Jednakże
w innych przedsiębiorstwach aplikacje te i dane są dostępne jedynie osobom
upoważnionym, ponieważ są one krytyczne dla procesu.
Jeśli użytkownik w swoim przedsiębiorstwie chce ograniczyć dostęp do aplikacji i
Ochrona procesu
plików systemu iFIX lub chronić swoje pliki przed zmianami przez osoby do tego
użytkownika
nieupoważnione, to może on uaktywnić system ochrony oprogramowania iFIX.
Wykorzystywanie systemu ochrony jest opcjonalne i jest on domyślnie
zablokowany. Gdy użytkownik uaktywni system ochrony, to wtedy może on
ograniczyć:
" Dostęp do programów systemu iFIX, rysunków, harmonogramów i receptur.
" Dostęp do krytycznych funkcji programu (przykładowo, przeładowywanie bazy
danych).
" Prawo zapisu do bazy danych procesu.
Uaktywnienie systemu ochrony pozwala także śledzić wszystkie zmiany
dokonywane w bazie danych procesu i zmusza operatorów do logowania się w
systemie iFIX. Logowanie wymaga podania nazwy użytkownika i opcjonalnego
hasła. W zależności od konfiguracji, dane te mogą być takie same lub inne niż
nazwa użytkownika i hasło w systemie Windows NT.
Użytkownik może uaktywnić system ochrony za pomocą programu Konfiguracja
systemu ochrony (Security Configuration). Program ten jest łatwą w użyciu
aplikacją, która pozwala przydzielać operatorom prawa, nazwy użytkowników i
hasła.
System ochrony oprogramowania iFIX jest oparty na indywidualnych kontach
użytkowników, co oznacza, że operatorzy nie mają dostępu do aplikacji sytemu
iFIX, plików lub bloków bazy danych do chwili przydzielenia im odpowiednich
uprawnień. Przydzielanie dostępu do programu, pliku lub bazy danych operatorom
nazywane jest przydzielaniem im uprawnień.
1.1 Pojęcia podstawowe dotyczące systemu
ochrony
Użytkownik powinien zrozumieć jak działa system ochrony przed ograniczeniem
operatorom dostępu do aplikacji systemu iFIX i plików. Poniższe rozdziały
omawiają pojęcia systemu ochrony, takie jak konta grup, konta użytkowników,
funkcje aplikacji i obszary ochrony. Poniższy rysunek przedstawia wzajemne
zależności pomiędzy tymi pojęciami.
Rozdział 1: Wprowadzenie 1
Rysunek 1-1: Pojęcia systemu ochrony
1.1.1 Konta użytkowników i grup
Konto grupy przydziela dostęp do najczęściej wykorzystywanych uprawnień, które
dwóch lub więcej ludzi musi współdzielić. Konto użytkownika definiuje
uprawnienia przydzielone jednej osobie. System iFIX identyfikuje każdego
użytkownika za pomocą nazwy użytkownika i opcjonalnego hasła.
W czasie przydzielania uprawnień operatorowi użytkownik zwykle najpierw
wybiera odpowiednie konta grup. W ten sposób przydziela się najczęściej
wykorzystywane uprawnienia przez dwóch lub więcej operatorów, którzy wykonują
podobne zadania. Potem użytkownik może dodać specyficzne uprawnienia, których
może potrzebować określony operator. Konfigurowanie kont grup i kont
użytkowników w ten sposób zapewnia modularne podejście i jest łatwe w
zarzÄ…dzaniu.
Przykładowo, definiując konto grupy Operatorzy można im przydzielić prawo
wykorzystywania programu WorkSpace firmy Intellution w środowisku ruchowym
oraz określone obszary ochrony. Uprawnienia te definiują najczęściej
wykorzystywane prawa ochrony współdzielone przez wszystkich operatorów. Jeśli
określony operator wymaga przydzielania dodatkowych praw, Przykładowo, do
ładowania receptur, to wtedy użytkownik może przydzielić mu to prawo definiując
jego konto użytkownika.
1.1.2 Funkcje aplikacji i aplikacje
Funkcja aplikacji jest uprawnieniem, które pozwala operatorowi na dostęp do
określonej funkcji danej aplikacji. Przykładowo, funkcja aplikacji WorkSpace  tryb
ruchowy umożliwia operatorom wykorzystywanie programu WorkSpace w trybie
ruchowym. Możliwość uruchomienia danej aplikacji jest również traktowana jako
uprawnienie, które przydzielane jest operatorom.
1.1.3 Obszary ochrony
Obszar ochrony jest fizycznym lub funkcjonalnym podziałem zakładu
produkcyjnego. Przykładowo, obszar ochrony może być tożsamy ze sprzętem (takim
jak pompy lub piece), materiałami i przyrządami (takimi jak paliwo, woda lub para)
oraz funkcjami zarzÄ…dzania.
2
Konta i typy kont
Rysunek 1-2: Przykładowe konta
Obszary ochrony ograniczają dostęp do bloków bazy danych, rysunków,
harmonogramów i receptur. Poniższa tabela podsumowuje ograniczenia dostępu
realizowane za pomocą obszarów ochrony.
Gdy użytkownik przydzieli Wtedy użytkownik ogranicza ...
obszar ochrony do ...
Bloku bazy danych. Prawo zapisu. Odczyt wartości
bloku jest możliwy z dowolnego
rysunku.
Rysunku, harmonogramu lub Prawo odczytu pliku.
receptury.
Jeśli ktoś spróbuje zmienić wartość bloku nielegalnie, to system ochrony generuje
komunikat zawierający nazwę logowania osoby, która próbowała dokonać tej
zmiany. System iFIX wysyła ten komunikat do dziennika zdarzeń i każdego miejsca,
gdzie wysyłane są alarmy za wyjątkiem obiektu Zestawienie alarmów bieżących.
Więcej informacji na temat tych komunikatów znajduje się w podręczniku Alarmy i
Komunikaty. Więcej informacji na temat dziennika zdarzeń znajduje się w rozdziale
6.1, Podstawy dotyczące dziennika zdarzeń systemu ochrony.
Rozdział 1: Wprowadzenie 3
1.2 Wykorzystywanie systemu ochrony
systemów Windows
Program Konfiguracja systemu ochrony umożliwia jako opcję wprowadzenie
operatorowi nazwy użytkownika i hasła systemu Windows jako nazwy logowania i
hasła systemu iFIX. Właściwość ta synchronizuje konta użytkownika i pozwala
wykorzystać istniejące konta użytkowników systemów Windows w czasie
logowania do systemu iFIX. Użytkownik korzysta z następujących możliwości i
zalet systemu ochrony systemów Windows po zsynchronizowaniu kont:
" Hasła rozróżniające duże i małe litery.
" Hasła, które nigdy nie wygasają.
" Zmiana hasła w czasie działania oprogramowania.
Po zsynchronizowaniu kont użytkowników systemu Windows i iFIX operatorzy
mogą logować się do systemu iFIX wprowadzając nazwy logowania i hasła
używane w systemie Windows. System iFIX wysyła te dane wraz z nazwą domeny
określoną za pomocą konta operatora systemu iFIX do kontrolera domeny systemu
Windows w celu dokonania weryfikacji. Jeśli system Windows potwierdzi nazwę
użytkownika i hasło, to system iFIX kończy proces logowania. W przeciwnym
przypadku generuje on błąd logowania. Więcej informacji na temat logowania do
systemu iFIX znajduje siÄ™ w rozdziale 6.3, Usuwanie konfiguracji automatycznego
logowania.
Zmiana wartości w bazie danych jest realizowana w podobny sposób. Gdy operator
wprowadza nową wartość do bazy danych, to wykonywane są następujące kroki:
[1] System iFIX wysyła żądanie zmiany wartości wraz z informacją o nazwie
użytkownika i haśle operatora do serwera SCADA, na którym przechowywana
jest baza danych.
[2] Po przyjęciu żądania serwer SCADA szuka konta użytkownika operatora w
swoim katalogu ochrony, określonym za pomocą odpowiedniej ścieżki. Jeśli
konto użytkownika nie istnieje, to serwer SCADA odrzuca żądanie wykonania
zmian.
[3] Jeśli konto użytkownika istnieje i skonfigurowane jest tak, aby wykorzystywać
system ochrony systemu Windows, to serwer SCADA przesyła nazwę logowania
użytkownika i jego hasło do kontrolera domeny systemu Windows w celu ich
weryfikacji. Jeśli nazwa użytkownika i hasło są niepoprawne, to serwer SCADA
nie realizuje zmian w bazie danych.
[4] Jeśli nazwa logowania i hasło są poprawne, to serwer SCADA sprawdza obszar
ochrony bloku bazy danych, który jest modyfikowany. Jeśli przydzielono
operatorowi prawo do tego obszaru ochrony, to serwer SCADA akceptuje żądanie
wykonania zmiany wartości. W przeciwnym przypadku żądanie zostaje
odrzucone.
1.2.1 Synchronizowanie kont systemów Windows NT i iFIX
Użytkownik może zsynchronizować konta systemów Windows NT i iFIX przez
wykonanie następujących czynności:
[1] Utwórz konta użytkowników sytemu Windows NT na kontrolerze domeny. Nie
należy tworzyć kont lokalnych, aby utworzyć bezpieczne środowisko. Więcej
informacji na temat kontrolera domeny systemu Windows NT znajduje siÄ™ w
dokumentacji systemu Windows NT.
[2] Skonfiguruj każde konto systemu Windows NT przydzielając mu konieczne
prawa za pomocą programu Menedżer użytkowników. Więcej informacji na temat
wykorzystywania nazw domen znajduje się w poniższym rozdziale.
4
[3] Skonfiguruj konto użytkownika systemu iFIX przez zaznaczenie pola wyboru
Używaj systemu ochrony systemu Windows (Use Windows Security) i
wprowadzenie nazwy użytkownika systemu Windows NT oraz nazwy domeny w
czasie definiowania konta użytkownika sytemu iFIX. Wprowadzona nazwa
domeny i nazwa użytkownika muszą być takie same jak wprowadzone nazwy
przy definiowaniu konta tego użytkownika w systemie Windows NT. Nazwy
logowania systemu iFIX mogą mieć maksymalnie sześć znaków w przypadku
definiowania standardowych kont użytkowników systemu iFIX. W przypadku
użytkowników sytemu iFIX, którzy wykorzystują ochronę systemu Windows NT
w oknie dialogowym Profil użytkownika nazwy logowania mogą mieć
maksymalnie 20 znaków.
1.2.2 Synchronizowanie kont systemów Windows 2000 i iFIX
Aby poprawnie zsynchronizować konta systemów Windows 2000 i iFIX
użytkownik powinien skonfigurować konta użytkowników w systemie Windows
2000 korzystając z poniższych wskazówek. Wskazówki te mają także zastosowanie
dla kont użytkowników na węzłach samodzielnych.
[1] Wybierz polecenie Ustawienia (Settings) w menu Start.
[2] Wybierz polecenie Panel sterowania (Control Panel) w menu Ustawienia.
[3] Wybierz polecenie Narzędzia administracyjne (Administrative Tools) w Panelu
sterowania.
[4] Wybierz Założenia lokalnego systemu ochrony (Local Security Policy) w oknie
Narzędzia administracyjne.
[5] Wybierz katalog Założenia lokalne (Local Policies) z listy katalogów w oknie
dialogowym Ustawienia lokalnego systemu (Local Security Settings).
[6] Wybierz Prawa użytkownika (User Rights Assignments) w katalogu Założenia
(Local Policies) i potem Działanie jako element systemu operacyjnego (Act as
Part of the Operating System) z listy Prawa (Rights).
[7] Wybierz System ochrony (Security) w menu Działanie (Action).
[8] Kliknij przycisk Dodaj (Add).
[9] Wybierz nazwę lokalnego komputera lub domenę, która zawiera
synchronizowane konto użytkownika w oknie listy Nazwy (Look in).
[10] Przewijaj okno listy Nazwy i dwukrotnie kliknij nazwy kont użytkowników, które
należy zmodyfikować.
[11] Wyloguj siÄ™ z systemu Windows 2000 i zaloguj siÄ™ ponownie, aby wprowadzone
zmiany odniosły swój skutek.
1.2.3 Wykorzystywanie nazw domen
W celu odpowiedniego zsynchronizowania kont użytkowników w systemach
Windows NT i iFIX, użytkownik powinien skonfigurować konta użytkowników w
systemie Windows NT w następujący sposób:
[1] Wybierz polecenie Programy w menu Start.
[2] Wybierz polecenie Narzędzia administracyjne w podmenu Programy.
[3] Wybierz polecenie Menedżer użytkowników w podmenu Narzędzia
administracyjne.
[4] Wybierz polecenie Prawa użytkownika w menu Założenia.
Rozdział 1: Wprowadzenie 5
[5] Zaznacz pole wyboru Pokaż zaawansowane prawa użytkownika i wybierz prawo
Działanie jako element systemu operacyjnego.
[6] Kliknij przycisk Dodaj.
[7] Wybierz domenę zawierającą konta użytkownika w polu Wyświetl nazwy z: i
kliknij przycisk Pokaż użytkowników.
[8] Przewijaj okno listy Nazwy i dwukrotnie kliknij nazwy kont użytkowników, które
należy zmodyfikować.
[9] Wyloguj siÄ™ z systemu Windows NT i zaloguj siÄ™ ponownie, aby wprowadzone
zmiany odniosły swój skutek.
1.2.4 Konfigurowanie węzła samodzielnego
W typowej sytuacji użytkownik chroni swoje węzły w sieci, aby zapobiec
nieautoryzowanemu dostępowi do plików, aplikacji i bazy danych procesu.
Jednakże można także zabezpieczyć węzły samodzielne przez utworzenie i
zsynchronizowanie lokalnego systemu Windows NT i kont użytkowników sytemu
iFIX w węz
le lokalnym. Więcej informacji na temat tworzenia kont użytkowników
w systemie Windows NT znajduje siÄ™ w dokumentacji systemu Windows NT.
Więcej informacji na temat tworzenia kont użytkowników w systemie iFIX znajduje
się w rozdziale 5, Zarządzanie kontami grup i kontami użytkowników.
Aby zsynchronizować konta użytkowników należy wykonać następujące czynności:
[1] Wybierz polecenie Programy w menu Start.
[2] Wybierz polecenie Narzędzia administracyjne w podmenu Programy.
[3] Wybierz polecenie Menedżer użytkowników w podmenu Narzędzia
administracyjne.
[4] Wybierz polecenie Prawa użytkownika w menu Założenia.
[5] Zaznacz pole wyboru Pokaż zaawansowane prawa użytkownika i wybierz prawo
Działanie jako element systemu operacyjnego.
[6] Kliknij przycisk Dodaj.
[7] Wybierz nazwę lokalnego komputera w polu Wyświetl nazwy z: i kliknij przycisk
Pokaż użytkowników.
[8] Przewijaj okno listy Nazwy i dwukrotnie kliknij nazwy kont użytkowników, które
należy zmodyfikować.
[9] Wyloguj siÄ™ z systemu Windows NT i zaloguj siÄ™ ponownie, aby wprowadzone
zmiany odniosły swój skutek.
1.3 Ochrona węzłów zdalnych
Niezależnie od tego, czy użytkownik zsynchronizuje konta użytkowników systemu
Windows NT i iFIX, należy rozpatrzyć współdzielenie plików ochrony systemu
iFIX i aplikacji w czasie konfigurowania systemu ochrony w oparciu o
wykorzystanie sieci.
Użytkownik może współdzielić w sieci pliki ochrony systemu iFIX pomiędzy
wszystkimi węzłami systemu iFIX. Jednakże nie można współdzielić tych plików z
węzłami, na których uruchomiono system FIX v6.x. Jeśli w sieci działają oba te
systemy, to należy używać dwóch zestawów plików ochrony, jednego dla węzłów
sytemu iFIX, a drugiego dla węzłów sytemu FIX v.6.x.
6
Gdy użytkownik ... Wtedy ... :
Nie wykorzystuje współdzielenia Należy wykonać kopię plików
plików ochrony. ochrony na każdym węz
le w sieci.
Współdzieli pliki ochrony. Można uniknąć potrzeby
kopiowania plików i dokonywać
ich zmiany w sposób szybki i
Å‚atwy w jednym miejscu sieci.
Użytkownik może skonfigurować system ochrony, nie wykorzystując serwera
Wykorzystywanie
plików, przez przechowywanie wszystkich plików ochrony i programu Konfiguracja
systemu ochrony
systemu ochrony na każdym lokalnym komputerze. Pliki ochrony umieszczone są w
bez serwera plików
katalogu określonym za pomocą ścieżki, która definiowana jest w programie
Konfiguracja systemu ochrony w oknie Konfiguracja w polu Katalog systemu
ochrony.
System ochrony przechowuje także kopię plików ochrony w katalogu określonym
za pomocą ścieżki zdefiniowanej w programie Konfiguracja systemu ochrony w
oknie Konfiguracja w polu Katalog zapasowy. System ochrony używa tej ścieżki,
gdy nie może znalez
ć katalogu ochrony, przykładowo, jeśli katalog ten nie jest
dostępny.
Po skonfigurowaniu systemu ochrony i jego uaktywnieniu na jednym komputerze,
użytkownik powinien wykonać kopię konfiguracji systemu ochrony na każdym
węz
le. Najprostszym sposobem wykonania tego zadania jest skopiowanie plików
ochrony na każdy komputer w sieci. Lista nazw plików, które należy skopiować
znajduje się w rozdziale 8, Usuwanie błędów.
W takim przypadku należy także uaktywnić system ochrony na każdym węz
le, gdyż
system ochrony może wtedy działać nieprawidłowo.
Wykorzystując serwer plików, użytkownik może wyeliminować potrzebę
Wykorzystywanie
kopiowania plików systemu ochrony na inne komputery. Najprostszym sposobem
systemu ochrony z
współdzielenia plików systemu ochrony jest wprowadzenie ścieżki serwera plików
serwerem plików
jako katalog systemu ochrony w węz
le lokalnym. Gdy użytkownik wykona to
zadanie, to program Konfiguracja systemu ochrony kopiuje pliki ochrony
automatycznie na serwer plików. Więcej informacji na temat zmiany ścieżki
katalogu systemu ochrony znajduje się w rozdziale 4.2. Definiowanie ścieżki
systemu ochrony.
Użytkownik może także współdzielić program Konfiguracja systemu ochrony przez
uruchamianie go z serwera plików, eliminując w ten sposób sytuację, w której jedne
komputery majÄ… uaktywnione a inne zablokowane systemy ochrony. Po
uaktywnieniu systemu ochrony jest on aktywny na każdym komputerze
podłączonym do sieci.
Aby współdzielić program Konfiguracja systemu ochrony, użytkownik musi
wprowadzić ścieżkę serwera plików jako ścieżkę bazową lokalnego węzła. Po
wykonaniu tego zadania użytkownik może uruchamiać dowolną aplikację systemu
iFIX na serwerze plików z lokalnego węzła. Więcej informacji na temat zmiany
ścieżki bazowej znajduje się w podręczniku Konfigurowanie środowiska pracy.
1.4 Ochrona środowiska ruchowego
Program WorkSpace firmy Intellution udostępnia środowisko ruchowe, gdy zostaje
on uruchomiony w trybie wykonywanie. Gdy operator jest w tym środowisku, to
użytkownik może mu zabronić wykonywania następujących czynności:
Rozdział 1: Wprowadzenie 7
" Uruchamianie innych aplikacji.
" Przełączanie się na inne aplikacje.
" Zamykanie programu WorkSpace.
" Ponowne uruchamianie komputera za pomocą skrótu klawiszowego
.
" Otwieranie rysunków, których nie powinien wyświetlać.
" Zamykanie bieżącego rysunku.
" Wykorzystywanie menu programu WorkSpace.
" Uruchamianie programu WorkSpace w trybie konfiguracji.
" Dostęp do drzewa systemowego.
Użytkownik uniemożliwia operatorom wykonywanie powyższych zadań i zapewnia,
że środowisko ruchowe będzie bezpieczne przez odblokowanie ochrony środowiska
pracy. Więcej informacji na temat ochrony środowiska pracy znajduje się w
rozdziale 4.6, Konfigurowanie ochrony środowiska pracy.
Po skonfigurowaniu ochrony środowiska pracy, program WorkSpace firmy
Intellution wykorzystuje ustawienia użytkownika jako domyślne w trybie
wykonywanie. Użytkownik może skonfigurować konto użytkownika w taki sposób,
aby przydzielone uprawnienia  funkcje aplikacji - usuwały ograniczenia ochrony
środowiska pracy.
Załóżmy, że użytkownik uaktywnił ochronę środowiska pracy w programie
Przykład: Ochrona
WorkSpace firmy Intellution i należy użytkownikowi Jan przydzielić prawo
środowiska pracy
uruchamiania aplikacji Konstruktor receptur (Recipe Builder), przywilej Å‚adowania
receptur sterujących i możliwość przełączania się pomiędzy trybem wykonywania i
pracy w programie Konstruktor receptur. Aby tego dokonać, użytkownik powinien
przydzielić następujące uprawnienia definiując konto użytkownika Jan:
" Przełączanie zadań (Task Switching).
" Okno Operacje na recepturach w programie Konstruktor receptur (Recipe
Builder Operations Window).
" A
adowanie receptur w programie Konstruktor receptur (Recipe Download
from Recipe Builder).
Powyższe funkcje aplikacji mają wyższy priorytet niż ustawienia ochrony
środowiska pracy i umożliwiają Janowi realizację przydzielonych mu zadań.
1.4.1 Ochrona skryptów i zabezpieczenie edytora języka
Visual Basic
Jedną z opcji, którą użytkownik ma do dyspozycji po uaktywnieniu ochrony
środowiska pracy, jest możliwość ograniczenia dostępu do edytora języka Visual
Basic. Gdy dostęp nie jest ograniczony, to edytor jest uruchamiany, gdy wystąpi
błąd kompilacji lub błąd w czasie wykonywania skryptu, pozwalając poprawić błąd.
Jednakże, jeśli zostanie ograniczony dostęp do tego edytora, to program WorkSpace
firmy Intellution nie uruchamia go, nawet jeśli wystąpi błąd. W konsekwencji, jeśli
użytkownik zamierza uaktywnić tę opcję, to wtedy skrypty powinny być
wyposażone w procedury obsługi błędów. W przeciwnym przypadku pojawi się
komunikat o wystąpieniu błędu i skrypt zostanie zakończony. Gdy skrypt zawiera
błąd kompilacji, to pojawia się następujący tekst:
8
Błąd kompilacji został wykryty w uruchamianym
skrypcie. Skrypt ten nie zostanie uruchomiony.
(A compile error was detected in a script that was
about to run. The script will not be started)
Jeśli skrypt zostanie skompilowany i wystąpi błąd logiczny lub błąd wykonania, to
program WorkSpace wyświetla następujący komunikat:
W uruchomionym skrypcie wystąpił błąd. Skrypt ten
zostanie zakończony.
(A running script encountered an error. The script
will be terminated.)
Rozdział 1: Wprowadzenie 9
2. CZYNNOÅšCI POCZ
TKOWE
Zanim użytkownik zastosuje system ochrony, to powinien poświęcić trochę czasu w
celu opracowania odpowiedniej strategii systemu ochrony i projektu jego działania.
W takim przypadku modyfikacje kont w przyszłości będą łatwiejsze i wykonywane
znacznie szybciej.
Strategia systemu ochrony składa się z następujących elementów:
" Konta grup i konta użytkowników.
" Nazwy obszarów ochrony.
" Ścieżki katalogów systemu ochrony.
" Ewentualny serwer plików używany przez przedsiębiorstwo.
" Ewentualne wykorzystywanie ochrony środowiska pracy.
" Automatyczne lub ręczne logowanie się operatorów do systemu iFIX.
Po zebraniu informacji na powyższe tematy, użytkownik może przystąpić do
rozpoczęcia konfigurowania systemu ochrony. Szczegółowe informacje na temat
implementowania strategii ochrony znajdujÄ… siÄ™ w rozdziale 3, Implementowanie
strategii systemu ochrony.
2.1 Uruchamianie i zamykanie programu
Konfiguracja systemu ochrony
Gdy użytkownik jest gotowy do utworzenia kont grup i kont użytkowników,
powinien uruchomić program Konfiguracja systemu ochrony przez kliknięcie
przycisku Konfiguracja systemu ochrony (Security Configuration) w pasku narzędzi
Aplikacje (Application).
Po uruchomieniu tego programu pojawia siÄ™ okno dialogowe Konfiguracja systemu
ochrony.
Rysunek 2-1: Okno programu Konfiguracja systemu ochrony
Rozdział 2: Czynności początkowe 11
Użytkownik może zamknąć program Konfiguracja sytemu ochrony przez wybranie
Zamykanie
polecenia Zakończ (Exit) w menu Plik (File).
programu
Konfiguracja
systemu ochrony
2.2 Praca z paskiem narzędzi systemu ochrony
Program Konfiguracja systemu ochrony udostępnia następujący zestaw narzędzi:
" Konta użytkowników.
" Konta grup.
" Konfiguracja.
" Automatyczne logowanie.
" Nazwy obszarów ochrony.
Narzędzia te są dostępne w pasku narzędzi System ochrony i przedstawione na
poniższym rysunku.
Rysunek 2-2: Zestaw narzędzi systemu ochrony
2.3 Podstawy dotyczÄ…ce statusu systemu
ochrony
Gdy użytkownik po raz pierwszy uruchomi program Konfiguracja systemu ochrony,
to system ten jest zablokowany. Program Konfiguracja systemu ochrony prezentuje
ten status przez wyświetlenie na ekranie otwartej kłódki. Gdy system ochrony jest
zablokowany, to każdy może wykorzystywać programy systemu iFIX lub
modyfikować pliki konfiguracyjne sytemu iFIX bez żadnych ograniczeń.
Gdy użytkownik uaktywni system ochrony, to wtedy kłódka zamyka się i operatorzy
muszą logować się przy uruchamianiu systemu iFIX wykorzystując swoje konta
użytkowników. Więcej informacji na temat uaktywniania systemu ochrony znajduje
siÄ™ w rozdziale 4.4, Uaktywnianie i blokowanie systemu ochrony.
12
2.4 Ochrona procesu użytkownika  informacje
ogólne
Aby wdrożyć strategię systemu ochrony należy wykonać następujące czynności:
[1] Nadaj nazwy obszarom ochrony.
[2] Utwórz konta grup i konta użytkowników.
[3] Jeśli planujesz automatyczne logowanie operatorów do systemu iFIX, to
wprowadz
odpowiednie informacje korzystając z narzędzia Automatyczne
logowanie.
[4] Skopiuj pliki ochrony na wszystkie węzły systemu. Jeśli wykorzystujesz serwer
plików, to skopiuj pliki systemu ochrony na ten serwer.
[5] Określ katalog systemu ochrony i katalog zapasowy dla każdego węzła. Jeśli
używasz serwera plików, to jako katalog systemu ochrony wprowadz
ścieżkę do
tego serwera i ścieżkę lokalną jako katalog zapasowy.
[6] Uaktywnij system ochrony na wszystkich węzłach i zachowaj konfigurację
systemu ochrony.
[7] Jeśli planujesz uaktywnić ochronę środowiska pracy, to uruchom program
WorkSpace firmy Intellution i ustaw opcje środowiska ruchowego, które chcesz
wykorzystywać na każdym węz
le typu klient View.
Po wykonaniu wszystkich wymienionych powyżej czynności użytkownik może
sprawdzić konfigurację systemu ochrony przez zalogowanie się do systemu iFIX i
próbę uruchomienia różnych aplikacji oraz próbę wykorzystania różnych funkcji
aplikacji i obszarów ochrony dostępnych dla każdego konta użytkownika.
Użytkownik powinien także sprawdzić zakaz uruchamiania aplikacji oraz zakaz
wykorzystywania różnych funkcji aplikacji i obszarów ochrony, do których dostęp
powinien być zabroniony.
Rozdział 2: Czynności początkowe 13
3. IMPLEMENTOWANIE STRATEGII SYSTEMU
OCHRONY
Głównym celem projektowym użytkownika w czasie opracowywania strategii
systemu ochrony jest utworzenie modularnych kont grup i kont użytkowników.
Podejście takie minimalizuje ilość pracy potrzebnej do utworzenia kont i
jednocześnie gwarantuje dużą elastyczność i efektywność. Przykładowo, zamiast
utworzenia pięciu kont dla operatorów, które przydzielają te same obszary ochrony,
aplikacje i funkcje aplikacji, użytkownik może utworzyć jedno konto grupy z tymi
uprawnieniami, a potem przypisać to konto grupy do pięciu kont operatorów.
Aby zrealizować powyższy cel, użytkownik powinien określić potrzeby operatorów
i zidentyfikować uprawnienia, których oni wymagają. Po zidentyfikowaniu tych
uprawnień, użytkownik może utworzyć konta grup, które je gwarantują.
Przykładowo, John, Dave i George są operatorami, którzy wykorzystują system
iFIX. Ich potrzeby podsumowuje poniższa tabela.
Nazwa użytkownika Funkcja aplikacji Obszar ochrony
John WorkSapce  tryb Linia 1, Linia 2 i
wykonywania Linia3
Dave WorkSapce  tryb Linia 1, Linia 2 i
wykonywania Linia3
Tim WorkSapce  tryb Linia 1, Linia 2 i
wykonywania Linia3
George WorkSapce  tryb Linia 1, Linia 2 i
wykonywania Linia3
Ponieważ każdy z operatorów potrzebuje wykorzystywać tę samą funkcję aplikacji i
te same obszary ochrony, to możliwe jest utworzenie konta grupy Operatorzy, które
przydzieli te uprawnienia. Po utworzeniu konta grupy, użytkownik może przypisać
to konto do każdego konta użytkownika, którym jest operator, tak jak przedstawia to
poniższy rysunek.
Rysunek 3-1: Przydzielanie uprawnień konta za pomocą konta grupy
Rozdział 3: Implementowanie strategii systemu ochrony 15
3.1 Implementowanie obszarów ochrony
Użytkownik powinien sporządzić listę wszystkich obszarów ochrony w czasie
planowania każdego konta grupy i konta użytkownika. Po zakończeniu realizacji
tego zadania użytkownik będzie dysponował listą nazw potrzebnych obszarów
ochrony, która umożliwi mu zdefiniowanie obszarów ochrony w czasie jednej sesji.
3.2 Implementowanie aplikacji i funkcji aplikacji
Użytkownik powinien zapoznać się z dostępnymi aplikacjami i funkcjami aplikacji
przed projektowaniem dowolnego konta grupy lub konta użytkownika. Może on
przydzielać funkcje aplikacji, takie jak program WorkSpace firmy Intellution w
trybie wykonywania, nie przydzielając prawa wykorzystywania całej aplikacji.
Poniższa tabela zawiera listę dostępnych funkcji aplikacji.
Tabela 3-1: Opis aplikacji i funkcji aplikacji
Aplikacja lub funkcja aplikacji Umożliwia użytkownikowi wykonanie
następujących czynności ...
Zakończenie zadania pracującego Zatrzymanie dowolnych zadań pracujących w tle,
w tle (Background Task Exit) takich jak program SAC, Monitor sesji, Zbieranie
danych historycznych lub Kontrola zadań.
Dodaj/Usuń blok w bazie danych Dodawanie bloków lub usuwanie bloków z bazy
(Database Block Add/Delete) danych.
Konstruktor bazy danych (ang. Konfigurowanie bloków w bazie danych,
Database Manager) importowanie, eksportowanie, zachowywanie,
drukowanie, sortowanie i wykonywanie
podsumowania bazy danych oraz tworzenie zapytań.
Przeładowywanie bazy danych Przeładowywanie bazy danych w pamięci i ładowanie
(Database Reload) innej bazy danych.
Zachowywanie bazy danych Zapisywanie bazy danych z pamięci na dysk.
(Database Save)
Aplikacja EDA (EDA Application Dostęp do funkcji aplikacji EDA (ang. Easy Database
Feature #) Access). Użytkownik może umożliwić dostęp do 56
funkcji tej aplikacji.
Odblokowanie Wylogowanie się, zamknięcie systemu, dostęp do
(Enable ) Menedżera zadań systemu Windows NT lub zmiana
hasła komputera przez wykorzystanie skrótu
klawiszowego .
Odblokowanie przełączania Przełączanie się pomiędzy zadaniami z programu
pomiędzy zadaniami (Enable Task WorkSpace firmy Intellution.
Switching)
Zamykanie systemu iFIX (iFIX  Zamykanie systemu iFIX.
System Shutdown)
Definiowanie danych Konfigurowanie zapisu danych do plików
archiwalnych (Historical Trend archiwalnych.
Assign)
Ręczna zmiana komputera Ręczne przełączanie się pomiędzy komputerami:
(Manual Failover) głównym i zapasowym w czasie wykorzystywania
redundancji w systemie iFIX.
16
Kopia zapasowa/Odzyskanie Wykonywanie kopii zapasowej plików systemu iFIX i
projektu (Project Backup/Restore) ich odzyskiwanie na węz
le lokalnym.
Okno opracowywania receptur w Tworzenie receptur ogólnych i sterujących,
Konstruktorze receptur (Recipe odblokowywanie i blokowanie dziennika zdarzeń,
Builder Development Window) przypisywanie grup symboli do receptur i skalowanie
wsadu.
Okno operacji na recepturach w Modyfikowanie receptur sterujÄ…cych i ustawianie
Konstruktorze receptur (Recipe wartości nadrzędnych dla pozycji receptury w
Builder Operations Window) zadanych granicach.
Zapis receptury do bazy danych w Zapisywanie receptur w Konstruktorze receptur
Konstruktorze receptur (Recipe
Download from Recipe Builder)
Zachowywanie receptury w Zapisywanie receptur do pliku.
Konstruktorze receptur (Recipe
Save from Recipe Builder)
Tworzenie receptur tekstowych w Tworzenie raportów dotyczących receptur oraz
Konstruktorze receptur (Recipe receptur ogólnych tekstowych i sterujących
Text Output from Recipe Builder) tekstowych.
Odczyt parametrów receptury z Odczyt parametrów receptury z bazy danych procesu
bazy danych w Konstruktorze w programie Konstruktor receptur.
receptur (Recipe Upload from
Recipe Builder)
Konfiguracja systemu ochrony Konfiguracja systemu ochrony, tworzenie i usuwanie
(Security Configuration) kont grup i użytkowników oraz wprowadzanie nazw
obszarów ochrony.
Konfigurowanie systemu (System Konfigurowanie połączeń węzłów, ścieżek
Configuration) systemowych, usług alarmowania oraz konfiguracji
serwera SCADA.
Edytor grup zmiennych (Tag Tworzenie, edytowanie oraz zachowywanie grup
Group Editor) zmiennych dla receptur.
Dostęp do Edytora Visual Basic Otwieranie edytora Visual Basic w środowisku
(Visual Basic Editor Acceess) ruchowym.
WorkSpace  tryb Konfigurowanie Przełączanie programu WorkSpace w tryb
(WorkSpace Configure) Konfigurowanie.
WorkSpace  tryb Wykonywanie Przełączanie programu WorkSpace w tryb
(WorkSpace Runtime) Wykonywanie.
Zamykanie WorkSpace w trybie Zamykanie programu WorkSpace uruchomionego w
Wykonywanie (WorkSpace trybie Wykonywanie.
Runtime Exit)
3.3 Implementowanie kont grup
Użytkownik powinien korzystać z kont grup, gdy istnieje potrzeba przydzielania
tych samych uprawnień wielu użytkownikom. Projektowanie konfiguracji systemu
ochrony jest znacznie uproszczone w przypadku, gdy użytkownik poświęcił nieco
czasu i wysiłku na zaznajomienie się z potrzebami operatorów, jak opisano to w
rozdziale 3, Implementowanie strategii systemu ochrony. Jeśli wymagania
użytkownika w ramach jego przedsiębiorstwa nie są bardzo specyficzne, to może on
wykorzystać przykładowe konta grup omówione poniżej. Konta te umożliwiają
utworzenie prostego i zrozumiałego systemu ochrony. Przykładowe konta grup
Rozdział 3: Implementowanie strategii systemu ochrony 17
definiują zadania funkcjonalne w ramach przedsiębiorstwa. Użytkownik może łatwo
utworzyć inne konta grup, takie jak przedstawione w tabeli poniżej.
Aby utworzyć Należy przydzielić następujące aplikacje i
konto grupy dla ... funkcje aplikacji ...
Projektanci bazy Program Konstruktor bazy danych,
danych Przeładowywanie bazy danych, Zapisywanie bazy
danych, Dodawanie/Usuwanie bloków bazy
danych.
Projektanci Program WorkSpace w trybie konfiguracji,
ekranów Program WorkSpace w trybie wykonywanie,
synoptycznych Zamykanie programu WorkSpace w trybie
operatora wykonywania, Przełączanie zadań, Dostęp do
edytora Visual Basic, Konstruktor bazy danych,
Przeładowywanie bazy danych i
Dodawanie/Usuwanie bloków bazy danych.
Projektanci Okno opracowywania receptur programu
receptur Konstruktor receptur, Zapis receptury w
programie Konstruktor receptur, Zachowywanie
receptury w Konstruktorze receptur, Odczyt
parametrów receptury w programie Konstruktor
receptur, Tworzenie receptur tekstowych w
Konstruktorze receptur.
Mistrzowie Program WorkSpace w trybie wykonywanie,
Zamykanie programu WorkSpace w trybie
wykonywanie, Przełączanie zadań.
3.4 Implementowanie kont użytkowników
W czasie przygotowywania konta użytkownika zawsze należy określić imię i
nazwisko użytkownika, nazwę użytkownika oraz jego hasło. W przypadku
wykorzystywania systemu ochrony Windows NT należy także zdefiniować nazwę
domeny.
Poprawne wprowadzenie hasła jest szczególnie ważne, ponieważ system ochrony
oprogramowania iFIX nie wyświetla hasła konta użytkownika. Operatorzy są
powiadamiani o haśle, które powinni wprowadzać w czasie logowania.
Po utworzeniu kont grup użytkownik przydziela pozostałe uprawnienia do kont
Przydzielanie
użytkowników. Te dodatkowe prawa powinny być przypisywane jednej osobie. W
uprawnień
przypadku stwierdzenia, że dwóch lub więcej operatorów potrzebuje tych samych
uprawnień, należy rozpatrzyć możliwość utworzenia dodatkowego konta grupy.
Przykładowo, załóżmy, że tworzymy konta użytkowników dla operatorów: John,
Dave, Tim i George. Operatorzy Tim i Dave potrzebują dodatkowych uprawnień do
ładowania receptur, a George chce wykorzystywać obszar ochrony Piece. Ponieważ
George jest jedynym operatorem, który potrzebuje dostępu do tego obszaru
ochrony, to można przypisać go bezpośrednio do jego konta użytkownika.
Natomiast, ponieważ Dave i Tim wymagają przydzielenia im dodatkowo prawa
wykorzystywania funkcji aplikacji, użytkownik może rozpatrzyć utworzenie
drugiego konta grupy w celu przydzielenia im wymaganych uprawnień. Poniższy
rysunek ilustruje powyżej opisany przypadek.
18
Rysunek 3-2: Przydzielanie dodatkowych uprawnień za pomocą konta grupy
3.4.1 Indywidualne przydzielanie aplikacji i funkcji aplikacji
Niezależnie od konfiguracji kont grup użytkownik powinien indywidualnie
przydzielać następujące aplikacje i funkcje aplikacji:
" Konfiguracja systemu ochrony
" Zamykanie systemu iFIX
" Zamykanie zadań pracujących w tle.
Powyżej wymieniona aplikacja i funkcje aplikacji powinny zostać przydzielane
administratorowi systemu lub osobie w przedsiębiorstwie, która jest odpowiedzialna
za tworzenie i zarzÄ…dzanie systemem ochrony oprogramowania iFIX. System
ochrony oprogramowania iFIX wymaga przypisania tej aplikacji i tych funkcji
aplikacji przynajmniej do jednego konta użytkownika. Ponieważ dostęp do
programu Konfiguracja systemu ochrony powinna mieć tylko jedna osoba, więc
przydzielanie uprawnień za pomocą konta grupy nie spełnia tego wymagania.
Funkcje Zamykanie systemu iFIX i Zamykanie zadań pracujących w tle powinny
zostać przydzielone każdemu kto jest odpowiedzialny za zamykanie systemu iFIX.
Chociaż najlepszym sposobem zapewnienia elastyczności strategii ochrony jest
Tworzenie
przypisywanie najczęściej używanych uprawnień za pomocą kont grup, to może
identycznych kont
zdarzyć się przypadek, dla którego lepszym rozwiązaniem będzie rezygnacja z kont
użytkownika
grup. Z reguły taka sytuacja ma miejsce, gdy użytkownik powinien utworzyć małą
liczbę identycznych kont użytkowników. W przypadku podjęcia decyzji o
rezygnacji z wykorzystywania kont grup, użytkownik może skrócić czas
przygotowywania identycznych kont użytkowników przez wykonanie następujących
czynności:
[1] Utwórz jedno konto użytkownika.
[2] Eksportuj konfiguracjÄ™ systemu ochrony.
[3] Otwórz eksportowany plik w edytorze tekstowym.
[4] Skopiuj i wklej wielokrotnie konto użytkownika tyle razy ile potrzeba.
Rozdział 3: Implementowanie strategii systemu ochrony 19
[5] Zmień imię i nazwisko użytkownika, nazwę użytkownika i hasło w każdym
koncie użytkownika.
[6] Zapisz plik i importuj go z powrotem do programu Konfiguracja systemu
ochrony.
Więcej informacji na temat wykorzystania tej metody znajduje się w rozdziale 4.5,
Importowanie i eksportowanie konfiguracji systemu ochrony.
3.5 Wskazówki dotyczące projektowania
W zależności od wymagań systemu ochrony w przedsiębiorstwie można utworzyć
konto publiczne, które będzie dostępne dla każdego w przypadku procesu o
niekrytycznym charakterze. Konto takie nie posiada hasła i loguje automatycznie
użytkownika w chwili uruchomienia systemu iFIX. Konto to umożliwia
uruchomienie programu WorkSpace firmy Intellution w trybie Wykonywanie.
Aby utworzyć konto publiczne należy wykonać następujące czynności:
[1] Kliknij przycisk Konta użytkowników (User Accounts) w pasku narzędzi systemu
ochrony.
[2] Kliknij przycisk Dodaj (Add).
[3] W polu imiÄ™ i nazwisko (Full Name) wpisz PUBLIC.
[4] W polu Nazwa użytkownika (Login Name) wpisz PUBLIC.
[5] Kliknij przycisk OK, aby zachować konto użytkownika w pamięci.
[6] Kliknij przycisk OK, aby zamknąć okno dialogowe Profil użytkownika (User
Accounts).
[7] Kliknij przycisk Automatyczne logowanie (Autologin) w pasku narzędzi systemu
ochrony.
[8] Kliknij przycisk Dodaj (Add).
[9] Wprowadz
nazwę węzła w polu Węzeł (Node).
[10] Wpisz PUBLIC w polu Użytkownik aplikacji (Application User).
[11] Wybierz polecenie Zapisz (Save) w menu Plik (File), aby zachować konfigurację
systemu ochrony.
20
4. PRACA Z SYSTEMEM OCHRONY
Poniższy rozdział opisuje, jak wykonywać podstawowe zadania systemu ochrony.
Pierwszym zadaniem jest zdefiniowanie obszarów ochrony. Użytkownik definiuje
obszary ochrony, aby ograniczyć dostęp do harmonogramów, receptur, ekranów
synoptycznych oraz aby chronić bloki bazy danych przed zapisem. Więcej
informacji na ten temat znajduje się w rozdziale 4.1, Definiowanie obszarów
ochrony.
Następnie należy określić katalog systemu ochrony i katalog zapasowy. Katalogi te
definiują miejsce przechowywania plików systemu ochrony oprogramowania iFIX.
Więcej informacji na temat definiowania tych katalogów znajduje się w rozdziałach
4.2, Definiowanie katalogu systemu ochrony i 4.3, Definiowanie katalogu
zapasowego.
Po utworzeniu kont grup i kont użytkowników można uaktywnić system ochrony.
Użytkownik może także zablokować system ochrony w węzłach, w których nie jest
on wymagany. Szczegóły dotyczące wykonywania tych zadań znajdują się w
rozdziale 4.4, Uaktywnianie i blokowanie systemu ochrony.
Gdy użytkownik uaktywni system ochrony i zapisze na dysk konfigurację systemu
ochrony, to proces konfiguracji węzła jest zakończony. Użytkownik może
zaoszczędzić trochę czasu przez eksportowanie konfiguracji na inne węzły. Więcej
informacji na temat realizacji tych zadań zawiera rozdział 4.5, Importowanie i
eksportowanie konfiguracji systemu ochrony.
Konfiguracja systemu ochrony komputera ogranicza dostęp do plików, aplikacji i
bloków bazy danych. Użytkownik może także zabronić operatorom wykonywanie
niektórych zadań przez uaktywnienie i skonfigurowanie ochrony środowiska pracy.
Więcej informacji na ten temat znajduje się w rozdziale 4.6, Konfigurowanie
ochrony środowiska pracy.
4.1 Definiowanie obszarów ochrony
Po opracowaniu strategii systemu ochrony należy zdefiniować obszary ochrony.
Użytkownik może zdefiniować maksymalnie 254 obszary ochrony przez określenie
nazwy każdego obszaru. Każda nazwa może maksymalnie zawierać 20 znaków.
Firma Intellution nazwała pierwszych 16 obszarów ochrony kolejnymi, dużymi
literami alfabetu od A do P. Są to nazwy domyślne. Użytkownik może zmienić te
nazwy domyślne lub utworzyć nowe obszary ochrony przez kliknięcie przycisku
Obszary ochrony w pasku narzędzi systemu ochrony. Po utworzeniu obszaru
ochrony można przypisać go do konta grupy lub konta użytkownika.
Aby utworzyć lub zmienić nazwę obszaru ochrony należy wykonać następujące
czynności:
[1] Kliknij przycisk Obszary ochrony (Security Area) w pasku narzędzi systemu
ochrony.
[2] Dwukrotnie kliknij obszar ochrony, który chcesz utworzyć lub któremu chcesz
zmienić nazwę.
[3] Wprowadz
nazwÄ™ obszaru ochrony w polu Nazwa (Name) i kliknij przycisk OK.
[4] Kliknij przycisk OK ponownie, aby zaakceptować zmiany.
4.2 Definiowanie katalogu systemu ochrony
Tworzone pliki systemu ochrony przechowywane sÄ… w katalogu systemu ochrony.
Program Konfiguracja systemu ochrony domyślnie definiuje ten katalog za pomocą
Rozdział 4: Praca z systemem ochrony 21
lokalnej ścieżki systemu iFIX, ale użytkownik może zmienić ją na dowolną ścieżkę
lokalnÄ… lub sieciowÄ….
Określenie katalogu systemu ochrony zależy od potrzeb użytkownika. Jeśli
użytkownik chce zdefiniować swoje własne konta, to powinien wprowadzić ścieżkę
lokalną. Jeśli chce on współdzielić konta grup i użytkowników z innymi
komputerami, to powinien wprowadzić ścieżkę sieciową, określającą serwer plików
jako katalog systemu ochrony.
Przed zdefiniowaniem tego katalogu użytkownik powinien sprawdzić, czy taki
katalog istnieje. Jeśli tak, to program Konfiguracja systemu ochrony wyświetla
komunikat instruujący użytkownika, aby skopiował odpowiednie pliki do nowego
katalogu. Jeśli katalog taki nie istnieje, to pojawia się następujący komunikat:
Katalog systemu ochrony jest niepoprawny lub
niedostępny. Czy kontunuować?
(Security path invalid or unavailable. Continue?)
Kliknij przycisk Anuluj lub Nie, aby zrezygnować z realizacji wykonywanego
zadania i utwórz potrzebny katalog. Jeśli użytkownik zamierza utworzyć ten katalog
w póz
niejszym czasie, to powinien kliknąć przycisk Tak. Wtedy pojawi się
następujący komunikat:
Pliki systemu ochrony muszą być ręcznie skopiowane z

(Security Files must be manually copied from
)
Kliknij przycisk OK, aby potwierdzić komunikat i skopiuj pliki systemu ochrony do
katalogu, którego nazwa została wprowadzona w polu Katalog systemu ochrony.
Jeśli użytkownik nie utworzy nowego katalogu systemu ochrony lub nie skopiuje
plików systemu ochrony, to nie będzie on mógł ponownie uruchomić programu
Konfiguracja systemu ochrony.
Aby zdefiniować katalog systemu ochrony i katalog zapasowy wykonaj następujące
czynności:
[1] Kliknij przycisk Konfiguracja (Configuration) w pasku narzędzi systemu
ochrony.
[2] Dwukrotnie kliknij pole Katalog systemu ochrony (Security Path) i wprowadz

ścieżkę, którą należy wykorzystywać.
[3] Kliknij przycisk OK. Pojawi się następujący tekst:
Czy skopiować istniejącą konfigurację do nowego
katalogu?
(Copy existing configuration to new path?)
[4] Kliknij przycisk Tak, aby przemieścić pliki systemu ochrony do podanego
katalogu.
[5] Dwukrotnie kliknij pole Katalog zapasowy (Backup Path) i wprowadz
ścieżkę,
którą należy wykorzystywać.
4.3 Definiowanie katalogu zapasowego
Oprócz katalogu systemu ochrony użytkownik może zdefiniować katalog zapasowy,
który zawiera kopię plików znajdujących się w katalogu systemu ochrony. Pliki te
są uaktualniane, gdy uruchamiany jest system iFIX, użytkownik loguje się do
systemu lub zapisywana jest na dysk konfiguracja systemu ochrony.
System iFIX wykorzystuje pliki z katalogu zapasowego, gdy katalog systemu
ochrony jest niedostępny. Przykładowo, gdy użytkownik zdefiniuje ścieżkę do
22
serwera plików i ten serwer jest niedostępny, to system iFIX wykorzystuje katalog
zapasowy, aby umożliwić operatorom logowanie się.
Program Konfiguracja systemu ochrony podobnie jak w przypadku katalogu
systemu ochrony domyślnie definiuje katalog zapasowy za pomocą lokalnej ścieżki
systemu iFIX, ale użytkownik może zmienić ją na dowolną ścieżkę lokalną lub
sieciowÄ….
Jeśli użytkownik chce wykorzystywać ścieżkę sieciową jako katalog systemu
ochrony, to powinien jako katalog zapasowy wprowadzić ścieżkę lokalną.
Wprowadzony katalog zapasowy musi istnieć. W przeciwnym przypadku pojawi się
komunikat:
Wprowadzono niepoprawną ścieżkę
(Invalid path specified)
Kliknij przycisk OK, aby potwierdzić komunikat i utwórz katalog, który należy
wykorzystywać.
Aby zdefiniować katalog systemu ochrony i katalog zapasowy należy wykonać
następujące czynności:
[1] Kliknij przycisk Konfiguracja (Configuration) w pasku narzędzi systemu ochrony.
[2] Dwukrotnie kliknij pole Katalog systemu ochrony (Security Path) i wprowadz

ścieżkę, którą należy wykorzystywać.
[3] Kliknij przycisk OK. Pojawi się następujący tekst:
Czy skopiować istniejącą konfigurację do nowego
katalogu?
(Copy existing configuration to new path?)
[4] Kliknij przycisk Tak, aby przemieścić pliki systemu ochrony do podanego
katalogu.
[5] Dwukrotnie kliknij pole Katalog zapasowy (Backup Path) i wprowadz
ścieżkę,
którą należy wykorzystywać.
4.4 Uaktywnianie i blokowanie systemu ochrony
Użytkownik może ograniczyć dostęp do aplikacji i plików na węz
le i zmusić
operatorów do logowania się do systemu iFIX przez uaktywnienie systemu ochrony.
Po uaktywnieniu systemu ochrony kłódka wyświetlana w programie Konfiguracja
systemu ochrony zamyka się, by pokazać, że komputer jest chroniony.
Jeśli użytkownik chce umożliwić pełny dostęp do plików komputera, to powinien
zablokować system ochrony. Użytkownik zwykle blokuje system ochrony, gdy chce
utworzyć konto publiczne. Po zablokowaniu systemu ochrony, kłódka wyświetlana
w programie Konfiguracja systemu ochrony otwiera się, by pokazać, że komputer
nie jest chroniony.
Aby uaktywnić lub zablokować system ochrony:
[1] Kliknij przycisk Konfiguracja (Configuration) w pasku narzędzi systemu ochrony.
[2] Wybierz przycisk opcji wykluczających się Aktywny (Enabled), by uaktywnić
system ochrony lub przycisk Nieaktywny (Disabled), by zablokować system
ochrony.
Rozdział 4: Praca z systemem ochrony 23
4.5 Importowanie i eksportowanie konfiguracji
systemu ochrony
Program Konfiguracja systemu ochrony umożliwia importowanie i eksportowanie
konfiguracji systemu ochrony. Eksportowanie konfiguracji tworzy domyślny plik
konfiguracji systemu ochrony SECURITY.RPT w katalogu systemu ochrony. Plik
ten zawiera następujące informacje:
" Status sytemu ochrony  uaktywniony czy zablokowany.
" Nazwy obszarów ochrony.
" Zdefiniowane konta grup i użytkowników.
Po utworzeniu pliku konfiguracji systemu ochrony użytkownik może go skopiować
na inny komputer i importować zawarte w nim dane. Importowanie pliku
konfiguracji systemu ochrony umożliwia wykonanie następujących alternatywnych
zadań:
" Zamiana istniejÄ…cej konfiguracji systemu ochrony przez konfiguracjÄ™
zdefiniowanÄ… w pliku konfiguracyjnym.
" Uzupełnienie kont grup i kont użytkowników o dodatkowe konta zdefiniowane
w importowanym pliku konfiguracyjnym. Konta grup i użytkowników o
istniejÄ…cych nazwach w czasie importowania sÄ… ignorowane.
Eksportowanie i importowanie konfiguracji systemu ochrony umożliwia skrócenie
czasu wykonania aplikacji w przypadku gdy użytkownik chce utworzyć wiele
podobnych kont na wielu węzłach systemu. Przykładowo, załóżmy, że użytkownik
chce utworzyć takie same konta użytkowników na pięćdziesięciu węzłach.
Użytkownik może wykonać następujące czynności, zamiast tworzyć ten sam zestaw
kont pięćdziesiąt razy:
[1] Utwórz jeden zestaw kont użytkowników.
[2] Eksportuj konta użytkowników.
[3] Importuj konta użytkowników na pozostałych 49 węzłach.
Aby eksportować konfigurację systemu ochrony należy wykonać następujące
czynności:
[1] Wybierz polecenie Eksportuj (Export) w menu Plik (File).
[2] Wprowadz
nazwę pliku konfiguracji systemu ochrony, który należy utworzyć w
polu Nazwa pliku (File Name).
[3] Kliknij przycisk Zapisz (Save). Jeśli plik o takiej nazwie już istnieje, to pojawi się
następujący komunikat:
Nazwa pliku już istnieje. Czy chcesz ją
zamienić?
(filename already exists. Do you want to replace
it?)
[4] Kliknij przycisk Tak, aby zastąpić istniejący plik lub przycisk Nie, aby zmienić
nazwę tworzonego pliku i powtórzyć krok 3.
4.5.1 Importowanie haseł kont użytkowników
Eksportowane pliki konfiguracji systemu ochrony nie zawierają haseł kont
użytkowników w celu ich ochrony. Podobnie, gdy użytkownik importuje plik
24
konfiguracyjny, to program Konfiguracja systemu ochrony tworzy konta
użytkowników bez haseł.
Użytkownik może uniknąć takiej sytuacji przez dodanie hasła do każdego konta w
pliku konfiguracyjnym. Gdy użytkownik dokona importu tak edytowanego pliku
konfiguracji, to program Konfiguracja sytemu ochrony przypisze hasła do każdego
konta użytkownika, które będzie zmodyfikowane. Poniższy rysunek przedstawia, w
którym miejscu w pliku konfiguracyjnym należy wprowadzić dodatkowy tekst.
Rysunek 4-1: Dodawanie hasła w pliku konfiguracji systemu ochrony
UWAGA: Jeśli dodaje się hasła do pliku konfiguracji systemu ochrony przed jego
importowaniem, to zaleca się, aby usunąć taki plik bezpośrednio po zakończeniu
procedury importowania. Jeśli użytkownik potrzebuje kopii tekstowej pliku
konfiguracji systemu ochrony, to ponownie należy eksportować tę konfigurację.
Aby importować konfigurację systemu ochrony należy wykonać następujące
czynności:
[1] Wybierz polecenie Importuj (Import) w menu Plik (File).
[2] Dwukrotnie kliknij plik, który należy importować. Pojawi się wtedy następujący
tekst:
Ostrzeżenie: Importowane konta użytkowników mogą nie
zawierać haseł! Czy kontynuować?
(Warning: Imported user accounts may not have
passwords! Continue?)
[3] Kliknij przycisk Tak, aby kontynuować: Pojawi się wtedy następujący tekst:
Zamień lub dodaj do istniejącej konfiguracji?
(Replace or add existing configuration?)
[4] Kliknij przycisk Zamień (Replace), aby skopiować importowaną konfigurację
systemu ochrony do węzła lokalnego lub kliknij przycisk Dodaj (Add), aby
uzupełnić istniejącą konfigurację systemu ochrony o informacje zawarte w
importowanym pliku. Konta z tym samym imieniem i nazwiskiem lub z tÄ… samÄ…
nazwą użytkownika nie będą importowane.
4.6 Konfigurowanie ochrony środowiska pracy
Większość ustawień ochrony środowiska, które użytkownik może skonfigurować
związana jest z poszczególnymi kontami grup lub kontami użytkowników.
Jednakże, gdy użytkownik chroni środowisko pracy aplikacji, to wtedy konfiguracja
dotyczy każdego operatora, który loguje się do lokalnego węzła, niezależnie od
konta grupy lub konta użytkownika.
Rozdział 4: Praca z systemem ochrony 25
Użytkownik może chronić środowisko pracy aplikacji przez uaktywnienie ochrony
środowiska pracy w programie WorkSpace firmy Intellution. Po uaktywnieniu
ochrony środowiska pracy użytkownik może wybrać funkcje aplikacji, do których
ma zostać ograniczony dostęp. Przykładowo, jeśli użytkownik chce, aby nie
wszyscy operatorzy mogli uruchamiać za pomocą drzewa systemowego inne
aplikacje w programie WorkSpace, to należy zaznaczyć pole wyboru Ukryj pasek
tytułu i pasek menu (Disable Title Bar and Menu Bar) oraz Wyłącz przełączanie
zadań (Disable Task Switching).
Poniższa tabela zawiera funkcje aplikacji, dostęp do których może ograniczyć
użytkownik oraz podaje sposób ograniczania dostępu operatorom do tych funkcji.
Tabela 4-1: Ograniczanie dostępu przy ochronie środowiska pracy
Aby zabronić operatorom ... Zaznacz następujące pola
wyboru ...
Przełączanie się na inne działające Wyłącz przełączanie zadań
aplikacje. (Disable Task Switching).
Zamykanie programu WorkSpace firmy Ukryj pasek tytułu i pasek menu
Intellution. (Disable Title Bar and Menu
Bar).
Ponowne uruchamianie komputera, za Wyłącz
pomocą skrótu klawiszowego (Disable )
lub
wylogowywania siÄ™ z systemu
Windows NT.
Zamykanie bieżącego rysunku. Ukryj pasek tytułu i pasek menu
(Disable Title Bar and Menu
Bar). Zaznacz także pole wyboru
Pełny ekran w trybie Run (Full
Screen in Run mode) w zakładce
Ogólne (General) i wyczyść pola
wyboru Pasek tytułu i Zmiana
wymiarów (Titlebar and
Resizable) w zakładce
Ustawienia preferencyjne
rysunku (Picture Preferences).
Wykorzystywanie menu programu Ukryj pasek menu w WorkSpace
WorkSpace i przełączanie się do trybu (Disable  WorkSpace Menu
konfiguracja. Pulldown).
Dostęp do edytora Visual Basic. Wyłącz dostęp do VBE (Disable
VBE Access).
Aby uaktywnić ochronę środowiska pracy należy wykonać następujące czynności:
[1] Wybierz polecenie Preferencje użytkownika (User Preferences) w menu
WorkSpace.
[2] Wybierz zakładkę Środowisko (Environment Protection).
[3] Wybierz pole wyboru Włącz ochronę środowiska pracy (Enable Environment
Protection).
[4] Zaznacz opcje, które należy uaktywnić.
26
5. ZARZ
DZANIE KONTAMI GRUP I KONTAMI
UŻYTKOWNIKÓW
Przed uaktywnieniem systemu ochrony użytkownik powinien utworzyć wszystkie
potrzebne konta grup i konta użytkowników. Konta grup definiują obszary ochrony,
aplikacje i funkcje aplikacji dostępne dla członków grupy. Podobnie konta
użytkowników definiują obszary ochrony, aplikacje i funkcje aplikacji (nazywane
czasami właściwościami aplikacji (ang. application features) i konta grup dostępne
dla poszczególnych osób.
System iFIX domyślnie dysponuje dwoma przykładowymi kontami grup i dwoma
przykładowymi kontami użytkowników, które mogą być wykorzystywane do nauki
tworzenia swoich własnych kont. Użytkownik może także wykorzystać przykładowe
konta do logowania się do systemu iFIX. Poniższa tabela przedstawia listę nazw
użytkowników i ich hasła w przykładowych kontach użytkowników. Więcej
informacji na temat logowania siÄ™ do systemu iFIX znajduje siÄ™ w rozdziale 6,
Logowanie i wylogowywanie siÄ™ z systemu iFIX.
Tabela 5-1: Przykładowe konta użytkowników
Konto Nazwa użytkownika Hasło
Guest Guest Guest
System Administrator Admin Admin
UWAGA: Użytkownik nie powinien uaktywniać systemu ochrony systemu Windows
NT dla przykładowych kont użytkowników.
5.1 Tworzenie kont grup i kont użytkowników
Użytkownik może utworzyć konta grup lub konta użytkowników przez kliknięcie
przycisku Konta grup lub Konta użytkowników w pasku narzędzi systemu ochrony i
wprowadzenie danych w wyświetlonych oknach dialogowych.
Aby utworzyć konto grupy należy wykonać następujące czynności:
[1] Kliknij przycisk Konta grup (Group Account) w pasku narzędzi systemu ochrony.
[2] Kliknij przycisk Dodaj (Add).
[3] Wprowadz
nazwę dla konta grupy, które należy utworzyć w polu Nazwa grupy
(Group Name).
[4] Dodaj obszary ochrony.
[5] Dodaj aplikacje i funkcje aplikacji.
[6] Kliknij przycisk OK, aby zapisać konto grupy w pamięci.
[7] Kliknij przycisk OK, aby zamknąć okno dialogowe Konta grup (Group
Accounts).
[8] Wybierz polecenie Zapisz (Save) w menu Plik.
Aby utworzyć konto użytkownika należy wykonać następujące czynności:
[1] Kliknij przycisk Konta użytkowników (User Account) w pasku narzędzi systemu
ochrony.
[2] Kliknij przycisk Dodaj (Add).
Rozdział 5: Zarządzanie kontami grup i kontami użytkowników 27
[3] Wprowadz
imię i nazwisko użytkownika w polu Imię i nazwisko (Full Name).
[4] W zależności od rodzaju systemu ochrony wykorzystywanego przez użytkownika
wykonaj jedną z poniższych czynności:
" Jeśli użytkownik chce używać ochrony systemu Windows NT, to należy
zaznaczyć pole wyboru Używaj ochrony Windows NT (Use Windows NT
Security). W polu Imię i nazwisko (Full Name) należy wprowadzić imię i
nazwisko użytkownika, dla którego zakładane jest konto. W polu Domena
(Domain) należy podać nazwę domeny, w której umieszczone jest konto
użytkownika systemu Windows NT.
" Jeśli użytkownik chce używać ochrony systemu FIX Dynamics, to należy w
polu Imię i nazwisko (Full Name) wprowadzić imię i nazwisko użytkownika,
dla którego zakładane jest konto. W polu Nazwa użytkownika (Login Name)
należy wprowadzić nazwę logowania użytkownika, a w polu Hasło (Password)
przypisane mu hasło logowania.
[5] Jeśli użytkownik chce ograniczyć czas pracy operatora, to w polu Maksymalny
czas zalogowania (Login Timeout) należy wprowadzić okres czas, po upływie
którego użytkownik zostanie automatycznie wylogowany z systemu iFIX.
[6] Dodaj konta grup.
[7] Dodaj obszary ochrony.
[8] Dodaj aplikacje i funkcje aplikacji.
[9] Zapisz konto.
5.1.1 Ograniczanie czasu zalogowania
Program Konfiguracja systemu ochrony umożliwia w czasie tworzenia konta
użytkownika określenie maksymalnego czasu zalogowania użytkownika.
Wprowadzony okres czasu ogranicza czas pracy operatora w systemie iFIX. Gdy
operator próbuje uruchomić jakąś aplikację lub wykorzystać funkcję aplikacji, w
stosunku do której jego dostęp został ograniczony, po upływie tego okresu czasu, to
system iFIX wylogowuje operatora. Gdy wprowadzony okres czasu upłynie w
czasie, gdy operator wykorzystuje jakÄ…Å› aplikacjÄ™, to wtedy system iFIX blokuje
polecenie Zapisz (Save) tej aplikacji.
Za pomocą tej właściwości systemu, użytkownik może skonfigurować system iFIX
w taki sposób, aby automatycznie wylogowywał on operatorów, którzy zapominają
wykonać tę czynność przy końcu zmiany roboczej. Przykładowo, załóżmy, że
użytkownik chce, aby operatorzy wylogowywali się przed upływem 8 godzin. Przez
wprowadzenie maksymalnego czasu zalogowania 8:00:00, użytkownik instruuje
system iFIX, aby wylogowywał operatora, gdy ktoś inny będzie prowadził następną
zmianę. Opcja ta zmusza operatorów, aby logowali się do systemu za pomocą
własnego konta użytkownika i własnego hasła oraz chroni przed niepowołanym
dostępem do aplikacji i obszarów ochrony, które były dostępne w czasie trwania
poprzedniej zmiany.
Opcja ta nie eliminuje konieczności wylogowywania się, gdy operatorzy kończą
pracę z system iFIX, a w szczególności w sytuacji, gdy wymagają tego względy
bezpieczeństwa przy prowadzeniu procesu. Jeśli użytkownik zdecyduje się na
wykorzystywanie tej opcji, to powinien używać jej jako mechanizmu, który
zabezpiecza przed ciągłym zalogowaniem operatorów w systemie.
28
5.2 Modyfikowanie kont grup i kont
użytkowników
Zdarza się, że użytkownik potrzebuje modyfikować konta, ponieważ zakres
obowiązków grup i użytkowników zmienia się.
UWAGA: Dane o kontach grup i kontach użytkowników po zalogowaniu się
operatorów przechowywane są w pamięciach komputerów. Dlatego też, zmiany
dokonywane w kontach grup i kontach użytkowników nie odnoszą skutku dopóki
członkowie grup nie wylogują się i nie zalogują się ponownie. Przez ponowne
logowanie operatorzy zmuszajÄ… system iFIX do ponownego odczytania informacji o
kontach.
Aby zmodyfikować konto grupy należy wykonać następujące czynności:
[1] Kliknij przycisk Konta grup (Group Accounts) w pasku narzędzi systemu
ochrony.
[2] Dwukrotnie kliknij konto grupy, które należy zmodyfikować.
[3] W zależności od potrzeb zmodyfikuj następujące dane:
" Nazwa konta.
" Obszary ochrony.
" Aplikacje i funkcje aplikacji.
[4] Kliknij przycisk OK, aby zachować konto grupy w pamięci.
[5] Kliknij przycisk OK ponownie, aby zamknąć okno dialogowe Konta grup.
[6] Wybierz polecenie Zapisz (Save) w menu Plik (File).
Aby zmodyfikować konto użytkownika należy wykonać następujące czynności:
[1] Kliknij przycisk Konta użytkowników (User Accounts) w pasku narzędzi systemu
ochrony.
[2] Dwukrotnie kliknij konto użytkownika, które należy zmodyfikować.
[3] W zależności od potrzeb zmodyfikuj następujące dane:
" Imię i nazwisko oraz nazwa użytkownika.
" Hasło (tylko system ochrony systemu FIX Dynamics) lub Nazwa domeny (tylko
system ochrony Windows NT).
" Maksymalny czas zalogowania.
" Konta grup.
" Obszary ochrony.
" Aplikacje i funkcje aplikacji.
[4] Zachowaj konto użytkownika.
5.3 Usuwanie kont grup i kont użytkowników
Użytkownik w razie potrzeby może usunąć konto grupy lub konto użytkownika.
Usunięcie konta użytkownika, który automatycznie logowany jest do systemu iFIX
powoduje także usunięcie skojarzonego pliku konfiguracyjnego automatycznego
logowania. Więcej informacji na temat konfigurowania konta użytkownika w celu
Rozdział 5: Zarządzanie kontami grup i kontami użytkowników 29
jego automatycznego logowania znajduje siÄ™ w rozdziale 6.2, Automatyczne
logowanie siÄ™ w systemie iFIX.
Użytkownik może usunąć wszystkie aktualnie zdefiniowane konta przez wybranie
polecenia Wyczyść (Clear) w menu Plik (File). Gdy użytkownik wybierze to
polecenie, to system ochrony wykonuje następujące czynności:
" Blokuje siÄ™.
" Usuwa wszystkie konta grup i konta użytkowników.
" Usuwa wszystkie pliki automatycznego logowania.
" Zmienia nazwy pierwszych 16 obszarów ochrony na duże, kolejne litery
alfabetu od A do P i usuwa wszystkie pozostałe nazwy obszarów ochrony.
" Proponuje utworzenie przykładowych kont. Takie działanie zapobiega
przypadkowemu zablokowaniu w programie Konfiguracja systemu ochrony.
Użytkownik powinien zawsze utworzyć przykładowe konta ze względu
bezpieczeństwa.
Jeśli użytkownik nie utworzy przykładowych kont i uaktywni system ochrony,
to nie może on zamknąć programu Konfiguracja systemu ochrony. Musi on
utworzyć przynajmniej jedno konto użytkownika. Funkcja ta zapobiega przed
przypadkowym zablokowaniem siÄ™ w programie Konfiguracja systemu ochrony.
UWAGA: System iFIX nie modyfikuje nazwy katalogu systemu ochrony i katalogu
zapasowego, gdy użytkownik wybierze polecenie Wyczyść.
Aby usunąć konto grupy należy wykonać następujące czynności:
[1] Kliknij przycisk Konta grup (Group Accounts) w pasku narzędzi systemu
ochrony.
[2] Wybierz konto grupy, które należy usunąć i kliknij przycisk Usuń. Pojawi się
następujący komunikat:
OK, aby usunąć tę grupę?
(OK to delete this group?)
[3] Kliknij przycisk Tak, aby usunąć konto grupy.
[4] Kliknij przycisk OK, aby zamknąć okno dialogowe Konta grup (Group
Accounts).
[5] Wybierz polecenie Zapisz (Save) w menu Plik (File), aby na stałe usunąć konto.
UWAGA: Przy usuwaniu. kont grup należy zachować szczególną ostrożność, gdyż
członkowie grupy tracą uprawnienia po usunięciu konta grupy, do której należą.
Aby usunąć konto użytkownika należy wykonać następujące czynności:
[1] Kliknij przycisk Konta użytkowników (User Accounts) w pasku narzędzi systemu
ochrony.
[2] Wybierz konto użytkownika, które należy usunąć i kliknij przycisk Usuń. Pojawi
się następujący komunikat:
OK, aby usunąć tę grupę?
(OK to delete this user?)
[3] Kliknij przycisk Tak, aby usunąć konto użytkownika.
30
[4] Kliknij przycisk OK, aby zamknąć okno dialogowe Konta użytkowników (User
Accounts).
[5] Wybierz polecenie Zapisz (Save) w menu Plik (File), aby na stałe usunąć konto.
Aby usunąć wszystkie konta i zablokować system ochrony, należy wykonać
następujące czynności:
[1] Wybierz polecenie Wyczyść (Clear) w menu Plik (File). Pojawi się następujący
komunikat:
Czy usunąć istniejącą konfigurację systemu ochrony?
(Delete existing security configuration?)
[2] Kliknij przycisk Tak, aby usunąć wszystkie konta. Pojawi się następujący
komunikat:
Czy utworzyć domyślne konta użytkowników i grup?
(Should default user and group accounts be created?)
[3] Kliknij przycisk Tak, aby utworzyć przykładowe konta grup i konta
użytkowników lub kliknij przycisk Nie, aby pominąć ten krok..
5.4 Tworzenie konta użytkownika receptur
W czasie wykorzystywania pakietu Receptury użytkownik ładuje receptury
modyfikujÄ…c bazÄ™ danych procesu. Gdy system ochrony jest uaktywniony, to wtedy
użytkownik może chronić bloki w każdej bazie danych procesu przez przypisanie
ich do obszarów ochrony. W skutek tego ładowanie receptury może się nie powieść,
ponieważ aktualny operator może nie mieć wystarczających uprawnień do zmiany
wartości bloków, do których receptura zapisuje dane.
Użytkownik może rozwiązać ten problem przez utworzenie konta użytkownika
receptur. Konto to definiuje obszary ochrony, które wykorzystywane są w czasie
Å‚adowania receptury. Gdy rozpoczyna siÄ™ Å‚adowanie receptury, to system iFIX
sprawdza przypisane obszary ochrony do konta użytkownika receptur zamiast do
konta aktualnie zalogowanego użytkownika.
Użytkownik może utworzyć konto użytkownika receptur wykonując następujące
czynności:
" Nazwij konto RECIPE.
" Zdefiniuj potrzebne obszary ochrony.
Po utworzeniu tego konta, skopiuj go do katalogu systemu ochrony każdego serwera
SCADA.
OSTRZEŻENIE: System ochrony ładuje konto użytkownika receptur do pamięci
komputera w chwili pierwszego ładowania receptury. Jeśli użytkownik zmodyfikuje
to konto, to lokalny komputer będzie wciąż wykorzystywał poprzednią wersję tego
konta, które jest umieszczone w pamięci. Aby zaktualizować wersję konta w pamięci
komputera, należy wylogować się, zalogować się wykorzystując konto użytkownika
receptur i wylogować się ponownie.
Aby utworzyć konto użytkownika receptur, należy wykonać następujące czynności:
[1] Kliknij przycisk Konta użytkowników (User Accounts) w pasku narzędzi systemu
ochrony.
[2] Kliknij przycisk Dodaj (Add).
Rozdział 5: Zarządzanie kontami grup i kontami użytkowników 31
[3] Wprowadz
nazwÄ™ RECIPE w polu ImiÄ™ i nazwisko (Full Name) oraz w polu
Nazwa użytkownika (Login Name). Do tego konta nie przypisuj hasła.
[4] Kliknij przycisk Modyfikuj (Modify) pod listÄ… Obszary ochrony (Security Area).
[5] Dwukrotnie kliknij każdy obszar ochrony, który należy dodać wykorzystując listę
Dostępne obszary ochrony (Available). Aby dodać wszystkie obszary ochrony
należy kliknąć przycisk Dodaj wszystko (Add All).
[6] Kliknij przycisk OK, aby zachować konto użytkownika w pamięci.
[7] Kliknij przycisk OK., aby zamknąć okno dialogowe Konta użytkowników (User
Accounts) i wybierz polecenie Zapisz (Save) w menu Plik (File).
32
6. LOGOWANIE I WYLOGOWYWANIE SI
Z SYSTEMU
IFIX
Operatorzy mogą logować się w systemie iFIX za pomocą klawiatury albo
automatycznie. W czasie logowania użytkownicy są identyfikowani jako
użytkownicy systemu iFIX i otrzymują uprawnienia, takie jak: dostęp do rysunków,
receptu i aplikacji, które będą mogli uruchamiać.
Operatorzy mogą logować się do systemu iFIX za pomocą klawiatury,
Logowanie do
wykorzystując program Login. Gdy program ten zostaje uruchomiony, to umożliwia
systemu iFIX za
on operatorom wprowadzenie ich nazwy użytkownika i hasła.
pomocÄ… klawiatury
Program Login umożliwia operatorom wprowadzenie ich nazwy użytkownika i
hasła trzy razy. Po trzeciej nieudanej próbie, program Login zamyka się. Operatorzy
mogą próbować logować się przez ponowne uruchomienie tego programu.
Operatorzy mogą zmienić swoje hasło wykorzystując system ochrony Windows NT
po zalogowaniu się do tego systemu. W hasłach wykorzystywanych w systemie
Windows NT rozróżniane są duże i małe litery.
UWAGA: Próba logowania zakończona niepowodzeniem generuje alarm, który
wysyłany jest do różnych odblokowanych dla alarmów miejsc w systemie. Próba ta
jest także zapisywana do dziennika zdarzeń na lokalnym komputerze.
Jeśli użytkownik zsynchronizuje konto użytkownika w systemie iFIX z kontem w
systemie Windows NT, to wtedy powinien on zmieniać swoje hasło za pomocą
programu Login systemu iFIX lub gdy system iFIX nie jest uruchomiony, to
użytkownik musi ponownie uruchomić system iFIX, aby wszyscy operatorzy mieli
odpowiedni dostęp do funkcji systemu ochrony.
Aby zalogować się do systemu iFIX należy wykonać następujące czynności:
[1] Kliknij przycisk Login w pasku narzędzi Aplikacje (Application).
[2] Wprowadz
swoją nazwę użytkownika i hasło.
[3] Kliknij przycisk Login.
Aby zmienić hasło konta wykorzystując system ochrony systemu Windows NT
należy wykonać następujące czynności:
[1] Kliknij przycisk Login w pasku narzędzi Aplikacje (Application).
[2] Kliknij przycisk Zmień hasło (Change Password).
[3] Wprowadz
aktualne hasło w polu Stare hasło (Old Password).
[4] Wprowadz
nowe hasło w polu Nowe hasło (New Password).
[5] Aby potwierdzić zmianę hasła, wprowadz
nowe hasło ponownie w polu
Weryfikuj nowe hasło (Verify New Password).
Operatorzy mogą wylogować się z systemu iFIX przez zamknięcie wszystkich
Wylogowywanie siÄ™
aplikacji systemu iFIX, które chronione są przez system ochrony, uruchomienie
z systemu iFIX
programu Login i kliknięcie przycisku Logout.
Aby wylogować się z systemu iFIX należy wykonać następujące czynności:
[1] Kliknij przycisk Login w pasku narzędzi Aplikacje (Application).
[2] Kliknij przycisk Logout.
Rozdział 6: Logowanie i wylogowywanie się z systemu iFIX 33
6.1 Podstawy dotyczące dziennika zdarzeń
systemu ochrony
Program Login zapisuje każdą próbę logowania w dzienniku zdarzeń.
Przeglądnięcie dziennika zdarzeń dostarcza następujących informacji:
" Kto logował się i wylogowywał się.
" Kiedy nie udało się operatorowi poprawnie zakończyć procesu logowania.
" Kiedy ktoś próbował naruszyć obszar ochrony, uruchomić aplikację lub
wykorzystać funkcję aplikacji, do której miał zabroniony dostęp.
" Kiedy operator przekroczył dozwolony okres zalogowania w systemie.
Plik zdarzeń systemu ochrony YYMMDD.LOG umieszczony jest w katalogu
alarmów. Przykładowo plik 971023.LOG zawiera dziennik zdarzeń systemu
ochrony z 23 paz
dziernika 1997 roku. Więcej informacji na temat katalogu alarmów
znajduje się w podręczniku Konfiguracja środowiska pracy.
6.2 Automatyczne logowanie siÄ™ w systemie iFIX
Użytkownik może skonfigurować system iFIX w taki sposób, aby operator mógł
automatycznie logować się. W tym celu należy wykorzystać program Konfiguracja
systemu ochrony i wprowadzić następujące informacje:
" Nazwa węzła, na którym użytkownik ma być logowany automatycznie.
" Operator, który ma być logowany.
Po wprowadzeniu tych danych program Konfiguracja systemu ochrony zapisuje
konfigurację do pliku o nazwie nazwa_węzła.AUT , gdzie nazwa_węzła jest
wprowadzoną nazwą węzła systemu iFIX. Następnym razem, gdy będzie
uruchamiany system iFIX, odczyta on plik konfiguracyjny i zaloguje automatycznie
operatora.
Użytkownik może utworzyć plik konfiguracyjny do automatycznego logowania dla
Podstawy
wielu komputerów. Gdy katalog systemu ochrony jest lokalny, to użytkownik może
dotyczÄ…ce katalogu
określić konfigurację automatycznego logowania dla każdego węzła, konfigurując
systemu ochrony
go lokalnie. Jednak w przypadku, gdy katalog systemu ochrony wskazuje na serwer
plików, to użytkownik może określić konfigurację automatycznego logowania dla
wielu komputerów z dowolnego węzła w sieci.
Konfiguracja automatycznego logowania wymaga określenia Użytkownika
Podstawy
aplikacji. Użytkownik aplikacji to nazwa użytkownika operatora, który powinien
dotyczÄ…ce
zostać automatycznie zalogowany. Po zalogowaniu operatorzy dysponują
użytkowników
uprawnieniami przydzielonymi im przy definiowaniu konta użytkownika.
aplikacji
Aby dodać lub zmodyfikować plik automatycznego logowania należy wykonać
następujące czynności:
[1] Kliknij przycisk Automatyczne logowanie (Autologin) w pasku narzędzi systemu
ochrony.
[2] Kliknij przycisk Dodaj (Add) lub dwukrotnie kliknij nazwę węzła, który należy
zmodyfikować.
[3] Wprowadz
nazwę węzła, który należy skonfigurować w polu Węzeł (Node).
[4] Wprowadz
nazwę operatora, którego należy automatycznie logować w polu
Użytkownik aplikacji (Application User).
[5] Kliknij przycisk OK, aby zapisać zmiany w pamięci.
34
[6] Kliknij przycisk OK, aby zachować konfigurację w pliku.
6.3 Usuwanie konfiguracji automatycznego
logowania
Użytkownik może usunąć konfigurację automatycznego logowania, której już nie
potrzebuje przez wybranie nazwy węzła. Nazwa ta identyfikuje nazwę pliku
konfiguracyjnego, który należy usunąć.
Aby usunąć plik automatycznego logowania:
[1] Kliknij przycisk Automatyczne logowanie (Autologin) w pasku narzędzi systemu
ochrony.
[2] Wybierz nazwę węzła, który należy usunąć i kliknij przycisk Usuń (Delete).
Program Konfiguracja systemu ochrony usuwa plik automatycznego logowania
dla wybranego węzła.
Rozdział 6: Logowanie i wylogowywanie się z systemu iFIX 35
7. WYKORZYSTYWANIE J
ZYKA VBA
Wykorzystywanie skryptów języka VBA (Visual Basic for Application) umożliwia
użytkownikowi pisanie skryptów, które zapewniają dostęp do danych systemu
ochrony. Przykładowo, użytkownik może napisać skrypt w celu zidentyfikowania
aktualnie zalogowanego operatora i jego uprawnień. Użytkownik może także pisać
skrypty, które umożliwiają operatorom logowanie i wylogowywanie się z systemu
iFIX. Skrypty takie dają możliwość dostosowania procesu logowania do potrzeb
użytkownika.
Więcej informacji na temat pisania skryptów, które wykorzystują system ochrony
oprogramowania iFIX znajduje się w podręczniku Pisanie skryptów. Więcej
informacji na temat metod VBA, które wykorzystują system ochrony znajduje się w
systemie pomocy interfejsów automatyzacji systemu iFIX.
Rozdział 7: Wykorzystywanie języka VBA 37
8. USUWANIE BA

DÓW
Chociaż program Konfiguracja systemu ochrony jest łatwą w użyciu aplikacją, to
użytkownik może napotkać trudności w jej wykorzystywaniu. Poniższa tabela
wyjaśnia, jak rozwiązywać najczęściej występujące problemy, które może napotkać
użytkownik w czasie używania systemu ochrony.
Tabela 8-1: Sposoby rozwiązywani problemów dotyczących systemu ochrony
Jeśli użytkownik ... Wtedy powinien on ...
Kopiuje pliki systemu ochrony Uaktywnić system ochrony na wszystkich węzłach i
na wszystkie węzły systemu skopiować tę samą konfigurację systemu ochrony na
iFIX lub każdy węzeł. Aby wykonać to zadanie należy
skopiować następujące pliki umieszczone w katalogu
Na ekranie monitora zauważy
systemu ochrony w jednym z węzłów systemu iFIX do
komunikat, że operator nie jest
katalogów systemu ochrony na innych węzłach:
zarejestrowany w systemie
ochrony lub nie jest *.UTL
uprawniony do
*.^TL
wykorzystywania programu.
*.AUT
*.RPT
SANAMES.CFG
Zablokuje się w systemie iFIX. Zalogować się wykorzystując konto użytkownika
ADMIN i utworzyć dla siebie nowe konto
użytkownika. Nazwa użytkownika i hasło dla konta
ADMIN to ADMIN.
Zapomni swoje hasło. Zalogować się wykorzystując konto użytkownika
ADMIN i utworzyć dla siebie nowe konto
użytkownika. Nazwa użytkownika i hasło dla konta
ADMIN to ADMIN.
Nie chce, aby system ochrony Wprowadzić tekst 00:00:00 jako maksymalny czas
automatycznie wylogowywał zalogowania użytkownika dla konta użytkownika.
operatorów.
Chce logować się do systemu iFIX
[1] Dodać przycisk na rysunku.
za pomocÄ… rysunku.
[2] Nazwać przycisk Login.
[3] Napisać skrypt wywołujący procedurę Login.
Więcej informacji na ten temat znajduje się w
systemie pomocy Interfejsy automatyzacji systemu
iFIX.
Chce zabezpieczyć się przed Uruchomić program Konfiguracja systemu ochrony,
działaniem skrótu klawiszowego kliknąć przycisk Konfiguracja (Configuration) w pasku
w systemie Windows. narzędzi systemu ochrony i kliknąć przycisk opcji
wykluczajÄ…cych siÄ™ Aktywny (Enabled) w oknie
dialogowym Konfiguracja (Configuration).
Chce uruchamiać program Uruchomić program WorkSpace firmy Intellution i
Konfiguracja systemu ochrony bez kliknąć przycisk Konfiguracja systemu ochrony
uruchamiania programu (Security Configuration) w pasku narzędzi Aplikacje
Konfiguracja systemu (SCU). (Application).
Rozdział 8: Usuwanie błędów 39
Widzi komunikat: Skonfigurować konto operatora systemu Windows NT,
które próbuje on wykorzystywać, tak jak opisano w
Próba
rozdziale 1.2, Wykorzystywanie systemu ochrony
nieautoryzowanego
systemów Windows.
dostępu
(Unauthorized access
attempted).
8.1 Komunikaty dotyczÄ…ce konfigurowania
systemu ochrony
Jeśli użytkownik widzi komunikat, którego nie rozumie, to powinien wykorzystać
poniższą tabelę w celu wyjaśnienia problemu i uzyskania wskazówek na temat jego
rozwiązania. Po zapoznaniu się z komunikatem użytkownik powinien kliknąć
przycisk OK.
Tabela 8-2: Komunikaty dotyczÄ…ce konfiguracji systemu ochrony
Komunikat Działanie lub znaczenie
Użytkownik aplikacji nie Użytkownik wprowadził w polu Użytkownik aplikacji
został odnaleziony. (Application User) nazwę, której system ochrony nie
Wprowadz
ponownie odnalazł. Należy kliknąć przycisk ? i wybrać nazwę z listy
(Application user not found. kont użytkowników, która się pojawi. Jeśli w liście nie
Reenter). pojawi się konto użytkownika o spodziewanej przez
administratora nazwie, to należy utworzyć takie konto.
OSTRZEŻENIE: aktualnie Administrator usiłował zmienić konfigurację węzła w czasie,
wykorzystuje się dla systemu gdy katalog systemu ochrony był niedostępny.
ochrony katalog zapasowy Wprowadzanie zmian jest możliwe, ale należy pamiętać o
(CAUTION: Backup security ponownym rekonfigurowaniu węzła w celu odzwierciedlenia
path currently in use) poczynionych zmian, gdy katalog systemu ochrony stanie siÄ™
ponownie dostępny.
Konfiguracja uległa zmianie. Administrator wybrał polecenie Zakończ (Exit) bez
Czy zachować wprowadzone zachowania poczynionych zmian. Kliknięcie przycisku Tak
zmiany? (Configuration has spowoduje zachowanie zmian, kliknięcie przycisku Nie
changed. Save new changes?) spowoduje zakończenie bez zachowania zmian. W celu
kontynuowania działania programu Konfiguracja systemu
ochrony należy nacisnąć przycisk Anuluj.
Czy skopiować istniejącą Administrator zmienił katalog systemu ochrony. Kliknięcie
konfigurację do nowego przycisku Tak spowoduje przesunięcie kont użytkowników i
katalogu? (Copy existing kont grup do nowego katalogu, kliknięcie przycisku Nie
configuration to new path?) spowoduje pozostawienie plików w bieżącym katalogu,
kliknięcie przycisku Anuluj spowoduje powrót do okna
dialogowego Konfiguracja.
Czy usunąć istniejącą Administrator wybrał polecenie Wyczyść (Clear), w menu
konfigurację systemu Plik (File). Kliknięcie przycisku Tak spowoduje usunięcie
ochrony? (Delete existing wszystkich kont użytkowników i wszystkich kont grup.
security configuration?) Kliknięcie przycisku Nie spowoduje przerwanie
wykonywania tej funkcji.
40
Zablokuj system ochrony, lub Administrator odblokował system ochrony bez utworzenia
przydziel użytkownikowi jakiegokolwiek konta użytkownika, które miałoby dostęp do
dostęp do tego programu programu Konfiguracja systemu ochrony. Należy utworzyć
przed zakończeniem (Disable co najmniej jedno konto użytkownika, które będzie miało
security or give a user access dostęp do tego programu, zanim zostanie on zakończony.
to this program before
exiting)
Błąd przy eksportowaniu Program Konfiguracja systemu ochrony nie mógł
konfiguracji systemu ochrony wyeksportować aktualnej konfiguracji systemu ochrony.
(Failure exporting security Należy się upewnić, że na dysku istnieje wystarczający
configuration). wolny obszar. Jeśli tak nie jest, to należy zrobić kopię
rezerwową niepotrzebnych plików i usunąć je. Po usunięciu
plików należy spróbować ponownie wyeksportować
konfiguracjÄ™ systemu ochrony.
Błąd przy odczytywaniu Program Konfiguracja systemu ochrony nie mógł załadować
konfiguracji systemu ochrony żądanego pliku. Należy się upewnić, że plik ten istnieje w
(Failure reading security aktualnie zdefiniowanym katalogu systemu ochrony. Jeśli tak
configuration). nie jest, to należy skopiować plik do katalogu systemu
ochrony i spróbować ponownie załadować plik.
Administrator może także sprawdzić, czy odczytywany plik
nie jest uszkodzony lub przechowywany w uszkodzonych
sektorach dysku twardego.
Błąd przy zapisie plików Program Konfiguracja systemu ochrony nie mógł zachować
systemu ochrony. Sprawdz
bieżącej konfiguracji. Należy się upewnić, że na dysku
ilość wolnej pamięci istnieje wystarczający wolny obszar. Jeśli tak nie jest, to
dyskowej (Failure writing należy zrobić kopię rezerwową niepotrzebnych plików i
security files. Check disk usunąć je. Po usunięciu plików należy spróbować ponownie
space). zachować konfigurację systemu ochrony.
Pełna nazwa musi zawierać Użytkownik wprowadził znaki przestankowe lub znaki inne
tylko znaki alfanumeryczne od alfanumerycznych w polu ImiÄ™ i nazwisko (Full Name), w
(Full name must be oknie dialogowym Profil użytkownika (User Account).
alphanumeric) Należy wpisać ponownie nazwę w danym polu i wykorzystać
jedynie znaki alfanumeryczne.
Do zachowania grupy Użytkownik usiłował utworzyć konto grupy bez określenia
niezbędna jest nazwa grupy jego nazwy. Należy wprowadzić nazwę zawierającą do 20
(Group name needed to save znaków alfanumerycznych w polu Nazwa grupy (Group
a group). Name), w oknie dialogowym Profil grupy (Group Account)
oraz kliknąć przycisk OK w celu utworzenia konta.
Podano niewłaściwy katalog Administrator podał nazwę nie istniejącego katalogu w polu
(Invalid path specified). Katalog zapasowy (Backup Path). Należy albo utworzyć
odpowiedni katalog, lub wpisać nazwę istniejącego katalogu.
Wprowadzono niewłaściwą Albo administrator podał nienumeryczną wartość w polu
wartość ograniczenia Maksymalny czas zalogowania (Login Timeout), albo
czasowego! (Invalid timeout wprowadził wartość numeryczną w formacie, który nie jest
value entered!). rozpoznawany przez program Konfiguracja systemu ochrony.
Należy wpisać wartość numeryczną w danym polu
wykorzystujÄ…c format hh:mm:ss.
Nazwa użytkownika musi Administrator wprowadził znaki przestankowe lub znaki inne
zawierać tylko znaki od alfanumerycznych w polu Nazwa użytkownika (Login
alfanumeryczne (Login name Name), w oknie dialogowym Profil użytkownika (User
must be alphanumeric). Account). Należy wpisać ponownie nazwę w danym polu i
wykorzystać jedynie znaki alfanumeryczne.
Rozdział 8: Usuwanie błędów 41
Nowy katalog nie zawiera Administrator kliknÄ…Å‚ przycisk Nie w momencie, gdy
plików systemu ochrony. program Konfiguracja systemu ochrony prosił o skopiowanie
Skopiuj pliki lub anuluj kont użytkownika i kont grup. Ponieważ w podanym
zmiany (New path has no katalogu systemu ochrony nie istnieją żadne pliki kont, to
security files. Copy files or należy kliknąć przycisk Tak albo przycisk Anuluj.
CANCEL change).
Zgoda na usunięcie tej grupy? Program Konfiguracja systemu ochrony zamierza usunąć
(Ok to DELETE this group?). wybrane konto grupy. Należy kliknąć przycisk Tak w celu
usunięcia konta, lub przycisk Nie w celu jego pozostawienia.
Zgoda na usunięcie tego Program Konfiguracja systemu ochrony zamierza usunąć
użytkownika? (Ok to wybrane konto użytkownika. Należy kliknąć przycisk Tak w
DELETE this user?). celu usunięcia konta, lub przycisk Nie w celu jego
pozostawienia.
Zgoda na utratę bieżących Użytkownik kliknął przycisk Anuluj w oknie dialogowym.
zmian? (Ok to lose current Należy kliknąć przycisk Tak w celu zaniechania
changes?). poczynionych zmian, albo przycisk Nie w celu
kontynuowania dokonywania zmian.
Stara konfiguracja nie została Program Konfiguracja systemu ochrony nie mógł odnalez
ć
odnaleziona! (Old kopii zapasowej poprzedniej konfiguracji systemu ochrony i
configuration not found!). zamiast tego zachował bieżącą konfigurację. Sytuacja taka
może się wydarzyć, jeśli odpowiednim plikom zmieniono
nazwy lub zostały one usunięte. Mogła również zostać
zmieniona nazwa katalogu zapasowego.
Czy zamienić istniejący Podana przez administratora nazwa pliku już istnieje. Należy
eksportowany plik? kliknąć przycisk Tak w celu zamiany danego pliku, kliknąć
(Overwrite existing export przycisk Nie w celu wprowadzenia nowej nazwy pliku albo
file?). wybrać przycisk Anuluj w celu przerwania procedury.
Nieskuteczne potwierdzenie Podane hasło nie jest zgodne z hasłem wprowadzonym w
hasła. Procedura polu okna dialogowego Profil użytkownika (User Account).
zachowywania została Należy kliknąć przycisk OK w oknie dialogowym oraz
przerwana (Password wpisać ponownie hasło w oknie z komunikatem, które się
confirmation failed. Save pojawi.
Aborted).
Zamienić czy dodać do Program Konfiguracja systemu ochrony zamierza
aktualnej konfiguracji? importować konfigurację systemu ochrony. Należy kliknąć
(Replace or add to existing przycisk Zamień (Replace) w celu zamiany wszystkich kont
configuration?). grup, kont użytkowników oraz obszarów ochrony,
wykorzystując dane zawarte w importowanym pliku. Należy
kliknąć przycisk Dodaj (Add) w celu dodania nowych kont
do kont już istniejących.
Nieudana próba zapisu! (Save Program Konfiguracja systemu ochrony nie mógł zapisać
failed!). bieżącej konfiguracji. Należy się upewnić, że na dysku
istnieje wystarczający wolny obszar. Jeśli tak nie jest, to
należy zrobić kopię rezerwową niepotrzebnych plików i
usunąć je. Po usunięciu plików należy spróbować ponownie
zapisać konfigurację systemu ochrony.
Uszkodzona konfiguracja Program Konfiguracja systemu ochrony nie może odnalez
ć
ochrony (Security plików ochrony w podanym katalogu systemu ochrony.
configuration corrupted). Należy zmienić nazwy wszystkich plików z rozszerzeniem
.^TL na rozszerzenie .UTL i ponownie uruchomić program
Konfiguracja systemu ochrony.
42
Pliki ochrony muszą zostać Podany katalog systemu ochrony nie istnieje.
ręcznie skopiowane ze W konsekwencji program Konfiguracja systemu ochrony nie
starej_ścieżki (Security Files może skopiować aktualnie zdefiniowanych kont
must be manually copied użytkowników i kont grup do wyspecyfikowanego katalogu.
from ). Konieczne jest skopiowanie plików do tego katalogu, jak
tylko stanie się on dostępny. Jeśli administrator tak nie
postąpi, to program Konfiguracja systemu ochrony założy, że
ktoś usiłuje złamać system ochrony i nie umożliwi
administratorowi ponownego uruchomienia.
Ścieżka systemu ochrony jest System iFIX nie mógł odnalez
ć podanego katalogu systemu
niepoprawna lub niedostępna. ochrony. Należy się upewnić, że katalog taki istnieje i
Czy kontynuować? (Security spróbować ponownie. Jeśli podana ścieżka wskazuje na
path invalid or unavailable. serwer plików, to należy się upewnić, że serwer funkcjonuje
Continue?). poprawnie.
Czy należy utworzyć Użytkownik wybrał polecenie Wyczyść (Clear), w celu
domyślne konta usunięcia wszystkich kont użytkowników oraz kont grup. W
użytkowników i konta grup? celu uchronienia administratora przed przypadkowym
(Should default user and zablokowaniem siÄ™, gdy zamknie on program, program
group accounts be created?). Konfiguracja systemu ochrony umożliwia utworzenie
przykładowych kont użytkowników i kont grup. W celu
utworzenia takich kont należy kliknąć przycisk Tak. W celu
pominięcia tworzenia takich kont należy kliknąć przycisk
Nie.
Nie odnaleziono użytkownika Użytkownik wprowadził w polu Użytkownik systemu nazwę
systemu. Wprowadz
konta użytkownika, którego system ochrony nie mógł
ponownie (System user not odnalez
ć. Należy kliknąć przycisk ? i wybrać konto
found. Reenter). użytkownika z listy dostępnych kont użytkowników, która się
pojawi. Jeśli w liście nie pojawi się konto użytkownika o
spodziewanej przez administratora nazwie, to należy
utworzyć takie konto.
Nieautoryzowany dostęp do Usiłowano uruchomić program Konfiguracja systemu
programu Konfiguracja ochrony, ale konto użytkownika, który usiłował tego dokonać
systemu ochrony nie zapewnia dostępu do programu, lub użytkownik nie jest
(Unauthorized access to zalogowany. Należy zalogować się w systemie iFIX i
Security Configurator). spróbować ponownie. Jeśli użytkownik wykorzystuje system
ochrony oprogramowania Windows NT, to powinien
upewnić się, czy przy podawaniu hasła nie zmienił wielkości
liter. Jeśli problem nie został usunięty, to należy sprawdzić,
czy wykorzystywane konto użytkownika w systemie
Windows NT istnieje i jest skonfigurowane tak, jak opisano
w rozdziale 1.2, Wykorzystywanie systemu ochrony systemów
Windows.
Wymagana jest jednoznaczna Użytkownik wprowadził nazwę użytkownika lub dane w
nazwa użytkownika i polu Imię i nazwisko (Full Name), które są już
jednoznaczne imię i nazwisko wykorzystywane przez inne konto użytkownika. Należy
dla każdego użytkownika wprowadzić nazwę użytkownika lub jego imię i nazwisko w
(Unique login and full names taki sposób, aby dane te nie były wykorzystywane przez inne
required for each user). konta, oraz kliknąć przycisk OK.
Rozdział 8: Usuwanie błędów 43
Ostrzeżenie: importowane Program Konfiguracja systemu ochrony będzie importować
konta użytkowników mogą plik konfiguracyjny systemu ochrony. Należy kliknąć
być pozbawione haseł. Czy przycisk Tak w celu kontynuowania importowania pliku, lub
kontynuować? (Warning: kliknąć przycisk Nie w celu przerwania procedury
imported user accounts may importowania. W celu importowania pliku z hasłami, należy
not have passwords! dokonać edycji tego pliku za pomocą edytora tekstowego i
Continue?). wpisać tekst PASSWORD:hasło w linii bezpośrednio po
linii zawierającej nazwę użytkownika. Przykład edycji
importowanego pliku można znalez
ć w rozdziale 4.5.1,
Importowanie haseł kont użytkowników.
44
SA
OWNIK
konto grupy - zbiór często wykorzystywanych uprawnień, które mają być
współdzielone przez dwóch lub więcej użytkowników. Konta grup mogą być
przypisywane do indywidualnych użytkowników.
konto użytkownika - zestaw obszarów ochrony, aplikacje i funkcje aplikacji oraz
uprawnienia kont grup zdefiniowane dla pojedynczego użytkownika.
obszar ochrony - fizyczny lub funkcjonalny podział automatyzowanego procesu,
który pozwala na zakazywanie dostępu do ekranów synoptycznych operatora,
oraz ochronę zapisu do bloków bazy danych. Obszary ochrony mogą być
tożsame ze sprzętem (takim jak pompy lub piece), materiałami i przyrządami
(takimi jak paliwo, woda, lub para) oraz funkcjami zarzÄ…dzania.
plik automatycznego logowania - plik, który określa użytkownika, który będzie
automatycznie logowany w konkretnym węz
le w trakcie startu systemu.
plik systemu ochrony - plik tekstowy, w którym zawarte są dane o odblokowaniu
systemu ochrony, oraz o wszystkich kontach użytkowników i kontach grup
składowanych w danym węz
le. Plik taki zawiera również obszary ochrony i
aplikacje i funkcje aplikacji przypisane do kont grup i kont użytkowników. W
pliku tym zapisane są również nazwy logowania i konta grup przypisane do
każdego konta użytkownika.
uprawnienia kont - obszary ochrony, aplikacje i funkcje aplikacji zdefiniowane dla
danego konta. Bez żadnych uprawnień użytkownik nie może wykorzystywać
systemu iFIX przy odblokowanym systemie ochrony.
użytkownik aplikacji - osoba, która loguje się w węz
le w celu wykorzystania
właściwości aplikacji systemu iFIX. Użytkownik aplikacji ma dostęp do
funkcji aplikacji systemu iFIX przypisanych do swojego konta.
Dodatek BÅ‚Ä…d! W dokumencie nie ma tekstu o podanym stylu.: BÅ‚Ä…d! W dokumencie nie ma
tekstu o podanym stylu. 45