|
Windchill 관리자는 LDAP V3 디렉터리의 구성 및 관리가 안전한지 확인할 책임이 있습니다. PTC는 LDAP 인프라를 구성할 때 심층 방어를 사용할 것을 강력히 권장합니다. 여기에는 다음이 포함되지만 이에 국한되지는 않습니다.
• 최소 권한의 원칙에 따라 강력한 RBAC(역할 기반 액세스 제어)를 사용합니다. 관리 로그인은 제한되어야 합니다.
• LDAPS를 구성하여 데이터가 전송 중 암호화되도록 합니다.
• 원격 액세스를 제한하고 예상되는 작업에 필요한 포트와 프로토콜만 엽니다.
• 최신 보안 패치가 적용되었는지 확인합니다.
• Windchill 응용 프로그램을 호스팅하는 동일한 서버가 아닌 회사 네트워크 내의 별도 서버에서 LDAP를 호스팅합니다.
• LDAP를 Windchill과 동일한 서버에 배포하는 경우 필요하지 않은 포트를 차단합니다. 이러한 포트가 내부 회사 네트워크 또는 인터넷에 노출되지 않도록 하십시오.
• LDAP 서버가 인터넷에 노출되지 않도록 합니다.
|
|
설치하려는 제품에 따라 기본 LDAP 디렉터리 구조가 다릅니다.
|
옵션
|
설명
|
---|---|
위치
|
> 에서 JVM 키 저장소에 상주하는 신뢰할 수 있는 인증서/자체 서명 인증서의 위치입니다. 적절한 확장자를 가진 유효한 인증서를 제공해야 합니다. 이 필드는 비워둘 수 없습니다. |
유형
|
인증서 암호화 유형
|
암호
|
이는 연관된 암호를 사용할 수 있는 경우에만 필요합니다.
|
LDAPS 서버 인증서 확인
|
서버 인증서 검증을 활성화 또는 비활성화하는 옵션입니다. 기본값은 해제입니다.
|
옵션
|
설명
|
---|---|
LDAP 서비스
|
기업 노드가 ADS인 경우 이 옵션을 선택합니다. 그렇지 않으면 기타 V3 호환 LDAP를 선택합니다.
ADS를 선택하면 이 단원 뒷부분에 나오는 다음 옵션이 즉시 강조 표시됩니다. ADS 속성에 대한 기본 사용자 매핑을 참조하십시오.
|
LDAP 어댑터 이름
|
단일 LDAP 어댑터를 구성할 수 있습니다.
|
LDAP 서버 호스트 이름
|
<hostname>.<domain>이 기본값입니다.
|
LDAP 사용자에 대한 기본 구분 이름
|
LDAP 사용자에 대한 기본 구분 이름입니다. 설치 프로그램에서는 지정하는 구분 이름을 사용하여 디렉터리를 작성합니다.
|
옵션
|
기본값
|
설명
|
---|---|---|
LDAP 서버 포트
|
389
|
LDAP에서 요청을 수신하는 포트 번호를 정의합니다.
|
LDAP 사용자 구분 이름
|
Windchill에 표시되어야 할 디렉터리의 모든 사용자를 포함하는 LDAP 계층의 사용자 노드를 지정합니다.
|
|
LDAP 암호
|
LDAP 관리자의 암호입니다.
|
옵션
|
기본값
|
설명
|
||
---|---|---|---|---|
LDAP 서비스
|
Active Directory 서비스(ADS)
|
기업 노드가 ADS인 경우 이 옵션을 선택합니다. 그렇지 않으면 기타 V3 호환 LDAP를 선택합니다.
ADS를 선택하면 이 단원 뒷부분에 나오는 다음 옵션이 즉시 강조 표시됩니다. ADS 속성에 대한 기본 사용자 매핑을 참조하십시오.
|
||
저장소에 대한 Windchill 권한
|
읽기 전용입니다.
|
읽기 및 쓰기 옵션을 선택한 경우에만 데모 사용자 로드를 선택할 수 있습니다.
|
||
저장소 포함 내용
|
사용자
|
요구 사항에 따라 옵션을 선택합니다. Users 또는 Groups 확인란 중 하나를 선택합니다.
선택한 옵션에 따라, 응용 프로그램은 Windchill에 대한 액세스를 결정할 때 이 엔터프라이즈 LDAP에서 정의된 사용자나 그룹을 고려합니다.
저장소가 읽기 전용이면 응용 프로그램에서 저장소의 사용자 및 그룹을 관리하려고 시도하지 않습니다.
|
||
LDAP 연결
|
사용자로 바인딩
|
기업 저장소에 연결하는 데 사용되는 바인딩 방법을 지정합니다.
다음과 같은 두 가지 옵션을 사용할 수 있습니다.
• 익명으로 바인딩 - 이 옵션에는 저장소의 컨텐트를 읽는 데 사용자 이름이 필요하지 않습니다.
• 사용자로 바인딩 - 이 옵션은 지정된 사용자를 디렉터리에 바인딩합니다. 이 사용자는 LDAP에 존재해야 합니다.
|
||
사용자 필터
|
사용자를 필터링하려면 다음을 수행합니다.
여기서 선택한 사용자만 Windchill을 통해 검색할 수 있습니다.
예:
• 엔터프라이즈 노드가 V3 호환 LDAP인 경우:
◦ uid= *(모든 사용자 검색)
또는
◦ uid= ne*(ne로 시작하는 이름을 가진 모든 사용자 검색)
• 기업 노드가 ADS인 경우:
◦ cn=*(모든 사용자 검색)
또는
◦ cn= ne*(ne로 시작하는 이름을 가진 모든 사용자 검색)
|
|||
그룹 필터
|
그룹을 필터링하려면 다음을 수행합니다.
여기서 선택한 그룹만 Windchill을 통해 검색할 수 있습니다.
예제:
• 기업 노드가 아래와 같은 경우:
◦ cn=*(모든 그룹 검색)
또는
◦ cn=gr*(gr로 시작하는 이름을 가진 모든 그룹 검색)
• 기업 노드가 ADS인 경우:
◦ cn=*(모든 그룹 검색)
또는
◦ cn=gr*(gr로 시작하는 이름을 가진 모든 그룹 검색) 등
|
옵션
|
기본값
|
---|---|
객체 클래스
|
사용자
|
조직 이름
|
company
|
고유 식별자
|
sAMAccountName
|
고유 식별자 속성
|
sAMAccountName
|
공통 이름
|
cn
|
이메일 주소
|
mail
|
이름(성)
|
sn
|
사용자 인증서
|
userCertificate
|
전화 번호
|
telephoneNumber
|
팩스 번호
|
facsimileTelephoneNumber
|
휴대 전화 번호
|
mobile
|
우편 주소
|
postalAddress
|
선호 언어
|
preferredLanguage
|
추가 속성
|
objectGUID
|
|
기본적으로 고유 식별자 속성과 고유 식별자의 값은 동일할 수 있지만, 고유 식별자 속성은 항상 고유 값을 갖는 속성을 가리켜야 합니다. ADS 구성에 하위 도메인이 하나뿐이며 sAMAccountName이 단일 도메인 내에서 고유하다는 것을 알고 있는 경우 고유 식별자 속성에 기본값을 사용할 수 있습니다. sAMAccountName의 값이 고유하지 않은 경우 고유 식별자 속성에 대해 userPrincipalName을 사용해야 합니다.
|
옵션
|
기본값
|
---|---|
고유 식별자 속성
|
sAMAccountName
|
설명
|
description
|
객체 클래스
|
그룹
|
고유 멤버
|
member
|