Wiki

Options

New Case Case Status
Log In

Wiki

Options

 
KBS100031 - Opciones de EtaPRO…

KBS100031 - Opciones de EtaPRO y Modo de Seguridad de Bases de Datos

Los pasos descritos en este artículo suponen que el lector tiene una comprensión de los roles de usuario EtaPRO y un conocimiento práctico de SQL y SQL Server Management Studio. Las descripciones de las funciones de usuario de EtaPRO se pueden encontrar en los archivos de ayuda de EtaPRO. Se pueden encontrar muchos tutoriales en línea para guiar al lector a través del uso de SQL Server Management Studio.

El Sistema de Monitoreo de Condición y Desempeño de EtaPRO presenta dos modos de seguridad: EtaPRO (a veces denominado "Forms") y Windows. Del mismo modo, SQL Server presenta dos modos de seguridad: Autenticación de Windows y SQL Server.

Cuando se combinan, las siguientes combinaciones son posibles:

Opciones de Autenticación de Seguridad de EtaPRO y SQL 

 

EtaPRO (Windows)

EtaPRO (EtaPRO)


  SQL (Windows)  


EtaPRO y SQL (Windows)


  EtaPRO (EtaPRO) y SQL (Windows)  


SQL (SQL)


  EtaPRO (Windows) y SQL (SQL)  


EtaPRO (EtaPRO) y SQL (SQL)

 

Solo los Administradores de Seguridad de EtaPRO pueden editar el modo de seguridad EtaPRO usando el formulario Configuration Tools | User Management:

Los Administradores del Sistema EtaPRO pueden editar el modo de seguridad de la base de datos EtaPRO usando el formulario EEtaPRO Service Manager | Configuration Settings | Databases:

Ahora se ilustraran ejemplos para cada combinación de modo de seguridad.

EtaPRO (EtaPRO) y SQL (Autenticación SQL)

 

El Modo de seguridad EtaPRO predeterminado (el método utilizado cuando la aplicación está instalada y configurada) es EtaPRO. Para este modo, se definen nombres de usuario y contraseñas individuales para cada persona que requiera acceso a EtaPRO. Las instrucciones para agregar/editar/eliminar usuarios se pueden encontrar en los archivos de ayuda de EtaPRO.

El modo de seguridad de base de datos predeterminado es SQL Server.

Para este modo, EtaPRO utiliza un nombre de usuario y una contraseña explícitos de SQL Server para conectarse a SQL Server.

NOTA: Los nuevos sistemas EtaPRO que no usan APR o EPArchive se instalan con una instancia opcional de SQL Server Express. El nombre de usuario predeterminado de SQL Server para esta instalación es "sa", que es también la cuenta de "administrador del sistema" para SQL Server. EtaPRO Support recomienda la creación de una nueva cuenta de SQL que solo usaría EtaPRO, especialmente si la cuenta "sa" se va a utilizar para administrar otras bases de datos en SQL. Si EtaPRO usa la cuenta "sa" para comunicarse con SQL, y si la contraseña para "sa" se cambia en cualquier momento, o si la cuenta se bloquea, la comunicación de EtaPRO a SQL fallará.
 

Se deben otorgar permisos de base de datos específicos a la cuenta de SQL Server utilizada por los servicios de EtaPRO. Estos permisos se pueden otorgar usando Microsoft SQL Server Management Studio.

Roles de servidor: la cuenta de servicio EtaPRO debe tener los siguientes roles:

·       public

NOTA: Si la cuenta de servicio EtaPRO también se utilizará para administrar el servidor SQL y/o para permitir la creación o clonación de bases de datos EtaPRO, entonces la cuenta también debe tener roles "sysadmin" y "dbcreator".

User Mapping –The EtaPRO service account should be granted the following Database role memberships for Asset and Archive databases:   

Asignación de usuario: a la cuenta de servicio EtaPRO se le deben otorgar las siguientes membresías de funciones de Base de datos para las bases de datos de Activos y Archivos: 

·       db ddladmin

·       db owner

·       public

La cuenta de servicio de EtaPRO debe recibir las siguientes membresías de funciones de Base de datos para todas las demás bases de datos de EtaPRO:

·       db owner

·       public

Si las actualizaciones de la base de datos se deben realizar de forma manual en lugar de automáticamente (como cuando se utiliza un servidor SQL remoto con EtaPRO), se pueden usar las siguientes asignaciones de permisos reducidos:

·       public

·       db_datawriter

·       db_datareader

Además, la configuración de seguridad debe actualizarse para permitir al usuario ejecutar procedimientos almacenados.

Permisos del sistema de archivos: para crear bases de datos nuevas, clonar bases de datos y adjuntar/separar bases de datos, la cuenta SQL utilizada por EtaPRO debe tener permisos completos del sistema de archivos para los directorios donde se ubican los archivos de la base de datos. Alternativamente, el servicio de SQL Server se puede ejecutar en una cuenta de privilegios más alta con acceso al sistema de archivos.

Al clonar, crear una base de datos nueva o actualizar manualmente una base de datos, aparecerá una solicitud de inicio de sesión de SQL. Se debe ingresar una cuenta con permisos de creación de bases de datos (db_creator) a la entrada.

 

EtaPRO y SQL (Autenticación Windows)

 

Consulte el procedimiento al final de este documento (Modo de seguridad de Windows con Computadora lLcal o Grupos de Directorio Activo) si se desea utilizar Grupos de Directorio Activo en EtaPRO.


Para usar la opción de Modo de seguridad EtaPRO "Windows", el servidor EtaPRO debe poder comunicarse con el servidor de dominio para verificar/autenticar usuarios. Si EtaPRO no puede comunicarse con el servidor de dominio, o si se ingresa un nombre de dominio/computadora incorrecto, aparecerá el siguiente mensaje:

NOTA: Si el servidor EtaPRO reside en un dominio diferente al que los usuarios "comerciales" inician sesión, los dos dominios deben ser "federados" (https://docs.microsoft.com/en-us/azure/architecture/patterns / federated-identity). Si los dos dominios no se pueden comunicar entre sí, entonces el Modo de seguridad de Windows no se puede usar para EtaPRO.

Las cuentas individuales de usuario de Windows se pueden asignar a varios roles de usuario de EtaPRO:

Cuando se selecciona la opción "Usar las credenciales del servicio de transferencia para la autenticación de Windows de la base de datos" (pestaña Miscellaneous), no se requieren configuraciones de permisos individuales de usuario/grupo a base de datos.

Si la casilla "Use Transfer Service Credentials..." permanece desactivada/deshabilitada, los derechos de acceso a la cuenta/grupo individual de Microsoft SQL Server y la configuración de la base de datos se pueden ajustar utilizando Microsoft SQL Server Management Studio.

  1. En este ejemplo, se tienen inicios de sesión de SQL para NT AUTHORITY\System y cuatro grupos locales creados anteriormente. NT AUTHORITY\System es la cuenta "Log On As" de los servicios EtaPRO.

  2. Haga clic derecho en cada grupo, comenzando con etaproadmins para asignar propiedades de inicio de sesión. En la categoría Roles de servidor, se configura la cuenta etaproadmins para que tenga roles de servidor public y dbcreator.

  3. Después de definir los roles del servidor para cada grupo EtaPRO, selecciona  User Mapping y se asigna NT AUTHORITY\System a cada base de datos EtaPRO, asignando también al usuario la función db_owner:
  4. Se agregan permisos de seguridad para la carpeta de Windows en la que se almacenan las bases de datos de EtaPRO:
  5. Finalmente, el Modo de Seguridad de la Base de Datos se cambia a Windows. A partir de EtaPRO 10.1, el Modo de seguridad de la base de datos se puede configurar en la pestaña Site y se puede usar el mismo servidor de base de datos y credenciales para todas las pestañas:

NOTA: cuando GP Strategies lo instala, SQL Server "Autenticación de modo mixto" (que permite la autenticación de Windows y SQL Server) está habilitado.

EtaPRO (EtaPRO) y SQL (Autenticación Windows)

 

Para esta combinación, siga las instrucciones SQL (Autenticación de Windows) como se define arriba.

Las instrucciones EtaPRO (Autenticación EtaPRO) se encuentran en los archivos de ayuda de EtaPRO.

EtaPRO (Windows) y SQL (Autenticación SQL Server)

 

Para esta combinación, siga las instrucciones separadas de EtaPRO (Windows) y SQL (Autenticación de SQL Server) como se define arriba.

Servicios EtaPRO/VirtualPlant 

 

Log On As puede usar el Sistema local, a menos que se necesite una cuenta específica para conectarse a Wonderware, OPC u otro historiador.

SQL Database Permissions: The EtaPRO services "Log On As" account should have db_owner role membership (https://docs.microsoft.com/en-us/sql/relational-databases/security/authentication-access/database-level-roles) as defined above in EtaPRO and SQL (Windows Authentication).

 

Usar el Modo de Seguridad de Windows con Computadora Local o Grupos de Directorio Activo 

 

Se recomienda el uso de grupos de Windows ya que el acceso puede controlarse de forma externa a EtaPRO, sin embargo, se pueden usar nombres de cuentas de Windows individuales. También se pueden crear grupos de computadoras locales y grupos de dominios secundarios, siempre que se establezcan los niveles de acceso adecuados.

NOTA: Si el servidor EtaPRO reside en un dominio diferente al que los usuarios "comerciales" inician sesión, los dos dominios deben ser "federados" (https://docs.microsoft.com/en-us/azure/architecture/patterns / federated-identity). Si los dos dominios no se pueden comunicar entre sí, entonces el Modo de seguridad de Windows no se puede usar para EtaPRO.

1. En este ejemplo, se han creado cuatro Grupos locales correspondientes a los cuatro niveles superiores de acceso en EtaPRO: Administrator, Analyst, User, and View.

2. Los usuarios se asignan a cada grupo local:

3. Finalmente, EtaPRO Security Mode se cambia a Windows y los niveles de acceso se asignan en EtaPRO:

 

Habilitar CLR para SQL Server (EtaPRO 10.2 y anteriores)

 

EtaPRO 10.3 no utiliza SQLCLR (SQL Common Language Runtime). Por lo tanto, no es necesario habilitarlo.

Para EtaPRO 10.2 y anteriores, cuando se utilizan las características de Archivo o Activo, SQLCLR debe estar habilitado.

Ejecute la siguiente secuencia de comandos para habilitar CLR para todas las bases de datos:

  1. Seleccione las bases de datos del Explorador de objetos
  2. Haga clic en el botón New Query
  3. Copie y pegue el siguiente código en la pestaña query
     

    sp_configure 'show advanced options', 1;

    GO

    RECONFIGURE;

    GO

    sp_configure 'clr enabled', 1;

    GO

    RECONFIGURE;

    GO


  4. Seleccione master en el menú desplegable de la base de datos
  5. Haga clic en el botón Execute

 

Los detalles generales sobre los modos de seguridad de EtaPRO se pueden encontrar en los archivos de ayuda de EtaPRO. Para asistencia adicional con este procedimiento, o para reportar un error, contáctese con Soporte de EtaPRO en etaprosupport@gpstrategies.com o 716-799-1077. Los usuarios de Eskom deben enviar preguntas a eskom@gpstrategies.com