cimplicityOPCServer中的DCOM配置

1、CIMPLICITY OPC 服务与DCOM配置2DCOM安全概述2验证2授权2激活3发布标识3DCOM安全配置工具3OPC客户端的重要配置3作为客户端连结的最小配置3服务器的安装3客户端的安装3DOM配置的指导原则3客户端节点的注册表项设置3Cimplicity OPC 服务与DCOM配置DCOM安全概述CIMPLICITY HMI OPC服务是作为COM服务对象来实现的，DCOM提供了一个框架及相关的服务来让COM对象能部署在一个分布式的环境中，其中的一个服务是安全服务，其安全架构在windows操作系统基础之上，所以对于那些熟悉window95/98/NT系统的人来说会发现它的安全机制的

2、要点与分布式的安全环境没有太多的不同。为了更好的理解在CIMPLICITY HMI OPC服务器与客户端之间连结的安全要点，本小节提供了一个关于DCOM安全的一个概貌。关于DCOM安全主题是内容繁多的且让人迷惑的，对于这点有好几个专著去描述它，但在这里只是提供一个关于二者之间(服务器与客户端)交互的安全纲要。验证验证安全确保在服务器与客户端之间的交互是合法的，这是标准的windows安全机制的一个扩展，是建立在远程过程调用(rpc=remote procedure call)的基础之上的。对于这个验证来说，它要问两个问题：你是OPC服务器吗？你是OPC客户端吗？用户配置验证安全实际上是在选择在

3、什么时机来问这两个问题，当然也可能有其它相对来说复杂一点的处理。当二者所配置的安全级别不同时，二者会协商用那个高等级的那个。例如：当配置验证等级为连结时，即level=connect，此时的验证发生在连结阶段，当连结完成以后，二者之间的所有交互操作将不再做任何验证。再比如：当配置验证等级为包加密时，即level=packet privacy，此时二者之间的数据交互都是包加密的形式传输的。对于验证等级的选择，得依照用户本身的需求与策略。对于一个多节点运算环境来说，运行服务器的节点的安全系统必需校验客户端的安全标识（即用户名）是不是有效的；而在一个域环境下，必需校验域用户名是不是有效的；而一个点对

4、点的环境中，得看看本地是否有已配置好的用户。验证是发生在授权与激活之前的行为，如果验证通不过，则后两项活动均不能启动。授权一旦验证工作完成，服务器就会判断客户端是不是被授权与服务器之间能执行交互式的操作（com/dcom技术允许OPC客户端跨过进程或节点作调用操作）。那么如何来判断呢？此时主要看看ACL，即访问控制列表，其中内容是一些可以访问的用户名，如果客户端的用户名在列表中，则可以访问。关于它的配置可以用操作系统提供的dcomcnfg.exe应用程序，具体请再参考配置DCOM安全的工具。激活激活安全是DCOM独有的，DCOM框架为OPC客户端访问OPC服务器端对象提供了这样的能力。如果OP

5、C服务器是在另一个节点机上，OPC客户端会因为自已的要求而激活OPC服务器（如果本来就是运行则没有必要）。这种激活许可检查方式与授权基本相同。注：window95/98并没有提供激活服务，所以得依赖手工激活或启动。发布标识经常的情况是CIMPLICITY HMI OPC SERVER被配置成后台进程（如非交互模式），因为它的启与停都是随着客户端的连与断而发生的。OPC服务器有必要指定一个用户来运行(发布)它，这个用户可以是管理员用户、当前交互式的用户或服务器安装的用户，至于配置的问题同样可以用dee com config应用程序。DCOM安全配置工具注：假定读者已经学会配置本地用户或域用户并能

6、把它们加入到组中。CIMPLICITY HMI OPC SERVER的配置必需依赖操作系统本身提供的dee com config应用程序，OPC SERVE自已并不能初始化它的安全机制。可以在dos环境下运行dcomcnfg.exe或者在开始->运行的提示框中键入dcomcnfg并回车来运行dee com config应用程序。该程序可能会因为操作系统版本或补丁的不同在界面上会有一些差异，但都序有多个对话框页，通过选择不同的页来配置不同的内容。Ø 关于CIMPLICITY HMI OPC SERVER的重要配置本小节描述了CIMPLICITY HMI OPC SERVER的dc

7、om安全配置，这种配置可以是默认的，也可以是定制的。如果想定制的话，可以选择CIMPLICITY HMI OPC SERVER后点击属性。(有待完成)Ø CIMPLICITY HMI OPC SERVER位置页总是选择“在本机运行应用程序”Ø CIMPLICITY HMI OPC SERVER安全页除非默认的设置不能满足你的安全需求，否则在授权项上选择“默认许可”，在激活项上选择“运行/发布许可”；如果要定制，则指定相应的信任用户列表。Ø CIMPLICITY HMI OPC SERVER标识页码Ø DCOMCNFG默认属性选择“在本机上启用分布式的CO

8、M”，验证级别选择默认就能满足网络安全需求，对于NT4.0SP4版本的验证级别是可以定制的，但NT4.0SP3只能是默认。模拟级别选择“标识”。Ø DCOMCNFG默认安全如果没有定义定制的访问许可和运行许可用户，那就只能用在默认的访问许可和运行许可下的用户来访问OPC SERVER。OPC客户端的重要配置如果OPC客户程序也是一个COM对象且没有初始化它的安全性，那此时得用dee com config定义它的验证级别与访问许可用户。因为要验证OPC SERVER调用客户端，所以客户端的DCOM安全机制必需能识别OPC SERVER并且能判断它能否调用自已的对象，这种调用在异步读与写

9、操作中经常会用来更新和通知客户端。如果客户端不是一个COM对象，这时只需要用默认的验证级别与访问许可即可。作为客户端连结的最小配置本小节主要列出如何配置OPC SERVER与CLIENT以便很快地把它们运行起来，这里关闭了所有的验证选项，当验证项无效时，默认的许可检查与激活检查都是无效的，此时双方之间的调用将是畅通无阻的。以这种配置为基准，之后再根据DCOM配置原则来压缩它们之间的安全访问权限。服务器的安装1. 运行服务器端的DCOMCNFG.EXE。2. 选择默认页，勾上“在本机上激活DCOM”选项。选择验证级别为“无”，模拟级别为“标识”。3. 选择应用程序页，双击CIMPLICITY H

10、MI OPC SERVER，弹出一个关于安全设置的多页对话框。4. 如果你运行的是windowNTsp4，选择常规页，设置验证级别为“无”。5. 找到位置页，勾上“在本机运行应用程序”选项并确保没有选择其它选项。6. 找到安全页，勾上“自定义访问许可”选项，编辑ACL使其包括everyOne并使权限为”允许访问”。7. 在安全页，勾上“自定义运行许可”选项，编辑ACL使其包括everyOne并使权限为”允许运行”。8. 找到标识页，在这里你有两个选择，一是交互式用户，二是指定某个用户并提供用户名与密码，但不管是哪个方式，这个用户都得是有最小访问权限中的一个用户。注：CIMPLICITY HMI

11、 OPC SERVER工程的设置是与之配套的，这部分可以参考CIMPLICITY工程安全的设置。客户端的安装注：以下的步骤仅当客户端的DCOM安全配置不是以编程方式实现的情况下的，对于这一点，有必要查询客户端的相关文档以确定DCOM安全配置是不是应用程序直接配置的。1. 对于二者不在同一台机器上的情况，有必要依赖服务器创建客户端的注册表各项的配置。2. 运行客户端的DCOMCNFG.EXE。3. 选择默认页，勾上“在本机上激活DCOM”选项。选择验证级别为“无”，模拟级别为“标识”。DOM配置的指导原则本小节提供了一些一般的指导原则用来加强CIMPLICITY HMI OPC SERVER与C

12、LIENT之间通信的安全性，这些原则并不复杂，因为它是假定读者对windows及DCOM的安全机制已经很熟悉了，而对于自动化服务的安全性，OPC基金会相关工作委员会一直在致力于它的研究工作。注：只要有可能，尽量用dcomcnfg应用程序来定制CIMPLICITY HMI OPC SERVER，这样做有两个好处，一是它不会影响其它DCOM对象的安全需求，二是将来其它DCOM对象的安全需求的变化也不会影响CIMPLICITY HMI OPC SERVER的操作。l 激活验证选项并使其至少为最低级别，如果操作系统有SP4则验证至少为”连结”。一旦验证被激活，如果二者不在一台机器上，DCOM的安全机制

13、将会校验服务器与客户端的用户名，因此这些用户名都必需在正确地创建好。关于域验证方式的建立，可以参考以下的指南。如果是在点对点网络中，服务器上的用户名在客户端上也得有。l 打开激活OPC服务选项，并且指定相应的用户。一般说来，激活OPC服务的ACL是授权ACL的子集，这主要是防止出现能激活OPC服务的用户却不能访问OPC服务器对象的情况。l 打开访问许可选项，定制其中的用户使其能访问OPC服务。l 关于域用户的情形，如果从维护的角度来说，它提供了一个开销最低的解决方案。遵从以下指南：1) 创建一个域用户组，该组中的用户允许运行CIMPLICITY HMI OPC SERVER并能访问其中的对象。

14、2) 用dee com config创建一个用户组，该组中的用户允许访问并运行CIMPLICITY HMI OPC SERVER。3) 使所有的客户端的用户是以上组的一个。客户端节点的注册表项设置与OPC服务的安装不在一台机器上的作为远程访问的客户端并没有必要安装CIMPLICITY HMI OPC SERVER软件，可以先从服务器上把注册表文件(cimOpcServer.reg)拷贝过来，这个文件中的条目可以作为客户端访问服务器的参考，以下的步骤就是建立从远程访问CIMPLICITY HMI OPC SERVER的要点：1. 用一个具有管理员权限的帐号登录到远程计算机。2. 在CIMPLICITY HMI产品下找到注册表文件cimOpcServer.reg。3. 双击该文件更新注册表。4. 运行dcomcnfg.exe，打开应用程序CIMPLICITY HMI OPC SERVER的属性，如下所示：5. 找到位置页，键入运行CIMPLICITY HMI OPC SERVER的机器名字，在