MapCredentials.xml ファイルでの認証の設定
MapCredentials.xml ファイルは、特定の Info*Engine アダプタへの認証アクセス権を指定するときに使用します。MapCredentials.xml ファイル内に特定のアダプタのエントリが存在しない場合は、対応するディレクトリへのデフォルトアクセスは匿名になります。このため、Windchill 管理者はそのディレクトリ内のエントリを読み取ったり変更したりする (ユーザー情報の作成および更新) ことができなくなると考えられます。
エンタープライズディレクトリを手動で追加していて、匿名アクセスを行いたくない場合は、MapCredentials.xml ファイル内の既存のプロパティに新しく作成した JNDI アダプタ、識別名、およびパスワードを追加することで、エンタープライズディレクトリへの認証アクセスを設定する必要があります。さらに、既存のプロパティ値を変更することで、認証に使用する識別名またはパスワードを変更することができます。
xconfmanager ユーティリティを使用して、
MapCredentials.xml ファイル内のプロパティを更新します。
MapCredentials.xml ファイルを直接編集することで行った変更内容は、xconfmanager ユーティリティによって上書きされます。xconfmanager ユーティリティの詳細については、
xconfmanager ユーティリティについてを参照してください。
|
プロパティの変更内容が保存される実際のファイルは codebase/WEB-INF/mapCredentials.txt ファイルです。このファイルの変更は、必ず xconfmanager ユーティリティを使用して行ってください。
|
エンタープライズディレクトリへのアクセスを定義するには、次の手順で行います。
1. Windchill 管理者が LDAP ディレクトリサービスの認証に使用する識別名とパスワードを決定します。
このステップで決定した識別名とパスワードは、この手順の後のステップで使用します。セミコロンは制限付きの文字であり、Windchill 管理者パスワードでは使用できません。
2. グループエントリへのアクセス、またはグループ情報やユーザー情報の変更を Windchill に許可する場合は、ステップ 1 で指定した識別名が、ディレクトリサーバー内の Windchill オブジェクトの読み取り/作成/更新/削除のために十分な特権を許可するものであることを確認してください。
|
JNDI アダプタの作成と設定のセクション「追加プロパティの設定」で説明されている windchill.config.readOnly および windchill.config.doesNotContainGroups プロパティを使用してアクセスを有効にすることができます。
LDAP 内で定義されているユーザーに対して設定されたアクセス制御権限を変更するには、ディレクトリサーバー管理ツールを使用する必要があります。
|
3. xconfmanager ユーティリティを使用して MapCredentials.xml ファイルを変更し、Windchill 管理者がディレクトリサーバーへのアクセスに使用する識別名とパスワードを組み込みます (プロパティの変更内容は codebase/WEB-INF/mapCredentials.txt ファイルに格納されます)。
プロパティのフォーマットは、次のとおりです。
mapcredentials.admin.adapters=<サービス名>^<識別名>^<パスワード>
ここで、<識別名> および <パスワード> はステップ 1 で決定した値です。
これは複数の値をとるプロパティです。xconfmanager --add オプションを使用して複数のアダプタ定義を追加できます。xconfmanager --remove オプションを使用して特定の値を除去します。
たとえば、エンタープライズ LDAP ディレクトリサーバーにアクセスするためにセットアップされたアダプタの名前が enterpriseAdapter であるとします。このシナリオでは、識別名の値は cn=DistUser,o=myCompany で、パスワードは password です。次のコマンドは、LDAP ディレクトリに必要な認証アクセスを追加します。
xconfmanager --add "mapcredentials.admin.adapters=
enterpriseAdapter^cn=DistUser,o=myCompany^password"
-t "codebase/WEB-INF/mapCredentials.txt" -p
xconfmanager ユーティリティを使用してこのプロパティの値を設定すれば、指定したパスワードが確実に暗号化されます。システムパスワードの暗号化の詳細については、
特殊な管理を参照してください。
Windchill に対して追加のカスタマイズを行った場合は、Windchill のその他のアクティビティのために作成されたアダプタを使用して、追加の認証アクセスを設定することもできます (これらのアクティビティに必要なアクセス権が不足している場合)。この場合は、次のプロパティを使用して、アダプタ内で指定された LDAP ディレクトリサーバーへの認証アクセスを追加または変更します。
mapcredentials.nonprivileged.adapters=<サービス名>^<識別名>^
<パスワード>
このプロパティは、設定済みのエンタープライズ LDAP アダプタにアクセスする必要がある、Windchill 管理特権を持たないユーザーの識別名とパスワードを指定します。
たとえば、エンタープライズ LDAP ディレクトリサーバーにアクセスするためにセットアップされたアダプタの名前が newAdapter であるとします。このシナリオでは、識別名の値は cn=NonprivUser,o=myCompany で、パスワードは password です。次のコマンドは、LDAP ディレクトリに必要な認証アクセスを追加します。
xconfmanager --add "mapcredentials.nonprivileged.adapters=
newAdapter^cn=NonprivUser,o=myCompany^password"
-t "codebase/WEB-INF/mapCredentials.txt" -p
|
ここで指定する識別名が、ディレクトリサーバー内の Windchill オブジェクトを読み取るために十分な特権を許可するものであることを確認してください。
|
資格証明マッピングの詳細については、
資格証明マッピングを参照してください。