当前位置：首页 > news >正文

解锁金融数据中心场景，实现国产化AD替代，宁盾身份域管为信创电脑、应用提供统一管理

news 文章来源：https://blog.csdn.net/yuzijiang11111/article/details/137349986 2024/10/27 4:26:42

随着信创国产化改造持续推进，越来越多的金融机构不断采购信创服务器、PC、办公软件等，其 IT 基础设施逐渐迁移至国产化 IT 架构下。为支撑国产化 IT 基础设施的正常使用和集中管理运维，某金融机构数据中心的微软Active Directory（AD，微软活动目录）也面临着迁移和替代，需要建设国产化的活动目录来满足这一需求。

作为 IT 基础设施的重要组成部分，国产活动目录需要具备以下能力才能满足替代AD需求：

1. 能够复制和迁移 AD 身份数据，确保账号密码与原先保持一致，避免重复建设 LDAP 身份数据；

2. 能够无缝接管 AD 原有的应用场景（即先前对接 AD 的应用系统无缝对接到国产目录上），为用户提供无摩擦的接入认证切换体验；

3. 提供高可用性方案，确保 LDAP 服务不中断。

项目背景：

当前该金融数据中心有多台 AD，一主多辅，共同提供服务。AD 主要对接了几个应用/设备，如上网行为管理网络认证服务、Exchange 邮箱等。这几个场景后续将由国产活动目录接管。

一期建设目标：

1. 国产活动目录接管网络认证服务及其他应用的身份认证和权限校验；

2. 通过 LDAP 认证转发学习 AD 域用户的密码；

3. 双机热备部署，确保系统高可用。

搭建国产化身份域管，迁移AD数据并接管应用

在本项目中，引入了宁盾国产化身份域管，用于迁移及替代 AD 位，并建立国产化的统一身份认证体系。国产化身份域管高度兼容 AD、IBM、ApacheDS等目录服务的 schema，使得同步后的数据能够与原有目录结构保持完全一致，支持灵活的创建组织架构、支持单层和多层组织。

在接管应用系统时，应用能够通过 LDAP 协议从宁盾国产化身份域管同步用户账号密码及权限，能够用宁盾身份域管的用户信息登录应用。应用迁移无需二开，无缝对接。当 LDAP 应用在认证时，静态密码实际由 AD 验证，验证成功后，宁盾国产化身份域管学习密码到对应账号并缓存，为将来平滑过渡到宁盾身份域管做准备。

前后架构如下：

 当前架构

 国产活动目录方案架构

密码策略及自服务能力，保障安全及多方体验

在使用国产化身份域管时，IT 管理人员可根据安全需要，可基于用户组（用户的角色）来设置密码有效期、密码复杂度、历史密码个数、密码长度等，这一功能特性与 AD 的密码策略也保持了一致。

此外，针对用户不能自主修改/找回密码的运维痛点，国产化身份域管提供了用户自服务能力。有了自服务功能，用户可以在 web 页面自助修改基本信息、解锁账号及找回密码，如添加/修改手机号、绑定/解绑动态令牌。当然，用户在自助修改密码时，也必须按照密码策略来进行，如密码复杂度、长度等。

国产身份域管的扩展能力，不仅让企业的安全需求得到满足，还大幅减少了 IT 管理员为用户解锁账号、找回/重置密码的工作量，让 IT 得以集中精力专注于安全运维上，让终端用户体验得以优化。

通过高强度压测，认真践行高可用承诺

金融机构每天要处理数以千万、亿计的业务数据，对系统的高可用性能有着严格要求。为满足该金融数据中心及上级监管部门的性能要求，宁盾对国产化身份域管的产品功能、服务性能、可靠性、可管理性等方面进行压测，模拟客户的真实办公场景，在工作日早上 9 点前后的早高峰时期，基于办公场景高强度压力测试。最终，宁盾国产化身份域管经受住了高强度性能压力的考验，所有测试项均测试通过，达到了预期效果。宁盾国产化身份域管可以平滑地接管和替代 AD，并为用户提供无感知的切换体验。

除迁移及替代 AD 的需求，该金融数据中心数万台信创电脑，宁盾国产化身份域管提供了端侧的网络访问控制服务。它可以针对信创电脑实现 802.1X 账密、证书等形式的入网认证，并结合准入 Agent 对入网终端进行资产识别、合规检测、灵活管控等。

国产化身份域管作为传统国外身份管理系统（如AD、IBM、ApacheDS…）的替代方案，已在金融、央国企等信创用户中得到切实验证，并逐步上线使用。本次针对金融数据中心的解决方案将为金融信创的深入推进提供借鉴，助力全行业信创建设实现真替真用。

解锁金融数据中心场景，实现国产化AD替代，宁盾身份域管为信创电脑、应用提供统一管理

相关文章：

解锁金融数据中心场景，实现国产化AD替代，宁盾身份域管为信创电脑、应用提供统一管理

Django的js文件没有响应（DOMContentLoaded）

滑动窗口代码模板

SpringBoot实现邮箱验证

Mac安装Docker提示Another application changed your Desktop configuration解决方案

5分钟安装docker和docker compose环境

leetcode热题100.跳跃游戏2

【前端】CSS（引入方式+选择器+常用元素属性+盒模型+弹性布局）

迷茫下是自我提升

用vscode仿制小米官网

【Java+Springboot】------ 通过JDBC+GetMapping方法进行数据select查询、多种方式传参、最简单的基本示例!

基于单片机光伏太阳能跟踪系统设计

Stable Diffusion 本地化部署

C++ Algorithm 常用算法

线程安全--深入探究线程等待机制和死锁问题

量子计算获重大突破！微软和Quantinuum将量子计算错误率降低800倍，网友：AI算力的希望

WordPress 6.5 “里贾纳”已经发布

甲方安全建设之日志采集实操干货

dm8 开启归档模式

“AI复活”背后的数字永生：被期待成为下一个电商，培育市场认知和用户心智还需时间

基于单片机钢琴电子节拍器系统设计

我的创作纪念日（year Ⅱ）

应急响应实战笔记05Linux实战篇（1）

重装系统之后，电脑连网卡都没反应怎么办？

【三十五】【算法分析与设计】综合练习（2），22。括号生成，77。组合，494。目标和，模拟树递归，临时变量自动维护树定义，递归回溯，非树结构模拟树

QT智能指针

C++笔记之pkg-config详解，以及g++、gcc编译时使用pkg-config

[Apple Vision Pro]开源项目 Beautiful Things App Template

Qt Remote Objects (QtRO) 笔记

Unity类银河恶魔城学习记录12-6.5 p128.5 Create item by Craft源代码

wordpress 主题吧/站长之家工具

大连手机网站案例/网站推广与优化平台

汕头第一网告别单身/seo外链工具

使用dw如何给网站做电影/得物app的网络营销分析论文

网站建设建网站/免费推广方法

百度网址大全网站/百度网址大全在哪里找