LDAP 설정 입력
Windchill 사용자를 관리하기 위해 Active Directory가 될 수 있는 기본 LDAP 또는 기타 V3 호환 LDAP 서버가 필요합니다. 또한 선택적으로 Windchill 그룹 정보를 관리할 수도 있습니다.
|
|
Windchill 관리자는 LDAP V3 디렉터리의 구성 및 관리가 안전한지 확인할 책임이 있습니다. PTC는 LDAP 인프라를 구성할 때 심층 방어를 사용할 것을 강력히 권장합니다. 여기에는 다음이 포함되지만 이에 국한되지는 않습니다.
• 최소 권한의 원칙에 따라 강력한 RBAC(역할 기반 액세스 제어)를 사용합니다. 관리 로그인은 제한되어야 합니다.
• LDAPS를 구성하여 데이터가 전송 중 암호화되도록 합니다.
• 원격 액세스를 제한하고 예상되는 작업에 필요한 포트와 프로토콜만 엽니다.
• 최신 보안 패치가 적용되었는지 확인합니다.
• Windchill 응용 프로그램을 호스팅하는 동일한 서버가 아닌 회사 네트워크 내의 별도 서버에서 LDAP를 호스팅합니다.
• LDAP를 Windchill과 동일한 서버에 배포하는 경우 필요하지 않은 포트를 차단합니다. 이러한 포트가 내부 회사 네트워크 또는 인터넷에 노출되지 않도록 하십시오.
• LDAP 서버가 인터넷에 노출되지 않도록 합니다.
|
|
|
설치하려는 제품에 따라 기본 LDAP 디렉터리 구조가 다릅니다.
|
Windchill 12.0.2.0부터 PTC Solution Installer에서 LDAP 또는 LDAPS를 디렉터리 액세스 제어로 선택하는 옵션이 제공됩니다. LDAPS를 사용하려면 서버 ID를 증명할 수 있는 인증서를 가져오거나 생성해야 합니다. 생산 사용을 위해 신뢰할 수 있는 인증 기관에서 인증서를 가져오는 것이 좋습니다. 테스트를 위해 지원되는 Java 유틸리티를 사용하여 자체 서명된 인증서를 생성할 수 있습니다.
LDAPS를 사용하도록 시스템을 구성하면 디렉터리 서버(Azure Active Directory/Active Directory와 HTTP 서버 간)와 통신하는 동안 LDAP 데이터를 암호화할 수 있습니다. Windchill에서는 이제 Azure Active Directory와의 인증 및 통신을 지원합니다. SSO 구성을 위해 Azure Active Directory를 지원하거나 Azure Active Directory를 디렉터리 서버로 사용하려면 LDAPS와 함께 Windchill을 설치해야 합니다. Windchill은 유일하게 지원되는 프로토콜인 LDAP/LDAPS를 사용하여 Azure Active Directory 저장소와의 직접 통신은 지원하지 않습니다. 인증 및 통신을 지원하려면 AADDS(Azure Active Directory Domain Services)를 구성해야 합니다. AAD 주도자가 AADDS와 동기화됩니다. Microsoft Active Directory/AADDS를 사용하는 경우 sAMAccountName 또는 userPrincipalName에 매핑되도록 userID(UID) 속성이 필요합니다. 매핑은 SSO 또는 기본 인증을 사용하는 인증 구성에 따라 각각 달라집니다.
AADDS(Azure Active Directory Domain Services)는 게스트 사용자를 인증할 수 없습니다. AADDS는 사용자 유형이 멤버인 사용자만 인증할 수 있습니다.
올바른 인증서 정보를 제공해야 합니다. 그렇지 않으면 설치가 실패할 수 있습니다.
Unix 운영 체제에서 클러스터를 설정하는 경우 모든 클러스터 노드에 대해 동일한 위치에 있는 모든 인증서를 복사해야 합니다. 인증서를 <APACHE_HOME> 내에 유지하는 것이 좋습니다. PSI를 사용하면
Unix 운영 체제에서 다음 엔티티를 지정할 수 있습니다.
Unix 운영 체제에 대한 입력 값
|
옵션
|
설명
|
|
위치
|
> 에서 JVM 키 저장소에 상주하는 신뢰할 수 있는 인증서/자체 서명 인증서의 위치입니다. 적절한 확장자를 가진 유효한 인증서를 제공해야 합니다. 이 필드는 비워둘 수 없습니다.
|
|
유형
|
인증서 암호화 유형
|
|
암호
|
이는 연관된 암호를 사용할 수 있는 경우에만 필요합니다.
|
|
LDAPS 서버 인증서 확인
|
서버 인증서 검증을 활성화 또는 비활성화하는 옵션입니다. 기본값은 해제입니다.
|
설정 정의 섹션에 LDAP 설정을 입력합니다.
|
옵션
|
설명
|
|
LDAP 서비스
|
기업 노드가 ADS인 경우 이 옵션을 선택합니다. 그렇지 않으면 기타 V3 호환 LDAP를 선택합니다.
ADS를 선택하면 이 단원 뒷부분에 나오는 다음 옵션이 즉시 강조 표시됩니다. ADS 속성에 대한 기본 사용자 매핑을 참조하십시오.
|
|
LDAP 어댑터 이름
|
단일 LDAP 어댑터를 구성할 수 있습니다.
|
|
LDAP 서버 호스트 이름
|
<hostname>.<domain>이 기본값입니다.
|
|
LDAP 사용자에 대한 기본 구분 이름
|
LDAP 사용자에 대한 기본 구분 이름입니다. 설치 프로그램에서는 지정하는 구분 이름을 사용하여 디렉터리를 작성합니다.
|
새 설치 중에 다음 기본값이 자동으로 설정됩니다. 새 설치 중에는 이 값을 변경할 수 없습니다.
|
옵션
|
기본값
|
설명
|
|
LDAP 서버 포트
|
389
|
LDAP에서 요청을 수신하는 포트 번호를 정의합니다.
|
|
LDAP 사용자 구분 이름
|
|
Windchill에 표시되어야 할 디렉터리의 모든 사용자를 포함하는 LDAP 계층의 사용자 노드를 지정합니다.
|
|
LDAP 암호
|
|
LDAP 관리자의 암호입니다.
|
기본 LDAP 서버의 설정을 정의합니다.
LDAP 서비스
|
옵션
|
기본값
|
설명
|
|
LDAP 서비스
|
Active Directory 서비스(ADS)
|
기업 노드가 ADS인 경우 이 옵션을 선택합니다. 그렇지 않으면 기타 V3 호환 LDAP를 선택합니다.
ADS를 선택하면 이 단원 뒷부분에 나오는 다음 옵션이 즉시 강조 표시됩니다. ADS 속성에 대한 기본 사용자 매핑을 참조하십시오.
|
|
저장소에 대한 Windchill 권한
|
읽기 전용입니다.
|
읽기 및 쓰기 옵션을 선택한 경우에만 데모 사용자 로드를 선택할 수 있습니다.
|
|
저장소 포함 내용
|
사용자
|
요구 사항에 따라 옵션을 선택합니다. Users 또는 Groups 확인란 중 하나를 선택합니다.
선택한 옵션에 따라, 응용 프로그램은 Windchill에 대한 액세스를 결정할 때 이 엔터프라이즈 LDAP에서 정의된 사용자나 그룹을 고려합니다.
저장소가 읽기 전용이면 응용 프로그램에서 저장소의 사용자 및 그룹을 관리하려고 시도하지 않습니다.
|
|
LDAP 연결
|
사용자로 바인딩
|
기업 저장소에 연결하는 데 사용되는 바인딩 방법을 지정합니다.
다음과 같은 두 가지 옵션을 사용할 수 있습니다.
• 익명으로 바인딩 - 이 옵션에는 저장소의 컨텐트를 읽는 데 사용자 이름이 필요하지 않습니다.
• 사용자로 바인딩 - 이 옵션은 지정된 사용자를 디렉터리에 바인딩합니다. 이 사용자는 LDAP에 존재해야 합니다.
|
|
사용자 필터
|
|
사용자를 필터링하려면 다음을 수행합니다.
여기서 선택한 사용자만 Windchill을 통해 검색할 수 있습니다.
예:
• 엔터프라이즈 노드가 V3 호환 LDAP인 경우:
◦ uid= *(모든 사용자 검색)
또는
◦ uid= ne*(ne로 시작하는 이름을 가진 모든 사용자 검색)
• 기업 노드가 ADS인 경우:
◦ cn=*(모든 사용자 검색)
또는
◦ cn= ne*(ne로 시작하는 이름을 가진 모든 사용자 검색)
|
|
> > 로 이동하여 해당 기업 어댑터를 선택하여 설치한 후 이 기준을 수정할 수 있습니다.
|
|
|
그룹 필터
|
|
그룹을 필터링하려면 다음을 수행합니다.
여기서 선택한 그룹만 Windchill을 통해 검색할 수 있습니다.
예:
• 기업 노드가 아래와 같은 경우:
◦ cn=*(모든 그룹 검색)
또는
◦ cn=gr*(gr로 시작하는 이름을 가진 모든 그룹 검색)
• 기업 노드가 ADS인 경우:
◦ cn=*(모든 그룹 검색)
또는
◦ cn=gr*(gr로 시작하는 이름을 가진 모든 그룹 검색) 등
|
|
설치 후에 > > 으로 이동하고 해당 기업 어댑터를 선택하여 이 기준을 수정할 수 있습니다.
|
|
Windchill 속성에 대한 LDAP 서버 속성 매핑
속성 매핑은 LDAP 어댑터에서 구성되며, 여기에 입력하는 값은 LDAP 어댑터 정의에 저장됩니다. 옵션을 통해 ADS 기본 설정을 자동으로 추가할 수도 있습니다. 기본 설정을 지정하지 않으면 ADS를 사용할 수 없습니다. 사이트의 필요에 맞게 기본값을 조정할 수 있습니다. 사이트에서 필요로 할 경우
추가 기업 디렉터리 구성 단원을 참조하여 구성된 LDAP 어댑터에서 매핑을 정의할 수 있습니다.
ADS 속성에 대한 기본 사용자 매핑
"옵션" 열은 Windchill 속성 이름을 지정하며 "기본값" 열은 ADS 속성 이름/값을 지정합니다.
|
옵션
|
기본값
|
|
객체 클래스
|
사용자
|
|
조직 이름
|
company
|
|
고유 식별자
|
sAMAccountName
|
|
고유 식별자 속성
|
sAMAccountName
|
|
공통 이름
|
cn
|
|
이메일 주소
|
mail
|
|
이름(성)
|
sn
|
|
사용자 인증서
|
userCertificate
|
|
전화 번호
|
telephoneNumber
|
|
팩스 번호
|
facsimileTelephoneNumber
|
|
휴대 전화 번호
|
mobile
|
|
우편 주소
|
postalAddress
|
|
선호 언어
|
preferredLanguage
|
|
추가 속성
|
objectGUID
|
이러한 필드에 대한 설명은
추가 기업 디렉터리 구성에서 찾을 수 있습니다.
|
|
기본적으로 고유 식별자 속성과 고유 식별자의 값은 동일할 수 있지만, 고유 식별자 속성은 항상 고유 값을 갖는 속성을 가리켜야 합니다. ADS 구성에 하위 도메인이 하나뿐이며 sAMAccountName이 단일 도메인 내에서 고유하다는 것을 알고 있는 경우 고유 식별자 속성에 기본값을 사용할 수 있습니다. sAMAccountName의 값이 고유하지 않은 경우 고유 식별자 속성에 대해 userPrincipalName을 사용해야 합니다.
|
ADS 속성에 대한 기본 그룹 매핑
"옵션" 열은 Windchill 속성 이름을 지정하며 "기본값" 열은 ADS 속성 이름을 지정합니다.
|
옵션
|
기본값
|
|
고유 식별자 속성
|
sAMAccountName
|
|
설명
|
description
|
|
객체 클래스
|
그룹
|
|
고유 멤버
|
member
|
이러한 필드에 대한 설명은
추가 기업 디렉터리 구성에서 찾을 수 있습니다.
