Anwendungsbeispiel 08/2014 Benutzerverwaltung für SCALANCE-Geräte mit RADIUS-Protokoll SIMATIC NET SCALANCE der Serien X-300, X-400, XM-400, X-500, S-600 http://support.automation.siemens.com/ww/view/de/98210507
Gewährleistung und Haftung Gewährleistung und Haftung Hinweis Die Applikationsbeispiele sind unverbindlich und erheben keinen Anspruch auf Vollständigkeit hinsichtlich Konfiguration und Ausstattung sowie jeglicher Eventualitäten. Die Applikationsbeispiele stellen keine kundenspezifischen Lösungen dar, sondern sollen lediglich Hilfestellung bieten bei typischen Aufgabenstellungen. Sie sind für den sachgemäßen Betrieb der beschriebenen Produkte selbst verantwortlich. Diese Applikationsbeispiele entheben Sie nicht der Verpflichtung zu sicherem Umgang bei Anwendung, Installation, Betrieb und Wartung. Durch Nutzung dieser Applikationsbeispiele erkennen Sie an, dass wir über die beschriebene Haftungsregelung hinaus nicht für etwaige Schäden haftbar gemacht werden können. Wir behalten uns das Recht vor, Änderungen an diesen Applikationsbeispielen jederzeit ohne Ankündigung durchzuführen. Bei Abweichungen zwischen den Vorschlägen in diesem Applikationsbeispiel und anderen Siemens Publikationen, wie z.b. Katalogen, hat der Inhalt der anderen Dokumentation Vorrang. Für die in diesem Dokument enthaltenen Informationen übernehmen wir keine Gewähr. Unsere Haftung, gleich aus welchem Rechtsgrund, für durch die Verwendung der in diesem Applikationsbeispiel beschriebenen Beispiele, Hinweise, Programme, Projektierungs- und Leistungsdaten usw. verursachte Schäden ist ausgeschlossen, soweit nicht z.b. nach dem Produkthaftungsgesetz in Fällen des Vorsatzes, der groben Fahrlässigkeit, wegen der Verletzung des Lebens, des Körpers oder der Gesundheit, wegen einer Übernahme der Garantie für die Beschaffenheit einer Sache, wegen des arglistigen Verschweigens eines Mangels oder wegen Verletzung wesentlicher Vertragspflichten zwingend gehaftet wird. Der Schadensersatz wegen Verletzung wesentlicher Vertragspflichten ist jedoch auf den vertragstypischen, vorhersehbaren Schaden begrenzt, soweit nicht Vorsatz oder grobe Fahrlässigkeit vorliegt oder wegen der Verletzung des Lebens, des Körpers oder der Gesundheit zwingend gehaftet wird. Eine Änderung der Beweislast zu Ihrem Nachteil ist hiermit nicht verbunden. Weitergabe oder Vervielfältigung dieser Applikationsbeispiele oder Auszüge daraus sind nicht gestattet, soweit nicht ausdrücklich von Siemens Industry Sector zugestanden. Securityhinweise Siemens bietet Produkte und Lösungen mit Industrial Security-Funktionen an, die den sicheren Betrieb von Anlagen, Lösungen, Maschinen, Geräten und/oder Netzwerken unterstützen. Sie sind wichtige Komponenten in einem ganzheitlichen Industrial Security-Konzept. Die Produkte und Lösungen von Siemens werden unter diesem Gesichtspunkt ständig weiterentwickelt. Siemens empfiehlt, sich unbedingt regelmäßig über Produkt-Updates zu informieren. Für den sicheren Betrieb von Produkten und Lösungen von Siemens ist es erforderlich, geeignete Schutzmaßnahmen (z. B. Zellenschutzkonzept) zu ergreifen und jede Komponente in ein ganzheitliches Industrial Security-Konzept zu integrieren, das dem aktuellen Stand der Technik entspricht. Dabei sind auch eingesetzte Produkte von anderen Herstellern zu berücksichtigen. Weitergehende Informationen über Industrial Security finden Sie unter http://www.siemens.com/industrialsecurity. Um stets über Produkt-Updates informiert zu sein, melden Sie sich für unseren produktspezifischen Newsletter an. Weitere Informationen hierzu finden Sie unter http://support.automation.siemens.com. Beitrags-ID: 98210507, V1.0, 08/2014 2
Inhaltsverzeichnis Inhaltsverzeichnis Gewährleistung und Haftung... 2 1 Aufgabe... 4 2 Lösung... 5 2.1 Übersicht... 5 2.2 Hardware- und Software-Komponenten... 6 2.2.1 Gültigkeit... 6 2.2.2 Verwendete Komponenten... 6 3 Funktionsweise... 7 4 Konfiguration und Projektierung... 8 4.1 Einrichten der Benutzergruppen... 8 4.2 Konfiguration des RADIUS-Servers... 9 4.2.1 Installation des Network Policy Servers (NPS)... 9 4.2.2 Konfiguration des NPS: RADIUS-Clients... 11 4.2.3 Konfiguration des NPS: Connection Request Policies... 12 4.2.4 Konfiguration des NPS: Network Policies... 13 4.3 Konfiguration der RADIUS-Clients... 22 4.3.1 Konfiguration der SCALANCE X-300/ X-400... 22 4.3.2 Konfiguration der SCALANCE XM-400 / XR-500... 24 4.3.3 Konfiguration der SCALANCE S6xx V4... 26 5 Literaturhinweise... 33 6 Historie... 33 Beitrags-ID: 98210507, V1.0, 08/2014 3
1 Aufgabe 1 Aufgabe Einführung Moderne Automatisierungsinfrastrukturen werden immer komplexer. Die einzelnen Stationen und Komponenten werden immer stärker vernetzt und wachsen kontinuierlich weiter. Je komplexer die Netze werden, desto mehr gewinnt die zentrale Wartbarkeit an Stellenwert. Auch das Thema Security gewinnt in diesem Zusammenhang noch stärker an Bedeutung. So stellt doch jede Netzwerkkomponente einen Zugangspunkt zum Unternehmensnetzwerk und damit auch zu den Werten eines Unternehmens dar. Ein Standardpasswort zu dem bekannten Benutzer admin ist relativ einfach zu ermitteln. Durch Übernahme eines Netzknotens kann schnell das ganze Netzwerk übernommen werden. Deshalb sollen auf der Netzwerkebene entsprechende Schutzmechanismen implementiert werden. Dazu gehört insbesondere eine zentrale Benutzerverwaltung, die durch Vermeidung von Standard-Logins/Passwörtern eine erhöhte Sicherheit ermöglicht. Außerdem entsteht ein erhöhter Komfort, da jeder Benutzer anstatt mehrerer unterschiedlicher Passwörter für verschiedene Geräte nur ein Passwort zu seinem individuellen Account benötigt. Überblick über die Aufgabenstellung Die folgende Abbildung gibt einen Überblick über die Automatisierungsaufgabe: Beschreibung der Aufgabenstellung Es soll eine zentrale Benutzerverwaltung für die Netzwerkkomponenten in der Automatisierung realisiert werden. Anschließend soll sich ein Benutzer mit seinem Domänen-Login am jeweiligen Gerät anmelden können, um Konfigurationsänderungen vorzunehmen. Beitrags-ID: 98210507, V1.0, 08/2014 4
2 Lösung 2 Lösung 2.1 Übersicht Schema Die folgende Abbildung zeigt schematisch die wichtigsten Komponenten der Lösung: Aufbau Auf dem Domain-Server oder einem dedizierten RADIUS-Server wird die Server- Rolle Network Policy Service (NPS) installiert und konfiguriert. Alle betroffenen Komponenten sind dabei vernetzt. An den verwendeten SIMATIC NET Komponenten wird RADIUS als Login- Methode eingestellt. Vorteile Erhöhte Sicherheit durch Vermeidung von Standard-Logins/Passwörtern Zentrale Benutzerverwaltung Komfort: Jeder Benutzer benötigt nur ein Passwort zu seinem individuellen Account, anstatt mehrerer unterschiedlicher Passwörter für verschiedene Geräte. Erweiterbarkeit Abgrenzung Diese Applikation enthält keine Beschreibung von: Windows Server-Funktionalitäten Grundkonfiguration der Netzwerkkomponenten Beitrags-ID: 98210507, V1.0, 08/2014 5
2 Lösung Vorausgesetzte Kenntnisse Grundlegende Kenntnisse über die Windows Server-Funktionalitäten und die Grundkonfiguration der Netzwerkkomponenten werden vorausgesetzt. 2.2 Hardware- und Software-Komponenten 2.2.1 Gültigkeit Diese Applikation ist gültig für: Windows Server-Betriebssysteme mit installiertem MS Network Policy Server (MS NPS) SCALANCE X-Switches der 300er, 400er und 500er Baureihen Security Module SCALANCE S ab Firmware V4.0 2.2.2 Verwendete Komponenten Die Applikation wurde mit den folgenden Komponenten erstellt: Hardware-Komponenten Tabelle 2-1 Komponente Anz. Bestellnummer Hinweis SCALANCE XR324-12M 1 6GK5 324-0GG00-3HR2 Firmware V3.9.0 SCALANCE X416-3E 1 6GK5 414-3FC00-2AA2 Firmware V3.7.1 SCALANCE XM416-4C 1 6GK5 416-4GS00-2AM2 Firmware V03.02.00 SCALANCE S627 1 6GK5 627-2BA10-2AA3 Firmware V4 SIMATIC IPC 647C 2 6AG4 112-1...-... Software-Komponenten Tabelle 2-2 Komponente Microsoft Windows Server 2008 R2 SP1 - Internet Explorer 8.0 - Firefox 26.0 - Hinweis Beitrags-ID: 98210507, V1.0, 08/2014 6
3 Funktionsweise 3 Funktionsweise Ein Benutzer authentisiert sich entweder per Web Based Management (WBM) oder über den Telnet-Zugang gegenüber der Netzwerk-komponente (RADIUS-Client). Diese Authentisierung wird mit Hilfe des RADIUS-Protokolls an den RADIUS- Server weitergeleitet. Er überprüft ob: Der RADIUS-Client dazu autorisiert ist, überhaupt Anfragen zu stellen Die Anfrage durch die Verbindungsanfragerichtlinie zugelassen wird Alle Kriterien der Netzwerkrichtlinien erfüllt werden Werden alle Punkte positiv geprüft, wird die Benutzerauthentisierung via Lightweight Directory Access Protocol (LDAP) gegenüber dem Active Directory Server verifiziert. Die Bestätigung der Authentizität des Benutzers wird (unter Umständen zusammen mit einer Rollenspezifikation) dem RADIUS-Client zurückgemeldet. Anschließend wir der Benutzer dazu autorisiert, die seiner Rolle entsprechenden Konfigurationen vorzunehmen. ACHTUNG Die SCALANCE-Komponenten müssen so konfiguriert werden, dass keine unsicheren Übertragungswege zur Konfiguration verwendet werden können. Damit ist sicher gestellt, dass das Domänen-Passwort nicht unverschlüsselt übertragen wird: Telnet abschalten https erzwingen Beitrags-ID: 98210507, V1.0, 08/2014 7
4 Konfiguration und Projektierung Die Konfiguration erfolgt in drei Hauptschritten ab: Definieren der Benutzergruppen in der Windows-Benutzerverwaltung Installation und Einrichtung des Microsoft NPS Servers (RADIUS-Server) Konfiguration der SCALANCE-Geräte (RADIUS-Clients) 4.1 Einrichten der Benutzergruppen Die folgende Anleitung beschreibt, wie Sie Benutzergruppen in der Windows- Benutzerverwaltung einrichten. Tabelle 4-1 1. Legen Sie in der Active Directory-Benutzer und -Computer Konsole entsprechende Gruppen für den Zugriff auf die RADIUS-Clients an. 2. Legen Sie Benutzer für den Zugriff an bzw. weisen Sie vorhandene Benutzer den angelegten Gruppen zu. 3. Ändern Sie die Passwort- Eigenschaften der Benutzer von Benutzer muss Passwort bei der nächsten Anmeldung ändern (Defaulteinstellung) in Benutzer kann Passwort nicht ändern oder Passwort läuft nie aus. Wenn Sie die Einstellung auf den Defaultwerten belassen, ist von den SCALANCE Geräten keine Anmeldung am RADIUS Server möglich. Hinweis Für die Benutzerverwaltung in realen Anlagen wird die Verwendung einer Domäne empfohlen. Falls dies nicht möglich ist (z.b. für einen Testaufbau) kann auch mit der lokalen Benutzerverwaltung auf dem RADIUS-Server gearbeitet werden. Beitrags-ID: 98210507, V1.0, 08/2014 8
4.2 Konfiguration des RADIUS-Servers 4.2.1 Installation des Network Policy Servers (NPS) Die folgende Anleitung beschreibt, wie Sie die Rolle Network Policy Server (NPS) auf dem RADIUS-Server installieren. Tabelle 4-2 4. Starten Sie den Server-Manager und klicken Sie auf Rollen hinzufügen. Der Wizard Rollen hinzufügen wird geöffnet. Klicken Sie auf die Schaltfläche Weiter. 5. Aktivieren Sie das Kontrollkästchen des Netzwerkrichtlinienservers und klicken Sie auf die Schaltfläche Weiter. Beitrags-ID: 98210507, V1.0, 08/2014 9
6. Aktivieren Sie im Dialog Rollendiensten das Kontrollkästchen des Netzwerkrichtlinienservers und klicken Sie auf die Schaltfläche Weiter. 7. Klicken Sie auf die Schaltfläche Installieren und anschließend auf die Schaltfläche Schließen. Beitrags-ID: 98210507, V1.0, 08/2014 10
4.2.2 Konfiguration des NPS: RADIUS-Clients Die folgende Anleitung beschreibt, wie Sie die RADIUS-Clients für den NPS konfigurieren. Tabelle 4-3 1. Öffnen Sie die Server-Manager-Konsole des NPS und wählen Sie über das Kontextmenü den Befehl RADIUS-Clients > Neu. 2. Tragen Sie im Konfigurationsdialog die folgenden Eigenschaften des RADIUS- Clients ein: Name IP-Adresse Shared secret Unter Register Erweitert sind keine Änderungen notwendig (Hersteller = RADIUS-Standard). Beitrags-ID: 98210507, V1.0, 08/2014 11
3. Klicken Sie auf die Schaltfläche OK, um die Konfiguration abzuschließen. Der konfigurierte RADIUS-Client wird anzgezeigt. ACHTUNG Die SCALANCE-Geräte können ein Shared secret mit bis zu 16 Zeichen verarbeiten. Generierte Schlüssel müssen manuell gekürzt werden. 4.2.3 Konfiguration des NPS: Connection Request Policies Die folgende Anleitung beschreibt, wie Sie Regeln (Connection Request Policies) für den NPS konfigurieren. Tabelle 4-4 1. Die automatisch erzeugte Regel kann belassen werden. Mindestens eine Regel muss vorhanden sein. Beitrags-ID: 98210507, V1.0, 08/2014 12
4.2.4 Konfiguration des NPS: Network Policies Die folgende Anleitung beschreibt, wie Sie die Netzwerkrichtlinien für den NPS konfigurieren. Tabelle 4-5 1. Klicken Sie mit der rechten Maustaste auf Netzwerkrichtlinien und wählen Sie im Kontextmenü den Befehl Neu. 2. Vergeben Sie einen aussagekräftigen Namen für die Richtlinie und klicken Sie auf die Schaltfläche Weiter. Beitrags-ID: 98210507, V1.0, 08/2014 13
3. Fügen Sie Bedingungen hinzu und mindestens eine Benutzergruppe, in der die zu berechtigenden Benutzer enthalten sind. (In diesem Beispiel SN_ADMIN ) 4. Durch Vergabe einer weiteren Bedingung können z. B. mit Clientanzeigename für unterschiedliche RADIUS-Clients unterschiedliche Policies angewandt werden. Beitrags-ID: 98210507, V1.0, 08/2014 14
5. Fügen Sie alle gewünschten Bedingungen ein. Stellen Sie sicher, dass die korrekte Benutzergruppe eingefügt wurde und klicken Sie auf die Schaltfläche Weiter. 6. Geben Sie ein, ob bei erfüllten Bedingungen der Zugriff erlaubt oder verweigert wird und klicken Sie auf die Schaltfläche Weiter. In diesem Beispiel wird die Option Zugriff erlauben aktiviert. Beitrags-ID: 98210507, V1.0, 08/2014 15
7. Aktivieren Sie PAP als Authentifizierungsmethode und klicken Sie auf die Schaltfläche Weiter. Die SCALANCE-Geräte unterstützen derzeit ausschliesslich PAP als Authentifizierungsmethode. Das übertragene Passwort wird aber mit dem Shared-Secret verschlüsselt. Im nächsten Schritt wird eine Systemmeldung angezeigt und erweiterte Hilfe angeboten. Klicken Sie auf Nein, um diese zu schließen. Beitrags-ID: 98210507, V1.0, 08/2014 16
8. Konfigurieren Sie die gewünschten Einschränkungen, z.b. die erlaubte Tageszeit. 9. Die per Default eingetragenen Attribute können gelöscht und durch die nachfolgenden ersetzt werden: Beitrags-ID: 98210507, V1.0, 08/2014 17
10. Das Attribut Filter-ID wird vom SCALANCE S6xx verwendet, um zwischen den auf dem SCALANCE definierten Benutzerrollen zu unterscheiden. 11. Fügen Sie die Attributinformation hinzu: Die Filter-ID muss exakt dem Namen der Rolle auf dem SCALANCE S entsprechen. Es wird empfohlen, diese identisch mit der ActiveDirectory-Gruppe zu benennen. Beitrags-ID: 98210507, V1.0, 08/2014 18
12. Das Attribut Service-Type wird vom SCALANCE XM-400 und XR500 verwendet, um zwischen read/write - und read only - Rechten zu unterscheiden. 13. Administrative = read/write Kein Service-Type oder z. B. authorize only = read only Beitrags-ID: 98210507, V1.0, 08/2014 19
14. Nach der Konfiguration werden die folgenden Eigenschaften der Netzwerkrichtlinien angezeigt: 15. Anschließend wird eine Zusammenfassung der Einstellungen angezeigt: Beitrags-ID: 98210507, V1.0, 08/2014 20
16. Klicken Sie auf die Schaltfläche Finisch, um Die konfigurierte Netzwerkrichtlinien werden im Server Manager angezeigt. Beitrags-ID: 98210507, V1.0, 08/2014 21
4.3 Konfiguration der RADIUS-Clients 4.3.1 Konfiguration der SCALANCE X-300/ X-400 Die folgende Anleitung beschreibt, wie Sie SCALANCE X-300/-400 konfigurieren. Tabelle 4-6 1. Öffnen der WBM-Seite des Switches im Internet Explorer. 2. Melden Sie sich mit dem lokalen Administrator Account admin und dazugehörigen Passwort an. (Im Auslieferungszustand lautet das Passwort ebenfalls admin.) 3. Wenn Sie nur einen RADIUS-Server verwenden, tragen Sie dessen IP-Adresse unter der Spalte Primary ein. Das Shared Secret muss mit dem unter 0 Punkt 3 eingetragenen Shared Secret übereinstimmen. Beitrags-ID: 98210507, V1.0, 08/2014 22
4. Stellen Sie den Anmeldemodus unter System > Passwords ein. 5. Melden Sie sich mit dem erstellten RADIUS-Login an. Hinweis Sie können als Anmeldemodus zuerst nur RADIUS and Local einstellen und das Login mit dem eingerichteten Benutzer (hier: scala ) testen. Wenn der Test erfolgreich ist, können Sie auf RADIUS umschalten. Beitrags-ID: 98210507, V1.0, 08/2014 23
4.3.2 Konfiguration der SCALANCE XM-400 / XR-500 Die folgende Anleitung beschreibt, wie Sie SCALANCE XM-400/XR-500 konfigurieren. Tabelle 4-7 1. Öffnen Sie die WBM-Seite des Switches im Internet Explorer. 2. Melden Sie sich mit dem lokalen Administrator Account admin und dazugehörigen Passwort an. (Im Auslieferungszustand lautet das Passwort ebenfalls admin. Dieser muss nach dem ersten Login allerdings geändert werden.) 3. Fügen Sie die IP-Adressen ihrer RADIUS-Server unter Security > AAA > RADIUS-Client ein. Beitrags-ID: 98210507, V1.0, 08/2014 24
4. Stellen Sie unter Security > AAA > General als Anmeldemethode Radius ein. 5. Melden Sie sich mit dem erstellten RADIUS-Login an. Beitrags-ID: 98210507, V1.0, 08/2014 25
4.3.3 Konfiguration der SCALANCE S6xx V4 Die SCALANCE S6xx Module ab Version V4 bieten die Möglichkeit der Benutzerspezifischen Firewall-Regeln. Dadurch kann eine zeitlich begrenzte Einwahlmöglichkeit mit Hilfe der RADIUS-Authentifizierung bereitgestellt werden. Die folgende Anleitung beschreibt, wie Sie SCALANCE S6xx V4 konfigurieren. Tabelle 4-8 1. Starten Sie die SCALANCE-Konfiguration mit dem Security Configuration Tool (SCT). 2. Legen Sie einen neuen Administrator an. 3. Geben Sie die notwendigen Grundparameter ein 4. Schalten Sie über View > Advanced mode in den Expertenmodus um (Ctrl+E). Beitrags-ID: 98210507, V1.0, 08/2014 26
5. Wechseln Sie über Options > User management -> Roles zur Rollenverwaltung. 6. Legen Sie neue Rollen entsprechend der festgelegten RADIUS Filter-IDs / AD- Gruppen an. Beitrags-ID: 98210507, V1.0, 08/2014 27
7. Die erstellten Rollen werden angezeigt. 8. Fügen Sie über das Kontextmenü neue benutzerdefinierte Regeln ein. Beitrags-ID: 98210507, V1.0, 08/2014 28
9. Definieren Sie die Eigenschaften der Regeln und weisen Sie die entsprechenden Rollen zu. 10. Ziehen Sie die erstellten Regeln per Drag&Drop auf das Modul (S627). Beitrags-ID: 98210507, V1.0, 08/2014 29
11. In den Eigenschaften des Modules werden die benutzerspezifischen Firewall- Regeln angezeigt und können an die passende Abarbeitungsposition geschoben werden. 12. Konfigurieren Sie im Register RADIUS die RADIUS-Server und ordnen Sie diese anschließend zu. Beitrags-ID: 98210507, V1.0, 08/2014 30
13. Laden Sie die Konfiguration auf das Gerät. 14. Die Webseite des SCALANCE S kann von einem sich im externen Netzwerk befindlichen Rechner geöffnet werden (https://...). Beitrags-ID: 98210507, V1.0, 08/2014 31
15. Nach der Anmeldung eines konfigurierten Benutzers wird die der Benutzergruppe entsprechende, benutzerspezifische Firewall-Regel aktiviert. 16. Nach dem Ablauf der parametrierten Login-Dauer wird der Benutzer automatisch abgemeldet und die Firewall-Regel wird wieder deaktiviert. Beitrags-ID: 98210507, V1.0, 08/2014 32
5 Literaturhinweise 5 Literaturhinweise Tabelle 5-1 Themengebiet Titel \1\ Siemens Industry Online http://support.automation.siemens.com Support \2\ Downloadseite des Beitrages http://support.automation.siemens.com/ww/view/de/ 98210507 \3\ RADIUS (Protokoll) http://de.wikipedia.org/wiki/radius_(protokoll) \4\ PCS7 Kompendium Teil F Industrial Security http://support.automation.siemens.com/ww/view/de/ 77507462 6 Historie Tabelle 6-1 Version Datum Änderung V1.0 08/2014 Erste Ausgabe Beitrags-ID: 98210507, V1.0, 08/2014 33