|
Windchill 管理者は、LDAP V3 ディレクトリのコンフィギュレーションと管理の安全性について責任を負います。LDAP インフラストラクチャを設定する際には、多層防御を使用することを強くお勧めします。これには以下が含まれますが、以下に限定されません。
• 最小限の権限の原則に従って、強力な RBAC (役割ベースのアクセス制御) を使用します。管理ログインを制限する必要があります。
• LDAPS を設定することで、データが転送中に暗号化されるようにします。
• リモートアクセスを制限し、予想される操作に必要なポートとプロトコルのみを開きます。
• 最新のセキュリティパッチを必ず適用するようにします。
• Windchill アプリケーションをホストしているサーバーではなく、社内ネットワーク内の別のサーバーで LDAP をホストします。
• LDAP が Windchill と同じサーバーに展開されている場合は、不要なポートをブロックします。これらのポートを社内ネットワークやインターネットに公開しないようにしてください。
• LDAP サーバーをインターネットに公開しないようにします。
|
|
インストールする製品によって、デフォルトの LDAP ディレクトリ構造は異なります。
|
オプション
|
説明
|
場所
|
> で JVM キーストアに存在する信頼された証明書/自己署名証明書の場所。適切な拡張子が付いた有効な証明書を指定してください。このフィールドが空であってはなりません。 |
タイプ
|
証明書の暗号化のタイプ
|
パスワード
|
これは関連付けられているパスワードが使用可能な場合にのみ必要です。
|
LdapVerify サーバーの証明書
|
サーバー証明書の検証を有効または無効にするオプション。デフォルト値は「オフ」です。
|
オプション
|
説明
|
LDAP サービス
|
エンタープライズノードが ADS の場合、このオプションを選択します。そうでない場合は、ほかの V3 準拠 LDAP を選択します。
ADS を選択すると、このセクションで後述する以下のオプションがハイライトされます。ADS 属性のデフォルトユーザーマッピングを参照してください。
|
LDAP アダプタ名
|
単一の LDAP アダプタを設定できます。
|
LDAP サーバーホスト名
|
<ホスト名>。<ドメイン> はデフォルトです。
|
LDAP ユーザーの基本識別名
|
LDAP ユーザーの基本識別名。セットアッププログラムでは、このプロパティで指定した識別名を使用してディレクトリを作成します。
|
オプション
|
デフォルト
|
説明
|
LDAP サーバーポート
|
389
|
LDAP がリクエストを受信するポート番号を定義します。
|
LDAP ユーザー識別名
|
ディレクトリ内の Windchill に表示するすべてのユーザーが格納されている、LDAP 階層内のユーザーノードを指定します。
|
|
LDAP パスワード
|
LDAP 管理者のパスワード。
|
オプション
|
デフォルト
|
説明
|
||
LDAP サービス
|
Active Directory Service (ADS)
|
エンタープライズノードが ADS の場合、このオプションを選択します。そうでない場合は、ほかの V3 準拠 LDAP を選択します。
ADS を選択すると、このセクションで後述する以下のオプションがハイライトされます。ADS 属性のデフォルトユーザーマッピングを参照してください。
|
||
リポジトリの Windchill 権限
|
読み取り専用。
|
読み取りと書き込みのオプションが選択されている場合にのみ、デモユーザーを読み込むことを選択できます。
|
||
リポジトリの内容
|
ユーザー
|
要件に従ってオプションを選択します。Users または Groups のいずれかのチェックボックスをオンにします。
Windchill へのアクセスを決定する際に、選択したオプションに応じて、このエンタープライズ LDAP で定義されているユーザーまたはグループが考慮されます。
リポジトリが読み取り専用の場合、リポジトリ内のユーザーとグループは管理されません。
|
||
LDAP 接続
|
ユーザーとしてバインド
|
エンタープライズリポジトリに接続するために使用するバインド方法を指定します。
2 つのオプションが使用できます。
• 「匿名としてバインド」 - リポジトリのコンテンツを読み取るためにユーザー名を指定する必要はありません。
• 「ユーザーとしてバインド」 - 指定したユーザーをディレクトリにバインドします。このユーザーが LDAP に存在する必要があります。
|
||
ユーザーフィルタ
|
ユーザーをフィルタします。
ここで選択したユーザーのみが Windchill で検索できます。
例
• エンタープライズノードが V3 準拠 LDAP の場合
◦ uid= *(すべてのユーザーを検索)
または
◦ uid= ne* (名前が ne で始まるすべてのユーザーを検索)
• エンタープライズノードが ADS の場合
◦ cn=* (すべてのユーザーを検索)
または
◦ cn=ne*(名前が ne で始まるすべてのユーザーを検索)
|
|||
グループフィルタ
|
グループをフィルタします。
ここで選択したグループのみが Windchill で検索できます。
例
• エンタープライズノードが V3 準拠 LDAP の場合
◦ cn=* (すべてのグループを検索)
または
◦ cn=gr* (名前が gr で始まるすべてのグループを検索)
• エンタープライズノードが ADS の場合
◦ cn=* (すべてのグループを検索)
または
◦ cn=gr*(名前が gr で始まるすべてのグループを検索) など
|
オプション
|
デフォルト
|
オブジェクトクラス
|
user
|
組織名
|
company
|
一意の識別子
|
sAMAccountName
|
一意の識別子属性
|
sAMAccountName
|
共通名
|
cn
|
電子メールアドレス
|
mail
|
姓
|
sn
|
ユーザー証明
|
userCertificate
|
電話番号
|
telephoneNumber
|
ファックス番号
|
facsimileTelephoneNumber
|
携帯電話番号
|
mobile
|
郵送先住所
|
postalAddress
|
ユーザー指定言語
|
preferredLanguage
|
追加の属性
|
objectGUID
|
|
デフォルトでは、一意の識別子属性および一意の識別子は同じ値を持つことができますが、一意の識別子属性には常に一意の値を保持する属性を指定する必要があります。ADS 設定に複数のサブドメインがない場合、および sAMAccountName が単一ドメイン内で一意であることがわかっている場合、一意の識別子属性にデフォルト値を使用できます。sAMAccountName の値が一意でない場合、一意の識別子属性に userPrincipalName を使用することが必要です。
|
オプション
|
デフォルト
|
一意の識別子属性
|
sAMAccountName
|
説明
|
description
|
オブジェクトクラス
|
グループ
|
一意のメンバー
|
member
|