Agent のインストールおよび構成 > Windchill RV&S Agentセキュリティ > セキュリティ ポリシーの選択
  
セキュリティ ポリシーの選択
セキュリティ ポリシーにより、ユーザーのセキュリティ設定が指定されます。すべてのユーザーに同じセキュリティ設定を使用する場合は、デフォルトの認証ドメインと転送プロトコルを指定します。
security.propertiesmks.security.policy.scheme.default のコメントを解除し、次のようなデフォルト ポリシーを指定します。
mks.security.policy.scheme.default=flat_clear
認証ドメイン
転送プロトコル
セキュリティ ポリシー
Kerberos
クリア
windows_clear
Kerberos
プライベート
windows_private
フラット ファイル
クリア
flat_clear
フラット ファイル
プライベート
flat_private
LDAP
クリア
ldap_clear
LDAP
プライベート
ldap_private
UNIX
クリア
unix_clear
UNIX
プライベート
unix_private
* 
バージョン 12.1 以降の Integrity Lifecycle Manager では、任意のオペレーティングシステムのデフォルトのセキュリティ設定がありません。
agent.propertiesclear または secure ポートのみが指定されている場合、セキュリティ設定には、そのポートに適した通信方法を使用する必要があります。
複数のセキュリティ設定の使用
Windchill RV&S では、ユーザーを認証するための複数のセキュリティ設定の使用がサポートされています。たとえば、次のセキュリティ ポリシーを使用できます。
mks.security.policy.scheme.default=windows_clear,flat_clear
このセキュリティ ポリシーを使用すると、ユーザーがシステムにログオンを試みる際、ユーザーの資格情報がまず Kerberos サーバーに提供され、承認されるとユーザーがログオンできます。ユーザーの資格情報が承認されない場合、フラット ファイル領域に提供されます。フラット ファイル領域でも承認されない場合、ユーザーはアプリケーションへのアクセスを拒否されます。
Windchill RV&S Agent では、次のセキュリティ領域の組み合わせがサポートされています。
Windows およびフラット ファイル
LDAP およびフラット ファイル
UNIX およびフラット ファイル
* 
この組み合わせの各セキュリティ設定では、同じ転送プロトコル (クリアまたはプライベート) を使用する必要があります。
複数のセキュリティ設定を使用し、2 つ以上のセキュリティ領域に同じユーザー名がある場合、そのユーザー名を使用してログインする際に、一覧にある最初のセキュリティ領域で定義されたパスワードを使用する必要があります。たとえば、次のセキュリティ ポリシーがあるとします。
mks.security.policy.scheme.default=windows_clear,flat_clear
jbrown が ADS とフラット ファイルの両方のセキュリティ領域でユーザー名として定義されている場合、jbrown としてログインする際に、ADS 領域で定義されたパスワードを使用する必要があります。
Windchill RV&S Server の受信アドレスによるセキュリティ ポリシーの指定
Windchill RV&S Agent への受信接続の IP アドレス (全体または一部) に基づいて、その接続に固有のセキュリティ設定を使用できます。Windchill RV&S Agent は、受信接続の IP アドレスに基づいてセキュリティ設定を選択します。IP アドレスの一部を指定する場合、そのアドレスと同じ 3 つのエントリで始まる IP アドレスを持つサブネットの各受信接続 (最大 256 台のマシン) は、指定されたセキュリティ設定を使用します。
次のプロパティで、受信接続のセキュリティ設定を指定します。
mks.security.policy.scheme.<client ip>=<security scheme>
mks.security.policy.scheme.<subnet ip>=<security scheme>
たとえば、受信接続の IP アドレスが 10.0.8.24 で、Windows プライベート セキュリティ ポリシーを使用する場合は、次のように指定します。
Windchill RV&S Server アドレスの全体を使用する場合
mks.security.policy.scheme.10.0.8.24=windows_private
Windchill RV&S Server アドレスの一部を使用する場合
mks.security.policy.scheme.10.0.8=windows_private
各 IP アドレスに対して複数のセキュリティ ポリシーをカンマで区切って指定できます。次に例を示します。
mks.security.policy,scheme.10.0.8.24=windows_private,flat_private
* 
IP アドレスに複数のセキュリティ ポリシーを指定する場合、その IP アドレスのすべてのポリシーで同じ転送プロトコルを使用する必要があります。
受信接続の IP アドレスは、最も限定的なポリシーから順に、指定したポリシーと比較されます。たとえば、次のセキュリティ ポリシーを指定したとします。
mks.security.policy.scheme.10.0.8=ldap_clear,flat_clear
mks.security.policy.scheme.10.0.8.24=flat_private
mks.security.policy.scheme.default=ldap_clear
IP アドレス 10.0.8.24 を持つ受信接続は、暗号化された転送プロトコルを使用してフラット ファイルに対して確認されます。
* 
転送プロトコルは、すべての IP アドレスで同じである必要はありません。
設定順序の指定
受信接続のアドレスに基づいて複数のセキュリティ設定を使用する場合、セキュリティ領域の指定順序は、すべてのアドレスで同じでなければなりません。デフォルトの順序は、mks.security.policy.scheme.default 設定で指定されます。たとえば、デフォルトの順序が次のようであるとします。
mks.security.policy.scheme.default=windows_clear,flat_clear
この場合、次の設定順序は有効です。
mks.security.policy.scheme.10.0.8.24=windows_private,flat_private
mks.security.policy.scheme.10.0.8.25=windows_clear,flat_clear
次の設定順序は無効です。
mks.security.policy.scheme.10.0.8.14=flat_private,windows_private
mks.security.policy.scheme.10.0.8.15=flat_clear,windows_clear
デフォルト設定にすべてのセキュリティ領域の一覧が含まれていない場合は、mks.usersDomain プロパティを使用して順序を指定する必要があります。たとえば、次は設定の有効な組み合わせです。
mks.usersDomain=ads,flat_clear
mks.security.policy.scheme.default=windows_clear,flat_clear
mks.security.policy.scheme.10.0.8.24=windows_private,flat_clear
セキュリティ領域の順序を指定すると、同じユーザーが複数のセキュリティ領域において同じユーザー名で定義された場合の潜在的な問題も解決されます。ユーザーは、一覧の最初にあるセキュリティ領域で認証されます。