Installazione e configurazione di Ubuntu 22 Runtime

FactoryTalk Remote Access: Guida

Informazioni importanti per gli utenti

Note sulla versione di FactoryTalk® Remote Access™

Introduzione

Introduzione

Abbreviazioni e acronimi

Architettura del sistema

Interazione con gli elementi di sistema

Connessione tra FactoryTalk Remote Access Manager e dispositivi remoti

Connettività client e server

Proxy

White paper sull'architettura di sicurezza

Progettazione di reti e protocolli

Sicurezza dei trasporti

Sicurezza di Remote Access Tools

Autenticazione

Audit delle operazioni

Autorizzazione

Contromisure per i cyberattacchi

Centro dati

Aggiornamenti software

Politica sulla violazione di dati

Procedure consigliate

Componenti del sistema

FactoryTalk Remote Access

FactoryTalk Remote Access Manager Tools

Stratix 4300 Remote Access Router

Impostazioni di fabbrica e identificazione del router

Protezione contro la modifica del dominio

Terminali grafici OptixPanel

Modulo Embedded Edge Compute

OptixEdge

IPC ASEM 6300

Box PC ASEM 6300B

Panel PC ASEM 6300P

PC industriali ASEM 6300PA On-Machine

Runtime (per dispositivi di terze parti)

FactoryTalk Remote Access Manager

Panoramica di FactoryTalk Remote Access Manager ed entità correlate

Organizzazioni, domini e sottocartelle di dominio

Protezione dell'accesso

Struttura del menu

Explorer

Geolocalizzazione

Audit

Settings

Tools

Log

FactoryTalk Remote Access Manager Tools

Interactive Access

(Interactive Access) Remote Desktop

(Interactive Access) Processes

(Interactive Access) Explorer

(Interactive Access) Connection

(Interactive Access) Information

(Interactive Access) Log

Device Setup

Connection Settings

Avviare FactoryTalk Remote Access

Creare l'account MyRockwellAutomation

Accedere a FactoryTalk Hub

Creare un'organizzazione e un dominio

Invitare utenti in un'organizzazione

Attività Organizzazione

Gestire i domini e le entità correlate

Ruoli di dominio e gruppi di dominio

Autorizzazioni dell'utente di dominio

Creare una sottocartella di dominio

Creazione di gruppi

Registrazione del dispositivo al dominio

Spostamento e rimozione del dispositivo

Registrazione Runtime

Invitare utenti in un dispositivo

Visualizzare e gestire gli utenti invitati e le relative autorizzazioni

Ruoli di dominio e gruppi di dominio

Sottodispositivi

Aggiungere un sottodispositivo

Aggiungere un servizio

Esempio di applicazione di servizio personalizzato

Avviare un servizio

Gestione dei sottodispositivi

Approvare l'accesso remoto

Richiedere assistenza

Impostazioni del firewall

Regole di routing

Entitlements

Confronto delle caratteristiche

Entitlement Basic su IPC ASEM 6300

Configurazione e installazione dei componenti software

Installazione di FactoryTalk Remote Access Manager Tools

Impostazione della lingua

Configurazione Runtime

Installazione e configurazione di Windows Runtime

Installazione e configurazione di Ubuntu 22 Runtime

Tabella di riferimento dei tasti di Ubuntu 22

Righe di comando di Runtime

Attivazione dell'entitlement di FactoryTalk Remote Access

Local connection

Internet Sharing

Servizio Runtime in un contenitore Docker

Funzioni di Runtime supportate nel contenitore

Guida all'installazione passo passo

Requisiti

Installare Docker e Docker Compose

Decomprimere i componenti dalla cartella di installazione

Caricare immagini Docker

Configurare le funzioni supportate nel contenitore

Abilitare il protocollo RDP (Remote Desktop Protocol)

Abilitare una connessione VPN

Convalidare la configurazione

Eseguire Docker Runtime

Porte esposte del contenitore di Runtime

Aggiornamenti

Runtime e aggiornamento firmware

Aggiornamento over-the-air per Windows Runtime

Aggiornamento over -the -air per il firmware

Aggiornamento di FactoryTalk Remote Access Manager Tools

Aggiornamento di Ubuntu 22 Runtime

Guida rapida di riferimento

Procedure consigliate per FactoryTalk Remote Access Manager

Come creare un'organizzazione o un dominio

Come attivare un entitlement

Come stabilire una connessione Remote Desktop

Come stabilire una connessione VPN con un dispositivo remoto

Come stabilire una connessione VPN

Come impostare i diritti di autorizzazione

Come visualizzare il log delle operazioni

Come implementare le impostazioni di sicurezza della rete

Quali porte e IP pubblici devo autorizzare attraverso il firewall aziendale?

Connessione a Runtime persa

Abilitare FactoryTalk Remote Access per FactoryTalk Design Studio

Installazione e configurazione di Ubuntu 22 Runtime

Runtime in Ubuntu 22 viene eseguito come utente senza privilegi per migliorare la sicurezza informatica riducendo la superficie di cyberattacco. Una volta accertati che tutti i requisiti siano soddisfatti, procedere con l'installazione e la configurazione di Runtime.

NOTA: Vedere Configurazione Runtime per una panoramica delle impostazioni disponibili.

Requisiti

Per l'installazione di Runtime su Ubuntu 22 procedere come segue:

Assicurarsi che la versione del kernel in esecuzione sul dispositivo o le intestazioni linux della versione corrente del kernel devono essere aggiornate.

Assicurarsi che sia installato .NET Runtime 8. Se non è ancora installato e il dispositivo si connette a Internet, verrà scaricato e installato automaticamente durante l'installazione di Runtime.

Installare X11 Window System per abilitare la funzionalità

Remote Desktop

. Invece, se Wayland è installato e abilitato, disabilitarlo modificando il file:

/etc/gdm3/custom.conf

O

/etc/gdm3/daemon.conf

Rimuovere il commento dalla riga seguente rimuovendo il simbolo #:

#WaylandEnable=false

Verificare il sistema non abbia

remoteaccess_runtime

come nome utente,

uid=9879

come ID utente e

gid=9879

come ID di gruppo per l'utente standard senza privilegi che eseguirà il Runtime.

Installare i seguenti pacchetti per eseguire il programma di installazione e i servizi SetupHost e Runtime:

useradd

e

groupadd

: Eseguire l'installazione digitando

sudo apt-get install passwd

xdpyinfo

: Eseguire l'installazione digitando

sudo apt-get install x11-utils

xhost

: Eseguire l'installazione digitando

sudo apt-get install x11-xserver-utils

mknod

,

readlink

,

tr

,

who

: Eseguire l'installazione digitando

sudo apt-get install coreutils

iptables

: Eseguire l'installazione digitando

sudo apt-get install iptables

brctl

: Eseguire l'installazione digitando

sudo apt-get install bridge-utils

dhclient

: Eseguire l'installazione digitando

sudo apt-get install isc-dhcp-client

setcap

: Eseguire l'installazione digitando

sudo apt-get install libcap2-bin

setfacl

: Eseguire l'installazione digitando

sudo apt-get install acl

awk

: Eseguire l'installazione digitando

sudo apt-get install gawk

systemd-run

,

systemctl

,

resolvectl

,

loginctl

: Eseguire l'installazione digitando

sudo apt-get install systemd

NOTA: Alcuni script eseguiti da

FactoryTalkRemoteAccessSetupHost.service

durante la fase di inizializzazione dell'host richiedono questi comandi per funzionare con il sistema host. Se uno di questi comandi non è presente, l'esecuzione dello script potrebbe interrompersi.

Assicurarsi che l'utente della sessione predefinita sia un utente della cartella root o un utente del gruppo sudoers e che disponga delle cartelle

sbin

nella propria variabile di ambiente

PATH

. Per aggiungere un utente al gruppo sudoers, utilizzare i seguenti comandi:

su -l

usermod -aG sudo <UserToAdd>

Installazione e configurazione di Runtime

Scaricare il pacchetto

FactoryTalk® Remote Access™

Runtime relativo alla distribuzione Ubuntu 22 sul dispositivo remoto ed eseguire il comando di installazione:

sudo apt install ./FactoryTalkRemoteAccessRuntime_Ubuntu22_<version>.deb

e sostituire

<version>

con la versione effettiva.

NOTA: Vedere Tools per scaricare Runtime.

IMPORTANTE: Se si sta aggiornando una versione precedente di Runtime, potrebbe essere richiesto di attivare impostazioni di sicurezza specifiche:

Restrizione di sicurezza per i trasferimenti di file

e

Restrizione di sicurezza dei processi

. Queste impostazioni si trovano nella sezione

Settings

dell'interfaccia utente di Runtime.

Il sistema esegue diversi controlli e crea

FactoryTalkRemoteAccessRuntimeService.service

e

FactoryTalkRemoteAccessSetupHost.service

.

Assicurarsi che i servizi creati archiviati in

/etc/systemd/system

vengano visualizzati come segue:

[Unit]
Description=FactoryTalkRemoteAccess Setup Host Service
After=network-online.target
Onsuccess=FactoryTalkRemoteAccessRuntimeService.service
[Service]
ExecStart=/opt/Rockwell_Automation/FactoryTalk_Remote_Access/Runtime/bin/setuphost.sh -v [OPTIONS]

[Install]
WantedBy=multi-user.target

[Unit]
Description=FactoryTalkRemoteAccess Runtime Service
OnFailure=FactoryTalkRemoteAccessSetupHost.service

[Service]
ExecStart=/opt/Rockwell_Automation/FactoryTalk_Remote_Access/Runtime/bin/FactoryTalkRemoteAccessRuntimeService
User=remoteaccess_runtime
AmbientCapabilities=CAP_NET_ADMIN CAP_NET_RAW

[Install]
WantedBy=multi-user.target

In

FactoryTalkRemoteAccessSetupHost.service

, sostituire

[OPTIONS]

secondo necessità:


--enable-vpn <adapter-list>    Configure the host to enable VPN on the Runtime ad running time. The adapter-list is a single parameter that contains a list of adapter names separated by a comma (,). 
                               A conventional network bridge interface will be created on each of them to perform VPN. Example: --enable-vpn eth0,eth1
--enable-p2p-vpn               Configure the host to enable Point-to-Point VPN on the Runtime at running time.

-v, --verbose                  Print detailed logs for troubleshooting.

Separare le interfacce indicate in

<adapter-list>

utilizzando una virgola. Per esempio:

eth0,eth1,eth2

. Lo script stabilisce un'interfaccia bridge di rete standard per ciascuna interfaccia specificata.

NOTA: Durante la creazione di un bridge di rete standard, lo script aggiunge sia

-tap

che

-bridge

a qualsiasi interfaccia elencata in

<adapter-list>

ogni volta in cui tap e bridge non siano già presenti. Lo script rispetta il limite di 15 caratteri imposto da Linux.

Esempio senza troncamento dell'interfaccia:

Nome dell'adattatore (lunghezza caratteri 4):

eth0

Nome del tap (lunghezza caratteri 8):

eth0-tap

Nome del bridge (lunghezza caratteri 8):

eth0-bridge

Esempio con troncamento dell'interfaccia:

Nome dell'adattatore (lunghezza caratteri 9):

enp0s31f6

Nome del tap (lunghezza caratteri 13):

enp0s31f6-tap

Nome del bridge (lunghezza caratteri 15):

enp0s31f-bridge

. Considerando il limite di lunghezza dei caratteri, il troncamento del nome dell'adattatore consiste nell'eliminazione della cifra

6

.

Il limite massimo di lunghezza dei caratteri influisce su tutte le interfacce di bridge e tap con nomi uguali o più lunghi del nome nell'esempio precedente.

NOTA:

I binari di Runtime verranno installati nella cartella:

/opt/Rockwell_Automation/FactoryTalk_Remote_Access/Runtime/bin

e i registri di Runtime saranno disponibili nella cartella:

/opt/Rockwell_Automation/FactoryTalk_Remote_Access/Runtime/log

Avvio Runtime

Per avviare il servizio Runtime, eseguire il comando

sudo systemctl start FactoryTalkRemoteAccessSetupHost.service

nella cartella

/etc/systemd/system

.

Assicurarsi che il servizio

FactoryTalkRemoteAccessRuntimeService.service

sia attivo e funzionante digitando

sudo systemctl status FactoryTalkRemoteAccessRuntimeService.service

.

Connessione di Runtime all'infrastruttura di rete di FactoryTalk Remote Access

NOTA: Vedere la sezione

Settings

in Configurazione Runtime per informazioni su come connettere Runtime all'infrastruttura di rete di

FactoryTalk® Remote Access™

.

Configurazione Runtime

NOTA: Vedere Configurazione Runtime per ulteriori informazioni su questo argomento.

Configurazione passthrough seriale

NOTA: Questa funzione non è attualmente supportata su Ubuntu 22.

Per abilitare l'uso remoto di una porta seriale, aggiungere un collegamento simbolico all'interfaccia nel percorso

/dev/serial<interface number>

.

Esempio:

In un sistema dotato di interfaccia seriale

/dev/ttyS0

, eseguire il seguente comando:

ln -s /dev/ttyS0 /dev/serial0

Impostazione della password

Per impedire a utenti non autorizzati di accedere a Runtime, impostare una password. Dopo aver impostato una password, all'avvio di Runtime si apre una pagina di autenticazione del browser.

Per accedere alla configurazione di Runtime, immettere

https://localhost:5161

nella barra di navigazione.

NOTA: Per impostare una password è necessario disporre dei privilegi

sudo

.

NOTA: Se non si imposta una password per accedere a Runtime, tutti gli utenti possono accedervi e arrivare direttamente sulla

Home

page.

Immettere

sudo FactoryTalkRemoteAccessRuntimeCli --setRuntimePassword --password <runtime password>

.

Sostituire

<runtime password>

con una password.

NOTA:

Creare una password complessa per ridurre i rischi di sicurezza informatica.

La password deve avere:

almeno 8 caratteri

Includere almeno tre dei seguenti requisiti:

almeno un carattere maiuscolo

almeno un carattere minuscolo

almeno un carattere numerico

almeno un simbolo

Utilizzare passphrase più lunghe di 8 caratteri per migliorare la sicurezza della password. Le password complesse aumentano il tempo necessario per indovinarle.

NOTA: Per cambiare la password, ripetere la procedura.

Aggiorna Runtime

Vedere Aggiornamento di Ubuntu 22 Runtime.

Configurazione Runtime

Tabella di riferimento dei tasti di Ubuntu 22

Fornire un feedback

Hai domande o feedback su questa documentazione? invia il tuo feedback qui.

Normal