加速信创落地,最新国产身份目录服务首发

最新推荐文章于 2024-05-04 18:46:43 发布
最新推荐文章于 2024-05-04 18:46:43 发布
阅读量3.4k 收藏 1
点赞数
分类专栏: 微软 AD相关(AD替换) 宁盾国产化身份域管(微软AD替代) 文章标签: windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yuzijiang11111/article/details/121360830
版权

众所周知,“信创”的内容和目标是在核心芯片、基础硬件、基础软件(操作系统、中间件、数据服务器等领域实现国产替代。随着新基建理念的推出“信创”的内容又得到了进一步的扩展。事实上随着云计算、人工智能、物联网等新兴信息技术的的日益深入应用安全这一指标已经越来越为企业所重视这其中既包含数据的安全也包含应用持续性的安全。其中身份管理既属于基础软件又属于安全范畴,是必不可少的IT基础设施因此从政策层面来看,身份管理面临重建。

目前身份管理基础设施微软身份目录服务AD为核心部署在Windows Server中,管理着身份、应用、终端三个层面的资源

  • 身份层面,企业员工身份信息保存在AD,并基于AD域身份登录终端设备;
  • 应用层面,基于AD域身份信息登录企业业务系统;
  • 终端层面,合规终端需要加入AD域进行统一管理,主要指Windows桌面

 传统IT架构以Windows+Intel架构向自主可控架构演进

而信创体系下的IT环境则是由飞腾、龙芯等国产芯片构成的PC操作系统统信、麒麟等及搭载国产身份目录的Linux服务器等设施构成。新的IT架构下,操作系统、终端、服务器均需重建,身份目录在这一环境下同样面临着重建。

政府、军队、金融、教育、医疗等信创建设重点行业,预计将涉及到数十万单位需重构身份目录服务

身份目录服务重构两个主要技术原因

(1)AD对国产化服务器及终端兼容性问题

AD无法安装在Linux环境中,以及无法对国产操作系统统信、麒麟等)兼容。

 微软AD在信创体系下无法适配兼容

(2)信创身份目录既要兼容微软体系又要满足信创体系

  1. 微软在日常办公仍发挥着重要作用,对于微软AD及应用兼容优先解决
  2. 信创体系下构建身份目录基础设施不能照搬AD,其设计背景在局域网环境新的身份管理面临的环境更复杂,除传统操作系统PC终端,还有不断涌入企业的BYODIoT终端,无线网络,云技术及非LDAP协议的各类应用等,都对身份目录提出新要求。

以中立和开放为核心,增强厂商和客户信任

在构建新身份目录基础设施时,势必要通盘考虑产业生态的开放性与适配性。要提高产业链上下游相关产品的兼容适配能力,采用中立的第三方身份管理基础设施是信创体系身份管理建设的主要方向之一。

 信创身份目录既要兼容微软体系,也需要满足信创体系

针对信创体系设计的国产目录服务NDS

国产身份目录服务(Ningdun Directory Service,简称NDS)是由宁盾研发的一款专门面向信创场景的身份管理产品,通过它实现对信创环境下身份、应用、终端三个层面的资源管理以及既有AD体系兼容管理,包括:

  • 身份层面,企业员工身份信息保存在NDS
  • 应用层面,基于NDS域身份信息登录企业业务系统针对LDAPNDS兼容ADSchema,应用迁移认证到NDS无需单独定制或改造,只需要简单修改配置就可实现LDAP认证交互另外提供SAMLOAUTH2.0CasRadius等协议为云、SaaS、网络提供兼容
  • 终端层面,合规终端需要加入NDS进行统一管理,不仅限于国产桌面终端、BYOD、IOT等泛终端均支持统一接入管理;
  • 身份安全:内置MFA能力,降低弱口令导致的身份风险,提升整体身份安全水准
  • 兼容AD,确保既有架构正常运行

 NDS完全兼容AD,意味着当应用直接使用或替换成NDS时,无需单独定制或改造,只需简单修改配置即可实现LDAP认证交互,大大降低重复开发和对接的成本。

NDS核心功能

  • 内置MFA能力,降低身份风险

 支持国密SM3算法,硬件令牌、手机app令牌、企业微信扫码快捷认证等。

  • 国产操作系统统一登录管理

 宁盾目录服务NDS增强AD在弱口令治理及泛终端管理能力,提供对统信、麒麟等国产操作系统统一登录管理。

  • 兼容AD亦实现对主流协议业务系统无缝对接

 以往企业内的用户身份信息储存在AD上,用户基于AD域身份信息登录终端设备及企业业务系统。当AD无法支持国产操作系统、业务系统时,NDS的良好兼容性让企业操作系统与业务系统能无缝对接NDS,实现无感知过渡。

  • 终端准入管理

 网络准入是基础网络身份安全能力,在微软架构下,NPS负责网络策略服务。宁盾目录服务NDS内置网络准入能力,支持员工、访客等不同用户的Portal802.1x认证方式其中Portal认证方式灵活多样,适用不同角色用户。802.1x认证兼容AD,可复用操作系统自带的802.1x客户端。

除此之外,NDS提供高级组件,用于增强对WindowsMacLinux等操作系统终端合规性以及BYOD、IoT管理。

NDS信创场景应用示例

  • 政务、金融等信创客户统一登录管理操作系统场景

 登录麒麟操作系统

 登录统信操作系统

 国产操作系统率先在政务、金融领域使用,当员工在登录国产操作系统时,宁盾目录服务器可基于LDAP目录结构储存用户身份数据,提供统一的目录用户认证。

  • 业务系统统一登录管理场景

 

 业务系统无感知对接NDS。以JIRA应用为例,在宁盾目录服务中添加用户后,到JIRA后台配置宁盾目录服务器,与配置AD方式相同,导入宁盾目录服务中的用户后即配置成功。

  • 党政办终端准入控制场景

 通过纳管多种类型系统、终端,以加入域的终端为合规条件实施策略管控,提高企业内网终端合规率,提升企业内网安全。

NDS应用价值

  1. 能够为国产操作系统提供统一登录管理
  2. 能够为企业提供国产目录服务
  3. 能够实现BYODIoT泛终端准入认证
  4. 能够帮助部署了微软AD的企业更好地落地信创体系
  5. 能够帮助企业无缝对接信创目录业务系统

后记:技术生态建设

更多应用对接及兼容适配,是推进信创产业能够快速落地的核因此,身份目录的后续工作目标是不断丰富与信创生态系统下基础硬件、基础软件、应用软件的兼容,帮助信创客户落地身份管理,充分发挥各系统联动的价值。

宁盾Nington
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
浪潮信创英政服务器CS5260F
07-06
信创服务器彩页,国产服务器 浪潮
某金融机构身份国产化LDAP创新实践——国产自主可控 LDAP目录服务建设经验分享
yuzijiang11111的博客
12-01 1769
金融机构微软目录服务 Active Directory(AD)面临替换,国产ldap目录服务建设解决方案。
微软 AD 已成过去式,这个身份领域国产化替代方案你了解吗?
Authing的博客
06-05 715
在数字化浪潮和政策的推动下,企业纷纷开始探索国产话平滑替代的最佳实践。
信创 | 信创中间件全览:核心种类与关键组件!
最新发布
dream317
05-04 1508
信创产业中的中间件主要包括基础中间件和广义中间件两大类。基础中间件包括交易中间件、消息中间件、应用服务器中间件等,而广义中间件则涵盖了更多种类的中间件产品,以适应不断变化的技术需求。
信创国产化解决方案
dehuisun的专栏
09-12 8653
信创,即信息技术应用创新产业,是数据安全、网络安全的基础,也是新基建的重要组成部分。信创产业是一条规模庞大、体系完整的产业链,是数字经济的重要抓手之一。基础硬件(芯片、服务器、整机、外设设备、存储器)、基础软件(云服务、操作系统、中间件、数据库)、应用软件(办公软件、财务软件、电子签名软件、客户管理软件、工业软件)、信息安全软件(查毒软件、防火墙、入侵检测系统、入侵防御系统、安全备份系统)二、基础设施国产化2.1、CPU的国产化。
信创的产品目录信创对产品的要求、信创的标准是什么?
云盒子企业云盘官方账号,17年专注文档安全
02-01 1万+
例如《操作系统政府采购需求标准(2023年版)》中,对数据安全保障、代码无风险等多项安全指标,要求除用户授权采集的信息外不采集其他数据,相关信息采集无安全风险,相关数据存储在中国境内;云盒子信创文档云是一款全栈信创兼容的政务文档云协作平台,基于龙芯、飞腾、鲲鹏架构的客户端在全国各地均有项目成功落地,多终端支持无需通过U盘拷贝,在信创电脑中登录即可访问x86电脑数据,提供公用盘区,支持旧电脑和信创电脑文件一键分享和传输,缓解新老设备双机过渡期。信创对产品的要求、信创的标准是什么?
企业AD域(域控服务器)的安装和配置详细教程
热门推荐
m0_49254484的博客
03-07 1万+
企业AD域(域控服务器)的安装和配置详细教程
计算机:运营商提升国产CPU服务器采购比例,行业信创加速落地.zip
10-16
标题中的“计算机:运营商提升国产CPU服务器采购比例,行业信创加速落地”表明了当前国内IT行业的一个重要趋势,即电信运营商正在增加对国产中央处理器(CPU)服务器的采购,这标志着信息技术创新(信创)战略在中国...
信创国产替代列表-基础软件部分
11-18
信创国产替代的进程中,这些基础软件产品的成熟和广泛应用,将有力推动我国信息技术产业的发展,保障信息安全,并提升核心竞争力。随着政策支持和技术进步,预计未来会有更多国产基础软件涌现,形成完整的产业链,...
计算机:运营商提升国产CPU服务器采购比例,行业信创加速落地.pdf
07-02
计算机:运营商提升国产CPU服务器采购比例,行业信创加速落地.pdf
国盛证券-中科曙光(603019)自主芯片再获信创市场突破,服务国产化进程不断加速-200515.pdf
08-04
中科曙光(603019)自主芯片再获信创市场突破,服务国产化进程不断加速
中国信创产业发发展白皮书-2021.pdf
03-01
2021年1月,国内知名咨询机构“众诚智库”和工信部直属事业单位“中国电子学会”联合航天信息系统工程(北京)有限公司、无锡先进技术研究院、联想控股股份有限公司、麒麟软件有限公司、北京中科院软件中心有限公司、曙光星云信息技术(北京)有限公司、金蝶国际软件集团有限公司、北京中企伍佰信息技术研究院、统信软件技术有限公司、北京鸿腾智能科技有限公司、江苏汤谷智能科技有限公司、国能信控互联技术有限公司、中国民航信息集团有限公司、北京元年科技股份有限公司、北京东华合创科技有限公司、中国智能终端操作系统产业联盟16家企业和机构,经过全面的调研和梳理,共同发布了国内信创领域首本《中国信创产业发展白皮书(2021)》。 该白皮书首先分析了信创产业的发展背景,在全球产业从工业化向数字化升级的关键时期,中国明确提出“数字中国”建设战略,以抢占下一时期的技术优先权。但2018年以来,受“华为、中兴事件”影响,我国科技尤其是上游核心技术受制于人的现状对我国经济持续高质量发展提出了严峻考验,为了摆脱这一现状,国家将信创产业纳入国家战略,提出“2+8”发展体系,2020-2022年中国IT产业在基础硬件、基础软件、行业应用软件、信息安全等诸多领域迎来了黄金发展期。 其次,该白皮书绘制了信创产业的全景图,信创产业生态体系庞大,分别在CPU、操作系统、数据库、中间件、网络和信息安全等产品维度具体描述发展态势。
信创服务器操作系统的配置与管理(OpenEuler版)
03-22
      信创趋势下,资源围绕网络管理员、网络工程师等岗位对openEuler服务器版管理核心技术技能的要求,应用工作过程系统化方法开发了包括统信UOS简介、shell、Bash、目录结构、文件系统、VIM编辑器、用户与组、SSHD远程登录、网络简介、安全策略、软件源、UOS文件权限、UOS磁盘管理、SAMBA服务、DHCP服务、DNS服务、WEB服务、FTP服务、代理服务器、邮件服务器、防火墙、NAT转换等14个项目,场景化的还原企业实际项目和业务流程。每个项目都按企业工作实际分解为若干个工作任务,通过项目背景、项目分析、项目相关知识为子任务做铺垫,任务实施过程中由任务规划、任务实施和任务验证构成,符合工程项目实施的一般规律。  本课程主要学习内容:  1、服务器基础配置:项目1 部署openEuler服务器系统项目2 使用shell管理本地文件项目3 管理openEuler的用户与组项目4 openEuler系统的基础配置       2、基础服务部署:项目5 企业内部数据存储与共享项目6 部署企业的DHCP服务项目7 部署企业的DNS服务项目8 部署企业的WEB服务项目9 部署企业的FTP服务       3、高级服务部署:项目10 部署企业squid代理服务器项目11 部署企业的邮件服务器项目12 部署openEuler服务器防火墙课程考核:综合项目实训/课程考评
寻找AD域替代或新建方案时,这里有企业标准统一身份建设新方法供参考
yuzijiang11111的博客
02-07 526
宁盾身份目录是一个开放式的身份目录,可替代AD域,通过全栈协议支持及客户场景训练,旨在帮助企业实现网络、本地及云应用、社交应用、终端一体化身份管理,他能够支撑企业不同规模阶段对基础身份的需求,为企业构建新型统一身份提供新选项。
宁盾AM7:新一代IAM,应对新技术和信创带来的企业身份管理挑战
yuzijiang11111的博客
10-25 616
以人为中心的身份管理不仅是企业数字化转型基础设施,更是零信任安全的核心支撑点。 在10月11日Gartner最新发布的《2022年IAM规划指南》中指出,安全和身份是业务生态系统的重要基础。企业组织应该创建一个灵活的IAM架构并联动其他功能以满足不断变化的组织需求。在2022年IAM关键趋势中,企业要想跟上不断变化的IAM需求,关键是发展一个更安全、更有弹性、可组合和分布式的IAM基础设施。 图源:Gartner《2022 Planning Guide for Identity and Acce..
LDAP 目录服务的现代化替代方案
yuzijiang11111的博客
07-13 344
几十年来,LDAP 作为用户管理、身份验证和授权的核心平台一直是许多企业 IT 基础架构中的支柱。但在现代 IT 环境中,LDAP 服务器也不再是企业首选的身份验证平台。取而代之的是身份目录服务(DaaS)。...
某金融单位微软AD国产化替代方案分享与收获
yuzijiang11111的博客
04-02 332
当前,随着信创产业的快速发展,宁盾也注意到,越来越多企业客户在信创国产化改造中,企业客户的关注点逐渐从技术实现转移到实际业务、员工体验、规范化、安全性和合规性等方面。在售前交流中,我们感受到客户非常关心AD国产替代方案的可靠性、实际落地效果等,因此宁盾从产品高可用架构、压测报告、同行项目经验及运营报告等方面一一做了分享。此外,在跟客户分享其他AD替代案例时,客户也关心宁盾国产身份域管是否能结合HR/OA系统实现人员入离职自动化,例如OA系统走审批流,自动化开通/关闭目录服务账号。c. 某国产邮件系统;
信创名录,上榜企业分析
CSHARP0409的博客
01-02 8048
2018年成立的新兴数据库厂商为何能上榜集中式数据库名录,此中到底有哪些影响因素?
盘点国产信创服务
qq_39496637的博客
03-07 1733
浪潮服务器的产品线非常丰富,包括机架服务器、塔式服务器、多节点服务器、整机柜服务器、工作站等多种形态,并覆盖大型数据中心、海量数据库、AI计算加速等各种应用场景。企业不分排名前后,仅展示部分国产服务器产品,其中部分内容来自网络,版权归原作者所有,禁止用于商业用途,对转载、分享的内容、陈述、观点判断保持中立,不对所包含内容的准确性、可靠性或完善性提供任何明示或暗示的保证,仅供读者学习参考之用,如有侵犯机构、媒体、公司 、企业或个人等的知识产权,请联系删除,本公众平台将不承担任何责任。
通过Js获取当前操作系统是麒麟系统还是统信系统
05-26
由于浏览器的安全机制,无法直接获取操作系统的信息。但可以通过检测浏览器的userAgent来判断当前操作系统。 对于麒麟系统,其默认浏览器为基于Chromium内核的Lynx浏览器,其userAgent中会包含"Linux; Android"的关键字;对于统信系统,其默认浏览器为基于Chrome内核的绿色浏览器,其userAgent中会包含"Linux; U; Android"的关键字。 因此,可以通过以下代码检测当前操作系统是否为麒麟系统或统信系统: ```javascript var userAgent = navigator.userAgent; if(userAgent.indexOf("Linux; Android") !== -1 && userAgent.indexOf("Lynx") !== -1){ // 当前操作系统为麒麟系统 } else if(userAgent.indexOf("Linux; U; Android") !== -1 && userAgent.indexOf("GreenBrowser") !== -1){ // 当前操作系统为统信系统 } else { // 其他操作系统 } ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值