Installation und Konfiguration der Ubuntu 22 Runtime

FactoryTalk Remote Access – Hilfe

Wichtige Benutzerinformationen

Versionshinweise zu FactoryTalk® Remote Access™

Erste Schritte

Einführung

Abkürzungen und Akronyme

Systemarchitektur

Interaktion mit Systemelementen

Verbindung zwischen FactoryTalk Remote Access Manager und Remotegeräten

Client- und Serverkonnektivität

Proxy

Whitepaper zur Sicherheitsarchitektur

Netzwerk- und Protokolldesign

Transportsicherheit

Sicherheit von Remote Access Tools

Authentifizierung

Aktionsaudit

Autorisierung

Gegenmaßnahmen bei Cyberangriffen

Rechenzentrum

Software-Updates

Richtlinie zu Datenlecks

Bewährte Methoden

Systemkomponenten

FactoryTalk Remote Access

FactoryTalk Remote Access Manager Tools

Stratix 4300 Remote Access Router

Werkseinstellungen und Identifizierung des Routers

Schutz vor Domänenwechsel

OptixPanel-Grafikterminals

Embedded Edge Compute-Modul

OptixEdge

ASEM 6300 IPC

ASEM 6300B Box-PC

ASEM 6300P Panel-PC

ASEM 6300PA On-Machine-Industrie-PC

Runtime (für Geräte von Drittanbietern)

FactoryTalk Remote Access Manager

Übersicht über den FactoryTalk Remote Access Manager und zugehörige Entitäten

Organisationen, Domänen und Domänenunterordner

Zugriffsschutz

Menüstruktur

Explorer

Geolokalisierung

Audit

Einstellungen

Tools

Protokoll

FactoryTalk Remote Access Manager Tools

Interaktiver Zugriff

(Interaktiver Zugriff) Remotedesktop

(Interaktiver Zugriff) Prozesse

(Interaktiver Zugriff) Explorer

(Interaktiver Zugriff) Verbindung

(Interaktiver Zugriff) Informationen

(Interaktiver Zugriff) Protokoll

Geräteeinrichtung

Verbindungseinstellungen

FactoryTalk Remote Access starten

Erstellen eines MyRockwellAutomation-Kontos

Auf FactoryTalk Hub anmelden

Organisation und Domäne erstellen

Benutzer zu einer Organisation einladen

Aktivitäten der Organisation

Domänen und verbundenen Einheiten verwalten

Domänenrollen und Domänengruppen

Benutzerberechtigungen für Domänen

Domänenunterordner erstellen

Erstellen von Gruppen

Geräteregistrierung in der Domäne

Verschieben und Entfernen von Geräten

Runtime-Registrierung

Benutzer zu einem Gerät einladen

Eingeladene Benutzer und zugehörige Berechtigungen anzeigen und verwalten

Domänenrollen und Domänengruppen

Untergeräte

Untergerät hinzufügen

Dienst hinzufügen

Anwendungsbeispiel für benutzerdefinierte Dienste

Dienst starten

Verwaltung von Untergeräten

Remotezugriff genehmigen

Unterstützung anfordern

Firewall-Einstellungen

Routingregeln

Entitlements

Übersicht der Funktionen

Basic-Entitlement auf ASEM 6300 IPC

Setup und Installation von Softwarekomponenten

Installation der FactoryTalk Remote Access Manager Tools

Spracheinrichtung

Runtime-Konfiguration

Installation und Konfiguration der Windows Runtime

Installation und Konfiguration der Ubuntu 22 Runtime

Schlüsselreferenztabelle für Ubuntu 22

Runtime-Befehlszeilen

Aktivierung des Entitlements für FactoryTalk Remote Access

Lokale Verbindung

Internetfreigabe

Runtime-Dienst in einem Docker-Container

In Container unterstützte Runtime-Funktionen

Schritt-für-Schritt-Anleitung zur Einrichtung

Anforderungen

Docker und Docker Compose installieren

Komponenten aus dem Installationsordner entpacken

Docker-Images hochladen

Im Container unterstützte Funktionen konfigurieren

Remotedesktopprotokoll (RDP) aktivieren

VPN-Verbindung aktivieren

Konfiguration validieren

Docker Runtime ausführen

Für Runtime-Container exponierte Ports

Updates

Update von Runtime und Firmware

Over-the-Air-Update für Windows Runtime

Over-the-Air-Update für Firmware

Aktualisieren der FactoryTalk Remote Access Manager Tools

Ubuntu 22 Runtime-Update

Kurzanleitung

FactoryTalk Remote Access Manager – Bewährte Verfahren

So erstellen Sie Organisationen oder Domänen

So aktivieren Sie Entitlements

So stellen Sie eine Remotedesktopverbindung her

So stellen Sie eine VPN-Verbindung mit einem Remotegerät her

So stellen Sie eine VPN-Verbindung her

So legen Sie Berechtigungsrechte fest

So zeigen Sie das Aktionsprotokoll an

So implementieren Sie Netzwerksicherheitseinstellungen

Welche Ports und öffentlichen IP-Adressen sollte ich über die Firewall meiner Firma zulassen?

Runtime-Verbindung unterbrochen

FactoryTalk Remote Access für FactoryTalk Design Studio aktivieren

Installation und Konfiguration der Ubuntu 22 Runtime

Runtime in Ubuntu 22 wird als unprivilegierter Benutzer ausgeführt, um die Cybersicherheit durch Reduzierung der Cyberangriffsfläche zu verbessern. Wenn Sie sichergestellt haben, dass alle Anforderungen erfüllt sind, fahren Sie mit der Installation und Konfiguration der Runtime fort.

NOTIZ: Eine Übersicht über die verfügbaren Einstellungen finden Sie unter Runtime-Konfiguration.

Anforderungen

Gehen Sie zur Installation der Runtime unter Ubuntu 22 wie folgt vor:

Bestätigen Sie, dass die auf Ihrem Gerät ausgeführte Kernel-Version oder die Linux-Header der aktuellen Kernel-Version auf dem neuesten Stand sind.

Bestätigen Sie, dass .NET Runtime 8 installiert ist. Wenn das Paket noch nicht installiert ist und das Gerät eine Verbindung zum Internet herstellt, wird es während der Runtime-Installation automatisch heruntergeladen und installiert.

Installieren Sie das X11 Window System, um die

Remotedesktop

-Funktion zu aktivieren. Wenn jedoch Wayland installiert und aktiviert ist, deaktivieren Sie die Anwendung in der folgenden Datei:

/etc/gdm3/custom.conf

oder

/etc/gdm3/daemon.conf

Kommentieren Sie die folgende Zeile aus, indem Sie das #-Zeichen entfernen:

#WaylandEnable=false

Vergewissern Sie sich, dass das System nicht

remoteaccess_runtime

als Benutzernamen mit

uid=9879

als Benutzer-ID und

gid=9879

als Gruppen-ID für den unprivilegierten Standardbenutzer verfügt, der die Runtime ausführt.

Installieren Sie die folgenden Pakete, um das Installationsprogramm und die SetupHost- und Runtime-Dienste auszuführen:

useradd

und

groupadd

: Die Installation erfolgt durch Eingabe von

sudo apt-get install passwd

xdpyinfo

: Die Installation erfolgt durch Eingabe von

sudo apt-get install x11-utils

xhost

: Die Installation erfolgt durch Eingabe von

sudo apt-get install x11-xserver-utils

mknod

,

readlink

,

tr

,

who

: Die Installation erfolgt durch Eingabe von

sudo apt-get install coreutils

iptables

: Die Installation erfolgt durch Eingabe von

sudo apt-get install iptables

brctl

: Die Installation erfolgt durch Eingabe von

sudo apt-get install bridge-utils

dhclient

: Die Installation erfolgt durch Eingabe von

sudo apt-get install isc-dhcp-client

setcap

: Die Installation erfolgt durch Eingabe von

sudo apt-get install libcap2-bin

setfacl

: Die Installation erfolgt durch Eingabe von

sudo apt-get install acl

awk

: Die Installation erfolgt durch Eingabe von

sudo apt-get install gawk

systemd-run

,

systemctl

,

resolvectl

,

loginctl

: Die Installation erfolgt durch Eingabe von

sudo apt-get install systemd

NOTIZ: Einige Skripte, die während der Hostinitialisierungsphase vom

FactoryTalkRemoteAccessSetupHost.service

ausgeführt werden, benötigen diese Befehle, um mit dem Hostsystem zu funktionieren. Wenn einer dieser Befehle fehlt, kann die Ausführung des Skripts unterbrochen werden.

Bestätigen Sie, dass der Standardsitzungsbenutzer ein Stammordnerbenutzer oder ein Benutzer der sudoers-Gruppe ist und

sbin

-Ordner in seiner Umgebungsvariable

PATH

enthält. Mit den folgenden Befehlen fügen Sie Benutzer der Gruppe sudoers hinzu:

su -l

usermod -aG sudo <UserToAdd>

Installation und Konfiguration der Runtime

Laden Sie das

FactoryTalk® Remote Access™

Runtime-Paket für die Ubuntu 22-Distribution auf das Remotegerät herunter, und führen Sie den Installationsbefehl aus:

sudo apt install ./FactoryTalkRemoteAccessRuntime_Ubuntu22_<version>.deb

und ersetzen Sie

<version>

durch die tatsächliche Version.

NOTIZ: Wie Sie die Runtime herunterladen, erfahren Sie unter Tools.

WICHTIG: Wenn Sie eine ältere Runtime-Version aktualisieren, werden Sie möglicherweise aufgefordert, bestimmte Sicherheitseinstellungen zu aktivieren:

Einschränkung der Dateiübertragungssicherheit

und

Einschränkung der Prozesssicherheit

. Diese Einstellungen befinden sich im Abschnitt

Einstellungen

der Runtime-Benutzeroberfläche.

Das System führt mehrere Prüfungen durch und erstellt

FactoryTalkRemoteAccessRuntimeService.service

und

FactoryTalkRemoteAccessSetupHost.service

.

Bestätigen Sie, dass die erstellten Dienste, die unter

/etc/systemd/system

abgelegt sind, wie folgt angezeigt werden:

[Unit]
Description=FactoryTalkRemoteAccess Setup Host Service
After=network-online.target
Onsuccess=FactoryTalkRemoteAccessRuntimeService.service
[Service]
ExecStart=/opt/Rockwell_Automation/FactoryTalk_Remote_Access/Runtime/bin/setuphost.sh -v [OPTIONS]

[Install]
WantedBy=multi-user.target

[Unit]
Description=FactoryTalkRemoteAccess Runtime Service
OnFailure=FactoryTalkRemoteAccessSetupHost.service

[Service]
ExecStart=/opt/Rockwell_Automation/FactoryTalk_Remote_Access/Runtime/bin/FactoryTalkRemoteAccessRuntimeService
User=remoteaccess_runtime
AmbientCapabilities=CAP_NET_ADMIN CAP_NET_RAW

[Install]
WantedBy=multi-user.target

Ersetzen Sie in

FactoryTalkRemoteAccessSetupHost.service

nach Bedarf den Parameter

[OPTIONS]

:


--enable-vpn <adapter-list>    Configure the host to enable VPN on the Runtime ad running time. The adapter-list is a single parameter that contains a list of adapter names separated by a comma (,). 
                               A conventional network bridge interface will be created on each of them to perform VPN. Example: --enable-vpn eth0,eth1
--enable-p2p-vpn               Configure the host to enable Point-to-Point VPN on the Runtime at running time.

-v, --verbose                  Print detailed logs for troubleshooting.

Trennen Sie die in

<adapter-list>

genannten Schnittstellen durch ein Komma. Beispiel:

eth0,eth1,eth2

. Das Skript richtet für jede angegebene Schnittstelle eine Standard-Netzwerkbrückenschnittstelle ein.

NOTIZ: Während der Einrichtung einer Standard-Netzwerkbrücke hängt das Skript sowohl

-tap

als auch

-bridge

an jede Schnittstelle an, die in der Liste

<adapter-list>

aufgeführt ist, wo Abzweigung und Brücke noch nicht vorhanden sind. Das Skript hält sich an die von Linux auferlegte Begrenzung von 15 Zeichen.

Beispiel ohne Schnittstellenabschneidung:

Name des Adapters (Länge 4 Zeichen):

eth0

Abzweigungsname (Länge 8 Zeichen):

eth0-tap

Name der Brücke (Länge 8 Zeichen):

eth0-bridge

Beispiel mit Schnittstellenabschneidung:

Name des Adapters (Länge 9 Zeichen):

enp0s31f6

Abzweigungsname (Länge 13 Zeichen):

enp0s31f6-tap

Name der Brücke (Länge 15 Zeichen):

enp0s31f-bridge

. Unter Berücksichtigung der Zeichenlängenbeschränkung besteht die Kürzung des Adapternamens hier aus der Eliminierung der Ziffer

6

.

Die Begrenzung der maximalen Zeichenlänge wirkt sich auf alle Brücken- und Abzweigungs-Schnittstellen mit Namen aus, die gleich oder länger als der Name im obigen Beispiel sind.

NOTIZ:

Die Runtime-Binärdateien werden in folgendem Ordner installiert:

/opt/Rockwell_Automation/FactoryTalk_Remote_Access/Runtime/bin

Runtime-Protokolle sind im folgenden Ordner verfügbar:

/opt/Rockwell_Automation/FactoryTalk_Remote_Access/Runtime/log

Starten der Runtime

Um die Runtime zu starten, führen Sie den Befehl

sudo systemctl start FactoryTalkRemoteAccessSetupHost.service

im Ordner

/etc/systemd/system

aus.

Bestätigen Sie, dass der Dienst

FactoryTalkRemoteAccessRuntimeService.service

ausgeführt wird, indem Sie

sudo systemctl status FactoryTalkRemoteAccessRuntimeService.service

eingeben.

Verbinden der Runtime-Umgebung mit der Netzwerkinfrastruktur von FactoryTalk Remote Access

NOTIZ: Informationen zur Verbindung der Runtime mit der Netzwerkinfrastruktur von

FactoryTalk® Remote Access™

finden Sie im Abschnitt

Einstellungen

unter Runtime-Konfiguration.

Runtime-Konfiguration

NOTIZ: Informationen zu diesem Thema finden Sie unter Runtime-Konfiguration.

Konfiguration der seriellen Durchleitung

NOTIZ: Diese Funktion wird derzeit unter Ubuntu 22 nicht unterstützt.

Um eine serielle Schnittstelle remote nutzen zu können, fügen Sie der Schnittstelle im Pfad

/dev/serial<interface number>

einen Symlink hinzu.

Beispiel:

Führen Sie in einem System mit der seriellen Schnittstelle

/dev/ttyS0

den folgenden Befehl aus:

ln -s /dev/ttyS0 /dev/serial0

Passworteinrichtung

Um zu verhindern, dass nicht autorisierte Benutzer auf die Runtime zugreifen, richten Sie ein Passwort ein. Nachdem Sie ein Passwort eingerichtet haben, wird beim Starten der Runtime eine Browser-Authentifizierungsseite geöffnet.

Geben Sie in Ihrer Browserleiste

https://localhost:5161

ein, um auf die Runtime-Konfiguration zuzugreifen.

NOTIZ: Um ein Passwort einzurichten, benötigen Sie

sudo

-Berechtigungen.

NOTIZ: Wenn Sie kein Passwort für den Zugriff auf die Runtime einrichten, kann jeder Benutzer darauf zugreifen und direkt zur

Startseite

gelangen.

Geben Sie

sudo FactoryTalkRemoteAccessRuntimeCli --setRuntimePassword --password <runtime password>

ein.

Ersetzen Sie

<runtime password>

durch ein Passwort.

NOTIZ:

Erstellen Sie ein sicheres Passwort, um das Cybersicherheitsrisiko zu verringern.

Ihr Passwort muss:

Mindestens 8 Zeichen lang sein

Mindestens drei der folgenden Anforderungen erfüllen:

Mindestens einen Großbuchstaben enthalten

Mindestens einen Kleinbuchstaben enthalten

Mindestens eine Zahl enthalten

Mindestens ein Symbol enthalten

Verwenden Sie Passphrasen, die länger als acht Zeichen sind, um die Passwortstärke zu erhöhen. Sichere Passwörter verlängern die Zeit, die benötigt wird, um sie zu erraten.

NOTIZ: Um das Passwort zu ändern, wiederholen Sie den Prozess.

Runtime-Update

Weitere Informationen finden Sie unter Ubuntu 22 Runtime-Update.

Runtime-Konfiguration

Schlüsselreferenztabelle für Ubuntu 22

Rückmeldung geben

Haben Sie Fragen oder Feedback zu dieser Dokumentation? Bitte geben Sie hier Ihr Feedback ab.

Normal