輸入您的 LDAP 設定
管理 Windchill 使用者需要使用預設 LDAP,它可能是 Active Directory 伺服器,也可能是與 V3 相容的 LDAP 伺服器。它也可以選擇管理 Windchill 群組資訊。
* 
Windchill 管理員負責確保 LDAP V3 目錄的組態與管理的安全。PTC 強烈建議在配置 LDAP 基礎結構時使用縱深防禦。這包括但不限於:
使用強 RBAC (基於角色的存取控制),同時遵循最低權限的原則。管理登入應該受到限制。
配置 LDAPS,確保資料在傳輸過程中進行加密。
限制遠端存取,僅開啟預期操作所需的埠與通訊協定。
確保套用最新的安全性修補程式。
在公司網路內的單獨伺服器上主控 LDAP,而不在主控 Windchill 應用程式的同一部伺服器上主控。
如果將 LDAP 與 Windchill 部署在相同的伺服器上,請封鎖不需要的埠。請勿將這些埠暴露給內部公司網路或網際網路。
避免將 LDAP 伺服器公開至網際網路。
* 
視您安裝的產品而定,預設 LDAP 目錄結構是不同的。
Windchill 12.0.2.0 開始,PTC Solution Installer 提供選取 LDAP 或 LDAPS 作為目錄存取控制的選項。欲使用 LDAPS,您必須取得或產生用來提供伺服器身分識別證明的憑證。針對生產使用,PTC 建議從受信任的憑證授權單位取得憑證。針對測試目的,您可以使用任何 Java 支援的公用程式來產生自我簽署憑證。
將系統配置為使用 LDAPS 可在與目錄伺服器進行任何通訊期間 (在 Azure Active Directory/Active Directory 與 HTTP 伺服器之間) 加密 LDAP 資料。Windchill 現在支援與 Azure Active Directory 之間進行驗證及通訊。欲支援 Azure Active Directory 以配置 SSO 或將 Azure Active Directory 設定為目錄伺服器,您需要使用 LDAPS 安裝 WindchillWindchill 不支援使用 LDAP/LDAPS (這是唯一支援的通訊協定) 與 Azure Active Directory 存放庫直接進行通訊。您需要將 Azure Active Directory Domain Services (AADDS) 配置為支援驗證及通訊。AAD 主參與者已同步至 AADDS。如果您使用 Microsoft Active directory/AADDS,則需要將 userID (UID) 屬性對應至 sAMAccountName 或 userPrincipalName。對應取決於您的驗證組態是使用 SSO 還是基本驗證。
Azure Active Directory Domain Services AADDS 無法驗證訪客使用者。AADDS 只能驗證「使用者類型」「成員」的使用者。
請務必提供正確的憑證資訊,否則安裝可能會失敗。對於在 Unix 作業系統進行的叢集設定,請務必針對所有叢集節點將所有憑證複製到相同位置。建議將憑證保留在 <APACHE_HOME> 中。PSI 可讓您在 Unix 作業系統指定下列實體:
Unix 作業系統的輸入值
選項
描述
位置
「LDAPS 憑證」 > 「位置」下指定 JVM 金鑰庫中受信任憑證/自我簽署憑證的位置。請確保您提供具有適當副檔名的有效憑證。此欄位不應為空。
類型
憑證加密的類型。
密碼
只有在相關聯密碼可供使用時,才需要此項。
LdapVerify 伺服器憑證
用來啟用或禁用伺服器憑證驗證的選項。預設值為「關閉」
「定義設定」區段中,輸入 LDAP 設定:
選項
描述
LDAP 服務
如果企業節點是 ADS,請選取此選項。否則,請選取其他與 V3 相容的 LDAP 伺服器。
選取了 ADS 後,本節稍後介紹的下列選項會反白。請參閱 ADS 屬性的預設使用者對應
LDAP 轉接器名稱
可以配置單一 LDAP 轉接器。
LDAP 伺服器主機名稱
<主機名稱>.<網域> 為預設值。
LDAP 使用者的基礎辨別名稱
LDAP 使用者的基礎辨別名稱。安裝程式會使用您指定的辨別名稱建立目錄。
在新安裝期間,會設定下列預設值。您無法在新安裝期間變更這些值。
選項
預設值
描述
LDAP 伺服器埠
389
定義 LDAP 在其上接聽以取得請求的埠號。
LDAP 使用者辨別名稱
在 LDAP 階層中指定使用者節點,該階層包含 Windchill 應該可見的目錄中的所有使用者。
LDAP 密碼
LDAP 管理員的密碼。
定義預設 LDAP 伺服器的設定:
LDAP 服務
選項
預設值
描述
LDAP 服務
Active Directory Service (ADS)
如果企業節點是 ADS,則選取此選項。否則,請選取其他與 V3 相容的 LDAP 伺服器。
選取了 ADS 後,本節稍後介紹的下列選項會反白。請參閱 ADS 屬性的預設使用者對應
Windchill 存放庫權限
唯讀。
只有在「讀取」與「寫入」選項皆已選取的情況下,您才可以選擇載入示範使用者。
存放庫包含
使用者
根據需求選取選項。選取 UsersGroups 核取方塊。
應用程式在決定 Windchill 的存取權時,會根據選取的選項,考慮在此企業 LDAP 中定義的使用者或群組。
如果存放庫是唯讀,應用程式將不會嘗試管理存放庫中的使用者與群組。
LDAP 連接
使用者連結
指定用來連接至 Enterprise Repository 的繫結方法。
兩個可用選項如下:
「匿名連結」- 項不需要使用者名稱來讀取存放庫的內容。
「使用者連結」- 此選項會將指定的使用者繫結至目錄。此使用者必須存在於 LDAP 中。
使用者篩選器
用來篩選使用者。
只有在此處選取的那些使用者才可以透過 Windchill 搜尋
範例:
如果企業節點是與 V3 相容的 LDAP 伺服器:
uid= * (搜尋所有使用者)
uid= ne* (搜尋名稱以 ne 開頭的所有使用者)。
如果「企業節點」是 ADS:
cn=* (搜尋所有使用者)
cn=ne* (搜尋名稱以 ne 開頭的所有使用者)
* 
您可以在安裝之後修改此條件,方法是前往「網站」 > 「公用程式」 > 「Info*Engine 管理員」,並選取各自的「企業轉接器」。
群組篩選器
用來篩選群組。
只有在此處選取的那些群組才可以透過 Windchill 搜尋。
範例:
如果「企業節點」(LDAP) 是:
cn=* (搜尋所有群組)
cn=gr* (搜尋名稱以 gr 開頭的所有群組)。
如果「企業節點」是 ADS:
cn=* (搜尋所有群組)
cn=gr*(搜尋名稱以 gr 開頭的所有群組) 等。
* 
您可以在安裝之後修改此條件,方法是前往「網站」 > 「公用程式」 > Info*Engine,並選取各自的「企業轉接器」。
對應至 Windchill 屬性的 LDAP 伺服器屬性
在 LDAP 轉接器中配置屬性對應。在此提供的值會儲存在 LDAP 轉接器定義中。選項可自動新增 ADS 的預設集。在未指定預設集的情況下,無法使用 ADS。預設值可調整,以符合網站的需求。如果網站需要,可在任何配置的 LDAP 轉接器中定義對應,方法請參閱配置其他企業目錄
ADS 屬性的預設使用者對應
「選項」欄指定了 Windchill 所預期的屬性名稱,「預設值」欄指定了 ADS 屬性名稱/值。
選項
預設值
物件類別
user
組織名稱
company
唯一識別元
sAMAccountName
唯一性識別元屬性
sAMAccountName
共用名稱
cn
電子郵件地址
mail
姓氏
sn
使用者憑證
userCertificate
電話號碼
telephoneNumber
傳真號碼
facsimileTelephoneNumber
行動電話號碼
mobile
郵寄地址
postalAddress
希望使用的語言
preferredLanguage
附加屬性
objectGUID
可以在配置其他企業目錄中找到這些欄位的描述。
* 
依照預設,唯一識別元屬性與唯一識別元可以具有相同的值;不過,唯一識別元屬性必須始終指向具有唯一值的屬性。如果您的 ADS 組態中沒有多個子網域,而且您知道 sAMAccountName 在單一網域中具唯一性,您便可以將預設值用於您的唯一識別元屬性。如果 sAMAccountName 的值不具唯一性,則您應該將 userPrincipalName 用於唯一識別元屬性。
ADS 屬性的預設群組對應
「選項」欄指定了 Windchill 所預期的屬性名稱,「預設值」欄指定了 ADS 屬性名稱。
選項
預設值
唯一識別元屬性
sAMAccountName
描述
description
物件類別
group
具唯一性成員
member
可以在配置其他企業目錄中找到這些欄位的描述。
這是否有幫助?