LDAP

Bei dem Lightweight Directory Access Protocol (LDAP) handelt es sich um ein Netzwerkprotokoll, um Benutzerinformationen (z. B. Benutzernamen, Gruppen) von einem Verzeichnisdienst abfragen zu können. Der Verzeichnisdienst (z. B. Active Directory von Microsoft) wird häufig in größeren Unternehmen verwendet, um die Benutzer und Gruppen zentral verwalten zu können.

Anwendungsszenario

Die TwinCAT-HMI-LDAP-Erweiterung ermöglicht es, auf einen LDAP-Server zugreifen zu können, damit die Benutzergruppen im TwinCAT HMI Server für die Benutzerverwaltung zur Verfügung stehen.

Vorteile

• Zentrale Benutzerverwaltung: Der TwinCAT HMI Server verwendet standardmäßig die TwinCAT-HMI-Usermanagement-Erweiterung, wovon nur ein lokaler HMI-Server zugreifen kann. Die TwinCAT-HMI-LDAP-Erweiterung kann von mehreren HMI-Servern lokal oder im Netzwerk (LAN und WAN) verwendet werden.
• Benutzerverwaltung ohne HMI-Adminrechte: Die Benutzer und Gruppen können zentral von der IT-Abteilung des Unternehmens verwaltet werden. Kommt ein neuer Mitarbeiter ins Unternehmen oder scheidet aus, können die Rechte ohne HMI-Engineering angepasst werden. Ein Neustart des Servers ist nicht notwendig.
• Zugriff auf alle Verzeichnisinformationen: Neben den Benutzergruppen können alle Verzeichnisinformationen abgefragt werden.
• Keine zusätzliche Lizenz erforderlich: Die TwinCAT-HMI-LDAP-Erweiterung ist in der TF2000-HMI-Server-Lizenz enthalten.

Architektur

Die LDAP-Server-Extension läuft im .NET Extension Container (1) in einem eigenständigen Prozess und verbindet sich per LDAP mit dem Server (2). HMI Server und LDAP-Extension kommunizieren wie gewohnt per Websocket (3).

Innerhalb des HMI-Projektes können nicht direkt Berechtigungen mit den LDAP-Gruppen konfiguriert werden. Wie gewohnt werden HMI-Gruppen erstellt und konfiguriert. In der LDAP-Extension können über Group Mappings die HMI und LDAP-Gruppen verbunden werden (1, 2). Der HMI Server legt die LDAP-Users als HMI-Users bei der ersten Anmeldung an (3).