RADIUS-Überblick - Metasys - LIT-12013352 - M4-SNE10500-0 - M4-SNE11000-0 - M4-SNE110L0-0 - M4-SNE22000-0 - Supervisory Device - SNE16 Network Engine - SNE22 Network Engine - SNE Supervisory Network Engine - 10.1

Inbetriebnahmeanleitung SNE

Product
Network Engines > Network Control Engines > SNE22 Network Engine
Document type
Commissioning Guide
Document number
LIT-12013352
Version
10.1
Revision date
2020-11-10

Sie können die Automationsstation optional für die Authentifizierung nicht lokaler Benutzer über einen Server vom Typ RADIUS (Remote Authentication Dial-In User Service) konfigurieren. Die Automationsstationen verwenden RADIUS zur Authentifizierung von autorisierten nicht lokalen Benutzern des Systems.

Für alle RADIUS-Benutzer muss im Metasys System ein Benutzer definiert sein, für den eine Metasys Autorisierung vorhanden ist und verwaltet wird. Die Anwendung von RADIUS für die Automationsstationen beruht auf den folgenden Internet-RFC-Dokumenten:

  • RFC 2865 - Remote Authentication Dial In User Service
  • RFC 2548 - Microsoft® Vendor-specific RADIUS Attributes
  • RFC 2759 - Microsoft Point-to-Point Protocol (PPP) Challenge Handshake Authentication Protocol (CHAP) Extensions, Version 2

RADIUS wird im Metasys System wie folgt umgesetzt:

  • Bevor Sie ein RADIUS-Benutzerkonto zum Sicherheitssystem einer Automationsstation hinzufügen, fügen Sie zunächst die Automationsstation als Client des RADIUS-Servers hinzu. Wenn Sie vor diesem vorbereitenden Schritt zuerst die RADIUS-Servereinstellungen in der Automationsstation festlegen, wird bei einem Anmeldeversuch u. U. die folgende Meldung angezeigt: Unable to login - Unexpected Error. Wenn dieser Fehler angezeigt wird, setzen Sie die Automationsstation über das Liegenschaftsportal zurück. Versuchen Sie dann erneut, sich anzumelden. Die Authentifizierung des Benutzers findet dann über den RADIUS-Server statt und die Anmeldung ist erfolgreich.
  • Die Autorisierung wird vom Metasys System nicht importiert; alle Benutzer des Metasys Systems, sowohl lokale (Metasys) als auch nicht lokale (RADIUS) Benutzer, werden über die Benutzerkonfiguration autorisiert. Dies findet online im Liegenschaftsportal statt und wird dann in der Metasys Sicherheitsdatenbasis gespeichert.
  • Die Benutzer-ID muss den Anforderungen des RADIUS-Servers für die Authentifizierung gerecht werden. Dafür ist je nach der lokalen RADIUS-Implementierung die @Domäne erforderlich oder nicht.
  • Da das Metasys System bei nicht lokalen Benutzern keine lokale Authentifizierung durchführt, sind bei der Erstellung und Verwaltung nicht lokaler Metasys Benutzerkonten keine Passwortfunktionen verfügbar oder werden ignoriert. RADIUS-Passwörter werden niemals in der Metasys Sicherheitsdatenbasis gespeichert.
  • Sie können die RADIUS-Autorisierung für die Profile Administrator, Benutzer, Operator, Wartung oder ein benutzerdefiniertes Profil im Metasys System erstellen.
  • Wenn für einen nicht lokalen Benutzer mehrere aufeinanderfolgende Fehler bei der RADIUS-Authentifizierung auftreten und das Konto so konfiguriert wurde, dass es nach dieser Anzahl fehlgeschlagener Anmeldeversuche gesperrt wird, wird die Autorisierung des Metasys Systems gesperrt. Sie können in diesem Fall erst wieder auf das Gerät des Metasys Systems zugreifen, nachdem das Konto von einem Metasys Systemadministrator wieder freigegeben wurde.

  • Wenn das RADIUS-System einen nicht lokalen Gebrauch authentifiziert und das Zeitprogramm des Metasys Systems einen Zugriff während der Anmeldezeit untersagt, schlägt der Anmeldeversuch des Benutzers fehl.

Wenn Sie bei der Anmeldung in dasMetasys System einen nicht lokalen Benutzernamen angeben, leitet der Regler die Benutzerdaten einschließlich des Benutzernamens und des Passwortes zur Authentifizierung an den konfigurierten RADIUS-Server weiter, nachdem bestätigt wurde, dass das Passwort den Metasys Komplexitätsregeln entspricht. Nach der Authentifizierung des Zugriffs durch den RADIUS-Server erhalten Sie Zugriff gemäß den Vorgaben in der Metasys Sicherheitsdatenbasis.

Meldungen über RADIUS-Authentifizierungsfehler werden absichtlich verdeckt, um das mögliche Eindringen nicht autorisierter Benutzer zu verhindern. Weitere Informationen zu Situationen, die zur Ausgabe von Fehlermeldungen führen können, finden Sie unter RADIUS-Fehler. Wenn RADIUS deaktiviert ist, erhalten Sie Anmeldemeldungen vom Metasys System. Wenn RADIUS aktiviert ist, sind Meldungen über lokale und nicht lokale Authentifizierungsfehler identisch und werden verdeckt.