輸入您的 LDAP 設定
管理 Windchill 使用者需要使用預設 LDAP,它可能是 Active Directory 伺服器,也可能是與 V3 相容的 LDAP 伺服器。它也可以選擇管理 Windchill 群組資訊。
 |
Windchill 管理員負責確保 LDAP V3 目錄的組態與管理的安全。PTC 強烈建議在配置 LDAP 基礎結構時使用縱深防禦。這包括但不限於:
• 使用強 RBAC (基於角色的存取控制),同時遵循最低權限的原則。管理登入應該受到限制。
• 配置 LDAPS,確保資料在傳輸過程中進行加密。
• 限制遠端存取,僅開啟預期操作所需的埠與通訊協定。
• 確保套用最新的安全性修補程式。
• 在公司網路內的單獨伺服器上主控 LDAP,而不在主控 Windchill 應用程式的同一部伺服器上主控。
• 如果將 LDAP 與 Windchill 部署在相同的伺服器上,請封鎖不需要的埠。請勿將這些埠暴露給內部公司網路或網際網路。
• 避免將 LDAP 伺服器公開至網際網路。
|
|
|
視您安裝的產品而定,預設 LDAP 目錄結構是不同的。
|
從 Windchill 12.0.2.0 開始,PTC Solution Installer 提供選取 LDAP 或 LDAPS 作為目錄存取控制的選項。欲使用 LDAPS,您必須取得或產生用來提供伺服器身分識別證明的憑證。針對生產使用,PTC 建議從受信任的憑證授權單位取得憑證。針對測試目的,您可以使用任何 Java 支援的公用程式來產生自我簽署憑證。
將系統配置為使用 LDAPS 可在與目錄伺服器進行任何通訊期間 (在 Azure Active Directory/Active Directory 與 HTTP 伺服器之間) 加密 LDAP 資料。Windchill 現在支援與 Azure Active Directory 之間進行驗證及通訊。欲支援 Azure Active Directory 以配置 SSO 或將 Azure Active Directory 設定為目錄伺服器,您需要使用 LDAPS 安裝 Windchill。Windchill 不支援使用 LDAP/LDAPS (這是唯一支援的通訊協定) 與 Azure Active Directory 存放庫直接進行通訊。您需要將 Azure Active Directory Domain Services (AADDS) 配置為支援驗證及通訊。AAD 主參與者已同步至 AADDS。如果您使用 Microsoft Active directory/AADDS,則需要將 userID (UID) 屬性對應至 sAMAccountName 或 userPrincipalName。對應取決於您的驗證組態是使用 SSO 還是基本驗證。
Azure Active Directory Domain Services AADDS 無法驗證訪客使用者。AADDS 只能驗證「使用者類型」為「成員」的使用者。
請務必提供正確的憑證資訊,否則安裝可能會失敗。對於在 Unix 作業系統進行的叢集設定,請務必針對所有叢集節點將所有憑證複製到相同位置。建議將憑證保留在 <APACHE_HOME> 中。PSI 可讓您在 Unix 作業系統指定下列實體:
|
選項
|
描述
|
|---|---|
|
位置
|
在 > 下指定 JVM 金鑰庫中受信任憑證/自我簽署憑證的位置。請確保您提供具有適當副檔名的有效憑證。此欄位不應為空。
|
|
類型
|
憑證加密的類型。
|
|
密碼
|
只有在相關聯密碼可供使用時,才需要此項。
|
|
LdapVerify 伺服器憑證
|
用來啟用或禁用伺服器憑證驗證的選項。預設值為「關閉」。
|
在「定義設定」區段中,輸入 LDAP 設定:
|
選項
|
描述
|
|---|---|
|
LDAP 服務
|
如果企業節點是 ADS,請選取此選項。否則,請選取其他與 V3 相容的 LDAP 伺服器。
選取了 ADS 後,本節稍後介紹的下列選項會反白。請參閱 ADS 屬性的預設使用者對應。
|
|
LDAP 轉接器名稱
|
可以配置單一 LDAP 轉接器。
|
|
LDAP 伺服器主機名稱
|
<主機名稱>.<網域> 為預設值。
|
|
LDAP 使用者的基礎辨別名稱
|
LDAP 使用者的基礎辨別名稱。安裝程式會使用您指定的辨別名稱建立目錄。
|
在新安裝期間,會設定下列預設值。您無法在新安裝期間變更這些值。
|
選項
|
預設值
|
描述
|
|---|---|---|
|
LDAP 伺服器埠
|
389
|
定義 LDAP 在其上接聽以取得請求的埠號。
|
|
LDAP 使用者辨別名稱
|
在 LDAP 階層中指定使用者節點,該階層包含 Windchill 應該可見的目錄中的所有使用者。
|
|
|
LDAP 密碼
|
LDAP 管理員的密碼。
|
定義預設 LDAP 伺服器的設定:
|
選項
|
預設值
|
描述
|
||
|---|---|---|---|---|
|
LDAP 服務
|
Active Directory Service (ADS)
|
如果企業節點是 ADS,則選取此選項。否則,請選取其他與 V3 相容的 LDAP 伺服器。
選取了 ADS 後,本節稍後介紹的下列選項會反白。請參閱 ADS 屬性的預設使用者對應。
|
||
|
Windchill 存放庫權限
|
唯讀。
|
只有在「讀取」與「寫入」選項皆已選取的情況下,您才可以選擇載入示範使用者。
|
||
|
存放庫包含
|
使用者
|
根據需求選取選項。選取 Users 或 Groups 核取方塊。
應用程式在決定 Windchill 的存取權時,會根據選取的選項,考慮在此企業 LDAP 中定義的使用者或群組。
如果存放庫是唯讀,應用程式將不會嘗試管理存放庫中的使用者與群組。
|
||
|
LDAP 連接
|
使用者連結
|
指定用來連接至 Enterprise Repository 的繫結方法。
兩個可用選項如下:
• 「匿名連結」- 項不需要使用者名稱來讀取存放庫的內容。
• 「使用者連結」- 此選項會將指定的使用者繫結至目錄。此使用者必須存在於 LDAP 中。
|
||
|
使用者篩選器
|
用來篩選使用者。
只有在此處選取的那些使用者才可以透過 Windchill 搜尋
範例:
• 如果企業節點是與 V3 相容的 LDAP 伺服器:
◦ uid= * (搜尋所有使用者)
或
◦ uid= ne* (搜尋名稱以 ne 開頭的所有使用者)。
• 如果「企業節點」是 ADS:
◦ cn=* (搜尋所有使用者)
或
◦ cn=ne* (搜尋名稱以 ne 開頭的所有使用者)
|
|||
|
群組篩選器
|
用來篩選群組。
只有在此處選取的那些群組才可以透過 Windchill 搜尋。
範例:
• 如果「企業節點」(LDAP) 是:
◦ cn=* (搜尋所有群組)
或
◦ cn=gr* (搜尋名稱以 gr 開頭的所有群組)。
• 如果「企業節點」是 ADS:
◦ cn=* (搜尋所有群組)
或
◦ cn=gr*(搜尋名稱以 gr 開頭的所有群組) 等。
|
對應至 Windchill 屬性的 LDAP 伺服器屬性
在 LDAP 轉接器中配置屬性對應。在此提供的值會儲存在 LDAP 轉接器定義中。選項可自動新增 ADS 的預設集。在未指定預設集的情況下,無法使用 ADS。預設值可調整,以符合網站的需求。如果網站需要,可在任何配置的 LDAP 轉接器中定義對應,方法請參閱配置其他企業目錄。
|
選項
|
預設值
|
|---|---|
|
物件類別
|
user
|
|
組織名稱
|
company
|
|
唯一識別元
|
sAMAccountName
|
|
唯一性識別元屬性
|
sAMAccountName
|
|
共用名稱
|
cn
|
|
電子郵件地址
|
mail
|
|
姓氏
|
sn
|
|
使用者憑證
|
userCertificate
|
|
電話號碼
|
telephoneNumber
|
|
傳真號碼
|
facsimileTelephoneNumber
|
|
行動電話號碼
|
mobile
|
|
郵寄地址
|
postalAddress
|
|
希望使用的語言
|
preferredLanguage
|
|
附加屬性
|
objectGUID
|
可以在配置其他企業目錄中找到這些欄位的描述。
|
|
依照預設,唯一識別元屬性與唯一識別元可以具有相同的值;不過,唯一識別元屬性必須始終指向具有唯一值的屬性。如果您的 ADS 組態中沒有多個子網域,而且您知道 sAMAccountName 在單一網域中具唯一性,您便可以將預設值用於您的唯一識別元屬性。如果 sAMAccountName 的值不具唯一性,則您應該將 userPrincipalName 用於唯一識別元屬性。
|
|
選項
|
預設值
|
|---|---|
|
唯一識別元屬性
|
sAMAccountName
|
|
描述
|
description
|
|
物件類別
|
group
|
|
具唯一性成員
|
member
|
可以在配置其他企業目錄中找到這些欄位的描述。