基于此,CIO时代、新基建创新研究院组织开展了“大信创产品目录”征集工作,希望以此推动信创产业发展,更好地助力大信创生态圈的建设和完善,实现政企组织数字化转型与升级在方向上的“升级替代”。
宁盾目录服务(Nington Directory Service,NDS)是基于标准LDAP协议自主研发的国产LDAP身份目录服务,用来存储用户身份数据,并提供统一的目录用户认证,可广泛应用于本地/云应用、操作系统、网络/安全设备场景。
它由身份目录、应用接入、网络接入、多因素认证、统一终端管理等多个能力组件构成。其中LDAP身份目录是核心服务,其他能力组件均为可选项,可通过标准协议与第三方产品进行替换或集成。
· 身份目录负责存储用户账号、密码、组织架构、用户组等数据,并处理身份的上下游同步。
· 应用接入组件为应用系统提供身份管理和登录认证/SSO服务。
· 网络接入处理设备的有线、无线认证和远程接入,如VPN、虚拟桌面认证等。
· 多因素认证提供认证增强能力,支持动态密码、短信密码、扫码认证、推送认证等功能。
· 统一终端管理为信创和Windows终端提供集中身份管理、认证管理、合规性检查和认证增强等能力。
为了能够统一信创、Windows终端和其他业务场景的身份,宁盾目录需要替代AD原有的生态位,建立身份源。因此,在该方案中首先构建以宁盾目录服务为核心身份源的统一身份管理中心。通过宁盾目录的身份同步功能,将上游身份源如AD、HR、IAM系统或OA系统内的身份数据同步到宁盾目录服务中进行统一管理维护。此时,宁盾目录服务可以作为LDAP服务器或者SCIM服务器,由下游应用系统直接调用身份数据,也可以调用下游应用的身份API主动推送身份数据,从而保持企业内用户全网身份一致性。
3. 网络接入
网络接入在信创替代中是比较容易被忽视的问题。由于微软在AD域、Windows终端登录和网络接入上有深度耦合,不容易做到完美替代,其中的风险源自:
加域的Windows本身是身份票据容器,网络和应用可以基于Windows登录身份进行单点登录,脱离域之后需要多方配合才能达到同等效果;
网络接入通常使用RADIUS协议与设备(NAS)进行对接,常见的产品有NPS(微软)、iMC(H3C)、AgileController(华为)、ISE(Cisco)等。这些产品需要加入域才能实现一些常见场景,和AD有强绑定关系。
1)有线无线网络认证场景
对于主流内网认证方式802.1x认证或Portal认证,在Windows加域模式下可以实现登录Windows自动认证、计算机名认证或证书认证,前提是RADIUS服务器加域。宁盾目录服务的网络接入组件有较高的内部耦合性,同样能够实现三种认证。当原有RADIUS服务器脱域之后,宁盾网络接入组件可代替原有RADIUS服务器,提供RADIUS认证服务。应对策略如下两种:
将802.1x认证直接指向宁盾目录,避开原有产品加域限制;
推动原有产品与宁盾互信。
2)远程接入场景
远程接入主要为VPN、堡垒机等网络设备接入认证场景和虚拟桌面场景。
VPN、堡垒机等设备主流的认证协议是RADIUS或LDAP,该金融机构内部署了RADIUS,直接由宁盾目录服务替代。宁盾支持更多品牌的网络设备和厂商私有协议,可实现比以往更优的效果,如权限控制、IP下放、多因素认证等。
在身份认证方面,宁盾对主流产品有良好支持,如深信服、华为、Citrix、VMWare。但各虚拟桌面厂商的运行机制对AD依赖性比较高,需要推动厂商去AD化。
4. 终端统一认证和管理
终端的统一管理在方案的选择上需要遵循几个原则:
- 客户端数量越大,对方案的成熟度和可靠性要求越高;
- 方案选型:
①方案客户端侧工作尽量轻,不引入新的客户端;②方案依赖系统原装客户端 ;③方案需引入新客户端,但支持统一推送客户端;④方案需引入新客户端,但需手动安装客户端。 ①>②>③>④
①方案对AD域的依赖尽量低,完全不依赖AD;②方案仅要求已入域终端依赖AD;③方案要求新购Windows终端也依赖AD。 ①>②>③
简而言之,方案最好不要引入新的客户端,如需引入客户端,需具备完备的客户端方案,且对AD的依赖越轻越好。
客户有以下四种方式可选:
- 使用各平台域管平台,如Windows使用AD,麒麟使用天域,统信使用统信域管,由宁盾目录同步几种域管平台数据;
- 使用宁盾安全连接器接管终端登录认证,实现集中认证和本地用户管理;
- 使用Samba替代AD,管理Windows终端;
- 终端不加域,使用桌管平台管理Windows终端。
在该方案中企业最终采用了第一种方式,将AD、麒麟天域和统信域管作为宁盾目录的下游应用,由宁盾目录统一推送或域管主动调用宁盾目录身份。这种方式尽管依赖AD,但可靠性更高,不需要引入客户端,适合有已加域终端和信创终端的场景。
- AD:宁盾目录调用AD的LDAP接口,进行身份同步;
- 麒麟天域:将宁盾目录作为身份源,使用LDAP协议调用宁盾目录;
- 统信域管:将宁盾目录作为身份源,使用LDAP协议调用宁盾目录。
对于终端的认证和密码管理方面,信创域管支持向AD发起认证,宁盾目录数据结构和AD高度兼容,信创域管可将宁盾目录作为AD替代品。Windows仅支持向AD发起认证,AD无法将认证请求代理到第三方,可通过组策略禁用Windows修改密码,强制用户在身份自服务平台修改密码,宁盾目录接收到密码变更后同步给AD。
AD有被替代的预期,信创域管平台产品化程度尚不完善,由宁盾安全连接器客户端实现终端集中管理和认证,可靠性较高,终端依赖度较高,完全不依赖AD。
5. 多因素认证增强各场景登录安全
作为金融行业头部企业,客户对信息安全的重视也在本次方案中体现。通过对用户连接网络或访问办公资源时的登录入口添加动态密码进行二次身份认证,以降低因账密泄露引起的安全风险。宁盾多因素认证支持的认证形式十分丰富,有动态令牌(APP、H5、小程序、硬件Key)、短信令牌、推送认证、扫码认证、生物认证等多种。该客户选用了宁盾手机APP令牌形式,用以加强账号安全。
多因素认证常用的使用场景有:
- 远程接入,支持VPN、堡垒机、虚拟桌面等;
- 运维,支持Linux、AIX等服务器,各种网络设备认证授权和审计,替代ACS/ISE;
- 应用登录,支持API调用或SSO门户增加多因素认证;
- 操作系统登录,支持Windows、Linux、Mac OS,需安装宁盾安全连接器;
- 网络接入,仅Portal或证书认证。
6. 高可用
身份系统是关键基础设施,尤其对于金融这类关系国计民生的行业,基础设施更需要支持高可用、负载均衡、备份和恢复。
宁盾目录服务支持集中式部署和分布式部署,集中部署模式下,关键目录服务互为主备,应用接入节点可多台集群部署,实现负载均衡。它的好处在于结构简单,在提供较好的高可用性能下,维护成本低。
分布式部署模式下,每个物理分支都可以有多个宁盾目录实例。实例之间互相同步,物理分支之间互相同步。
宁盾目录服务同样支持故障回退、数据恢复。由于宁盾目录服务和AD具有高度兼容性,大部分业务场景下可以互换,因此也建议该金融机构保留AD较长时间,有突发情况时可以将应用对接恢复为 AD,将业务可持续作为首要目标。
抢沙发
