Gruppen- und Dateiberechtigungen
TwinCAT/BSD verwendet die Zugriffskontrollliste, die auch von anderen UNIX®-ähnlichen Systemen verwendet wird. Es gibt im Allgemeinen drei Arten von Benutzern, für die Sie die Berechtigungen definieren können: Eigentümer der Dateien, Gruppe des Eigentümers und alle anderen Benutzer (Eigentümer / Gruppe / Andere). Für jeden Benutzertyp können Sie Schreib-, Lese- und Ausführungsrechte für eine Datei festlegen.
Anzeigen der Berechtigungen von Dateien und Verzeichnissen an einem Ort mit ls –l
Administrator@CX-0C8440$ ls –l
total 10
-rw-r--r-- 1 root Administrator 5 Dec 4 12:31 file
-rw-r--r-- 2 Administrator Administrator 10 Dec 4 15:29 test
drwxr-xr-x 3 Administrator Administrator 6 Dec 7 10:44 testdirIn der ersten Spalte steht das Berechtigungsschema, gefolgt von dem Eigentümer der Datei und der Gruppe des Eigentümers. Das Berechtigungsschema ist in vier Teile unterteilt. Das erste Symbol zeigt den Typ der Datei an, ob es sich um eine Datei (-) oder ein Verzeichnis (d) handelt. Die nächsten drei Symbole zeigen die Rechte des Eigentümers, die folgenden drei Symbole die Rechte der Gruppe und die letzten drei Symbole die Rechte für alle anderen Benutzer. Das erste dieser drei Symbole zeigt an, ob Leserechte erteilt wurden (r), das zweite, ob Schreibrechte erteilt wurden (w) und das dritte Symbol zeigt an, ob die Datei ausgeführt werden kann oder auf ein Verzeichnis zugegriffen werden kann (x). Das Berechtigungsschema der obigen Ausgabe von ls -l kann wie folgt gelesen werden:
Type | Owner | Group | Other |
|---|---|---|---|
- file | rw- read write | r-- read | r-- read |
- file | rw- read write | r-- read | r-- read |
d directory | rwx read write execute | r-x read execute | r-x read execute |
Standardmäßig erhält eine neue Datei die Rechte -rw-r--r--, d. h. neue Skripte müssen erst ausführbar gemacht werden. Mit den Standardberechtigungen kann selbst der Superuser Root das Skript nicht ausführen.
Um die Berechtigungen über ihren Entwicklungsrechner remote zu ändern, können Sie WinSCP verwenden, beschrieben in der Twin-CAT/BSD-Dokumentation im Kapitel "Dateien verwalten mit WinSCP-Client". Lokal können die Berechtigungen über das Programm chmod geändert werden. Geben Sie man chmod für das lokale Handbuch ein.
Unprivilegierte Benutzer anlegen
Es ist ratsam, verschiedene Benutzer für unterschiedliche Aufgaben zu verwenden, wie etwa einen "HMI-Benutzer" oder einen Benutzer "maintenance". Geben Sie jedem Benutzer die Rechte, die er für seine Aufgaben benötigt, und stellen Sie sicher, dass nur die verantwortlichen Benutzer Root-Rechte erhalten können. Um ein Benutzerkonto zu erstellen, verwenden Sie den folgenden Befehl:
doas adduserDies startet einen Assistenten, der Sie durch den Prozess der Benutzererstellung führt. Um einen Benutzer zu bearbeiten, verwenden Sie doas chpass <Benutzer>
Es gibt bereits einige Benutzer, die mit dem Basissystem ausgeliefert werden. Neben dem Benutzer Administrator gibt es sogenannte Systemkonten. Diese Konten sind nicht als interaktive Konten eingerichtet und dienen einzig der Verwaltung und Ausführung integrierter Programme.
Gruppen
Benutzer werden in eine oder mehrere Gruppen eingeteilt. Beim Anlegen eines neuen Benutzers wird standardmäßig eine Gruppe mit demselben Namen angelegt. Zusätzlich können Benutzer mit ähnlichen Aufgaben einer gemeinsamen Gruppe zugewiesen werden, um ähnliche Berechtigungen zu erhalten. Diese Berechtigungen können der Zugriff auf bestimmte Ordner und Dateien sowie das Ausführen von Programmen sein.
Benutzern, die der Gruppe "wheel" zugewiesen sind, können Root-Rechte gewährt werden. Der vorkonfigurierte Benutzer "Administrator" ist ein "Wheel"-Mitglied und erhält Root-Rechte, indem er den Befehl doas vor Programme setzt und sich nochmals mit seinem Passwort authentifiziert.
Ändern Sie die Gruppenzugehörigkeiten und legen Sie neue Gruppen an, indem Sie /etc/group mit doas ee /etc/group entsprechend editieren.
Diese Datei zeigt alle verfügbaren Gruppen an. Die meisten angezeigten Gruppen sind Standard-Gruppen und stammen historisch von UNIX®. Aus Sicherheitsgründen werden diese Gruppen Systembenutzern zugewiesen, die eine bestimmte Aufgabe haben. Andernfalls würden diese Programme mit Root-Rechten ohne Einschränkungen ausgeführt werden.
Einschränkung der Systembenutzung
Mit sogenannten Anmeldeklassen können Sie Systemressourcen und Informationen definieren, die den Benutzern zur Verfügung gestellt werden.