选择您的安全策略
您的安全策略会为您的用户指定安全方案。如果所有用户使用相同的安全方案,请指定默认的身份验证域和传输协议。
在 security.properties 中,取消注释 mks.security.policy.scheme.default 并指定您的默认策略,例如:
mks.security.policy.scheme.default=flat_clear
|
身份验证域
|
传输协议
|
安全策略
|
|---|---|---|
|
Kerberos
|
明文
|
windows_clear
|
|
Kerberos
|
专用
|
windows_private
|
|
无格式文件
|
明文
|
flat_clear
|
|
无格式文件
|
专用
|
flat_private
|
|
LDAP
|
明文
|
ldap_clear
|
|
LDAP
|
专用
|
ldap_private
|
|
UNIX
|
明文
|
unix_clear
|
|
UNIX
|
专用
|
unix_private
|
 |
• 从 12.1 版开始,Integrity Lifecycle Manager 没有针对任何操作系统的默认安全方案。
• 如果您在 agent.properties 中仅指定了 clear 或 secure 端口,则您的安全方案必须对该端口使用相应的通信方式。
|
使用多个安全方案
Windchill RV&S 支持使用多个安全方案来对用户进行身份验证。例如,您可以使用以下安全策略:
mks.security.policy.scheme.default=windows_clear,flat_clear
若使用此安全策略,当用户尝试登录系统时,其凭据会首先提供给 Kerberos 服务器,如果凭据被接受,则用户就会登录成功。如果用户的凭据未被接受,则会将其提供给无格式文件域。如果无格式文件域不接受凭据,则拒绝该用户访问应用程序。
Windchill RV&S 代理 支持以下安全域组合:
• Windows 和无格式文件
• LDAP 和无格式文件
• UNIX 和无格式文件
|
|
组合中的每个安全方案必须使用相同的传输协议 (明文或专用)。
|
如果您使用多种安全方案并且在两个或多个安全域中使用相同的用户名,则在使用该用户名登录时,您必须使用列出的第一个安全域中定义的密码。例如,如果您有以下安全策略:
mks.security.policy.scheme.default=windows_clear,flat_clear
并且 jbrown 在 ADS 和无格式文件安全域中都定义为用户名,则在作为 jbrown 登录时,您必须使用 ADS 域中定义的密码。
按传入的 Windchill RV&S 服务器 地址指定安全策略
您可以根据 IP 地址 (完整或部分) 来针对传入的 Windchill RV&S 代理 连接使用特定的安全方案。Windchill RV&S 代理 根据传入连接的 IP 地址选择安全方案。如果指定了部分 IP 地址,则子网 (最多 256 个计算机) 中 IP 地址以与部分 IP 地址中相同三个条目开头的每个传入连接将使用指定的安全方案。
在以下特性中指定传入连接的安全方案:
mks.security.policy.scheme.<client ip>=<security scheme>
mks.security.policy.scheme.<subnet ip>=<security scheme>
例如,如果传入连接的 IP 地址为 10.0.8.24,并且您想使用 Windows 专用安全策略,则应指定以下内容:
• 如果使用完整的 Windchill RV&S 服务器 地址
mks.security.policy.scheme.10.0.8.24=windows_private
• 如果使用部分 Windchill RV&S 服务器 地址
mks.security.policy.scheme.10.0.8=windows_private
您可以为每个 IP 地址指定多个逗号分隔的安全策略,例如:
mks.security.policy,scheme.10.0.8.24=windows_private,flat_private
|
|
当为一个 IP 地址指定多个安全策略时,该 IP 地址的所有策略必须使用同一个传输协议。
|
传入连接的 IP 地址将按照从最具体到最不具体的顺序与指定的策略进行比较。例如,如果您指定了以下安全策略:
mks.security.policy.scheme.10.0.8=ldap_clear,flat_clear
mks.security.policy.scheme.10.0.8.24=flat_private
mks.security.policy.scheme.default=ldap_clear
mks.security.policy.scheme.10.0.8.24=flat_private
mks.security.policy.scheme.default=ldap_clear
则使用加密传输协议针对无格式文件验证 IP 地址为 10.0.8.24 的传入连接。
|
|
所有 IP 地址的传输协议不需要相同。
|
指定方案顺序
使用基于传入连接地址的多种安全方案时,为所有 IP 地址指定的安全域顺序必须相同。默认顺序由 mks.security.policy.scheme.default 设置指定。例如,如果默认顺序如下:
mks.security.policy.scheme.default=windows_clear,flat_clear
则以下方案顺序有效:
mks.security.policy.scheme.10.0.8.24=windows_private,flat_private
mks.security.policy.scheme.10.0.8.25=windows_clear,flat_clear
mks.security.policy.scheme.10.0.8.25=windows_clear,flat_clear
但以下方案顺序无效:
mks.security.policy.scheme.10.0.8.14=flat_private,windows_private
mks.security.policy.scheme.10.0.8.15=flat_clear,windows_clear
mks.security.policy.scheme.10.0.8.15=flat_clear,windows_clear
如果默认方案不包含完整的安全域列表,那么您必须使用 mks.usersDomain 特性来指定顺序。例如,以下为有效的设置组合:
mks.usersDomain=ads,flat_clear
mks.security.policy.scheme.default=windows_clear,flat_clear
mks.security.policy.scheme.10.0.8.24=windows_private,flat_clear
mks.security.policy.scheme.default=windows_clear,flat_clear
mks.security.policy.scheme.10.0.8.24=windows_private,flat_clear
如果在多个安全域中使用相同的用户名定义同一用户,则指定安全域顺序还可以解决潜在问题。用户会通过列表中首先出现的安全域进行身份验证。