摘要:在信创政策、漏洞攻击及数字化转型的多重驱动下,微软AD作为信创替代的核心,已成为不可逆转的趋势。宁盾2021年推出的[宁盾信创身份域管],是国内最早开始专攻微软AD替代的方案,以全栈信创、多终端兼容、国产云桌面适配、安全防护能力及平滑迁移等优势,连续两年202
宁盾信创身份域管,信创AD域控建设示范方案
在信创政策、漏洞攻击及数字化转型的多重驱动下,微软AD作为信创替代的核心,已成为不可逆转的趋势。宁盾2021年推出的[宁盾信创身份域管],是国内最早开始专攻微软AD替代的方案,以全栈信创、多终端兼容、国产云桌面适配、安全防护能力及平滑迁移等优势,连续两年2023与2024年入选“上海市优秀信创解决方案”名单。
本文从技术能力、替换路径、方案优势、行业适配性、信创资质等层面出发,深度解析宁盾信创身份域管的核心价值。
一、宁盾信创身份域管是什么?
宁盾信创身份域管是宁盾针对有信创/国产化要求的客户打造的身份域管方案,适用于两个场景:
新建身份域控:如新建信创LDAP、新建信创统一身份认证系统、替换OpenLDAP等;微软AD域替代:主要实现信创AD域控。宁盾信创身份域管方案主要由LDAP目录服务和统一终端管理两个模块组成。其中LDAP目录服务为自主研发,负责存储用户账号、密码、组织架构、用户组等数据,并提供统一的目录用户认证,可平滑接管原来在AD域上的LDAP应用,以及为Windows、Linux、麒麟KylinOS、统信UOS计算机终端、服务器等提供统一身份认证。
统一终端管理模块,顾名思义,能够统一管理Windows/Linux/麒麟KylinOS/统信UOS等混合计算机终端,包括终端、服务器、虚拟主机及云服务器,提供集中加域、认证管理、上网管理、合规性检查和登录认证安全增强等能力。
除了LDAP目录服务和统一终端管理,宁盾信创身份域管平台还内置了 MFA 多因素认证、泛终端准入、网络设备AAA管理等其他能力模块,在信创、等保合规等要求下,客户可根据需求灵活组合。
二、技术能力:平滑替代与混合终端统一管控
(一)平滑替代微软AD
宁盾信创身份域管可实现AD域控的完整替代。在替代路径上建议选择先兼容、后并行、再替代。方案大致有三种:
1. 宁盾域管为主,AD为辅:AD作为宁盾信创身份域管的下游应用,由宁盾域管维护和管理组织架构和用户身份数据,及时向下游AD和其他应用同步数据,逐渐降低AD权重,直至企业关停AD。
2. AD为主,宁盾域管为辅:宁盾域管作为AD的下游,实时同步组织架构和用户数据,并由宁盾域管对接各类信创应用、云应用、终端设备等,即保证 IT 资产得到统一管理,又能借助宁盾域管能力弥补 AD 在某些业务场景上的不足。
3. 与AD并行,双域共存:由宁盾信创身份域管实时同步AD上的组织架构和用户数据,保持双域数据一致。宁盾域管对接信创IT资产,双轨并行,既保障业务连续性,又能完成信创建设。在企业关停AD时,宁盾域管可直接独立使用。
(二)混合终端统一管控
宁盾信创身份域管可集中统一管理Windows(专业版和家庭版)、Linux、麒麟KylinOS、统信UOS等混合终端,如登录认证、加域管理、网络准入、合规性检测、二次身份鉴别等。宁盾域管不仅可以管理Windows pro专业版,还可以管理Windows home家庭版,更符合国内企业办公环境实际需求。
对于企业内部有多种操作系统的计算机终端,可直接使用宁盾信创身份域管统一管理多终端,无需切换多个平台,减轻投入成本和运维压力。
(三)兼容国产云桌面
除多终端统一管理核心能力之外,宁盾信创身份域管还兼容适配了国内主流云桌面产品,并取得了互认证证书,如中兴云桌面、深信服桌面云、天翼云电脑、H3C Workspace、升腾威讯云桌面等,为信创用户推进云桌面落地实施提供极大便利。
(四)多身份源兼容
在身份源对接上,宁盾信创身份域管兼容AD、LDAP、OA、HR、飞书/钉钉等多种账号源,并转化为LDAP服务,为下游应用系统、计算机终端、网络设备等提供统一认证,满足不同企业灵活调整身份数据源。
(五)安全增强能力
针对微软AD的使用痛点,宁盾信创身份域管进行了优化与增强,以提升安全防护能力。例如:
针对AD的SMB协议、Kerberos协议引起的漏洞攻击,宁盾信创身份域管不使用开源SMB组件及协议、不使用Kerberos协议,终端登录鉴权采用证书认证体系,从源头避免AD域的漏洞攻击问题。内置了RADIUS认证和CA证书机构,可进行全场景 MFA 多因素认证,CA证书则适用于网络准入认证场景。在域单点登录的基础上,提供应用访问终端合规检测,如仅公司发放的终端才可以访问关键应用等。支持设置弱密码库,推动用户放弃弱密码/弱口令,提升整体账号安全水平。三、AD域替换迁移/替换路径
(一)搭建宁盾信创身份域管,与AD并行
宁盾信创身份域管与微软AD双域并行,两者保持数据同步。宁盾信创身份域管可以统一管理Windows、Linux和信创OS混合终端,并可与国产云桌面、邮箱进行适配对接,提供统一认证服务。
(二)双轨并行,接管信创应用、计算机
双域并存,Windows存量终端及其他与AD绑定较深的应用可继续依赖 AD 域。宁盾信创身份域管则不断接管信创应用、计算机、服务器、网络设备等,统一管理信创 IT 资产。
(三)信创身份域管稳定运行,AD可关停,也可继续使用
此阶段宁盾信创身份域管已稳定运行许久,依赖AD域的存量应用和终端均已转移至宁盾信创身份域管上,微软AD可根据需求关停、或继续使用。
四、宁盾信创身份域管方案优势
(一)兼容微软AD和混合操作系统终端
宁盾信创身份域管高度兼容微软AD,并兼容Windows(专业版和家庭版)、Linux、麒麟、统信等混合操作系统终端,支持多终端统一纳管。
(二)避开微软AD安全漏洞,安全性更高
不使用SAMBA、Kerberos等AD组件/协议实现域控功能,避开AD域的安全漏洞。域单点登录应用时提供终端合规检测,如仅公司发放的终端才可以登录关键应用;提供自定义弱密码库、用户自服务等,增强密码的安全性;支持自定义安全策略,如拦截异常登录设备、异常登录账号、僵尸账号等,提升访问安全;支持多因素认证(国密算法、商密资质)和CA证书,增强身份认证安全性,防止非授权访问。(三)支持双机热备和异地多活高可靠部署
支持双机热备、异地多活等高可靠部署架构;提供日志审计,可导入到专业的日志审计设备中集中管理;(四)内置RADIUS、TACACS等能力,易扩展
宁盾信创身份域管集成了 MFA 多因素认证、网络准入认证、单点登录、TACACS+管理等能力,可基于业务场景需要灵活开启;前期可与AD域并行,确保业务无感过渡;后期可基于全栈标准协议对接新增应用、设备,减少后续选型、定制化开发工作量。五、行业/场景适配度
宁盾信创身份域管方案已在金融、央国企、军工、能源、制造业等行业中推广,尤其在金融信创、党政信创等行业信创中积累了大量丰富的案例与方案经验,为2+8+N行业信创推广复制提供了标杆样本。
(一)金融信创:
某大型金融机构:宁盾信创身份域管替代微软AD,对接该金融机构自研IAM身份与访问管理系统,实时拉取用户数据,保持一致。宁盾域管统一管理Windows、统信UOS计算机的登录认证、加域管理等,终端规模在10000台以上,同时对接信创办公应用、邮箱,实现统一认证,并结合MFA多因素认证实现登录安全保护。
(二)党政信创
某市中级人民法院:宁盾信创身份域管对接统信UOS计算机、达梦数据库和深信服桌面云,为信创资产提供统一认证与集中管理。
(三)军工信创
某军工项目:宁盾信创身份域管协助客户将AD域控切换到国产身份域控,适配对接国产云桌面、NAS、数据库及军工版本的操作系统计算机,为同期采购的信创应用/设备提供国产身份域控服务。
(四)场景适配
信创办公场景:宁盾信创身份域管可统一管理Windows(专业版和家庭版)、Linux、麒麟KylinOS、统信UOS等混合操作系统终端,可对接信创邮箱、OA、WPS等应用。结合MFA 多因素认证,满足信创办公场景混合 IT 资产的统一纳管与安全合规。IT 运维场景:对国产操作系统服务器、网络设备等资产,宁盾信创身份域管可统一创建运维账号密码、定期修改密码、统一加域管理及自服务改密等,满足信创和等保三级合规要求。六、信创资质
2024年,宁盾正式成为中国电子工业标准化技术协会信息技术应用创新工作委员会的技术活动单位,标志着宁盾在信创领域获得权威认可。
2024年,宁盾信创身份域管获得上海软协信创工委会颁发的信创产品评估证书,标志着宁盾在信创生态适配领域再次创造新的里程碑。
2023年与2024年,宁盾信创身份域管解决方案连续入选“上海市优秀信创解决方案”名单,其金融信创案例被收录进优秀案例集。
2024年7月24日,科技产业研究平台第一新声对外发布《2024年中国信创-信息安全代表厂商图谱》,旨在筛选出优秀信息安全厂商,为2+8+N行业进行信创产品筛选及采购时提供借鉴与参考。宁盾凭借信创身份域管产品入选图谱「安全软件」代表厂商。
2024年6月27日,科技产业研究平台第一新声联合天眼查正式发布「2024年中国最佳信创厂商系列榜单」,旨在更好地了解中国信创产业发展现状、行业格局。在本次系列榜单中,宁盾上榜“2024年中国最佳信创安全厂商”榜单,并荣登优秀案例榜。
综上,宁盾信创身份域管作为信创AD域控替换方案,具备全栈信创、平滑替代微软AD、混合终端统一管控、兼容国产云桌面、兼容多种身份源及安全增强防护等多个技术能力,连续两年入选上海市优秀信创解决方案,在金融信创、党政信创、军工等行业信创中拥有丰富的案例。
来源:宁盾