cimplicityOPCServer中的DCOM配置

1、CIMPLICITY OPC 服務(wù)與DCOM配置2DCOM安全概述2驗(yàn)證2授權(quán)2激活3發(fā)布標(biāo)識3DCOM安全配置工具3OPC客戶端的重要配置3作為客戶端連結(jié)的最小配置3服務(wù)器的安裝3客戶端的安裝3DOM配置的指導(dǎo)原則3客戶端節(jié)點(diǎn)的注冊表項設(shè)置3Cimplicity OPC 服務(wù)與DCOM配置DCOM安全概述CIMPLICITY HMI OPC服務(wù)是作為COM服務(wù)對象來實(shí)現(xiàn)的，DCOM提供了一個框架及相關(guān)的服務(wù)來讓COM對象能部署在一個分布式的環(huán)境中，其中的一個服務(wù)是安全服務(wù)，其安全架構(gòu)在windows操作系統(tǒng)基礎(chǔ)之上，所以對于那些熟悉window95/98/NT系統(tǒng)的人來說會發(fā)現(xiàn)它的安全機(jī)制的

2、要點(diǎn)與分布式的安全環(huán)境沒有太多的不同。為了更好的理解在CIMPLICITY HMI OPC服務(wù)器與客戶端之間連結(jié)的安全要點(diǎn)，本小節(jié)提供了一個關(guān)于DCOM安全的一個概貌。關(guān)于DCOM安全主題是內(nèi)容繁多的且讓人迷惑的，對于這點(diǎn)有好幾個專著去描述它，但在這里只是提供一個關(guān)于二者之間(服務(wù)器與客戶端)交互的安全綱要。驗(yàn)證驗(yàn)證安全確保在服務(wù)器與客戶端之間的交互是合法的，這是標(biāo)準(zhǔn)的windows安全機(jī)制的一個擴(kuò)展，是建立在遠(yuǎn)程過程調(diào)用(rpc=remote procedure call)的基礎(chǔ)之上的。對于這個驗(yàn)證來說，它要問兩個問題：你是OPC服務(wù)器嗎？你是OPC客戶端嗎？用戶配置驗(yàn)證安全實(shí)際上是在選擇在

3、什么時機(jī)來問這兩個問題，當(dāng)然也可能有其它相對來說復(fù)雜一點(diǎn)的處理。當(dāng)二者所配置的安全級別不同時，二者會協(xié)商用那個高等級的那個。例如：當(dāng)配置驗(yàn)證等級為連結(jié)時，即level=connect，此時的驗(yàn)證發(fā)生在連結(jié)階段，當(dāng)連結(jié)完成以后，二者之間的所有交互操作將不再做任何驗(yàn)證。再比如：當(dāng)配置驗(yàn)證等級為包加密時，即level=packet privacy，此時二者之間的數(shù)據(jù)交互都是包加密的形式傳輸?shù)摹τ隍?yàn)證等級的選擇，得依照用戶本身的需求與策略。對于一個多節(jié)點(diǎn)運(yùn)算環(huán)境來說，運(yùn)行服務(wù)器的節(jié)點(diǎn)的安全系統(tǒng)必需校驗(yàn)客戶端的安全標(biāo)識（即用戶名）是不是有效的；而在一個域環(huán)境下，必需校驗(yàn)域用戶名是不是有效的；而一個點(diǎn)對

4、點(diǎn)的環(huán)境中，得看看本地是否有已配置好的用戶。驗(yàn)證是發(fā)生在授權(quán)與激活之前的行為，如果驗(yàn)證通不過，則后兩項活動均不能啟動。授權(quán)一旦驗(yàn)證工作完成，服務(wù)器就會判斷客戶端是不是被授權(quán)與服務(wù)器之間能執(zhí)行交互式的操作（com/dcom技術(shù)允許OPC客戶端跨過進(jìn)程或節(jié)點(diǎn)作調(diào)用操作）。那么如何來判斷呢？此時主要看看ACL，即訪問控制列表，其中內(nèi)容是一些可以訪問的用戶名，如果客戶端的用戶名在列表中，則可以訪問。關(guān)于它的配置可以用操作系統(tǒng)提供的dcomcnfg.exe應(yīng)用程序，具體請再參考配置DCOM安全的工具。激活激活安全是DCOM獨(dú)有的，DCOM框架為OPC客戶端訪問OPC服務(wù)器端對象提供了這樣的能力。如果OP

5、C服務(wù)器是在另一個節(jié)點(diǎn)機(jī)上，OPC客戶端會因?yàn)樽砸训囊蠖せ頞PC服務(wù)器（如果本來就是運(yùn)行則沒有必要）。這種激活許可檢查方式與授權(quán)基本相同。注：window95/98并沒有提供激活服務(wù)，所以得依賴手工激活或啟動。發(fā)布標(biāo)識經(jīng)常的情況是CIMPLICITY HMI OPC SERVER被配置成后臺進(jìn)程（如非交互模式），因?yàn)樗膯⑴c停都是隨著客戶端的連與斷而發(fā)生的。OPC服務(wù)器有必要指定一個用戶來運(yùn)行(發(fā)布)它，這個用戶可以是管理員用戶、當(dāng)前交互式的用戶或服務(wù)器安裝的用戶，至于配置的問題同樣可以用dee com config應(yīng)用程序。DCOM安全配置工具注：假定讀者已經(jīng)學(xué)會配置本地用戶或域用戶并能

6、把它們加入到組中。CIMPLICITY HMI OPC SERVER的配置必需依賴操作系統(tǒng)本身提供的dee com config應(yīng)用程序，OPC SERVE自已并不能初始化它的安全機(jī)制?？梢栽赿os環(huán)境下運(yùn)行dcomcnfg.exe或者在開始->運(yùn)行的提示框中鍵入dcomcnfg并回車來運(yùn)行dee com config應(yīng)用程序。該程序可能會因?yàn)椴僮飨到y(tǒng)版本或補(bǔ)丁的不同在界面上會有一些差異，但都序有多個對話框頁，通過選擇不同的頁來配置不同的內(nèi)容。Ø 關(guān)于CIMPLICITY HMI OPC SERVER的重要配置本小節(jié)描述了CIMPLICITY HMI OPC SERVER的dc

7、om安全配置，這種配置可以是默認(rèn)的，也可以是定制的。如果想定制的話，可以選擇CIMPLICITY HMI OPC SERVER后點(diǎn)擊屬性。(有待完成)Ø CIMPLICITY HMI OPC SERVER位置頁總是選擇“在本機(jī)運(yùn)行應(yīng)用程序”Ø CIMPLICITY HMI OPC SERVER安全頁除非默認(rèn)的設(shè)置不能滿足你的安全需求，否則在授權(quán)項上選擇“默認(rèn)許可”，在激活項上選擇“運(yùn)行/發(fā)布許可”；如果要定制，則指定相應(yīng)的信任用戶列表。Ø CIMPLICITY HMI OPC SERVER標(biāo)識頁碼Ø DCOMCNFG默認(rèn)屬性選擇“在本機(jī)上啟用分布式的CO

8、M”，驗(yàn)證級別選擇默認(rèn)就能滿足網(wǎng)絡(luò)安全需求，對于NT4.0SP4版本的驗(yàn)證級別是可以定制的，但NT4.0SP3只能是默認(rèn)。模擬級別選擇“標(biāo)識”。Ø DCOMCNFG默認(rèn)安全如果沒有定義定制的訪問許可和運(yùn)行許可用戶，那就只能用在默認(rèn)的訪問許可和運(yùn)行許可下的用戶來訪問OPC SERVER。OPC客戶端的重要配置如果OPC客戶程序也是一個COM對象且沒有初始化它的安全性，那此時得用dee com config定義它的驗(yàn)證級別與訪問許可用戶。因?yàn)橐?yàn)證OPC SERVER調(diào)用客戶端，所以客戶端的DCOM安全機(jī)制必需能識別OPC SERVER并且能判斷它能否調(diào)用自已的對象，這種調(diào)用在異步讀與寫

9、操作中經(jīng)常會用來更新和通知客戶端。如果客戶端不是一個COM對象，這時只需要用默認(rèn)的驗(yàn)證級別與訪問許可即可。作為客戶端連結(jié)的最小配置本小節(jié)主要列出如何配置OPC SERVER與CLIENT以便很快地把它們運(yùn)行起來，這里關(guān)閉了所有的驗(yàn)證選項，當(dāng)驗(yàn)證項無效時，默認(rèn)的許可檢查與激活檢查都是無效的，此時雙方之間的調(diào)用將是暢通無阻的。以這種配置為基準(zhǔn)，之后再根據(jù)DCOM配置原則來壓縮它們之間的安全訪問權(quán)限。服務(wù)器的安裝1. 運(yùn)行服務(wù)器端的DCOMCNFG.EXE。2. 選擇默認(rèn)頁，勾上“在本機(jī)上激活DCOM”選項。選擇驗(yàn)證級別為“無”，模擬級別為“標(biāo)識”。3. 選擇應(yīng)用程序頁，雙擊CIMPLICITY H

10、MI OPC SERVER，彈出一個關(guān)于安全設(shè)置的多頁對話框。4. 如果你運(yùn)行的是windowNTsp4，選擇常規(guī)頁，設(shè)置驗(yàn)證級別為“無”。5. 找到位置頁，勾上“在本機(jī)運(yùn)行應(yīng)用程序”選項并確保沒有選擇其它選項。6. 找到安全頁，勾上“自定義訪問許可”選項，編輯ACL使其包括everyOne并使權(quán)限為”允許訪問”。7. 在安全頁，勾上“自定義運(yùn)行許可”選項，編輯ACL使其包括everyOne并使權(quán)限為”允許運(yùn)行”。8. 找到標(biāo)識頁，在這里你有兩個選擇，一是交互式用戶，二是指定某個用戶并提供用戶名與密碼，但不管是哪個方式，這個用戶都得是有最小訪問權(quán)限中的一個用戶。注：CIMPLICITY HMI

11、 OPC SERVER工程的設(shè)置是與之配套的，這部分可以參考CIMPLICITY工程安全的設(shè)置?？蛻舳说陌惭b注：以下的步驟僅當(dāng)客戶端的DCOM安全配置不是以編程方式實(shí)現(xiàn)的情況下的，對于這一點(diǎn)，有必要查詢客戶端的相關(guān)文檔以確定DCOM安全配置是不是應(yīng)用程序直接配置的。1. 對于二者不在同一臺機(jī)器上的情況，有必要依賴服務(wù)器創(chuàng)建客戶端的注冊表各項的配置。2. 運(yùn)行客戶端的DCOMCNFG.EXE。3. 選擇默認(rèn)頁，勾上“在本機(jī)上激活DCOM”選項。選擇驗(yàn)證級別為“無”，模擬級別為“標(biāo)識”。DOM配置的指導(dǎo)原則本小節(jié)提供了一些一般的指導(dǎo)原則用來加強(qiáng)CIMPLICITY HMI OPC SERVER與C

12、LIENT之間通信的安全性，這些原則并不復(fù)雜，因?yàn)樗羌俣ㄗx者對windows及DCOM的安全機(jī)制已經(jīng)很熟悉了，而對于自動化服務(wù)的安全性，OPC基金會相關(guān)工作委員會一直在致力于它的研究工作。注：只要有可能，盡量用dcomcnfg應(yīng)用程序來定制CIMPLICITY HMI OPC SERVER，這樣做有兩個好處，一是它不會影響其它DCOM對象的安全需求，二是將來其它DCOM對象的安全需求的變化也不會影響CIMPLICITY HMI OPC SERVER的操作。l 激活驗(yàn)證選項并使其至少為最低級別，如果操作系統(tǒng)有SP4則驗(yàn)證至少為”連結(jié)”。一旦驗(yàn)證被激活，如果二者不在一臺機(jī)器上，DCOM的安全機(jī)制

13、將會校驗(yàn)服務(wù)器與客戶端的用戶名，因此這些用戶名都必需在正確地創(chuàng)建好。關(guān)于域驗(yàn)證方式的建立，可以參考以下的指南。如果是在點(diǎn)對點(diǎn)網(wǎng)絡(luò)中，服務(wù)器上的用戶名在客戶端上也得有。l 打開激活OPC服務(wù)選項，并且指定相應(yīng)的用戶。一般說來，激活OPC服務(wù)的ACL是授權(quán)ACL的子集，這主要是防止出現(xiàn)能激活OPC服務(wù)的用戶卻不能訪問OPC服務(wù)器對象的情況。l 打開訪問許可選項，定制其中的用戶使其能訪問OPC服務(wù)。l 關(guān)于域用戶的情形，如果從維護(hù)的角度來說，它提供了一個開銷最低的解決方案。遵從以下指南：1) 創(chuàng)建一個域用戶組，該組中的用戶允許運(yùn)行CIMPLICITY HMI OPC SERVER并能訪問其中的對象。

14、2) 用dee com config創(chuàng)建一個用戶組，該組中的用戶允許訪問并運(yùn)行CIMPLICITY HMI OPC SERVER。3) 使所有的客戶端的用戶是以上組的一個?？蛻舳斯?jié)點(diǎn)的注冊表項設(shè)置與OPC服務(wù)的安裝不在一臺機(jī)器上的作為遠(yuǎn)程訪問的客戶端并沒有必要安裝CIMPLICITY HMI OPC SERVER軟件，可以先從服務(wù)器上把注冊表文件(cimOpcServer.reg)拷貝過來，這個文件中的條目可以作為客戶端訪問服務(wù)器的參考，以下的步驟就是建立從遠(yuǎn)程訪問CIMPLICITY HMI OPC SERVER的要點(diǎn)：1. 用一個具有管理員權(quán)限的帳號登錄到遠(yuǎn)程計算機(jī)。2. 在CIMPLICITY HMI產(chǎn)品下找到注冊表文件cimOpcServer.reg。3. 雙擊該文件更新注冊表。4. 運(yùn)行dcomcnfg.exe，打開應(yīng)用程序CIMPLICITY HMI OPC SERVER的屬性，如下所示：5. 找到位置頁，鍵入運(yùn)行CIMPLICITY HMI OPC SERVER的機(jī)器名字，在