要进行DCOM安全配置,操作者通常必须拥有客户和服务器计算机的管理员权限。
(1) 用户的建立及配置
最简单的用户配置是在客户和服务器计算机上建立名称、密码都相同的用户(Administrator权限不是必需的),并用此用户登录系统、运行OPC服务器程序。这种方式适用于系统调试期间,或对安全要求不高的场合。
在有一定安全要求的系统中,可按如下方式配置:
Ø 在服务器计算机上建立一个用户,如OPCUser,可以是一般用户,服务器计算机在运行OPC服务器时必须以这个用户登录。
Ø 在服务器计算机上建立一个用户组,如OPCClients。
(客户端不需要用户切换的情况下可以不建立,建这个组的目的是管理方便)
Ø 在OPC客户计算机中,建立OPCUser用户,口令也要与服务器上的一致,可以设为普通用户以保证安全。(建这个用户的目的是保证服务器回调时的权限,如OnDataChange)
Ø 在客户和服务器计算机上都建立ClientA、ClientB等用户,且密码一致。
Ø 在服务器计算机上将ClientA、ClientB等用户都加入到OPCClients组中。客户计算机用这些用户登录。
(2) OPC服务器计算机的DCOM设置
运行dcomcnfg,进行如下设置:
默认属性:
启用DCOM;
默认身份验证级别:连接
默认模拟级别:标识
默认安全机制:
默认访问权限:
至少要保证OPCClients组允许访问,也可放宽至Everyone;
默认启动权限:至少保证允许INTERACTIVE用户调用;
默认配置权限:一般情况下不需修改。
默认协议:保证面向连接的TCP/IP在最上。
OPC服务器配置:
常规:身份验证级别为默认值;
位置:在这台计算机上运行;
安全性:使用默认的访问和启动权限,配置权限不要修改;
身份标识:交互式用户。
终结点:不修改。
(3) 客户计算机的DCOM配置
为了保证OPC数据订阅等回调机制能正常运行,需要对客户计算机的DCOM权限进行配置。
默认属性、默认协议的配置和服务器端基本一致;
默认安全机制只需要修改默认访问权限。保证允许OPCUser访问。也可放宽至Everyone。
(4) 系统设置
防火墙:
对于安装了第三方防火墙软件的计算机,可尝试配置允许OPC客户及服务器程序通过,或直接停止防火墙服务。
对于启用了操作系统(XP SP2、Server 2003等)自带防火墙的情况,可按OPC基金会提供的文档《Using OPC via DCOM with XP SP2》中描述的进行配置,或直接关闭防火墙。
注意:客户、服务器计算机都要配置。
安全策略:(XP、Server 2003等)
“控制面板 -> 管理工具 -> 本地安全策略 -> 本地策略 -> 安全选项”中,
“网络访问:本地帐户的共享和安全模式”项设置为:
“经典 - 本地用户以自己的身份验证”
(5) 其它注意事项
连不通时首先检查网络是否正常;(比如在关闭了防火墙的情况下ping服务器计算机)
用户密码不要设置为空;
【注】 还有其它一些特殊情况,本文未提及,比如服务器为NT服务,服务器为进程内组件等,以后会陆续补充。
在WINDOWS XP SP2系统中使用OPC的DCOM配置方法 V1.0
(Using OPC via DCOM with XP SP2)
大多数OPC Clients和OPC Servers利用DCOM通过网络进行通信。在XP SP2中,经由DCOM的OPC通信是默认关闭的,本文讨论了当使用XP SP2时重建OPC通信的必要设置方法。
由于OPC使用的回调方法使得OPC Client转变为DCOM server同时使OPC Server转变为一个DCOM client,所以本文中提供的配置方法应在包含有OPC Server和OPC Client的客户端节点上分别进行设置。
配置WINDOWS 防火墙
WINDOWS防火墙是基于“例外”的,也就是默认情况下,防火墙将阻止外部“未被请求”的连接通过网络,而管理员可以在规则之外设置特定的应用程序或端口来响应外部“未被请求”的连接。
防火墙的例外可被归入两种层次的情况,一是应用程序层次,二是端口与协议层次。前者可设置特定的程序来对“未被请求”的连接进行响应,后者可设置特定的TCP或UDP端口来允许相应的通信。为了使OPC程序可以通过DCOM正常工作,必须在这两个层次上都进行设置。
防火墙的配置过程如下:
1. 为了给系统提供必须的保护,WINDOWS防火墙是默认启用的。(个人)不推荐关闭WINDOWS防火墙,若通信连接失败,在调试过程中可以暂时关闭防火墙以确实问题是否是由防火墙所引起。如若确定永久关闭防火墙,下面所述关于防火墙的设置均可忽略。
2. 进入WINDOWS控制面板,双击“WINDOWS防火墙”图标,打开“WINDOWS防火墙”设置对话框,选中“例外”选项卡,把相应OPC Client和Server程序添加进例外列表。同时添加Microsoft Management Console (mmc.exe 在Windows\System32目录下)和OPC 应用程序OPCEnum (opcenum.exe 在Windows\System32 目录下) 到例外列表中。最后确保“文件和打印机共享”也被选中在例外列表中。
(注:只有EXE程序可以被添加到例外列表中,对于DLL和OCX等类型的OPC Server 和OPC Client ,必须添加调用它们的EXE程序;本步设置可能要用到“添加程序”和“浏览”按钮。)
3. 添加TCP 135端口。建立DCOM通信和对外来请求进行响应需要用到TCP 135端口。在“WINDOWS防火墙”“例外”选项卡中,点击“添加端口”按钮。在“添加端口”对话框中进行设置,如下图所示。
DCOM 配置
WINDWOS XP SP2在DCOM安全方面进行了一些增强。在XP SP2中,若要通过网络使用OPC,应该注意到以下两个方面的问题:一是用户可以通过“激活和访问权限”对话框对使用DCOM的应用程序的“限制权限”进行配置;二是在“激活和访问权限”中定义的每个用户,其本地和远程访问权限可以进行分别配置。
关于“激活和访问权限”:启动权限定义了谁可以本地或远程激活(或启动)基于COM的应用程序(比如OPC Server程序);访问权限定义了谁可以对已经启动起来的程序进行访问。
默认情况下,WINDOWS XP SP2不允许经由网络的OPC通信。为了使基于DCOM的OPC应用程序可以通过网络工作,用户应该被给予OPC Server和OPC Client的远程激活和访问权限。
WINDOWS XP SP2下DCOM的配置过程如下:
1. 点击“开始”->“运行”。输入DCOMCnfg,回车,打开“组件服务”窗口。
2. 双击“控制台根目录”下的“组件服务”展开“组件服务”文件夹,同样方式,展开“计算机”文件夹,右键点击右侧窗口的“我的电脑”图标,点击“属性”,打开属性对话框。
3. 选中“COM 安全”选项卡,注意这里有4个按钮可供点击进入配置。
4. 配置访问和启动激活权限。
4.1 “访问权限”->“编辑限制(L)…”
设置ANONYMOUS LOGON的本地访问及远程访问权限为允许。(此设置与OPCEnum.exe发挥作用有关,对于某些设置了 ‘验证等级’为‘无’以允许匿名连接的OPC Servert和OPC Client,此设置也是必须的。)
4.2 “启动和激活权限”->“编辑限制(I)…”
设置Everyone的远程启动和远程激活权限为允许。(注:为了安全,可建立专用于OPC通信的用户组,进行权限赋予。)
4.3 设置默认访问和启动激活权限。对于每个参与OPC通信的用户或组,均应赋予其本地和远程访问以及启动激活权限。若相应用户或组没有出现,则应手动添加,然后赋予权限。
“访问权限”->“编辑默认值(E)…”
“启动和激活权限”->“编辑默认值(D)…”
5. 完成以上设置后,重新启动计算机。
声明:
基于对参考文献内容的理解进行解释与翻译,然后在局域网2台机器上验证通过(服务嚣:KEPware Enchanced OPC/DDE Server V4.200.353-U,客户端:KEPWare OPC Quick Client V4.70.95-U),从而形成本文。由于知识有限,错误在所难免。作者不保证文中所述内容的精度与准确性,仅供参考。
欢迎提出问题建议,以便下版进行修改完善。
(2007-4-14 LeeKin LEOCKIN@YAHOO.COM.CN)
参考文献:
[1] Using OPC via DCOM with XP SP2 v1.10.pdf. http://www.opcfoundation.org/
[2] OPC and DCOM Security. http://www.opcconnect.com/dcomcnfg.php
[3] Using KEPServerEx via DCOM with Microsoft XP Service Pack 2. KEPware, Inc.
[4] MSDN. Microsoft.
1635
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
