Siemens SIMOTION Diagnose-Handbuch Seite 281

5.1.12 <USERDATABASE>
Tag
Beispiel
SIMOTION IT Ethernet basierende HMI- und Diagnosefunktion
Diagnosehandbuch, 11/2010
<USERDATABASE>
Verschiedenste Bereiche des Webservers, angefangen von HTML-Seiten, Verzeichnissen etc. bis
hin von einzelnen Aktionen von Applikationen können mit einem Zugriffsschutz geschützt werden.
Das Sicherheitssystem ist folgendermaßen aufgebaut:
es gibt Benutzer (User)

jeder User hat ein Passwort

es gibt Sicherheitsbereiche (SecureGroups bzw. Realms)

jeder Sicherheitsbereich hat eine Gruppe von Benutzern, die diesen "Betreten" dürfen

ein Benutzer kann in unterschiedlichen Sicherheitsbereichen Zutritt haben

<UserDataBase>
<USER NAME="Gast" PASSWORD="MyPassword">
<DESCRIPTION>Gast User</DESCRIPTION>
<GROUP Name="User">
</USER>
<USER NAME="Administrator">
<DESCRIPTION>Administrator</DESCRIPTION>
<GROUP NAME="MiniWeb Administratoren"/>
<GROUP NAME="Administrator"/>
<GROUP NAME="User"/>
<GROUP NAME="FileAdministrator"/>
<GROUP NAME="NoAccess"/>
</USER>
</UserDataBase>
Gegeben sei die folgende Link Struktur:
<BASE>
<Trap1 LINK="/Trap2" SECUREGROUP="Member_Trap1"/>
<Trap2 SECUREGROUP="Member_Trap2"/>
<Winner.mcs>
[ . . . ]
</Winner.mcs>
</Trap2></BASE>
Ein Benutzer, der Mitglied der beiden SecureGroups "Member_Trap1" und "Member_Trap2" ist,
kann die URL
http://Server/Trap1/Winner.mcs
nicht anfordern, da Trap1 die SecureGroup "Member_Trap1" erfordert und wenn diese vorhanden
ist, auf Trap2 verweist (das ist eine Security Verletzung). Diese erfordert jetzt aber
"Member_Trap2". Dieser zweiten Gruppe gehört der Benutzer zwar an, aber er hat sich bereits in
der Rolle "Member_Trap1" angemeldet. Daher wird dieser zweite Request abgelehnt.
Der direkte Zugriff auf
http://Server/Trap2/Winner.mcs
ist dagegen möglich, da der Benutzer in der SecureGroup "Member_Trap2" ist, und nur diese
angefordert wird.
Anhang
5.1 WebCfg.xml
281