输入 LDAP 设置
管理 Windchill 用户需要使用默认的 LDAP,这可以是活动目录服务器,也可以是其他与 V3 兼容的 LDAP 服务器。也可按需要使用它来管理 Windchill 组信息。
* 
Windchill 管理员负责确保 LDAP V3 目录的配置和管理是安全的。PTC 强烈建议在配置 LDAP 基础设施时采取深度防御策略。其中包括但不限于以下内容:
使用强 RBAC (基于角色的访问控制),遵循最小权限原则。应限制管理登录。
配置 LDAPS,确保数据加密传输。
限制远程访问,仅公开预期操作所需的端口和协议。
确保应用最新的安全修补程序。
将 LDAP 托管在企业网络内的单独服务器上,而不是托管在托管 Windchill 应用程序的服务器上。
如果将 LDAP 部署在 Windchill 所在的服务器上,请阻止不需要的端口。请确保不会将这些端口公开到企业内部网络或 Internet。
避免将 LDAP 服务器公开到 Internet。
* 
根据安装的产品,默认的 LDAP 目录结构会有所不同。
Windchill 12.0.2.0 开始,PTC 解决方案安装程序提供了将 LDAP 或 LDAPS 选作目录访问控制的选项。要使用 LDAPS,您必须获取或生成一个证书以提供服务器标识证明。对于生产用途,PTC 建议从受信任的证书颁发机构获取证书。对于测试用途,可以使用 Java 支持的任何实用程序生成自签名证书。
将系统配置为使用 LDAP,这样便可在与 (Microsoft Entra ID/Active Directory 和 HTTP 服务器之间的) 目录服务器进行任何通信期间,对 LDAP 数据进行加密。Windchill 现支持通过 Microsoft Entra ID 进行身份验证和通信。要支持通过 Microsoft Entra ID 配置 SSO,或将 Microsoft Entra ID 作为目录服务器,需使用 LDAPS 安装 WindchillWindchill 不支持使用 LDAP/LDAPS (这是唯一受支持的协议) 与 Microsoft Entra ID 信息库直接通信。必须配置 Microsoft Entra 域服务 (AADDS) 才能进行身份验证和通信。将 AAD 承担者同步到 AADDS。如果您使用的是 Microsoft Active Directory/AADDS,则需要将 userID (UID) 属性映射到 sAMAccountName 或 userPrincipalName。具体映射情况取决于您的身份验证配置使用的是 SSO 身份验证还是基本身份验证。
Microsoft Entra 域服务 (AADDS) 无法对访客用户进行身份验证。AADDS 只能对“用户类型”“成员”的用户进行身份验证。
请确保提供正确的证书信息,否则安装可能会失败。在 Unix 操作系统上安装群集时,请确保复制所有群集节点同一位置的所有证书。建议将这些证书保存在 <APACHE_HOME> 下。通过 PSI 可以在 Unix 操作系统上指定以下实体。
Unix 操作系统的输入值
选项
说明
“位置”
JVM 密钥库中受信任证书/自签名证书的位置,位于“LDAPS 证书” > “位置”下。请确保您提供具有适当扩展名的有效证书。此字段不应为空。
“类型”
证书加密类型。
密码
仅在存在关联密码的情况下才需要此字段。
“LdapVerify 服务器证书”
用于启用或禁用服务器证书验证的选项。默认值为“关闭”
“定义设置”部分中,输入 LDAP 设置:
选项
说明
LDAP 服务
如果企业节点是 ADS,则选择此选项。否则,选择其他与 V3 兼容的 LDAP 服务器。
只要选择了 ADS,即会突出显示本节稍后介绍的以下选项。请参阅 ADS 属性的默认用户映射
LDAP 适配器名称
可配置单个 LDAP 适配器。
LDAP 服务器主机名
<主机名>.<域> 为默认值。
LDAP 用户的基础可分辨名称
LDAP 用户的基础可分辨名称。安装程序使用您指定的可分辨名称来创建目录。
以下为全新安装期间为您设置的默认值。全新安装期间无法更改这些值。
选项
默认值
说明
LDAP 服务器端口
389
定义 LDAP 监听请求的端口号。
LDAP 用户可分辨名称
在 LDAP 目录中指定一个用户节点,其中包含应对 Windchill 可见的目录中的所有用户。
LDAP 密码
LDAP 管理员密码。
定义默认 LDAP 服务器的设置:
LDAP 服务
选项
默认值
说明
LDAP 服务
Active Directory Service (ADS)
如果企业节点是 ADS,则选择此选项。否则,选择其他与 V3 兼容的 LDAP 服务器。
只要选择了 ADS,即会突出显示本节稍后介绍的以下选项。请参阅 ADS 属性的默认用户映射
Windchill 信息库权限
只读。
仅当选择了“读取”和“写入”选项时,才可以选择仅加载演示用户。
信息库包含
用户
根据需要选择此选项。选中 UsersGroups 复选框。
根据所选的选项,应用程序会在确定对 Windchill 的访问权限时考虑该企业 LDAP 中定义的用户或组。
如果信息库为只读,则应用程序不会尝试管理信息库中的用户和组。
LDAP 连接
作为用户绑定
指定用于连接企业信息库的绑定方法。
有两个选项可供使用:
“作为匿名绑定”- 此选项无需用户名即可读取信息库的内容。
“作为用户绑定”- 此选项可将指定用户绑定到目录。此用户必须存在于 LDAP 中。
用户筛选器
筛选用户。
只有在此处选择的用户才可通过 Windchill 进行搜索
示例:
如果企业节点是与 V3 兼容的 LDAP 服务器:
uid= *(搜索所有用户)
uid= ne* (搜索名称以 ne 开头的所有用户)。
如果企业节点为 ADS:
cn=* (搜索所有用户)
cn=ne* (搜索名称以 ne 开头的所有用户)
* 
安装之后可以修改此条件,方法是,转到“站点” > “实用程序” > “Info*Engine 管理器”并选择相应的企业适配器。
组筛选器
筛选组。
只有在此处选择的组才可通过 Windchill 进行搜索。
示例:
如果企业节点 (LDAP) 为:
cn=* (搜索所有组)
cn=gr* (搜索名称以 gr 开头的所有组)。
如果企业节点为 ADS:
cn=* (搜索所有组)
cn=gr* (搜索名称以 gr 开头的所有组) 等。
* 
安装之后可以修改此条件,方法是,转到“站点” > “实用程序” > Info*Engine 并选择相应的企业适配器。
映射到 Windchill 属性的 LDAP 服务器属性
属性映射在 LDAP 适配器中配置。此处给出的值保存在 LDAP 适配器定义中。通过选项可自动为 ADS 添加默认设置。不指定默认设置则无法使用 ADS。可调整默认设置以适应站点的需要。如果站点有需要,可在查阅配置其他企业目录后于任何配置的“LDAP 适配器”中定义映射。
ADS 属性的默认用户映射
"Option" 列指定 Windchill 预期的属性名,而 "Default" 指定 ADS 属性名/值。
选项
默认值
对象类
user
组织名称
company
唯一标识符
sAMAccountName
唯一标识符属性
sAMAccountName
通用名称
cn
电子邮件地址
mail
姓氏
sn
用户证书
userCertificate
电话号码
telephoneNumber
传真号码
facsimileTelephoneNumber
移动电话号码
mobile
邮政地址
postalAddress
首选语言
preferredLanguage
其他属性
objectGUID
有关上述字段的说明,请参阅配置其他企业目录
* 
默认情况下,唯一标识符属性和唯一标识符二者可具有相同的值;但是,唯一标识符属性必须始终指向具有唯一值的属性。如果 ADS 配置没有多个子域,并且您知道 sAMAccountName 在单独的域中是唯一的,则可将默认值用于唯一标识符属性。如果您的 sAMAccountName 值不是唯一的,则应将 userPrincipalName 用于唯一标识符属性。
ADS 属性的默认组映射
“选项”列指定 Windchill 预期的属性名,“默认”列指定 ADS 属性名。
选项
默认值
唯一标识符属性
sAMAccountName
说明
description
对象类
group
唯一成员
member
有关上述字段的说明,请参阅配置其他企业目录
这对您有帮助吗?