LDAP の設定の入力
Windchill ユーザーを管理するには、デフォルトの LDAP として Active Directory またはその他の V3 準拠の LDAP サーバーを使用する必要があります。オプションで Windchill グループ情報も管理できます。
|
|
Windchill 管理者は、LDAP V3 ディレクトリのコンフィギュレーションと管理の安全性について責任を負います。LDAP インフラストラクチャを設定する際には、多層防御を使用することを強くお勧めします。これには以下が含まれますが、以下に限定されません。
• 最小限の権限の原則に従って、強力な RBAC (役割ベースのアクセス制御) を使用します。管理ログインを制限する必要があります。
• LDAPS を設定することで、データが転送中に暗号化されるようにします。
• リモートアクセスを制限し、予想される操作に必要なポートとプロトコルのみを開きます。
• 最新のセキュリティパッチを必ず適用するようにします。
• Windchill アプリケーションをホストしているサーバーではなく、社内ネットワーク内の別のサーバーで LDAP をホストします。
• LDAP が Windchill と同じサーバーに展開されている場合は、不要なポートをブロックします。これらのポートを社内ネットワークやインターネットに公開しないようにしてください。
• LDAP サーバーをインターネットに公開しないようにします。
|
|
|
インストールする製品によって、デフォルトの LDAP ディレクトリ構造は異なります。
|
Windchill 12.0.2.0 以降では、PTC Solution Installer でディレクトリアクセス制御として LDAP または LDAPS を選択できます。LDAPS を使用するには、サーバーアイデンティティの証明に使用される証明書を取得または生成する必要があります。本番環境で使用する場合、信頼された証明機関から証明書を取得することをお勧めします。テストを目的とする場合、サポートされている Java のユーティリティを使用して自己署名証明書を生成できます。
LDAPS を使用するようにシステムを設定すると、ディレクトリサーバー (Azure Active Directory/Active Directory と HTTP サーバー間) との通信中の LDAP データの暗号化が有効になります。Windchill では Azure Active Directory による認証と通信がサポートされるようになりました。Azure Active Directory での SSO の設定をサポートしたり、Azure Active Directory をディレクトリサーバーとして使用したりするには、LDAPS で Windchill をインストールする必要があります。Windchill は、サポートされている唯一のプロトコルである LDAP/LDAPS を使用した Azure Active Directory リポジトリとの直接通信をサポートしていません。認証と通信がサポートされるためには、Azure Active Directory Domain Services (AADDS) を設定する必要があります。AAD プリンシパルは AADDS と同期します。Microsoft Active Directory/AADDS を使用している場合、userID (UID) 属性が sAMAccountName または userPrincipalName にマッピングされている必要があります。このマッピングは、それぞれ使用している SSO 認証または基本認証の認証設定で行います。
Azure Active Directory Domain Services AADDS はゲストユーザーを認証できません。AADDS は「User type」が「Members」であるユーザーのみを認証できます。
正しい証明書情報を入力してください。情報が正しくない場合、インストールが失敗する可能性があります。
Unix オペレーティングシステムでクラスタ設定を行う場合、すべてのクラスタノードで同じ場所にすべての証明書をコピーしてください。<APACHE_ホーム> 内に証明書を保存することをお勧めします。PSI では、
Unix オペレーティングシステム上で以下のエンティティを指定できます。
Unix オペレーティングシステムの入力値
|
オプション
|
説明
|
|
場所
|
> で JVM キーストアに存在する信頼された証明書/自己署名証明書の場所。適切な拡張子が付いた有効な証明書を指定してください。このフィールドが空であってはなりません。
|
|
タイプ
|
証明書の暗号化のタイプ
|
|
パスワード
|
これは関連付けられているパスワードが使用可能な場合にのみ必要です。
|
|
LdapVerify サーバーの証明書
|
サーバー証明書の検証を有効または無効にするオプション。デフォルト値は「オフ」です。
|
「設定を定義」セクションで、LDAP 設定を入力します。
|
オプション
|
説明
|
|
LDAP サービス
|
エンタープライズノードが ADS の場合、このオプションを選択します。そうでない場合は、ほかの V3 準拠 LDAP を選択します。
ADS を選択すると、このセクションで後述する以下のオプションがハイライトされます。ADS 属性のデフォルトユーザーマッピングを参照してください。
|
|
LDAP アダプタ名
|
単一の LDAP アダプタを設定できます。
|
|
LDAP サーバーホスト名
|
<ホスト名>。<ドメイン> はデフォルトです。
|
|
LDAP ユーザーの基本識別名
|
LDAP ユーザーの基本識別名。セットアッププログラムでは、このプロパティで指定した識別名を使用してディレクトリを作成します。
|
以下のデフォルト値は、新規インストール時に自動的に設定されます。これらの値を新規インストール時に変更することはできません。
|
オプション
|
デフォルト
|
説明
|
|
LDAP サーバーポート
|
389
|
LDAP がリクエストを受信するポート番号を定義します。
|
|
LDAP ユーザー識別名
|
|
ディレクトリ内の Windchill に表示するすべてのユーザーが格納されている、LDAP 階層内のユーザーノードを指定します。
|
|
LDAP パスワード
|
|
LDAP 管理者のパスワード。
|
デフォルトの LDAP サーバーの設定を定義します。
LDAP サービス
|
オプション
|
デフォルト
|
説明
|
|
LDAP サービス
|
Active Directory Service (ADS)
|
エンタープライズノードが ADS の場合、このオプションを選択します。そうでない場合は、ほかの V3 準拠 LDAP を選択します。
ADS を選択すると、このセクションで後述する以下のオプションがハイライトされます。ADS 属性のデフォルトユーザーマッピングを参照してください。
|
|
リポジトリの Windchill 権限
|
読み取り専用。
|
読み取りと書き込みのオプションが選択されている場合にのみ、デモユーザーを読み込むことを選択できます。
|
|
リポジトリの内容
|
ユーザー
|
要件に従ってオプションを選択します。Users または Groups のいずれかのチェックボックスをオンにします。
Windchill へのアクセスを決定する際に、選択したオプションに応じて、このエンタープライズ LDAP で定義されているユーザーまたはグループが考慮されます。
リポジトリが読み取り専用の場合、リポジトリ内のユーザーとグループは管理されません。
|
|
LDAP 接続
|
ユーザーとしてバインド
|
エンタープライズリポジトリに接続するために使用するバインド方法を指定します。
2 つのオプションが使用できます。
• 「匿名としてバインド」 - リポジトリのコンテンツを読み取るためにユーザー名を指定する必要はありません。
• 「ユーザーとしてバインド」 - 指定したユーザーをディレクトリにバインドします。このユーザーが LDAP に存在する必要があります。
|
|
ユーザーフィルタ
|
|
ユーザーをフィルタします。
ここで選択したユーザーのみが Windchill で検索できます。
例
• エンタープライズノードが V3 準拠 LDAP の場合
◦ uid= *(すべてのユーザーを検索)
または
◦ uid= ne* (名前が ne で始まるすべてのユーザーを検索)
• エンタープライズノードが ADS の場合
◦ cn=* (すべてのユーザーを検索)
または
◦ cn=ne*(名前が ne で始まるすべてのユーザーを検索)
|
|
> > の順に選択し、対応するエンタープライズアダプタを選択することにより、インストール後にこの基準を修正できます。
|
|
|
グループフィルタ
|
|
グループをフィルタします。
ここで選択したグループのみが Windchill で検索できます。
例
• エンタープライズノードが V3 準拠 LDAP の場合
◦ cn=* (すべてのグループを検索)
または
◦ cn=gr* (名前が gr で始まるすべてのグループを検索)
• エンタープライズノードが ADS の場合
◦ cn=* (すべてのグループを検索)
または
◦ cn=gr*(名前が gr で始まるすべてのグループを検索) など
|
|
> > の順に選択し、対応するエンタープライズアダプタを選択することにより、インストール後にこの基準を修正できます。
|
|
LDAP サーバー属性の Windchill 属性に対するマッピング
属性マッピングは LDAP アダプタで設定されます。ここで指定した値は、LDAP アダプタの定義に格納されます。オプションによって、ADS のデフォルトセットが自動的に追加されます。デフォルトセットを指定しないと、ADS は使用できません。デフォルトはサイトのニーズに合わせて調整できます。サイトでマッピングが必要な場合は、
追加のエンタープライズディレクトリの設定を参照して、設定済みの任意の LDAP アダプタでマッピングを定義できます。
ADS 属性のデフォルトユーザーマッピング
"オプション" コラムは Windchill に必要な属性名を示し、"デフォルト値" コラムは ADS 属性名/値を示します。
|
オプション
|
デフォルト
|
|
オブジェクトクラス
|
user
|
|
組織名
|
company
|
|
一意の識別子
|
sAMAccountName
|
|
一意の識別子属性
|
sAMAccountName
|
|
共通名
|
cn
|
|
電子メールアドレス
|
mail
|
|
姓
|
sn
|
|
ユーザー証明
|
userCertificate
|
|
電話番号
|
telephoneNumber
|
|
ファックス番号
|
facsimileTelephoneNumber
|
|
携帯電話番号
|
mobile
|
|
郵送先住所
|
postalAddress
|
|
ユーザー指定言語
|
preferredLanguage
|
|
追加の属性
|
objectGUID
|
これらのフィールドの説明については、
追加のエンタープライズディレクトリの設定を参照してください。
|
|
デフォルトでは、一意の識別子属性および一意の識別子は同じ値を持つことができますが、一意の識別子属性には常に一意の値を保持する属性を指定する必要があります。ADS 設定に複数のサブドメインがない場合、および sAMAccountName が単一ドメイン内で一意であることがわかっている場合、一意の識別子属性にデフォルト値を使用できます。sAMAccountName の値が一意でない場合、一意の識別子属性に userPrincipalName を使用することが必要です。
|
ADS 属性のデフォルトグループマッピング
"オプション" 列は Windchill に必要な属性名を示し、"デフォルト値" 列は ADS 属性名を示します。
|
オプション
|
デフォルト
|
|
一意の識別子属性
|
sAMAccountName
|
|
説明
|
description
|
|
オブジェクトクラス
|
グループ
|
|
一意のメンバー
|
member
|
これらのフィールドの説明については、
追加のエンタープライズディレクトリの設定を参照してください。
