|
Windchill 管理员负责确保 LDAP V3 目录的配置和管理是安全的。PTC 强烈建议在配置 LDAP 基础设施时采取深度防御策略。其中包括但不限于以下内容:
• 使用强 RBAC (基于角色的访问控制),遵循最小权限原则。应限制管理登录。
• 配置 LDAPS,确保数据加密传输。
• 限制远程访问,仅公开预期操作所需的端口和协议。
• 确保应用最新的安全修补程序。
• 将 LDAP 托管在企业网络内的单独服务器上,而不是托管在托管 Windchill 应用程序的服务器上。
• 如果将 LDAP 部署在 Windchill 所在的服务器上,请阻止不需要的端口。请确保不会将这些端口公开到企业内部网络或 Internet。
• 避免将 LDAP 服务器公开到 Internet。
|
|
根据安装的产品,默认的 LDAP 目录结构会有所不同。
|
选项
|
说明
|
“位置”
|
JVM 密钥库中受信任证书/自签名证书的位置,位于
> 下。请确保您提供具有适当扩展名的有效证书。此字段不应为空。 |
“类型”
|
证书加密类型。
|
密码
|
仅在存在关联密码的情况下才需要此字段。
|
“LdapVerify 服务器证书”
|
用于启用或禁用服务器证书验证的选项。默认值为“关闭”。
|
选项
|
说明
|
LDAP 服务
|
如果企业节点是 ADS,则选择此选项。否则,选择其他与 V3 兼容的 LDAP 服务器。
只要选择了 ADS,即会突出显示本节稍后介绍的以下选项。请参阅 ADS 属性的默认用户映射。
|
LDAP 适配器名称
|
可配置单个 LDAP 适配器。
|
LDAP 服务器主机名
|
<主机名>.<域> 为默认值。
|
LDAP 用户的基础可分辨名称
|
LDAP 用户的基础可分辨名称。安装程序使用您指定的可分辨名称来创建目录。
|
选项
|
默认
|
说明
|
LDAP 服务器端口
|
389
|
定义 LDAP 监听请求的端口号。
|
LDAP 用户可分辨名称
|
在 LDAP 目录中指定一个用户节点,其中包含应对 Windchill 可见的目录中的所有用户。
|
|
LDAP 密码
|
LDAP 管理员密码。
|
选项
|
默认
|
说明
|
||
LDAP 服务
|
Active Directory Service (ADS)
|
如果企业节点是 ADS,则选择此选项。否则,选择其他与 V3 兼容的 LDAP 服务器。
只要选择了 ADS,即会突出显示本节稍后介绍的以下选项。请参阅 ADS 属性的默认用户映射。
|
||
Windchill 信息库权限
|
只读。
|
仅当选择了“读取”和“写入”选项时,才可以选择仅加载演示用户。
|
||
信息库包含
|
用户
|
根据需要选择此选项。选中 Users 或 Groups 复选框。
根据所选的选项,应用程序会在确定对 Windchill 的访问权限时考虑该企业 LDAP 中定义的用户或组。
如果信息库为只读,则应用程序不会尝试管理信息库中的用户和组。
|
||
LDAP 连接
|
作为用户绑定
|
指定用于连接企业信息库的绑定方法。
有两个选项可供使用:
• “作为匿名绑定”- 此选项无需用户名即可读取信息库的内容。
• “作为用户绑定”- 此选项可将指定用户绑定到目录。此用户必须存在于 LDAP 中。
|
||
用户筛选器
|
筛选用户。
只有在此处选择的用户才可通过 Windchill 进行搜索
示例:
• 如果企业节点是与 V3 兼容的 LDAP 服务器:
◦ uid= *(搜索所有用户)
或
◦ uid= ne* (搜索名称以 ne 开头的所有用户)。
• 如果企业节点为 ADS:
◦ cn=* (搜索所有用户)
或
◦ cn=ne* (搜索名称以 ne 开头的所有用户)
|
|||
组筛选器
|
筛选组。
只有在此处选择的组才可通过 Windchill 进行搜索。
示例:
• 如果企业节点 (LDAP) 为:
◦ cn=* (搜索所有组)
或
◦ cn=gr* (搜索名称以 gr 开头的所有组)。
• 如果企业节点为 ADS:
◦ cn=* (搜索所有组)
或
◦ cn=gr* (搜索名称以 gr 开头的所有组) 等。
|
选项
|
默认值
|
对象类
|
user
|
组织名称
|
company
|
唯一标识符
|
sAMAccountName
|
唯一标识符属性
|
sAMAccountName
|
通用名称
|
cn
|
电子邮件地址
|
mail
|
姓氏
|
sn
|
用户证书
|
userCertificate
|
电话号码
|
telephoneNumber
|
传真号码
|
facsimileTelephoneNumber
|
移动电话号码
|
mobile
|
邮政地址
|
postalAddress
|
首选语言
|
preferredLanguage
|
其他属性
|
objectGUID
|
|
默认情况下,唯一标识符属性和唯一标识符二者可具有相同的值;但是,唯一标识符属性必须始终指向具有唯一值的属性。如果 ADS 配置没有多个子域,并且您知道 sAMAccountName 在单独的域中是唯一的,则可将默认值用于唯一标识符属性。如果您的 sAMAccountName 值不是唯一的,则应将 userPrincipalName 用于唯一标识符属性。
|
选项
|
默认
|
唯一标识符属性
|
sAMAccountName
|
说明
|
description
|
对象类
|
group
|
唯一成员
|
member
|