Supportdokument Lösenordhantering i Device Config. Synpunkter, felaktigheter, önskemål etc. för dokumentet meddelas Fil: Lösenordhantering i Device Config.docx
Innehållsförteckning 1. Allmänt.... 2 2. Dynamiskt lösenord för FTP (service key)... 2 3. Aktivera web-server lösenord... 2 3.1. Parameter Access Timeout... 3 3.2. Access Controls Form Page... 3 4. Lösenord för åtkomstkontroll.... 3 4.1. File Access Password.... 4 4.2. Read CGI Access Password... 4 4.3. Read/Write CGI Accss Password... 4 4.4. Global Access Password:... 5 5. Regler för lösenord... 5 6. Versionshistorik... 6 Malthe Winje Automation AB www.malthe-winje.se Sida 1/6
1. Allmänt. I detta dokument går vi igenom olika typer av lösenord i Device Configuratorn och vad dessa har för funktion. I dagens samhälle måste man mer och mer tänka på intrångssäkerhet oberoende vilket system man använder. Intrång idag sker till största delen av nyfikna men det finns alltid de som vill göra skada. Som regel bör man ha att allt som kopplas på ett nätverks som har tillgång till internet skall skyddas så mycket det går. 2. Dynamiskt lösenord för FTP (service key) Från och med firmware 1.22.xx har SAIA infört ett dynamiskt lösenord service key för FTP och FTP över http. Tanken med det dynamiska lösenordet är att det skall underlätta vid nedladdning av filer från Webbeditorn. I stället för att skriva i ett Webserver lösenord samt FTP användarnamn och FTP lösenord räcker det med att skapa en Service key, för då har mn bara detta att hålla reda på. 3. Aktivera web-server lösenord Web-serverlösenorden kommer bara att aktiverade om parametern Access Checks Enabled är ställd till Yes. Malthe Winje Automation AB www.malthe-winje.se Sida 2/6
3.1. Parameter Access Timeout Om kommunikationen med en S-Bus HTTP överföring blir avbruten, kommer lösenordet att efterfrågas igen efter den inställda tiden har gått ut. Denna parameter gäller endast för http överföring via S-Bus. Default tiden är ställd till 60 sekunder och det är INTE rekommenderat att ändra denna tiden. 3.2. Access Controls Form Page I de fall av åtkomstförsök utan giltigt lösenord pekas man mot inloggningssidan. Default: Rekommenderad inställning: pwdform.htm ändra inte detta Note: denna sida är lagrad i web-servererns system. Om det finns ett behov av göra förändringa av sidan går det att göra med hjälp av HTML-programmering. 4. Lösenord för åtkomstkontroll. Web-servern har fyra nivåer av åtkomstkontroll File Access Nivå 1 Read CGI Access Nivå 2 Read/Write CGI Access Nivå 3 Global Access Nivå 4 I det flesta fall är det nödvändigt att skydda åtkomsten till web-servern. För detta ändamål måste ett niv1 lösenord definieras. Vi rekommenderar att detta lösenord alltid är definieras. Definerar man lösenord till nivå 1 och man efter detta loggar in på web-servern får man direkt access till de övriga nivåerna 2-4. Om skulle vara nödvändigt att använda ett lösenord för inloggning för att skilja mellan läs-och skrivbehörighet, gäller följande regler: Om inget lösenord har definierats på någon av nivåerna finns det inget aktivt åtkomstskydd och användaren har full access till alla funktioner. Ett definierat lösenord aktivera access utifrån vilken nivå den definierats på. EXEMPEL: Ett lösenord har definierats för nivå 1. I detta fall ha web-servern ett lösenordsskydd. Efter det att lösenordet skrivits in har vi inte bara åtkomst till nivå 1 utan även till de högre nivåerna 2-4, under förutsättning att dessa nivåer inte har definierade lösenord. Malthe Winje Automation AB www.malthe-winje.se Sida 3/6
Ett definierat lösenord låser upp sin egen nivå och de som är högre eller upp till nästa nivå som har ett lösenord. EXEMPEL: vi har definierat ett lösenord för nivå 1 och ett lösenord för nivå 3. I detta fall ger lösenordet access till nivå 1 och nivå 2 medan lösenordet för nivå 3 också ger access till nivå 4. 4.1. File Access Password. Detta lösenord skyddar eller ger rättigheter till alla filer och till alla högre nivåer. Rekommenderad inställning: define password Rekommendationen är att man alltid skall definiera ett lösenord på denna nivå för att ge web-servern ett skydd. 4.2. Read CGI Access Password Detta lösenord ger access till att läsa CGI anrop till web-servern. CGI-interface:et och alla högre nivåer är nu skyddat för att kunna läsa PCD variabler (registers, DBs, flags, text,...). Rekommenderad inställning: Om en användare bara har behov att kunna läsa CGI anrop (till exempel för att kunna hämta data till en hemsida eller databas) måste man först ange ett lösenord för nivå 1 File Access och sedan ett lösenord för nivå 3 Read/write CGI Access. 4.3. Read/Write CGI Accss Password Detta lösenord ger access till att läsa och skriva CGI anrop till web-servern. CGIinterface:et och alla högre nivåer är nu skyddat för att kunna läsa eller skriva till PCD variabler (registers, DBs, flags, text,...). Rekommenderad inställning: anges om vid ett behov av att bara läsa/skriva CGI Om en användare har behov att kunna både läsa och skriva ett CGI anrop. Måste ett lösenord definieras för nivå 3 Read/write CGI Access. Malthe Winje Automation AB www.malthe-winje.se Sida 4/6
4.4. Global Access Password: Denna nivå är bara tillgänglig för en historisk anledning. Definiera ett lösenord på denna nivå är inte nödvändigt Rekommenderad inställning: Är inte nödvändig 5. Regler för lösenord Ett lösenord kan vara upp till 31 tecken långt och får inte innehålla specialtecken eller mellanslag. Ingen skillnad görs mellan versaler eller gemener. För att upprätthålla en god säkerhet rekommenderar vi att minst 10 tecken (ju längre lösenord dess då bättre) med en blandning av bokstäver och siffror. Ord som är lätta att lista ut så som systemnamn eller liknande är inte att rekommendera. Malthe Winje Automation AB www.malthe-winje.se Sida 5/6
6. Versionshistorik Version Kommentar Sign. 2012-07-12 Dokumentet skapades. UL 2015-12-14 Genomgång och upprättat UL Malthe Winje Automation AB www.malthe-winje.se Sida 6/6