NACS (Netronix Access Control System)

Transkrypt

Instrukcja obsługi
systemu kontroli dostępu
NACS
(Netronix Access Control System)
Wersja dokumentu: NACS-man-pl
Data ostatniej modyfikacji: 12.08.2016
Obowiązuje od wersji oprogramowania: NACSClient – v1.3.0.2
Instrukcja obsługi systemu kontroli dostępu NACS
Spis treści
1 Charakterystyka ogólna systemu NACS..........................................................................................2
2 Uruchomienie systemu.....................................................................................................................3
2.1 Uruchomienie i konfiguracja serwera NACS...........................................................................3
2.2 Uruchamianie klienta NACS....................................................................................................8
2.3 Przygotowanie konwertera COTER-EC do pracy z systemem NACS...................................12
3 Budowa i zasada działania systemu................................................................................................15
3.1 Obiekty systemu.....................................................................................................................16
3.1.1 Urządzenia......................................................................................................................16
3.1.2 Konfiguracje urządzeń....................................................................................................16
3.1.3 Strefy...............................................................................................................................17
3.1.4 Strefa APB.......................................................................................................................17
3.1.5 Przejścia..........................................................................................................................17
3.1.6 Karty................................................................................................................................18
3.1.7 Użytkownicy...................................................................................................................18
3.1.8 Harmonogramy...............................................................................................................19
3.1.9 Grupy..............................................................................................................................20
3.2 Algorytm wyznaczania dostępu użytkownika do strefy.........................................................20
4 Konfiguracja systemu NACS.........................................................................................................20
4.1 Budowa programu zarządzającego NACSClient....................................................................20
4.2 Zarządzanie urządzeniami......................................................................................................22
4.3 Zarządzanie konfiguracjami urządzeń....................................................................................30
4.3.1 Konfiguracja urządzeń typu COTER-EC........................................................................31
4.3.2 Konfiguracja kontrolera NKP-2......................................................................................31
4.3.3 Konfiguracja czytników typu UW-DNG........................................................................39
4.4 Zarządzanie strefami...............................................................................................................40
4.5 Zarządzanie przejściami.........................................................................................................42
4.6 Dodawanie kart.......................................................................................................................50
4.7 Zarządzanie użytkownikami...................................................................................................53
4.8 Zarządzanie harmonogramami...............................................................................................58
4.9 Zarządzanie grupami/konfiguracja kontroli dostępu..............................................................61
4.10 Zarządzanie strefami APB....................................................................................................66
4.11 Rejestracja czasu pracy.........................................................................................................71
4.12 Przeglądanie historii.............................................................................................................76
1 Charakterystyka ogólna systemu NACS
System NACS (Netronix Access Control System) jest systemem kontroli dostępu. System
ten ma naturę dualną. Może pracować w trybie w pełni autonomicznym (konfiguracja
przechowywana w urządzeniach) jak i w trybie online, gdzie pełną kontrolę nad podejmowanymi
decyzjami przejmuje aktywny serwer. Tryb online możliwy jest dzięki zastosowaniu do połączenia
urządzeń magistrali CAN2.0B posiadającą sprzętowy mechanizm anty-kolizji, dzięki czemu
wszystkie komunikaty docierają do serwera w postaci niezmienionej. Dzięki temu zapewniona jest
natychmiastową reakcja systemu na zmianę konfiguracji (decyzje o dostępie podejmuje serwer)
oraz raportowanie o zdarzeniach w czasie rzeczywistym. Dodatkowo możliwa jest implementacja
stref 'Antipassback' oraz przekierowywanie sygnałów z wejść jednego urządzenia na wyjście innego
urządzenia, znajdującego się na drugim końcu budynku.
System gwarantuje również poprawność pracy kontroli dostępu w przypadku braku aktywności
serwera. Serwer dokonuje automatycznej kopi ustawień dla każdego przejścia z osobna i zapisuje je
w urządzeniach przypisanych do tych przejść. Urządzenia przechodzą w tryb pracy offline
automatycznie w chwili zaniku połączenia urządzenia z serwerem, w związku z czym nie
wymagane są dodatkowe czynności przy zmianie trybu pracy. Urządzenia wyposażone zostały
również w wewnętrzną pamięć zdarzeń, które będą rejestrowane w przypadku braku aktywności
serwera. W chwili odzyskania połączenia zdarzenia zostaną automatycznie odczytane i zapisane w
bazie danych dzięki czemu ciągłość zdarzeń zostanie zachowana.
DB
NACS
Client
NACS
Client
NACS
Server
NACS
Client
ETHERNET
COTER
-EC
...
COTER
-EC
NKP-2
UWDAL
NKP-2
UWDAL
UWDAL
CAN
UWDAL
CAN
NKP-2
UWDAL
NKP-2
UWDNG
UWDNG
UWDNG
UWDAL
Magistrala CAN2.0B jest interfejsem dwu-przewodowym podobnie jak interfejs RS-485. Dzięki
© 2016 Netronix sp. z o.o.
2
temu można wykorzystać istniejącą architekturę połączeń w celu aktualizacji starszych systemów
do systemu NACS.
Główne bloki systemu to:
•
Baza danych (DB) działająca na usłudze bazodanowej MSSQL przechowujący konfigurację
systemu (listę urządzeń, użytkowników, stref, grup harmonogramów,...);
•
Serwer NACS (NACSServer) działająca jako usługa systemowa, łącząca się z bazą danych
oraz urządzeniami. Jeśli aktywny podejmuje decyzję dostępowe, aktualizuje konfiguracje
urządzeń;
•
Klient NACS (NACSClient) program służący do konfiguracji systemu, łączący się z bazą
danych, w której zapisuje zmiany wprowadzone przez uprzywilejowanego użytkownika.
Opcjonalnie może łączyć się z serwerem w celu odbierania informacji o zdarzeniach w
czasie rzeczywistym;
•
Podsieci urządzeń (NKP-2, UW-DNG) podłączonych do linii CAN2.0B połączonych z
serwerem przy pomocy konwerterów Ethernet <-> CAN2.0B (COTER-EC);
•
Urządzenia identyfikujące użytkownika: czytające karty/klawiatury podpięte do kontrolera
przejścia NKP-2 (np. UW-DAL). Kontroler przejścia zapewnia możliwość podpięcia do
dwóch urządzeń czytających karty, przy pomocy interfejsów RS-232, Wiegand, 1-WIRE.
Istnieje możliwość nieodpłatnego dostosowania systemu by wspierał urządzenia czytające karty
wskazane przez klienta, nie tylko z oferty firmy Netronix. Dzięki temu istnieje możliwość
aktualizacji systemu, przy zachowaniu niższych kosztów urządzeń kontrolnych (możliwość
pozostawienia zainstalowanych czytników).
Konfiguracja systemu NACS oparta jest na definicji obiektów takich jak: urządzenie, użytkownik
karta, strefa itd. które łączą się ze sobą tworząc pełna konfigurację systemu. Aktualny dostęp
danego użytkownika do danej strefy jest zależny w sposób pośredni poprzez powiązanie ze sobą
różnych obiektów. Umożliwia to nadzorcy systemu na elastyczne blokowanie lub zezwalanie na
dostęp do danej strefy/stref.
2 Uruchomienie systemu
W celu uruchomienia systemu należy posiadać dostęp do konta użytkownika bazy danych
MSSQL w wersji nie starszej niż 2005 (może być wykorzystana wersja EXPRESS). Użytkownik
powinien posiadać możliwość nawiązania połączenia z bazą danych przy pomocy uwierzytelniania
SQL, z uprawnieniami do tworzenia baz danych. Jeśli serwer lub aplikacja kliencka systemu NACS
ma pracować na innej maszynie niż baza SQL należy pamiętać o odpowiedniej konfiguracji serwera
w celu odblokowania możliwości nawiązania połączenia zdalnego.
2.1 Uruchomienie i konfiguracja serwera NACS
Instalator serwera NACS podczas instalacji, dodaje automatycznie uruchamianą usługę
serwera NACSService. Usługa ta kontroluje pracę serwera NACS uruchamiając ją w tle przy starcie
systemu. Jeśli instalator nie dodał tej usługi zalecane jest, aby usługa ta została dodana przy
pomocy instalatora InstallService umieszczonym w katalogu NACSSystem/bin/ w miejscu
docelowym instalacji systemu. Jest to szczególnie istotne podczas pracy systemu w trybie online by
zapewnić ciągłą pracę procesu serwera NACS w tle. Jeśli domyślnym trybem pracy systemu jest
tryb offline, wówczas serwer systemu może być uruchamiany ręcznie w celu aktualizacji
konfiguracji w urządzeniach wykonawczych systemu oraz odczytu zarejestrowanych zdarzeń w
zdefiniowanych urządzeniach master.
W momencie gdy instalacja serwera NACS zostanie poprawnie zakończona i gdy już posiadamy
dostęp do bazy danych za pośrednictwem połączenia SQL, uruchamiamy aplikacje
NACSServerMgr.
Jeśli aplikacja już jest aktywna powinna być ukryta w tray'u pulpitu systemu. By wyświetlić panel
konfiguracyjny serwera klikamy dwukrotnie lewym przyciskiem myszy na ikonkę programu
umieszczona w tray'u systemu lub prawym przyciskiem wybieramy z menu kontekstowego
Options.
Wyświetli nam się okno konfiguracyjne systemu. Program ten służy wyłącznie do sterowania pracą
serwera oraz do jego konfiguracji, dlatego nie jest wymagane, aby był uruchamiany przy każdym
starcie systemu. Autostart programu można wyłączyć w panelu General ustawień serwera.
Konfiguracja systemu NACS przechowywana jest w bazie danych SQL, do której musimy
4
serwerowi zapewnić dostęp. W tym celu przechodzimy do zakładki Database panelu ustawień
serwera, aby nadać poprawne parametry połączenia z bazą.
W przypadku gdy uruchamiamy system po raz pierwszy należy utworzyć odpowiednią strukturę
bazy danych wymaganą do pracy systemu NACS. W tym celu w panelu Database klikamy na
przycisk Create new database. Program rozpocznie procedurę tworzenia bazy danych o
wprowadzonej nazwie, zakładając wymagane tabele oraz procedury składowane. W momencie
poprawnego zakończenia tego procesu pojawi się stosowna informacja.
Jeśli odpowiednia baza danych została utworzona wcześniej w celu upewnienia się, że wskazane
parametry połączenia są poprawne wystarczy przycisnąć przycisk Check connection. Program
zweryfikuje czy połączenie może zostać nawiązane oraz czy struktura bazy danych jest zgodna z
oczekiwaną. W momencie gdy baza danych została już utworzona, jeśli istnieje potrzeba
zachowania maksymalnego poziomu bezpieczeństwa, można ograniczyć prawa dostępu
użytkownika do wywoływania wyłącznie procedur składowanych.
Kolejną czynnością jaką należy dokonać to ustawienie parametrów sieciowych serwera NACS. W
tym celu w panelu ustawień serwera przechodzimy do zakładki Connection.
6
Parametry Port oraz Max. connection count określają port nasłuchujący, na którym serwer NACS
będzie oczekiwał na nadchodzące połączenia przychodzące od klientów systemu oraz maksymalną
liczbę połączeń jaka jednocześnie może zostać nawiązana. Połączenie klient serwer w systemie
wykorzystywane jest w celu natychmiastowego zgłaszania informacji o zaistniałych zdarzeniach.
Nie istnieje konieczność by aplikacja kliencka posiadała bezpośrednie połączenie z serwerem.
Służy ono wyłącznie zmniejszeniu ruchu pomiędzy serwerem SQL oraz aplikacją kliencką systemu.
Połączenie te jest nadmiarowe i nie jest wymagane do poprawnej pracy systemu. Wszystkie
operacje systemu zostaną odnotowane w bazie danych, które następnie można sprawdzić w panelu
historii aplikacji klienckiej.
Maszyna, na której serwer został zainstalowany może być podłączona do wielu sieci. W celu
utrudnienia bezpośredniego dostępu osoby/aplikacji niepowołanej do urządzeń systemu NACS
zalecane jest by urządzenia sieciowe systemu były wpięte w odseparowaną podsieć od sieci
zewnętrznej. Zaletą takiego rozwiązania jest zmniejszenie czasu reakcji systemu na skutek
zmniejszenia obciążenia sieci przez urządzenia niezwiązane z kontrolą dostępu. Z drugiej strony
pożądane jest by zapewnić zdalny dostęp do systemu NACS. Wymagane jest w tym celu dodanie
drugiego połączenia sieciowego, z dostępem do sieci zewnętrznej. Aby udostępnić połączenia
klientom NACS z serwerem poprzez wybraną kartę sieciową z listy zainstalowanych, należy w
kolumnie Accessible by NACS clients pozostawić zaznaczoną flagę.
Dodatkową funkcją serwera jest automatyczne wyszukiwanie urządzeń sieciowych należących do
systemu w podsieciach. Serwer cyklicznie wysyła komunikaty rozgłoszeniowe w sieciach
zaznaczonych w kolumnie Accessible by devices oczekując na odpowiedzi od podłączonych
urządzeń. Na podstawie zwracanych komunikatów serwer rozpoznaje typ urządzenia jednocześnie
dodając urządzenie do listy urządzeń wykrytych. Wykryte urządzenie można będzie później w
wygodny sposób podpiąć do systemu podczas jego konfiguracji z poziomu aplikacji klienckiej. W
przypadku, gdy sieć urządzeń jest odseparowana tak jak to było wspomniane wcześniej, nie ma
potrzeby by wyszukiwać urządzeń w innych podsieciach, dlatego też niepotrzebne urządzenia w
kolumnie Accessible by devices należy odznaczyć.
Jeśli serwer został zainstalowany jako usługa pracująca w tle akceptacja wprowadzonych ustawień
spowoduje zresetowanie usługi w celu ponownego uruchomienia z nowymi ustawieniami. Jeśli
usługa systemowa nie została zainstalowana, serwer należy uruchomić ręcznie z katalogu, do
którego program został zainstalowany.
2.2 Uruchamianie klienta NACS
Jak do tej pory dokonywaliśmy wyłącznie konfiguracji interfejsów samego serwera bez
zagłębiania się w konfigurację systemu, którą dokonuje się przy pomocy aplikacji klienckiej. Klient
systemu NACS w celu poprawnej pracy musi posiadać aktywne połączenie z bazą danych.
Połączenie z serwerem jest drugorzędne dla samej konfiguracji systemu. Wszystkie operacje
wykonane z poziomu klienta jak i te wykonane przez serwer rejestrowane są w bazie danych. Jeśli
program jest uruchamiany po raz pierwszy pojawi się okno konfiguracji połączenia z bazą.
Po poprawnym wprowadzeniu parametrów połączenia pojawi się kolejne okno logowania do
systemu. Jeśli jednak na ekranie ukaże się komunikat o niepowodzeniu połączenia, należy
sprawdzić czy dane zostały poprawnie wprowadzone lub czy konfiguracja serwera SQL zezwala na
takie połączenie.
W momencie tworzenia bazy danych systemu NACS, tworzony jest pierwszy domyślny
użytkownik o loginie „admin” oraz pustym haśle. Wprowadzamy więc nazwę użytkownika i
klikamy przycisk OK.
8
Po pomyślnym zalogowaniu do systemu pojawi się okno aplikacji klienckiej systemu, za pomocą
której możemy przystąpić do konfiguracji systemu.
Jeśli port oczekujący na połączenia przychodzące od programu NACSClients został
zmodyfikowany na etapie konfiguracji serwera lub serwer został zainstalowany na innej maszynie,
należy zmodyfikować parametry połączenia klienta z serwerem. W tym celu należy otworzyć
ustawienia programu poprzez Tools → Options. W zakładce General w obszarze Server należy
wprowadzić odpowiednie dane.
10
Jeśli wprowadzone dane będą poprawne i serwer pracuje, aplikacja kliencka nawiąże połączenie z
serwerem NACS.
2.3 Przygotowanie konwertera COTER-EC do pracy z systemem NACS
Konwertery przed dodaniem do systemu należy wstępnie skonfigurować aby urządzenia
posiadały unikalne stałe adresy IP. Jeśli jednak konwertery pracować będą w wydzielonej sieci
Ethernetowej z aktywnym serwerem DHCP, który będzie przydzielał konwerterom te same adresy
IP na podstawie ich unikalnych adresów MAC, wówczas konfigurację urządzeń COTER-EC można
pominąć.
W konfiguracji domyślnej urządzenia posiadają ustawienia sieciowe:
– Nazwa hosta – COTER-EC-V1;
– DHCP – aktywne;
– IP adres – 10.0.0.205;
– Bramka 10.0.0.1;
– Maska podsieci – 255.255.255.0;
– DNS – 10.0.0.1.
W przypadku gdy konfiguracja urządzenia nie jest znana lub uniemożliwia uzyskanie połączenia z
urządzeniem, należy przywrócić urządzenie do ustawień fabrycznych przy pomocy przycisku
resetu. W tym celu należy przytrzymać przycisk przez około 5 sekund, aż do momentu zaświecenia
się czerwonej diody.
W przypadku podłączenia urządzeń do sieci, w której aktywny jest serwer DHCP oraz urządzenia
korzystają z klienta DHCP (domyślnie), adres IP przypisany przez serwer urządzeniu można
zweryfikować przy pomocy programu NACSClient w panelu zarządzania urządzeniami lub
oprogramowania Discoverer. Konwerter posiada mechanizmy wykrywania urządzeń w sieci
lokalnej. Mechanizm ten obsługiwany jest przez NACSSerwer i jest on wykorzystywany podczas
dodawania urządzeń sieciowych do systemu.
12
Serwer aktualnie wykrytą listę urządzeń zapisuje w bazie danych więc nie istnieje konieczność
bezpośredniego połączenia się stacji roboczej, na której pracuje aplikacja kliencka z podsiecią, do
której podpięte są urządzenia.
W celu zmiany ustawień sieciowych konwertera, należy w przeglądarce internetowej wprowadzić
adres IP urządzenia. Jeśli adres został wprowadzony poprawnie w oknie przeglądarki ukaże się
strona domowa.
By zmienić parametry sieciowe urządzenia należy zalogować się do panelu kontrolnego. W prawym
górnym rogu umieszczony jest link do strony logowania do panelu administracyjnego. Parametry
domyślne logowania to użytkownik „admin” oraz hasło „1234”. Po poprawnym zalogowaniu
przeglądarka zostanie przekierowana do strony powitalnej panelu zarządzającego.
Wybierając z lewej strony okna zakładkę Network należy przejść do konfiguracji ustawień
sieciowych urządzenia aby dopasować je do wymagań sieci, w której urządzenie będzie
zainstalowane. Pomimo iż urządzenie wspiera protokół DHCP to zalecane jest ze względu na
system NACS wyłączenie automatycznego uzyskiwania parametrów sieciowych na rzecz stałych
ustawień. Pozwoli to uniknąć w przyszłości zmian adresów urządzeń w sieci jeśli warunki
przyznawania adresów IP przez serwer DHCP ulegną zmianie. System NACS wymaga by adresy IP
14
urządzeń sieciowych były niezmienne.
Pozostałe parametry mogą pozostać niezmienione w stosunku do domyślnych. Zalecane jest jednak
zmodyfikowanie parametrów bezpieczeństwa w zakładce Security. Po dokonaniu modyfikacji
ustawień należy dokonać resetu konwertera poprzez zakładkę Reboot lub wyłączenie a następnie
włączenie zasilania.
3 Budowa i zasada działania systemu
System bazuje na obiektach wzajemnie zależnych od siebie. To przypisane zależności
pomiędzy poszczególnymi obiektami różnych typów stanowią o konfiguracji systemu oraz
aktualnym dostępie do poszczególnych stref. W kolejnych podrozdziałach obiekty te zostaną
wymienione, opisane ich role w pracy systemu oraz relacje jakie tworzą z innymi typami obiektów.
Wybrany obiekt/grupę obiektów można wyłączyć tymczasowo z procesu kontroli dostępu poprzez
zmianę jego statusu na Inactive.
3.1 Obiekty systemu
3.1.1
Urządzenia
Urządzenia są obiektami z warstwy fizycznej systemu. Obiekty te opisują urządzenia
dodane do systemu. W aktualnej wersji systemu rozpoznajemy dwa rodzaje urządzeń: konwertery
TCP/IP ↔ CAN (COTER-EC) oraz urządzenia kontroli dostępu z interfejsem CAN. Konwertery są
elementami łączącymi podsieci czytników podpiętych do magistrali CAN. Urządzenia kontroli
dostępu są elementami wykonawczymi systemu. Mają za zadanie odczytać przyłożoną kartę oraz
stany portów wejściowych i zwrócić informację o zaistniałym zdarzeniu do serwera (tryb online)
lub do urządzenia master (tryb offline). Jednostka nadrzędna (w zależności od aktualnego trybu
pracy) podejmuję decyzję jak zdarzenie te ma zostać obsłużone i jeśli to konieczne wysyła rozkaz
wykonania akcji do reszty urządzeń przypisanych w konfiguracji system do tego samego przejścia.
Urządzenie wykonawcze po odebraniu komendy może ustawić stan odpowiedniego portu
wyjściowego, w zależności od konfiguracji przypisanej do tego urządzenia.
Aktualna wersja systemu wspiera dwa typy urządzeń wykonawczych:
•
UW-DNG – czytniki transponderów na 125KHz. Czytnik UW-DNG jest urządzeniem
łączącym możliwości kontrolera przejścia z czytnikiem kart kart zbliżeniowych. Urządzenie
posiada własną pamięć i jest w stanie kontrolować przejście jedno lub dwukierunkowo. W
przypadku przejścia dwukierunkowego w konfiguracji systemu do przejścia należy
przypisać dwa czytniki UW-DNG. Podczas pracy w trybie offline tylko jedno z urządzeń
będzie pełniło rolę urządzenia master i będzie decydowało czy otworzyć drzwi lub nie;
•
NKP-2 – kontroler przejścia dwukierunkowego. Urządzenie wymaga podłączenia czytnika
kart zbliżeniowych lub klawiatury po jednej lub obu stronach przejścia w zależności od
wymagań instalacji. Kontroler cechuje się większym stopniem bezpieczeństwa, gdyż jest
elementem sterującym, odseparowanym od urządzeń wystawionych na kontakt bezpośredni
z potencjalnym zagrożeniem. Umożliwia zastosowanie czytników oraz klawiatur różnych
producentów.
3.1.2
Konfiguracje urządzeń
Konfiguracja stanowi informację o zachowaniu urządzenia w określonych warunkach.
Określa np. kierunek pracy portów I/O lub jakie porty maja reagować na określone zdarzenia.
Warunkiem koniecznym dodania, jakiegokolwiek urządzenia do systemu jest przypisanie mu
konfiguracji.
Obiekt konfiguracji może być przypisany do więcej niż jednego urządzenia, więc instalacja
urządzeń, które mają posiadać identyczne ustawienia nie wymaga ponownego definiowania
konfiguracji. Również zmiana konfiguracji w każdym momencie, odniesie skutek, dla każdego
urządzenia, które posiada przypisanie do tej konfiguracji.
Jeśli podczas tworzenia urządzenia nie istnieje jeszcze w systemie dodana konfiguracja zgodna z
typem dodawanego urządzenia wówczas aplikacja zarządzająca NACSClient wymusi utworzenie
takiej konfiguracji. Ponieważ urządzenie nie może istnieć bez przypisanej konfiguracji, podczas
usuwania z systemu konfiguracji, która jest już przypisana do co najmniej jednego urządzenia
spotkamy się z odmową wykonania operacji przez system.
16
3.1.3
Strefy
Strefy są obiektami opisującymi wydzielony obszar, do którego dostęp chcemy kontrolować
za pomocą systemu. W systemie można odnotować czy dana strefa jest publiczna. Publiczność
strefy oznacza, że jest to obszar graniczny, otaczający kontrolowany przez system obiekt. Strefa
taka stanowi punkt wejściowy do chronionego obiektu.
Wskazane jest aby zadeklarowana strefa publiczna była tylko jedna. Nie jest to jednak obowiązek
lecz sugestia, która ułatwia strukturyzowanie się przechodzenia pomiędzy strefami w graficzną
reprezentację drzewa.
3.1.4
Strefa APB
Strefy APB są obiektami pomocniczymi pozwalającymi definiować reguły antipassback.
Obiekty tego typu są warstwą abstrakcyjną opisaną na strefach dalej zwanych jako podstrefy.
Reguły antipassback pozwalają zabezpieczyć system przed wielokrotnym stosowaniem kart o tym
samym RFID, w celu uzyskania dostępu do podstref przypisanych do strefy APB, bez
potwierdzenia opuszczenia tych stref. Warunkiem koniecznym poprawnej pracy Strefy APB jest
praca systemu w trybie online oraz zdefiniowanie podstref, do których wejście jak i opuszczenie
wymaga użycia karty przez użytkownika. Strefa APB nakłada na użytkownika konieczność
przyłożenia karty do czytnika zarówno podczas wchodzenia jak i opuszczania podstrefy. Jeśli
użytkownik nie przyłoży karty do czytnika informując o opuszczenia strefy wówczas podczas
kolejnej próby wejścia do strefy dostęp zostanie odmówiony. Dzięki takiemu zachowaniu system
pozwala wykryć i eliminować możliwość skopiowania kart i użycie ich w tym samym czasie co
prawowity właściciel. Zastosowany mechanizm pozwala również zdyscyplinować użytkowników
systemu do używania kart zbliżeniowych zarówno podczas wchodzenia jak i opuszczania
monitorowanych stref, w których obecność jest podstawą do naliczania czasu pracy.
W przypadku złamania reguły APB dostęp do stref może zostać odblokowany automatycznie po
upływie określonego czasu lub poprzez managera systemu przy pomocy aplikacji klienckiej
służącej do konfiguracji.
Strefa APB ma możliwość zdefiniowania maksymalnej liczby użytkowników mogących przebywać
na terenie jej obszaru. Dzięki temu istnieje możliwość dodatkowego ograniczenia dostępu do stref
w przypadku, gdy np. obszar lub specyfika pomieszczenia tego wymaga.
Do stref APB może należeć jedna lub wiele podstref wcześniej zdefiniowanych. Strefy te nie muszą
ze sobą sąsiadować tworząc spójny obszar.
3.1.5
Przejścia
Przejścia stanowią obiekt łączący dwie strefy. W najprostszym tego słowa znaczeniu mogą
być to drzwi, różnego rodzaju kołowroty czy bramy. Kontrola nad przejściem stanowi istotę
kontroli dostępu podczas poruszania się pomiędzy strefami. Do zdefiniowania przejścia należy
wskazać strefy, pomiędzy którymi dane przejście jest umieszczone. Następnie należy wskazać
urządzenia, które będą kontrolować dane przejście. Podczas tworzenia relacji urządzenia z
przejściem należy wskazać również, do której z dwóch uprzednio wskazanych stref zapewnia nam
dostęp dany czytnik. Dzięki temu system jest w stanie rozpoznać, do której strefy aktualnie
użytkownik próbuje się dostać przykładając kartę do jednego z przypisanych urządzeń. Jeśli np.
dostęp ma być chroniony dwukierunkowo przy drzwiach po obu stronach należy zainstalować po co
najmniej jednym czytniku a następnie dodać je do przejścia. Urządzenie przypisane do przejścia nie
musi znajdować się w bezpośredniej bliskości z chronionym przejściem. Załóżmy, że dodatkowo
przejście kontroluje strażnik, który obserwuje osoby chcące dostać się do chronionej strefy, jednak
osoba ta nie posiada przypisanego prawa dostępu. Strażnik mógłby w takim przypadku mieć na
biurku czytnik przypisany do obserwowanego przejścia i chcąc otworzyć drzwi ze swojego
stanowiska, mógłby przyłożyć swoją kartę a drzwi zostały by otworzone przez system.
W deklaracji urządzeń przypisanych do przejść mamy możliwość ustawienia urządzenia jako
urządzenie master dla danego przejścia. Oznacza to, że podczas odczytu karty użytkownika i
przyznaniu mu dostępu, informacja ta wysyłana jest przez serwer do czytnika, który odczytał daną
kartę oraz do urządzenia master. W sytuacji gdy przejście jest dwukierunkowe (czytniki po obu
stronach drzwi), kontrolę nad ryglem kołowrotem może sprawować tylko jedno z urządzeń tzw.
urządzenie master. W przypadku realizacji przejścia dwukierunkowego na urządzeniach UW-DNG,
gdy istnieje ryzyko, że osoba ze strefy mniej chronionej mogłaby chcieć w inny sposób przejąć
kontrolę nad ryglem np. próbując odkręcić czytnik, urządzeniem master, do którego podpięty jest
rygiel powinien być czytnik znajdujący się w strefie o wyższej ochronie. System do urządzenia
master jeśli te akurat nie odczytało karty powodującej akcję otwarcia drzwi, wysyła polecenie
cichego otwarcia drzwi, aby osoby znajdujące się po stronie urządzenia master nie były
niepokojone przy każdorazowym wejściu użytkownika. Urządzeń master nie może być więcej niż
jedno na dane przejście. Urządzenia master stanowią również specjalna funkcję w przypadku
nieaktywności serwera systemu (trybu offline). Jeśli przez około 25 sekund urządzenie master
wykryje brak aktywności serwera, wówczas do czasu ponownego nawiązania połączenia urządzenie
to przejmuję kontrolę nad przejściem, oczekując na komunikaty pochodzące od innych urządzeń
przypisanych do tego przejścia. Kopia konfiguracji systemu wydzielona dla danego przejścia
zostanie automatycznie przeniesiona do pamięci urządzenia master na wypadek awarii połączenia
lub umyślnego wyłączenia serwera przez administratora.
Podczas tworzenia instalacji należy pamiętać, że dla zapewnienia poprawnej pracy w trybie offline
należy zapewnić urządzeniom przypisanym do tego samego przejścia połączenie z urządzeniem
pełniącym funkcje master. W tym celu należy połączyć urządzenia do tej samej podsieci CAN.
3.1.6
Karty
Identyfikacja użytkownika odbywa się na podstawie numeru identyfikacyjnego karty
zbliżeniowej przyłożonej do czytnika. Typ kart obsługiwanych przez system jest zależny od typu
zastosowanego czytnika, w przypadku systemu opartego na NKP-2. Maksymalny rozmiar RFID
kart nie powinien jednak przekraczać 20 bajtów. W przypadku UW-DNG są to karty typu UNIQUE,
Q5, HID oraz HITAG. W przypadku stosowania kart typu Q5 należy pamiętać, że każda z
zarejestrowanych kart powinna posiadać unikalny numer RFID. Karta może zostać przypisana
jednocześnie tylko do jednego użytkownika.
3.1.7
Użytkownicy
Obiekt użytkownika opisuję osobę zarejestrowaną w systemie. Poza typowymi danymi
personalnymi jak imię, nazwisko, dane kontaktowe można przypisać zdjęcia użytkownika w celu
identyfikacji przez strażnika, czy osoba posługująca się odczytaną kartą zgadza się z osobą
zarejestrowaną w systemie.
Użytkownicy mogą posiadać dodatkowe przywileje, nadające im możliwość konfigurowania
18
systemu w określonym zakresie. Aby użytkownik mógł wykorzystywać przypisane mu przywileje
należy przypisać mu unikalny login dla systemu oraz hasło, które musi podać podczas etapu
logowania.
Przywilej Installer nadaje użytkownikowi prawa ingerencji w strukturę urządzeń, czyli dodawania
bądź usuwania, tworzenia stref oraz przejść pomiędzy nimi. Instalator posiada prawa niezbędne do
utworzenia lub zmiany struktury opisującej fizyczny podział obiektu monitorowanego na strefy
wraz z przypisaniem im urządzeń.
Przywilej Manager nadaje użytkownikowi prawa do zarządzania dostępem do stref, tworzenie
nowych użytkowników, dodawanie kart, tworzenie harmonogramów oraz grup.
Przywilej Admin posiada prawa, które posiada użytkownik Manager oraz Installer łącznie. Ponadto
jako jedyny może nadać przywileje innemu użytkownikowi.
Pozostali użytkownicy nie posiadający przypisanych przywilejów posiadają jedynie określone przez
inne obiekty prawa dostępu do stref i nie maja możliwości logowania oraz ingerencji w
konfigurację systemu.
Jak już wcześniej wspomniano karta może być przypisana tylko do jednego użytkownika, jednak
użytkownik może posiadać więcej niż jedną przypisaną kartę. W przypadku zgubienia lub
zapomnienia karty przez użytkownika, można mu wydać nową bez konieczności usuwania starej
karty. Na czas dochodzenia czy stara karta została zagubiona należy ją dezaktywować.
Użytkownikowi można przypisać przynależność do jednej lub wielu grup.
3.1.8
Harmonogramy
Harmonogramy są obiektami określającymi ramy czasowe, w których zapewniony jest
dostęp do strefy. Ramy czasowe aktywności harmonogramu określa się za pomocą godziny
początkowej oraz końcowej dnia tygodnia lub konkretnej daty.
Jeśli flaga Inverted harmonogramu jest aktywna, harmonogram jest aktywny zawsze, poza czasem
zawierającym się w ramach czasowych dodanych do harmonogramu.
Harmonogramy można stosować łącznie. Załóżmy, że stworzyliśmy harmonogram, który nazywa
się „Dni robocze” w celu zapewnienia użytkownikom dostęp do strefy w dni od poniedziałku do
piątku w godzinach 6:00 – 18:00. Jednocześnie mamy już harmonogram „Soboty”, który jest
aktywny w soboty od godziny 8:00 do 14:00. Złączenie tych harmonogramów dawało by
użytkownikom dostęp do strefy według logicznej operacji OR, czyli od poniedziałku do piątku w
godzinach 6:00 – 18:00 oraz soboty 8:00 – 14:00.
Istnieje również negatywny typ harmonogramu. W przypadku łączenia ze sobą harmonogramów
posiada on charakter blokujący. W momencie, gdy harmonogram jest aktywny dostęp jest
zablokowany niezależnie czy jeden bądź więcej z harmonogramów jest aktywny i powinien
zapewniać dostęp do strefy. Przykładem mógłby być harmonogram o nazwie „Święta”, w który
aktywny by był od godziny 0:00:00 do 23:59:59 w każdym dniu świątecznym o wskazanej dacie.
Złączenie harmonogramów „Dni robocze” oraz „Soboty” z negatywnym harmonogramem „Święta”
skutkowałoby zablokowaniem dostępu do stref w dni świąteczne, pomimo że pozostałe dwa
harmonogramy byłyby aktywne. W przypadku łączenia harmonogramów negatywnych stosuje się
logiczną operację AND z negacją harmonogramu negatywnego.
3.1.9
Grupy
Grupy są obiektami spinającymi ze sobą obiekty typu użytkownik, strefa oraz
harmonogram. Złączenie tych obiektów definiuję dostęp użytkownika do danej strefy w danym
momencie.
Jak nazwa wskazuje grupa może zawierać jednego lub więcej użytkowników, którzy posiadają
dostęp do stref, które zostały przypisane do tej grupy, w czasie wskazywanym przez przypisane
harmonogramy. Jeśli do grupy przypisano więcej niż jeden harmonogram, wówczas mowa jest o
złączeniu harmonogramów jak to zostało opisane w poprzednim podrozdziale.
3.2 Algorytm wyznaczania dostępu użytkownika do strefy
Rozpatrywanie czy należy zezwolić użytkownikowi na dostęp do strefy w momencie
przyłożenia karty przebiega wieloetapowo. W pierwszym etapie serwer odbiera informację o
odczycie karty o danym typie i numerze RFID od czytnika zarejestrowanego w systemie o
określonym numerze seryjnym. Na podstawie numeru seryjnego czytnika serwer interpretuje, do
której strefy posiadacz karty chce uzyskać dostęp. W tym celu czytnik powinien być przypisany do
przejścia ze wskazaniem, do której strefy zapewnia dostęp. Posiadacza karty identyfikuje się
poprzez powiązanie karty z użytkownikiem. Ponieważ użytkownik może być przypisany do wielu
grup więc, spośród tych grup wybierane są tylko te posiadające dostęp do wskazywanej przez
czytnik strefy. Następnie dla każdej z tych grup weryfikowane są przypisane harmonogramy. Z
wybranej listy brane są pod uwagę tylko te grupy, dla których złączenie harmonogramów jest
aktywne w danej chwili. Jeśli przynajmniej jedna z grup do której jest przypisany użytkownik
posiada aktywny dostęp w tej chwili do wskazywanej strefy to dostęp zostaje zapewniony a zamek
drzwi otworzony.
W przypadku pracy w trybie offline decyzję o przyznaniu dostępu użytkownikowi podejmuje
urządzenie master przypisane do przejścia, przez które użytkownik zamierza przejść. Urządzenie
master posiada kopię konfiguracji serwera, ograniczoną wyłącznie do niezbędnych informacji
koniecznych do otworzenia przejścia, nad którym sprawuje kontrolę.
Każdy z obiektów może zostać dezaktywowany przez użytkownika z przypisanymi odpowiednimi
przywilejami, przez co taki obiekt nie jest brany pod uwagę w obliczeniach dostępu do strefy w
danej chwili.
4 Konfiguracja systemu NACS
4.1 Budowa programu zarządzającego NACSClient
Aplikacja kliencka systemu NACS jest programem zarządzającym pracą systemu. Przy
pomocy tego programu dokonujemy modyfikacji wpisów w bazie danych, na podstawie których
serwer podejmuję decyzje. Okno programu podzielone jest logicznie na kilka podstawowych paneli.
20
Panel Options znajdujący się w lewym dolnym rogu okna pozwala przełączać się pomiędzy
widokami obiektów.
Panel Object filters znajdujący się w lewym górnym rogu pozwala filtrować listę obiektów
zarejestrowanych w systemie na podstawie parametrów charakterystycznych dla danego typu
obiektu.
Panel Object view znajdujący się w centralnej części programu, jest listą obiektów danego typu
zarejestrowanych w systemie, które są zgodne z wprowadzonymi parametrami filtrowania w panelu
Object filters.
Panel Object preview znajdujący się z prawej strony okna programu, jest szybkim podglądem
szczegółowych parametrów zaznaczonego w panelu Object view obiektu.
Panel Outputs znajdujący się w dolnej części programu. Panel ten ma za zadanie wyświetlać
informację o aktualnych zdarzeniach, które miały miejsce podczas pracy serwera NACS.
Wymagane jest wówczas aktywne bezpośrednie połączenia programu klienckiego z serwerem.
Status tego połączenia widoczny jest w prawym dolnym rogu programu. W panelu tym widnieją
dwie zakładki: Messages oraz Activities. W zakładce Messages serwer zwraca informację o
zmianach stanu sieci urządzeń np. połączeń serwera z urządzeniami lub zmiana struktury sieci
(czytnik przepięty został do innej podsieci CAN). W zakładce Activities znajdują się aktualne
informację na temat zdarzeń wywołanych przez użytkowników systemu, takie jak odczyt karty,
przyznanie dostępu czy zmiana stanu portu urządzenia.
4.2 Zarządzanie urządzeniami
Jak już wcześniej wspomniano przez system używane są dwa typy urządzeń. Konwertery
łączące sieć Ethernet z siecią CAN, do której z kolei są podłączone urządzenia kontrolne.
Urządzenia do systemu można dodać spośród listy urządzeń wykrytych przez serwer systemu. W
celu wykrycia urządzeń sieciowych serwer wykorzystuje moduł wykrywania urządzeń w sieci
lokalnej, który został pokrótce wspomniany w rozdziale o konfiguracji konwerterów. Widok
urządzeń Devices view zapewnia wszystkie niezbędne opcje służące do zarządzania urządzeniami.
W widoku tym poza zakładką Registered objects będącej listą zarejestrowanych urządzeń w
systemie znajduje się zakładka Structure, będąca odzwierciedleniem fizycznej struktury połączeń
urządzeń między sobą.
Struktura ta ma formę drzewa, w której znajdują się dwie główne gałęzie. W gałęzi Not registered
22
devices znajdują się urządzenia wykryte przez system ale jeszcze nie dodane do systemu. W
pierwszym etapie dodawania urządzeń, jedyne urządzenia jakie mogą zostać wykryte są
konwertery. Lista wykrytych konwerterów umieszczona jest w poddrzewie urządzeń sieciowych.
Urządzenia podłączone do magistrali CAN, mogą być wykrywane tylko poprzez zarejestrowany
konwerter, z którym serwer poprawnie nawiązał połączenie. Pomimo że do podsieci CAN, do
których podłączone są konwertery zainstalowane są inne urządzenia, to nie zostaną one wykryte do
momentu zarejestrowania konwerterów w systemie.
W celu dodania konwertera do systemu należy z paska narzędzi kliknąć przycisk Add new. Zostanie
wyświetlona lista urządzeń wykrytych przez system jeszcze nie zarejestrowanych, z których należy
wybrać te pożądane do rejestracji. Następnie kliknąć OK wówczas na ekranie zostanie wyświetlone
okno edycji obiektu urządzenia.
Urządzenie może być dodane również poprzez menu kontekstowe dla urządzeń
niezarejestrowanych, znajdujących się w drzewie struktury urządzeń, wybierając opcje Add this
device. Po wykonaniu jednej z wymienionych czynności na ekranie zostanie wyświetlone okno
edycji urządzenia.
W zakładce General możemy zdefiniować nazwę urządzenia oraz opis. W przypadku gdy
konwerter posiada port konwersji TCP/CAN ustawiony na inny niż standardowy wówczas podczas
edycji należy go zmodyfikować w zakładce Configuration w obszarze Configuration. Adres IP
ustalany jest przez serwer na etapie wykrywania urządzenia nie jest modyfikowalny.
W zakładce Configuration należy wybrać z listy pożądaną konfiguracje jaką serwer ma nadać
urządzeniu w chwili nawiązania połączenia. Ze względu na wprowadzone ograniczenia liczba opcji
konfiguracji konwertera jest mała pozwalająca jedynie na zmianę czasu oczekiwania na odpowiedź
konwertera. Zalecane jest więc w przypadku konwertera pozostawienie konfiguracji domyślnej,
utworzonej podczas tworzenia bazy.
24
Od momentu gdy konwerter zostanie dodany do systemu, serwer jest w stanie połączyć się z
urządzeniami podłączonymi na magistrali CAN z podsieci znajdującej się za konwerterem.
Maksymalnie w przeciągu minuty serwer odświeży listę urządzeń, z którymi ma nawiązać
połączenie. W drzewie urządzeń w podgałęzi CAN devices urządzeń niezarejestrowanych pojawią
się czytniki, które zostały podłączone do magistrali.
Urządzenia podłączone do magistrali CAN dodaje się w analogiczny sposób jak to zostało opisane
w przypadku konwerterów. Istnieją jednak różnice na, które należy zwrócić uwagę. W przypadku
konwerterów pole zmiany statusu jest nieaktywne. Wynika to z faktu, iż konwerter zawsze
powinien być aktywny aby połączenie z urządzeniami podpiętymi do magistrali CAN było
możliwe. Urządzenia kontrolne ze względu na połączenie poprzez konwerter posiadają nieaktywne
pola związane z parametrami komunikacji. Posiadają natomiast dodatkowe pola związane z podurządzeniami służącymi do odczytu kart. W przypadku NKP-2 możliwe jest ustawienie
maksymalnie do dwóch urządzeń czytających karty. W zależności od wyboru dokonanego z listy
pod-urządzeń, NKP-2 będzie posługiwać się adekwatnym dla danego typu interfejsem
komunikacyjnym by odczytywać dane wysyłane przy odczycie karty przez podpięty czytnik.
26
Gdy proces dodawania urządzenia zostanie zakończony dodawane NKP-2 zostanie przeniesione do
gałęzi urządzeń zarejestrowanych. Urządzenie dostępne jest poprzez konwerter Coter on level 1
zostanie ono więc przypięte w drzewie do tego właśnie konwertera. Natomiast poprawnie wybrane
pod-urządzenia będą widoczne w pod-gałęzi odchodzącej od dodanego NKP-2. Czas reakcji
serwera na zmiany konfiguracji sprzętowej nie powinien przekraczać 1 minuty.
W przypadku gdy serwer straci połączenie z urządzeniem, wówczas urządzenie zostanie
przeniesione do podgałęzi Registered devices\CAN devices z adnotacją poprzez jaki konwerter
serwer mógł wcześniej uzyskać do niego dostęp.
Gdy system jest rozległy problematyczne jest jednoczesne instalowanie czytników i nadawanie im
28
nazw odzwierciedlających ich lokalizację. Dlatego też istnieje konieczność późniejszej weryfikacji,
które urządzenie w jakim miejscu zostało zainstalowane. W tym celu można wykorzystać dowolną
kartę o znanym numerze RFID. Numer ten należy wprowadzić w polu nad drzewem struktury
urządzeń oraz zaznaczyć flagę Enable device recognition. Każdy odczyt karty o wprowadzonym
numerze RFID będzie powodował wskazanie urządzenia, które odczytało tą kartę. Edytując
ustawienia wskazanego urządzenia można nadać mu nazwę specyficzną dla miejsca instalacji lub
pełnionej roli. Warunkiem koniecznym jest posiadanie aktywnego połączenia programu
NACSClient z serwerem NACS.
W przypadku gdy numer karty, którą posiadamy do identyfikacji urządzenia nie jest nam jeszcze
znany można go określić posługując się już zainstalowanymi urządzeniami. W obszarze Output na
dole programu NACSClient należy przejść do zakładki Activities. W zakładce tej umieszczane są
bieżące informacje dotyczące aktywności użytkowników systemu jak również kart przez nich
posiadanych. Przyłożenie karty do dowolnego czytnika powinno spowodować wyświetlenie
informacji o przyłożeniu karty do danego urządzenia.
Przepisując numer karty zgłoszony w zakładce Activities w pole tekstowe znajdujące się powyżej
struktury urządzeń i jednocześnie aktywacja flagi Enable device recognition spowoduje, że
posiadana przez nas karta będzie mogła służyć jako identyfikator urządzeń w systemie.
Przykładając tą kartę do czytnika serwer prześle informację o tym zdarzeniu do programu
NACSClient, który w następstwie wskaże to urządzenie w strukturze urządzeń lub w tabeli
Registered objects w zależności od tego jaki widok jest przez nas pożądany.
4.3 Zarządzanie konfiguracjami urządzeń
Jak już można było spostrzec w poprzednim rozdziale możliwe jest dodawanie konfiguracji
urządzeń na etapie edycji ustawień obiektu urządzenia. Konfiguracja urządzenia została oddzielona
od obiektu urządzenia w celu umożliwienia modyfikacji ustawień dla wielu urządzeń jednocześnie.
W przypadku modyfikacji ustawień konfiguracji, modyfikacja ta zostanie automatycznie
zastosowana dla wszystkich urządzeń skojarzonych z tą konfiguracją.
30
W panelu zarządzania konfiguracjami urządzeń dostępna jest lista zarejestrowanych konfiguracji.
Konfiguracje jako jedyne obiekty systemu NACS nie posiadają statusu, ze względu na ich rolę jaką
pełnią. W stosunku do pozostałych obiektów nie określają w żaden sposób jak system ma
przyznawać dostęp do strzeżonych stref lecz wyznaczają jedynie jak urządzenia mają się
zachowywać w przypadku specyficznych sytuacji. W celu utworzenia unikalnej konfiguracji
różniącej się nieznacznie od pozostałych, dla jednego bądź więcej urządzeń istnieje możliwość
dokonania kopi konfiguracji w celu jej modyfikacji i przypisania do wybranych urządzeń. Można
tego dokonać wybierając konfigurację z listy istniejących a następnie przyciśnięcia przycisku Copy
z paska narzędzi.
4.3.1
Konfiguracja urządzeń typu COTER-EC
Konfiguracja konwerterów w aktualnej wersji oprogramowania pozwala zmodyfikować czas
odpowiedzi w trakcie, którego konwerter powinien udzielić odpowiedzi na zadaną komendę. W
przypadku gdy w połączeniu pomiędzy serwerem a konwerterem potrafią występować duże
opóźnienia zmiana czasu odpowiedzi konwertera może okazać się konieczna.
4.3.2
Konfiguracja kontrolera NKP-2
Kontroler NKP-2 jest kontrolerem przejścia z interfejsem CAN2.0B. Posiada możliwość
obsługi do dwóch urządzeń podpiętych do interfejsów RS-232, 1-Wire lub Wiegand. NKP-2
posiada możliwość sterowania 3 wyjściami o poziomach LVTTL na każdy z podpiętych czytników
w celu wyświetlania powiadomień użytkownikom. Jednocześnie na każdy z czytników przypada
jedno wejście umożliwiające podłączenie przycisku frontowego w które mogą być wyposażone
czytniki w celu zgłaszania komunikatów obsłudze systemu. Urządzenie wyposażone jest w 4MB
pamięci konfiguracji oraz zegar czasu rzeczywistego z podtrzymaniem bateryjnym. Urządzenie to
może pracować w trybie online jak i offline, w którym to zdarzenia będą zapisywane w pamięci
nieulotnej do bufora cyklicznego o rozmiarze 128kB.
Poza ustawieniami ogólnymi w konfiguracji kontrolera znajdują się dwie dodatkowe zakładki Ports
oraz Announcements.
Zakładka Announcements pozwala na zdefiniowanie sygnałów świetlno-dźwiękowych, które mają
być prezentowane użytkownikom systemu w celu poinformowania o zaistnieniu konkretnego
zdarzenia.
W polu Inform door state time w obszarze Times settings należy podać czas przez jaki urządzenia
mają komunikować o zdarzeniu niedomknięcia drzwi oraz sforsowaniu drzwi. Jest to maksymalny
czas trwania tego typu komunikatu i służy ograniczeniu jego trwania w przypadku uszkodzenia
czujnika otwarcia drzwi. Komunikaty te są automatycznie wyłączane w momencie wykrycia
32
zatrzaśnięcia drzwi. Czas Remote port delay jest czasem podtrzymania stanu aktywnego wyjścia
sygnału zdalnego od momentu otrzymania informacji o aktywacji wejścia zdalnego. Mechanizm
wyjścia i wejścia zdalnego jest mechanizmem przekazywania informacji z portu wejściowego
jednego urządzenia na port wyjściowy innego urządzenia. Zasada działania tego typu portów
zostanie opisana w dalszej części rozdziału.
Użytkownik może dostosować każdy z dostępnych komunikatów obsługiwanych przez czytnik. W
zależności od potrzeb komunikat może zostać wyłączony poprzez odznaczenie flagi Announcement
enabled. Zmienna Cycle duration określa czas trwania pojedynczego cyklu komunikatu t0...t15, w
których odpowiedni sygnał może być aktywny lub nie. Do komunikacji z użytkownikiem czytnik
wykorzystuje opisane jako LED x oraz Buzzer. Aktywacja flagi przy odpowiednim sygnale w danej
chwili czasowej t0...t15 w tabeli Paterns spowoduje, że sygnał zostanie na czas trwania danego
cyklu aktywowany. Dzięki temu można generować własne sygnały informujące o zdefiniowanym
przez siebie kształcie. Zdarzenia sforsowania drzwi oraz ich niedomknięcia są zdarzeniami
cyklicznymi trwającymi tyle czasu ile określono w Inform door state time jeśli więc czas trwania
komunikatu będzie większy niż łączny czas trwania wszystkich cykli t0...t15 wówczas komunikat
będzie znów nadawany od początku czyli cyklu t0 itd. Może się okazać, że w celu uzyskania
komunikatu o pożądanym kształcie będzie niemożliwe przy okresie trwania 16. Wówczas można
dokonać skrócenia okresu komunikatu do liczby cykli określonej przez parametr Cycle
announcement length. W tabeli poniżej zostaną opisane rodzaje komunikatów wspierane przez
system oraz krótkie opisy ich znaczenia.
Nazwa
zdarzenia
Opis
Device start
Komunikat wywoływany podczas uruchamiania czytnika. Np. przy starcie
zasilania lub resecie.
Card read1
Komunikat świadczący o poprawnym odczycie karty przez czytnik.
Jednocześnie czytnik wysyła informacje na magistralę CAN o odczycie karty z
przeczytanym numerem RFID.
Access granted
Komunikat świadczący o przyznaniu przez system dostępu do strefy.
Jednocześnie aktywowane są wszystkie wyjścia typu Open door lock.
Zdarzenie to może być podstawą do odnotowania, że użytkownik wszedł do
strefy w zależności od ustawień przejścia. Istotne dla funkcjonowania Stref
APB.
Access denied
Komunikat świadczący o braku przyznania dostępu do strefy.
Open door button Komunikat świadczący o aktywacji portu wejściowego odpowiadającego za
pressed1
wywołanie zdarzenia chęci otwarcia drzwi przy pomocy zdefiniowanego
przycisku. Jednocześnie czytnik wysyła na magistralę CAN informację o
zdarzeniu.
Service request Komunikat świadczący o aktywacji portu wejściowego służącego do wezwania
button pressed1
obsługi. Jednocześnie czytnik wysyła na magistralę CAN informację o
zdarzeniu.
Output overload
Komunikat świadczący o przeciążeniu portu wyjściowego.
Door forced
Komunikat świadczący o wykryciu nieautoryzowanego otwarcia drzwi.
Door not closed
Komunikat świadczący o niedomknięciu drzwi. Wywoływany jest przez
Nazwa
zdarzenia
Opis
czytnik jeśli drzwi po poprawnym otwarciu nie zostaną zamknięte w ciągu
zdefiniowanego w konfiguracji przejścia czasu.
Uwaga:
1 – Komunikat informuję o zaistnieniu zdarzenia i wysłaniu odpowiedniej informacji do urządzenia nadzorczego i trwa
nie dłużej niż to wynika z konfiguracji komunikatu. Jeśli efektem zdarzenia jest wywołanie innego zdarzenia, które
generuje swój komunikat, poprzedni komunikat może zostać zastąpiony. Np. jeśli na skutek aktywowania
zdefiniowanego przycisku otwierającego drzwi serwer wyślę komendę otwarcia drzwi do czytnika, to komunikat
otwarcia drzwi zastąpi komunikat aktywacji przycisku. W przypadku, gdy przejście nie obsługiwałoby otwarcia
drzwi przez przycisk, wówczas komunikat trwałby bez zmian.
Zakładka Ports pozwala na konfiguracje z osobna każdego portu urządzenia.
34
Lista portów została wymieniona w tabeli poniżej.
Nazwa portu
Możliwy
portu
kierunek Opis
Input 1
Wejście
Wejście dowolnego zastosowania. Sugerowane
zastosowanie np. do badania stanu przycisku
frontowego czytnika 1.
Input 2
Wejście
Wejście dowolnego zastosowania. Sugerowane
zastosowanie np. do badania stanu przycisku
frontowego czytnika 2.
Port I/O 1
Wejście/Wyjście
Port dowolnego zastosowania.
Port I/O 2
Wejście/Wyjście
Relay
Wyjście
Wyjście przekaźnika czytnika.
Kierunek pracy portów Port I/O w odróżnieniu od pozostałych może zostać zmieniony w
zależności od potrzeb. W zależności od ustawienia mogą one pełnić różne funkcje zdefiniowane w
systemie generując zdarzenia na rzecz przejścia, do których zostaną przypisane lub reagując
odpowiednio na zadane komendy wysyłane przez serwer/urządzenie master.
Wejścia
Pożądany typ wejścia czytnika można zmienić wybierając jedną z opcji z listy rozwijalnej
pola Input type. W zależności od wyboru typu danego wejścia na rzecz przejścia zostanie
wygenerowane odpowiadające temu typowi wejścia zdarzenie.
Urządzenia posiadają zdefiniowane następujące typy wejść.
Typ wejścia
Znaczenie
Conditional
Wejście zezwalające na wygenerowanie zdarzenia odczytu karty przez czytnik
access
control 1. Jeśli w konfiguracji indywidualnej urządzenia aktywna flaga Conditional
reader 1
card read enable przy pod-urządzeniu Subdevice number 1. Wówczas
aktywacja wejścia uruchomi zliczanie czasu podczas którego użytkownik
będzie mógł przyłożyć kartę w celu otworzenia przejścia. Typ wejścia
przydatny w momencie, gdy należy spełnić dodatkowe warunki wymagane
aby uzyskać dostęp do strzeżonej strefy np.: śluzy, bramki z wykrywaczami
metali, testery ESD. Odczyt karty zeruje czas (Hold-up conditional input state)
podtrzymania warunku odczytu karty, więc aby dokonać kolejną weryfikację
karty należy po raz kolejny spełnić test wymagany do uzyskania dostępu do
strefy.
36
Conditional
Podobnie jak w przypadku typu wejścia powyżej. Typ wejścia skorelowany z
access
control pod-urządzeniem Subdevice number 2.
reader 2
Open door button Aktywacja tego portu skutkuje wysłaniem do serwera informacji o chęci
otworzenia drzwi przy pomocy przycisku. Jeśli przejście, do którego
przypisane jest urządzenie posiada aktywowaną usługę otwarcia drzwi przy
pomocy przycisku, wówczas na takie zdarzenie serwer/urządzenie master
odpowie komendą nakazującą otwarcie drzwi.
Open door sensor Czujnik otwarcia drzwi. Wejście tego typu podłączone do czujnika
zamontowanego na drzwiach przejścia jest podstawą informacji o stanie drzwi.
W zależności od zmiany stanu czujnika czytnik wysyła do urządzenia
nadzorczego informację o otwarciu bądź zamknięciu drzwi. Czujnik może być
podstawą do odnotowania, że użytkownik wszedł do strefy w zależności od
ustawień przejścia. Istotne dla funkcjonowania Stref APB.
Pass thru sensor
Czujnik przekroczenia drzwi. W przypadku podłączenia do np. fotobariery
zamontowanej w przejściu system może rejestrować informację o faktycznym
przekroczeniu przejścia przez użytkownika. Czujnik może być podstawą do
odnotowania, że użytkownik wszedł do strefy w zależności od ustawień
przejścia. Istotne dla funkcjonowania Stref APB.
Permanently off
Wejście wyłączone a jego stan zawsze odczytywany jako nieaktywny.
Remote input
Gdy aktywny skutkuje cyklicznym wysyłanie zdarzenia o aktywacji portu
alarmowego na magistralę CAN. Częstotliwość rozsyłania komunikatów jest
dwa razy większa niż by wynikała z czasu Remote port delay w zakładce
Announcements. Może być użyty do przenoszenia stanu sygnału portu na
odległość. Skojarzenie ze sobą portów Remote input i Remote output następuje
na etapie konfiguracji przejść.
Service
reader 1
request Wejście, które może zostać użyte do wezwania przez użytkownika obsługi, na
skutek problemów technicznych lub np.: zagubienia karty. Typ wejścia
skorelowany z pod-urządzeniem Subdevice number 1. Wejście aktualnie
nieobsługiwane przez system, przeznaczone do wsparcia w dalszych wersjach
oprogramowania systemu NACS.
Service
reader 2
request Podobnie jak w przypadku typu wejścia powyżej. Typ wejścia skorelowany z
pod-urządzeniem Subdevice number 2.
Tamper
Wejście informujące system o odkręceniu urządzenia od ściany.
Należy również wybrać jeden z dostępnych typów wyzwalania portu wejścia. W zależności czy port
ma zostać aktywowany tylko przy zmianie stanu wejścia lub czy jego stan ma być zależny od stanu
wejścia. W przypadku wyzwalania portu ustawionego na stan można zdefiniować opóźnienie, po
którym zmiana stanu portu zostanie zarejestrowana. W przypadku gdy istnieje możliwość
powstania na wejściu portu krótkich niepożądanych zmian, które nie powinny być rejestrowane, lub
reakcja urządzenia ma być opóźniona w stosunku do sygnału wymuszenia należy w tym celu
ustawić Input delay time na pożądaną wartość większą od zera.
Wyjścia
Funkcje wyjścia określa parametr Output type.
Urządzenie posiada zaimplementowane następujące typy portów wyjściowych.
Typ portu
Znaczenie
Open door lock
Aktywowany podczas zdarzenia otwarcia drzwi.
Permanently off
Stan wyjścia zawsze nieaktywny.
Remote output
Wyjście służące do przekazywania sygnałów na odległość. Patrz opis
wejścia typu Remote input. Zalecany Signal type ustawiony na Direct.
Parametr Logic level określa czy wyjście portu ma zostać zanegowane Inverted. Parametr Signal
38
type pozwala ustawić typ sygnału wyjściowego generowanego przez wyjście czytnika. W
przypadku trybu Direct stan wyjścia jest bezpośrednim odwzorowaniem stanu logicznego wyjścia z
uwzględnieniem czy port jest negowany czy nie. Tryb Wave pozwala na generację fali wyjściowej
przez określony czas Wave hlod up time o ustawionych czasach trwania stanu wysokiego Wave high
time oraz niskiego Wave low time.
4.3.3
Konfiguracja czytników typu UW-DNG
Czytniki UW-DNG są czytnikami z interfejsem CAN2.0B zaprojektowanymi i
zaprogramowanymi uwzględniając mechanizmy konieczne do współpracy z systemem NACS.
Podobnie jak NKP-2 urządzenie to posiada pamięć konfiguracji o mniejszej pojemności 48kB oraz
zegar czasu rzeczywistego bez podtrzymania bateryjnego. Urządzenie to może pracować w trybie
online jak i offline, w którym to zdarzenia będą zapisywane w pamięci nieulotnej do bufora
cyklicznego o rozmiarze 16kB.
Konfiguracja czytnika UW-DNG jest niemal identyczna z konfiguracją kontrolera NKP-2. Różni się
jedynie ilością posiadanych portów oraz jawnym przypisaniem kolorów LED'ów w panelu
Announcement.
Lista portów została wymieniona w tabeli poniżej.
Nazwa portu
Możliwy
kierunek Opis
portu
Front button
Wejście
Przycisk umieszczony z przodu czytnika.
Port I/O 1
Wejście/Wyjście
Port I/O 2
Wejście/Wyjście
Port I/O 3
Wejście/Wyjście
Port I/O 4
Wejście/Wyjście
Port I/O 5
Wejście/Wyjście
Port I/O 6
Wejście/Wyjście
Relay
Wyjście
Wyjście przekaźnika czytnika.
Tamper
Wejście
Czujnik odkręcenia czytnika ze ściany
umieszczony od wewnętrznej strony obudowy.
Dodatkowo ze względu fakt, iż urządzenie jest czytnikiem, konfiguracja posiada dodatkową
zakładkę ustawień automatu czytającego karty Autoreader. Obsługiwane typy kart to Unique, Q5,
HID, Hitag. Jeśli chcielibyśmy by czytniki czytały konkretne typy kart w polu Read transponder
types należy zaznaczyć odpowiednie pola przy ich nazwach.
4.4 Zarządzanie strefami
Widok zarządzania strefami został podzielony na dodatkowe sekcję. Obok listy
zarejestrowanych stref znajduje się lista przypisanych przejść prowadzących do zaznaczonej strefy.
Poniżej znajduje się lista stref sąsiadujących, do których można się dostać z zaznaczonej strefy przy
pomocy wcześniej wspomnianych przejść. Dodatkowa zakładka Structure odzwierciedla połączenia
pomiędzy strefami. Struktura połączeń między strefami powstaje poprzez analizę połączeń dwóch
stref obiektem przejścia. Ponieważ obiekt stref jest obiektem o znaczeniu informacyjnym w jego
konfiguracji zawarte są jedynie nazwa oraz opis.
Należy zaznaczyć, że rysowanie struktury połączeń pomiędzy strefami zawsze rozpoczynane jest od
strefy publicznej (otaczającej budynek, nie strzeżonej), dlatego należy pamiętać, by jako pierwszą
utworzyć strefę z zaznaczoną flagą Zone public. W celu dodania strefy należy z paska narzędzi
wybrać przycisk Add new a następnie wprowadzić w oknie edycji pożądane dane.
40
Następnie należy dodać pozostałe strefy jakie jesteśmy w stanie wyodrębnić z struktury strzeżonego
obiektu.
Na tym etapie poza strefą publiczną na drzewie stref nie zostaną zaznaczone żadne z pozostałych
stref. W celu ustrukturyzowania stref należy do systemu dodać przejścia łączące ze sobą sąsiadujące
strefy.
4.5 Zarządzanie przejściami
Tworzenie przejść może odbywać się w dwojaki sposób. Sposobem bezpośrednim jest w
widoku przejść z paska narzędzi wybrać przycisk Add new. W oknie edycji przejścia w zakładce
General należy wybrać strefy łączone tworzonym przejściem. W celu przyspieszenia tworzenia
przejść można posłużyć się przyciskiem Set default name. Nazwa nowo tworzonego przejścia
będzie posiadała format Zone_1_name<->Zone_2_name. Jeśli przejście o takiej nazwie zostało już
zarejestrowane w bazie wówczas do standardowej nazwy zostanie dodany kolejny wolny numer.
42
Do obiektu przejścia należy również przypisać urządzenia kontrolujące ruch poprzez dodawane
przejście. Aby tego dokonać należy przejść do zakładki Devices w oknie edycji obiektu i przycisnąć
przycisk Add device. Na ekranie zostanie pokazana lista zarejestrowanych urządzeń, które jeszcze
nie zostały przypisane do żadnego przejścia. Należy wybrać pożądany i zatwierdzić przyciskiem
OK.
Następnie przyciskami Access to zone 1 lub Access to zone 2 ustawić, do której ze wskazywanych
stref urządzenie zapewnia dostęp. W przypadku dodania do listy urządzeń NKP-2 z podłączonymi
dwoma czytnikami, jesteśmy w stanie indywidualnie dla każdego z czytników ustawić kierunek
przekraczania przejścia na jaki ma zezwolić czytnik. Ustawienie flagi Master device powoduje, że
w przypadku braku aktywności serwera urządzenie to przejmie kontrolę nad przejściem i stanie się
urządzeniem nadrzędnym (master). Serwer podczas swojej aktywności cyklicznie dokonuje
sprawdzenia czy konfiguracja urządzeń master jest zgodna z konfiguracją zapisana w bazie danych.
Jeśli wykryje niezgodność wówczas dokona ponownej konfiguracji urządzenia, by w przypadku
braku połączenia urządzenia master dokonały weryfikacji użytkowników na podstawie aktualnych
danych. W przypadku gdy istotne jest, by system kontroli dostępu pracował zarówno w trybie
online jak i offline, urządzenia przypisane do tego samego przejścia powinny być podłączone do tej
samej podsieci CAN. W przeciwnym wypadku urządzenie master pełniące funkcje nadzorcze nie
będą w stanie się komunikować z urządzeniami podrzędnymi. Tylko jedno urządzenie w danym
momencie może pełnić funkcje master.
44
W dolnej części zakładki Devices znajduje się tabela Remote outputs devices będąca listą urządzeń
wyjściowych, do których ma zostać przekierowana informacja o aktywności na wejściach zdalnych
urządzeń przypisanych do edytowanego przejścia. W trybie online informacja ta zostanie
przekazana przez serwer bez względu na to w jakiej podsieci znajdują się urządzenia docelowe. W
trybie offline informacja o aktywacji wejść zdalnych dotrze wyłącznie do urządzeń znajdujących się
w tej samej podsieci CAN.
W zakładce Miscellaneous okna edycji przejścia znajdują się dodatkowe opcje określające
parametry pracy przejścia.
Parametr Open door time określa maksymalny czas, przez który zamek powinien być otwarty od
momentu przyznania dostępu do strefy. W momencie gdy serwer odbierze od urządzeń informację o
otwarciu drzwi zamek zostanie natychmiastowo wyłączony. Od tego momentu również zostanie
odmierzany czas Time for pass thru na przejście użytkownika przez drzwi, po upływie którego jeśli
użytkownik nie zatrzaśnie drzwi, wówczas wszystkie czytniki przypisane do tego przejścia będą
komunikowały o niedomkniętych drzwiach. Jeśli przejście jest jednokierunkowe lub przy przejściu
znajduje się stanowisko ochrony, które ma uprawnienia by wpuszczać osoby z zewnątrz wówczas
warto przejście wyposażyć w dodatkowy przycisk otwarcia drzwi. Przycisk ten należy podpiąć do
jednego z portów wejściowych urządzenia, ustawionego jako Open door button oraz włączyć
obsługę otwarcia drzwi przy pomocy przycisku, aktywując flagę Enable open door button handling.
Dodatkową funkcją systemu jest możliwość uszczegółowienia, w przypadku konkretnych przejść
czy użytkownik po uzyskaniu dostępu do strefy faktycznie się w niej znajduje. W zależności od
wyposażenia drzwi system może domniemywać, że użytkownik znajduje się obecnie w danej strefie
na podstawie jednego z trzech zdarzeń. Jeśli drzwi są wyposażone np. w barierę optyczną wówczas
warto do wykrywania obecności posłużyć się wskazaniami czujnika ustawiając parametr Presence
sensing type na Pass thru sensor. Istnieje wysokie prawdopodobieństwo, że jeśli system wykrył
przekroczenie przejścia to można domniemywać, że jest to osoba, która przyłożyła kartę do
czytnika. Jeśli przejście dysponuje wyłącznie czujnikiem otwarcia drzwi a parametr Presence
sensing type jest ustawiony na Open door sensor wówczas system jest w stanie wywnioskować, że
jeśli drzwi nie zostaną otwarte, to osoba która przyłożyła kartę do czytnika nie wkroczyła, do strefy
do której aktualnie próbowała otrzymać dostęp. Wykluczenie tego typu sytuacji usprawnia działanie
stref typu Antipassback oraz pracę modułu wyliczającego czas pracy użytkownika.
46
Dodawanie przejścia w ten sposób może być kłopotliwe ze względu na przejrzystość operacji
łączenia ze sobą stref. Widok przejść należałoby traktować jako sposób na inspekcje stworzonych
obiektów. W celu bardziej przejrzystego tworzenia połączeń należy powrócić do widoku stref, w
którym można zaobserwować relację pomiędzy łączonymi strefami przy pomocy przejść. Po
dodaniu pierwszego przejścia o domyślnej nazwie Public<->Hall w drzewie stref Structure można
zaobserwować, że dodano gałąź łączącą strefę Hall.
Również wybierając z listy jedną z łączonych stref Public lub Hall druga strefa zostaje wyświetlona
w liście stref przyległych do wskazanej strefy. W przypadku gdy przejść z danej strefy będzie
więcej niż jedno, wskazanie któregoś z obiektów w tabelach pomocniczych (strefy przyległej lub
przejścia) spowoduje zaznaczenie relacji stworzonej przez odpowiednie przejścia.
W celu dodania kolejnych przejść stref, które nie zostały jeszcze połączone, można posłużyć się
menu kontekstowym. Klikając prawym przyciskiem myszy na jedną ze stref z listy
zarejestrowanych w systemie lub z drzewa stref, następnie wybrać przycisk Add new subzone to
this zone. Wówczas zostanie wyświetlona lista stref, z którymi wskazana strefa jeszcze nie posiada
żadnego połączenia.
48
Po wykonaniu tej operacji lista przejść zostanie zaktualizowana o nowo dodane przejście łączące
zaznaczone strefy.
Jak widać na załączonym obrazie strefy Public oraz Hall zostały połączone dwoma przejściami,
które w rzeczywistości mogą odpowiadać dwóm parom drzwi.
Definiując kolejne przejścia pomiędzy strefami możemy obserwować w zakładce Structure jak
przejścia pomiędzy strefami budują strukturę chronionego obiektu.
Również na uwagę zasługuje fakt, iż drzewiasta reprezentacja połączeń stref w prosty sposób
obrazuje strefy, jakie użytkownik musi pokonać by dostać się do wyznaczonej strefy docelowej,
rozpoczynając od strefy publicznej, czyli strefy okalającej obiekt. Nasuwa się również wniosek, że
by użytkownik mógł posiadać dostęp do wybranej strefy należy również nadać mu prawa dostępu
do stref znajdujących się na ścieżce pośredniczącej, pomiędzy tą strefą a strefą publiczną.
4.6 Dodawanie kart
Aby kartę móc przypisać do wybranego użytkownika w celu jego późniejszej identyfikacji,
50
uprzednio kartę należy zarejestrować w systemie. W tym celu należy w panelu zarządzania kartami
z paska narzędzi przycisnąć przycisk Add new. Wówczas pojawi się okno edycji ustawień nowej
karty. Istnieją dwie metody edycji ustawień karty. Pierwsza jest to metoda ręcznego wprowadzania
numeru RFID oraz typu dodawanej karty. Jest to metoda niezalecana ze względu na możliwość
popełnienia pomyłki. Drugą metodą jest dodawanie kart przy pomocy czytnika zarejestrowanego w
systemie lub czytnika kart z rodziny PAC (PAC-DU lub PAC-MU) podłączonego do portu USB
komputera, na którym uruchomiona jest aplikacja kliencka. W celu uruchomienia opcji korzystania
z czytnika podczas dodawania karty, należy wybrać typ czytnika, z jakiego pragniemy skorzystać
przy pomocy pola wyboru Card reader (PAC/on wall). Następnie ustawić flagę Reader enabled.
Aktywowanie odczytu przy pomocy czytnika blokuje możliwość edycji typu dodawanej karty oraz
numeru RFID. Zostaną one odczytane przez czytnik podczas przyłożenia karty. Korzystanie z
zarejestrowanych czytników w systemie, w celu odczytu karty wymaga, by połączenie aplikacji
klienckiej z serwerem było aktywne. W przypadku gdy nie dysponujemy czytnikiem z rodziny PAC
oraz aktywnym połączeniem z serwerem dodawanie kart może odbyć się poprzez ręczną edycje
jednak należy wówczas zachować szczególną ostrożność by nie popełnić pomyłki.
W widoku zarządzania kartami w panelu Cards view znajduje się lista zarejestrowanych kart z
wyszczególnieniem ich typów, numerów RFID oraz przypisanych użytkowników. Warunkiem
koniecznym jest by numery kart danego typu były unikalne. Jak już wcześniej wspomniano karta
może zostać przypisana maksymalnie do jednego użytkownika. Jeśli karta posiada przypisanie, w
kolumnie User tabeli znajduje się nazwa użytkownika, który jest jej posiadaczem. W panelu User
review z prawej strony okna znajduje się podgląd parametrów przypisanego do niej użytkownika.
W celu wyszukania karty na liście, którą posiadamy fizycznie lecz nie znamy jej numeru RFID,
można posłużyć się mechanizmem odczytu kart, który został opisany podczas dodawania nowej
karty. Z paska narzędzi należy przycisnąć przycisk Read card. Po pojawieniu się okna na ekranie
należy wybrać czytnik z którego mamy zamiar skorzystać. Po odczytaniu przyłożonej karty, by
zapisać numer RFID karty do pamięci podręcznej należy przycisnąć przycisk Copy and close. Aby
wyszukać kartę na liście, skopiowany numer RFID należy wkleić do pola RFID number panelu
Cards flters z lewej strony ekranu a następnie przycisnąć Accept. Jeśli karta została uprzednio
zarejestrowana w systemie zostanie odfiltrowana spośród pozostałych rekordów.
52
4.7 Zarządzanie użytkownikami
Podczas tworzenia bazy danych systemu NACS dodawany jest pierwszy użytkownik o
nazwie Admin. Posiada on przywileje Admin, Installer oraz Manager. Celem utworzenia
użytkownika jest możliwość zalogowania się i konfiguracji systemu, oraz dodania innych
użytkowników systemu. Aby dodać nowego użytkownika należy z panelu użytkowników z paska
narzędzi przycisnąć przycisk Add new. Jeśli to niezbędne w zakładce General należy wprowadzić
dane kontaktowe użytkownika.
W zależności od tego czy użytkownik ma pełnić jakąś funkcję w systemie należy nadać mu
odpowiednie przywileje, które zostały opisane pokrótce podczas opisu obiektu użytkownika. Jeśli w
zakładce Security użytkownikowi przypisano jakiś przywilej, koniecznie należy również
zdefiniować unikalny login i hasło użytkownika, wykorzystywane podczas logowania do systemu.
Aby użytkownik mógł posiadać dostęp do stref musi posiadać co najmniej jedną kartę RFID, która
mogłaby go identyfikować. W tym celu należy wybrać jedną z zarejestrowanych w systemie kart z
listy, która pokaże się po przyciśnięciu przycisku Add registered card.
54
Jeśli nie jesteśmy pewni czy karta, którą wskazujemy jest tą, którą fizycznie przekazujemy
użytkownikowi, można dokonać weryfikacji karty przez jej odczyt przy pomocy czytnika PAC lub
innego czytnika zarejestrowanego w systemie. Przyciśnięcie przycisku Copy and close w oknie
odczytu karty skutkuje wyszukaniem oraz podświetleniem na liście odczytanej karty. W przypadku
gdy w systemie nie ma już więcej kart nieprzypisanych do użytkowników, istnieje możliwość
zarejestrowania nowej karty przyciskając przycisk Add new card. Na ekranie wyświetlony zostanie
znajomy już formularz dodawania karty do systemu.
Jeśli użytkownik powinien posiadać wyłącznie prawa dostępu do wybranych stref, nie istnieje
konieczność definiowania dla niego loginu oraz hasła do systemu.
Do celów potwierdzenia tożsamości użytkownika podczas jego konfiguracji można przypisać
zdjęcie, które można będzie weryfikować w późniejszym czasie przez osobę strzegącą przejścia. W
zakładce Images należy przycisnąć przycisk Add image w celu otwarcia okna wyboru zdjęcia. Jeśli
przypisano więcej niż jedno zdjęcie kursory poniżej aktualnie wyświetlanego zdjęcia zostaną
aktywowane. Przycisk Set as primary ustawia aktualnie wyświetlane zdjęcie jako zdjęcie główne,
które będzie wyświetlać się w podglądzie ustawień użytkownika.
W zakładce Groups okna edycji ustawień użytkownika znajduje się lista grup, do których
użytkownik został przypisany. Na podstawie przypisań do poszczególnych grup system weryfikuje
prawa dostępu do poszczególnych stref dla danej chwili. Aby dodać użytkownika do grupy należy
przycisnąć przycisk Add group. Podczas tworzenia struktury bazy danych wraz z utworzeniem
użytkownika została utworzona grupa o nazwie Administrators, do której domyślnie został dodany
użytkownik Admin. Nazwy grup nie maja nic wspólnego z przywilejami użytkowników jedynie
pozwalają na stworzenie dodatkowych relacji z innymi obiektami systemu. W celu nadania
użytkownikowi dostępu do stref należy przypisać użytkownika do grupy, która tworzy relację ze
strefami, do których będzie posiadał dostęp. Mechanizm tworzenia relacji obiektów przy użyciu
grupy zostanie opisany szczegółowo w rozdziale zarządzania grupami.
56
Po zaakceptowaniu wprowadzonych ustawień, użytkownik zostanie dodany do listy
zarejestrowanych użytkowników. Zaznaczenie użytkownika na liście skutkuje wyświetleniem w
polu User preview wprowadzonych danych dotyczących użytkownika oraz jego zdjęcie
zdefiniowane jako główne.
4.8 Zarządzanie harmonogramami
Aby zdefiniować harmonogram należy w panelu zarządzania harmonogramami w pasku
narzędzi przycisnąć przycisk Add new. W zakładce General poza nazwą oraz opisem
harmonogramu należy ustawić czy harmonogram ma posiadać odwrócone znaczenie flagą Inverted.
Flaga Negative ma charakter negujący, blokujący pozostałe harmonogramy przy składaniu
harmonogramów co zostanie opisane w późniejszych częściach dokumentacji.
58
W zakładce Days okna edycji harmonogramu należy dodać przedziały czasowe określające
aktywność edytowanego harmonogramu. Zakładając, że chcemy stworzyć harmonogram aktywny
w dniach pracujących w godzinach od 6 rano do 8 popołudniu od poniedziałku do piątku, dodajemy
dla każdego z tych dni tygodnia przedział czasowy przyciskając przycisk Add time. Dodatkowo w
zakładce Day of calendar można zdefiniować przedział czasowy dnia o określonej dacie, w
przypadku gdy czas aktywności harmonogramu nie jest cykliczny.
W celu stworzenia harmonogramu zawsze aktywnego np. Permanent access, należy utworzyć nowy
harmonogram z zaznaczoną flagą Inverted. Jeśli harmonogram nie ma posiadać żadnych wyjątków
do dni tygodnia oraz do dni kalendarza nie powinno dodawać się żadnych przedziałów czasowych.
Podczas procedury tworzenia struktury bazy danych system tworzy harmonogram tego typu o tej
samej nazwie. Aby stworzyć wyjątki blokujące takie jak święta, w których obiekt strzeżony
powinien być zamknięty należy stworzyć nowy harmonogram np. o nazwie Holidays, ustawić jego
flagę Negative oraz zdefiniować w zakładce Days of calendar przedziały czasu obejmujące całe
dnie dla dat dni świątecznych. Złożenie takiego harmonogramu z jakimkolwiek innym będzie
skutkowało, nieaktywnością harmonogramu wynikowego dla dni świątecznych. Dzięki temu
zarządca systemu jest w stanie dodawać wyjątki do standardowych harmonogramów w systemie.
60
4.9 Zarządzanie grupami/konfiguracja kontroli dostępu
Grupy są obiektami podsumowującymi wszystkie dotychczasowo stworzone obiekty i to
one określają reguły na podstawie, których użytkownikom przyznaje się dostęp. Aby stworzyć
grupę należy w panelu zarządzania grupami w pasku narzędzi przycisnąć przycisk Add new. W
zakładce General należy wprowadzić nazwę oraz opis identyfikujący dodawaną grupę.
W zakładce Zones należy dodać strefy zarejestrowane w systemie, do których użytkownicy
edytowanej grupy powinni posiadać dostęp. Aby dodać strefę do listy dostępu należy przycisnąć
przycisk Add zone, wówczas na ekranie wyświetli się lista zarejestrowanych stref, do których grupa
jeszcze nie posiada dostępu. Załóżmy, że grupa Employees powinna posiadać dostęp do strefy Level
1 corridor, więc z listy stref należy ją wybrać a następnie zaakceptować przyciskając OK.
Użytkownicy grupy, aby dostać się ze strefy publicznej do strefy docelowej (tej którą dodaliśmy),
muszą posiadać dostęp do wszystkich stref pośredniczących. W panelu zarządzania strefami w
drzewiastej strukturze można wyznaczyć ścieżkę łączącą strefę publiczną Public ze strefą Level 1
corridor. Ścieżkę do dodanej strefy można dodać posługując się menu kontekstowym okna edycji
przypisanych stref do grupy. Wystarczy zaznaczyć strefę, do której chcemy dodać ścieżkę a
następnie z menu kontekstowego wybrać przycisk Add zones on path to this zone. Jeśli w systemie
istnieją zdefiniowane przejścia dzięki, którym dojście do tej strefy jest możliwe, zostaną
wyświetlone wszystkie możliwe ścieżki. Jeśli w obiekcie możliwe są zapętlenia ścieżek dostępu do
strefy może być więcej niż jedna. Wybierając jedną z wyświetlonych ścieżek, wszystkie strefy
pośrednie również zostaną dodane do listy stref przypisanych do grupy.
62
W tabeli stref przypisanych do grupy można dodatkowo zaznaczyć strefy, które maja być
interpretowane jako strefy pracy danej grupy. Na podstawie zaznaczeń w kolumnie Work zone
system wylicza czas przebywania użytkownika w strefach pracy, skojarzonych z danym
użytkownikiem za pośrednictwem grup. Zaznaczonych stref pracy może być więcej niż jedna.
W celu wyznaczenia czasu, kiedy dostęp do stref jest aktywny, należy dodać do grupy
harmonogram. W celu stworzenia bardziej złożonych przedziałów czasowych z uwzględnieniem
dodatkowych warunków, do grupy należy przypisać więcej niż jeden harmonogram. Należy
pamiętać, że harmonogramy typu Negative posiadają wyższy priorytet. Jeśli choć jeden z
harmonogramów tego typu dodanych do grupy jest aktywny w aktualnej chwili, to dostęp grupy do
przypisanych stref jest zabroniony, bez względu na pozostałe harmonogramy.
Dodanie użytkowników do grupy skutkuje przypisaniem użytkownikowi dostępu do przypisanych
stref, w czasie gdy złożenie harmonogramów jest aktywne. Jeśli użytkownik należy do więcej niż
jednej grupy, przyznanie mu dostępu do strefy w chwili przyłożenia karty rozpatrywane jest przez
zapytanie: „Czy istnieje choć jedna grupa, do której przypisany jest użytkownik posiadający
odczytaną kartę z aktywnym harmonogramem i dostępem do strefy, do której prowadzi czytnik,
który odczytał tą kartę”.
Dodanie użytkownika do grupy może odbywać się na dwa sposoby. Pierwszy z nich to dodanie
użytkownika do edytowanej grupy poprzez przyciśnięcie przycisku Add user w zakładce Users w
oknie edycji grupy.
64
Drugą metodą jest przypisanie użytkownika do grupy z poziomu okna edycji ustawień
użytkownika. Aby tego dokonać w zakładce Groups okna ustawień użytkownika, należy przycisnąć
przycisk Add group a następnie z listy zarejestrowanych grup wybrać te, do których użytkownik
powinien zostać przypisany. Sposób tworzenia relacji użytkownika z grupą z punktu widzenia pracy
systemu nie ma żadnego znaczenia. Różnica jest jednak istotna w przypadku chęci sprawdzenia,
którzy użytkownicy przypisani są do danej grupy lub do jakich grup należy dany użytkownik.
Widok grup w systemie umożliwia szybki podgląd zarejestrowanych obiektów. Zaznaczenie jednej
z grup skutkuje wyszczególnienie obiektów przypisanych do tej grupy dzięki temu w szybki sposób
można podejrzeć powiązania między obiektami.
4.10
Zarządzanie strefami APB
Strefy APB grupują ze sobą zdefiniowane strefy systemu w jeden większy obszar
jednocześnie nakładając dodatkowe obostrzenia, aby zabezpieczyć system przed niewłaściwym
zachowaniem użytkowników. Ze względu na możliwość obejmowania swym obszarem wielu stref
często odległych od siebie, strefy APB działają wyłącznie w trybie online.
Aby utworzyć nową strefę w panelu zarządzania strefami APB przycisnąć przycisk na pasku
narzędzi Add new. W zakładce General należy wprowadzić nazwę oraz opis identyfikujący
dodawaną strefę APB.
66
W zakładce Zones należy dodać pożądane strefy, które mają zostać objęte regułą antipassback.
Następnie w zakładce Miscellaneous należy zdefiniować dodatkowe opcję. Jeśli użytkownik złamie
regułę antipassback może ona zostać zignorowana po upływie określonego czasu. Strefę APB
można również wykorzystać do ograniczenia przebywania maksymalnej liczby osób w danym
momencie w strefie ustalając parametr Max. user count na wartość większą od zera.
68
Jeśli jednak użytkownik złamię regułę antipassback i podczas opuszczania strefy nie przyłoży karty
do czytnika wyjściowego, użytkownik nie będzie mógł ponownie wejść do strefy, chyba że flaga
Ignore after timeout zostanie ustawiona oraz upłynął określony czas w parametrze Timeout time. W
przeciwnym przypadku można ręcznie przy pomocy oprogramowania klienckiego dokonać
wyczyszczenia reguły antipassback dla całej strefy lub wyłącznie dla jednego z użytkowników. W
pierwszym przypadku korzystając z menu kontekstowego panelu zarządzania strefami APB należy
przycisnąć przycisk Clear actual users in zone APB.
Aby zresetować reguły antipassback wyłącznie dla jednego użytkownika należy w panelu
zarządzania użytkownikami wybrać właściwego użytkownika a następnie przy użyciu menu
kontekstowego przycisnąć przycisk Clear user APB rule.
70
4.11
Rejestracja czasu pracy
System wyposażony został w funkcję pozwalającą na proste obliczenia czasu pracy
użytkownika. Aby system obliczał czas pracy prawidłowo należy spełnić następujące warunki:
•
Strefy w których użytkownikom naliczany jest czas pracy powinny być odpowiednio
zaznaczone przez przez menadżera systemu podczas edycji stref przypisanych do grup.
•
Przejścia dostępowe do wskazanych stref pracy muszą posiadać czytniki z obu stron lub
konstrukcję zapewniającą ruch kierunkowy użytkowników, by ci mieli możliwość
zaznaczenia swojego wejścia jak i wyjścia do oraz ze strefy przez przyłożenie karty.
•
Poprawne korzystanie z systemu dostępowego przez użytkowników podczas wchodzenia do
stref pracy jak i ich opuszczania.
Ostatni warunek jest w stanie zapewnić strefa APB obejmująca swoim obszarem strefy pracy. W
przypadku złamania reguły konieczności przyłożenia wychodząc ze strefy, podczas próby kolejnego
wejścia dostęp zostanie odmówiony.
W celu wyznaczenia czasu pracy użytkownika należy przejść do widoku użytkowników systemu a
następnie po wybraniu użytkownika z menu kontekstowego klikamy przycisk User timesheet
report.
W nowym oknie pojawi się formularz z danymi dotyczącymi wybranego użytkownika. W górnej
części okna należy wprowadzić daty graniczne dni, dla których jesteśmy zainteresowani
wygenerować rejestr czasu pracy. Jeśli godziny pracy użytkownika mogą obejmować zmianę nocną
wówczas należy zaznaczyć obok flagę Work overrnight. Następnie należy dokonać odświeżenia
raportu aby wygenerować go ponownie dla nowo wprowadzonych parametrów. Program ponownie
dokona obliczeń czasu pracy użytkownika. W dolnej części zakładki User summary znajdują się
wartości statystyczne wyliczone dla wygenerowanego raportu. Parametr Error count jest liczbą
zarejestrowanych zdarzeń, które powodują błędy w interpretacji zdarzeń oraz mogą wprowadzić
błędy w obliczeniach czasu pracy.
Typowymi błędami, które mogą wystąpić podczas generacji raportu są wielokrotne wejścia lub
wyjścia powstałe przez nieprawidłowe zachowanie użytkowników np. nieprzyłożenie karty do
czytnika podczas opuszczania strefy. Szczegółowy rejestr wejść oraz wyjść włącznie z
zaznaczeniem błędów oraz wprowadzonych poprawek został umieszczony w zakładce Timesheet
register.
72
Przyczyny powstawania błędów mogą być różne w zależności od konfiguracji oraz konstrukcji
przejść oraz zachowań użytkowników. Jak już wspomniano przy okazji konfiguracji przejść istnieją
trzy metody detekcji czy użytkownik dostał się do danej strefy. Jeśli metodą detekcji przejścia jest
czujnik przejścia w przypadku niepoprawnej konfiguracji, czujnik podczas przechodzenia
użytkownika przez drzwi może wygenerować wiele zdarzeń. Spowoduje to powstanie dwóch
wpisów o wejściu do strefy co spowoduje zaznaczenie drugiego wpisu jako błąd. Błędne wpisy
można dodać do listy wpisów ignorowanych, by nie powodowały błędów podczas obliczeń. Aby
tego dokonać należy wskazać wpis powodujący problemy a następnie przycisnąć przycisk
Remove/Ignore na pasku narzędzi. Wiersz zostanie wyszarzony a styl czcionki zmieniony na
przekreślony podkreślając, że wiersz nie jest brany pod uwagę podczas obliczeń. Jeśli natomiast
użytkownik nie dopełnił swoich obowiązków i nie potwierdził opuszczenia strefy lub z innych
przyczyn nie mógł tego uczynić Manager jest w stanie dodać wpis do rejestru, aby uwzględnić
nieprzewidziane okoliczności. W celu dodania wpisu należy zaznaczyć wiersz w okolicy, którego
nowe zdarzenie powinno zostać dodane. Następnie na pasku narzędzi przycisnąć przycisk Add. Na
ekranie zostanie wyświetlone nowe okno z możliwością edycji dodawanego zdarzenia, którego
godzina musi się zawierać w przedziale pomiędzy dwoma już istniejącymi zdarzeniami lub
zdarzeniem a datą i godziną graniczna generowanego raportu.
Efektem dodawania nowego wpisu jest dodanie do rejestru nowej linii z zaznaczonym typem
korekcji na Added event.
74
Wprowadzone korekcje można usunąć posługując się przyciskami Remove/Ignore w przypadku
dodanych zdarzeń oraz Revert from ignore w przypadku zdarzeń ignorowanych.
W zakładce User presence w tabeli User presence per day wyszczególniono czas pracy
użytkownika systemu w przeciągu konkretnych dni. Natomiast w tabeli User presence in zones
wyszczególniono czasy przybywania użytkownika w strefach od momentu wejścia do momentu
wyjścia.
Wygenerowany raport można wyeksportować do pliku CSV przy pomocy przycisku Export to CSV.
Wprowadzone przez Managera korekcje zdarzeń są zapisywane w bazie danych oraz będą
widoczne podczas kolejnej generacji raportu dla przedziału czasowego obejmującego te zdarzenia.
Dodane zdarzenia mają charakter pomocniczy podczas generacji raportu więc nie będą widoczne
podczas przeglądania historii, w której widoczne są wyłącznie zdarzenia zarejestrowane przez
system.
4.12
Przeglądanie historii
Widok historii umożliwia przeglądanie logów zapisanych w systemie. System rozpoznaje i
grupuje trzy rodzaje aktywności.
Aktywność użytkowników
Logi dotyczące aktywności użytkowników rejestrują informację o przykładanych kartach do
czytników oraz zapisuje reakcję systemu na przyłożenie karty. Jeśli karta została przypisana
jakiemuś użytkownikowi jego nazwa zostanie zarejestrowana i wyświetlona w kolumnie User.
76
Historia zmian konfiguracji systemu
Rejestr zmian konfiguracji służy do kontroli jakie obiekty kiedy i przez jakiego nadzorce
zostały zmodyfikowane.
Historia stanu urządzeń
Historia stanu urządzeń pozwala zdiagnozować zmiany stanu sieci urządzeń w celu
weryfikacji poprawności połączenia serwera z urządzeniami oraz diagnostyki sieci.
78

NACS (Netronix Access Control System)

Transkrypt

Podobne dokumenty