|
Windchill 管理員負責確保 LDAP V3 目錄的組態與管理的安全。PTC 強烈建議在配置 LDAP 基礎結構時使用縱深防禦。這包括但不限於:
• 使用強 RBAC (基於角色的存取控制),同時遵循最低權限的原則。管理登入應該受到限制。
• 配置 LDAPS,確保資料在傳輸過程中進行加密。
• 限制遠端存取,僅開啟預期操作所需的埠與通訊協定。
• 確保套用最新的安全性修補程式。
• 在公司網路內的單獨伺服器上主控 LDAP,而不在主控 Windchill 應用程式的同一部伺服器上主控。
• 如果將 LDAP 與 Windchill 部署在相同的伺服器上,請封鎖不需要的埠。請勿將這些埠暴露給內部公司網路或網際網路。
• 避免將 LDAP 伺服器公開至網際網路。
|
|
視您安裝的產品而定,預設 LDAP 目錄結構是不同的。
|
選項
|
描述
|
---|---|
位置
|
在
> 下指定 JVM 金鑰庫中受信任憑證/自我簽署憑證的位置。請確保您提供具有適當副檔名的有效憑證。此欄位不應為空。 |
類型
|
憑證加密的類型。
|
密碼
|
只有在相關聯密碼可供使用時,才需要此項。
|
LdapVerify 伺服器憑證
|
用來啟用或禁用伺服器憑證驗證的選項。預設值為「關閉」。
|
選項
|
描述
|
---|---|
LDAP 服務
|
如果企業節點是 ADS,請選取此選項。否則,請選取其他與 V3 相容的 LDAP 伺服器。
選取了 ADS 後,本節稍後介紹的下列選項會反白。請參閱 ADS 屬性的預設使用者對應。
|
LDAP 轉接器名稱
|
可以配置單一 LDAP 轉接器。
|
LDAP 伺服器主機名稱
|
<主機名稱>.<網域> 為預設值。
|
LDAP 使用者的基礎辨別名稱
|
LDAP 使用者的基礎辨別名稱。安裝程式會使用您指定的辨別名稱建立目錄。
|
選項
|
預設值
|
描述
|
---|---|---|
LDAP 伺服器埠
|
389
|
定義 LDAP 在其上接聽以取得請求的埠號。
|
LDAP 使用者辨別名稱
|
在 LDAP 階層中指定使用者節點,該階層包含 Windchill 應該可見的目錄中的所有使用者。
|
|
LDAP 密碼
|
LDAP 管理員的密碼。
|
選項
|
預設值
|
描述
|
||
---|---|---|---|---|
LDAP 服務
|
Active Directory Service (ADS)
|
如果企業節點是 ADS,則選取此選項。否則,請選取其他與 V3 相容的 LDAP 伺服器。
選取了 ADS 後,本節稍後介紹的下列選項會反白。請參閱 ADS 屬性的預設使用者對應。
|
||
Windchill 存放庫權限
|
唯讀。
|
只有在「讀取」與「寫入」選項皆已選取的情況下,您才可以選擇載入示範使用者。
|
||
存放庫包含
|
使用者
|
根據需求選取選項。選取 Users 或 Groups 核取方塊。
應用程式在決定 Windchill 的存取權時,會根據選取的選項,考慮在此企業 LDAP 中定義的使用者或群組。
如果存放庫是唯讀,應用程式將不會嘗試管理存放庫中的使用者與群組。
|
||
LDAP 連接
|
使用者連結
|
指定用來連接至 Enterprise Repository 的繫結方法。
兩個可用選項如下:
• 「匿名連結」- 項不需要使用者名稱來讀取存放庫的內容。
• 「使用者連結」- 此選項會將指定的使用者繫結至目錄。此使用者必須存在於 LDAP 中。
|
||
使用者篩選器
|
用來篩選使用者。
只有在此處選取的那些使用者才可以透過 Windchill 搜尋
範例:
• 如果企業節點是與 V3 相容的 LDAP 伺服器:
◦ uid= * (搜尋所有使用者)
或
◦ uid= ne* (搜尋名稱以 ne 開頭的所有使用者)。
• 如果「企業節點」是 ADS:
◦ cn=* (搜尋所有使用者)
或
◦ cn=ne* (搜尋名稱以 ne 開頭的所有使用者)
|
|||
群組篩選器
|
用來篩選群組。
只有在此處選取的那些群組才可以透過 Windchill 搜尋。
範例:
• 如果「企業節點」(LDAP) 是:
◦ cn=* (搜尋所有群組)
或
◦ cn=gr* (搜尋名稱以 gr 開頭的所有群組)。
• 如果「企業節點」是 ADS:
◦ cn=* (搜尋所有群組)
或
◦ cn=gr*(搜尋名稱以 gr 開頭的所有群組) 等。
|
選項
|
預設值
|
---|---|
物件類別
|
user
|
組織名稱
|
company
|
唯一識別元
|
sAMAccountName
|
唯一性識別元屬性
|
sAMAccountName
|
共用名稱
|
cn
|
電子郵件地址
|
mail
|
姓氏
|
sn
|
使用者憑證
|
userCertificate
|
電話號碼
|
telephoneNumber
|
傳真號碼
|
facsimileTelephoneNumber
|
行動電話號碼
|
mobile
|
郵寄地址
|
postalAddress
|
希望使用的語言
|
preferredLanguage
|
附加屬性
|
objectGUID
|
|
依照預設,唯一識別元屬性與唯一識別元可以具有相同的值;不過,唯一識別元屬性必須始終指向具有唯一值的屬性。如果您的 ADS 組態中沒有多個子網域,而且您知道 sAMAccountName 在單一網域中具唯一性,您便可以將預設值用於您的唯一識別元屬性。如果 sAMAccountName 的值不具唯一性,則您應該將 userPrincipalName 用於唯一識別元屬性。
|
選項
|
預設值
|
---|---|
唯一識別元屬性
|
sAMAccountName
|
描述
|
description
|
物件類別
|
group
|
具唯一性成員
|
member
|