RSSecurity 与 FactoryTalk Security 的区别
根据正在使用的 RSSecurity 服务器功能,可能无法将 RSSecurity 服务器数据库中的所有资源都迁移到
FactoryTalk Security
。因为 RSSecurity 服务器和 FactoryTalk
的工作方式不同。支持资源组和操作组
操作组和资源组可能以不同的方式从 RSSecurity 导入到
FactoryTalk Directory
中,具体取决于将它们导入到运行 FactoryTalk Automation Platform
版本 2.00 (CPR 7) 的系统,还是运行 FactoryTalk Services Platform
版本 2.10 (CPR 9) 或更高版本的系统。要确定所运行的 FactoryTalk
平台的版本,请查看 Windows控制面板
中的添加/移除程序
。- 。不支持操作组和资源分组。分别导入 RSSecurity 组中保存的操作和资源条目。FactoryTalk Automation Platform2.00 (CPR 7)
- 。如果FactoryTalk Services Platform2.10 (CPR 9) 或更高版本FactoryTalk系统中所有计算机已经升级到FactoryTalk Services Platform2.10 或更高版本,可保留 RSSecurity 组成员。导入操作会提示用户选择应用程序或区域作为组中资源的目标。导入的 RSSecurity 操作组显示在FactoryTalk Directory“系统”文件夹的操作组下。
不支持的功能
FactoryTalk Security
不支持某些 RSSecurity 服务器功能。其中包括:- 更改“授权”和“拒绝”权限的隐含行为RSSecurity 服务器允许用户配置安全性,这样一来,对于未定义具体安全设置的资源,权限就隐含了授权和拒绝。如果没有为资源和操作定义安全设置,FactoryTalk Security将始终拒绝访问。导入 RSSecurity 服务器备份文件时,如果未在 RSSecurity 服务器数据库中指定所导入操作和资源的权限,则可授权所有用户对其进行安全访问。
- 为多个资源组分配资源RSSecurity 服务器允许用户为多个资源组分配资源,然后为评估访问设置组的优先级。FactoryTalk Security只允许资源分配给一个应用程序或区域,不可分配给多个组。导入包含资源组的 RSSecurity 服务器备份文件时,FactoryTalk Security导入工具不能确定执行访问检查的顺序,因此会选择随机的顺序。如果发生这种情况,导入记录文件中会出现一条消息。迁移完成后,检验资源的安全设置。使用FactoryTalk Administration Console或FactoryTalk View Studio指定资源的安全设置。
- 设置评估访问控制项的顺序RSSecurity 服务器提供设置访问控制项评估顺序的功能。例如,可以拒绝对一组用户的访问,但是允许对组中的个别用户进行访问。可以将评估顺序设置为“允许”访问优先于“拒绝”访问。FactoryTalk Security总是在评估“允许”权限之前评估“拒绝”权限。在上述示例中,如果拒绝对用户所在的组进行访问,则始终拒绝对该用户的访问。评估权限的优先级无法更改。导入 RSSecurity 服务器备份文件时,FactoryTalk Security导入工具使用特定的逻辑在 RSSecurity 服务器数据库中保存“允许”和“拒绝”权限的优先级。但是,由于FactoryTalk Security不支持此功能,如果要更改与使用此特殊逻辑的资源相关的安全设置,必须移除所有与资源相关的权限,然后再添加权限。
- RSSecurity 服务器支持但是FactoryTalk Security不支持的产品某些集成到 RSSecurity 的Rockwell Automation®软件产品无法迁移到FactoryTalk Security。这些产品包括RSLogix框架、AI-3 和 AI-5 编程产品(用于PLC-3®和PLC-5®处理器)。
- 无法导入私人用户的密码导入 RSSecurity Server Standalone Edition 数据库时,FactoryTalk Security导入工具会为每个 RSSecurity 私人用户创建用户帐户。但是,无法导入 RSSecurity 私人用户的密码。FactoryTalk Security会创建与用户名相同的区分大小写的密码,并强制用户在第一次登录时更改密码。
提供反馈